EU AI Act: High-Risk-Leitlinien machen AI Maturity zum Board-Thema

Die EU-Kommission hat am 19. Mai 2026 einen Entwurf von Leitlinien zur Einstufung von High-Risk-AI-Systemen unter dem EU AI Act veröffentlicht. Die Leitlinien sollen Unternehmen, Anbieter, Betreiber und Marktaufsichtsbehörden dabei unterstützen, zu beurteilen, ob ein KI-System als Hochrisikosystem gilt – und welche Pflichten daraus folgen. Wichtiges Update zur ursprünglichen Nachricht: Die Konsultation war zunächst bis zum 23. Juni 2026 vorgesehen, wurde laut offizieller EU-Konsultationsseite aber um vier Wochen bis zum 23. Juli 2026 verlängert.

Executive Summary

Der Leitlinienentwurf der EU-Kommission ist mehr als ein juristisches Detail. Er zeigt, dass AI Governance in Europa von einer abstrakten Diskussion zu einer überprüfbaren Managementdisziplin wird. Unternehmen müssen künftig nicht nur wissen, ob sie KI einsetzen. Sie müssen erklären können, wofür, mit welchen Daten, in welchem Risikokontext, mit welcher menschlichen Aufsicht und mit welcher laufenden Überwachung.

Die EU unterscheidet im Kern zwei Wege zur High-Risk-Einstufung: KI-Systeme, die als Sicherheitskomponente oder Produkt unter bestimmte EU-Harmonisierungsrechtsakte fallen, und KI-Systeme, die in sensiblen Anwendungsbereichen nach Annex III des AI Act eingesetzt werden. Dazu gehören etwa Beschäftigung, Bildung, kritische Infrastruktur, wesentliche private und öffentliche Dienstleistungen, Strafverfolgung, Migration, Justiz und demokratische Prozesse.

Strategisch bedeutet das: AI Maturity wird nicht länger nur intern behauptet. Sie wird über sichtbare Strukturen, Kompetenzen, Aktivitäten, Datenpraktiken, Governance-Signale und öffentliche Kommunikation zunehmend von aussen einschätzbar. Ein externer Score ist dabei kein endgültiges Urteil. Er ist ein public-signal score, eine outside-in maturity estimate oder eine visible maturity baseline. Der eigentliche Wert entsteht, wenn Unternehmen diese sichtbare Einschätzung claimen, verifizieren, vervollständigen und gezielt verbessern.

Für CEOs, Boards, CIOs, CDOs und Führungsteams verschiebt sich die Kernfrage: Nicht “Welche KI-Tools nutzen wir?”, sondern “Können wir unsere AI Maturity messen, vergleichen, priorisieren und über Zeit verbessern?”

CorpIn positioniert sich genau an diesem Punkt: als Schweizer Plattform, AI-Maturity-Benchmark, Index-Mechanismus und europäischer Standard, mit dem Unternehmen ihre AI Maturity claimen, vervollständigen, benchmarken und strategisch verbessern können.

Was die EU-Kommission veröffentlicht hat

Die Europäische Kommission hat am 19. Mai 2026 drei Draft-Guideline-Dokumente zur Klassifikation von High-Risk-AI-Systemen veröffentlicht. Sie behandeln allgemeine Prinzipien, die Einordnung von KI-Systemen im Zusammenhang mit regulierten Produkten nach Annex I sowie die Einordnung von KI-Systemen in den sensiblen Anwendungsfeldern von Annex III. Die Kommission betont, dass die Beispiele nicht abschliessend sind und bei Bedarf aktualisiert werden können.

