H-Studio logo
ENDE
Projekt starten

EU-AI-Act-Readiness — die technischen Grundlagen, nicht das Rechtsgutachten

„Die EU hat den AI Act verschoben" ist halb wahr und gefährlich ungenau. Manche Pflichten rückten um sechzehn Monate, andere bewegten sich gar nicht und greifen 2026. Wir bauen die technische Nachweis-Ebene — Risiko-Screening, Transparenz, Audit-Trails, Sub-Prozessor-Sichtbarkeit — damit Ihr Team und Ihre Anwält:innen dokumentierte Entscheidungen prüfen, statt unter Frist nachzurüsten.

Inhalt dieser Seite

Was das ist — und was nicht

Das ist technische Readiness-Arbeit — die Architektur, Dokumentation und Nachweise, die ein Prüfer, eine Anwältin oder ein internes Compliance-Team braucht, um seine Arbeit zu tun, ohne ein undokumentiertes Produkt rückwärts zu entschlüsseln.

  • Was wir tun

    Wir bauen die Architektur, Dokumentation und Nachweise — Risiko-Screening, Transparenz, Sub-Prozessor-Sichtbarkeit, Audit-Trails — damit es etwas Dokumentiertes zum Prüfen gibt, wenn Ihre Berater:innen hinschauen.

  • Was wir nicht tun

    Keine Rechtsberatung, keine formale Risikoklassifizierung, keine Konformitätsbewertung und keine Zertifizierung. Das bleibt bei Ihren Rechts-, Datenschutz- oder Compliance-Berater:innen.

Rahmen: Nur EU / DACH. Unsere russische (152-ФЗ) und indonesische (UU PDP) Präsenz behandeln ihre eigenen Rechtsrahmen auf ihren Regionalseiten — wir wenden die Regeln einer Jurisdiktion nicht auf den Markt einer anderen an.

Wo der Zeitplan tatsächlich steht (Mitte 2026)

„Verschoben" ist die teuerste Fehlinterpretation des Jahres 2026

Mit dem Digital Omnibus on AI — im Mai 2026 vorläufig vereinbart und in der formalen Annahme — rutschten Teile des AI Act, andere nicht. Die genauen Daten finalisieren sich noch; bestätigen Sie den aktuellen Stand mit Ihren Rechtsberater:innen. Stand heute:

  • Seit August 2024 in Kraft — der Rahmen selbst
  • Seit Februar 2025 — verbotene KI-Praktiken und KI-Kompetenz-Pflichten
  • Seit August 2025 — Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI)
  • 2. August 2026 — Transparenzpflichten nach Art. 50, NICHT verschoben: Nutzer müssen informiert werden, wenn sie mit KI interagieren, wenn Inhalte KI-generiert sind und wenn Emotionserkennung oder biometrische Kategorisierung im Einsatz ist
  • 2. Dezember 2026 — Kennzeichnung / maschinenlesbare Markierung generativer Ausgaben sowie neue Verbote in Art. 5 (KI-generiertes Material sexuellen Kindesmissbrauchs und nicht-einvernehmliche intime Darstellungen)
  • 2. Dezember 2027 — Hochrisiko-Pflichten für eigenständige Annex-III-Systeme (verschoben von August 2026)
  • 2. August 2027 — nationale Reallabore (Sandboxes)
  • 2. August 2028 — Hochrisiko-KI, eingebettet in regulierte Produkte (Annex I)

Die Falle: Teams hörten „verschoben", entspannten sich und stellten die Vorbereitung auf die Transparenz- und Kennzeichnungspflichten ein, die planmäßig anrücken. Die Erleichterung ist real für Hochrisiko; sie deckt nicht ab, was 2026 fällig ist.

01  ·  Vorgehensmodell

Wie wir AI-Act-Readiness angehen — Nachweise, kein Papierkram-Theater

Aufwand geht dorthin, wo die Regulierung wirklich greift — nicht in ein Compliance-Programm, das das Gesetz nicht verlangt.

