Compliance11. Juni 2026 · 7 Min. Lesezeit Inkl. interaktives Tool

EU AI Act für Product Manager: Compliance als Designprinzip, nicht als Bremse

Marc GasserSerial Founder · GTM & Marketing

PillarProduct Strategy

Relevante Phasen

01Discover02Define03Build04OperateFast Lane

Der EU AI Act (in Kraft seit 1. August 2024) reguliert nach Risikoklassen: verbotene Praktiken, Hochrisiko, begrenzte und minimale Risiken. Bussen reichen bis 35 Millionen Euro oder 7 Prozent des Weltumsatzes für verbotene Praktiken, bis 15 Millionen oder 3 Prozent bei Hochrisiko-Verstössen.
Die Fristen bewegen sich: Mit dem Digital Omnibus (provisorische Einigung 7. Mai 2026) rutschen die Hochrisiko-Pflichten auf den 2. Dezember 2027 (Annex III) bzw. 2. August 2028 (Annex I). Wer die Zeit als Aufschub liest, wiederholt den Fehler der DSGVO-Nachzügler.
Für PMs ist der Act vor allem ein Dokumentationsgesetz: Inventar, Risikoeinstufung, Transparenz, Logging, menschliche Aufsicht. Wer den Spec-zu-Code-Pfad ohnehin nachvollziehbar hält, erfüllt einen grossen Teil nebenbei.

Kernaussagen

Die AI-Literacy-Pflicht (Artikel 4) gilt bereits seit dem 2. Februar 2025 – zusammen mit den Verboten. Schulungen sind keine Kür, sondern die erste scharfe Pflicht für praktisch jedes Unternehmen, das KI einsetzt.
Die meisten SaaS-Funktionen fallen in «begrenztes» oder «minimales» Risiko – dort dominieren Transparenzpflichten. Hochrisiko beginnt, wo KI über Menschen entscheidet: Kreditvergabe, Bewerbungen, kritische Infrastruktur, Medizin.
Compliance-Dokumentation und gute Produktpraxis überlappen stark: Versionierte Specs, Audit-Trails und Regressionstests sind dieselben Artefakte, die auch der Act sehen will.

Welche Risikoklasse trifft dein Produkt?

Der AI Act denkt nicht in Technologien, sondern in Einsatzzwecken. Verboten sind Praktiken wie Social Scoring oder manipulative Systeme. Hochrisiko sind Systeme, die über Menschen entscheiden – Kreditwürdigkeit, Bewerbungsauswahl, Prüfungsbewertung, kritische Infrastruktur. Begrenztes Risiko heisst vor allem Transparenz: Chatbots müssen sich als solche zu erkennen geben, KI-generierte Inhalte müssen gekennzeichnet sein. Der Rest – die grosse Mehrheit typischer SaaS-Features – ist minimales Risiko.

Die produktstrategische Konsequenz: Die Risikoklasse ist designbar. Ob dein Feature «entscheidet» oder «vorschlägt», ob ein Mensch freigibt oder die Automatik durchgreift – das sind Produktentscheidungen, die direkt bestimmen, welche Pflichten gelten. Ein Human-in-the-Loop-Schritt kann den Unterschied zwischen Hochrisiko-Regime und Transparenzpflicht ausmachen. Genau deshalb gehört die Einstufung in die Define-Phase, nicht in die Rechtsabteilung nach dem Launch.

Was jetzt gilt – und was sich mit dem Digital Omnibus verschiebt

Seit dem 2. Februar 2025 gelten die Verbote und die AI-Literacy-Pflicht, seit dem 2. August 2025 die Regeln für General-Purpose-Modelle. Die Hochrisiko-Pflichten waren ursprünglich auf den 2. August 2026 terminiert – doch am 7. Mai 2026 haben sich Rat, Parlament und Kommission im Digital Omnibus provisorisch auf eine Verschiebung geeinigt: Annex-III-Systeme neu per 2. Dezember 2027, in Produkte eingebettete Systeme nach Annex I per 2. August 2028. Die formelle Annahme wird in den kommenden Wochen erwartet.

Die Bussgeldlogik bleibt unverändert scharf: bis 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes für verbotene Praktiken, bis 15 Millionen oder 3 Prozent für Hochrisiko-Verstösse. Für DACH-Unternehmen ist aber nicht die Busse das primäre Risiko, sondern der Deal: Enterprise-Kunden fragen im Procurement heute nach AI-Act-Konformität wie nach ISO-Zertifikaten. Wer keine Antwort hat, verliert den Vertrag lange vor der Aufsichtsbehörde.

Interaktives Tool

AI-Act-Readiness-Check für dein Produkt

Wir führen ein vollständiges Inventar aller KI-Funktionen im Produkt.
Jedes KI-System ist einer Risikoklasse zugeordnet und die Einstufung ist begründet dokumentiert.
Eine verantwortliche Person für AI-Governance ist benannt.
Mitarbeitende, die mit KI arbeiten, sind geschult (AI-Literacy-Pflicht, Art. 4).
Nutzer erkennen, wann sie mit KI interagieren oder KI-Inhalte sehen.
Entscheidungen und Modellversionen sind nachvollziehbar geloggt.
Datenherkunft und Rechtsgrundlage je Datenquelle sind dokumentiert (DSGVO).
KI-Klauseln mit Modell- und API-Lieferanten sind vertraglich geregelt.

