EU AI Act Enforcement: Wie Brüssel KI-Anbieter prüfen und bestrafen will — und was das für Ihr Unternehmen bedeutet

EU AI Act Enforcement: Wie Brüssel KI-Anbieter prüfen und bestrafen will — und was das für Ihr Unternehmen bedeutet

Avatar of Boris Friedrich
Boris Friedrich
17. März 2026
7 min Lesezeit
Informationssicherheit

Stellen Sie sich vor: Ein Dienstagmorgen, Ihr KI-Projektleiter kommt ins Büro mit einer E-Mail der EU-Kommission. Ihr Unternehmen nutzt ChatGPT für automatisierte Kundenanfragen und Gemini für interne Dokument-Analysen — Tools, die mittlerweile tief in Ihre Geschäftsprozesse integriert sind. Die E-Mail informiert, dass die Kommission eine Untersuchung gegen den GPAI-Modellanbieter eingeleitet hat, den Sie einsetzen. Sie wollen wissen: Welche Daten haben Sie genutzt? Wie integrieren Sie das Modell? Haben Sie die Risiken bewertet?

Das klingt noch nach Zukunft? Nicht mehr. Seit dem 12. März 2026 ist der Mechanismus, wie Brüssel genau das tun wird, auf dem Tisch — konkret und präzise.

Was die EU-Kommission am 12. März 2026 veröffentlicht hat

Die Europäische Kommission hat am 12. März 2026 einen Entwurf für eine Durchführungsverordnung veröffentlicht (Referenz: Ares(2026)2709234), die erstmals in vollständiger Detailtiefe beschreibt, wie die Kommission GPAI-Modellanbieter untersuchen und bestrafen wird. Die öffentliche Konsultation läuft bis zum 9. April 2026, die formelle Verabschiedung ist für das zweite Quartal 2026 geplant.

Dieser Entwurf schafft keine neuen inhaltlichen Pflichten — er beschreibt den Verfahrensmotor hinter dem EU AI Act. Er beantwortet die Frage, die sich alle Beteiligten gestellt haben: Wie sieht eine EU-Prüfung in der Praxis aus?

Der Zeitplan im Überblick

  • August 2025: GPAI-Pflichten für Modellanbieter in Kraft getreten
  • 12. März 2026: Entwurf der Durchführungsverordnung veröffentlicht
  • Q2 2026: Formelle Verabschiedung der Durchführungsverordnung
  • 2. August 2026: Vollständige Durchsetzungsbefugnisse der EU-Kommission aktiv (neue Modelle)
  • 2. August 2027: Vollständige Durchsetzung auch für Modelle, die vor August 2025 auf den Markt kamen

Die Uhr tickt. Wer noch nicht begonnen hat, seine KI-Governance zu strukturieren, hat noch rund vier Monate bis zur ersten Hochrisikowelle.

Wie der Enforcement-Mechanismus funktioniert

Der Durchführungsverordnungs-Entwurf gliedert sich in drei zentrale Bereiche:

1. Evaluierungen: Zugang zu Code, Gewichten und Infrastruktur

Kapitel II des Entwurfs regelt, wie die Kommission Modelle technisch bewerten kann. Artikel 92 des AI Act gibt der Kommission das Recht, direkt auf Modelle zuzugreifen. Was konkret darunter fallen kann, ist weitreichend:

  • Zugang über APIs
  • Interner Zugang zum Modell
  • Zugang zum Quellcode
  • Zugang zu Modell-Gewichten (Weights)
  • Zugang zur Hosting-Infrastruktur
  • Zugang um „den Systemzustand zu inspizieren und zu modifizieren" — auf dem gleichen Level wie interne Mitarbeiter des Anbieters

Besonders bemerkenswert: Die Kommission kann von Anbietern verlangen, eigene Monitoring-Systeme abzuschalten, die verfolgen würden, was der Regulator bei der Prüfung macht. Ein Anbieter kann also nicht mitverfolgen, was die Prüfer sehen.

