Vier EU-Verordnungen gleichzeitig: Warum Silo-Compliance euch dreifach kostet
Stellt euch vor: Euer Unternehmen baut eine Maschine mit KI-gestuetzter Qualitaetskontrolle. Die Maschine wird in der EU verkauft, enthaelt vernetzte Sensorik und bezieht Komponenten aus Asien. Klingt nach einem normalen Mittelstandsprodukt. Das Problem: Ab 2026 greifen vier EU-Verordnungen gleichzeitig in dieses eine Produkt ein. Und wenn ihr jede davon in einer eigenen Abteilung bearbeitet, wird es teuer.
Die vier Verordnungen im Ueberblick
1. EU AI Act
Der AI Act reguliert KI-Systeme nach Risikoklassen. Eure KI-gestuetzte Qualitaetskontrolle faellt sehr wahrscheinlich unter "Hochrisiko", weil sie Entscheidungen ueber Produktsicherheit trifft. Die Pflichten: technische Dokumentation, Risikomanagement, menschliche Aufsicht, Daten-Governance.
Zeitplan: Verbotene Praktiken gelten seit Februar 2025. Hochrisiko-Pflichten greifen ab August 2026. Bussgelder: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
2. Cyber Resilience Act (CRA)
Der CRA betrifft alle Produkte mit digitalen Elementen. Eure vernetzte Sensorik faellt darunter. Ihr muesst Schwachstellen-Management betreiben, Security-Updates liefern und Vorfaelle innerhalb von 24 Stunden melden.
Zeitplan: In Kraft seit Oktober 2024. Meldepflichten ab September 2026. Volle Konformitaet ab Dezember 2027. Bussgelder: bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes.
3. Lieferkettensorgfaltspflichtengesetz (LkSG) und EU-Lieferkettenrichtlinie (CS3D)
Das deutsche LkSG gilt bereits fuer Unternehmen ab 1.000 Mitarbeitenden. Die EU-Richtlinie CS3D erweitert das auf kleinere Unternehmen und verschaerft die Pflichten. Eure Komponenten aus Asien? Ihr muesst nachweisen, dass in der Lieferkette keine Menschenrechte verletzt und Umweltstandards eingehalten werden.
Zeitplan: LkSG gilt seit 2024 ab 1.000 Mitarbeitenden. CS3D-Umsetzung in nationales Recht bis Juli 2027. Bussgelder: bis zu 5 % des weltweiten Nettoumsatzes.
4. Neue EU-Produkthaftungsrichtlinie
Die ueberarbeitete Produkthaftungsrichtlinie schliesst erstmals Software und KI-Systeme explizit ein. Wenn eure KI-Qualitaetskontrolle einen Fehler uebersieht und das Produkt jemanden schaedigt, haftet ihr. Neu: Die Beweislast verschiebt sich teilweise zum Hersteller.
Zeitplan: Umsetzung bis Dezember 2026. Keine Bussgeld-Obergrenze, stattdessen unbegrenzte Schadensersatzansprueche.
Warum Silo-Compliance nicht funktioniert
In den meisten Mittelstandsunternehmen landen diese vier Themen bei vier verschiedenen Leuten. Der IT-Leiter kuemmert sich um den CRA. Die Rechtsabteilung nimmt sich den AI Act vor. Einkauf bearbeitet die Lieferkette. Und die Produkthaftung bleibt bei der Geschaeftsfuehrung haengen.
Das fuehrt zu drei konkreten Problemen:
Doppelte Dokumentation. Der AI Act verlangt ein Risikomanagement-System fuer eure KI. Der CRA verlangt ein Risikomanagement-System fuer eure Cybersecurity. Die Produkthaftung verlangt Nachweise ueber Sicherheitsmassnahmen. Wenn drei Abteilungen das jeweils separat aufbauen, dokumentiert ihr dreimal dasselbe in drei verschiedenen Formaten.
Widersprueche. Die Lieferkettenrichtlinie fordert Transparenz ueber eure Zulieferer. Der CRA fordert Transparenz ueber Software-Komponenten (SBOM). Wenn Einkauf und IT das getrennt bearbeiten, entstehen zwei Listen mit unterschiedlichen Granularitaeten, die niemand zusammenfuehrt.
