Was zählt beim EU AI Act für Maschinenbauer?

Drei Dinge: (1) Die meisten Enterprise-KI-Use-Cases fallen nicht in die Hochrisiko-Kategorie. Relevante Pflichten betreffen Transparenz, Datenhoheit und Nachvollziehbarkeit. (2) Service-, Vertriebs- und Produktions-Agenten sind mit belegbarer Zitierkette und EU-Hosting regelmäßig compliant. (3) Entscheidend ist die Plattform-Architektur: Audit-Trails und Governance müssen eingebaut sein, nicht aufgesetzt.

‍

‍Geltungsbereich im Überblick

Der EU AI Act adressiert KI-Anwendungen nach Risikostufen: inakzeptabel, hoch, begrenzt, minimal. Für Maschinenbau-Use-Cases gilt: Wartungs-Agenten, Service-Hotline-Unterstützung, Angebots- und Produktwissen-Agenten sind typischerweise 'begrenztes Risiko' mit Transparenz- und Dokumentationspflichten. Hochrisiko-Fälle entstehen bei sicherheitskritischen Entscheidungen, z. B. automatisierten Freigaben ohne menschlichen Eingriff.

Die 14-Punkte-Checkliste

• Risikoklassifizierung je Use Case dokumentiert
• Zweck und Grenzen des KI-Systems schriftlich festgehalten
• Trainings- und Eingangsdaten nachvollziehbar dokumentiert
• Transparenz-Hinweis für Anwender (Sie interagieren mit einer KI)
• Menschliche Aufsicht im Prozess verankert
• Fehler- und Eskalationspfade definiert
• Zitierkette zu Quellen je Antwort
• Audit-Trail über mindestens 12 Monate
• Datenhoheit per EU-Hosting oder dedizierten Tenant
• Keine Nutzung von Kundendaten für Modell-Training Dritter
• DPIA bei personenbezogenen Daten durchgeführt
• Technische Sicherheit (ISO 27001, TLS, Verschlüsselung ruhend)
• Verträgliche Rollen- und Rechtekontrolle
• Regelmäßige Qualitäts- und Fairness-Reviews

Datenhoheit — was wirklich zählt

EU-Hosting allein ist nicht ausreichend. Wichtig: welcher Inferenz-Endpunkt tatsächlich verwendet wird, wie Logging gestaltet ist und ob Kundendaten für Modell-Training genutzt werden. Klare vertragliche Ausschlüsse und ein technischer Audit-Trail sind Pflicht.

Wie Genow das abbildet

EU-Hosting in Frankfurt, Azure OpenAI EU, optionale VPC- oder On-Prem-Deployments, dedizierter Mandanten-Scope, Zitierkette je Antwort, Revisions- und Rechtemanagement in der Context Engine, ISO-27001-konformer Betrieb. Pro Antwort ist nachvollziehbar, welche Quellen in welcher Version verwendet wurden. Gleichzeitig werden Mitarbeiter und Mitarbeiterinnen durch hochqualitative Ergebnisse optimal bei ihren Aufgaben unterstützt.

Roadmap zur Umsetzung

1. Übersicht aller geplanten KI-Use-Cases.

2. Risikoklassifizierung je Use Case.

3. Governance-Board installieren (Compliance, IT, Fachbereich).

4. Plattformwahl mit Audit-Trail-Fähigkeit (beispielsweise Genow).

5. Richtlinien, Schulungen, Review-Rhythmus.

‍

FAQ

Was ist das größte Missverständnis zum EU AI Act?

Dass jede Enterprise-KI automatisch ein Hochrisiko ist. Dies ist nicht der Fall. Die Mehrheit der produktiven Use Cases fällt in die Kategorie des begrenzten Risikos.

Ersetzt der AI Act die DSGVO?

Nein. Beide gelten parallel. Der AI Act adressiert zusätzliche Transparenz- und Risikoaspekte.

Braucht man eine eigene KI-Zertifizierung?

In der Regel nein. Dokumentation, Audit-Trails und Governance sind ausreichend.