MGMSYS ist ein modulares Compliance-Cockpit mit mehr als 70 Fachmodulen fuer DSGVO, ISO 27001, NIS2, TISAX, EU AI Act, CRA, CSRD, BFSG, EntgT, GPSR, ISO 9001, ISO 14001, ISO 50001, DORA, LkSG und weitere Regelwerke. Es ist eine mandantenfaehige SaaS-Plattform mit Hosting in Deutschland.

Kann ich MGMSYS kostenlos testen?

Ja, MGMSYS bietet einen kostenlosen Testzugang mit allen Modulen. Es wird lediglich eine Unternehmens-E-Mail-Adresse benoetigt – keine Kreditkarte, keine Verpflichtung.

Wo werden die Daten gespeichert?

Alle Daten werden ausschliesslich in Deutschland verarbeitet und gespeichert, in einem ISO 27001-zertifizierten Rechenzentrum. Es bestehen keine Abhaengigkeiten von US-Cloud-Anbietern.

Welche Zertifizierungen und Standards werden unterstuetzt?

MGMSYS unterstuetzt unter anderem DSGVO, ISO 27001, ISO 9001, ISO 14001, ISO 50001, NIS2, TISAX, DIN 27076, EU AI Act (KIMS), GPSR und das Hinweisgeberschutzgesetz (HinSchG).

Ist MGMSYS mandantenfaehig?

Ja, MGMSYS ist vollstaendig mandantenfaehig mit strikter PostgreSQL Schema-Isolation. Jeder Mandant arbeitet in einer vollstaendig getrennten Umgebung mit eigenem Branding, eigenen Benutzern und eigener Konfiguration.

Bietet MGMSYS eine API an?

Ja, MGMSYS verfuegt ueber eine vollstaendige externe REST-API mit API-Schluesseln, Scopes (read/readwrite), modulbasierter Zugriffsbeschraenkung, Rate-Limiting und OpenAPI/Swagger-Dokumentation.

Gilt der EU AI Act auch für KMU?

Ja. Der AI Act knüpft nicht an die Unternehmensgröße an, sondern an die Rolle (Anbieter, Betreiber, Importeur, Händler) und die Risikoklasse des KI-Systems. Für KMU gibt es Erleichterungen bei der Dokumentation, die Grundpflichten bleiben aber bestehen.

Sind wir betroffen, wenn wir KI nur als SaaS nutzen?

Häufig ja. Wer ein KI-System im eigenen Geschäftsbetrieb einsetzt, gilt in der Regel als Betreiber und muss insbesondere bei Hochrisiko-Systemen Pflichten wie menschliche Aufsicht und ggf. eine Grundrechte-Folgenabschätzung erfüllen.

Was ist ein KI-Managementsystem (KIMS)?

Ein KI-Managementsystem bündelt Strukturen, Prozesse und Nachweise für den verantwortungsvollen Umgang mit KI. Es orientiert sich an der ISO/IEC 42001 und macht die Anforderungen des EU AI Act im Unternehmen operativ steuerbar.

Bis wann müssen die Pflichten umgesetzt sein?

Die Verbote und die Pflicht zur KI-Kompetenz gelten seit Februar 2025, Governance- und GPAI-Regeln seit August 2025. Die vollständigen Pflichten für Hochrisiko-KI greifen ab dem 2. August 2026, erweiterte Pflichten in regulierten Sektoren ab August 2027.

Wie hängt der AI Act mit ISO 42001 und ISO 27001 zusammen?

ISO/IEC 42001 liefert den Managementsystem-Rahmen für KI und ist ein sehr guter Ausgangspunkt für die AI-Act-Umsetzung, deckt sie aber nicht vollständig ab. Über das Cross-Reporting in MGMSYS zahlen gepflegte Maßnahmen zugleich auf ISO 42001, ISO 27001 und den Datenschutz ein.

