Opsio - Cloud and AI Solutions
Compliance5 min read· 1,113 words

EU AI Act Compliance-Checkliste für Unternehmen

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Veröffentlicht: ·Aktualisiert: ·Geprüft vom Opsio-Ingenieurteam

Quick Answer

Diese EU-AI-Act- Compliance -Checkliste hilft Unternehmen, die Pflichten der KI-Verordnung systematisch umzusetzen. Der wichtigste erste Schritt: Klären Sie Ihre Rolle (Anbieter oder Betreiber), inventarisieren Sie alle KI- Systeme und ordnen Sie jedes einer Risikoklasse zu. Daraus ergeben sich die konkreten Pflichten – von einfachen Transparenzhinweisen bis zur vollständigen Konformitätsbewertung. Hinweis: Dieser Beitrag bietet allgemeine Informationen und keine Rechtsberatung. Der EU AI Act wird gestuft anwendbar; einzelne Fristen wurden 2026 angepasst. Anbieter oder Betreiber – welche Rolle haben Sie? Die KI-Verordnung knüpft Pflichten an Rollen. Die beiden zentralen sind: Anbieter (Provider): Wer ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt. Anbieter tragen die Hauptlast der Pflichten, besonders bei Hochrisiko-Systemen. Betreiber (Deployer): Wer ein KI-System in eigener Verantwortung beruflich einsetzt. Betreiber haben geringere, aber reale Pflichten – etwa menschliche Aufsicht, Nutzung gemäß Anleitung und teils Informationspflichten gegenüber Betroffenen.

Kostenloser Pentest

Kostenlose Sicherheitsanalyse nach NIS2 und BSI IT-Grundschutz.

Beantragen

Diese EU-AI-Act-Compliance-Checkliste hilft Unternehmen, die Pflichten der KI-Verordnung systematisch umzusetzen. Der wichtigste erste Schritt: Klären Sie Ihre Rolle (Anbieter oder Betreiber), inventarisieren Sie alle KI-Systeme und ordnen Sie jedes einer Risikoklasse zu. Daraus ergeben sich die konkreten Pflichten – von einfachen Transparenzhinweisen bis zur vollständigen Konformitätsbewertung.

Hinweis: Dieser Beitrag bietet allgemeine Informationen und keine Rechtsberatung. Der EU AI Act wird gestuft anwendbar; einzelne Fristen wurden 2026 angepasst.

Anbieter oder Betreiber – welche Rolle haben Sie?

Die KI-Verordnung knüpft Pflichten an Rollen. Die beiden zentralen sind:

  • Anbieter (Provider): Wer ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt. Anbieter tragen die Hauptlast der Pflichten, besonders bei Hochrisiko-Systemen.
  • Betreiber (Deployer): Wer ein KI-System in eigener Verantwortung beruflich einsetzt. Betreiber haben geringere, aber reale Pflichten – etwa menschliche Aufsicht, Nutzung gemäß Anleitung und teils Informationspflichten gegenüber Betroffenen.

Daneben kennt die Verordnung weitere Rollen wie Einführer (Importeur) und Händler (Distributor), die KI-Systeme aus Drittländern in der EU bereitstellen. Auch sie tragen Sorgfalts- und Prüfpflichten. Die meisten Unternehmen sind jedoch in erster Linie Betreiber – und werden zum Anbieter, sobald sie KI selbst entwickeln oder maßgeblich anpassen.

Kann ich vom Betreiber zum Anbieter werden?

Ja. Wer ein bestehendes Hochrisiko-System wesentlich verändert, es unter eigenem Namen oder eigener Marke vertreibt oder ein KI-System zu einem Hochrisiko-Zweck umnutzt, kann selbst zum Anbieter werden – mit allen zugehörigen Pflichten. Diese Rollenverschiebung wird oft übersehen, etwa beim Fine-Tuning eines Allzweckmodells für einen sensiblen Anwendungsfall. Prüfen Sie die Rollenfrage daher für jedes System einzeln und dokumentieren Sie Ihre Einschätzung.

Schritt 1: KI-Systeme inventarisieren

Erstellen Sie ein vollständiges Register aller eingesetzten und entwickelten KI-Systeme – einschließlich eingekaufter SaaS-Tools und in Produkte eingebetteter Modelle. Erfassen Sie je System: Zweck, Datenbasis, Anbieter, betroffene Personengruppen und Einsatzkontext. Ohne dieses Inventar ist keine belastbare Klassifizierung möglich.

Kostenlose Expertenberatung

Brauchen Sie Hilfe mit cloud?

Buchen Sie ein kostenloses 30-Minuten-Gespräch mit einem unserer cloud-Spezialisten. Wir analysieren Ihren Bedarf und geben konkrete Empfehlungen — völlig unverbindlich.