Dein Ergebnis0 von 8Blindflug

Ohne Inventar und Risikoeinstufung ist jede Compliance-Aussage geraten. Starte mit dem Inventar – es kostet Tage, nicht Monate.

Hake an, was in deinem Produkt heute schon steht – das Ergebnis zeigt, wie weit du von einer belastbaren AI-Act-Basis entfernt bist.

Die fünf Bausteine, die ins Produkt gehören

Inventar. Eine lebende Liste aller KI-Funktionen mit Zweck, Modell, Datenquellen und Risikoklasse. Ohne Inventar ist jede weitere Pflicht Stochern im Nebel.

Transparenz. Nutzer müssen erkennen, wann KI im Spiel ist – im Interface, nicht im Kleingedruckten. Das ist zugleich gutes Erwartungsmanagement und senkt Support-Last.

Logging. Welche Modellversion hat wann mit welchem Kontext geantwortet? Ohne diese Spur kannst du weder Fehler rekonstruieren noch einem Auditor antworten.

Menschliche Aufsicht. Definiere pro Feature, wo ein Mensch eingreifen kann und wo er freigeben muss. Das ist Produktdesign – und gleichzeitig die wirksamste Stellschraube für die Risikoklasse.

Lieferkette. Modell-Anbieter, API-Dienste, Hosting: Kläre vertraglich, wer welche Pflichten trägt und welche Zusicherungen du weiterreichen kannst. In DACH gehört die Frage nach EU-Hosting und Datenresidenz in dieselbe Klausel.

Empfehlungen

Baue das Inventar diese Woche. Jede KI-Funktion mit Zweck, Modell, Daten und Risikoklasse erfassen. Es ist die billigste Compliance-Massnahme mit der grössten Wirkung – und die Grundlage für alles Weitere.
Designe die Risikoklasse aktiv. Prüfe in der Define-Phase, ob ein Human-in-the-Loop-Schritt dein Feature aus dem Hochrisiko-Regime holt. Compliance-Architektur ist Produktarbeit.
Nutze die Omnibus-Zeit, statt sie zu verbrennen. Die verschobenen Hochrisiko-Fristen sind Bauzeit für Logging, Doku und Lieferantenverträge – nicht eine Einladung, das Thema 2027 wieder aufzumachen.
Mach Konformität verkaufbar. Ein einseitiges AI-Governance-Factsheet fürs Procurement (Risikoklassen, Hosting, Logging, Aufsicht) gewinnt in DACH mehr Deals als ein weiteres Feature.

Einordnung & Grenzen

Stand der Fristen: provisorische Einigung zum Digital Omnibus vom 7. Mai 2026; die formelle Annahme stand bei Redaktionsschluss noch aus. Einzelheiten können sich im Gesetzgebungsverfahren noch ändern – verfolge die finale Publikation im Amtsblatt.
Dieser Artikel ist eine produktstrategische Einordnung, keine Rechtsberatung. Die Einstufung konkreter Systeme – besonders an der Grenze zu Hochrisiko – gehört in die Hände spezialisierter Juristen.
Für die Schweiz gilt der AI Act nicht direkt, aber faktisch: Wer in die EU verkauft oder EU-Nutzer bedient, fällt in den Anwendungsbereich – und Schweizer Enterprise-Kunden übernehmen die Anforderungen zunehmend ins eigene Procurement.

Der AI Act belohnt Teams, die ohnehin sauber arbeiten: dokumentierte Specs, nachvollziehbare Entscheidungen, Logging ab Tag eins. Wer Compliance als Designprinzip in den Zyklus einbaut, verkauft schneller in DACH – und schläft besser, wenn der Auditor klingelt.

Passende Use Cases aus der Bibliothek

Vom Beitrag direkt in die Praxis: Diese Use Cases setzen die Konzepte mit Teklens um.

03BuildSpec-Conformance-CheckPrüft bei jedem PR, ob der Code tatsächlich die Story und das PRD umsetzt – Drift wird vor dem Merge gefangen.Use Case ansehen 03BuildLiving DocsGeneriert lebende Doku aus Code und PRDs – Support-, Onboarding- und Kunden-Doku bleiben aktuell.Use Case ansehen 03BuildRelease Notes GeneratorErstellt in Sekunden strukturierte Release Notes aus vielen Tickets – 30 Minuten Review statt 4–8 Stunden Schreiben.Use Case ansehen 04OperateRunbooks & PostmortemsGeneriert Runbooks mit Root-Cause-Analyse – und macht aus geschlossenen Incidents Postmortem-Entwürfe.Use Case ansehen

Der Lab-Letter

Kein neuer Beitrag ohne dich.

Neue Artikel, neue interaktive Tools, neue Evidenz – zuerst in deiner Inbox. Und wenn du antwortest, antworten wir: Du schreibst direkt mit den Autoren, nicht mit einem No-Reply.

Kein Spam, keine Weitergabe, jederzeit abmeldbar.