EU AI Act Compliance-Checkliste 2026: Der komplette Schritt-für-Schritt-Maßnahmenplan
Die bedeutendste Vollzugswelle des EU AI Act trifft am 2. August 2026. Ab diesem Datum müssen Anbieter und Betreiber von Hochrisiko-KI-Systemen einen anspruchsvollen Pflichtenkatalog erfüllen, sonst drohen Bußgelder von bis zu 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes.
Diese Checkliste bringt die vollständige Verordnung (EU) 2024/1689 auf einen konkreten Maßnahmenplan. Sie ist gedacht für Startup-Gründer, CTOs und schlanke Compliance-Teams, die in den kommenden Monaten von "bewusst" zu "prüfbereit" kommen müssen.
TL;DR, was Sie bis zum 2. August 2026 vorweisen müssen
Wenn Sie ein Hochrisiko-KI-System in der EU anbieten oder betreiben:
- Ein vollständiges Inventar aller KI-Systeme mit Risikoeinstufung für jedes System.
- Ein Risikomanagement-System, das iterativ über den gesamten KI-Lebenszyklus läuft (Artikel 9).
- Technische Dokumentation nach Anhang IV, alle neun Pflichtabschnitte (Artikel 11).
- Ein Qualitätsmanagement-System, das Design, Tests, Daten und Beobachtung abdeckt (Artikel 17).
- Eine abgeschlossene Konformitätsbewertung, Selbstbewertung oder benannte Stelle (Artikel 43).
- EU-Konformitätserklärung und CE-Kennzeichnung (Artikel 47-48).
- Registrierung in der EU-Datenbank (Artikel 49).
- Aktive Prozesse zur Marktbeobachtung und Meldung von Vorfällen (Artikel 72).
Wenn Sie Betreiber sind: geprüfte Anbieter-Compliance, Zuweisung der menschlichen Aufsicht, Aufbewahrung von Protokollen (6+ Monate), Benachrichtigung betroffener Personen und, falls zutreffend, eine abgeschlossene Grundrechte-Folgenabschätzung.
Phase 0: Verstehen Sie Ihre Ausgangslage
Bevor Sie irgendetwas aufbauen, brauchen Sie drei grundlegende Antworten.
0.1 Bauen Sie ein KI-Systeminventar auf
Listen Sie jedes KI-System auf, das Ihre Organisation entwickelt, betreibt, importiert oder vertreibt. Beziehen Sie KI von Dritten ein, die in SaaS-Werkzeugen Ihrer Teams steckt, CRM-Lead-Scoring, Chatbot-Plugins, Code-Assistenten, HR-Screening-Tools. Auch Schatten-KI zählt. Befragen Sie jede Abteilung.
Erfassen Sie für jedes System:
- Systemname und Anbieter
- Vorgesehener Zweck und tatsächliche Nutzung
- Dateneingaben und -ausgaben
- Wen es betrifft (Beschäftigte, Kunden, Öffentlichkeit)
- Ihre Rolle: Anbieter (Provider), Betreiber (Deployer), Einführer oder Händler (Artikel 3)
Praxisbeispiel: Ein Fintech-Startup, das Stripe Radar zur Betrugserkennung, ein intern trainiertes Kredit-Scoring-Modell und GitHub Copilot für die Entwicklung nutzt, hat drei KI-Systeme zu inventarisieren. Stripe Radar und Copilot werden betrieben (Betreiberrolle); das Kredit-Scoring-Modell wird angeboten (Anbieterrolle, Hochrisiko nach Anhang III Nr. 5 Buchst. a, Bewertung der Kreditwürdigkeit).
Den vollständigen Prozess samt Aufspüren von Schatten-KI finden Sie im vollständigen Leitfaden zum KI-Systeminventar.
0.2 Stufen Sie jedes System nach Risikostufe ein
Der AI Act nutzt vier Risikostufen. Ihre Pflichten hängen vollständig davon ab, wohin jedes System fällt:
Nicht sicher, wohin Ihr System fällt? Führen Sie eine kostenlose AI-Act-Risikoeinstufung durch.
