Der EU AI Act ist die weltweit erste umfassende Regulierung künstlicher Intelligenz, und seine zentralen Pflichten greifen ab August 2026. Die meisten DACH-Unternehmen sind unvorbereitet — nicht aus Nachlässigkeit, sondern weil die Anforderungen unbequem zwischen Recht, Engineering und Betrieb liegen. Genau in dieser Überschneidung arbeitet unsere AI-Act-Beratung: Wir klassifizieren Ihre KI-Systeme, erstellen die geforderte Dokumentation, schulen Ihre Teams nach Artikel 4 und bauen den Governance-Prozess, den Sie nach dem Audit betreiben.
Der AI Act ist seit August 2024 in Kraft und wird in Stufen durchgesetzt. Verbotene Praktiken sind bereits untersagt, die Pflichten für General-Purpose-AI gelten seit August 2025, und die umfangreichen Anforderungen an Hochrisiko-Systeme werden ab August 2026 durchgesetzt. Die Bussgelder sind erheblich — bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes für die schwersten Verstösse. Das ist kein Thema, das man bis zur letzten Minute schieben sollte, zumal die Klassifizierung und Dokumentation Monate dauern kann.
Auch Schweizer Unternehmen sind betroffen, oft indirekt. Wer KI-Systeme im EU-Markt anbietet, deren Output in der EU verwendet wird, oder als Zulieferer in EU-Wertschöpfungsketten eingebunden ist, fällt unter den AI Act — unabhängig vom Unternehmenssitz. Die Schweiz ist Drittstaat, aber der Marktzugang bindet viele Schweizer KMU faktisch ein. Wer das ignoriert, riskiert nicht nur Bussgelder, sondern den Verlust von EU-Kunden, die Compliance von ihren Lieferanten verlangen.
Der AI Act arbeitet mit einem risikobasierten Ansatz und vier Stufen: verbotene Praktiken, Hochrisiko-Systeme, Systeme mit begrenztem Risiko (Transparenzpflichten) und minimales Risiko. Die Pflichten unterscheiden sich dramatisch je nach Stufe — ein Hochrisiko-System nach Annex III braucht technische Dokumentation, Risikomanagement, Daten-Governance, menschliche Aufsicht und eine Konformitätsbewertung, während ein System mit minimalem Risiko praktisch frei ist. Die korrekte Klassifizierung ist deshalb der entscheidende erste Schritt: Sie bestimmt, was Sie überhaupt tun müssen.
Diese Klassifizierung ist nicht trivial. Viele Systeme fallen nicht offensichtlich in eine Kategorie, und die Annex-III-Liste der Hochrisiko-Anwendungsfälle — von Recruiting über Kreditwürdigkeit bis zu kritischer Infrastruktur — erfordert eine genaue Prüfung des konkreten Einsatzes. Wir führen diese Klassifizierung strukturiert durch und dokumentieren die Begründung, sodass sie einem Audit standhält.
Eine der ersten greifbaren Pflichten ist Artikel 4: Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das ist keine Formalität, sondern verlangt ein dokumentiertes Schulungsprogramm, das auf die Rollen im Unternehmen zugeschnitten ist — Entwickler brauchen anderes Wissen als die Geschäftsleitung oder die Mitarbeitenden, die KI-Systeme im Alltag bedienen. Wir bauen dieses Programm und dokumentieren die Durchführung, sodass die Pflicht nachweisbar erfüllt ist.
Der Unterschied zwischen unserer Beratung und einem klassischen Compliance-Gutachten liegt im Ergebnis. Ein Gutachten beschreibt den Zustand zu einem Zeitpunkt und veraltet, sobald sich das System ändert. Wir liefern operative Infrastruktur: die technische Dokumentation für hochriskante Systeme, die Workflows für menschliche Aufsicht, die Prozesse für laufendes Risikomanagement und die Dashboards, mit denen Sie Compliance nach dem Audit aufrechterhalten. Compliance ist kein Projekt mit Enddatum, sondern ein Betriebszustand.
Hier zahlt sich unsere Doppelrolle aus: Wir betreiben mit AI Risk Check ein eigenes SaaS-Produkt, das genau diese Klassifizierung und Dokumentation automatisiert. Wir kennen die Anforderungen also nicht nur aus der Verordnung, sondern aus dem täglichen Betrieb eines Compliance-Werkzeugs. Diese Erfahrung fliesst direkt in die Beratung ein.
Der AI Act steht nicht allein. Sobald ein KI-System personenbezogene Daten verarbeitet — was fast immer der Fall ist — gilt parallel die DSGVO, in der Schweiz das revDSG. Beide Regime greifen ineinander: Die Daten-Governance-Pflichten des AI Act überlappen mit den DSGVO-Grundsätzen, automatisierte Entscheidungen berühren Artikel 22 DSGVO, und die Dokumentationspflichten ergänzen sich. Wir behandeln AI Act und Datenschutz als ein zusammenhängendes Compliance-Feld, nicht als zwei getrennte Projekte.
Die Bussgelder des AI Act sind die sichtbarste, aber nicht die einzige Konsequenz von Nicht-Compliance. Bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes stehen für die schwersten Verstösse im Raum — eine Zahl, die selbst grosse Unternehmen ernst nehmen müssen. Daneben steht das Marktrisiko: EU-Kunden verlangen zunehmend Compliance-Nachweise von ihren Lieferanten, und ein nicht klassifiziertes oder undokumentiertes KI-System wird zum Ausschlusskriterium in Ausschreibungen. Drittens das Reputationsrisiko, das schwerer zu beziffern, aber im B2B-Geschäft real ist. Compliance ist damit nicht nur Pflichterfüllung, sondern Marktzugang.
Fällt ein System in die Hochrisiko-Kategorie nach Annex III — etwa in den Bereichen Recruiting, Kreditwürdigkeit, kritische Infrastruktur oder Bildung — entsteht ein umfangreiches Pflichtenpaket. Es braucht ein Risikomanagementsystem über den gesamten Lebenszyklus, eine Daten-Governance, die Trainings- und Eingabedaten auf Qualität und Bias prüft, technische Dokumentation nach Annex IV, Protokollierung der Systemaktivität, transparente Information der Betreiber, menschliche Aufsicht und ein Mass an Genauigkeit, Robustheit und Cybersicherheit. Das klingt nach viel, und ist es auch — aber strukturiert abgearbeitet ist es machbar. Wir führen durch jeden dieser Punkte und priorisieren nach Frist und Risiko, sodass das Dringendste zuerst steht.
Es gibt eine verbreitete Versuchung, Compliance-Themen bis kurz vor der Frist zu schieben. Beim AI Act ist das riskant, weil die vorbereitenden Schritte Zeit brauchen: Ein vollständiges KI-Inventar, die korrekte Klassifizierung, der Aufbau der Dokumentation und die Schulung der Teams sind keine Wochen-, sondern Monatsaufgaben. Wer im Jahr 2026 erst beginnt, wenn die Durchsetzung greift, ist zu spät. Der günstige Zeitpunkt ist jetzt, solange noch Spielraum besteht, die Schritte geordnet und ohne Zeitdruck abzuarbeiten. Frühe Compliance ist zudem billiger als späte, weil sie sich in den normalen Entwicklungsrhythmus einfügen lässt, statt als Notfallprojekt alles andere zu verdrängen.
Warum Innopulse für AI-Act-Compliance AI-Act-Compliance liegt im Niemandsland zwischen Recht, Engineering und Betrieb — und genau dort sind die meisten Berater schwach. Reine Juristen verstehen die technische Realität nicht, reine Entwickler nicht die regulatorische. Innopulse lebt in dieser Überschneidung: Wir sind Ingenieure mit tiefem Verständnis für die regulatorischen Anforderungen, und wir betreiben mit AI Risk Check ein eigenes SaaS-Produkt, das genau diese Klassifizierung und Dokumentation automatisiert. Wir kennen den AI Act also nicht nur aus der Verordnung, sondern aus dem täglichen Betrieb eines Compliance-Werkzeugs für hunderte Unternehmen. Diese Doppelperspektive bedeutet für Sie: Wir liefern keine theoretischen Gutachten, sondern operative Infrastruktur, die im Audit standhält und die Sie danach betreiben können. Wir übersetzen zwischen Ihrer Rechtsabteilung und Ihrem Engineering-Team, weil wir beide Sprachen sprechen. Und wir behandeln AI Act und DSGVO als ein zusammenhängendes Feld, nicht als getrennte Silos. Für ein DACH-Unternehmen, das vor der Durchsetzung im August 2026 Klarheit und Umsetzung statt Papier braucht, ist diese Kombination aus regulatorischer Tiefe und Engineering-Praxis selten zu finden.
Die Durchsetzung ab August 2026 rückt näher, und die Klassifizierung Ihrer Systeme braucht Zeit. Der günstigste erste Schritt ist ein Gespräch über Ihren konkreten KI-Einsatz und die Frage, welche Pflichten daraus folgen. Schreiben Sie an info@innopulse.io — wir verschaffen Ihnen in einem ersten Gespräch Klarheit über Ihren Handlungsbedarf.