  • 01Screenen, bevor Sie hetzen — wir stellen zuerst fest, was Ihre KI-Features tatsächlich sind: verboten, hochriskant, transparenzpflichtig oder minimal.
  • 02Die meiste B2B-KI ist nicht hochriskant — und wir sagen es Ihnen, wenn sie es nicht ist, damit Sie kein Compliance-Programm aufbauen, das das Gesetz nicht verlangt.
  • 03Transparenz ist die Priorität 2026 — die Art-50-Pflichten und die Kennzeichnung generativer Ausgaben sind die kurzfristige Arbeit der meisten Produktteams. Wir setzen sie um, nicht nur dokumentieren.
  • 04Nachweise, die der Prüfung standhalten — Risiko-Screening, Sub-Prozessor-Inventar, Evaluierungsnachweise und Audit-Trails, so gebaut, dass ein Prüfer oder eine Anwältin sie lesen kann, kein quartalslanges Nachrüsten.
  • 05Recht bleibt Recht — Klassifizierung, Konformitätsbewertung und Auslegung bleiben bei Ihren Berater:innen. Wir bauen, was sie prüfen.
02  ·  Was wir liefern

Was wir liefern

01

AI-Act-Risiko-Screening

Einordnung jedes Features: verboten / hochriskant / transparenzpflichtig / minimal · GPAI-Anbieter-Abhängigkeitsprüfung, wo relevant · Begründung in Klartext, die Ihre Berater:innen validieren können · Erneutes Screening, wenn Features sich ändern

02

Transparenz-Umsetzung (Art. 50)

KI-Interaktions-Hinweis, wo Nutzer mit KI zu tun haben · Kennzeichnung KI-generierter Inhalte · Hinweise zu Emotionserkennung / biometrischer Kategorisierung, wo anwendbar · Markierung / Provenienz generativer Ausgaben für die Pflicht ab Dezember 2026

03

Anbieter- & Datensichtbarkeit

Sub-Prozessor-Inventar, bereit für AVV / Due-Diligence-Prüfung · Welche Anbieter sehen welche Daten, welche Modelle, welche Regionen · EU-gehostete / lokale Optionen, abgebildet auf Datensensibilität

04

Evaluierungsnachweise

Evaluierung an repräsentativen Eingaben · Eval-Harness, damit Nachweise reproduzierbar sind, nicht anekdotisch · Dokumentierte Grenzen und Fehlerfälle

05

Audit-Trails & Aufsicht

Audit-Logs für KI-gestützte Aktionen, die Nutzer betreffen · Punkte menschlicher Aufsicht bei sensiblen oder irreversiblen Ausgaben · Nachvollziehbarer Datensatz, dem ein Prüfer folgen kann

06

Dokumentationspaket

Model Cards, wo anwendbar · Architektur- und Datenfluss-Dokumentation · Eine Readiness-Akte, die Ihr Rechts- / Compliance-Team direkt aufnehmen kann

03  ·  Vorgehen

Wie wir arbeiten

  1. Step 01

    Inventar & Screening

    Wir kartieren jedes KI-Feature, seine Datenflüsse und Anbieter-Abhängigkeiten und screenen jedes gegen die Risikostufen des AI Act.

  2. Step 02

    Lücken- & Prioritätenkarte

    Wir trennen, was in Ihrer Phase wirklich erforderlich ist, von dem, was es nicht ist, und ordnen es entlang der realen Daten 2026 / 2027.

  3. Step 03

    Technische Umsetzung

    Wir setzen Transparenz, Kennzeichnung, Logging und Aufsicht um und stellen die Nachweise zusammen — Sub-Prozessor-Inventar, Evaluierungen, Audit-Trails.

  4. Step 04

    Readiness-Akte & Übergabe

    Wir übergeben Ihrem Rechts- und Compliance-Team eine dokumentierte Akte, die es prüfen und pflegen kann — keine Black Box.

04  ·  Ergebnisse

Worauf wir optimieren

Eine belastbare, dokumentierte Position — kein Papierkram-Theater.

