Der AI-Act, das Gesetzt zur Regulierung von Künstlicher Intelligenz in der Europäischen Union, befindet sich derzeit in einer entscheidenden Umsetzungsphase. Dabei wurden einige wichtige Bestimmungen im vergangenen Monat aufgeschoben. Höchste Zeit also, unseren aktuellen Stand zu erläutern.
Die europäische Kommission hat kürzlich vorgeschlagen, die Einführung bestimmter Vorschriften für sogenannte „High Risk- KI“ zu verschieben. Damit soll mehr Zeit für die Entwicklung technischer Standards und der zugehörigen Compliance-Maßnahmen ermöglicht werden. Von dieser Verzögerung sind insbesondere die strengeren Auflagen für KI-Systeme betroffen, die als besonders risikobehaftet gelten, etwa in den Bereichen Gesundheit, Polizei und Justiz. Dadurch erhalten Unternehmen und Behörden mehr Zeit, um sich an die neuen Anforderungen anzupassen und die Gesetzgebung wird in der Praxis besser umsetzbar.
Regierung und Berater:innen arbeiten derzeit intensiv an der Feinabstimmung der Umsetzung des AI Acts. Die größten Herausforderungen bestehen in der Klärung der Zuständigkeiten der vielen nationalen Behörden und der praktischen Anwendung.
Solange diese Unklarheiten bestehen, bedeutet das natürlich Risiken für die Wirtschaft und Unternehmen und sorgt eher für eine abwartende Haltung. Die Verzögerung dieser Bestimmungen zeigt die Komplexität der Umsetzung des AI Acts und unterstreicht die Notwendigkeit, die Balance zwischen Sicherheit und notwendiger Innovation zu wahren. Mit unseren zahlreichen europäischen Kunden aus der Medienbranche und der Verwaltung steht für uns außer Frage, dass wir uns proaktiv mit dem AI Act auseinandersetzen, auch wenn rechtliche Fragen noch ungeklärt sind. Daher geben wir hier einen kleinen Überblick:
DeepVA-KI-Plattform: Flexibel, multimodal und cloudunabhängig
Mit unserer DeepVA-KI-Plattform entwickeln und betreiben wir KI-Lösungen, die von Medienhäusern, Archiven, öffentlichen Einrichtungen und weiteren Organisationen in Europa produktiv eingesetzt werden. Im Mittelpunkt steht dabei unser Composite-KI-Ansatz mit einem zentralen API-Layer. Über diesen können unsere Kunden multimodale KI-Modelle, proprietäre DeepVA-Modelle, kundeneigene Modelle, Open-Source-Modelle und Modelle von Drittanbietern in ihre Arbeitsabläufe integrieren. Zentral ist hierbei auch, dass unsere Plattform unabhängig von Clouds in der eigenen, sicheren Infrastruktur betrieben werden kann.
AI-Act-Compliance, Informationssicherheit und Datenschutz
Der EU AI Act, der im Sommer 2024 im Amtsblatt veröffentlicht und seit August 2024 in Kraft ist, entfaltet seine inhaltlichen Pflichten in mehreren Stufen bis voraussichtlich 2027, insbesondere für Hochrisiko-Systeme. Wir haben frühzeitig damit begonnen, unsere Organisation, unsere Plattformarchitektur und unsere Entwicklungsprozesse systematisch an den Vorgaben des AI Acts auszurichten und verstehen Compliance als wesentlichen Bestandteil unseres Produktversprechens. Und das beginnt nicht erst mit dem AI Act, sondern auch schon früher, bei der Informationssicherheit: Bereits heute verfügen wir über ein gelebtes Informationssicherheits-Managementsystem, das sich an den Grundsätzen der ISO/IEC 27001:2022 orientiert. Dieses ISMS umfasst unter anderem geregelte Rollen und Verantwortlichkeiten, dokumentierte Richtlinien zu Informationssicherheit und Datenschutz, ein strukturiertes Risiko- und Maßnahmenmanagement, definierte Prozesse für Change- und Release-Management sowie für das Management von Lieferanten und Unterauftragnehmern. Die in unserem ISMS verankerten Kontrollen werden laufend auf ihre Wirksamkeit überprüft und mit den technischen Möglichkeiten unserer Plattform verzahnt.
