← Zurück zur Startseite | Blog
14. April 2026 Lesezeit: 5 Min

AI Act Checkliste für KI-Betreiber: 10 Schritte zur Compliance

Die 10 Betreiber-Pflichten im Überblick — und wie Sie mit einem kostenlosen Selbst-Audit herausfinden, wo Ihr Unternehmen steht.

Direktantwort: Als KI-Betreiber (Deployer) haben Sie unter dem AI Act konkrete Pflichten — auch wenn Sie keine KI entwickeln. Dieser Artikel zeigt die 10 Compliance-Schritte im Überblick: Von der Inventarisierung über die Risikoklassifikation bis zum laufenden Monitoring. Wo genau Sie stehen, zeigt unser kostenloser Selbst-Audit.

Wenig Zeit? Finden Sie in 3 Minuten heraus, wo Sie stehen.

Der kostenlose 25-Punkte-Check zeigt Ihnen sofort, welche AI-Act-Pflichten Sie bereits erfüllen und wo Handlungsbedarf besteht.

Kostenlosen Selbst-Audit starten →

Was ist ein KI-Betreiber nach dem AI Act?

Der AI Act (KI-Verordnung, KI-VO) unterscheidet zwischen Akteuren in der KI-Lieferkette. Als KI-Betreiber (englisch: Deployer) sind Sie jede natürliche oder juristische Person, die ein KI-System in der EU in Betrieb nimmt oder verwendet — unabhängig davon, ob Sie es selbst entwickelt haben. [Art. 3 Nr. 4 KI-VO]

Anbieter entwickeln oder trainieren KI-Systeme. Betreiber nutzen sie. Im Praxisalltag ist die Grenze oft fließend: Ein Unternehmen kann für verschiedene Systeme gleichzeitig Anbieter und Betreiber sein.

Typische KI-Betreiber sind Unternehmen, die ChatGPT Enterprise, Microsoft Copilot, Recruiting-KI, Kreditscoring oder KI-basierte Empfehlungssysteme einsetzen.

KMU-Tipp: Nicht alle KI-Systeme erfordern die gleiche Compliance

Der AI Act unterscheidet vier Risikokategorien. Nur hochriskante Systeme unterliegen den strengsten Anforderungen. Ihre Compliance-Pflichten hängen direkt von der Risikoklasse der eingesetzten Systeme ab.

Die 10 Schritte zur Betreiber-Compliance

Die folgenden 10 Schritte decken alle wesentlichen Betreiberpflichten unter dem AI Act ab. Dieser Artikel erklärt die Logik hinter jedem Schritt — die konkreten Prüfpunkte für Ihre Umsetzung finden Sie in unserem kostenlosen KI-Compliance Selbst-Audit.

1KI-Inventar erstellen

Bevor Sie überhaupt mit Compliance beginnen können, brauchen Sie einen vollständigen Überblick: Welche KI-Systeme nutzt Ihr Unternehmen — intern, extern, über Dienstleister? Ohne Inventar keine Risikoklassifikation, ohne Risikoklassifikation keine zielgerichtete Compliance.

Bezug: Art. 26 Abs. 6 KI-VO (Log-Aufbewahrung beim Betreiber); allgemeine Betreiberpflichten Art. 26 KI-VO

2Risikoklasse bestimmen

Die Risikoklasse bestimmt 80% Ihrer Compliance-Pflichten. Art. 6 KI-VO unterscheidet vier Stufen: verboten, hochriskant, allgemeines Risiko (Transparenzpflichten) und minimal. Entscheidend ist nicht die Technologie, sondern der Einsatzzweck — dasselbe System kann je nach Kontext unterschiedlich einzustufen sein.

Rechtliche Grundlage: Art. 6 KI-VO, Anhang III KI-VO

3Art. 4 KI-Kompetenz sicherstellen

Art. 4 KI-VO verlangt, dass alle Personen, die KI-Systeme bedienen oder beaufsichtigen, über ausreichende KI-Kompetenz verfügen. Das betrifft nicht nur IT-Teams, sondern auch Fachabteilungen, Führungskräfte und HR. Die Schulungspflicht gilt bereits seit Februar 2025.

Rechtliche Grundlage: Art. 4 KI-VO | Vertiefung: KI-Kompetenz nach Art. 4

4Transparenzpflichten umsetzen

Nutzer müssen wissen, dass sie mit KI interagieren (gilt für interaktive KI-Systeme wie Chatbots, Art. 50 Abs. 1) bzw. dass Inhalte KI-generiert sind (Art. 50 Abs. 3, generative KI / Deepfakes). Art. 50 ist keine Hochrisiko-Pflicht, sondern gilt unabhängig von der Risikoklasse. Transparenz ist nicht nur Pflicht, sondern die Grundlage für Vertrauen und rechtswirksame Einwilligung.

Rechtliche Grundlage: Art. 50 KI-VO (Transparenzpflichten)

5KI-Nutzungsrichtlinie einführen

Eine interne KI-Policy regelt, welche Systeme erlaubt sind, welche Anwendungsfälle verboten bleiben, wer Genehmigungen erteilt und welche Datenschutz-Standards gelten. Ohne Policy entsteht Schatten-KI — und damit unkalkulierbare Compliance-Risiken.