2. Unabhängige Gutachter: Strenge Unabhängigkeitsregeln

Wenn die Kommission externe Experten für eine Evaluierung beauftragt (wie in Artikel 92(2) des AI Act vorgesehen), gelten strikte Regeln:

  • 12-Monate-Rückblick: Alle Vertragsbeziehungen zwischen dem Gutachter und dem Anbieter in den 12 Monaten vor der Evaluierung werden geprüft
  • Gemeinsame Eigentümerschaft, Führung oder Ressourcen schließen aus
  • Gutachter müssen für die gesamte Dauer der Ernennung unabhängig bleiben
  • Strenge Vertraulichkeitspflichten gemäß Artikel 78 des AI Act

3. Verfahren: Interim-Maßnahmen vor formeller Entscheidung

Kapitel III ist für Unternehmen besonders relevant. Die Kommission kann bereits vor formeller Verfahrenseröffnung Maßnahmen ergreifen:

  • Informationen sammeln und Maßnahmen treffen
  • Bei Gefahr im Verzug (Gesundheits-, Sicherheitsrisiken): Vorläufige Sperrung eines Modells vom Markt — noch bevor eine formelle Entscheidung getroffen wurde

Das bedeutet: Ein GPAI-Modell, das Ihr Unternehmen nutzt, kann unter Umständen vom Markt genommen werden, während das Verfahren noch läuft.

Was das für Unternehmen bedeutet, die GPAI-Modelle nutzen

Hier liegt ein häufiges Missverständnis: Viele Unternehmen glauben, der EU AI Act betrifft nur die Anbieter großer Sprachmodelle — OpenAI, Google, Anthropic, Meta. Das ist falsch.

Als Deployer (Anwender) eines GPAI-Modells sind Sie zwar nicht direkt Ziel der GPAI-Enforcement-Verfahren. Aber Sie sind mittelbar betroffen:

Szenario 1: Der Anbieter wird geprüft

OpenAI oder Google steht unter EU-Untersuchung. Die Kommission fordert Informationen über alle downstream-Integrationen an. Sie müssen nachweisen können, wie Sie das Modell einsetzen, welche Risikobewertungen Sie durchgeführt haben und ob Sie bei Hochrisiko-Anwendungsfällen die entsprechenden Pflichten des AI Act erfüllen.

Szenario 2: Das Modell wird vorläufig gesperrt

Ein Interim-Maßnahme-Beschluss stoppt die API des Anbieters. Ihr Produktionssystem fällt aus. Haben Sie einen Business-Continuity-Plan für KI-Ausfälle?

Szenario 3: Ihre eigene Hochrisiko-Anwendung gerät ins Visier

Nutzen Sie ein GPAI-Modell in einem Hochrisiko-Kontext (z.B. Personalentscheidungen, Kreditbewertung, kritische Infrastruktur)? Dann gelten die Hochrisiko-Pflichten des AI Act ab August 2026 — unabhängig davon, ob das Basismodell selbst als GPAI eingestuft wird.

Bußgeldrahmen: Was auf dem Spiel steht

Für GPAI-Modellanbieter sieht Artikel 101(1) des AI Act vor:

  • 3% des globalen Jahresumsatzes oder
  • 15 Millionen Euro — je nachdem, was höher ist

Für Unternehmen, die das Modell in Hochrisiko-Anwendungen einsetzen und dabei gegen den AI Act verstoßen, können Sanktionen bis zu 30 Millionen Euro oder 6% des globalen Jahresumsatzes betragen.

Zum Vergleich: DSGVO-Bußgelder werden gerne als Maßstab genommen. Der AI Act liegt in ähnlichen Dimensionen — aber mit einem wesentlich komplexeren Compliance-Rahmen.

Was Unternehmen jetzt tun müssen

Die gute Nachricht: Der Entwurf ist öffentlich, das Verfahren ist bekannt, und die Fristen sind klar. Wer jetzt handelt, hat Zeit. Wer wartet, nicht.

Sofortmaßnahmen (bis Q2 2026)

  • KI-Inventar erstellen: Alle eingesetzten GPAI-Modelle dokumentieren (ChatGPT, Gemini, Claude, Copilot etc.)
  • Anwendungsfälle klassifizieren: Welche Ihrer KI-Nutzungen fallen unter Hochrisiko gemäß Anhang III des AI Act?
  • Vertragscheck: Was regeln Ihre Verträge mit GPAI-Anbietern zu Datenschutz, Haftung und Compliance?
  • Risikobewertung: Fundamentale AI Risk Assessment für alle relevanten Anwendungsfälle

Mittelfristig (bis August 2026)

  • AI Governance Framework etablieren: Wer ist verantwortlich für KI-Compliance in Ihrem Unternehmen?
  • Mitarbeiter schulen: AI Literacy ist bereits jetzt Pflicht nach dem AI Act
  • Technische Dokumentation: Für Hochrisiko-Anwendungen vollständige Dokumentation gemäß Artikel 11 AI Act
  • Business Continuity Planning: Was passiert, wenn ein GPAI-Anbieter-API ausfällt oder gesperrt wird?
  • Incident Response: Prozess für den Fall einer EU-Untersuchung, die Ihren Anbieter betrifft

