Deckt SAPs ISO/IEC 42001 unsere Compliance-Anforderungen?

Nein. SAPs Zertifizierung belegt SAPs Anbieter-Prozesse. Ihre Deployer-Pflichten müssen Sie selbst dokumentieren und nachweisen können.

Welche SAP-Tools helfen bei der Compliance-Dokumentation?

SAPs AI Agent Hub (Q3 2026) bietet Discovery, Verification und Observability. BTP-Audit-Logs decken die Logging-Pflicht ab. Für Anwendungsdokumentation und Risk-Management-System gibt es kein SAP-Standardtool.

Was ist der Stichtag für die Vollwirkung des EU AI Act?

2. August 2026. Das ist nicht der Beginn einer Übergangsfrist, sondern ihr Ende. Bußgelder bis zu 30 Millionen Euro oder 6 Prozent des Jahresumsatzes sind möglich.

EU AI Act und SAP Business AI: Was sich ab August 2026 ändert und was Sie selbst dokumentieren müssen

Ab 2. August 2026 gilt der EU AI Act in voller Wirkung. Hochrisiko-Systeme unterliegen strengen Anforderungen an Risikomanagement, Daten-Governance, Transparenz und menschliche Aufsicht. SAP bringt Zertifizierungen mit, aber der Kunde trägt einen wesentlichen Teil der Compliance-Last selbst. Wo SAP-Business-AI-Use-Cases hineinfallen und welche Steuerungsmomente daraus entstehen.

1. Timeline und Geltungsbereich des EU AI Act

Der EU AI Act ist seit August 2024 schrittweise in Kraft getreten. Die Implementierung verlief in klar definierten Stufen: Im Februar 2025 wurden Verbote für unzulässige AI-Praktiken wirksam. Im August 2025 traten die Regelungen für General Purpose AI Models (GPAI) in Kraft. Am 2. August 2026 tritt die Vollwirkung für Hochrisiko-AI-Systeme in Kraft. Eine weitere Stufe für bestimmte Anhang-III-Systeme folgt im August 2027 (Quelle: European Commission AI Act Regulatory Framework, SAP Trust Center).

Der Geltungsbereich ist bewusst weit gefasst: Das Gesetz gilt für alle AI-Systeme, die in der EU eingesetzt werden, unabhängig vom Sitz des Anbieters. Auch US-amerikanische Unternehmen mit EU-Betrieb sind betroffen (Quelle: Holland & Knight, US Companies Face EU AI Act's August 2026 Compliance Deadline). Für SAP-Kunden in DACH bedeutet das: Wer SAP Business AI produktiv betreibt, hat spätestens seit Anfang 2026 einen konkreten Handlungsbedarf, diesen Betrieb auf seine regulatorische Klassifizierung hin zu prüfen.

Die Frage ist dabei nicht, ob das eigene Unternehmen AI einsetzt, sondern wie. Der erste Steuerungsmoment im EU-AI-Act-Kontext besteht genau darin: die eigenen AI-Use-Cases in SAP systematisch zu inventarisieren, bevor die Vollwirkung greift.

2. Was als Hochrisiko-System gilt, mit SAP-Beispielen

Der EU AI Act unterscheidet verschiedene Risikostufen. Für SAP-Kunden sind vor allem AI-Systeme relevant, die in Anhang III des Gesetzes als Hochrisiko eingestuft sind. Diese Kategorie unterliegt den strengsten Anforderungen: Konformitätsbewertung, technische Dokumentation, Risk-Management-System, Human-Oversight-Mechanismen, Logging und Monitoring sowie EU-Datenbankregistrierung.

Für SAP-Business-AI-Use-Cases sind vier Anhang-III-Kategorien besonders relevant:

HR und Worker Management: AI-Features in SuccessFactors, die Bewerber-Screening, Performance-Bewertung oder Mitarbeiterüberwachung unterstützen, können als Hochrisiko eingestuft werden. Hier ist der Procurement-Bereich beim initialen Vertragsentscheid gefordert, die Hochrisiko-Klassifizierung zu berücksichtigen. Der Contract Manager trägt die laufende Steuerungsverantwortung für die Dokumentationspflichten.

Kreditscoring und Finanzentscheidungen: AI-Features in S/4HANA Finance, die in Kredit- oder Risikobewertungsprozesse einfließen, fallen potenziell unter diese Kategorie. Das Controlling hat hier eine direkte Relevanz: Audit-Fähigkeit und Erklärbarkeit der AI-gestützten Entscheidungen sind regulatorisch erforderlich.