Praxisbeispiel: Ein HR-Tech-Unternehmen, das KI-gestützte Bewerberprüfung anbietet, fällt eindeutig unter Anhang III Nr. 4 Buchst. a, "KI-Systeme, die für die Einstellung oder Auswahl natürlicher Personen bestimmt sind, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu analysieren und zu filtern und Bewerber zu bewerten". Das ist Hochrisiko, unabhängig von der Unternehmensgröße.
0.3 Bestimmen Sie Ihre Rolle für jedes System
Ihre Pflichten unterscheiden sich stark, je nachdem, ob Sie Anbieter sind (Sie haben die KI gebaut/trainiert und unter Ihrem Namen auf den Markt gebracht) oder Betreiber (Sie nutzen ein von jemand anderem gebautes KI-System in Ihrer beruflichen Tätigkeit).
Anbieter tragen die schwerste Last: Risikomanagement, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung, Marktbeobachtung. Betreiber haben leichtere, aber ebenfalls bindende Pflichten: menschliche Aufsicht, Aufbewahrung von Protokollen, Benachrichtigung betroffener Personen und (in manchen Fällen) eine Grundrechte-Folgenabschätzung.
Die vollständige Gegenüberstellung der Pflichten finden Sie im Vergleichsleitfaden Anbieter vs. Betreiber.
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenPhase 1: Pflichten der Anbieter von Hochrisiko-KI
Wenn Sie ein Hochrisiko-KI-System anbieten, sind dies Ihre verpflichtenden Compliance-Leistungen.
1.1 Ein Risikomanagement-System einrichten (Artikel 9)
Das Risikomanagement-System muss ein kontinuierlicher, iterativer Prozess sein, der über den gesamten Lebenszyklus des Hochrisiko-KI-Systems läuft. Es ist keine einmalige Bewertung.
Erforderliche Schritte:
- Erkennen Sie bekannte und vernünftigerweise vorhersehbare Risiken für Gesundheit, Sicherheit und Grundrechte.
- Schätzen und bewerten Sie Risiken, die auftreten können, wenn das System bestimmungsgemäß und unter Bedingungen vernünftigerweise vorhersehbaren Missbrauchs genutzt wird.
- Bewerten Sie Risiken, die sich aus der Auswertung der bei der Marktbeobachtung gesammelten Daten ergeben können.
- Ergreifen Sie geeignete und gezielte Risikomanagement-Maßnahmen, unter Berücksichtigung des Stands der Technik, der allgemein anerkannten bewährten Verfahren und der besonderen Umstände des Systemeinsatzes.
- Testen Sie das System, um zu bestätigen, dass das Restrisiko vertretbar ist, die Tests müssen an vorab festgelegten Metriken und probabilistischen Schwellenwerten durchgeführt werden.
Praxisbeispiel: Ein Anbieter eines KI-Systems für Studienzulassungen (Anhang III Nr. 3) muss Risiken erkennen wie: Benachteiligung von Bewerbern aus bestimmten sozioökonomischen Verhältnissen, Überbewertung standardisierter Testergebnisse, Unfähigkeit, nicht-traditionelle Qualifikationen zu berücksichtigen, und systematische Benachteiligung von Bewerbern mit Behinderungen. Für jedes Risiko dokumentiert der Anbieter Wahrscheinlichkeit, Schwere, ergriffene Minderungsmaßnahmen und das Restrisiko nach Minderung.
1.2 Daten-Governance umsetzen (Artikel 10)
- Definieren Sie Datenqualitätskriterien für Trainings-, Validierungs- und Testdatensätze.
- Prüfen Sie Datensätze auf mögliche Verzerrungen, besonders solche, die zu einer Diskriminierung geschützter Gruppen führen könnten.
- Ergreifen Sie geeignete Maßnahmen, um Verzerrungen zu erkennen, zu verhindern und zu mindern.
