EU AI Act: Die Compliance-Checkliste für Unternehmen 2026

Der EU AI Act ist seit Februar 2025 in Kraft. Die ersten Bußgelder werden ab August 2026 verhängt. Für Unternehmen, die KI einsetzen, ist jetzt der letzte Moment, Compliance-Strukturen aufzubauen. Diese Checkliste zeigt, was konkret zu tun ist.

EU AI Act: Was Unternehmen wissen müssen

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Es reguliert nicht die Technologie selbst, sondern deren Einsatz — abhängig vom Risiko, das ein KI-System für Grundrechte und Sicherheit darstellt.

Die vier Risikoklassen

• Unannehmbares Risiko (verboten): Social Scoring, Echtzeit-Biometrie in öffentlichen Räumen, Manipulation vulnerabler Gruppen. Diese Systeme dürfen nicht betrieben werden.
• Hohes Risiko: KI in kritischer Infrastruktur, Bildung, Personalwesen, Strafverfolgung, Kreditwürdigkeitsprüfung. Strenge Anforderungen an Dokumentation, Überwachung, Transparenz.
• Begrenztes Risiko: Chatbots, Deepfakes, Emotionserkennung. Transparenzpflichten: Nutzer müssen wissen, dass sie mit KI interagieren.
• Minimales Risiko: Spam-Filter, KI-gestützte Textvorschläge, Übersetzungstools. Keine spezifischen Anforderungen, aber freiwillige Verhaltenskodizes empfohlen.

Wo steht Ihr KI-Einsatz? Risikoklassifizierung

Die häufigsten KI-Anwendungen in deutschen Unternehmen und ihre Risikoklasse:

Hohes Risiko — volle Compliance erforderlich

• KI-gestützte Bewerberauswahl und HR-Screening
• Automatisierte Kreditwürdigkeitsprüfung
• KI in medizinischen Geräten und Diagnostik
• Predictive Policing und Risikobewertung
• KI-gesteuerte Zugangskontrolle (biometrisch)

Begrenztes Risiko — Transparenzpflichten

• Kundensupport-Chatbots (muss als KI erkennbar sein)
• KI-generierte Texte und Bilder (Kennzeichnungspflicht)
• Emotionserkennung am Arbeitsplatz (eingeschränkt erlaubt)

Minimales Risiko — keine spezifischen Pflichten

• ChatGPT für interne Textarbeit
• KI-gestützte Übersetzung
• Code-Generierung mit Copilot
• E-Mail-Spam-Filter

Die 12-Punkte-Checkliste

1. KI-Inventar erstellen

Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen eingesetzt werden — inkl. eingebetteter KI in SaaS-Produkten. Viele Unternehmen wissen nicht, dass ihre CRM- oder HR-Software bereits KI-Komponenten enthält.

2. Risikoklassifizierung durchführen

Ordnen Sie jedes System einer Risikoklasse zu. Dokumentieren Sie die Begründung. Bei Grenzfällen: im Zweifel die höhere Klasse wählen.

3. Verbotene Praktiken prüfen

Stellen Sie sicher, dass kein System verbotene Praktiken implementiert. Ab Februar 2025 gelten die Verbote — keine Übergangsfrist.

4. Transparenzpflichten umsetzen

Für alle KI-Systeme mit begrenztem Risiko: Nutzer müssen informiert werden, dass sie mit KI interagieren. Für generative KI: Outputs müssen als KI-generiert erkennbar sein.

5. Technische Dokumentation erstellen

Für Hochrisiko-Systeme: Erstellen Sie eine technische Dokumentation nach Anhang IV des AI Act. Diese umfasst Systembeschreibung, Trainings- und Testdaten, Leistungskennzahlen, Risikobewertung.

6. Risikomanagement-System einrichten

Art. 9 AI Act fordert ein kontinuierliches Risikomanagement: Risikoidentifikation, Risikobewertung, Risikominderung, Überwachung. Integrieren Sie es in Ihr bestehendes Compliance-Management.

7. Datenqualität sicherstellen

Art. 10 AI Act stellt Anforderungen an Trainings-, Validierungs- und Testdaten. Dokumentieren Sie Datenherkunft, Qualitätsmaßnahmen und bekannte Verzerrungen (Bias).

8. Human Oversight gewährleisten

Hochrisiko-Systeme müssen so gestaltet sein, dass Menschen sie überwachen und eingreifen können. Definieren Sie klare Eskalationswege und Abschaltmechanismen.

9. Audit-Trail implementieren

Art. 12 AI Act fordert automatische Protokollierung aller relevanten Vorgänge. Implementieren Sie einen lückenlosen Audit-Trail, der nachvollziehbar macht, welche Entscheidungen die KI wann getroffen hat.

10. Konformitätsbewertung vorbereiten

Für bestimmte Hochrisiko-Systeme ist eine Konformitätsbewertung durch eine notifizierte Stelle erforderlich. Informieren Sie sich frühzeitig über die Anforderungen.

11. KI-Beauftragten benennen

Benennen Sie eine verantwortliche Person für KI-Compliance. Diese koordiniert die Umsetzung, hält die Dokumentation aktuell und ist Ansprechpartner für Aufsichtsbehörden.

12. Schulungsprogramm starten

Art. 4 AI Act fordert „ausreichende KI-Kompetenz" bei allen Personen, die KI-Systeme betreiben oder nutzen. Schulen Sie Ihr Personal und dokumentieren Sie die Maßnahmen.

Fristen im Überblick

• 02.02.2025: Verbotene KI-Praktiken gelten — Verstöße werden geahndet
• 02.08.2025: Pflichten für General-Purpose AI (GPAI) wie ChatGPT gelten für Anbieter
• 02.08.2026: Hauptteil des AI Act gilt — inkl. Hochrisiko-Anforderungen. Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes
• 02.08.2027: Vollständige Anwendung für alle KI-Systeme in Anhang I

AI Act und DSGVO: Doppelte Compliance

Der AI Act ersetzt nicht die DSGVO — er ergänzt sie. Unternehmen müssen beide Verordnungen gleichzeitig erfüllen. Synergien ergeben sich bei:

• Datenschutz-Folgenabschätzung: DSFA nach DSGVO und Risikobewertung nach AI Act können zusammengelegt werden
• Audit-Trail: Ein lückenloser Trail erfüllt beide Anforderungen
• Transparenzpflichten: Art. 13/14 DSGVO und Art. 13 AI Act fordern beide Nutzerinformation
• Technische Maßnahmen: Pseudonymisierung schützt sowohl personenbezogene Daten (DSGVO) als auch vor Bias in Trainingsdaten (AI Act)

Wie KI-Shield bei der AI-Act-Compliance hilft

• Audit-Trail: Lückenlose, manipulationssichere Protokollierung aller KI-Interaktionen mit Blockchain-Verankerung
• Transparenz: Nachvollziehbar, welche Daten wann an welchen KI-Anbieter gesendet wurden
• Datenqualität: Automatische PII-Erkennung verhindert, dass personenbezogene Daten ins Training fließen
• Human Oversight: Dashboard für Monitoring und Eingriffsmöglichkeit in Echtzeit

Fazit

Der EU AI Act ist keine ferne Zukunftsmusik — die ersten Pflichten gelten bereits. Unternehmen, die jetzt ihre KI-Governance aufbauen, vermeiden nicht nur Bußgelder, sondern verschaffen sich einen Wettbewerbsvorteil: Kunden und Partner bevorzugen Anbieter, die KI verantwortungsvoll einsetzen.