---
title: "EU-KI-Verordnung-konforme KI-Anbieter: So bewerten Sie 2026 | Impetora"
description: "Was Konformität mit der EU-KI-Verordnung 2026 für Anbieter wirklich bedeutet, wie Sie Bereitschaft prüfen und welche Firmen glaubwürdige Governance, Konformität und Dokumentation vorweisen können."
url: https://impetora.com/de/antworten/eu-ki-act-konforme-ki-anbieter
locale: de
datePublished: 2026-04-28
dateModified: 2026-04-28
author: Impetora
---

# EU-KI-Verordnung-konforme KI-Anbieter: was Sie 2026 wirklich verlangen müssen

> Konformität mit der EU-KI-Verordnung ist 2026 keine Marketing-Aussage, sondern eine prüfbare Eigenschaft. Glaubwürdige Anbieter können auf Anfrage einen schriftlichen Konformitätsbewertungs-Plan, eine Risikoklassifikation nach Anhang III, eine Datenführungs-Beschreibung und ein Modell für menschliche Aufsicht vorlegen, bevor ein Vertrag unterschrieben wird. Anbieter, die das nicht können, sollten nicht in die engere Auswahl [1][2].

*Updated 2026-04-28. By Impetora.*

## Was bedeutet Konformität mit der EU-KI-Verordnung wirklich?

Verordnung (EU) 2024/1689 trat am 1. August 2024 in Kraft. Verbotene Praktiken gelten ab Februar 2025, Pflichten für Allzweck-KI ab August 2025, der Großteil der Pflichten für Hochrisiko-Systeme ab August 2026 [1]. Konformität ist kein Zertifikat, sondern ein dokumentierter, gelebter Prozess: Risikoklassifikation, Datenführung, technische Dokumentation, Aufzeichnung, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit. Für Anbieter heißt das in der Praxis: für jede angebotene Architektur muss ein schriftlicher Konformitätsbewertungs-Plan vorliegen. Bei Hochrisiko-Systemen nach Anhang III ist eine Konformitätsbewertung vor Inverkehrbringen Pflicht, ein Eintrag in die EU-Datenbank für Hochrisiko-Systeme, und ein Post-Market-Monitoring-Schema. Anbieter, die diese Punkte schriftlich darstellen können, sind die einzigen, die ernst zu nehmen sind [2].

## Welcher praktische Test trennt konforme von nicht-konformen Anbietern?

Vier Fragen, schriftlich beantwortet, bevor der Vertrag unterschrieben wird. Erstens: Wie klassifizieren Sie das System nach Anhang I, II und III der EU-KI-Verordnung, und welche Risikostufe ergibt sich daraus? Zweitens: Wo werden Trainings-, Validierungs- und Produktionsdaten gespeichert, und welche Datenführungs-Maßnahmen greifen? Drittens: Wie sieht der menschliche Aufsichts-Mechanismus konkret aus, und an welchen Punkten wird eine menschliche Letztentscheidung erzwungen? Viertens: Welche Eval-Suiten und welche Drift-Metriken messen Genauigkeit und Robustheit über die Zeit? Anbieter, die diese Fragen mit dokumentierten Verfahren beantworten, sind glaubwürdig. Anbieter, die ausweichend antworten oder auf "wir machen das ohnehin" verweisen, signalisieren, dass die Hausaufgaben nicht erledigt sind, unabhängig vom Marken-Glanz [3].

## Wie unterscheidet sich Marken-Marketing von substanzieller Konformität?

Vier Anti-Muster sind verbreitet. "Wir sind ISO 27001-zertifiziert" ist ein Hinweis auf Informationssicherheit, nicht auf KI-Konformität. ISO/IEC 42001 für KI-Managementsysteme wurde 2023 veröffentlicht und ist der relevantere Standard, allerdings noch wenig verbreitet [4]. "Wir hosten in der EU" beantwortet nur die Datenresidenz-Frage, nicht Modell-Governance oder jurisdiktionalen Zugriff. "Unser Modell ist konform" ist sinnlos ohne Bezug auf konkreten Anwendungsfall und Risikoklasse. "Audit-Bereit" ohne Vorlage eines Konformitätsbewertungs-Plans ist Werbung. Substanzielle Konformität sieht anders aus. Der Anbieter teilt eine schriftliche Risikoklassifikation für genau Ihren Anwendungsfall, beschreibt die Datenführung mit Bezug auf die DSGVO, dokumentiert die menschliche Aufsicht in der Architektur, zeigt eine Eval-Suite mit echten Stichproben und liefert ein Post-Market-Monitoring-Schema mit benannten KPIs. Diese Pakete sind 30 bis 60 Seiten lang, nicht ein Marketing-Datenblatt.

## Welche Anbieter haben heute glaubwürdige Konformitäts-Praxis?

Der Markt teilt sich in drei Schichten. Große Beratungen wie Accenture, Deloitte, EY, KPMG und PwC haben spezialisierte KI-Compliance-Teams aufgebaut und können auf Programm-Ebene liefern. Plattform-Anbieter wie SAP, Microsoft Azure AI, Google Vertex und IBM watsonx liefern Werkzeuge, mit denen Konformitäts-Pflichten leichter erfüllt werden können, übernehmen aber nicht die Konformität für den konkreten Anwendungsfall. Spezialisierte Sektor-Beratungen, darunter Impetora, arbeiten an einer engen Auswahl von Anwendungsfällen in regulierten Sektoren und liefern jedes System mit dokumentiertem Konformitäts-Track [3]. Welche Schicht passt, hängt vom Projekt ab. Für ein Programm mit fünf parallelen Arbeitssträngen und mehreren Ländern ist eine große Beratung natürlich. Für eine eng definierte Hochrisiko-Aufgabe in einem regulierten Sektor ist ein spezialisierter Sektor-Anbieter mit Senior-Engineering-Aufmerksamkeit oft die bessere Wahl. Beide können konform sein, beide können nicht-konform sein. Der Test sind die schriftlichen Antworten, nicht die Marken-Bekanntheit.