Offiziell sollen die Leitlinien Anbieter, Betreiber und Marktaufsichtsbehörden dabei unterstützen, zu bestimmen, ob ein KI-System unter die High-Risk-Regeln fällt. Die finalen Guidelines sollen laut Konsultationsseite bis Ende 2026 veröffentlicht werden. Gleichzeitig verweist die Kommission darauf, dass die Anwendung bestimmter High-Risk-Regeln im Rahmen des AI-Omnibus-Zeitplans verschoben wurde: für eigenständige High-Risk-AI-Systeme auf Dezember 2027 und für KI-Systeme, die in regulierte Produkte eingebettet sind, auf August 2028.

Die Leitlinien sind rechtlich nicht bindend. Mehrere Kanzleien und Experten ordnen sie dennoch als wichtiges Signal ein, weil sie den wahrscheinlichsten Interpretationsrahmen der EU-Kommission und nationaler Behörden sichtbar machen. Hunton Andrews Kurth weist darauf hin, dass die Leitlinien ursprünglich bereits früher erwartet wurden und dass die fehlende finale Guidance sowie technische Standards ein zentrales Thema für Unternehmen bleiben. Bird & Bird beschreibt die Draft Guidelines als bislang klarsten Hinweis darauf, wie Kommission und Aufsichtsbehörden die High-Risk-Frage praktisch beurteilen dürften.

Gesicherte Fakten, offizielle Aussagen und externe Einordnungen

Gesicherte Fakten

Der EU AI Act folgt einem risikobasierten Ansatz. Er unterscheidet verschiedene Risikostufen und sieht für High-Risk-AI-Systeme umfangreiche Anforderungen vor. Dazu gehören unter anderem Risikomanagement, Daten- und Data-Governance-Anforderungen, technische Dokumentation, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit, Cybersicherheit und Post-Market-Monitoring.

Nach Artikel 6 des AI Act kann ein KI-System insbesondere dann als High-Risk gelten, wenn es entweder als Sicherheitskomponente oder Produkt unter bestimmte EU-Harmonisierungsrechtsakte fällt und einer Drittparteien-Konformitätsbewertung unterliegt, oder wenn es in einem der Annex-III-Bereiche eingesetzt wird. Für Annex-III-Systeme enthält Artikel 6 Absatz 3 zugleich Ausnahmen, wenn das System nur eine eng begrenzte prozedurale Aufgabe erfüllt, eine bereits abgeschlossene menschliche Tätigkeit verbessert, Muster erkennt, ohne die menschliche Bewertung zu ersetzen oder wesentlich zu beeinflussen, oder eine rein vorbereitende Aufgabe erfüllt. Profiling natürlicher Personen bleibt jedoch grundsätzlich High-Risk.

Wenn ein Anbieter ein Annex-III-System als nicht high-risk einstuft, muss er diese Einschätzung vor dem Inverkehrbringen oder der Inbetriebnahme dokumentieren und das System registrieren. Genau hier wird sichtbar, dass “nicht high-risk” kein informeller Bauchentscheid ist, sondern eine begründungspflichtige Governance-Entscheidung.

Offizielle Aussagen der EU-Kommission

Die Kommission stellt die Leitlinien als praktische Unterstützung dar. Sie sollen erklären, wie Artikel 6 des AI Act angewendet werden kann, und anhand von Beispielen zeigen, wann KI-Systeme unter Annex I oder Annex III als High-Risk gelten können. Die finale Fassung soll auf Basis der Konsultation und Stakeholder-Rückmeldungen weiterentwickelt werden.

Die Kommission verweist ausserdem darauf, dass High-Risk-AI-Systeme in sensiblen Bereichen relevant werden können, wenn sie Gesundheit, Sicherheit oder Grundrechte erheblich beeinflussen. Diese Logik ist zentral: Der AI Act bewertet nicht einfach “KI” als Technologie, sondern den Zweck, Kontext und Einfluss eines konkreten Systems.