Bezug: Art. 26 KI-VO, Governance Best Practice

6DSGVO-Schnittstellen dokumentieren

AI Act und DSGVO sind eng verzahnt. Hochriskante KI-Systeme, die personenbezogene Daten verarbeiten, erfordern eine Datenschutz-Folgenabschätzung (DSFA). Die KI-Inventarisierung aus Schritt 1 ist gleichzeitig Grundlage für Ihr Verarbeitungsverzeichnis.

Rechtliche Grundlage: Art. 35 DSGVO, Art. 26 KI-VO

7Anbieter-Sorgfaltsprüfung durchführen

Als Betreiber sind Sie nicht automatisch von Anbieter-Verstößen befreit. Bei hochriskanten Systemen müssen Sie CE-Kennzeichnung, Konformitätserklärung und technische Dokumentation des Anbieters prüfen. Ihre Due-Diligence ist Ihr Schutzschild bei Audits.

Rechtliche Grundlage: Art. 26 Abs. 2 KI-VO, Art. 19 KI-VO

8Menschliche Aufsicht organisieren

Art. 26 Abs. 2 verpflichtet bei hochriskanten Systemen zu „human oversight": Definierte Verantwortliche, die KI-Entscheidungen überwachen, Override-Möglichkeit haben und geschult sind, Fehler zu erkennen. Keine KI-Entscheidung darf unkontrolliert in die Realität wirken.

Rechtliche Grundlage: Art. 26 Abs. 2 KI-VO

9Vorfallregister und Meldeprozess einrichten

Schwere Vorfälle mit hochriskanten KI-Systemen müssen an Aufsichtsbehörden gemeldet werden. Dafür brauchen Sie ein Vorfallregister mit klarer Bewertungs- und Eskalationslogik. Ein transparentes Register zeigt proaktive Governance — versteckte Vorfälle führen zu schärferen Strafen.

Rechtliche Grundlage: Art. 26 Abs. 5 KI-VO

10Compliance-Monitoring etablieren

Der AI Act ist kein einmaliges Projekt. Neue KI-Systeme, Systemupdates, geänderte Einsatzzwecke oder regulatorische Entwicklungen erfordern regelmäßige Reviews. Planen Sie quartalsweise Inventar-Checks und mindestens halbjährliche Gesamtaudits ein.

Bezug: Art. 26 KI-VO (kontinuierliche Überwachung)

Weiterführende Artikel

AI Act Compliance Kit

12 fertige Vorlagen — in 90 Minuten compliance-ready

KI-Inventar, Risikoklassifizierung, Schulungsnachweis, KI-Policy und mehr. Einmalkauf ab 149 €, kein Abo, sofort-Download.

Jetzt ansehen — ab 149 €

Wo stehen Sie? Kostenloser Selbst-Audit

Dieser Artikel zeigt die Logik. Unser KI-Compliance Selbst-Audit liefert die konkreten Prüfpunkte: 25 Checkpoints in 5 Kategorien, mit Scoring-System und priorisiertem Maßnahmenplan. Kostenlos als PDF — kein Verkaufsgespräch.

Selbst-Audit herunterladen (kostenlos)

Warum diese Reihenfolge?

Die 10 Schritte sind nicht willkürlich — sie bauen aufeinander auf. Ohne Inventar (1) keine Risikoklassifikation (2). Ohne Risikoklassifikation kein zielgerichteter Schulungsbedarf (3) und keine passenden Transparenzmaßnahmen (4). Die interne Policy (5) rahmt alles ein, während DSGVO-Integration (6) und Anbieterprüfung (7) die externen Schnittstellen absichern. Human Oversight (8) und Vorfallmanagement (9) sind die operativen Sicherheitsnetze. Monitoring (10) macht das Ganze dauerhaft.

Entscheidend: Ohne Dokumentation keine Compliance. Der AI Act basiert auf Nachweisbarkeit. Selbst perfekt umgesetzte Maßnahmen sind bei Audits wertlos, wenn sie nicht dokumentiert sind.

Fertige Templates für alle 10 Schritte

Unser AI Act Compliance Kit enthält alle Vorlagen, die Sie für die Umsetzung brauchen: KI-Inventar, Risikoklassifikation, Schulungsnachweis, Policy-Template, DSFA-Vorlage, Anbieter-Checkliste, Human-Oversight-Plan, Vorfallregister und Audit-Plan.

Starter-Paket jetzt sichern (ab 149€)

Weiterlesen

Wichtig: Fristen beachten

Die KI-Kompetenzpflicht (Art. 4) gilt bereits seit Februar 2025. Transparenzpflichten (Art. 50) ab August 2026; Watermarking (Art. 50 Abs. 2) ab Dezember 2026. Hochrisiko-Pflichten (Anhang III) ab Dezember 2027 (Omnibus, beschlossen 7.5.2026, vorbehaltlich finaler Annahme). Warten ist keine Option — starten Sie mit dem kostenlosen Selbst-Audit, um Ihre Lücken zu identifizieren.

Weiterführende Artikel

Kostenloses Selbst-Audit: Wo steht Ihr Unternehmen?

25 Prüfpunkte mit Scoring — in 15 Minuten wissen Sie, ob Sie ein Problem haben.

Kostenloses Selbst-Audit starten →