Kostenlos beraten
EU AI Act Compliance-Checkliste für deutsche Unternehmen
Leitfäden

EU AI Act Compliance-Checkliste für deutsche Unternehmen

Kurzantwort

Wenn Ihr Unternehmen in Deutschland KI entwickelt, einsetzt oder einkauft, brauchen Sie jetzt eine dokumentierte Risikoklassifizierung, Compliance für die ersten EU-AI-Act-Pflichten seit dem 2. August 2025 und einen belastbaren Umsetzungsplan für Hochrisiko-Anforderungen bis zum 2. August 2026.

  • Jeden KI-Anwendungsfall klassifizieren, bevor Sie Pflichten ableiten.
  • Transparenz-, GPAI- und KI-Kompetenzpflichten prüfen, die bereits gelten.
  • EU AI Act, DSGVO und Betriebsratsprozesse gemeinsam steuern.

Die EU KI-Verordnung (EU AI Act) ist in Kraft. Die erste Compliance-Frist — der 2. August 2025 — ist bereits verstrichen. Wenn Sie KI-Systeme nutzen, einsetzen oder entwickeln und in Deutschland tätig sind, müssen Sie verstehen, wo Sie stehen.

Diese Checkliste deckt die wesentlichen Compliance-Bereiche für deutsche Tech-Unternehmen ab: was basierend auf Ihrer KI-Risikoklassifizierung gilt, was die August-2025-Anforderungen konkret umfassten und was die Hochrisiko-Pflichten bis August 2026 fordern.

Schritt 1: Das Risikoklassifizierungs-Framework verstehen

Nicht alles, was Sie mit KI tun, wird gleich reguliert. Der EU AI Act verwendet ein abgestuftes Risikorahmenwerk.

Verbotene KI-Systeme — vollständig untersagt. Dazu gehören Social Scoring, biometrische Kategorisierung auf Basis sensibler Merkmale, unterschwellige Manipulation und Echtzeit-Fernbiometrie im öffentlichen Raum (mit engen Ausnahmen). Falls Sie solche Systeme betreiben, müssen Sie sofort handeln.

Hochrisiko-KI-Systeme — unterliegen strengen Anforderungen. Dazu gehören KI-Systeme in Einstellungs- und HR-Entscheidungen, Kreditbewertung, wesentlichen Dienstleistungen und Sicherheitskomponenten von Produkten (definiert in Anhang III der Verordnung). Wenn Ihre KI-Outputs individuelle Rechte oder den Zugang zu Leistungen beeinflussen, befinden Sie sich wahrscheinlich hier.

Begrenzte-Risiko-KI-Systeme — nur Transparenzpflichten. KI-Chatbots und andere KI, die mit Nutzern interagiert, muss offenlegen, dass Nutzer mit KI interagieren.

Minimales Risiko — weitgehend unreguliert. Die meisten KI-Features (Empfehlungsalgorithmen, Spam-Filter, einfache Automatisierung) fallen hierunter.

Ihre erste Compliance-Maßnahme: Kartieren Sie Ihre KI-Systeme gegenüber diesem Framework. Compliance ist unmöglich, solange Sie nicht wissen, wo Sie stehen.

Schritt 2: August-2025-Transparenzpflichten — Sind Sie compliant?

Die Frist vom 2. August 2025 galt für zwei Hauptbereiche:

1. Verbotene KI-Systeme — vollständiges Verbot gilt. Falls Ihre Systeme verbotene Kategorien enthielten, hätten sie eingestellt werden müssen.

2. KI-Modelle für allgemeine Zwecke (GPAI) — Anbieter von GPAI-Modellen wurden Transparenz- und Kooperationspflichten unterworfen. Falls Sie Foundation Models oder GPAI-Modelle entwickeln (nicht nur nutzen), gilt dies unmittelbar für Sie.

3. KI-Kompetenzpflichten — alle Anbieter und Betreiber von KI-Systemen müssen ausreichende KI-Kompetenz bei ihren Mitarbeitern und denjenigen, die ihre Systeme bedienen, sicherstellen. Das ist nicht nur formale Schulung — Ihr Team muss die KI-Systeme, mit denen es arbeitet, verstehen.

Checkliste August 2025:

  • Verbotene KI-Systeme identifiziert und eingestellt
  • KI-Kompetenzprogramme für relevante Mitarbeiter implementiert
  • GPAI-Modelldokumentation erstellt (falls zutreffend)
  • Transparenzpflichten für Chatbots und KI-Interfaces erfüllt

Schritt 3: August-2026-Hochrisiko-Anforderungen — Jetzt vorbereiten

Die vollständigen Hochrisiko-KI-Pflichten gelten ab dem 2. August 2026. Wenn Ihre Systeme hochriskant im Sinne der Verordnung sind, haben Sie noch Zeit zum Aufbau der Compliance-Infrastruktur.

