EU AI Act und Enterprise Architecture: Wo Sie anfangen, indem Sie Ihre KI-Systeme kartieren

Beginnen Sie mit einer Frage, die der AI Act immer wieder stellt: Welche KI-Systeme betreiben Sie?

Der EU AI Act ist neu, und viele Teams sind sich noch unsicher, wo sie beginnen sollen. Die ehrliche Antwort ist, dass Sie nicht steuern können, was Sie nicht auflisten können. Fast jede Pflicht der Verordnung — von der Risikoklassifikation über die Dokumentation bis zur menschlichen Aufsicht — setzt eines voraus: dass Sie tatsächlich wissen, welche KI-Systeme Ihre Organisation einsetzt oder nutzt, was sie tun und was sie berühren.

Für die meisten Organisationen existiert dieses Inventar nicht als eine einzige, vertrauenswürdige Sicht. KI hat sich durch beschaffte Software, Punktlösungen, eingebettete Funktionen und eine Handvoll hauseigener Modelle eingeschlichen, im Besitz verschiedener Teams. Der erste praktische Schritt ist also kein rechtlicher. Er ist ein architektonischer: ein aktuelles, nachverfolgbares Inventar von KI-Systemen aufbauen. Dieser Artikel ist eine Vorbereitungs- und Dokumentationshilfe, keine Rechtsberatung — aber er zeigt, wo eine Architekturkarte Ihnen einen Vorsprung verschafft.

Verstehen Sie die Form der Pflichten (neutral)

Ohne Artikelnummern oder Daten zu zitieren, derer wir uns nicht sicher sind: Die Logik des AI Act ist risikobasiert. Er unterscheidet ein kleines Set verbotener Praktiken, eine Hochrisiko-Kategorie, die die schwersten Pflichten trägt, Nutzungen, die Transparenzpflichten unterliegen (etwa klarzustellen, dass eine Person mit KI interagiert oder dass Inhalt KI-generiert wurde), und risikoärmere Nutzungen mit leichteren Anforderungen. Pflichten fallen auf Entwickler von KI-Systemen und, wichtig, auf die Organisationen, die sie einsetzen oder nutzen.

Zwei praktische Konsequenzen folgen. Erstens: Klassifikation erfolgt pro Nutzung, nicht pro Anbieter — dasselbe Modell kann in einem Hochrisiko-Prozess und in einem trivialen sitzen. Zweitens: Betreiber tragen reale Pflichten, selbst wenn sie das Modell nicht gebaut haben. Deshalb ist eine passive „wir kaufen nur Software“-Haltung riskant: Sie müssen dennoch wissen, was diese Software mit KI tut, und in der Lage sein, es zu zeigen. Die genaue Klassifikation eines Systems ist eine rechtliche und technische Bewertung, die Sie mit Beratung bestätigen sollten; die Architektur ist der Ort, an dem Sie das Ergebnis festhalten.

• Risikobasierte Stufen: verboten, Hochrisiko, Transparenzpflicht, risikoärmer
• Pflichten für Entwickler und für Betreiber / Nutzer, nicht nur für Bauer
• Klassifikation erfolgt pro Anwendungsfall, nicht als feste Eigenschaft eines Werkzeugs
• Wir weisen Ihnen keine Risikoklassen zu — das ist eine rechtlich/technische Entscheidung

Ihre Anwendungskarte ist die natürliche Heimat des KI-System-Inventars

Ein Enterprise-Architecture-Modell hält bereits den größten Teil des Gerüsts, das Sie brauchen. Es listet Anwendungen auf, die von ihnen unterstützten Geschäftsfähigkeiten und -prozesse und die zwischen ihnen fließenden Daten. Das ist genau die Struktur, auf der ein KI-System-Inventar aufsitzen muss: Ein KI-System schwebt nicht frei — es lebt innerhalb einer Anwendung, dient einem Prozess und erreicht einige Daten.

Statt also ein leeres Register zu starten, erweitern Sie, was Sie haben. Markieren Sie jede Anwendung, die KI einbettet oder aufruft. Gegen jeden markierten Eintrag halten Sie die bestimmte Risikoklasse, den verantwortlichen Eigentümer, die Art der menschlichen Aufsicht und die Kategorien der berührten Daten fest. Weil die Karte bereits Abhängigkeiten kodiert, können Sie auch die Reichweite zweiter Ordnung sehen: welche nachgelagerten Prozesse auf einer KI-gesteuerten Komponente beruhen und was bricht oder zu prüfen ist, wenn sich diese Komponente ändert.

