Die KI-Verordnung und Ihre KI-Architektur: Was sich 2026 ändert
Die KI-Verordnung der EU führt verbindliche Anforderungen für Hochrisiko-KI-Systeme ein. Art. 10 verlangt Data Governance. Art. 15 fordert Genauigkeit und Robustheit. Was das konkret für die Architektur Ihrer KI-Infrastruktur bedeutet.
Art. 10: Data Governance ist jetzt eine Architekturanforderung
Art. 10 der KI-Verordnung erlegt Hochrisiko-KI-Systemen verbindliche Data-Governance-Pflichten auf. Abs. 2 verlangt, dass Trainings-, Validierungs- und Testdatensätze „angemessenen Verfahren für die Datenverwaltung und das Datenmanagement unterliegen." Abs. 3 schreibt vor, dass Datensätze „relevant, repräsentativ, fehlerfrei und vollständig" sein müssen. Abs. 5 verlangt, dass die Verarbeitung personenbezogener Daten zur Bias-Überwachung „angemessenen Garantien für die Grundrechte und Grundfreiheiten natürlicher Personen" unterliegt.
Die meisten KI-Architekturen scheitern an Art. 10, weil Data Governance auf der Richtlinienebene aufgesetzt wird. Eine Zugriffskontrollliste verhindert nicht, dass eine fehlkonfigurierte Pipeline personenbezogene Daten in einen Trainingsdatensatz einspeist. Ein Datenkatalog stoppt keinen Ingenieur, der während der Modellentwicklung eine Identitätstabelle mit einem Feature Store verknüpft. Richtlinienbasierte Governance hängt davon ab, dass Menschen Verfahren befolgen. Art. 10 interessiert sich nicht für Ihre Verfahren — er interessiert sich für Ergebnisse.
Split-Knowledge-Architektur adressiert Art. 10 strukturell. Wenn Identitätsdaten in Sandbox A liegen und KI-Verarbeitung in Sandbox B stattfindet, ohne Netzwerkpfad dazwischen, kann das KI-System physisch nicht auf Identitätsinformationen während des Trainings oder der Inferenz zugreifen. Data Governance wird zu einer Infrastruktureigenschaft, nicht zu einer Richtlinienaspiration.
Art. 15: Genauigkeit, Robustheit und Cybersicherheit
Art. 15 Abs. 1 verlangt von Hochrisiko-KI-Systemen ein „angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit." Art. 15 Abs. 3 schreibt Resilienz gegen „Versuche unbefugter Dritter, ihre Nutzung, ihre Ergebnisse oder ihre Leistung durch Ausnutzung von Systemschwachstellen zu verändern" vor. Art. 15 Abs. 4 verlangt, dass das System „resilient gegenüber Fehlern, Störungen oder Inkonsistenzen" ist.
Die Cybersicherheitsdimension von Art. 15 ist der Bereich, an dem die meisten Organisationen scheitern werden. Ein monolithisches KI-System — eines, in dem Identitätsdaten, Verhaltensdaten und Modellergebnisse koexistieren — bietet eine einzige Angriffsfläche. Eine Kompromittierung dieses Systems liefert einen vollständig verknüpften Datensatz: Namen, Verhaltensweisen, KI-abgeleitete Risikoscores — alles in einem Breach.
In einer Dual-Sandbox-Architektur liefert ein Breach von Sandbox B pseudonymisierte Verhaltensdaten und Modellergebnisse. Der Angreifer erhält Transaktionsmuster, die an opake Token wie tok_a7f2x9k4 geknüpft sind. Ohne Zugriff auf die Mapping-Tabelle der ID Bridge — die in einem separaten Infrastrukturbereich mit HSM-geschützter Verschlüsselung liegt — sind diese Token rechnerisch nicht umkehrbar. Die Cybersicherheitslage verbessert sich, weil der Schadensradius architektonisch begrenzt ist.
Der Markt reagiert
Die Unternehmenswelt hat es bemerkt. Gartner prognostiziert den Markt für KI-Governance-Plattformen auf 492 Mio. USD in 2026 und über 1 Mrd. USD bis 2030. Forrester prognostiziert 30 % CAGR bis 2030. Confidential Computing — die Infrastrukturschicht für die Verarbeitung von Daten in verschlüsseltem Speicher — wird auf 59,4 Mrd. USD bis 2028 prognostiziert (MarketsAndMarkets).