Strukturell (laufend)

  • Monitoring etablieren: Kontinuierliche Beobachtung von AI Act Enforcement-Entwicklungen
  • Code of Practice verfolgen: Der GPAI Code of Practice beeinflusst die Anforderungen an Anbieter — und damit indirekt Ihre Toolauswahl
  • Governance-Dokumentation aktuell halten: Die Kommission kann bei einer Untersuchung Dokumentation über Ihre KI-Nutzung anfordern

Der ADVISORI-Ansatz: AI Governance als Wettbewerbsvorteil

ADVISORI unterstützt Unternehmen beim Aufbau eines robusten AI Governance Frameworks — nicht als reines Compliance-Projekt, sondern als strategische Grundlage für den verantwortungsvollen Einsatz von KI.

Unser Ansatz umfasst:

  • AI Act Gap Analysis: Wo stehen Sie heute, was fehlt bis August 2026?
  • Risikobewertung und -klassifizierung: Systematische Einordnung aller KI-Anwendungen
  • Governance-Framework-Design: Rollen, Verantwortlichkeiten, Prozesse für KI-Compliance
  • Technische Dokumentation: Unterstützung bei der Erstellung aller erforderlichen Unterlagen
  • Schulungen und AI Literacy: Von Führungsebene bis Fachabteilung

Unternehmen, die AI Governance früh aufbauen, haben einen klaren Vorteil: Sie können KI-Potenziale nutzen, ohne regulatorische Risiken einzugehen — und können im Ernstfall einer Untersuchung souverän reagieren.

Mehr zum ADVISORI-Ansatz: AI Governance Beratung

FAQ: EU AI Act GPAI Enforcement

Bin ich als Unternehmen direkt von GPAI-Enforcement-Verfahren betroffen, wenn ich nur ChatGPT nutze?

Nicht direkt — das Enforcement-Verfahren richtet sich gegen den Anbieter (z.B. OpenAI). Aber als Deployer haben Sie eigene Pflichten: Bei Hochrisiko-Anwendungen müssen Sie die AI Act-Anforderungen erfüllen, und Sie können im Rahmen einer Untersuchung zur Kooperation aufgefordert werden. Außerdem tragen Sie das Betriebsrisiko, wenn ein Anbieter-API vorläufig gesperrt wird.

Ab wann kann die EU-Kommission tatsächlich Bußgelder verhängen?

Für neue GPAI-Modelle ab dem 2. August 2026. Für Modelle, die bereits vor dem 2. August 2025 auf dem Markt waren, gilt eine verlängerte Frist bis zum 2. August 2027. Die Durchführungsverordnung (in Konsultation bis April 2026) wird den genauen Verfahrensrahmen formell festlegen.

Was bedeutet der GPAI Code of Practice für mein Unternehmen?

Der Code of Practice ist primär für GPAI-Modellanbieter relevant. Für Unternehmen, die Modelle nutzen, ist er ein wichtiger Indikator: Er zeigt, welche Anforderungen an Anbieter gestellt werden — und damit, welche Informationen und Garantien Sie bei der Anbieterwahl einfordern sollten. Anbieter, die den Code of Practice unterzeichnet haben, signalisieren damit Compliance-Bereitschaft.

Müssen wir als KMU wirklich jetzt handeln, oder ist das erst für große Unternehmen relevant?

Der AI Act gilt unabhängig von Unternehmensgröße — allerdings mit einigen Erleichterungen für KMU (z.B. reduzierte Gebühren für Registrierungen, Sandboxes). Entscheidend ist nicht die Unternehmensgröße, sondern der Einsatzbereich: Ein KMU, das KI für Personalentscheidungen nutzt, fällt unter Hochrisiko-Pflichten. Handeln Sie jetzt — die Fristen gelten für alle.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Weitere relevante Beiträge

NIS2 und DORA sind jetzt scharf: Was SOC-Teams sofort ändern müssen

NIS2 und DORA gelten ohne Gnadenfrist. 3 SOC-Bereiche die sich sofort ändern müssen: Architektur, Workflows, Metriken. 5-Punkte-Checkliste für SOC-Teams.

Control Shadow AI Instead of Banning It: How an AI Governance Framework Really Protects

Shadow AI is the biggest blind spot in IT governance in 2026. This article explains why bans don't work, which three risks are really dangerous, and how an AI Governance Framework actually protects you — without disempowering your employees.

Shadow AI kontrollieren statt verbieten: Wie ein AI Governance Framework wirklich schützt

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten