MTMartin TomczakKI-Softwareentwickler
Erstgespräch buchen

KI-Compliance

EU AI Act Compliance-Checkliste für den Mittelstand: Was bis August 2026 erledigt sein muss

Der EU AI Act klingt wie Bürokratie. Ist er für die meisten Mittelständler auch, aber machbarer als gedacht. Hier ist die pragmatische Checkliste, was wirklich zu tun ist.

9 Min. LesezeitAutor: Martin TomczakAktualisiert: 04.06.2026
EU AI Act Compliance Checkliste für den deutschen Mittelstand 2026

Phase 1: Inventar und Klassifikation (sofort starten)

Schritt 1.1: Vollständiges KI-Inventar erstellen

Liste aller KI-Systeme, die in Ihrem Unternehmen eingesetzt werden:

Für jedes System notieren: Was tut es? Auf wessen Daten? Mit welchen Auswirkungen?

Schritt 1.2: Risikoklassifikation durchführen

Für jedes System prüfen Sie drei Fragen:

Frage 1: Fällt das System unter eine verbotene Praxis (Art. 5)? Social Scoring, manipulative KI, nicht-autorisierte Biometrie? Falls ja: sofort abschalten oder grundlegend modifizieren.

Frage 2: Fällt der Anwendungsfall unter Anhang III? HR-KI, Kreditvergabe-KI, kritische Infrastruktur-KI, Bildungs-KI, Rechtspflege-KI? Falls ja: Hochrisiko-Anforderungen erfüllen.

Frage 3: Kommuniziert das System direkt mit Nutzern als KI-Agent oder Chatbot? Falls ja: Transparenzpflichten erfüllen.

  • Intern entwickelte KI-Systeme (eigenes Code-Repo)
  • KI-Funktionen in eingekaufter Software (HR-Software mit KI-Scoring, CRM mit Empfehlungsmotor)
  • KI-SaaS-Dienste (ChatGPT-API, Copilot, Midjourney für Marketing)
  • KI-Plugins in bestehenden Tools (Grammarly, Notion AI, GitHub Copilot)

Phase 2: Maßnahmen für Hochrisiko-Systeme (falls vorhanden)

Falls Sie in Phase 1 Hochrisiko-Systeme identifiziert haben:

Schritt 2.1: Technische Dokumentation erstellen (Anhang IV)

Die Dokumentation muss enthalten:

Schritt 2.2: Konformitätsbewertung durchführen

Für die meisten Hochrisiko-Systeme: Selbstbewertung nach den harmonisierten Normen (sobald verfügbar) oder nach den Anforderungen von Anhang VI des EUAIA. Dokumentieren, dass Ihr System die Anforderungen erfüllt.

Schritt 2.3: Logging-System implementieren

Das System muss automatisch Logs generieren:

Aufbewahrungsfrist: mindestens die in Anhang XII vorgesehene Zeit (in der Regel 10 Jahre für Hochrisiko in kritischen Bereichen, kürzer für andere).

Schritt 2.4: Menschliche Aufsicht sicherstellen

Hochrisiko-Systeme müssen so gestaltet sein, dass:

Schritt 2.5: Registrierung in EU-Datenbank

Sobald die EU-KI-Datenbank operativ ist (voraussichtlich ab August 2026), müssen Hochrisiko-Systeme registriert werden. Vorbereitung: alle Dokumentationsunterlagen aus 2.1 zusammenstellen.

  • Allgemeine Beschreibung: Zweck, Version, Trainingsdaten-Herkunft
  • Leistungsmetriken: Genauigkeit, Fehlerquoten, bekannte Limitierungen
  • Risikomanagementsystem: identifizierte Risiken und Gegenmaßnahmen
  • Datengovernance: Wie werden Trainingsdaten qualitätsgesichert?
  • Zeitstempel jeder Anfrage
  • Relevante Eingabedaten (soweit datenschutzkonform)
  • Ausgabe/Entscheidung des Systems
  • System-Konfiguration zum Zeitpunkt der Entscheidung
  • Entscheidungen durch Menschen überprüft werden können
  • Ein Mensch eingreifen und das System stoppen kann
  • Automatische Entscheidungen nicht unwiderruflich sind

Phase 3: Transparenzpflichten (für alle mit Chatbots/generativer KI)

Schritt 3.1: KI-Kennzeichnung bei Nutzerkontakt

Wenn Ihr Unternehmen einen KI-Chatbot oder KI-Agenten einsetzt, der mit Menschen kommuniziert:

Umsetzung: Hinweis in der Benutzeroberfläche, z.B. "Dieser Assistent wird von KI unterstützt."

Schritt 3.2: Deep-Fake und generierte Medien kennzeichnen

KI-generierte oder -manipulierte Bilder, Videos und Audiodateien müssen als solche gekennzeichnet werden, sofern sie nicht offensichtlich fiktional sind. Relevant für Marketing-Teams, die KI-Bildgeneratoren nutzen.

  • Nutzer müssen in Echtzeit informiert werden, dass sie mit KI interagieren
  • Dies gilt für Chatbots auf Ihrer Website, automatisierte E-Mail-Antworten mit KI, KI-Telefon-Agenten

Phase 4: Governance-Strukturen aufbauen

Schritt 4.1: Verantwortlichkeit intern klären

Benennen Sie eine verantwortliche Person für EU-AI-Act-Compliance in Ihrem Unternehmen. Das muss keine eigene Stelle sein. Bei KMU ist das oft der CTO oder Datenschutzbeauftragte mit erweitertem Aufgabenbereich.

Schritt 4.2: Drittanbieter-KI prüfen

Für jeden KI-Dienst, den Sie einkaufen: Prüfen Sie, ob der Anbieter EUAIA-Konformitätsdokumentation bereitstellt. Als Betreiber sind Sie mitverantwortlich, auch wenn das System von einem Drittanbieter stammt.

Schritt 4.3: Internes Schulungsprogramm

Mitarbeiter, die KI-Systeme bedienen oder deren Outputs nutzen, müssen über die Grenzen und Risiken des Systems informiert sein. Kein Seminar nötig. Ein klares internes Merkblatt mit den wichtigsten Dos and Don'ts reicht für den Anfang.

Was Sie beruhigen kann: Die meisten Mittelständler sind nicht betroffen

Wenn Ihr Unternehmen KI einsetzt für: Marketing-Texte, interne Wissensabfragen, Code-Assistenz, Dokumentenanalyse ohne Entscheidungsautomatik, dann haben Sie höchstwahrscheinlich kein Hochrisiko-System. Die Transparenzpflicht für Chatbots ist der wichtigste Punkt.

Mein Rat: Machen Sie das Inventar. Es kostet einen Tag, und Sie wissen danach mit Sicherheit, wo Sie stehen.

---

Vollständiger EU AI Act Leitfaden: Risikoklassifikation, Strafen und Compliance-by-Design für Entwickler: EU AI Act: Der Praxis-Leitfaden für deutsche Unternehmen

Nächster Schritt

Sollen wir Ihren KI-Use-Case einordnen?

Ich schaue mit Ihnen auf Ziel, Daten, Systeme und den sinnvollsten ersten Umsetzungsschritt.

Projekt anfragenAlle Artikel
Erstgespräch anfragen