VERORDNUNG (EU) 2024/1689 - SCHRITTWEISES INKRAFTTRETEN

AI Act: Erfassen Sie
Ihre Nutzung bevor man sie von Ihnen verlangt

Die europäische Verordnung über künstliche Intelligenz regelt schrittweise KI-Systeme, einschließlich solcher, die bereits in Ihre alltäglichen Werkzeuge integriert sind (zum Beispiel Microsoft 365 Copilot). SYAGA hilft Ihnen, Ihre tatsächliche Nutzung zu erfassen, die für Sie geltenden Pflichten zu verstehen und einen Aktionsplan zu erstellen - ohne Fachjargon und ohne unbestätigte Zahlenversprechen.

2024
Verordnung veröffentlicht (2024/1689)
Stufen
Schrittweise Anwendung über die Zeit
EU
Horizontaler Geltungsbereich, alle Branchen
Copilot
KI bereits vorhanden in Ihren M365-Tools

Der Kontext

Eine europäische Verordnung, die bereits gilt - oft ohne dass das Unternehmen es bemerkt hat

Die europäische KI-Verordnung ist bereits veröffentlicht

Die Verordnung (EU) 2024/1689 (Quelle: EUR-Lex) regelt die Governance von Systemen künstlicher Intelligenz innerhalb der Europäischen Union. Ihr Inkrafttreten erfolgt stufenweise, je nach Art der betroffenen Pflicht.

🤖

KI ist bereits in Ihren aktuellen Tools vorhanden

Funktionen künstlicher Intelligenz sind bereits in weit verbreitete Bürosoftware-Suiten integriert, wie zum Beispiel Microsoft 365 Copilot. Viele Organisationen nutzen sie, ohne diesen Bereich formal erfasst zu haben.

📋

Wenige Unternehmen haben ihre KI-Nutzung erfasst

Zwischen Tools von Anbietern, internen Entwicklungen und automatisierten Agenten, die auf bestehenden Plattformen eingesetzt werden, ist der tatsächliche Umfang der genutzten KI-Systeme selten zentral dokumentiert.

🔐

Vorausschauen ist besser als erleiden

Wie bei jeder neuen Regulierung ist es besser, den eigenen Anwendungsbereich frühzeitig zu klären, als eine Pflicht erst bei einer Kontrolle oder einer Anfrage eines Kunden, Versicherers oder Partners zu entdecken.

Das AIACT-Express-Vorgehen

Eine Begleitung in 5 Schritten, gemeinsam mit Ihnen abgestimmt auf Ihren tatsächlichen Umfang an KI-Systemen

1
Schritt 1 - Abgrenzung

Gespräch mit der Geschäftsführung oder dem IT-Verantwortlichen

Verständnis des Kontexts, der bereits vorhandenen Tools sowie laufender oder geplanter KI-Projekte. Ziel: einen realistischen Analyseumfang festlegen, keine theoretische Liste.

2
Schritt 2 - Kartierung

Erfassung der genutzten KI-Systeme

Anbieter-Tools (einschließlich bereits in Ihren Bürosoftware-Suiten enthaltener KI-Funktionen), interne Entwicklungen, Automatisierungen und auf Ihren bestehenden Plattformen eingesetzte Agenten.

3
Schritt 3 - Analyse

Einordnung Ihrer Rolle und der damit verbundenen Pflichten

Für jedes identifizierte System bestimmen, inwieweit Sie im Sinne der Verordnung Anbieter oder Betreiber sind, und welche allgemeinen Pflichten sich daraus für Ihre Organisation ergeben.

4
Schritt 4 - Aktionsplan

Priorisierung der Konformitätsmaßnahmen

Ein strukturierter, nach Risiko und Aufwand priorisierter Aktionsplan, ohne Versprechen eines rechtlichen Ergebnisses: sensible Punkte werden zur Prüfung durch spezialisierten Rechtsbeistand markiert.

5
Schritt 5 - Übergabe

Vorstellung der Diagnose und Übergabe

Übergabe der Kartierungsunterlagen und des Aktionsplans, mit Zeit für einen Austausch zur Beantwortung der Fragen Ihrer Teams.

Was Sie erhalten

Konkrete Arbeitsdokumente, angepasst an Ihren tatsächlichen Umfang

📝

Kartierung der KI-Systeme

Strukturiertes Verzeichnis der bei Abgrenzung und Kartierung identifizierten Nutzungen.

  • Anbieter-Tools und integrierte KI-Funktionen
  • Interne Entwicklungen und automatisierte Agenten
  • Für jedes System identifizierte Rolle (Anbieter / Betreiber)

Zusammenfassung der allgemeinen Pflichten

Ein verständlich formuliertes Dokument, das jedes identifizierte System mit den wichtigsten Pflichtenkategorien der Verordnung verknüpft.

  • Ansicht je erfasstem KI-System
  • Punkte zur Prüfung durch einen spezialisierten Juristen
  • Kein Sanktionsbetrag ohne rechtliche Prüfung genannt
📈

Priorisierter Aktionsplan

Ein operativer Fahrplan für Ihre Organisation.