Risikomanagementsystem — Sie benötigen ein dokumentiertes, kontinuierliches Risikomanagementsystem für jedes Hochrisiko-KI-System. Das ist keine einmalige Bewertung, sondern ein fortlaufender Prozess über den gesamten Lebenszyklus des Systems.

Datenverwaltung — Trainings-, Validierungs- und Testdatensätze müssen spezifische Qualitätskriterien erfüllen. Praktiken der Datenvorbereitung, -prüfung und -verwaltung müssen dokumentiert sein.

Technische Dokumentation — umfassende Dokumentation des Systemzwecks, Designs, Entwicklungsprozesses, Validierungsergebnisse und Leistungsmetriken. Diese Dokumentation muss eine Konformitätsbewertung ermöglichen.

Transparenz und Nutzungsanweisungen — Hochrisiko-KI-Systeme müssen mit klaren Anweisungen geliefert werden, die Fähigkeiten, Einschränkungen, menschliche Aufsichtsmechanismen und technische Maßnahmen abdecken.

Menschliche Aufsicht — Hochrisiko-Systeme müssen so gestaltet sein, dass natürliche Personen während der Nutzung Aufsicht ausüben können. Die Fähigkeit einzugreifen, zu überstimmen und zu überwachen, muss eingebaut sein.

Genauigkeit, Robustheit und Cybersicherheit — Systeme müssen angemessene Genauigkeitsstufen erfüllen, robust gegen Fehler und Inkonsistenzen sein und gegen adversarielle Angriffe gesichert sein.

Registrierung — Hochrisiko-KI-Systeme müssen vor Inverkehrbringen in der EU-Datenbank registriert werden.

Konformitätsbewertung — die meisten Hochrisiko-KI-Systeme erfordern eine Konformitätsbewertung vor der Bereitstellung. Einige erfordern eine Bewertung durch Dritte; andere können selbst bewertet werden.

Checkliste August-2026-Vorbereitung:

  • Hochrisiko-KI-Systeme identifiziert und katalogisiert
  • Risikomanagementsystem-Framework entwickelt
  • Datenverwaltungsdokumentation begonnen
  • Prozess für technische Dokumentation etabliert
  • Mechanismen für menschliche Aufsicht entworfen
  • Konformitätsbewertungs-Pfad identifiziert
  • Zeitplan für EU-Datenbankregistrierung festgelegt

Schritt 4: Der Betriebsrat-Aspekt — §87 BetrVG

Deutsches Arbeitsrecht fügt eine Ebene hinzu, die reine EU-AI-Act-Compliance nicht abdeckt: Falls Sie einen Betriebsrat haben, löst der Einsatz von KI-Systemen, die Mitarbeiter betreffen, Mitbestimmungsrechte nach §87 BetrVG aus.

Die Überwachung von Mitarbeitern, Leistungsbeurteilungen mittels KI oder die Änderung von Arbeitsprozessen durch automatisierte Systeme erfordern Betriebsrats-Konsultation vor der Implementierung. Das gilt unabhängig davon, wo Ihr KI-System im EU-AI-Act-Risikorahmen steht.

Falls Sie KI intern einsetzen — in HR, Leistungsmanagement, Produktivitätsüberwachung oder Workflow-Automatisierung — müssen Sie parallel zur EU-AI-Act-Compliance eine Betriebsrats-Schiene führen.

Schritt 5: DSGVO-Überschneidung — Das Dual-Framework-Problem

Viele EU-AI-Act-Compliance-Fragen berühren auch die DSGVO. Automatisierte Entscheidungsfindung (Art. 22 DSGVO) trägt bereits Einschränkungen und Transparenzanforderungen. Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, müssen beide Frameworks gleichzeitig erfüllen.

Wesentliche Überschneidungsbereiche:

  • Datensparsamkeitsprinzip vs. KI-Trainingsdatenbedarf
  • Auskunftsrechte bei automatisierten Entscheidungen
  • Datenschutz-Folgenabschätzungen (DSFA) — viele Hochrisiko-KI-DSFAs und EU-AI-Act-Risikobewertungen müssen koordiniert werden
  • Drittländer-Datenübermittlungen, falls Ihre KI-Systeme Daten über Anbieter außerhalb der EU verarbeiten

Ein Compliance-Ansatz, der EU AI Act und DSGVO als separate Arbeitsstränge behandelt, erzeugt Lücken. Sie müssen gemeinsam angegangen werden.

Schritt 6: Was SaaS-Unternehmen konkret prüfen müssen

Falls Sie B2B-SaaS anbieten und Ihr Produkt KI-Features enthält, sind Sie Teil der Lieferkette. Ihre Pflichten hängen davon ab, ob Sie Anbieter (Sie haben das Modell oder System entwickelt), Betreiber (Sie setzen ein Drittanbieter-KI-System ein) oder Importeur/Händler sind.