Einordnung von Kanzleien und Experten

Mehrere internationale Kanzleien betonen, dass Unternehmen ihre AI-Use-Cases jetzt systematisch triagieren und mappen sollten. Skadden hebt hervor, dass der “intended purpose” nicht nur aus Verträgen, sondern auch aus technischen Dokumentationen, Produktmaterialien und Werbeaussagen abgeleitet werden kann. DLA Piper weist ähnlich darauf hin, dass breite Produktpositionierungen ohne klare Ausschlüsse das Risiko einer High-Risk-Einordnung erhöhen können.

Bird & Bird betont, dass auch nachgelagerte Akteure in Anbieterpflichten hineinrutschen können, wenn sie ein System unter eigenem Namen anbieten, wesentlich verändern oder den vorgesehenen Zweck ändern. Das ist besonders relevant für Unternehmen, die General-Purpose-AI-Systeme, externe Modelle oder Anbieterplattformen in eigene Prozesse integrieren.

Baker McKenzie ordnet die Draft Guidelines als strukturierte Methodik ein: Zuerst ist zu prüfen, ob überhaupt ein KI-System im Sinne des AI Act vorliegt, dann der vorgesehene Zweck, danach die Annex-I- oder Annex-III-Relevanz und schliesslich mögliche Ausnahmen nach Artikel 6 Absatz 3.

Was der Leitlinienentwurf konkret zeigt

Die wichtigste Botschaft lautet: High-Risk AI ist keine reine Tool-Kategorie. Es geht um Zweck, Einsatzkontext, Einfluss auf Menschen, Einbettung in Prozesse und Fähigkeit zur Governance.

Ein HR-System, das Bewerbungen sortiert, Kandidaten rankt oder Auswahlentscheidungen wesentlich beeinflusst, kann unter die High-Risk-Logik fallen. Ein Tool, das lediglich Interviewtermine koordiniert oder CV-Informationen in einer Datenbank strukturiert, kann je nach konkretem Zweck anders beurteilt werden. Die offiziellen Beispiele der AI-Act-Service-Desk-Dokumentation zeigen diese Differenzierung deutlich.

Dasselbe gilt für kritische Infrastruktur oder regulierte Produkte. Ein KI-System, das in einer Industrieanlage eine Sicherheitsfunktion ausführt, etwa Gefahren erkennt oder eine Abschaltung auslöst, kann anders zu bewerten sein als ein System, das lediglich Effizienz, Wartungsplanung oder nicht sicherheitsrelevante Qualität optimiert.

Für Unternehmen bedeutet das: Die Frage lautet nicht “Nutzen wir KI?”, sondern “Wo greift KI in Entscheidungen, Sicherheit, Grundrechte, Leistungsbeurteilung, Zugang zu Dienstleistungen oder Produktfunktionen ein?” Genau dort beginnt strategische Relevanz.

Warum diese Entwicklung für das C-Level strategisch relevant ist

Viele Unternehmen werden den Leitlinienentwurf zunächst als Compliance-Thema lesen. Das ist zu kurz gedacht.

Die High-Risk-Klassifikation zwingt Unternehmen zu einer Managementfähigkeit, die viele noch nicht besitzen: ein vollständiges, aktuelles und entscheidungsrelevantes Verständnis der eigenen KI-Landschaft. Wer nicht weiss, welche KI-Systeme im Unternehmen eingesetzt werden, welche Daten sie nutzen, welche Entscheidungen sie beeinflussen, wer dafür verantwortlich ist und wie sie überwacht werden, kann nicht seriös beurteilen, ob ein System High-Risk ist oder nicht.

Damit wird AI Maturity zu einer Board-Frage. Nicht, weil jedes Board technische Modelle verstehen muss. Sondern weil das Board wissen muss, ob das Unternehmen AI-Investitionen, AI-Risiken und AI-Fähigkeiten kontrolliert steuern kann.