- Dokumentieren Sie die Herkunft der Daten, die Erhebungsmethodik und die Aufbereitungsverfahren (Bereinigung, Kennzeichnung, Anreicherung, Aggregation).
- Wenn besondere Kategorien personenbezogener Daten zur Erkennung und Korrektur von Verzerrungen verarbeitet werden, dokumentieren Sie die Rechtsgrundlage nach Artikel 9 DSGVO und die konkret angewandten Schutzmaßnahmen.
Praxisbeispiel: Ein Anbieter einer Kredit-Scoring-KI muss dokumentieren, dass die Trainingsdaten auf Verzerrungen gegen geschützte Merkmale (Geschlecht, Ethnie, Alter) geprüft wurden. Wurde das Modell auf historischen Kreditentscheidungen trainiert, muss der Anbieter das Risiko adressieren, dass vergangene Diskriminierung in den Daten kodiert ist, und die angewandten Debiasing-Techniken beschreiben.
1.3 Technische Dokumentation vorbereiten (Artikel 11, Anhang IV)
Anhang IV nennt neun Pflichtabschnitte:
- Allgemeine Systembeschreibung und vorgesehener Zweck
- Entwicklungsmethodik, Designentscheidungen und Rechenressourcen
- Beschreibung von Beobachtung, Funktionsweise und Kontrolle
- Leistungsmetriken und Begründung ihrer Angemessenheit
- Dokumentation des Risikomanagements
- Praktiken der Daten-Governance
- Maßnahmen der menschlichen Aufsicht
- Relevante Änderungen und Aktualisierungen
- Plan zur Marktbeobachtung
Fangen Sie jetzt mit dem Entwurf an, das dauert bei mäßig komplexen Systemen typischerweise 40-80 Stunden. Versuchen Sie nicht, es rückwirkend zu schreiben. Systeme mit komplexen Architekturen oder großen Trainingsdatensätzen können 100-200+ Stunden erfordern.
Abschnitt-für-Abschnitt-Anleitungen finden Sie im vollständigen Leitfaden zur Anhang-IV-Dokumentation.
1.4 Automatische Protokollierung gestalten (Artikel 12)
- Bauen Sie die Protokollierung in die Systemarchitektur ein, nicht als nachträglichen Zusatz.
- Protokolle müssen die Nachvollziehbarkeit des Systembetriebs über den gesamten Lebenszyklus ermöglichen.
- Stellen Sie sicher, dass Protokolle Ereignisse erfassen, die für die Erkennung von Risiken auf nationaler Ebene, wesentliche Änderungen und die Einhaltung der Betreiberpflichten (insbesondere die Aufbewahrung von Protokollen) relevant sind.
- Protokolle müssen aufbewahrt und den Marktüberwachungsbehörden auf Anfrage zur Verfügung gestellt werden.
1.5 Transparenz und Betriebsanleitung bereitstellen (Artikel 13)
Verfassen Sie klare, umfassende Anleitungen für Betreiber, die Folgendes enthalten:
- Identität und Kontaktdaten des Anbieters
- Vorgesehener Zweck, Fähigkeiten und Grenzen des Systems
- Grad an Genauigkeit, Robustheit und Cybersicherheit, mit aufgeschlüsselter Leistung über relevante Untergruppen hinweg, wo zutreffend
- Alle bekannten oder vorhersehbaren Umstände, die zu Risiken führen können
- Die technischen Maßnahmen der menschlichen Aufsicht, einschließlich der Interpretierbarkeit der Ausgaben
- Erwartete Lebensdauer, Wartungs- und Aktualisierungsanforderungen
- Wo zutreffend, Spezifikationen für die Eingabedaten
1.6 Für menschliche Aufsicht gestalten (Artikel 14)
Bauen Sie Aufsichtsfunktionen so ein, dass die für die Aufsicht zuständigen natürlichen Personen:
- Die relevanten Fähigkeiten und Grenzen des Systems richtig verstehen
- Seinen Betrieb ordnungsgemäß beobachten und Anomalien, Fehlfunktionen und unerwartetes Verhalten erkennen können
- Sich der Automatisierungsverzerrung bewusst bleiben, besonders bei Systemen, die Empfehlungen für Entscheidungen geben
- Die Ausgabe des Systems richtig deuten, unter Berücksichtigung seiner Eigenschaften und der verfügbaren Interpretationswerkzeuge und -methoden
- Entscheiden können, das System nicht zu nutzen oder seine Ausgabe anderweitig zu ignorieren, zu übersteuern oder rückgängig zu machen
- In den Betrieb eingreifen oder das System über eine "Stopp"-Taste oder ein vergleichbares Verfahren unterbrechen können
1.7 Genauigkeit, Robustheit und Cybersicherheit erreichen (Artikel 15)
- Geben Sie in der Betriebsanleitung die Genauigkeitsgrade und relevanten Metriken an.
