EU AI Act: ein praktischer Leitfaden für Teams, die KI-Agenten ausliefern

Dies ist keine Rechtsberatung. Es ist eine Karte für Engineers: Welcher Artikel erfordert welche Maßnahme, welche Maßnahme erzeugt die Nachweise, die ein Prüfer tatsächlich akzeptiert, und wo liegen die schnellen Gewinne. Wenden Sie sich für die Klassifizierung und Anhang-III-Einordnung an Ihren Datenschutzbeauftragten oder Rechtsberater.

Die drei Fristen, die auf Ihre Roadmap gehören

Das Gesetz staffelt die Pflichten über vier Termine. Drei davon sind für die meisten Agent-Teams heute unmittelbar relevant:

• 2. Februar 2025 — verbotene Verwendungen (bereits in Kraft). Social Scoring, manipulatives Profiling, Predictive-Policing-Modelle und biometrische Massenüberwachung in Echtzeit sind verboten. Die meisten Engineering-Teams arbeiten nicht in diesen Bereichen — überprüfen Sie dies jedoch, insbesondere wenn Ihr Produkt eine Empfehlungskomponente enthält, die als Verhaltensscoring umgedeutet werden könnte.
• 2. August 2025 — Pflichten für Allzweck-KI-Modelle (bereits in Kraft). Anbieter von GPAI-Modellen unterliegen Pflichten zur technischen Dokumentation, nachgelagerten Zusammenarbeit, Urheberrechtskonformität und Zusammenfassung der Trainingsdaten. Anbieter von GPAI-Modellen, die vor diesem Datum in Verkehr gebracht wurden, haben bis zum 2. August 2027 Zeit zur Compliance.
• 2. August 2026 — Pflichten für Hochrisiko-KI-Systeme. Das ist die Frist, gegen die die meisten Agent-Teams gerade arbeiten. Fällt Ihr Agent unter Anhang III (Personalwesen und Recruiting, Kreditwürdigkeit, Bildung, kritische Infrastruktur, Strafverfolgungsunterstützung, biometrische Identifizierung, Migrations- und Grenzkontrollen, Rechtspflege und mehr), gilt der vollständige Artikel-9–17-Stack — Risikomanagement, Daten-Governance, technische Dokumentation, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit, Cybersicherheit, Protokollierung. Hinweis (siehe Update unten): Ein vorläufiges „Omnibus"-Abkommen vom Mai 2026 würde diesen Termin auf den 2. Dezember 2027 verschieben.
• 2. August 2027 — Hochrisiko-KI in regulierten Produkten. Für KI-Systeme, die Sicherheitskomponenten von Produkten sind, die bereits nach bestehendem Unions-Recht reguliert sind (Anhang I — Medizinprodukte, Maschinen, In-vitro-Diagnostika u. a.), gelten die Pflichten ab diesem Datum, abgestimmt auf die Konformitätsbewertungszyklen dieser Produktbereiche.

Update — Juni 2026: Nach der Veröffentlichung dieses Leitfadens haben die EU-Institutionen ein vorläufiges „Omnibus"-Vereinfachungsabkommen (Mai 2026) erzielt, das die Hochrisiko-Pflichten (Anhang III) vom 2. August 2026 auf den 2. Dezember 2027 verschieben würde. Die Verschiebung ist noch kein Recht — sie wird erst verbindlich, wenn sie förmlich angenommen und im Amtsblatt der EU veröffentlicht wurde — daher gilt der 2. August 2026 aus dem verabschiedeten Gesetz bis dahin weiterhin. In jedem Fall sind die nachfolgenden Maßnahmen das, was Sie jetzt umsetzen; die Frist bestimmt nur, wie viel Vorlaufzeit Sie haben. Unsere EU-AI-Act-Übersicht zeigt den aktuellen Zeitplan.

Was ein Prüfer verlangen wird

Nach mehreren Dutzend Gesprächen mit Kunden, die sich auf den Act vorbereiten, zeigt sich ein klares Muster. Prüfer stellen fünf Fragen:

1. „Zeigen Sie mir die Richtlinie, die zum Zeitpunkt dieser Entscheidung galt."
2. „Zeigen Sie mir, wer diese Ausnahme genehmigt hat, wann und auf welcher Grundlage."
3. „Zeigen Sie mir das Audit-Protokoll der letzten sechs Monate und beweisen Sie, dass es nicht verändert wurde."
4. „Zeigen Sie mir die Risikobewertung, und zeigen Sie mir, dass sie aktualisiert wird, wenn sich der Agent ändert."
5. „Zeigen Sie mir, dass ein Mensch dieses System innerhalb einer begrenzten Zeit stoppen kann."

Wenn Sie diese fünf Fragen mit Nachweisen beantworten können, sind Sie bei den Artikeln 9, 12, 14, 17 und 19 gut aufgestellt. Der Rest ist Dokumentationsarbeit.

Engineering-Checkliste auf Artikelebene

Die vollständige Zuordnung finden Sie auf unserer EU-AI-Act-Dokumentationsseite. Nachfolgend eine komprimierte Engineering-Übersicht.

Artikel 9 — Risikomanagement

Sie benötigen einen dokumentierten, iterativen Risikomanagementprozess. In der Praxis bedeutet das: eine Policy-Engine, die die relevanten Risiken kodiert, abgestufte Enforcement-Modi (monitor → warn → require_approval → block) und einen Incident-Workflow. Jede Enforcement-Entscheidung muss mit Begründung protokolliert werden.