Für das C-Level entsteht eine Wettbewerbsfrage: Investiert das Unternehmen in KI-Aktivität oder in KI-Reife? Für Boards entsteht eine Governance-Frage: Gibt es eine objektive Grundlage, um Risiken, Prioritäten und Fortschritt zu prüfen? Für CIOs entsteht eine Architekturfrage: Sind Systeme, Daten und Integrationen reif genug, um KI sicher und skalierbar einzusetzen? Für CDOs entsteht eine Messfrage: Können Datenqualität, Data Governance und AI Impact über Geschäftsbereiche hinweg belegt werden? Für Führungsteams entsteht eine Priorisierungsfrage: Welche KI-Initiativen schaffen Wert, welche erzeugen nur Risiko und welche müssen gestoppt, dokumentiert oder neu aufgesetzt werden?

Der AI Act macht damit sichtbar, was viele Unternehmen bereits spüren: KI-Chaos ist nur das Symptom. Das eigentliche Problem ist fehlende Messbarkeit.

Was diese Entwicklung über AI Maturity zeigt

AI Maturity ist nicht die Anzahl der eingesetzten KI-Tools. AI Maturity ist die Fähigkeit eines Unternehmens, KI strategisch zu verstehen, verantwortbar einzusetzen, Risiken zu kontrollieren, Daten nutzbar zu machen, Fähigkeiten aufzubauen, Fortschritt zu messen und Investitionen im Vergleich zum Markt zu priorisieren.

Die EU-Leitlinien zeigen genau diese Logik. Sie fragen nicht nach “Innovation” als Selbsterzählung, sondern nach Zweck, Kontext, Dokumentation, Daten, menschlicher Aufsicht, Monitoring und Verantwortlichkeit. Das sind keine rein juristischen Kategorien. Es sind Reifeindikatoren.

Eurostat zeigt, dass 2025 rund 19.95 Prozent der EU-Unternehmen mit mindestens zehn Mitarbeitenden KI nutzten; bei grossen Unternehmen waren es 55.03 Prozent. Gleichzeitig nannten Unternehmen, die KI erwogen, aber nicht nutzten, fehlende Expertise, unklare rechtliche Folgen sowie Datenschutz- und Datenbedenken als zentrale Hindernisse.

Das bestätigt eine strukturelle Lücke: Europa hat nicht nur ein KI-Adoptionsproblem. Europa hat ein AI-Maturity-Messproblem. OECD-Analysen zur europäischen KI-Politik weisen darauf hin, dass Monitoring und öffentliche Berichterstattung nationaler KI-Strategien sehr unterschiedlich ausfallen und dass gemeinsame Indikatoren die Vergleichbarkeit verbessern würden.

Genau hier entsteht der strategische Hebel: Wenn Unternehmen, Branchen und Länder ihre AI Maturity nicht vergleichbar messen können, investieren sie blind. Wenn sie sie messen können, wird KI von einem Hype-Thema zu einem steuerbaren Wettbewerbsfaktor.

Unternehmen werden von aussen lesbar

Die neue Regulierungslogik fällt in eine Zeit, in der Unternehmen ohnehin zunehmend von aussen analysierbar werden. Eine Organisation hinterlässt heute öffentliche Signale, die Rückschlüsse auf AI Maturity zulassen:

• Stellenausschreibungen für AI, Data, Automation, Governance oder Security
• öffentlich sichtbare AI-Rollen im Management
• Produktkommunikation und KI-Versprechen auf Websites
• technische Dokumentationen, Privacy- und Security-Hinweise
• Partnerschaften mit Cloud-, AI- oder Data-Anbietern
• Patente, Open-Source-Aktivität und Forschungskooperationen
• Medienberichte, Case Studies und Awards
• Governance-Statements, Policies und Responsible-AI-Kommunikation
• regulatorische Einordnungen, Zertifizierungen oder Audit-Signale

Keines dieser Signale ist für sich allein ein vollständiges Urteil. Aber zusammen erzeugen sie eine sichtbare Reifebaseline. Unternehmen werden nicht erst dann bewertet, wenn sie ein internes Assessment ausfüllen. Sie werden bereits heute über ihre öffentlichen Spuren eingeordnet.