- Gestalten Sie das System widerstandsfähig gegen Fehler, Störungen und Unstimmigkeiten, auch im Zusammenspiel mit der Umgebung, anderen KI-Systemen und natürlichen Personen.
- Adressieren Sie KI-spezifische Schwachstellen: Data Poisoning, Model Poisoning, Adversarial Examples, Model Flipping und Membership-Inference-Angriffe.
- Setzen Sie Redundanzlösungen um, einschließlich Backup- oder Ausfallsicherungsplänen, wo angebracht.
- Adressieren Sie bei kontinuierlich lernenden Systemen Rückkopplungsrisiken, die die Compliance gefährden können.
1.8 Ein Qualitätsmanagement-System einrichten (Artikel 17)
Dokumentieren Sie Richtlinien und Verfahren, die Folgendes abdecken:
- Strategie zur Einhaltung der Vorschriften sowie Design- und Entwicklungskontrollen
- Verfahren für Tests, Validierung und Verifizierung, einschließlich Tests vor dem Betrieb und laufender Tests
- Praktiken des Datenmanagements und Kontrollen der Datenqualität
- Verfahren zur Marktbeobachtung
- Verfahren zur Meldung von Vorfällen und Fehlfunktionen
- Kommunikationsverfahren mit zuständigen Behörden, benannten Stellen und anderen Akteuren
- Ressourcenmanagement (einschließlich Management der Lieferkette, wo relevant)
- Ein Rechenschaftsrahmen mit zugewiesenen Verantwortlichkeiten auf Leitungsebene
1.9 Konformitätsbewertung abschließen (Artikel 43)
Bevor Sie Ihr System auf den Markt bringen:
- Die meisten Anhang-III-Hochrisiko-Systeme: Selbstbewertung (interne Konformitätsbewertung, Anhang VI) ist ausreichend.
- Systeme zur biometrischen Identifizierung und Sicherheitsbauteile von Produkten nach bestehendem EU-Recht: Bewertung durch eine benannte Stelle (Anhang VII) ist verpflichtend.
- Erstellen Sie eine EU-Konformitätserklärung (Artikel 47).
- Bringen Sie die CE-Kennzeichnung an (Artikel 48).
Den detaillierten Ablauf finden Sie im Leitfaden zur Konformitätsbewertung.
1.10 In der EU-Datenbank registrieren (Artikel 49)
Registrieren Sie das System in der EU-Datenbank für Hochrisiko-KI-Systeme, bevor Sie es auf den Markt bringen oder in Betrieb nehmen. Die Datenbank ist öffentlich zugänglich und enthält Systembeschreibungen, Anbieterangaben, den Status der Konformitätsbewertung und den vorgesehenen Zweck.
1.11 Marktbeobachtung einrichten (Artikel 72)
- Richten Sie ein Marktbeobachtungssystem ein, das der Art und den Risiken des KI-Systems angemessen ist.
- Erheben und analysieren Sie über die gesamte Lebensdauer des Systems aktiv Daten zur Leistung.
- Führen Sie die Beobachtungsdaten in das Risikomanagement-System zurück.