05  ·  Wann es passt

Wann AI-Act-Readiness-Arbeit sinnvoll ist

Wählen Sie diesen Service, wenn:

  • Sie KI-Features in einem Produkt mit echten Kunden ausliefern
  • Kunden, Partner oder Investoren beginnen, KI-Governance-Fragen zu stellen
  • Sie unsicher sind, ob Ihre KI hochriskant ist, und ein belastbares Screening brauchen
  • Sie die Transparenz- und Kennzeichnungspflichten nach Art. 50 tatsächlich umgesetzt brauchen, nicht nur notiert
  • Eine Finanzierungsrunde, Enterprise-Beschaffung oder Security-Prüfung ansteht
  • Sie die technischen Nachweise bereit haben wollen, bevor Ihre Anwält:innen sie brauchen
06  ·  Problem

Warum „der AI Act wurde verschoben" eine Falle ist

Der Omnibus vom Mai 2026 erzeugte genau die falsche Schlagzeile.
Haftungsausschluss

Wo unsere Arbeit endet und die Ihrer Berater:innen beginnt

Wir bauen technische Grundlagen und Nachweise. Wir führen keine Konformitätsbewertungen durch, stellen keine formalen Risikoklassifizierungen aus, leisten keine Rechtsberatung und zertifizieren keine Compliance. Die formale Klassifizierung und Auslegung von AI Act und DSGVO bleiben bei Ihren Rechts-, Datenschutz- oder Compliance-Berater:innen. Unsere Leistungen sorgen dafür, dass diese Arbeit von dokumentierter Architektur und Nachweisen aus startet, nicht von einer Nachrüstung. Die hier beschriebenen Daten und Pflichten geben den Stand wieder, wie wir ihn Mitte 2026 verstehen, und werden noch finalisiert — bestätigen Sie den aktuellen Stand mit Ihren Berater:innen.

Referenz-Stack

Womit wir die Nachweise erzeugen

Nachweise & Evaluierung
  • Evaluierungs-Harness (Promptfoo / Ragas)
  • Observability & Logging (Langfuse / Helicone / OpenTelemetry)
  • Strukturiertes Audit-Logging
  • Sub-Prozessor- & Datenfluss-Dokumentation
  • Provenienz- / Kennzeichnungs-Tooling, wo die Pflicht ab Dezember 2026 greift
Hosting & Datenresidenz
  • EU-gehostet (Azure OpenAI West Europe, Bedrock Frankfurt, EU-gehostetes Mistral)
  • Lokal (Hetzner GPU), wo Datenresidenz es verlangt
  • Anbieterwahl abgebildet auf Datensensibilität, nie Partnerstatus

Anbieter- und modellneutral. Hosting- und Anbieterwahl folgen den Daten, nie dem Partnerstatus.

Beleg · wie wir ohnehin bauen

AI-Act-Readiness ist für uns kein Aufsatz

Die Nachweise, die sie braucht — dokumentierte Architekturentscheidungen, Sub-Prozessor-Inventar, Auditierbarkeit über Nutzer- und Admin-Aktionen, getestete kritische Pfade — sind bereits die Art, wie wir diligence-ready Produkte in unserer DACH-Arbeit bauen. AI-Act-Readiness erweitert diese Disziplin gezielt auf Ihre KI-Features.

Wie wir MVPs bauen
FAQ

FAQ

  1. Teilweise. Hochrisiko-Pflichten wurden auf 2027/2028 verschoben. Transparenzpflichten (Art. 50) und die Kennzeichnung generativer Ausgaben nicht — sie gelten 2026. Die Erleichterung ist real, aber enger als die Schlagzeilen suggerierten.

  2. Die meisten B2B-SaaS-KI-Features sind nicht automatisch hochriskant, aber es hängt vom Einsatz ab. Wir liefern ein dokumentiertes technisches Screening; die formale Klassifizierung bleibt bei Ihren Rechtsberater:innen.

  3. Nein. Wir bauen die technischen Grundlagen und Nachweise. Rechtliche Auslegung, Konformitätsbewertung und Zertifizierung bleiben bei Ihren Berater:innen und den zuständigen Stellen.

  4. Für die meisten Produktteams: die Transparenzpflichten nach Art. 50 und die Vorbereitung auf die Kennzeichnung generativer Ausgaben, beide 2026. Wir setzen diese um, nicht nur dokumentieren.

  5. Sie überschneiden sich bei Datenverarbeitung, Sub-Prozessoren und Audit. Wir bauen die technischen Nachweise, die beiden dienen; die rechtliche Auslegung beider bleibt bei Ihren Berater:innen.

