EU AI Act ab August 2026: Was SAP-Business-AI-Nutzer dokumentieren müssen

Q: Gilt der EU AI Act auch wenn SAP als Processor auftritt?

Ja. Der EU AI Act adressiert den Deployer. Als Deployer bleiben Sie für Risikoklassifikation, Human Oversight und Dokumentation zuständig, unabhängig davon ob SAP als Processor gilt.

Q: Was passiert wenn wir am 2. August 2026 noch nicht vollständig dokumentiert sind?

Der EU AI Act sieht Bußgelder von bis zu 30 Millionen Euro oder 6 Prozent des weltweiten Jahresumsatzes vor. Aufsichtsbehörden können die Nutzung eines nicht-konformen Systems untersagen.

Der EU AI Act stellt strenge Anforderungen an Hochrisiko-Systeme. SAP bringt Zertifizierungen mit (ISO/IEC 42001, SOC 2), aber Dokumentation, Risikoanalyse und menschliche Aufsicht liegen beim Kunden. Wo SAP-Business-AI-Use-Cases hineinfallen, welche Dokumentation Pflicht ist und welche Steuerungsmomente bis August 2026 anstehen.

1. Timeline und Geltungsbereich

Am 2. August 2026 tritt der EU AI Act für Hochrisiko-KI-Systeme vollständig in Kraft. Was viele Unternehmen unterschätzen: Der Stichtag ist nicht der Beginn einer Übergangsfrist, sondern ihr Ende. Die Vollwirkung gilt ab diesem Datum.

Die Etappen im Überblick: Das Gesetz ist seit August 2024 in Kraft. Verbote unzulässiger AI-Praktiken gelten seit Februar 2025. Regeln für General Purpose AI Models folgen ab August 2025. Die vollständige Geltung für Hochrisiko-AI-Systeme beginnt am 2. August 2026 (Quelle: European Commission, AI Act Regulatory Framework).

Geografisch gilt: Wer SAP-Business-AI-Use-Cases in der EU betreibt oder mit EU-bezogenen Daten arbeitet, fällt in den Geltungsbereich. Unternehmen mit Sitz außerhalb der EU, die Systeme in der EU einsetzen oder deren Ergebnisse EU-Bürger betreffen, sind ebenfalls adressiert (Quelle: Holland & Knight, EU AI Act Compliance Deadline April 2026).

Der EU AI Act unterscheidet vier Risikoklassen: verboten, hochriskant, begrenzt riskant und minimal riskant. Für SAP-Business-AI-Nutzer ist die Hochrisiko-Klassifikation der entscheidende Steuerungsmoment.

2. Was als Hochrisiko gilt bei SAP-Use-Cases

Nicht jede AI-Funktion in SAP Business AI ist Hochrisiko. Entscheidend ist, welchen Use Case Sie mit der AI abdecken, nicht welches Tool Sie verwenden.

Als Hochrisiko klassifiziert der EU AI Act unter anderem Systeme, die in folgenden Bereichen eingesetzt werden:

HR und Personalentscheidungen: Automatisiertes Bewerber-Screening, Leistungsbewertung, Priorisierung von Kandidaten. In SAP SuccessFactors betrifft das konkret AI-gestützte Recruiting-Funktionen und Performance-Management-Features. Wer Joule zur Kandidatenauswahl oder Bewertungsunterstützung nutzt, bewegt sich im Hochrisiko-Bereich.

Kreditscoring und Finanzentscheidungen: AI-gestützte Bonitätsbewertungen, automatisierte Kreditentscheidungen und risikobasierte Preisbildung fallen in die Hochrisiko-Kategorie. In SAP-Finance-Kontexten betrifft das AI-Features, die in Kreditmanagement oder Risikosteuerung eingebunden sind.

Kritische Infrastruktur und Lieferkette: Procurement-AI, die Lieferketten steuert oder Engpässe priorisiert, kann je nach Unternehmenskontext in die Hochrisiko-Kategorie fallen. Dasselbe gilt für Supply-Chain-AI in sicherheitsrelevanten Branchen.

Worker Management: Systeme, die Arbeitszeit, Aufgabenzuweisung oder Performance-Monitoring automatisieren, fallen ebenfalls unter die strengen Anforderungen.

Der Steuerungsmoment liegt hier vor dem Go-live, nicht danach: Eine Use-Case-Klassifizierung muss vor der Inbetriebnahme produktiver AI-Funktionen abgeschlossen sein. Wer bereits produktive Use-Cases betreibt, prüft die Klassifikation rückwirkend.

Quellen: European Commission, AI Act Regulatory Framework; SAP Trust Center, How SAP aligns with the EU AI Act.

3. Was SAP-Zertifizierungen abdecken und was nicht

SAP hat als einer der ersten globalen Anbieter die ISO/IEC 42001-Zertifizierung für AI Management Systems erlangt. Ergänzend veröffentlicht SAP regelmäßige SOC 2 Type II-Berichte und hält ISO 27001 für Information Security Management.