- Melden Sie schwerwiegende Vorfälle unverzüglich an die Marktüberwachungsbehörden, spätestens jedoch 15 Tage nach Kenntnisnahme (Artikel 73).
Phase 2: Pflichten der Betreiber von Hochrisiko-KI
Wenn Sie ein von jemand anderem gebautes Hochrisiko-KI-System betreiben (nutzen), sind Ihre Pflichten leichter, aber rechtlich bindend.
2.1 Die Compliance des Anbieters prüfen
- Fordern Sie die EU-Konformitätserklärung an und prüfen Sie sie.
- Bestätigen Sie, dass die CE-Kennzeichnung vorhanden ist.
- Beschaffen Sie die Betriebsanleitung und stellen Sie sicher, dass sie Ihren Einsatzkontext abdeckt.
- Kann ein Anbieter diese nicht liefern, werten Sie das als ernstes Compliance-Warnsignal, prüfen Sie, ob eine weitere Nutzung vertretbar ist.
2.2 Menschliche Aufsicht umsetzen (Artikel 26)
- Weisen Sie kompetente, geschulte Personen für die Aufsicht über das System zu.
- Stellen Sie sicher, dass sie die Fähigkeiten und Grenzen des Systems verstehen, insbesondere die Neigung zur Automatisierungsverzerrung.
- Befolgen Sie die Anweisungen des Anbieters zur menschlichen Aufsicht.
- Stellen Sie sicher, dass die Aufsichtspersonen die Befugnis und Fähigkeit haben, die Ausgabe des Systems zu übersteuern oder zu ignorieren.
Praxisbeispiel: Eine Bank, die ein KI-System eines Dritten für Kreditentscheidungen betreibt, muss sicherstellen, dass geschulte Kreditsachbearbeiter die KI-Empfehlungen vor der endgültigen Entscheidung prüfen, die Ausgabe der KI übersteuern können, verstehen, wie die KI ihre Scores erzeugt, und die Begründung dokumentieren, wenn sie von der KI-Empfehlung abweichen.
2.3 Protokolle beobachten und aufbewahren
- Beobachten Sie den Betrieb des Systems auf Risiken, die im konkreten Einsatzkontext entstehen.
- Bewahren Sie automatisch erzeugte Protokolle mindestens sechs Monate auf (oder länger, wenn branchenspezifisches Recht dies verlangt, z. B. Aufbewahrungspflichten im Finanzwesen).
- Melden Sie schwerwiegende Vorfälle oder Fehlfunktionen an den Anbieter und an die zuständige Marktüberwachungsbehörde.
2.4 Betroffene Personen informieren
- Informieren Sie natürliche Personen darüber, dass sie einem Hochrisiko-KI-System unterliegen, bevor oder zu dem Zeitpunkt, zu dem das System in Bezug auf sie eingesetzt wird.
- Geben Sie aussagekräftige Informationen über die zugrunde liegende Logik und die Bedeutung der Ausgabe.
- Trifft oder unterstützt das System Entscheidungen mit rechtlichen oder ähnlich erheblichen Auswirkungen, informieren Sie die Person über ihr Recht auf Erläuterung (Artikel 86).
2.5 Eine Grundrechte-Folgenabschätzung durchführen (falls zutreffend) (Artikel 27)
Erforderlich, wenn Sie:
- Eine Einrichtung des öffentlichen Rechts sind
- Eine private Einrichtung sind, die wesentliche öffentliche Dienste erbringt (Banken, Versicherungen, Energie, Wasser, Verkehr, Digital Health)
- Eine Einrichtung der allgemeinen oder beruflichen Bildung sind
Schließen Sie die FRIA vor dem Betrieb ab. Registrieren Sie die Ergebnisse in der EU-Datenbank. Den Schritt-für-Schritt-Prozess finden Sie im FRIA-Leitfaden.