EU-Verordnung 2024/1689

EU AI Act umsetzen – Pflichten, Risikoklassen, Nachweise

Der EU AI Act ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz und gilt seit dem 1. August 2024 unmittelbar in allen Mitgliedstaaten. Er verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen. MGMSYS führt Sie von der Betroffenheitsprüfung über die Risikoklassifikation bis zum revisionssicheren Nachweis.

Demo zum KI-Managementsystem anfordern

Betroffenheit

Sind Sie betroffen?

Der AI Act gilt für Anbieter, Betreiber, Importeure und Händler von KI-Systemen. Auch wer KI nur als SaaS-Dienst nutzt, kann als Betreiber Pflichten erfüllen müssen – insbesondere bei Hochrisiko-Systemen. Eine strukturierte Einordnung ist der erste Schritt.

Kostenlosen Testzugang starten

Geltung

seit 1. Aug 2024

Die Verordnung (EU) 2024/1689 gilt unmittelbar in allen Mitgliedstaaten und wird stufenweise wirksam – Verbote und KI-Kompetenz bereits seit Februar 2025.

Risikoklassen

4 Stufen

Unakzeptables, hohes, begrenztes und minimales Risiko. Die Einstufung bestimmt, welche Pflichten greifen – von Verbot bis freiwilligem Verhaltenskodex.

Sanktionen

bis 35 Mio € / 7 %

Bei verbotenen KI-Praktiken bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes. Für weitere Verstöße bis 15 Mio. € oder 3 %.

Risikoklassifikation

Die vier Risikoklassen des AI Act

Unakzeptables Risiko (Art. 5)

Verbotene Praktiken wie Social Scoring, manipulative Techniken oder biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit engen Ausnahmen). Diese Systeme dürfen nicht betrieben werden.

Hohes Risiko (Art. 6, Anhang III)

KI in sensiblen Bereichen wie Personalrekrutierung, Kreditwürdigkeit, Strafverfolgung, Bildung oder kritischer Infrastruktur. Umfangreiche Pflichten nach Art. 9–15.

Begrenztes Risiko (Art. 50)

Systeme, die direkt mit Menschen interagieren (z. B. Chatbots) oder Inhalte generieren (z. B. Deepfakes). Es gelten Transparenz- und Kennzeichnungspflichten.

Minimales Risiko

Alle übrigen KI-Systeme. Keine spezifischen regulatorischen Pflichten; freiwillige Verhaltenskodizes werden empfohlen.

Pflichten

Pflichten für Hochrisiko-KI nach Art. 9–15

Risikomanagementsystem über den Lebenszyklus (Art. 9)
Daten-Governance und Datenqualität (Art. 10)
Technische Dokumentation (Art. 11)
Automatische Protokollierung / Logging (Art. 12)
Transparenz und Gebrauchsanweisung (Art. 13)
Menschliche Aufsicht (Art. 14)
Genauigkeit, Robustheit, Cybersicherheit (Art. 15)
KI-Kompetenz des Personals für alle Systeme (Art. 4)

Pflichten für Betreiber

Einsatz gemäß Gebrauchsanweisung, Sicherstellung der menschlichen Aufsicht und – bei bestimmten Systemen – eine Grundrechte-Folgenabschätzung (Art. 26, 27).

Stufenweiser Zeitplan

Feb 2025: Verbote (Art. 5) und KI-Kompetenz (Art. 4)
Aug 2025: GPAI-Modelle und Governance
Aug 2026: Volle Anwendung Hochrisiko-KI

Umsetzung

Wie MGMSYS den AI Act abbildet

Jede AI-Act-Pflicht hat im KIMS-Modul einen klaren Ort. Über das Cross-Reporting zählen gepflegte Maßnahmen auch für ISO 42001, ISO 27001 und das Datenschutzmanagement.

