Kostenlos beraten
EU AI Act Compliance-Checkliste für deutsche Unternehmen
Leitfäden

EU AI Act Compliance-Checkliste für deutsche Unternehmen

Die EU KI-Verordnung (EU AI Act) ist in Kraft. Die erste Compliance-Frist — der 2. August 2025 — ist bereits verstrichen. Wenn Sie KI-Systeme nutzen, einsetzen oder entwickeln und in Deutschland tätig sind, müssen Sie verstehen, wo Sie stehen.

Diese Checkliste deckt die wesentlichen Compliance-Bereiche für deutsche Tech-Unternehmen ab: was basierend auf Ihrer KI-Risikoklassifizierung gilt, was die August-2025-Anforderungen konkret umfassten und was die Hochrisiko-Pflichten bis August 2026 fordern.

Schritt 1: Das Risikoklassifizierungs-Framework verstehen

Nicht alles, was Sie mit KI tun, wird gleich reguliert. Der EU AI Act verwendet ein abgestuftes Risikorahmenwerk.

Verbotene KI-Systeme — vollständig untersagt. Dazu gehören Social Scoring, biometrische Kategorisierung auf Basis sensibler Merkmale, unterschwellige Manipulation und Echtzeit-Fernbiometrie im öffentlichen Raum (mit engen Ausnahmen). Falls Sie solche Systeme betreiben, müssen Sie sofort handeln.

Hochrisiko-KI-Systeme — unterliegen strengen Anforderungen. Dazu gehören KI-Systeme in Einstellungs- und HR-Entscheidungen, Kreditbewertung, wesentlichen Dienstleistungen und Sicherheitskomponenten von Produkten (definiert in Anhang III der Verordnung). Wenn Ihre KI-Outputs individuelle Rechte oder den Zugang zu Leistungen beeinflussen, befinden Sie sich wahrscheinlich hier.

Begrenzte-Risiko-KI-Systeme — nur Transparenzpflichten. Chatbots und andere KI, die mit Nutzern interagiert, muss offenlegen, dass Nutzer mit KI interagieren.

Minimales Risiko — weitgehend unreguliert. Die meisten KI-Features (Empfehlungsalgorithmen, Spam-Filter, einfache Automatisierung) fallen hierunter.

Ihre erste Compliance-Maßnahme: Kartieren Sie Ihre KI-Systeme gegenüber diesem Framework. Compliance ist unmöglich, solange Sie nicht wissen, wo Sie stehen.

Schritt 2: August-2025-Transparenzpflichten — Sind Sie compliant?

Die Frist vom 2. August 2025 galt für zwei Hauptbereiche:

1. Verbotene KI-Systeme — vollständiges Verbot gilt. Falls Ihre Systeme verbotene Kategorien enthielten, hätten sie eingestellt werden müssen.

2. KI-Modelle für allgemeine Zwecke (GPAI) — Anbieter von GPAI-Modellen wurden Transparenz- und Kooperationspflichten unterworfen. Falls Sie Foundation Models oder GPAI-Modelle entwickeln (nicht nur nutzen), gilt dies unmittelbar für Sie.

3. KI-Kompetenzpflichten — alle Anbieter und Betreiber von KI-Systemen müssen ausreichende KI-Kompetenz bei ihren Mitarbeitern und denjenigen, die ihre Systeme bedienen, sicherstellen. Das ist nicht nur formale Schulung — Ihr Team muss die KI-Systeme, mit denen es arbeitet, verstehen.

Checkliste August 2025:

  • Verbotene KI-Systeme identifiziert und eingestellt
  • KI-Kompetenzprogramme für relevante Mitarbeiter implementiert
  • GPAI-Modelldokumentation erstellt (falls zutreffend)
  • Transparenzpflichten für Chatbots und KI-Interfaces erfüllt

Schritt 3: August-2026-Hochrisiko-Anforderungen — Jetzt vorbereiten

Die vollständigen Hochrisiko-KI-Pflichten gelten ab dem 2. August 2026. Wenn Ihre Systeme hochriskant im Sinne der Verordnung sind, haben Sie noch Zeit zum Aufbau der Compliance-Infrastruktur.

Risikomanagementsystem — Sie benötigen ein dokumentiertes, kontinuierliches Risikomanagementsystem für jedes Hochrisiko-KI-System. Das ist keine einmalige Bewertung, sondern ein fortlaufender Prozess über den gesamten Lebenszyklus des Systems.

Datenverwaltung — Trainings-, Validierungs- und Testdatensätze müssen spezifische Qualitätskriterien erfüllen. Praktiken der Datenvorbereitung, -prüfung und -verwaltung müssen dokumentiert sein.

Technische Dokumentation — umfassende Dokumentation des Systemzwecks, Designs, Entwicklungsprozesses, Validierungsergebnisse und Leistungsmetriken. Diese Dokumentation muss eine Konformitätsbewertung ermöglichen.

Transparenz und Nutzungsanweisungen — Hochrisiko-KI-Systeme müssen mit klaren Anweisungen geliefert werden, die Fähigkeiten, Einschränkungen, menschliche Aufsichtsmechanismen und technische Maßnahmen abdecken.

Menschliche Aufsicht — Hochrisiko-Systeme müssen so gestaltet sein, dass natürliche Personen während der Nutzung Aufsicht ausüben können. Die Fähigkeit einzugreifen, zu überstimmen und zu überwachen, muss eingebaut sein.

Genauigkeit, Robustheit und Cybersicherheit — Systeme müssen angemessene Genauigkeitsstufen erfüllen, robust gegen Fehler und Inkonsistenzen sein und gegen adversarielle Angriffe gesichert sein.

Registrierung — Hochrisiko-KI-Systeme müssen vor Inverkehrbringen in der EU-Datenbank registriert werden.

Konformitätsbewertung — die meisten Hochrisiko-KI-Systeme erfordern eine Konformitätsbewertung vor der Bereitstellung. Einige erfordern eine Bewertung durch Dritte; andere können selbst bewertet werden.

Checkliste August-2026-Vorbereitung:

  • Hochrisiko-KI-Systeme identifiziert und katalogisiert
  • Risikomanagementsystem-Framework entwickelt
  • Datenverwaltungsdokumentation begonnen
  • Prozess für technische Dokumentation etabliert
  • Mechanismen für menschliche Aufsicht entworfen
  • Konformitätsbewertungs-Pfad identifiziert
  • Zeitplan für EU-Datenbankregistrierung festgelegt

Schritt 4: Der Betriebsrat-Aspekt — §87 BetrVG

Deutsches Arbeitsrecht fügt eine Ebene hinzu, die reine EU-AI-Act-Compliance nicht abdeckt: Falls Sie einen Betriebsrat haben, löst der Einsatz von KI-Systemen, die Mitarbeiter betreffen, Mitbestimmungsrechte nach §87 BetrVG aus.

Die Überwachung von Mitarbeitern, Leistungsbeurteilungen mittels KI oder die Änderung von Arbeitsprozessen durch automatisierte Systeme erfordern Betriebsrats-Konsultation vor der Implementierung. Das gilt unabhängig davon, wo Ihr KI-System im EU-AI-Act-Risikorahmen steht.

Falls Sie KI intern einsetzen — in HR, Leistungsmanagement, Produktivitätsüberwachung oder Workflow-Automatisierung — müssen Sie parallel zur EU-AI-Act-Compliance eine Betriebsrats-Schiene führen.

Schritt 5: DSGVO-Überschneidung — Das Dual-Framework-Problem

Viele EU-AI-Act-Compliance-Fragen berühren auch die DSGVO. Automatisierte Entscheidungsfindung (Art. 22 DSGVO) trägt bereits Einschränkungen und Transparenzanforderungen. Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, müssen beide Frameworks gleichzeitig erfüllen.