Phase 3: Transparenz- und GPAI-Pflichten
3.1 Transparenz für Systeme mit begrenztem Risiko (Artikel 50)
- Chatbots und dialogorientierte KI: Informieren Sie die Nutzer, dass sie mit einem KI-System interagieren, es sei denn, das ist aus den Umständen und dem Nutzungskontext offensichtlich.
- Deepfakes und synthetische Inhalte: Kennzeichnen Sie KI-generierte oder manipulierte Bild-, Audio- oder Videoinhalte in einem maschinenlesbaren Format. Betreiber müssen offenlegen, dass der Inhalt künstlich erzeugt oder manipuliert wurde.
- Emotionserkennung und biometrische Kategorisierung: Informieren Sie die Personen darüber, dass sie solchen Systemen ausgesetzt sind, und beschreiben Sie die Funktionsweise des Systems.
- KI-generierter Text zu Angelegenheiten von öffentlichem Interesse: Wenn Sie KI-generierten Text zu Themen von öffentlichem Interesse veröffentlichen, legen Sie offen, dass er von KI erzeugt wurde, es sei denn, ein Mensch hat den Inhalt redaktionell geprüft und übernimmt dafür die Verantwortung.
3.2 Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (Artikel 51-55)
Wenn Sie ein GPAI-Modell anbieten (Basismodell, großes Sprachmodell):
- Erstellen und pflegen Sie technische Dokumentation, einschließlich Trainingsmethodik, Datenquellen und Bewertungsergebnisse (Artikel 53).
- Stellen Sie nachgelagerten Anbietern, die das Modell integrieren, Informationen und Dokumentation bereit.
- Richten Sie eine Strategie zur Einhaltung des Urheberrechts der Union ein, einschließlich des Text- und Data-Mining-Opt-outs nach der Urheberrechtsrichtlinie.
- Veröffentlichen Sie eine hinreichend detaillierte Zusammenfassung der Inhalte der Trainingsdaten.
GPAI-Modelle, die als Modelle mit systemischem Risiko eingestuft sind (auf Grundlage einer kumulativen Rechenleistung über 10^25 FLOPs oder durch Benennung der Kommission), tragen zusätzliche Pflichten: adversariale Tests (Red-Teaming), Beobachtung von Vorfällen, Berichterstattung zum Energieverbrauch und Cybersicherheitsmaßnahmen (Artikel 55).
Phase 4: Governance und dokumentarischer Abschluss
4.1 Einen Bevollmächtigten benennen (falls nötig)
Anbieter außerhalb der EU müssen einen in der EU niedergelassenen Bevollmächtigten benennen, bevor sie ihr System auf den Markt bringen (Artikel 22). Der Bevollmächtigte muss ein schriftliches Mandat haben, das die auszuführenden Aufgaben festlegt, einschließlich der Pflege der technischen Dokumentation, der Zusammenarbeit mit Behörden und der Registrierung in der EU-Datenbank.
4.2 Ihre Belegschaft in KI-Kompetenz schulen (Artikel 4)
Anbieter und Betreiber müssen sicherstellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit KI-Systemen umgehen, über ein ausreichendes Maß an KI-Kompetenz verfügen, unter Berücksichtigung ihres technischen Wissens, ihrer Erfahrung, Ausbildung und Schulung, des Kontexts, in dem die KI-Systeme eingesetzt werden sollen, und der Personen oder Gruppen, bei denen die KI-Systeme eingesetzt werden sollen.
Diese Pflicht ist bereits seit dem 2. Februar 2025 in Kraft.
Praxisbeispiel: Eine Gesundheitsorganisation, die KI-gestützte Diagnosewerkzeuge betreibt, muss sicherstellen, dass Radiologen den vorgesehenen Zweck der KI, ihre Genauigkeitsgrenzen in Grenzfällen, die Deutung von Konfidenzwerten und den Zeitpunkt zum Übersteuern des Systems verstehen. Allgemeine Schulungen zur "KI-Sensibilisierung" reichen nicht, sie müssen auf das konkrete System und den Kontext zugeschnitten sein.