Pflicht	Abbildung in MGMSYS
KI-Inventar und Klassifikation	KIMS-Systemregister: Erfassung, Risikoeinstufung, Anhang-III-Zuordnung
Risikomanagement (Art. 9)	Risikoregister mit Bewertungsskala, Maßnahmen und Re-Assessment
Daten-Governance (Art. 10)	Nachweis zu Trainings-, Validierungs- und Testdaten
Technische Dokumentation (Art. 11)	Strukturierte Dokumentenablage je KI-System, versioniert
Menschliche Aufsicht (Art. 14)	Rollen, Eingriffskonzepte und Verantwortlichkeiten je System
Transparenz (Art. 13, 50)	Kennzeichnungs- und Gebrauchsanweisungs-Vorlagen
KI-Kompetenz (Art. 4)	Schulungen: Pflichtkurse, Teilnahmenachweis, Wiederholungslogik
Grundrechte-Folgenabschätzung (Art. 27)	Geführter Workflow für Betreiber mit Dokumentation
Cross-Reporting	Eine Maßnahme, viele Frameworks: ISO 42001, ISO 27001, DSGVO

Umsetzung in fünf Schritten

1
KI-Systeme erfassen
Vollständiges Inventar aller eingesetzten, entwickelten oder bezogenen KI-Systeme – inklusive SaaS-Diensten.
2
Risiko klassifizieren
Einordnung in unakzeptables, hohes, begrenztes oder minimales Risiko; Anhang-III-Prüfung und Begründung dokumentieren.
3
Pflichten ableiten
Pro System die anwendbaren Pflichten nach Art. 9–15 bzw. Transparenzpflichten festlegen und Verantwortliche zuweisen.
4
Prozesse einrichten
Risikomanagement, menschliche Aufsicht, Daten-Governance, KI-Kompetenz-Schulung und Meldeprozesse aufsetzen.
5
Nachweise führen
Revisionssichere Dokumentation und testat-fähiger Stand – jederzeit vorzeigbar statt jährlich neu zusammengesucht.

Häufige Fragen

Gilt der EU AI Act auch für KMU?: Ja. Der AI Act knüpft nicht an die Unternehmensgröße an, sondern an die Rolle (Anbieter, Betreiber, Importeur, Händler) und die Risikoklasse des KI-Systems. Für KMU gibt es Erleichterungen bei der Dokumentation, die Grundpflichten bleiben aber bestehen.
Sind wir betroffen, wenn wir KI nur als SaaS nutzen?: Häufig ja. Wer ein KI-System im eigenen Geschäftsbetrieb einsetzt, gilt in der Regel als Betreiber und muss insbesondere bei Hochrisiko-Systemen Pflichten wie menschliche Aufsicht und ggf. eine Grundrechte-Folgenabschätzung erfüllen.
Was ist ein KI-Managementsystem (KIMS)?: Ein KI-Managementsystem bündelt Strukturen, Prozesse und Nachweise für den verantwortungsvollen Umgang mit KI. Es orientiert sich an der ISO/IEC 42001 und macht die Anforderungen des EU AI Act im Unternehmen operativ steuerbar.
Bis wann müssen die Pflichten umgesetzt sein?: Die Verbote und die Pflicht zur KI-Kompetenz gelten seit Februar 2025, Governance- und GPAI-Regeln seit August 2025. Die vollständigen Pflichten für Hochrisiko-KI greifen ab dem 2. August 2026, erweiterte Pflichten in regulierten Sektoren ab August 2027.
Wie hängt der AI Act mit ISO 42001 und ISO 27001 zusammen?: ISO/IEC 42001 liefert den Managementsystem-Rahmen für KI und ist ein sehr guter Ausgangspunkt für die AI-Act-Umsetzung, deckt sie aber nicht vollständig ab. Über das Cross-Reporting in MGMSYS zahlen gepflegte Maßnahmen zugleich auf ISO 42001, ISO 27001 und den Datenschutz ein.

Den EU AI Act sicher erfüllen – und belegen

MGMSYS liefert die Struktur, damit die vom EU AI Act geforderten Nachweise nicht jedes Jahr neu zusammengetragen werden müssen, sondern als gepflegter, jederzeit vorzeigbarer Stand existieren.

Kostenlosen Testzugang starten