Solution ArchitectKI-SpezialistSicherheitsexperteDevOps-Ingenieur
50+ zertifizierte IngenieureAWS Advanced Partner24/7 Support
Völlig kostenlos — keine VerpflichtungAntwort innerhalb 24h

Schritt 2: Risiko jedes Systems klassifizieren

Ordnen Sie jedes System einer der vier Risikoklassen zu. Der Verwendungszweck ist entscheidend, nicht die Technologie.

RisikoklasseWas zu tun ist
Inakzeptabel (verboten)Einsatz sofort einstellen – diese Praktiken sind seit Februar 2025 verboten.
HochriskantVollständigen Pflichtenkatalog umsetzen: Risikomanagement, Daten-Governance, Dokumentation, menschliche Aufsicht, Konformitätsbewertung.
Begrenzt (Transparenz)Kennzeichnungs- und Transparenzpflichten erfüllen (z. B. Chatbot- und Deepfake-Hinweise nach Art. 50).
MinimalKeine besonderen Pflichten; freiwillige Verhaltenskodizes empfohlen.

Woran erkenne ich ein Hochrisiko-System?

Hochriskant sind insbesondere KI-Systeme, die in Anhang III genannte Bereiche betreffen – etwa Personalauswahl, Kreditwürdigkeitsprüfung, kritische Infrastruktur, Bildung, Strafverfolgung oder Migration – sowie KI als Sicherheitskomponente regulierter Produkte (Anhang I). Im Zweifel dokumentieren Sie Ihre Bewertung nachvollziehbar.

Schritt 3: Die Schritt-für-Schritt-Checkliste

Arbeiten Sie folgende Punkte systematisch ab und dokumentieren Sie jeden Schritt:

  • Rollen festlegen: Für jedes System Anbieter-/Betreiberrolle klären.
  • KI-Inventar pflegen: Vollständiges, aktuelles Register führen.
  • Verbote prüfen: Sicherstellen, dass kein System unter Art. 5 fällt.
  • Risiko klassifizieren: Jede Anwendung einer der vier Klassen zuordnen.
  • Transparenzpflichten erfüllen: Chatbots, KI-Inhalte und Deepfakes kennzeichnen.
  • Hochrisiko-Pflichten umsetzen: Risikomanagement, Daten-Governance, Protokollierung, menschliche Aufsicht.
  • Konformitätsbewertung durchführen: Für Hochrisiko-Systeme vor Markteinführung (siehe unten).
  • GPAI-Anforderungen beachten: Bei Nutzung großer Allzweckmodelle Dokumentation der Anbieter einholen und nachgelagerte Pflichten prüfen.
  • KI-Kompetenz sicherstellen: Mitarbeitende schulen (Pflicht zur KI-Kompetenz seit Februar 2025).
  • Vorfallmanagement einrichten: Prozess zur Meldung schwerwiegender Vorfälle etablieren.
  • Lieferkette absichern: Verträge mit KI-Lieferanten um AI-Act-Pflichten ergänzen.

Konformitätsbewertung und CE-Kennzeichnung für Hochrisiko

Vor dem Inverkehrbringen eines Hochrisiko-Systems müssen Anbieter eine Konformitätsbewertung durchführen. Je nach System geschieht dies durch interne Kontrolle oder unter Beteiligung einer benannten Stelle (Notified Body). Anschließend:

  • Erstellen einer EU-Konformitätserklärung,
  • Anbringen der CE-Kennzeichnung,
  • Registrierung des Systems in der EU-Datenbank für Hochrisiko-KI.

Nach wesentlichen Änderungen ist die Bewertung zu wiederholen. Planen Sie hierfür ausreichend Vorlauf ein, da harmonisierte Normen und Prüfprozesse Zeit beanspruchen.

Brauche ich immer eine benannte Stelle?

Nein. Für viele Hochrisiko-Systeme nach Anhang III genügt eine interne Konformitätskontrolle durch den Anbieter selbst, sofern harmonisierte Normen angewendet werden. Eine benannte Stelle ist vor allem bei bestimmten biometrischen Systemen oder bei KI als Sicherheitskomponente regulierter Produkte (Anhang I) einzubinden. Klären Sie früh, welcher Weg für Ihr System gilt, denn das beeinflusst Zeitplan und Budget erheblich.

Dokumentation und Governance

Compliance ist nachweispflichtig. Bauen Sie eine belastbare Governance auf:

  • Technische Dokumentation je Hochrisiko-System (Zweck, Architektur, Daten, Tests, Grenzen).
  • Risikomanagementsystem über den gesamten Lebenszyklus.
  • Daten-Governance: Qualität, Repräsentativität und Bias-Kontrolle der Trainings- und Eingabedaten.
  • Protokollierung (Logging) zur Rückverfolgbarkeit.
  • Menschliche Aufsicht mit klaren Eingriffsmöglichkeiten.
  • Verantwortlichkeiten und interne Zuständigkeiten festlegen.