Kritische Infrastruktur: AI-Funktionen in Procurement- und Supply-Chain-Lösungen können bei kritischer Infrastruktur relevant sein. Der Executive trägt die finale Governance-Verantwortung für die Freigabe solcher Use Cases.

Biometrische Identifikation: AI-Systeme, die in Zugangssteuerung oder Identitätsprüfung eingesetzt werden, etwa in HR-Prozessen, sind ebenfalls Hochrisiko-Kandidaten.

Der entscheidende Punkt: Die Verantwortung als Deployer liegt beim Kunden, nicht bei SAP als Anbieter. SAP's Zertifizierungen decken SAP's eigene Anbieter-Pflichten ab. Die Deployer-Pflichten für den produktiven Betrieb der Systeme liegen vollständig beim Kunden (Quelle: SAP Trust Center, EU AI Act Compliance).

3. SAP-Zertifizierungen: ISO/IEC 42001 und SOC 2

SAP hat für seine AI-Dienste relevante Zertifizierungen erworben, die im Compliance-Dialog eine wichtige Basis bilden.

ISO/IEC 42001 ist die internationale Norm für AI Management Systems. SAP ist laut eigener Kommunikation eines der ersten großen Unternehmen weltweit mit dieser Zertifizierung. Der Standard deckt AI-Governance, Risk Management, kontrolliertes Deployment, kontinuierliche Überwachung, Continuous Improvement und Transparenz für SAP's eigene AI-Prozesse ab.

SOC 2 Type II prüft in einem 12-Monats-Auditzyklus die Cloud-Sicherheit der AI-Services. Ergänzend gelten ISO 27001 für Information Security Management und das EU-US Data Privacy Framework für transatlantische Datenübermittlungen.

Was diese Zertifizierungen für den Kunden bedeuten: Sie sind ein belastbarer Nachweis für SAP's Anbieter-Sorgfalt. Sie ersetzen aber nicht die eigene Compliance-Dokumentation des Kunden als Deployer. Für eine Konformitätsbewertung nach EU AI Act reicht es nicht aus, auf SAP's Zertifikate zu verweisen. Der Kunde muss seine eigenen AI-Management-Prozesse, seine eigene Use-Case-Klassifizierung und seine eigenen Human-Oversight-Mechanismen separat dokumentieren und nachweisen können.

Für den Contract Manager entsteht daraus ein konkreter Steuerungsmoment: Im Order Form sollten SAP's Trust-Center-Dokumente und Zertifizierungsnachweise als vertraglich zugesicherte Unterlagen referenziert werden. Das erleichtert spätere Audits erheblich.

4. AI Agent Hub als Compliance-Werkzeug

Der SAP AI Agent Hub ist planmäßig für das dritte Quartal 2026 als Generally Available angekündigt. Er ist auf SAP LeanIX aufgebaut und bietet eine technische Infrastruktur, die direkt auf die Anforderungen des EU AI Act ausgerichtet ist.

Die fünf zentralen Funktionen und ihre Compliance-Relevanz:

Discovery schafft das Inventar aller Agenten im Tenant. Das ist die technische Grundlage für die EU-AI-Act-Registrierungspflicht (Artikel 16).

Verification stellt sicher, dass Agenten autorisiert sind und unter definierten Policies laufen. Das adressiert die Anforderung an einen kontrollierten Deployment-Prozess für Hochrisiko-Systeme.

Observability liefert Logging und Monitoring. Das ist für Hochrisiko-Systeme nach Artikel 12 des EU AI Act explizit verlangt.

Policy Definition definiert Human-Oversight-Mechanismen. Wer darf welche Agenten mit welchen Daten betreiben? Das adressiert eine der Kernpflichten für Hochrisiko-Deployer.

Optimization ermöglicht KPI-Tracking pro Agent. Das unterstützt den Nachweis von Continuous Improvement, der in ISO/IEC 42001 und im EU AI Act als laufende Pflicht verankert ist (Quellen: SAP Trust Center, SAP Insider Sapphire 2026 AI Agent Guardrails).

Für Procurement und Contract Manager ist der AI Agent Hub deshalb kein optionales Betriebs-Tool, sondern eine Grundlage für die eigene Steuerungsfähigkeit. Wer vor August 2026 produktive Hochrisiko-Use-Cases betreibt, sollte sicherstellen, dass entweder der AI Agent Hub eingeplant ist oder eine gleichwertige eigene Lösung zur Verfügung steht. Dieser Steuerungsmoment lässt sich nicht auf nach dem Go-live verschieben.

5. Data Sovereignty und Tenant-Isolation

Neben der EU-AI-Act-Compliance berührt SAP Business AI die Frage, was mit Unternehmensdaten in AI-Workflows passiert. Der EU AI Act verlangt für Hochrisiko-Systeme explizit eine Daten-Governance mit Dokumentation der eingesetzten Datenkategorien.

SAP adressiert das über mehrere Ebenen:

Tenant-Isolation: Kunden-Geschäftsdaten bleiben im Kunden-Tenant. SAP greift nicht zu, außer für vereinbarte Betriebsprozesse.

Kein Modell-Training mit Kundendaten: SAP nutzt Kunden-Geschäftsdaten laut Standard-AI-Terms nicht für das Training eigener Modelle. Diese Zusage ist die Grundlage, auf der Kunden sensible Geschäftsdaten in AI-Workflows einsetzen können (Quelle: SAP Trust Center, Data Sovereignty).

GenAI Hub und externe Modelle: Prompts werden über den Generative AI Hub geroutet, der das Modell-API abstrahiert. Die Datennutzungsbedingungen für externe Foundation Models richten sich nach dem jeweiligen Vertrag des Modell-Anbieters mit SAP, nicht nach SAP's eigenem AI-Terms-Dokument. Für sensible Datenkategorien empfiehlt sich eine explizite Prüfung dieser zweiten Vertragsebene.

Der Steuerungsmoment für das Controlling besteht in der Datenkategorisierung: Welche Daten fließen in welche AI-Workflows? Diese Frage muss vor dem produktiven Betrieb beantwortet sein, weil sie die Hochrisiko-Klassifizierung und damit den gesamten Compliance-Aufwand direkt beeinflusst. Ohne diese Grundlage ist eine belastbare Bewertung der eigenen Compliance-Anforderungen nicht möglich.

6. IP-Indemnification

IP-Indemnification ist die vertragliche Zusicherung, dass SAP für eventuelle Verletzungen geistiger Eigentumsrechte durch die AI-Systeme haftet oder den Kunden schadlos hält. Im Kontext des EU AI Act gewinnt diese Klausel an Bedeutung: Hochrisiko-AI-Output, der zu Fehlinformationen oder Fehlentscheidungen führt, kann Haftungsfragen erzeugen.

Was SAP standardmäßig zusichert: Indemnifizierung für IP-Verletzungen durch SAP-eigene Modelle (SAP-ABAP-1, SAP-RPT-1). Für bestimmte Drittpartei-Modelle im GenAI Hub kann eine erweiterte Indemnification verhandelt werden, dies ist aber nicht der Standard.

Was SAP nicht standardmäßig zusichert: IP-Indemnification für Output, den der Kunde mit in Joule Studio selbst entwickelten Agenten produziert. Indemnification bei Verstößen gegen branchenspezifische Regulierung wie die Medical Device Regulation.

Die praktische Konsequenz für Procurement und Contract Manager: Für Use Cases mit potenziell haftungsrelevanten Outputs, etwa in der Pharmaindustrie, im Rechtsbereich oder im Finanzdienstleistungsbereich, sollten explizite IP-Klauseln im Order Form verankert werden. Dieser Steuerungsmoment liegt vor der Vertragsunterzeichnung, nicht danach. Nach dem Vertragsabschluss ist die Verhandlungsposition deutlich eingeschränkter.

Eine strukturierte Prüfung der IP-Indemnification-Klauseln ist auch deshalb sinnvoll, weil SAP die Standardbedingungen regelmäßig aktualisiert. Was in einem 2024 abgeschlossenen RISE-Vertrag stand, weicht möglicherweise vom aktuellen SAP-AI-Terms-Dokument ab. Für den Contract Manager ergibt sich daraus ein laufender Steuerungsmoment: die Klauselaktualität bei Änderungen des AI-Terms-Dokuments zu prüfen.

7. Branchenspezifische Anforderungen

Über die generellen EU-AI-Act-Anforderungen hinaus bestehen in regulierten Branchen zusätzliche Compliance-Anforderungen, die SAP Business AI betreffen.

Finanzdienstleistungsbereich: BaFin, EBA und FINMA verlangen ein AI-Use-Case-Inventar, Erklärbarkeit für Kredit- und Risikobewertungen sowie DORA-Compliance (Digital Operational Resilience Act) für AI-Services. Für Controlling und Executive bedeutet das eine doppelte Compliance-Ebene: EU AI Act und DORA greifen gleichzeitig.

Pharma und Life Sciences: GxP-Validierung ist für AI-Komponenten erforderlich, die in GxP-regulierten Prozessen eingesetzt werden. Bei medizinischer Software greift die Medical Device Regulation (MDR). SAP bietet keine generische GxP-Validierungsdokumentation für Business AI.

