EU AI Act · Verordnung (EU) 2024/1689 · Governance-fähiges BPM

EU AI Act und Prozessautomatisierung: Ist Ihr Workflow hochriskant?

Es ist die Frage, die sich jeder Prozessverantwortliche stellt: „Wenn ich KI in meinen Workflow einbaue, werde ich zum Hochrisiko-System?" Die Antwort hängt nicht von der Technologie ab, sondern davon, worüber und über wen die KI entscheidet.

Dieser Leitfaden übersetzt den EU AI Act in reale Workflows und zeigt, wie governance-fähiges BPM Compliance zu einer Eigenschaft des Prozesses macht – statt zu einem separaten Projekt.

Geführte Demo anfragen KI-Funktionen ansehen
EU AI Act angewandt auf die Prozessautomatisierung: KI-Risikostufen in einem governance-fähigen BPM-Workflow
D
Dokuflex KI-Team
Aktualisiert: 5. Juni 2026

Für Prozessverantwortliche, Datenschutzbeauftragte und Compliance. Dieser Leitfaden ist informativ und ersetzt keine Rechtsberatung. Die endgültige Einstufung jedes KI-Systems erfordert eine Analyse seiner konkreten Nutzung im Lichte der Verordnung (EU) 2024/1689.

Was der EU AI Act ist und wann er Sie betrifft

Der EU AI Act ist die Verordnung (EU) 2024/1689, der weltweit erste horizontale Rechtsrahmen für künstliche Intelligenz. Sie trat am 1. August 2024 in Kraft und gilt schrittweise, nicht auf einen Schlag.

Der Zeitplan, der für Ihre Automatisierungsprojekte zählt:

  • 2. Februar 2025: Verbote (Praktiken mit inakzeptablem Risiko) und Pflichten zur KI-Kompetenz des Personals gelten.
  • 2. August 2025: Pflichten für Modelle mit allgemeinem Verwendungszweck (GPAI).
  • 2. August 2026: allgemeine Anwendung, einschließlich Hochrisiko nach Anhang III. Das ist das Schlüsseldatum für die meisten Unternehmens-Workflows.
  • 2. August 2027: Hochrisiko-Systeme, die in regulierte Produkte nach Anhang I eingebettet sind.

Die Verordnung unterscheidet zwei Rollen: den Anbieter, der das KI-System entwickelt oder in Verkehr bringt, und den Betreiber (professioneller Nutzer), der es in eigener Verantwortung einsetzt. Die meisten Unternehmen, die Prozesse automatisieren, handeln als Betreiber, und das ändert, welche Pflichten gelten.

Die vier Risikostufen, angewandt auf reale Prozesse

Der EU AI Act klassifiziert Systeme nach dem Risiko ihrer Nutzung, nicht nach der Leistung des Modells. Es gibt vier Stufen:

  • Inakzeptables Risiko (verboten): Social Scoring, unterschwellige Manipulation und bestimmte biometrische Anwendungen. Dürfen in der EU nicht eingesetzt werden.
  • Hohes Risiko (Anhang III): Beschäftigung und Personalmanagement (Vorfilterung von Bewerbungen, Beförderungs- oder Kündigungsentscheidungen, algorithmische Aufgabenzuweisung), Zugang zu wesentlichen Diensten, Bildung, Biometrie… Volle Pflichten.
  • Begrenztes Risiko: Transparenzpflicht. Ein Chatbot muss sich als KI zu erkennen geben.
  • Minimales Risiko: alles Übrige. Best Practices, keine spezifischen Pflichten.

Am klarsten wird es an konkreten Prozessen. Vier gängige Workflows und ihre Stufe:

Hohes Risiko

Lebenslauf-Vorauswahl im HR

Ein Workflow, der KI nutzt, um Bewerbungen zu filtern oder zu bewerten, entscheidet über den Zugang von Personen zur Beschäftigung. Das ist Anhang III: hohes Risiko, mit allen Anbieter- und Betreiberpflichten.

Hohes Risiko

Kreditscoring

Den Zugang zu einem wesentlichen Dienst per KI zu gewähren oder zu verweigern, betrifft die Person erheblich. Hohes Risiko: erfordert menschliche Aufsicht, Risikomanagement und Nachvollziehbarkeit.

Begrenztes Risiko

Interner Chatbot

Ein konversationeller Assistent, der Mitarbeitende orientiert, ist begrenztes Risiko. Einzige materielle Pflicht: sich gegenüber dem Nutzer als KI zu erkennen geben.

Minimales Risiko

Rechnungs-OCR

Das Extrahieren und Klassifizieren von Rechnungsdaten entscheidet nicht über Personen. Minimales Risiko: Best Practices, keine spezifischen Pflichten der Verordnung.