Warum sichtbare AI Maturity steuerbar werden muss

Ein sichtbarer AI-Maturity-Score ist nur dann wertvoll, wenn er nicht bei der Beobachtung stehen bleibt.

Ohne Steuerbarkeit entsteht ein neues Risiko: Unternehmen werden von aussen bewertet, ohne selbst aktiv an der Datenbasis, Interpretation und Verbesserung mitzuwirken. Dann definiert der Markt die Reife des Unternehmens – nicht das Unternehmen selbst.

Deshalb muss sichtbare AI Maturity in eine steuerbare Managementlogik übersetzt werden:

1. Claim: Das Unternehmen übernimmt die sichtbare Baseline und macht sie zum Ausgangspunkt.
2. Complete: Interne Daten, Self-Assessments, Governance-Strukturen und Kontextinformationen ergänzen die öffentliche Sicht.
3. Benchmark: Die eigene Position wird mit Peers nach Branche, Grösse, Region und Reifegrad vergleichbar.
4. Prioritise: Führungsteams erkennen, welche Lücken strategisch relevant sind.
5. Improve: Investitionen, Fähigkeiten, Datenqualität und Governance werden gezielt verbessert.
6. Track: Fortschritt wird über Zeit messbar und boardfähig.
7. Prove: Unternehmen können intern und extern belegen, dass AI Maturity nicht nur behauptet, sondern entwickelt wird.

Das ist der Unterschied zwischen KI-Aktivität und AI Maturity. Aktivität erzeugt Projekte. Maturity erzeugt Steuerungsfähigkeit.

Strategische Implikationen für Unternehmen

1. AI-Inventare werden zum Management-Asset

Unternehmen brauchen eine aktuelle Übersicht über KI-Systeme, Use Cases, Anbieter, Datenquellen, Verantwortlichkeiten und Einsatzkontexte. Ohne ein AI-Inventar kann keine belastbare High-Risk-Einschätzung erfolgen.

2. Intended Purpose wird zur strategischen Risikogrösse

Die offizielle und juristische Einordnung zeigt: Der vorgesehene Zweck eines Systems kann nicht nur aus internen Verträgen entstehen, sondern auch aus Dokumentationen, Produktmaterialien und öffentlicher Kommunikation abgeleitet werden. Unternehmen müssen deshalb sicherstellen, dass Sales, Marketing, Produkt, Legal, IT und Governance dieselbe Realität kommunizieren.

3. HR, Infrastruktur, Bildung, Finance und Public Sector werden besonders sensibel

Die Annex-III-Logik betrifft Bereiche, in denen KI Entscheidungen über Menschen, Zugang, Sicherheit oder Rechte beeinflusst. Unternehmen mit KI in HR, Kreditvergabe, Versicherungen, kritischer Infrastruktur, Bildung, öffentlichen Dienstleistungen oder regulierten Produkten sollten frühzeitig eine strukturierte Klassifikation vornehmen.

4. Datenreife wird zum AI-ROI-Faktor

AI ROI hängt nicht nur von Modellen ab. Er hängt davon ab, ob Daten verfügbar, repräsentativ, relevant, qualitätsgesichert und governancefähig sind. Der AI Act macht Data Governance explizit zu einem Bestandteil der High-Risk-Anforderungen.

5. Governance muss vom Policy-Dokument zum Betriebssystem des Handelns werden

Eine AI Policy reicht nicht. Unternehmen brauchen Rollen, Prozesse, Eskalationswege, Oversight-Mechanismen, Monitoring, Incident Handling und eine klare Verbindung zur strategischen Priorisierung. Die Pflichten zu Risikomanagement, menschlicher Aufsicht, technischer Dokumentation und Post-Market-Monitoring zeigen diese Richtung.