• Bestehende Entitäten wiederverwenden: Anwendungen, Prozesse, Datenflüsse, Eigentümer
• KI-Attribute hinzufügen: KI-Einbettungs-Flag, Risikoklasse, Aufsicht, berührte Daten
• Reichweite über Abhängigkeiten verfolgen, nicht nur die einzelne Anwendung
• Eine abfragbare Sicht statt einer statischen Tabelle, die über Nacht altert

Nachverfolgen, wo KI Prozesse und Daten berührt — der Teil, den Tabellen verfehlen

Die Fragen, die ein Auditor oder ein Risikoausschuss stellen wird, sind relational: nicht „haben wir einen Chatbot“, sondern „welche kundenorientierten Prozesse nutzen KI, welche personenbezogenen Daten erreicht jeder, und wer kann das Ergebnis überstimmen“. Eine flache Liste beantwortet die erste; nur ein vernetztes Modell beantwortet den Rest.

KI auf die Architektur abzubilden lässt Sie einen Faden von einem Geschäftsprozess hinab zur Anwendung verfolgen, die das Modell einbettet, und weiter zu den Daten, die es konsumiert — und zurück hinauf zu den für die Aufsicht verantwortlichen Personen. Diese Nachverfolgbarkeit ist das Rohmaterial der technischen Dokumentation und Aufzeichnung, die der AI Act erwartet, und sie ist als lebendiges Modell weit leichter aktuell zu halten als als ein Dokument, das jedes Quartal neu abgetippt wird. Dieselbe Lebendiges-Modell-Disziplin untermauert Ihre DORA- und NIS2-Nachweise; statt sie hier zu wiederholen, sehen Sie unseren eigenen Beitrag zur Architektur-Governance für DORA und NIS2.

Der Meta-Blickwinkel: KI auf Ihre Architektur zu richten ist selbst eine KI-Nutzung

Hier ist der Teil, den Teams übersehen. In dem Moment, in dem Sie KI-Agenten nutzen, um Ihr Architekturmodell abzufragen, zusammenzufassen oder darüber zu schlussfolgern, haben Sie eine weitere KI-Nutzung geschaffen — und eine ungewöhnlich sensible. Die Architektur liegt nahe an einem vollständigen Bauplan der Organisation: Systeminventar, kritische Abhängigkeiten, veraltete Komponenten, Datenflüsse, mitunter Sicherheitsmaßnahmen. Eine KI-Nutzung dieses Materials verdient dieselbe Governance-Prüfung, die Sie auf jede andere anwenden.

Derselbe Inventareintrag gilt also für Ihr eigenes Werkzeug: Was ist das System, was erreicht es, wer beaufsichtigt es, und — kritisch — wohin geht der Kontext physisch. Wenn das Beantworten einer Frage zu Ihrer Architektur bedeutet, diesen Bauplan an ein externes, nicht-EU-Modell zu senden, haben Sie ein internes Asset in eine Exposition verwandelt. Wir glauben, die richtige Antwort ist eine souveräne Kontextschicht: ein gesteuertes System of Context, das Agenten über die Architektur schlussfolgern lässt, ohne dass die sensible Karte Ihre Kontrolle verlässt. Um über die Anspruchsdisziplin klar zu sein: Dieser souveräne, datenresidenzbewusste Ansatz ist die Richtung, auf die wir hinarbeiten — eine Überzeugung und Roadmap, kein ausgeliefertes Produkt, das wir Sie auf Treu und Glauben hinnehmen lassen.

• Behandeln Sie „KI auf der Architektur“ als gesteuerte KI-Nutzung, nicht als Freifahrtschein
• Die Architektur ist Bauplan-nahes, sensibles Material
• Fragen Sie, wohin der Kontext geht, nicht nur, wer abfragen darf
• Eine souveräne Kontextschicht ist unsere Überzeugung und Roadmap, kein ausgelieferter MCP

Ein pragmatischer Ausgangspunkt — und eine ehrliche Grenze

Wenn Sie einen ersten Schritt wollen, der realen Wert schafft, unabhängig davon, wie sich die rechtliche Auslegung einpendelt, bauen Sie das Inventar: Nehmen Sie Ihr Anwendungsportfolio, markieren Sie jeden Eintrag, der KI einbettet oder aufruft, und erfassen Sie Risikoklasse, Eigentümer, Aufsicht und berührte Daten gegen jeden. Pilotieren Sie dann die Nachverfolgbarkeit an einem einzigen Prozess mit hohem Einsatz, bevor Sie skalieren. Sie enden mit Dokumentation, die Sie ohnehin gebraucht hätten, und einem klareren Bild Ihrer eigenen Exposition.

Die ehrliche Grenze: Das hilft Ihnen zu dokumentieren und sich vorzubereiten; es macht Sie nicht konform. Konformität ist ein rechtliches Ergebnis, das von Ihren spezifischen Systemen, Prozessen und qualifizierter Beratung abhängt. Archilus Beitrag ist das vernetzte, EU-hostbare Modell, das das Inventar und die Nachverfolgbarkeit praktisch aufbaubar und aktuell haltbar macht — mit veröffentlichten Preisen, nativem Französisch und Englisch und Hosting unter Ihrer Kontrolle. Ein schneller Weg zu sehen, wo Ihre Praxis heute steht, ist das kostenlose EA-Reifegrad-Assessment: zehn Dimensionen, ein priorisierter Aktionsplan, etwa zehn Minuten.