Zurück zum Blog

EU AI Act für Softwareprodukte: Was Teams vor August 2026 klären müssen

AIComplianceSoftware ArchitectureGovernance

Der EU AI Act ist für Softwareunternehmen kein fernes Regulierungsthema mehr. Wer KI-Funktionen in Produkte, interne Workflows oder Kundenprozesse einbaut, muss 2026 nachweisen können, welche Risiken entstehen, wie Entscheidungen überwacht werden und wer fachlich verantwortlich ist.

Was der EU AI Act für Softwareprodukte verändert

Der zentrale Punkt ist nicht, ob ein Produkt "KI nutzt". Entscheidend ist, wo die KI in einer Entscheidungskette sitzt und welche Folgen ein Fehler für Menschen, Kunden oder regulierte Prozesse haben kann.

Für wachsende Softwareteams entstehen dadurch neue Architekturfragen:

  • Risikoklasse: Ist die Funktion nur Assistenz, Transparenzpflicht, Hochrisiko-Anwendung oder Teil eines regulierten Produkts?
  • Datenherkunft: Welche Trainings-, Prompt- und Betriebsdaten werden verarbeitet, gespeichert oder an Modellanbieter übertragen?
  • Nachvollziehbarkeit: Können Eingaben, Modellversionen, Prompts, Ausgaben und menschliche Freigaben später rekonstruiert werden?
  • Human Oversight: Wer darf eine KI-Empfehlung überstimmen, und wann ist menschliche Prüfung verpflichtend?
  • Lieferantenrisiko: Welche Pflichten liegen beim Modellanbieter, welche beim eigenen Produktteam und welche beim Kunden?

Nach aktuellem Rechtsstand werden am 2. August 2026 viele Regeln des AI Act anwendbar, darunter Anforderungen an Hochrisiko-KI-Systeme nach Annex III und Transparenzpflichten nach Artikel 50. Vorgeschlagene Vereinfachungen können einzelne Termine verschieben, ersetzen aber nicht die technische Bestandsaufnahme.

Wo Teams vor der Umsetzung starten sollten

Der häufigste Fehler ist, AI-Compliance als spätes Legal-Thema zu behandeln. In der Praxis hängen die Kosten an Architekturentscheidungen: Logging, Datenflüsse, Zugriffskontrolle, Modellwechsel und Produktgrenzen lassen sich nachträglich deutlich schlechter sauberziehen.

Ein pragmatischer Start ist ein AI Feature Register für alle produktiven und geplanten KI-Funktionen:

# Beispiel: AI Feature Register
feature: support-ticket-triage
ai_role: decision_support
risk_assessment: transparency_required
human_owner: customer-operations
input_data: ["ticket_text", "customer_plan"]
model_provider: external_api
logging: required
review_cycle: quarterly

Danach sollten Teams drei Entscheidungen treffen:

  • Produktgrenzen klären: Ist die KI Teil des Kernprodukts, ein internes Tool oder eine optionale Kundenfunktion?
  • Kontrollen einbauen: Welche Logs, Reviews, Freigaben und Eskalationspfade sind technisch erzwingbar?
  • Verantwortung benennen: Wer besitzt Risiko, Betrieb und Weiterentwicklung der KI-Funktion, wenn sich Modell oder Rechtslage ändern?

Warum das wichtig ist

Der EU AI Act macht sichtbar, was gute Produkt- und Architekturführung ohnehin verlangen sollte: Teams müssen wissen, welche automatisierten Entscheidungen ihr System trifft, welche Daten dafür genutzt werden und wo Menschen eingreifen können.

Wer diese Fragen früh beantwortet, reduziert Compliance-Kosten, vermeidet riskante Shadow-AI und schafft bessere Grundlagen für Enterprise-Vertrieb. Wer wartet, bis ein Kunde, Auditor oder Investor nach Nachweisen fragt, muss Produktlogik, Logs und Verantwortlichkeiten unter Zeitdruck rekonstruieren. Eine Architecture & AI Review kann prüfen, ob KI-Funktionen technisch belastbar, nachvollziehbar und regulatorisch anschlussfähig aufgebaut sind.