Die Faustregel: Wenn KI über Personen in einem sensiblen Bereich entscheidet, steigt sie auf hohes Risiko. Wenn KI nur Dokumente verarbeitet oder Entwürfe vorbereitet, die ein Mensch validiert, sinkt das regulatorische Risiko deutlich, weil die Entscheidung menschlich bleibt.

Was das für Ihre BPM-Automatisierungen bedeutet

Wenn ein Workflow KI nutzt, um über Personen zu entscheiden – Kandidaten filtern, Mitarbeitende bewerten, etwas Relevantes gewähren oder verweigern –, fällt er wahrscheinlich in das hohe Risiko. Und das hohe Risiko verteilt die Pflichten auf zwei Rollen:

  • Systemanbieter: Risikomanagement, Datengovernance, technische Dokumentation, Logging, menschliche Aufsicht by design sowie Garantien für Genauigkeit, Robustheit und Cybersicherheit.
  • Betreiber / Nutzer: Nutzung gemäß den Anweisungen, wirksame menschliche Aufsicht, Überwachung des Betriebs und Aufbewahrung der Logs.

Die Nuance, die das Projekt verändert: Wenn KI nur Dokumente extrahiert oder klassifiziert oder Entwürfe verfasst, die ein Mensch validiert, ist die Entscheidung menschlich und das regulatorische Risiko sinkt drastisch. Deshalb bestimmt das Prozessdesign – nicht das Modell – Ihre Exposition.

Genau das ist die Logik der governance-fähigen KI-Agenten im BPM: Die KI schlägt vor, führt eng abgegrenzte Aufgaben aus und hinterlässt eine Spur; der Mensch entscheidet an den sensiblen Punkten.

Pflichten, wenn Sie Betreiber eines Hochrisiko-Systems sind

Die meisten Unternehmen sind Betreiber, nicht Anbieter. Dies sind die Pflichten, die die Verordnung Ihnen in dieser Rolle zuweist, wenn das System hochriskant ist:

  • Konforme Nutzung: das System gemäß der Gebrauchsanweisung des Anbieters nutzen, ohne es auf Zwecke umzuleiten, für die es nicht bewertet wurde.
  • Wirksame menschliche Aufsicht: Personen mit echter Kompetenz und Autorität benennen, um die Ausgabe der KI zu prüfen, zu überschreiben oder nicht anzuwenden. Ein automatisches „Genehmigen" genügt nicht.
  • Überwachung: den Betrieb beobachten und schwerwiegende Vorfälle oder erkannte Risiken an den Anbieter und die Behörde melden.
  • Log-Aufbewahrung: die vom System automatisch erzeugten Protokolle für den geltenden Zeitraum aufbewahren, um rekonstruieren zu können, was es entschieden hat und warum.
  • Information der Betroffenen: gegebenenfalls Personen darüber informieren, dass sie einem Hochrisiko-KI-System unterliegen.

Fast alle diese Pflichten haben denselben gemeinsamen Nenner: menschliche Aufsicht und ein auditierbarer Nachweis. Und genau hier macht das BPM den Unterschied.

So erfüllen Sie die Anforderungen mit governance-fähigem BPM

Die These von Dokuflex ist deutlich: Governance-fähiges BPM ist kein Add-on zur Compliance, es ist der Compliance-Mechanismus. Wenn KI in einem modellierten Prozess lebt, hören die Pflichten des EU AI Act auf, Dokumente zu sein, und werden zu Eigenschaften des Workflows.

Anforderung des EU AI Act Wie governance-fähiges BPM sie löst
Menschliche Aufsicht Natives Human-in-the-Loop: Die KI schlägt vor, ein Mensch validiert an den Schritten, die Personen betreffen, bevor der Prozess fortschreitet.
Log-Aufbewahrung Auditierbares Log pro Ausführung: Eingabe, Modellausgabe, der validierende Nutzer und ein Zeitstempel.
Dokumentation und Governance Prozessversionierung: Jede Änderung des Workflows und seiner Regeln wird erfasst und ist rekonstruierbar.
Modell-Nachvollziehbarkeit Aufzeichnung, welches Modell was mit welchem Konfidenzniveau entschieden und welche Quellen es in jedem Schritt genutzt hat.

Dasselbe Prinzip steuert die Dokumenten-KI: Um zu sehen, wie es auf ein Unternehmens-LLM mit Daten in der EU angewandt wird, lesen Sie LLM und RAG in Dokuflex unter EU-DSGVO, wo Nachvollziehbarkeit und Quellenangabe dieselbe Beweisfunktion erfüllen.