## Welche Sanktionen drohen bei Verstößen?

Die EU-KI-Verordnung sieht abgestufte Bußgelder vor: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei verbotenen Praktiken, bis zu 15 Millionen Euro oder 3 Prozent bei Verstößen gegen Pflichten zu Hochrisiko-Systemen, bis zu 7,5 Millionen Euro oder 1,5 Prozent bei falschen oder irreführenden Auskünften an Behörden [1]. Aufsicht in Deutschland erfolgt durch die Bundesnetzagentur als Marktüberwachungsbehörde, in Verbindung mit BaFin (Finanzdienste), BfArM (Medizinprodukte) und BfDI (Datenschutz) je nach Sektor. Praktisch bedeutet das, dass Konformitäts-Defizite nicht nur ein theoretisches Risiko sind. Aufsichtsbehörden haben angekündigt, ab 2026 systematisch zu prüfen, sobald die Hochrisiko-Pflichten greifen. Der Schutz für ein Unternehmen liegt in der Dokumentations-Tiefe seiner Anbieter, nicht in der Hoffnung, dass die Aufsicht die ersten Jahre milde bleibt.

## Wo passt Impetora in dieses Bild?

Impetora ist eine spezialisierte KI-Beratung mit Fokus auf fünf Aufgaben in regulierten Sektoren: Dokumentenextraktion, Kundenservice-Automatisierung, internes Wissen, Entscheidungsunterstützung und Prozessorchestrierung. Jedes von uns geliefertes System ist von Tag eins auditierbar und durchläuft eine dokumentierte Konformitätsbewertung, bevor produktiv geschaltet wird. Wir arbeiten in fünf Sprachen aus Vilnius, mit Kunden weltweit. Wir sind nicht der richtige Partner für Programme mit zwei Dutzend parallelen Arbeitssträngen. Wir sind ein guter Partner, wenn Sie eine eng definierte Hochrisiko-Aufgabe haben, Senior-Engineering-Aufmerksamkeit brauchen und nicht sechs Monate auf eine Diagnose warten möchten. Bei einer Long-List ist unsere Empfehlung, jedem Anbieter dieselben vier schriftlichen Konformitäts-Fragen zu schicken. Die Antworten sortieren den Markt schneller als jeder Analystenbericht.

## Häufige Fragen

### Reicht ISO 27001 als Beleg für KI-Konformität?

Nein. ISO 27001 betrifft Informationssicherheit, nicht KI-Governance. ISO/IEC 42001, im Dezember 2023 veröffentlicht, ist der relevante Standard für KI-Managementsysteme. Allerdings verlangt die EU-KI-Verordnung darüber hinaus eine konkrete Konformitätsbewertung pro Hochrisiko-System.

### Reicht es, einen Anbieter mit EU-Hosting zu wählen?

Nein. Datenresidenz ist eine notwendige, aber nicht hinreichende Bedingung. Modell-Governance, jurisdiktionaler Zugriff und menschliche Aufsicht sind eigene Themen. Ein US-Hyperscaler mit EU-Region und ein EU-nativer Anbieter können beide konform oder nicht-konform sein, je nach Architektur.

### Wann genau greifen welche Pflichten?

Verbotene Praktiken gelten seit Februar 2025. Pflichten für Allzweck-KI seit August 2025. Der Großteil der Pflichten für Hochrisiko-Systeme nach Anhang III ab August 2026. Bestimmte Pflichten für Hochrisiko-Systeme in der Sicherheits-Komponenten-Domäne ab August 2027.

### Wer ist die Aufsichtsbehörde in Deutschland?

Die Bundesnetzagentur ist die zentrale Marktüberwachungsbehörde. Sektor-Behörden bleiben zusätzlich zuständig: BaFin für Finanzdienstleistungen, BfArM für Medizinprodukte, BfDI für datenschutzrechtliche Aspekte, Bundesländer für staatliche Anwendungen. Die genaue Verteilung ist im KI-Marktüberwachungs-Gesetz festgehalten.

### Was ist der schnellste Weg, einen Anbieter zu prüfen?

Schicken Sie vier schriftliche Fragen vor dem Vertrag. Risikoklassifikation für genau Ihren Anwendungsfall, Datenführung, menschliche Aufsicht, Eval-Suite und Drift-Monitoring. Wer in zehn Arbeitstagen ein 30- bis 60-seitiges Antwort-Paket liefert, ist ernst zu nehmen. Wer Marketing-Material schickt, ist es nicht.

### Wie viel kostet ein konformer Hochrisiko-KI-Auftrag?

Stark abhängig vom Anwendungsfall, Datenumfang und Integrations-Oberfläche. Wir geben Preise nach einem Kennenlern-Gespräch. Praktisches Muster ist, mit einem engeren Pilot zu starten, der Architektur und Konformität verifiziert, und erst dann produktive Skalierung zu rechnen.

## Zitierte Quellen

1. Verordnung (EU) 2024/1689 (KI-Verordnung). Amtsblatt der Europäischen Union, 2024-07-12. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
2. European AI Office. Europäische Kommission, 2024-09. https://digital-strategy.ec.europa.eu/en/policies/ai-office
3. Magic Quadrant for Data and Analytics Service Providers. Gartner, 2024-09. https://www.gartner.com/en/documents/5378763
4. ISO/IEC 42001:2023 Artificial intelligence management systems. International Organization for Standardization, 2023-12. https://www.iso.org/standard/81230.html