4.3 Sich auf die Marktüberwachung vorbereiten
Nationale Marktüberwachungsbehörden können:
- Dokumentation und Zugang zu KI-Systemen anfordern, unter bestimmten Umständen auch zum Quellcode
- Unangekündigte Vor-Ort-Inspektionen durchführen
- Anbieter verpflichten, innerhalb einer bestimmten Frist Korrekturmaßnahmen zu ergreifen
- Die Rücknahme oder den Rückruf nicht konformer KI-Systeme vom Markt anordnen
- Die Nutzung von KI-Systemen mit ernsten Risiken einschränken oder verbieten
- Verwaltungsbußgelder verhängen
Stellen Sie sicher, dass Ihre Dokumentation prüfbereit, auf Anfrage zugänglich und in mindestens einer Amtssprache der EU geführt ist.
Zeitplan-Übersicht
Häufige Fehler, die die Compliance verzögern
Fehler 1: Mit der Dokumentation statt mit der Einstufung beginnen
Teams, die direkt zur Anhang-IV-Dokumentation springen, ohne ihre Systeme zuerst einzustufen, stellen oft Monate später fest, dass sie die falschen Systeme dokumentiert, den falschen Umfang gewählt oder Systeme ganz übersehen haben. Beginnen Sie immer mit Inventar und Einstufung.
Fehler 2: Compliance als reines Rechtsprojekt behandeln
Compliance mit dem AI Act erfordert Input aus Engineering (Systemarchitektur, Protokollierung, Tests), Data Science (Daten-Governance, Bewertung von Verzerrungen, Genauigkeitsmetriken), Produkt (vorgesehener Zweck, Nutzeranleitungen) und Recht (Risikomanagement, Konformitätsbewertung). Es allein in der Rechtsabteilung abzuschotten, führt garantiert zu Verzögerungen.
Fehler 3: Annehmen, KI von Dritten sei nicht Ihr Problem
Wenn Sie ein von einem Anbieter gebautes Hochrisiko-KI-System betreiben, haben Sie Ihre eigenen Betreiberpflichten. "Unser Anbieter ist konform" ist notwendig, aber nicht ausreichend, Sie brauchen weiterhin menschliche Aufsicht, Aufbewahrung von Protokollen, Benachrichtigung betroffener Personen und möglicherweise eine FRIA.
Fehler 4: Auf harmonisierte Normen warten
Stand April 2026 haben die europäischen Normungsorganisationen (CEN/CENELEC) noch nicht alle harmonisierten Normen für den AI Act veröffentlicht. Auf diese zu warten, bevor man mit der Compliance-Arbeit beginnt, bedeutet, in Zeitnot zu geraten. Die rechtlichen Pflichten gelten ab dem 2. August 2026, unabhängig vom Stand der Normen. Nutzen Sie die Anforderungen der Artikel 8-15 direkt.
Fehler 5: KI-Kompetenz mit AI-Act-Compliance verwechseln
KI-Kompetenz (Artikel 4) ist eine Pflicht unter vielen, und sie ist bereits in Kraft. Teams, die bei "wir haben eine KI-Schulung gemacht" stehen bleiben und das als AI-Act-Compliance behandeln, verfehlen die inhaltlichen Pflichten: Risikomanagement, Dokumentation, Konformitätsbewertung und Beobachtung.
Praktische Aufwandsschätzung
Fangen Sie jetzt an
Die Lücke zwischen "bewusst" und "konform" ist größer, als die meisten Teams erwarten. Allein die technische Dokumentation kann 40-80 Stunden pro System dauern. Eine Konformitätsbewertung durch eine benannte Stelle kann 6-24 Monate dauern.
Warten Sie nicht auf August. Beginnen Sie mit Ihrer Risikoeinstufung:
Führen Sie die kostenlose AI-Act-Bewertung durch
Nutzen Sie dann den vollständigen AI-Act-Leitfaden, um jeden Artikel und Anhang zu vertiefen, auf den diese Checkliste verweist.