Defense und kritische Infrastruktur: NIS-2-Anforderungen gelten für AI-Komponenten in kritischer Infrastruktur. Souveränitätsanforderungen können eine EU-Cloud-Verarbeitung zwingend vorschreiben.

Öffentlicher Sektor: BSI-Vorgaben und C5-Testat-Anforderungen für Cloud-Services können auf AI-Services ausgedehnt werden.

Der gemeinsame Nenner: SAP bietet keine generische Branchenzertifizierung für Business AI. Die branchenspezifische Compliance muss jeder Kunde auf Basis von SAP's Trust-Center-Dokumenten und einem eigenen AI-Governance-Framework eigenständig nachweisen (Quelle: SAP Trust Center, NextLytics DSAG Technology Days 2026).

Für den Executive entsteht daraus ein strukturierter Steuerungsmoment: Vor der Freigabe eines produktiven AI-Use-Cases sollte ein Compliance-Check vorliegen, der die generischen EU-AI-Act-Anforderungen und die branchenspezifischen Zusatzpflichten gemeinsam bewertet. Diesen Check intern oder mit unabhängiger Expertise aufzubauen, ist eine Governance-Entscheidung, die typischerweise auf Executive-Ebene getroffen wird.

FAQ

Gilt der EU AI Act auch für uns, wenn SAP der Anbieter ist?

Ja. Der EU AI Act unterscheidet zwischen Anbieter und Deployer. SAP ist der Anbieter der AI-Systeme und trägt entsprechende Pflichten, die SAP durch seine Zertifizierungen (ISO/IEC 42001, SOC 2) nachweist. Der Kunde ist als Deployer verantwortlich für den konkreten Einsatz: Use-Case-Klassifizierung, Konformitätsbewertung, Human Oversight, Logging und Monitoring. Diese Deployer-Pflichten können nicht an SAP delegiert werden (Quelle: European Commission, SAP Trust Center).

Was muss ich vor dem 2. August 2026 abgeschlossen haben?

Für jeden produktiven AI-Use-Case in einer Hochrisiko-Kategorie sollten bis zum 2. August 2026 folgende Elemente vorliegen: eine dokumentierte Klassifizierung des Use Cases, eine abgeschlossene Konformitätsbewertung, ein etabliertes Risk-Management-System, definierte Human-Oversight-Mechanismen sowie aktives Logging und Monitoring. Die Inventarisierung aller eingesetzten AI-Use-Cases ist der sinnvollste erste Schritt (Quelle: Secure Privacy EU AI Act 2026 Compliance).

Hilft der SAP AI Agent Hub bei der EU-AI-Act-Compliance?

Der AI Agent Hub adressiert mehrere EU-AI-Act-Anforderungen direkt: Inventar aller Agenten (Registrierungspflicht), Observability mit Logging (Artikel 12), Policy-Management für Human Oversight sowie Verification für kontrollierten Betrieb. Er ist eine technische Grundlage, ersetzt aber nicht die organisatorische Governance-Funktion des Kunden. Use-Case-Klassifizierung, Konformitätsbewertung und branchenspezifische Prüfungen liegen weiterhin beim Kunden (Quelle: SAP Insider Sapphire 2026 AI Agent Guardrails).

Was ist der erste konkrete Schritt?

Der erste Steuerungsmoment ist die Use-Case-Inventarisierung: Welche AI-Features in SAP Business AI werden produktiv genutzt? Welche davon fallen potenziell unter eine Hochrisiko-Kategorie des EU AI Act? Diese Grundlage bestimmt den gesamten Compliance-Aufwand. Ohne sie ist eine belastbare Einschätzung des eigenen Handlungsbedarfs nicht möglich. Für SAP-Kunden mit komplexen Vertragsportfolios ist dieser Schritt eng mit der Vertragsanalyse verknüpft: Welche AI-Capabilities sind vertraglich lizenziert, und welche davon werden tatsächlich produktiv eingesetzt?

Interne Links

Hub Pillar 2: SAP Business AI: Lizenzierung, Verbrauch und Governance steuern
Cluster 4: Joule, Skills, Agents und Foundation Models

Quellen: SAP Trust Center (EU AI Act Compliance, Data Sovereignty), European Commission (AI Act Regulatory Framework), Holland & Knight (US Companies Face EU AI Act's August 2026 Compliance Deadline), SAP Insider (Sapphire 2026 AI Agent Guardrails), NextLytics (DSAG Technology Days 2026), Secure Privacy (EU AI Act 2026 Compliance), Legal Nodes (EU AI Act 2026 Updates)