  6. Typischerweise 2–3 Wochen für Screening und eine Lücken-und-Prioritätenkarte, je nachdem, wie viele KI-Features und Anbieter im Scope sind. Die Umsetzung wird nach dem dimensioniert, was das Screening zutage fördert.

  7. Ja — siehe KI-Automatisierung (bestehende Systeme) oder MVP-Entwicklung (neue Builds). Readiness kann von Anfang an eingebaut statt nachgerüstet werden.

  8. Diese Seite ist EU / DACH. Unsere russische und indonesische Präsenz behandeln 152-ФЗ und UU PDP in ihren eigenen Rechtsrahmen — wir wenden die Regeln einer Jurisdiktion nicht auf den Markt einer anderen an.

Adjacent plates

Related services

  1. 01KI-AutomatisierungDie KI-Features, die die Readiness-Arbeit abdeckt.Open
  2. 02Agent-Ready-ArchitekturAgenten-Aktionen schaffen dieselbe Audit- und Transparenzfläche.Open
  3. 03Startup-MVP-EntwicklungAI-Act-Readiness von Tag eins einbauen.Open
  4. 04B2B-SaaS-EngineeringDiligence-ready Grundlagen, nach denen größere Kunden fragen.Open
  5. 05Data Engineering & AnalyticsDie Nachweis- und Logging-Ebene dahinter.Open
  6. 06AI Evals, Observability & GuardrailsDie Evaluierungsnachweise und Audit-Trails, die in die AI-Act-Readiness fließen.Open
Was verlangt der AI Act?

Unsicher, was der AI Act von Ihrem Produkt tatsächlich verlangt?

Eine Readiness-Prüfung screent Ihre KI-Features, trennt echte Erleichterung von dem, was 2026 anrückt, und gibt Ihrem Team und Ihren Anwält:innen einen dokumentierten Ausgangspunkt — in 2–3 Wochen.

AI-Act-Readiness-Prüfung buchen
Verwandte Artikel

Weiterlesen aus dem Blog.

Weitere Einblicke und Best Practices zu diesem Thema.

Alle Artikel
S
29 Mai 2026

Software bauen, die deutsche Compliance überlebt

Nicht „GDPR bestanden“ — sondern auditfest unter echtem Enterprise-Druck. Warum deutsche Compliance eine architektonische Eigenschaft ist, welche DSGVO-Artikel sie dazu machen (Privacy by Design, DSFA, Verzeichnis von Verarbeitungstätigkeiten) und welche System-Patterns einer Prüfung standhalten.

Lesen
N
27 Mai 2026

NIS2 aus Engineering-Sicht: Was Software-Teams 2026 technisch vorbereiten sollten

Technische Einordnung zu NIS2-Anforderungen aus Engineering-Perspektive: Logging, Backups, Monitoring, IAM, SBOM und Dokumentation. Keine Rechtsberatung; Stand: Mai 2026.

Lesen
S
26 Mai 2026

SaaS Architektur Best Practices für B2B-CTOs

Entdecken Sie die SaaS-Architektur-Best-Practices, um Skalierbarkeit, Sicherheit und Effizienz in B2B-Plattformen sicherzustellen.

Lesen
A
25 Mai 2026

Audit-fähige Architektur gestalten: Leitfaden 2026

Entdecken Sie, wie Sie audit-fähige Architektur gestalten können. Unser Leitfaden 2026 hilft Architekten und Entwicklern, bestmögliche Nachvollziehbarkeit...

Lesen

H-Studio baut technische EU-AI-Act-Readiness für B2B- und SaaS-Produktteams in der DACH-Region — Risiko-Screening, Umsetzung der Transparenzpflichten nach Art. 50, Readiness für die Kennzeichnung generativer Ausgaben, Sub-Prozessor-Inventare, Evaluierungsnachweise und Audit-Trails. Wir bauen die technischen Grundlagen und die Dokumentation, die Ihre Rechts- und Compliance-Berater:innen prüfen — keine Konformitätsbewertungen oder Rechtsgutachten — mit dem Post-Omnibus-Zeitplan 2026 klar im Blick.