6. AI-Investitionen müssen risikoadjustiert priorisiert werden

Nicht jeder Use Case mit gutem Business Case ist strategisch sinnvoll. Manche Use Cases erzeugen hohen Governance-Aufwand, regulatorische Unsicherheit oder Reputationsrisiko. Führungsteams brauchen eine objektive Entscheidungsgrundlage, um AI-Initiativen nach Wert, Reife, Risiko und Machbarkeit zu priorisieren.

7. Board Reporting braucht AI-Maturity-Kennzahlen

Boards sollten nicht nur nach KI-Projekten fragen, sondern nach AI-Maturity-Scores, Benchmark-Position, Governance-Reife, Datenqualität, High-Risk-Exposure, Fähigkeiten, Fortschritt und priorisierten Massnahmen.

8. Externe Wahrnehmung wird zur Wettbewerbsdimension

Kunden, Partner, Investoren, Talente, Behörden und Medien können KI-Reife zunehmend über öffentliche Signale einschätzen. Unternehmen, die ihre sichtbare AI Maturity nicht aktiv steuern, überlassen ihre Positionierung dem Markt.

CorpIn: Plattform, Benchmark und Index-Mechanismus für AI Maturity

CorpIn wurde für genau diese neue Realität gebaut. CorpIn ist eine Schweizer AI-Maturity-Plattform, die KI-Reife messbar, vergleichbar und steuerbar macht – auf Unternehmens-, Branchen- und europäischer Ebene. Der Anspruch ist, eine objektive Entscheidungsgrundlage für KI-Maturität, Benchmarking, Governance, Datenfähigkeit und strategische Priorisierung zu schaffen.

CorpIn verbindet zwei Perspektiven:

Outside-in: sichtbare öffentliche Signale, die eine erste AI-Maturity-Baseline erzeugen.

Inside-out: Unternehmensdaten, Self-Assessments, Governance-Informationen, Fähigkeiten, Prioritäten und Kontext, die diese Baseline verifizieren und vervollständigen.

Das Ergebnis ist ein AI-Maturity-Profil, das Unternehmen claimen, ergänzen, benchmarken und über Zeit verbessern können.

So wird aus einer externen Einschätzung ein steuerbarer Fortschrittspfad. Und aus verstreuten KI-Aktivitäten wird ein vergleichbarer AI-Maturity-Gold-Standard.

European AI Maturity Awards 2026: Vom Score zur Sichtbarkeit

Die European AI Maturity Awards 2026 schaffen einen sichtbaren Benchmark- und Anerkennungsmoment für Unternehmen, die AI Maturity nicht nur behaupten, sondern belegen und verbessern. Der Wert liegt im Vergleich: Welche Unternehmen schaffen es, AI Governance, Datenreife, Fähigkeiten, strategische Priorisierung und Umsetzung in eine messbare Entwicklung zu übersetzen?

Für Unternehmen entsteht damit ein klarer nächster Schritt: die eigene sichtbare Baseline claimen, das Profil vervollständigen, den Score verbessern und den Fortschritt im europäischen Vergleich sichtbar machen.

Europa braucht einen gemeinsamen AI-Maturity-Benchmark

Europa diskutiert viel über Regulierung, Investitionen und Wettbewerbsfähigkeit. Aber ohne gemeinsamen Benchmark bleibt unklar, welche Unternehmen, Branchen und Regionen tatsächlich reifer werden.

Die EU selbst betont im Kontext der Digital Decade, dass digitale Transformation entscheidend für Wettbewerbsfähigkeit, strategische Autonomie und Resilienz ist. Gleichzeitig zeigen EU- und OECD-Analysen, dass Fortschritt, Monitoring und Vergleichbarkeit weiterhin strukturelle Herausforderungen bleiben.