Luecken. Eure KI-Qualitaetskontrolle laeuft auf vernetzter Hardware mit Software-Komponenten von Drittanbietern. Wenn die IT nur den CRA prueft und die Rechtsabteilung nur den AI Act, fragt niemand: Was passiert, wenn ein Firmware-Update die KI-Entscheidung veraendert? Das ist genau die Schnittstelle, an der Haftungsfaelle entstehen.
Der integrierte Ansatz: Ein Framework, vier Verordnungen
Der pragmatische Weg ist ein gemeinsames Compliance-Framework, das die Ueberschneidungen nutzt statt sie zu ignorieren.
Ein zentrales Risiko-Register. Erfasst alle Risiken an einer Stelle: KI-Risiken, Cyber-Risiken, Lieferketten-Risiken, Produktsicherheits-Risiken. Jeder Eintrag wird gegen alle vier Verordnungen geprueft. Das spart nicht nur Arbeit, sondern deckt auch die Schnittstellen ab.
Eine SBOM als Basis. Die Software Bill of Materials, die der CRA fordert, ist gleichzeitig die Grundlage fuer die AI-Act-Dokumentation (welche Modelle, welche Trainingsdaten) und fuer die Lieferketten-Transparenz bei Software-Komponenten. Ein Dokument, drei Anforderungen abgedeckt.
Ein internes Audit-Team statt vier Einzelkaempfer. Stellt ein cross-funktionales Team zusammen: IT, Recht, Einkauf, Produktmanagement. Trefft euch alle zwei Wochen. Das klingt nach Overhead, spart aber die endlosen Abstimmungsschleifen, die entstehen, wenn vier Abteilungen isoliert arbeiten.
Timeline-Mapping. Legt alle Deadlines auf einen gemeinsamen Zeitstrahl:
| Datum | Verordnung | Was faellig wird |
|---|---|---|
| Sep 2026 | CRA | Meldepflichten aktiv |
| Aug 2026 | AI Act | Hochrisiko-Pflichten |
| Dez 2026 | Produkthaftung | Umsetzung in nationales Recht |
| Jul 2027 | CS3D | Umsetzung in nationales Recht |
| Dez 2027 | CRA | Volle Konformitaet |
Wenn ihr das auf einen Blick seht, wird klar: September 2026 ist der erste kritische Monat. Nicht August, nicht Dezember.
Was das in der Praxis bedeutet
Zurueck zu eurer Maschine mit KI-Qualitaetskontrolle. Mit einem integrierten Ansatz passiert Folgendes:
Das Risiko-Register zeigt, dass die KI-Komponente gleichzeitig ein Hochrisiko-System (AI Act), ein digitales Element (CRA) und ein Haftungsobjekt (Produkthaftung) ist. Statt drei separater Bewertungen macht ihr eine, die alle drei Perspektiven abdeckt.
Die SBOM listet die Software-Abhaengigkeiten der Sensorik auf. Dieselbe Liste dient dem CRA-Schwachstellen-Management und der AI-Act-Dokumentation. Euer Einkauf ergaenzt die Hardware-Lieferanten mit Herkunftsnachweis fuer die Lieferketten-Compliance.
Das Audit-Team prueft quartalsweise: Sind die Firmware-Updates dokumentiert? Veraendert ein Update die KI-Entscheidungslogik? Wenn ja, muss die AI-Act-Dokumentation aktualisiert werden. Das ist die Art von Frage, die in Silos nie gestellt wird.
Regulierung als Strukturvorteil
Die meisten Unternehmen betrachten diese vier Verordnungen als Kostenfaktor. Das ist verstaendlich, aber zu kurz gedacht. Wer frueh ein integriertes Framework aufbaut, hat einen echten Wettbewerbsvorteil.
Kunden und Partner werden zunehmend nach Compliance-Nachweisen fragen. Wer dann eine saubere, zusammenhaengende Dokumentation vorlegen kann statt vier separate Ordner, wirkt professioneller und ist schneller in der Angebotsphase.
Der Aufwand fuer den integrierten Ansatz ist real. Aber er ist einmal. Der Aufwand fuer vier parallele Silo-Projekte ist dreimal so hoch und muss bei jeder Aenderung in vier Systemen nachgezogen werden. Die Rechnung ist einfach.