Wesentliche Überschneidungsbereiche:

  • Datensparsamkeitsprinzip vs. KI-Trainingsdatenbedarf
  • Auskunftsrechte bei automatisierten Entscheidungen
  • Datenschutz-Folgenabschätzungen (DSFA) — viele Hochrisiko-KI-DSFAs und EU-AI-Act-Risikobewertungen müssen koordiniert werden
  • Drittländer-Datenübermittlungen, falls Ihre KI-Systeme Daten über Anbieter außerhalb der EU verarbeiten

Ein Compliance-Ansatz, der EU AI Act und DSGVO als separate Arbeitsstränge behandelt, erzeugt Lücken. Sie müssen gemeinsam angegangen werden.

Schritt 6: Was SaaS-Unternehmen konkret prüfen müssen

Falls Sie B2B-SaaS anbieten und Ihr Produkt KI-Features enthält, sind Sie Teil der Lieferkette. Ihre Pflichten hängen davon ab, ob Sie Anbieter (Sie haben das Modell oder System entwickelt), Betreiber (Sie setzen ein Drittanbieter-KI-System ein) oder Importeur/Händler sind.

Anbieter-Pflichten sind am umfangreichsten. Falls Sie die KI entwickelt haben und Kunden anbieten, tragen Sie die volle Compliance-Verantwortung.

Betreiber-Pflichten sind real, aber geringer. Falls Sie ein Drittanbieter-KI-System in Ihrem Produkt nutzen, haben Sie dennoch Pflichten: Transparenz gegenüber Endnutzern, Monitoring, und — bei Hochrisiko-Systemen — Sicherstellen, dass der Anbieter seine eigenen Anforderungen erfüllt hat.

Vertragliche Klarheit ist wichtig. Ihre KI-Anbieterverträge sollten jetzt explizit EU-AI-Act-Pflichten, Dokumentationsübergabe und die Allokation der Compliance-Verantwortung adressieren.

Rechtliche Unterstützung für EU AI Act Compliance

EU-AI-Act-Compliance ist nicht nur ein technisches Problem — es ist ein rechtliches. Klassifizierungsentscheidungen, Dokumentationsstandards, Konformitätsbewertungspfade und DSGVO-Koordination erfordern rechtliche Analyse, die auf Ihre spezifischen Systeme und Anwendungsfälle zugeschnitten ist.

Compound Law berät deutsche Tech-Unternehmen bei EU-AI-Act-Compliance zusammen mit DSGVO, Betriebsrats-Anforderungen und Arbeitsrecht. Falls Sie sich nicht sicher sind, wo Ihre KI-Systeme im Framework stehen, vereinbaren Sie ein Beratungsgespräch für Klarheit vor August 2026.

Das könnte dich auch interessieren

KI und menschliche Expertise
Einblicke

Wir nutzen KI überall. Wir vertrauen ihr nirgends.

Wie Compound Law KI-gestützte Rechtsanalyse mit menschlicher Expertise kombiniert. Wir nutzen KI überall für Geschwindigkeit — aber vertrauen ihr nirgends ohne menschliche Kontrolle.
Die Legal-Branche war nicht bereit dafür
Ankündigung

Die Legal-Branche war nicht bereit dafür

Die Art, wie Unternehmen mit Recht arbeiten, verändert sich grundlegend. Technologie eröffnet neue Möglichkeiten – für Mandanten und für Anwälte. Wir nutzen sie.
Fractional General Counsel vs. festangestellter GC in Deutschland
Leitfäden

Fractional General Counsel vs. festangestellter GC in Deutschland: Was passt zu Ihrer Phase?

Ein Vollzeit-General-Counsel in Deutschland einzustellen ist teuer und oft verfrüht. So denken Sie das Fractional-GC-Modell durch — und wann der Wechsel zu einer Festanstellung sinnvoll ist.

Bereit loszulegen?

Kostenlos beraten