Ein europäischer AI-Maturity-Benchmark schafft dafür eine gemeinsame Sprache:

• Wo steht ein Unternehmen im Vergleich zu Peers?
• Welche Dimensionen treiben oder bremsen AI Maturity?
• Wo entstehen Governance-Lücken?
• Wo fehlt Datenreife?
• Welche Fähigkeiten müssen aufgebaut werden?
• Welche Investitionen haben höchste strategische Priorität?
• Welche Branchen entwickeln sich schneller?
• Wo entstehen europäische Wettbewerbsnachteile?

Ohne Benchmark bleibt KI ein Portfolio aus Einzelprojekten. Mit Benchmark wird KI-Maturität steuerbar.

Claim your company

Die EU-Leitlinien zur High-Risk-Klassifikation sind ein guter Anlass, die eigene AI Maturity nicht länger als internes Gefühl zu behandeln. Für Unternehmen, die AI Maturity nachweisbar entwickeln, wird 2026 zusätzlich ein Sichtbarkeitsmoment entstehen: die European AI Maturity Awards 2026.

Unter folgendem Link gelangen Sie zur CorpIn Plattform: https://www.corpin.ch

FAQ

Was sind High-Risk-AI-Systeme unter dem EU AI Act?

High-Risk-AI-Systeme sind KI-Systeme, die wegen ihres Zwecks, Einsatzkontexts oder möglichen Einflusses auf Gesundheit, Sicherheit oder Grundrechte besonderen Anforderungen unterliegen. Der AI Act erfasst insbesondere KI-Systeme als Sicherheitskomponenten oder Produkte nach bestimmten EU-Rechtsakten sowie Systeme in sensiblen Annex-III-Bereichen wie Beschäftigung, Bildung, kritischer Infrastruktur, wesentlichen Dienstleistungen, Strafverfolgung, Migration, Justiz und demokratischen Prozessen.

Was hat die EU-Kommission am 19. Mai 2026 veröffentlicht?

Die EU-Kommission hat einen Entwurf von Leitlinien zur Einstufung von High-Risk-AI-Systemen veröffentlicht. Die Draft Guidelines sollen Unternehmen, Anbieter, Betreiber und Behörden bei der Anwendung von Artikel 6 des AI Act unterstützen und enthalten allgemeine Prinzipien sowie Beispiele zu Annex I und Annex III.

Bis wann läuft die Konsultation zu den Draft Guidelines?

Die ursprüngliche Frist wurde in frühen Meldungen mit dem 23. Juni 2026 angegeben. Die offizielle Konsultationsseite der EU-Kommission wurde inzwischen aktualisiert: Die Frist wurde um vier Wochen bis zum 23. Juli 2026 verlängert.

Wann gelten die High-Risk-Regeln des EU AI Act?

Nach dem aktuellen offiziellen Zeitplan sollen bestimmte High-Risk-Regeln für eigenständige KI-Systeme ab Dezember 2027 und für KI-Systeme, die in regulierte Produkte eingebettet sind, ab August 2028 gelten.

Welche Pflichten entstehen bei High-Risk AI?

Zu den zentralen Pflichten gehören Risikomanagement, Data Governance, technische Dokumentation, Transparenz, menschliche Aufsicht, Monitoring, Genauigkeit, Robustheit, Cybersicherheit und Post-Market-Monitoring. Je nach Rolle können Anbieter, Betreiber und weitere Akteure unterschiedliche Pflichten haben.

Warum ist das für CEOs und Boards relevant?

Weil High-Risk AI nicht nur eine juristische Einstufung ist, sondern eine Frage der Unternehmenssteuerung. Unternehmen müssen wissen, welche KI-Systeme eingesetzt werden, welche Entscheidungen sie beeinflussen, welche Daten sie nutzen, wer verantwortlich ist und wie Risiken überwacht werden. Ohne AI-Maturity-Baseline fehlt dem Board eine objektive Entscheidungsgrundlage.

Warum reicht ein internes AI Assessment nicht mehr aus?