Häufig gestellte Fragen
Gilt der EU AI Act für Unternehmen außerhalb der EU?
Ja. Der AI Act gilt für Anbieter, die KI-Systeme auf dem EU-Markt bereitstellen oder in der EU in Betrieb nehmen, und für Betreiber innerhalb der EU, unabhängig davon, wo der Anbieter niedergelassen ist (Artikel 2). Er gilt auch für Anbieter und Betreiber außerhalb der EU, wenn das vom KI-System erzeugte Ergebnis in der EU genutzt wird.
Gibt es eine Größenausnahme für Startups und KMU?
Keine pauschale Ausnahme. Die inhaltlichen Pflichten (Risikomanagement, Dokumentation, Konformitätsbewertung) gelten unabhängig von der Unternehmensgröße. KMU profitieren jedoch von einigen Verfahrenserleichterungen: vereinfachte Formulare für die technische Dokumentation (sobald von der Kommission veröffentlicht), reduzierte Gebühren benannter Stellen für die Konformitätsbewertung und vorrangiger Zugang zu Regulierungs-Sandboxes (Artikel 57). Auch die Sanktionsobergrenzen sind für KMU angepasst, es gilt der Prozentsatz des Umsatzes statt des festen Eurobetrags, je nachdem, welcher niedriger ist.
Was passiert, wenn ich die Frist am 2. August 2026 verpasse?
Verstöße gegen die Pflichten für Hochrisiko-KI-Systeme (Artikel 8-15) tragen Bußgelder von bis zu 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Falsche Angaben gegenüber Behörden bringen weitere 7,5 Millionen EUR oder 1 % hinzu. In der Praxis wird sich der Vollzug wohl zuerst auf prominente Fälle und Beschwerden konzentrieren, doch das rechtliche Risiko beginnt am Tag der Frist. Die vollständige Aufschlüsselung finden Sie im Leitfaden zu Sanktionen und Bußgeldern.
Kann ich meine bestehenden ISO-27001- oder SOC-2-Kontrollen nutzen?
Teilweise. Bestehende Kontrollen für Informationssicherheit, Qualitätsmanagement und Daten-Governance bilden eine Grundlage, doch der AI Act hat spezifische Anforderungen, die über allgemeine Rahmenwerke hinausgehen. So adressiert ISO 27001 die Cybersicherheit, deckt aber keine KI-spezifischen Schwachstellen ab (Data Poisoning, Adversarial Examples). SOC 2 deckt Verfügbarkeit und Verarbeitungsintegrität ab, adressiert aber kein Risikomanagement für Auswirkungen auf die Grundrechte. Nutzen Sie bestehende Kontrollen als Bausteine, nicht als Ersatz.
Wie wirkt der AI Act mit der DSGVO zusammen?
Die beiden Verordnungen gelten gleichzeitig, wenn KI-Systeme personenbezogene Daten verarbeiten, was auf die meisten geschäftlichen KI-Werkzeuge zutrifft. Die DSGVO regelt die Datenverarbeitung, der AI Act das KI-System selbst. Folgenabschätzungen lassen sich kombinieren (DPIA + FRIA) und die Dokumentation lässt sich abstimmen. Bußgelder kumulieren unabhängig voneinander. Die detaillierte Aufschlüsselung finden Sie im Vergleichsleitfaden AI Act vs. DSGVO.
Was, wenn mein KI-System zugleich Sicherheitsbauteil eines Produkts und eigenständiges Anhang-III-System ist?
Es gilt der strengere Weg. Fällt das System sowohl unter Anhang I (Produktsicherheit) als auch unter Anhang III (eigenständiges Hochrisiko), muss der Anbieter die Anforderungen beider Wege erfüllen und dem Konformitätsbewertungsweg folgen, der für die Produktsicherheitsvorschrift gilt.
Legalithm ist ein KI-gestütztes Compliance-Workflow-Tool, keine Rechtsberatung. Endgültige Compliance-Entscheidungen sollten von qualifizierten Rechtsberatern geprüft werden.