Vorhandene DSGVO- und ISO-27001-Strukturen lassen sich gut wiederverwenden: Datenschutz-Folgenabschätzungen, Verarbeitungsverzeichnisse und ein Information-Security-Management-System bilden eine solide Basis für die AI-Act-Governance.

Den Zeitplan im Blick behalten

Die KI-Verordnung (Verordnung (EU) 2024/1689) gilt seit dem 1. August 2024 und wird gestuft anwendbar:

  • Februar 2025: Verbote und KI-Kompetenzpflichten.
  • August 2025: GPAI-Pflichten, Governance und Sanktionsregeln.
  • August 2026: Transparenzpflichten nach Art. 50.
  • Hochrisiko-Systeme: Mit dem 2026 vorläufig beschlossenen „Digital Omnibus on AI“ sollen die Pflichten für Anhang-III-Systeme auf den 2. Dezember 2027 und für Anhang-I-Systeme auf den 2. August 2028 verschoben werden. Stand Juni 2026 ist dies noch nicht final verabschiedet – prüfen Sie den aktuellen Stand, bevor Sie sich auf ein festes Datum verlassen.

Wie fange ich am besten an?

Beginnen Sie mit den Schritten, die unabhängig von künftigen Fristen schon heute gelten:

  • KI-Inventar erstellen und laufend pflegen.
  • Auf verbotene Praktiken prüfen (sofort wirksam).
  • Transparenzpflichten vorbereiten (ab August 2026).
  • KI-Kompetenz im Team aufbauen.
  • Hochrisiko-Kandidaten früh identifizieren und Governance pilotieren.

So schaffen Sie früh Klarheit und vermeiden teure Nacharbeit, sobald die Hochrisiko-Pflichten greifen. Verankern Sie Verantwortlichkeiten zudem schriftlich und überprüfen Sie Ihr KI-Inventar mindestens quartalsweise, da neue Tools und Funktionen die Risikoeinstufung verändern können.

Häufige Fragen (FAQ)

Ab wann gilt die KI-Verordnung?

Seit dem 1. August 2024 in Kraft, gestuft anwendbar: Verbote seit Februar 2025, GPAI und Sanktionen seit August 2025, Transparenzpflichten ab August 2026. Die Hochrisiko-Pflichten wurden 2026 voraussichtlich auf Dezember 2027 (Anhang III) bzw. August 2028 (Anhang I) verschoben; die finale Verabschiedung steht noch aus.

Gilt sie für mein Unternehmen, auch außerhalb der EU?

Sehr wahrscheinlich, sobald ein EU-Marktbezug besteht. Anbieter und Betreiber aus Nicht-EU-Ländern fallen unter die Verordnung, wenn ihre KI in der EU genutzt wird oder die Ergebnisse in der EU verwendet werden. Entscheidend ist der Marktbezug, nicht der Sitz.

EU AI Act oder DSGVO – was muss ich beachten?

Beides. Die DSGVO regelt personenbezogene Daten, der EU AI Act das KI-System als Produkt. Verarbeitet Ihre KI personenbezogene Daten, gelten beide Regelwerke parallel – nutzen Sie bestehende DSGVO-Prozesse als Grundlage, aber nicht als Ersatz.

Wie hoch sind die Sanktionen?

Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes (der höhere Betrag) bei verbotenen Praktiken; bis zu 15 Mio. EUR / 3 % bzw. 7,5 Mio. EUR / 1 % bei anderen Verstößen.

Unterstützung bei der Umsetzung

Eine fundierte Einordnung der KI-Verordnung (EU AI Act) ist die Basis jeder Compliance-Strategie. Opsio begleitet Unternehmen mit praxisnaher KI-Beratung – von der Klassifizierung über die Konformitätsbewertung bis zur laufenden Governance, ISO-27001-zertifiziert.

Verwandte Artikel

Written By

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Fredrik ist Group COO und CISO bei Opsio. Er konzentriert sich auf operative Exzellenz, Governance und Informationssicherheit und arbeitet eng mit den Liefer- und Führungsteams zusammen, um Technologie, Risiko und Geschäftsergebnisse in komplexen IT-Umgebungen in Einklang zu bringen. Er leitet die Sicherheitspraxis von Opsio, einschließlich SOC-Services, Penetrationstests und Compliance-Frameworks.

View all articles →LinkedIn

Editorial standards: Dieser Artikel wurde von Cloud-Praktikern verfasst und von unserem Ingenieurteam geprüft. Wir aktualisieren Inhalte vierteljährlich. Opsio wahrt redaktionelle Unabhängigkeit.