Die Investitionssignale sind ebenso deutlich. Unternehmen, die Datenschutzlösungen auf Infrastrukturebene aufbauen, schließen signifikante Finanzierungsrunden ab — darunter eine 90-Mio.-USD-Serie-C unter Führung von Goldman Sachs für einen führenden Confidential-Computing-Anbieter mit über 150 Unternehmenskunden in Banken, Behörden und Gesundheitswesen. KI-Governance-Startups haben in den letzten 12 Monaten Runden von 125 Mio. USD, 34 Mio. USD und mehr abgeschlossen.
Was treibt das an? Derselbe regulatorische Stichtag, der auch Ihre Architekturentscheidungen bestimmen sollte: der 2. August 2026. Der Markt preist ein, was Regulierungsbehörden bereits ins Gesetz geschrieben haben.
Wo die meisten Architekturen scheitern: Eine Anforderungscheckliste
| Anforderung der KI-Verordnung | Artikel | Typische Architektur | Split-Knowledge-Architektur |
|---|---|---|---|
| Data Governance für Trainingsdatensätze | Art. 10 Abs. 2 | Richtlinienbasiert. Setzt voraus, dass Ingenieure keine Identitätstabellen mit Trainingsdaten verknüpfen. | Strukturell. Sandbox B hat keinen Netzwerkpfad zu Identitätsdaten. Trainingsdaten sind konstruktionsbedingt pseudonymisiert. |
| Bias-Überwachung mit Datenschutzgarantien | Art. 10 Abs. 5 | Erfordert Zugriff auf demografische Daten neben Modellergebnissen. Erzeugt Datenschutzrisiko. | Sandbox B erhält verallgemeinerte demografische Attribute (Altersgruppe, Region) — ausreichend für Bias-Erkennung, unzureichend für Identifikation. |
| Protokollierung von Hochrisiko-Systemoperationen | Art. 12 Abs. 1 | Logging auf Anwendungsebene, oft inkonsistent über Dienste hinweg. | Append-Only-Audit-Dienst protokolliert jede Operation über alle Komponenten. Unveränderliche Hash Chain verhindert Manipulation. |
| Transparenz gegenüber Nutzern | Art. 13 | Hinweis, dass KI eingesetzt wird. Schwer nachzuweisen, auf welche Daten die KI zugegriffen hat. | Nachweisbare Aussage: Die KI hat pseudonymisierte Daten verarbeitet. Sie konnte Sie während der Inferenz nicht identifizieren. |
| Mechanismus für menschliche Aufsicht | Art. 14 | Manuelle Überprüfungswarteschlangen. Prüfer sieht gleichzeitig vollständige Identität und KI-Ergebnis. | Re-Linkage-Protokoll. Menschlicher Prüfer inspiziert zuerst das KI-Ergebnis (pseudonymisiert) und fordert dann die Identität über die ID Bridge mit Audit-Trail und zeitlich begrenztem Zugriff an. |
| Genauigkeit und Robustheit | Art. 15 Abs. 1 | Tests in Umgebungen, in denen Identitäts- und KI-Daten vermischt sind. | Sandbox B kann unabhängig Stresstests unterzogen werden. Modellvalidierung erfordert keinen Zugriff auf Identitätsdaten. |
| Cybersicherheits-Resilienz | Art. 15 Abs. 3 | Einzelner Perimeter. Breach legt alles offen. | Zwei Sandboxes + Bridge. Breach einer Komponente kompromittiert nicht die anderen. Token-Rotation macht gestohlene Korrelationen ungültig. |
| Dokumentation der Konformitätsbewertung | Art. 43 | Dokumentation beschreibt ein großes, vernetztes System. Prüfungsumfang ist breit. | Klare Grenzen. Bewerter können Sandbox B (KI-System) unabhängig von Sandbox A (Identity Vault) evaluieren. Reduzierter Umfang, schnellere Bewertung. |
Durchsetzungszeitplan und Sanktionsstruktur
Die KI-Verordnung trat am 1. August 2024 in Kraft. Der Durchsetzungszeitplan ist gestaffelt:
- Februar 2025: Verbotene KI-Praktiken (Art. 5) wurden durchsetzbar.
- August 2025: Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (Kapitel V) gelten.
- August 2026: Vollständige Durchsetzung der Anforderungen an Hochrisiko-KI-Systeme (Art. 6–15, 26–27), einschließlich Konformitätsbewertungen, Marktüberwachung und Sanktionen.