Diese Zertifizierungen sind ein substanzieller Nachweis für SAPs Anbieter-Pflichten. Sie decken ab: SAPs AI-Governance-Prozesse, Rollen und Verantwortlichkeiten auf Anbieterseite, kontrollierte Inbetriebnahme von SAP-Produkten, Monitoring auf Infrastrukturebene sowie die Transparenzanforderungen gegenüber Regulierungsbehörden.

Was sie nicht abdecken: Ihre eigenen Deployer-Pflichten.

Der EU AI Act unterscheidet klar zwischen Provider (Anbieter) und Deployer (Betreiber). SAP ist Provider. Ihr Unternehmen ist Deployer. Als Deployer tragen Sie die Verantwortung für Risikoklassifikation Ihrer Use Cases, technische Dokumentation der eigenen Systeme, Human Oversight in produktiven Prozessen sowie Logging und Monitoring auf Anwendungsebene.

SAPs Zertifizierungen helfen Ihnen als Nachweis für die Qualität der verwendeten Plattform. Sie ersetzen aber keine eigene Dokumentation. Dieser Steuerungsmoment lässt sich nicht delegieren (Quelle: SAP Trust Center).

4. Was Sie als Kunde dokumentieren müssen

Für Hochrisiko-AI-Systeme verlangt der EU AI Act eine vollständige technische Dokumentation vor Inbetriebnahme. Die folgenden sieben Punkte bilden die Kernanforderungen für SAP-Business-AI-Deployer:

1. Use-Case-Register mit Risikoklassifikation Jeder produktive AI-Use-Case wird erfasst und klassifiziert. Für jeden Use Case: Beschreibung der Funktion, betroffene Datenkategorien, Hochrisiko-Bewertung mit Begründung. Dieses Register ist die Basis aller weiteren Pflichten.

2. Technische Dokumentation des AI-Systems Architektur der eingesetzten Komponenten (welche SAP-AI-Features, welche Foundation Models via GenAI Hub), Datenfluss vom Input bis zur Entscheidungsausgabe, eingesetzte Modelle und deren Einschränkungen. SAP stellt Dokumentation auf Systemebene via Trust Center bereit. Die Anwendungsebene dokumentieren Sie selbst.

3. Risk-Management-System Identifikation potenzieller Risiken (Fehlentscheidungen, Bias, unerwünschte Outputs), Bewertung der Eintrittswahrscheinlichkeit und Auswirkung sowie definierte Mitigationsmaßnahmen. Das Risk-Management-System ist kein einmaliges Dokument, sondern ein laufender Prozess.

4. Human Oversight Konzept Wer überwacht AI-gestützte Entscheidungen und auf welcher Grundlage? Bei welchen Ausgaben greift ein Mensch zwingend ein? Wie wird eine Entscheidung dokumentiert, wenn ein Mensch von der AI-Empfehlung abweicht? Der EU AI Act fordert Human Oversight nicht als Formalität, sondern als nachweisbare Steuerung.

5. Logging und Audit-Logs Audit-Logs für alle produktiven AI-Entscheidungen im Hochrisiko-Bereich. Aufbewahrungsfristen definiert. BTP-Konfiguration auf Logging aktiviert. Dieser Steuerungsmoment liegt in der technischen Konfiguration, nicht nur in Policies.

6. Transparenz gegenüber betroffenen Personen Wer von AI-Entscheidungen betroffen ist, muss darüber informiert werden. Bei HR-Use-Cases (Bewerber-Screening, Performance-Bewertung) ist das eine direkte gesetzliche Anforderung. Wie Sie diese Transparenz operationalisieren, ist Teil der Dokumentation.

7. Notfall-Abschaltverfahren Für jeden Hochrisiko-Use-Case ist ein Verfahren zur sofortigen Deaktivierung des Systems dokumentiert. Wer entscheidet, wie wird eskaliert, und welche Prozesse laufen in der Zwischenzeit manuell? Dieser Steuerungsmoment ist operativ und organisatorisch.

Quelle: SAP Insider, Sapphire 2026 AI Agent Guardrails.

5. Branchenspezifische Zusatzanforderungen

Der EU AI Act ist die Grundschicht. Für regulierte Branchen kommen sektorspezifische Anforderungen hinzu, die teilweise strenger sind.

Finance: BaFin und EBA Finanzinstitute in Deutschland und der EU unterliegen zusätzlich den Anforderungen von BaFin und EBA. Diese verlangen ein eigenständiges AI-Use-Case-Inventar für alle AI-Systeme in der Kreditvergabe und im Risikomanagement. Erklärbarkeit von AI-Entscheidungen ist Pflicht, nicht Option. Hinzu kommt DORA-Compliance (Digital Operational Resilience Act): AI-Services, die Teil kritischer Systeme sind, unterliegen eigenen Anforderungen an Betriebsresilienz und Meldepflichten bei Ausfällen. Für SAP-Finance-AI bedeutet das: jeder Steuerungsmoment im Credit-Management-Prozess ist dokumentationspflichtig.