Im Datenschutz arbeiten wir vollständig auf Basis der Datenschutz-Grundverordnung und der einschlägigen nationalen Vorschriften. DeepVA ist von Beginn an darauf ausgelegt, Datenverarbeitung möglichst datensparsam, transparent und kontrollierbar zu gestalten. Unsere Plattform läuft auf europäischer Infrastruktur, unterstützt vollumfängliche On-Premises- und Offline-Betriebsszenarien, und ermöglicht so, dass sensible Workloads – etwa sensible Transkriptionen, Übersetzungen oder die Gesichtserkennung – vollständig innerhalb der EU und, falls gewünscht, ausschließlich im Verantwortungsbereich des Kunden verarbeitet werden. Auch in Puncto Datenhoheit, können sich unsere Kunden gewiss sein: Ihre Kundendaten werden nicht zur nachgelagerten, eigenen Modell- oder Produktentwicklung verwendet; die Datenhoheit verbleibt gänzlich bei unseren Kunden.
AI – Act Anforderungen als Grundlage der Produktentwicklung und Kundenunterstützung
Parallel dazu haben wir die wesentlichen Anforderungen des AI Acts für KI-Systeme in den Mittelpunkt unserer Produktentwicklung gerückt. Dies ist die Grundlage für unsere Arbeit: Wir wollen die Sorgen und Anforderungen unserer Kunden in Bezug auf den AI Act durch die Nutzung unserer Plattform minimieren.
Bei den Anforderungen ist insbesondere das strukturierte Verfahren zur Risikoklassifizierung der KI-Funktionalitäten anhand der im AI Act angelegten Risikostufen zentral. Ebenso wichtig sind ein systematisches Vorgehen zur Daten- und Modell Governance inklusive Datenqualitätsanforderungen, die Erstellung und Pflege technischer Dokumentationen für unsere Systeme sowie Protokollierungs- und Logging-Konzepte, die Nachvollziehbarkeit, Audits und Überwachung im laufenden Betrieb unterstützen. Wo unsere Technologie in Anwendungsbereichen eingesetzt wird, die nach dem AI Act als risikobehaftet gelten können, beraten und unterstützen wir unsere Kunden bei der korrekten Einordnung und der Umsetzung der jeweils einschlägigen Pflichten – etwa im Hinblick auf Konformitätsbewertungen, Transparenzpflichten oder menschliche Aufsicht.
Transparenz, regulatorische Zukunftssicherheit und europäische Werte
Transparenz und Kontrolle für unsere Kunden sind ein zentrales Element unseres Compliance-Ansatzes. DeepVA bietet konfigurierbare Workflows, nachvollziehbare Ergebnisse und die Möglichkeit, kundenspezifische Modelle zu trainieren und zu betreiben, ohne in eine enge Abhängigkeit von einzelnen Cloud-Anbietern oder proprietären Ökosystemen zu geraten. Damit unterstützen wir sowohl die im AI Act angelegten Ziele zur Stärkung von Transparenz und Governance als auch die Anforderungen an Datensouveränität und technische Unabhängigkeit.
Da sich der AI Act nach wie vor in einem gestuften Implementierungsprozess befindet und in den kommenden Jahren ergänzende harmonisierte Standards, Leitlinien und Auslegungshilfen der Aufsichtsbehörden zu erwarten sind, verstehen wir unser heutiges Compliance-Niveau ausdrücklich als Zwischenstand in einem kontinuierlichen Anpassungs- und Verbesserungsprozess. Wir beobachten die weitere Konkretisierung des Rechtsrahmens genau, bewerten deren Auswirkungen auf unsere Plattform und unsere internen Prozesse und planen, unsere konzeptionelle Vorarbeit in belastbare, prüfbare Nachweise zu überführen, sobald die einschlägigen Normen und Verfahren endgültig vorliegen.
Unser Anspruch ist es, mit DeepVA eine KI-Plattform zu bieten, die nicht nur funktional, sondern auch regulatorisch zukunftssicher ist. AI-Act-Compliance, Datenschutz gemäß DSGVO und ein hohes Niveau an Informationssicherheit sind integrale Bestandteile unseres Produkts und Unternehmen. Genau das sind die Vorteile, die wir als europäische Anbieter aus der EU-Regulierung ziehen können: Rechtssicherheit für unsere Anwender sowie KI-Lösungen, die für sensible Bereiche die notwendige Vertrauensbasis schaffen, ohne dass eine Abhängigkeit von Techkonzernen entsteht.
Stand: Dezember 2025