6-Punkte-Checkliste für Ihren KI-Workflow

Vor der allgemeinen Anwendung am 2. August 2026 prüfen Sie jede KI-Automatisierung anhand dieser sechs Punkte:

  1. Worüber entscheidet sie? Wenn sie relevante Entscheidungen über Personen beeinflusst (Beschäftigung, Kredit, wesentliche Dienste), behandeln Sie sie als Hochrisiko-Kandidaten.
  2. Gibt es echte menschliche Aufsicht? Stellen Sie einen menschlichen Validierungspunkt mit Autorität zum Überschreiben der KI-Ausgabe sicher.
  3. Werden Entscheidungen protokolliert? Jede Ausführung muss ein Log mit Eingabe, Ausgabe, Modell und verantwortlicher Person hinterlassen.
  4. Ist der Prozess versioniert? Änderungen an Regeln und Abläufen müssen nachverfolgt und rekonstruierbar sein.
  5. Sind Sie transparent? Wenn es ein Chatbot oder ein mit Personen interagierendes System ist, muss es sich als KI zu erkennen geben.
  6. Ist Ihre Rolle dokumentiert? Legen Sie fest, ob Sie als Anbieter oder Betreiber handeln, und dokumentieren Sie die Pflichten, die Sie in jedem Workflow übernehmen.

Häufig gestellte Fragen

Ist mein KI-Workflow nach dem EU AI Act hochriskant? +

Das hängt davon ab, worüber die KI entscheidet. Wenn der Workflow KI nutzt, um in Bereichen von Anhang III über Personen zu entscheiden (Bewerbungen vorfiltern, Beförderungs- oder Kündigungsentscheidungen, algorithmische Aufgabenzuweisung, Zugang zu wesentlichen Diensten, Kreditscoring, Bildung oder Biometrie), ist er wahrscheinlich hochriskant. Wenn die KI nur Dokumente extrahiert oder klassifiziert oder Entwürfe verfasst, die ein Mensch validiert, sinkt das Risiko deutlich, weil die Entscheidung menschlich bleibt.

Ab wann gilt der EU AI Act? +

Die Verordnung (EU) 2024/1689 trat am 1. August 2024 in Kraft und gilt schrittweise: Verbote und KI-Kompetenz gelten ab dem 2. Februar 2025; Pflichten für Modelle mit allgemeinem Verwendungszweck (GPAI) ab dem 2. August 2025; die allgemeine Anwendung, einschließlich der Hochrisiko-Systeme des Anhangs III, ab dem 2. August 2026; und in regulierte Produkte des Anhangs I eingebettete Hochrisiko-Systeme bis zum 2. August 2027.

Welche Pflichten habe ich als Betreiber (Nutzer) eines Hochrisiko-KI-Systems? +

Als Betreiber müssen Sie das System gemäß den Anweisungen des Anbieters nutzen, eine wirksame menschliche Aufsicht gewährleisten, den Betrieb überwachen und die automatisch erzeugten Logs für den geltenden Zeitraum aufbewahren. Der Anbieter übernimmt seinerseits Risikomanagement, Datengovernance, technische Dokumentation, Logging, Genauigkeit, Robustheit und Cybersicherheit des Systems.

Sind ein Rechnungs-OCR oder ein interner Chatbot hochriskant? +

Nein. Ein OCR, das Daten aus Rechnungen extrahiert, ist typischerweise minimales Risiko: Es entscheidet nicht über Personen. Ein interner Chatbot ist begrenztes Risiko und hat nur eine Transparenzpflicht: Er muss sich gegenüber dem Nutzer als KI zu erkennen geben. Hohes Risiko entsteht, wenn KI relevante Entscheidungen über Personen beeinflusst, etwa Bewerbungen vorzufiltern oder einen Kredit zu gewähren oder zu verweigern.

Wie hilft governance-fähiges BPM bei der Einhaltung des EU AI Act? +

Governance-fähiges BPM ist der Compliance-Mechanismus. Es bietet natives Human-in-the-Loop, damit ein Mensch jede Entscheidung validiert, die Personen betrifft, ein auditierbares Log pro Ausführung, Prozessversionierung und Nachvollziehbarkeit, welches Modell was mit welchem Konfidenzniveau entschieden hat. Das deckt die Anforderungen an menschliche Aufsicht, Log-Aufbewahrung und Dokumentation ab, die die Verordnung sowohl dem Anbieter als auch dem Betreiber auferlegt.

Welche Sanktionen drohen bei Verstößen gegen den EU AI Act? +

Die Verordnung sieht Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken und bis zu 15 Millionen Euro oder 3 % für Verstöße gegen andere Pflichten vor, je nachdem, welcher Betrag höher ist. Deshalb lohnt es sich, jeden KI-Workflow zu klassifizieren und die Governance-Maßnahmen vor der allgemeinen Anwendung im August 2026 zu dokumentieren.

Nächster Schritt

Machen Sie den EU AI Act zu einer Eigenschaft Ihrer Prozesse

Wir buchen eine geführte 60-Minuten-Sitzung, um Ihre KI-Workflows zu prüfen, ihre Risikostufe zu klassifizieren und zu sehen, wie das governance-fähige BPM von Dokuflex Human-in-the-Loop, auditierbare Logs und Prozessversionierung bietet.

Geführte Demo buchen KI-Funktionen ansehen Kostenlos starten