Pharma und Life Sciences GxP-Validierung ist für AI-Komponenten, die in regulierten Produktionsprozessen oder der Qualitätssicherung eingesetzt werden, Voraussetzung. Wer SAP-AI-Features in der Pharmaceutical Supply Chain nutzt, prüft, ob die Komponenten GxP-validierbar sind. SAP stellt dafür keine generische Branchenzertifizierung bereit: der Nachweis liegt beim Kunden.

Public Sector Behörden und öffentliche Auftraggeber arbeiten in Deutschland unter BSI-Vorgaben. Für AI-Services in Cloud-Umgebungen ist das C5-Testat des BSI der Referenzrahmen. SAP Business AI auf BTP kann das C5-Testat als Grundlage nutzen, die anwendungsseitige Compliance liegt beim Betreiber.

In allen drei Branchen gilt: Die Dokumentationspflichten aus dem EU AI Act werden durch sektorale Regelwerke nicht ersetzt, sondern ergänzt.

6. Bis August 2026: konkrete Steuerungsmomente

Drei Monate vor dem Stichtag ist der Handlungsbedarf strukturiert:

Steuerungsmoment 1: Use-Case-Inventar erstellen Alle produktiven SAP-Business-AI-Use-Cases erfassen. Für jeden Use Case: aktiv oder nicht, Hochrisiko ja/nein, Dokumentationsstand. Ein einfaches Register genügt als Ausgangspunkt. Wer nicht weiss, welche AI-Features aktiv genutzt werden, startet mit einer Bestandsaufnahme der aktivierten Joule-Skills, der SuccessFactors-AI-Features und der GenAI-Hub-Verbindungen.

Steuerungsmoment 2: Deployer-Pflichten klären Für jeden Hochrisiko-Use-Case: Wer ist intern verantwortlich? Welche Dokumentation fehlt? Bis wann ist Human Oversight definiert und operativ? Dieser Steuerungsmoment ist organisatorisch und erfordert Abstimmung zwischen IT, Compliance und den Fachbereichen, die AI-Features nutzen.

Steuerungsmoment 3: Laufende Governance aufbauen EU AI Act-Compliance ist kein einmaliges Projekt. Risk Management, Logging und Human Oversight sind laufende Steuerungsaufgaben. Wer sie jetzt aufbaut, hat eine Governance-Schicht, die auch künftige AI-Rollouts abdeckt. SAPs AI Agent Hub (Q3 2026 GA) kann hier als Betriebswerkzeug eingesetzt werden.

FAQ

Gilt der EU AI Act auch, wenn SAP für uns als Processor auftritt? Ja. Der EU AI Act adressiert den Deployer, also das Unternehmen, das ein AI-System in Betrieb nimmt und nutzt. Ob SAP als technischer Anbieter Processor oder Controller ist, ist eine datenschutzrechtliche Frage und unabhängig von der AI-Act-Verantwortlichkeit. Als Deployer bleiben Sie für Risikoklassifikation, Human Oversight und Dokumentation zuständig.

SAP hat ISO/IEC 42001. Reicht das als Nachweis für unsere Compliance? Nein. SAPs Zertifizierung belegt SAPs Anbieter-Prozesse. Ihre Deployer-Pflichten, darunter Use-Case-Klassifikation, technische Dokumentation und Human Oversight auf Anwendungsebene, müssen Sie selbst dokumentieren und nachweisen können. SAPs Trust-Center-Dokumente sind ein hilfreicher Ausgangspunkt für die Systembeschreibung, ersetzen aber keine eigene Governance-Dokumentation.

Was passiert, wenn wir am 2. August 2026 noch nicht vollständig dokumentiert sind? Der EU AI Act sieht bei Hochrisiko-Systemen ohne vollständige Dokumentation Bußgelder von bis zu 30 Millionen Euro oder 6 Prozent des weltweiten Jahresumsatzes vor. Wichtiger als die Bußgeldhöhe ist die Signalwirkung: Aufsichtsbehörden können die Nutzung eines nicht-konformen Systems untersagen. Wer bis August 2026 ein strukturiertes, nachvollziehbares Dokumentationsregister vorlegen kann, hat eine deutlich bessere Ausgangslage als jemand, der keine Governance-Schicht aufgebaut hat.

Welche SAP-Tools helfen bei der Compliance-Dokumentation? SAPs AI Agent Hub (Q3 2026, auf LeanIX-Basis) bietet Discovery, Verification und Observability für AI-Agenten und ist primär als Compliance-Werkzeug konzipiert. BTP-Audit-Logs sind konfigurierbar und decken die Logging-Pflicht auf Infrastrukturebene ab. Für die Anwendungsdokumentation und das Risk-Management-System gibt es kein SAP-Standardtool: das liegt in der organisatorischen Verantwortung des Kunden.

Quellen: European Commission, AI Act Regulatory Framework; SAP Trust Center, How SAP aligns with the EU AI Act; Holland & Knight, U.S. Companies Face EU AI Act's August 2026 Compliance Deadline; SAP Insider, Sapphire 2026 AI Agent Guardrails.