  • Nach Priorität eingestufte Maßnahmen
  • Bezug zum betroffenen Bereich (DSGVO, IT-Governance)
  • Bearbeitbares Format für die interne Nachverfolgung

Abgedeckter Geltungsbereich

Der AI Act steht nicht für sich allein: er greift ineinander mit Texten, die Sie bereits kennen

KI

AI Act (Verordnung (EU) 2024/1689)

Referenztext zur Governance von Systemen künstlicher Intelligenz innerhalb der Europäischen Union. Quelle: EUR-Lex.

RG

DSGVO

Sobald ein KI-System personenbezogene Daten verarbeitet, bleiben die DSGVO-Pflichten (Verordnung (EU) 2016/679) neben den spezifischen Pflichten des AI Act anwendbar.

GO

Bestehende IT-Governance

Die Kartierung der KI-Nutzung fügt sich natürlich in einen umfassenderen IT-Governance-Ansatz ein (Sicherheitsrichtlinie, Risikomanagement), insbesondere wenn Ihre Organisation bereits von NIS2 oder einem ISO-27001-Prozess betroffen ist.

M365

KI bereits vorhanden in Microsoft 365

Funktionen wie Copilot bringen KI in bereits täglich genutzte Tools. Ihre Nutzung fällt in den zu kartierenden Bereich, auch ohne "sichtbares" KI-Projekt.

Ein Angebot, kein Standardtarif

Der Umfang einer AI-Act-Diagnose variiert je nach Anzahl und Art der genutzten KI-Systeme zu stark, um einen generischen Preis anzubieten. Wir erstellen ein Angebot nach der Abgrenzungsphase.

Individuelle AI-Act-Diagnose

Umfang gemeinsam mit Ihnen ab der Abgrenzungsphase festgelegt

  • Abgrenzung und Gespräch inbegriffen
  • Kartierung der identifizierten KI-Systeme
  • Zusammenfassung der allgemeinen Pflichten, ohne erfundene Rechtsangaben
  • Priorisierter Aktionsplan
  • Angebot nach Abgrenzung erstellt, vor jeder Verpflichtung
Angebot anfordern

Häufig gestellte Fragen

Die untenstehenden Antworten sind bewusst allgemein gehalten. Sie stellen keine Rechtsberatung dar und ersetzen nicht die Analyse eines auf Digitalrecht spezialisierten Rechtsbeistands.
Ist mein Unternehmen vom AI Act betroffen?
Die Verordnung gilt weitreichend, sobald eine Organisation innerhalb der Europäischen Union ein System künstlicher Intelligenz entwickelt, in Verkehr bringt oder nutzt - auch über bereits in bestehende Tools integrierte Funktionen (zum Beispiel Microsoft 365 Copilot). Anders als andere Rechtstexte legt der AI Act keine einfache Schwelle nach Mitarbeiterzahl oder Umsatz fest: der genaue Umfang und die Pflichten hängen von der eingenommenen Rolle (Anbieter oder Betreiber) und dem betroffenen System ab. Eine Diagnose ermöglicht es, dies für Ihre Organisation zu bestimmen.
Was ist der Unterschied zwischen Anbieter und Betreiber?
Die Verordnung unterscheidet insbesondere zwischen Organisationen, die ein KI-System entwickeln oder in Verkehr bringen (Anbieter), und solchen, die es im Rahmen ihrer beruflichen Tätigkeit nutzen (Betreiber). Die geltenden Pflichten unterscheiden sich je nach dieser Rolle. Die meisten KMU sind vor allem Betreiber der von ihnen täglich genutzten Tools.
Welche Risiken bestehen bei Nichteinhaltung?
Die Verordnung sieht eine eigene Sanktionsregelung vor. Wir nennen auf dieser Seite bewusst keinen Betrag, solange dieser nicht von spezialisiertem Rechtsbeistand für Ihre konkrete Situation geprüft und bestätigt wurde: genau dies ist einer der Punkte, den die Diagnose mit den richtigen Ansprechpartnern zu klären hilft.
Ersetzt die Diagnose eine anwaltliche Stellungnahme?
Nein. AIACT-Express ist ein operatives Unterstützungswerkzeug (Kartierung, verständliche Aufbereitung, Aktionsplan) und stellt keine Rechtsberatung dar. Für jede Frage der rechtlichen Auslegung der Verordnung bleibt die Einbindung eines spezialisierten Anwalts erforderlich.
Wie viel Zeit muss ich mit meinen Teams aufwenden?
Hauptsächlich ein Abgrenzungsgespräch mit der Geschäftsführung oder dem IT-Verantwortlichen, danach eine Übergabesitzung am Ende des Prozesses. Der genaue Umfang wird im Angebot festgelegt, sobald der Umfang bekannt ist.
Warum ist SYAGA hierfür legitim?
SYAGA Consulting führt seit 2009 Sicherheits- und Konformitätsaudits von Informationssystemen für Organisationen unterschiedlicher Größe durch. AIACT-Express stützt sich auf dieselbe Audit-Methode (Abgrenzung, Kartierung, Analyse, Aktionsplan), angewandt auf den spezifischen Bereich der künstlichen Intelligenz.

Bereit, Ihre KI-Nutzung zu erfassen?

Schreiben Sie uns für ein erstes Gespräch und ein individuelles Angebot.