MTMartin TomczakKI-Softwareentwickler
Erstgespräch buchen

KI-Compliance

EU AI Act Compliance-Checkliste für den Mittelstand: Was bis August 2026 erledigt sein muss

Der EU AI Act klingt wie Bürokratie. Ist er für die meisten Mittelständler auch — aber machbarer als gedacht. Hier ist die pragmatische Checkliste, was wirklich zu tun ist.

9 Min. LesezeitAutor: Martin TomczakAktualisiert: 08.05.2026
EU AI Act Compliance Checkliste für den deutschen Mittelstand 2026

Phase 1: Inventar und Klassifikation (sofort starten)

Schritt 1.1 — Vollständiges KI-Inventar erstellen

Liste aller KI-Systeme, die in Ihrem Unternehmen eingesetzt werden:

Für jedes System notieren: Was tut es? Auf wessen Daten? Mit welchen Auswirkungen?

Schritt 1.2 — Risikoklassifikation durchführen

Für jedes System prüfen Sie drei Fragen:

Frage 1: Fällt das System unter eine verbotene Praxis (Art. 5)? Social Scoring, manipulative KI, nicht-autorisierte Biometrie? Falls ja: sofort abschalten oder grundlegend modifizieren.

Frage 2: Fällt der Anwendungsfall unter Anhang III? HR-KI, Kreditvergabe-KI, kritische Infrastruktur-KI, Bildungs-KI, Rechtspflege-KI? Falls ja: Hochrisiko-Anforderungen erfüllen.

Frage 3: Kommuniziert das System direkt mit Nutzern als KI-Agent oder Chatbot? Falls ja: Transparenzpflichten erfüllen.

  • Intern entwickelte KI-Systeme (eigenes Code-Repo)
  • KI-Funktionen in eingekaufter Software (HR-Software mit KI-Scoring, CRM mit Empfehlungsmotor)
  • KI-SaaS-Dienste (ChatGPT-API, Copilot, Midjourney für Marketing)
  • KI-Plugins in bestehenden Tools (Grammarly, Notion AI, GitHub Copilot)

Phase 2: Maßnahmen für Hochrisiko-Systeme (falls vorhanden)

Falls Sie in Phase 1 Hochrisiko-Systeme identifiziert haben:

Schritt 2.1 — Technische Dokumentation erstellen (Anhang IV)

Die Dokumentation muss enthalten:

Schritt 2.2 — Konformitätsbewertung durchführen

Für die meisten Hochrisiko-Systeme: Selbstbewertung nach den harmonisierten Normen (sobald verfügbar) oder nach den Anforderungen von Anhang VI des EUAIA. Dokumentieren, dass Ihr System die Anforderungen erfüllt.

Schritt 2.3 — Logging-System implementieren

Das System muss automatisch Logs generieren:

Aufbewahrungsfrist: mindestens die in Anhang XII vorgesehene Zeit (in der Regel 10 Jahre für Hochrisiko in kritischen Bereichen, kürzer für andere).

Schritt 2.4 — Menschliche Aufsicht sicherstellen

Hochrisiko-Systeme müssen so gestaltet sein, dass:

Schritt 2.5 — Registrierung in EU-Datenbank

Sobald die EU-KI-Datenbank operativ ist (voraussichtlich ab August 2026), müssen Hochrisiko-Systeme registriert werden. Vorbereitung: alle Dokumentationsunterlagen aus 2.1 zusammenstellen.

  • Allgemeine Beschreibung: Zweck, Version, Trainingsdaten-Herkunft
  • Leistungsmetriken: Genauigkeit, Fehlerquoten, bekannte Limitierungen
  • Risikomanagementsystem: identifizierte Risiken und Gegenmaßnahmen
  • Datengovernance: Wie werden Trainingsdaten qualitätsgesichert?
  • Zeitstempel jeder Anfrage
  • Relevante Eingabedaten (soweit datenschutzkonform)
  • Ausgabe/Entscheidung des Systems
  • System-Konfiguration zum Zeitpunkt der Entscheidung
  • Entscheidungen durch Menschen überprüft werden können
  • Ein Mensch eingreifen und das System stoppen kann
  • Automatische Entscheidungen nicht unwiderruflich sind

Phase 3: Transparenzpflichten (für alle mit Chatbots/generativer KI)

Schritt 3.1 — KI-Kennzeichnung bei Nutzerkontakt

Wenn Ihr Unternehmen einen KI-Chatbot oder KI-Agenten einsetzt, der mit Menschen kommuniziert:

Umsetzung: Hinweis in der Benutzeroberfläche, z.B. "Dieser Assistent wird von KI unterstützt."

Schritt 3.2 — Deep-Fake und generierte Medien kennzeichnen

KI-generierte oder -manipulierte Bilder, Videos und Audiodateien müssen als solche gekennzeichnet werden — sofern sie nicht offensichtlich fiktional sind. Relevant für Marketing-Teams, die KI-Bildgeneratoren nutzen.

  • Nutzer müssen in Echtzeit informiert werden, dass sie mit KI interagieren
  • Dies gilt für Chatbots auf Ihrer Website, automatisierte E-Mail-Antworten mit KI, KI-Telefon-Agenten

Phase 4: Governance-Strukturen aufbauen

Schritt 4.1 — Verantwortlichkeit intern klären

Benennen Sie eine verantwortliche Person für EU-AI-Act-Compliance in Ihrem Unternehmen. Das muss keine eigene Stelle sein — bei KMU ist das oft der CTO oder Datenschutzbeauftragte mit erweitertem Aufgabenbereich.

Schritt 4.2 — Drittanbieter-KI prüfen

Für jeden KI-Dienst, den Sie einkaufen: Prüfen Sie, ob der Anbieter EUAIA-Konformitätsdokumentation bereitstellt. Als Betreiber sind Sie mitverantwortlich — auch wenn das System von einem Drittanbieter stammt.

Schritt 4.3 — Internes Schulungsprogramm

Mitarbeiter, die KI-Systeme bedienen oder deren Outputs nutzen, müssen über die Grenzen und Risiken des Systems informiert sein. Kein Seminar nötig — ein klares internes Merkblatt mit den wichtigsten Dos and Don'ts reicht für den Anfang.

Was Sie beruhigen kann: Die meisten Mittelständler sind nicht betroffen

Wenn Ihr Unternehmen KI einsetzt für: Marketing-Texte, interne Wissensabfragen, Code-Assistenz, Dokumentenanalyse ohne Entscheidungsautomatik — dann haben Sie höchstwahrscheinlich kein Hochrisiko-System. Die Transparenzpflicht für Chatbots ist der wichtigste Punkt.

Mein Rat: Machen Sie das Inventar. Es kostet einen Tag, und Sie wissen danach mit Sicherheit, wo Sie stehen.

---

Vollständiger EU AI Act Leitfaden: Risikoklassifikation, Strafen und Compliance-by-Design für Entwickler: EU AI Act: Der Praxis-Leitfaden für deutsche Unternehmen

Nächster Schritt

Sollen wir Ihren KI-Use-Case einordnen?

Ich schaue mit Ihnen auf Ziel, Daten, Systeme und den sinnvollsten ersten Umsetzungsschritt.

Projekt anfragenAlle Artikel
LeistungenErstgespräch