Anbieter-Pflichten sind am umfangreichsten. Falls Sie die KI entwickelt haben und Kunden anbieten, tragen Sie die volle Compliance-Verantwortung. Das gilt ebenso für SaaS-Teams, die KI-Code-Generierungs-Tools für Entwickler anbieten — Anbieter-Pflichten erstrecken sich auf jedes KI-System, das in Verkehr gebracht wird.

Betreiber-Pflichten sind real, aber geringer. Falls Sie ein Drittanbieter-KI-System in Ihrem Produkt nutzen, haben Sie dennoch Pflichten: Transparenz gegenüber Endnutzern, Monitoring, und — bei Hochrisiko-Systemen — Sicherstellen, dass der Anbieter seine eigenen Anforderungen erfüllt hat.

Vertragliche Klarheit ist wichtig. Ihre KI-Anbieterverträge sollten jetzt explizit EU-AI-Act-Pflichten, Dokumentationsübergabe und die Allokation der Compliance-Verantwortung adressieren.

Rechtliche Unterstützung für EU AI Act Compliance

EU-AI-Act-Compliance ist nicht nur ein technisches Problem — es ist ein rechtliches. Klassifizierungsentscheidungen, Dokumentationsstandards, Konformitätsbewertungspfade und DSGVO-Koordination erfordern rechtliche Analyse, die auf Ihre spezifischen Systeme und Anwendungsfälle zugeschnitten ist.

Compound Law berät deutsche Tech-Unternehmen bei EU-AI-Act-Compliance zusammen mit DSGVO, Betriebsrats-Anforderungen und Arbeitsrecht. Wenn Sie in einem Professional-Services-Unternehmen tätig sind, deckt unser Branchenguide zur EU-AI-Act-Compliance für Professional Services die spezifisch geltenden Pflichten ab. Falls Sie sich nicht sicher sind, wo Ihre KI-Systeme im Framework stehen, vereinbaren Sie ein Beratungsgespräch für Klarheit vor August 2026.

Das könnte dich auch interessieren

KI-Tools für Kanzleien in Deutschland — BRAO-Compliance und DSGVO-Leitfaden
Leitfäden

KI für Kanzleien: Tools, Compliance und BRAO-Anforderungen

Praxisleitfaden für Rechtsanwältinnen und Rechtsanwälte in Deutschland: KI-Tools rechtssicher einsetzen — BRAO, DSGVO, Mandatsgeheimnis und Berufsrecht.
KI Recruiting Deutschland — DSGVO Artikel 22 und automatisierte Einstellungsentscheidungen
Leitfäden

KI im Recruiting Deutschland: DSGVO, AI Act & Betriebsrat — Leitfaden 2026

Rein automatisierte Einstellungsentscheidungen sind in Deutschland verboten. Was DSGVO Art. 22, BDSG § 26 und der AI Act ab August 2026 für Ihr HR-Team konkret bedeuten — mit Betriebsrat-Pflichten.
Entgelttransparenz-Richtlinie Deutschland fuer Arbeitgeber
Leitfäden

Entgelttransparenz-Richtlinie Deutschland: Arbeitgeber-Guide 2026

Arbeitgeber sollten jetzt Gehaltsspannen, Salary-History-Verbot und Entgeltkriterien fuer die Entgelttransparenz-Richtlinie vorbereiten.
Gesellschaftervereinbarung Startup in Deutschland fuer Gruender
Leitfäden

Gesellschaftervereinbarung im Startup: Was Gründer regeln sollten

Gesellschaftervereinbarung im Startup: Beteiligung, Vesting, IP, Entscheidungsrechte und Exit-Regeln frueh regeln — der Gesellschaftsvertrag reicht nicht.
GmbH oder UG für Startup-Gründer in Deutschland
Leitfäden

GmbH oder UG: Welche Rechtsform passt zu Ihrem Startup?

GmbH oder UG? Dieser Leitfaden erklärt die praktischen Unterschiede bei Stammkapital, Investor Readiness, Vertrauen und späterer Umwandlung.
Firma gründen in Deutschland mit GmbH oder UG
Leitfäden

Firma gründen in Deutschland: GmbH, UG und die wichtigsten Schritte

Erfahren Sie, wie Sie eine Firma in Deutschland gründen, GmbH oder UG einordnen und die rechtlichen Schritte sauber planen.

Häufige Fragen

Die ersten Pflichten gelten seit dem 2. August 2025. Dazu gehören Verbote bestimmter KI-Praktiken und KI-Kompetenzpflichten; die umfangreichen Hochrisiko-Anforderungen folgen ab dem 2. August 2026.

Ja. Auch ohne eigenes Grundmodell können Betreiberpflichten zu Transparenz, Monitoring, Vendor-Koordination und nachgelagerter Compliance bestehen.

Nein. In der Praxis überschneiden sich die Anforderungen häufig, und bei mitarbeiterbezogenen Systemen kommen zusätzlich Mitbestimmungsrechte des Betriebsrats hinzu.

Bereit loszulegen?

Kostenlos beraten