Artikel 10 — Daten-Governance

Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ und fehlerfrei sein — mit dokumentierter Herkunft. Im Produktionsbetrieb liegt die operationelle Herausforderung bei Eingabe-Sanitierung und PII-Bereinigung an der Systemgrenze. Wenn ein Agent die E-Mail-Adresse eines Kunden in einem Retriever speichert und später in einer anderen Sitzung preisgibt, liegt ein Artikel-10-Problem vor.

Artikel 12 — Protokollierung

Protokolle müssen automatisch generiert und lang genug für die Marktbeobachtung nach dem Inverkehrbringen aufbewahrt werden (Artikel 19 legt die Mindestaufbewahrungsdauer fest). Unveränderliche Protokolle, die nicht bearbeitet werden können, sind ein häufiger Reibungspunkt bei Audits: Wenn ein Protokolleintrag mit einer normalen SQL-UPDATE-Anweisung geändert werden kann, wird ein Prüfer das beanstanden. Verketten Sie die Einträge per Hash oder erzwingen Sie Append-only auf Datenbankebene.

Artikel 13 — Transparenz

Nutzer, die mit einem Agenten interagieren, müssen klare Informationen über dessen Fähigkeiten und Einschränkungen erhalten. Bei B2B-Agenten ist das in der Regel eine Agenten-Karte im Produkt; bei B2C bedeutet es ein Offenlegungs-Banner sowie eine Erläuterung jeder automatisierten Entscheidung, die den Nutzer betrifft.

Artikel 14 — Menschliche Aufsicht

Der operationell anspruchsvollste Artikel. Sie benötigen einen Kill-Switch, der den Agenten tatsächlich stoppt, einen Genehmigungs-Workflow, der die Ausführung mitten in einer Kette pausieren kann, sowie die Möglichkeit, sicher fortzusetzen oder abzubrechen. Planen Sie hier echten Engineering-Aufwand ein: Genehmigungen, die an eine Identität mit begrenzter Gültigkeitsdauer gebunden sind, Wiederholbarkeit nach einer Pause und ein Dashboard, das zeigt, was in der Warteschlange steht.

Artikel 15 — Genauigkeit, Robustheit, Cybersicherheit

Prompt-Injection-Scanning, Rate-Limits, Circuit-Breaker, Tenant-Isolation. Wenn Sie die Vertrauensgrenze Ihres Agenten einzeichnen, die Eingaben aufzählen können, die sie überschreiten, und auf die Maßnahme verweisen können, die jede davon absichert, sind Sie gut aufgestellt.

Artikel 17 und 19 — QMS und Protokoll-Aufbewahrung

Versionieren Sie jede Richtlinie und jedes Prompt. Bewahren Sie Protokolle mindestens ein Jahr auf; bei Hochrisiko zehn Jahre. Exportierbare Formate, die ein Prüfer ohne spezialisierte Werkzeuge verarbeiten kann (CSV und JSON sind sicherer als proprietäre Formate).

Artikel 26 — Betreiberpflichten

Wenn Sie das Modell betreiben, ohne es entwickelt zu haben, schulden Sie dennoch Monitoring, Anomalieerkennung und Incident-Meldung gegenüber dem Anbieter. Die meisten Teams vergessen dies, weil sie glauben, es sei Aufgabe des Anbieters. Es ist eine geteilte Pflicht.

Das Muster des signierten Compliance-Berichts

Regulierungsbehörden erwarten zunehmend Nachweise, die ein Dritter ohne Mitwirkung des Anbieters überprüfen kann. Das Muster, das sich bewährt: zeitlich begrenzte Berichte, die kryptografisch signiert sind (RSA-SHA256 funktioniert), zusammen mit der Signatur und einer öffentlich gehosteten Schlüssel-ID ausgeliefert werden. Die Behörde kann offline verifizieren. Sie können nachweisen, dass der Bericht weder auf dem Transportweg noch nachträglich verändert wurde.

Execlave erstellt diese Berichte als erstklassige Funktion. Wenn Sie das selbst aufbauen, planen Sie eine Woche ein: Der schwierige Teil ist die Kanonisierung der Nutzdaten, damit die Signatur stabil bleibt, während sich Ihr internes Schema weiterentwickelt.

Acht Maßnahmen, die zuerst den Unterschied machen

Wenn Sie nur Zeit haben, acht Dinge vor August 2026 umzusetzen, dann diese:

1. Jeder Tool-Aufruf durchläuft eine Policy-Engine mit protokollierter Entscheidung.
2. Jede Genehmigungsausnahme ist an eine menschliche Identität und einen Zeitstempel gebunden.
3. Audit-Protokolle sind append-only und werden mindestens ein Jahr aufbewahrt.
4. PII wird an der Systemgrenze gehasht und niemals in Trace-Bodies gespeichert.
5. Ein Kill-Switch stoppt jeden Agenten innerhalb von Sekunden, nicht Minuten.
6. Jeder veröffentlichte Agent hat eine Prompt-Version, eine Richtlinien-Version und einen Deployment-Datensatz.
7. Compliance-Berichte werden auf Abruf generiert und sind offline verifizierbar.
8. Ein SBOM wird für jede SDK-Version erstellt und zehn Jahre archiviert.

Nächste Schritte

Die EU-AI-Act-Dokumentationsseite enthält die vollständige Zuordnung auf Artikelebene mit Links zu den jeweiligen Execlave-Funktionen. Wenn Sie lieber von der Richtlinien-Seite aus denken, listet die Richtlinien-Referenz alle Richtlinientypen und Enforcement-Modi auf, mit denen Sie die Nachweise erzeugen können, die ein Prüfer erwartet.

Und wenn Sie einfach einen signierten EU-AI-Act-Bericht aus der Aktivität Ihrer eigenen Agenten generieren möchten, starten Sie eine Testphase — der Compliance-Export-Endpunkt ist in jedem Tarif enthalten.