Ein internes Assessment zeigt nur, was ein Unternehmen selbst angibt. AI Maturity wird aber zunehmend auch über öffentliche Signale sichtbar: Stellenprofile, Produktkommunikation, Partnerschaften, Governance-Statements, technische Aktivitäten, Forschung, Patente oder öffentliche KI-Initiativen. Deshalb braucht es eine Verbindung aus outside-in public-signal score und inside-out Verifizierung.

Was ist ein public-signal score?

Ein public-signal score ist eine externe Einschätzung der AI Maturity auf Basis öffentlich sichtbarer Signale. Er ist kein endgültiges Urteil, sondern eine visible maturity baseline. Unternehmen können diese Baseline claimen, überprüfen, vervollständigen und gezielt verbessern.

Was bedeutet AI Maturity?

AI Maturity beschreibt die Reife eines Unternehmens im Umgang mit KI. Dazu gehören unter anderem Strategie, Datenfundament, technische Basis, Governance, Security, Fähigkeiten, Kultur, Verantwortlichkeiten, ROI-Orientierung und die Fähigkeit, KI-Initiativen messbar zu steuern.

Wie hilft CorpIn Unternehmen konkret?

CorpIn ermöglicht Unternehmen, ihre AI Maturity sichtbar zu machen, zu claimen, mit internen Informationen zu vervollständigen, mit Peers zu benchmarken und über Zeit zu verbessern. Die Plattform unterstützt Führungsteams dabei, KI-Investitionen, Governance, Datenqualität, Fähigkeiten und Transformationsinitiativen strategisch zu priorisieren.

Ist CorpIn ein Compliance-Tool für den EU AI Act?

CorpIn ist keine Rechtsberatung und kein reines Compliance-Tool. CorpIn schafft eine strategische AI-Maturity-Baseline, die Unternehmen hilft, KI-Reife, Governance, Datenfähigkeit und Prioritäten objektiver zu messen und zu vergleichen. Für rechtliche Detailfragen zum AI Act sollten Unternehmen zusätzlich spezialisierte Rechtsberatung einbinden.

Was sind die European AI Maturity Awards 2026?

Die European AI Maturity Awards 2026 sind als Benchmark- und Sichtbarkeitsmoment für Unternehmen gedacht, die ihre AI Maturity claimen, vervollständigen und messbar verbessern. Der Fokus liegt auf belegbarer Reifeentwicklung.

Verwendete Quellen

• European Commission: Draft Commission guidelines on the classification of high-risk AI systems, veröffentlicht am 19. Mai 2026.
• European Commission: Targeted consultation on Commission guidelines on classification of high-risk AI systems under the EU AI Act.
• European Commission: AI Act overview and implementation timeline.
• EU AI Act Service Desk: Article 6 – Classification rules for high-risk AI systems.
• EU AI Act Service Desk: General principles for high-risk classification.
• EU AI Act Service Desk: Regulated products and safety components.
• EU AI Act Service Desk: Sensitive Annex-III areas.
• EU AI Act Service Desk: Horizontal issues and Article 6(3) filter.
• EU AI Act Service Desk: Employment, recruitment and worker-management examples.
• EU AI Act Service Desk: Risk management, Data Governance, Technical Documentation, Human Oversight, Deployer Obligations and Post-Market Monitoring.
• Hunton Andrews Kurth: EU Commission Publishes Draft Guidelines on High-Risk AI Systems.
• Bird & Bird: First read on the European Commission’s draft guidelines on high-risk AI systems.
• Skadden: EU AI Act draft guidelines and high-risk classification implications.
• Baker McKenzie: High-risk AI classification guidance under the EU AI Act.
• DLA Piper: European Commission’s draft guidelines on classification of high-risk AI systems.
• Eurostat: Use of artificial intelligence in enterprises, 2025.
• European Commission: State of the Digital Decade 2025.
• OECD / European Commission: Coordinated Plan on Artificial Intelligence review and monitoring considerations.

‍