Die Sanktionsstruktur ist die schärfste in der EU-Regulierungsgeschichte für Technologie:
- Bis zu 7 % des weltweiten Jahresumsatzes für Verstöße gegen verbotene KI-Praktiken (Art. 99 Abs. 3).
- Bis zu 3 % des weltweiten Jahresumsatzes für Nichteinhaltung der Anforderungen an Hochrisiko-KI-Systeme, einschließlich Art. 10 und Art. 15 (Art. 99 Abs. 4).
- Bis zu 1,5 % des weltweiten Jahresumsatzes für die Bereitstellung falscher Informationen an Behörden (Art. 99 Abs. 5).
Zum Vergleich: DSGVO-Sanktionen sind auf 4 % des weltweiten Umsatzes begrenzt. Die KI-Verordnung hebt die Obergrenze um 75 % für die schwersten Verstöße an. Und anders als in den ersten Jahren der DSGVO werden Regulierungsbehörden keine Schonfrist gewähren — der gestaffelte Zeitplan ist die Schonfrist.
Was Art. 10 für Ihre Datenpipeline bedeutet
Betrachten Sie eine Standard-ML-Pipeline: Datenaufnahme, Feature Engineering, Modelltraining, Inferenz-Serving, Monitoring. In einer monolithischen Architektur können Identitätsdaten in jede Phase einfließen. Ein Feature-Engineering-Schritt, der Kundendemografie mit Transaktionsdaten verknüpft, erzeugt einen Trainingsdatensatz, der sowohl Identität als auch Verhalten enthält. Dieser Datensatz verstößt gegen Art. 10 Abs. 5 in dem Moment, in dem er für die Bias-Überwachung ohne „angemessene Garantien" verwendet wird.
In einer Split-Knowledge-Architektur arbeitet die Pipeline anders:
- Aufnahme: Rohdaten gelangen über das Gateway. Identitätsattribute werden an Sandbox A geleitet. Verhaltensattribute werden an Sandbox B geleitet, wobei opake Token alle direkten Identifikatoren ersetzen.
- Feature Engineering: Findet vollständig innerhalb von Sandbox B statt. Features werden aus pseudonymisierten Verhaltensdaten abgeleitet. Im Feature Store existieren keine Identitätsspalten.
- Training: Modelle werden auf pseudonymisierten Datensätzen trainiert. Membership-Inference-Tests und Canary-Token-Injection verifizieren, dass Modelle keine Identitätsdaten memoriert haben.
- Inferenz: Anfragen erreichen Sandbox B als Token + Kontext-Payload. Das Modell gibt eine Vorhersage aus, die an ein Token geknüpft ist, das es nicht zu einer Person auflösen kann.
- Monitoring: Bias-Überwachung nutzt verallgemeinerte Attribute (Altersgruppe, Region), die Sandbox B bei der Aufnahme erhält. Diese Attribute erfüllen die Anforderungen zur Bias-Erkennung nach Art. 10 Abs. 5, während k-Anonymität von k>=5 gewahrt bleibt.
Jede Phase erfüllt Art. 10, weil die Architektur Nichteinhaltung physisch erschwert. Ein Ingenieur kann nicht versehentlich Identitätsdaten mit Trainingsdaten verknüpfen, weil die Identitätsdaten vom Netzwerk von Sandbox B aus nicht erreichbar sind.
Der Vorteil bei der Konformitätsbewertung
Art. 43 verlangt Konformitätsbewertungen für Hochrisiko-KI-Systeme. Diese Bewertungen prüfen, ob das System die Anforderungen der Art. 8–15 erfüllt. Für ein monolithisches System umfasst der Bewertungsumfang die gesamte Infrastruktur — jede Datenbank, jeden Dienst, jeden Netzwerkpfad.
Für ein Dual-Sandbox-System kann sich der Bewerter auf Sandbox B für KI-spezifische Anforderungen (Modell-Governance, Genauigkeit, Bias) und auf die ID Bridge für die Integrität der Pseudonymisierung konzentrieren. Sandbox A ist ein Standard-Identity-Vault — gut verstanden, mit ausgereiften Compliance-Mustern. Die Bewertung wird modular.
Das ist praktisch relevant. Konformitätsbewertungen kosten Zeit und Geld. Reduzierter Umfang reduziert beides. Organisationen, die auf Bewertbarkeit hin architektonisch planen — nicht nur auf Compliance — gewinnen einen strukturellen Vorteil, wenn der August 2026 kommt.