📅 14. April 2026 ⏱️ Lesezeit: 10 Min

AI Act Checkliste für KI-Betreiber: 10 Schritte zur Compliance

Praktische Anleitung für die Erfüllung Ihrer Compliance-Anforderungen als KI-Deployer unter der EU-Verordnung.

Direktantwort: Als KI-Betreiber (Deployer) haben Sie unter dem AI Act konkrete Pflichten — auch wenn Sie keine KI entwickeln. Diese Checkliste zeigt die 10 wichtigsten Schritte zur Compliance: Von der Inventarisierung aller KI-Systeme über die Risikoklassifikation bis zur Dokumentation von Vorfällen und regelmäßigen Reviews. Mit Artikel-Referenzen und praktischen Templates für sofortige Umsetzung.

Was ist ein KI-Betreiber nach dem AI Act?

Der AI Act (KI-Verordnung, KI-VO) unterscheidet zwischen Akteuren in der KI-Lieferkette. Als KI-Betreiber (englisch: Deployer) sind Sie jede natürliche oder juristische Person, die ein hochriskantes KI-System in der EU in Betrieb nimmt oder verwendet — unabhängig davon, ob Sie es selbst entwickelt haben.

KI-Betreiber vs. Anbieter: Der wichtige Unterschied

Anbieter entwickeln oder trainieren KI-Systeme. Betreiber nutzen sie. Im Praxisalltag ist die Grenze oft fließend: Ein Unternehmen kann für verschiedene Systeme in unterschiedlichen Rollen aktiv sein.

Konkrete Beispiele für KI-Betreiber:

Nutzer von ChatGPT Enterprise, Microsoft Copilot oder anderen generativen KI-Tools zur Geschäftsoptimierung
HR-Abteilungen, die Recruiting-KI-Systeme für Bewerbungsanalysen einsetzen
Finanzunternehmen, die KI-gestützte Kreditscoring-Systeme betreiben
Behörden und Organisationen, die KI zur Entscheidungsfindung in kritischen Bereichen nutzen
E-Commerce-Unternehmen mit KI-basierten Empfehlungssystemen für Kunden

Rechtliche Grundlage: Art. 3 Nr. 4 KI-VO (Definition Betreiber/Deployer)

💡 KMU-Tipp: Nicht alle KI-Systeme erfordern die gleiche Compliance

Der AI Act unterscheidet vier Risikokategorien. Nur hochriskante Systeme unterliegen den strengsten Anforderungen. Viele Unternehmen nutzen primär KI-Systeme mit minimalem Risiko oder allgemeinen Anwendungen. Ihre Compliance-Pflichten hängen direkt ab von der Risikoklasse der Systeme, die Sie einsetzen.

Die 10-Schritte-Checkliste für KI-Betreiber

Die folgende Checkliste führt Sie durch alle wesentlichen Compliance-Anforderungen als KI-Betreiber. Jeder Schritt ist konkret, mit Artikel-Referenzen und praktischen Hinweisen versehen.

1KI-Inventar erstellen

Was zu tun ist: Erstellen Sie eine vollständige Liste aller KI-Systeme, die Ihr Unternehmen nutzt. Berücksichtigen Sie:

Externe SaaS-Lösungen (z.B. generative KI-Tools, Cloud-basierte Services)
Interne Systeme und Eigenentwicklungen
Systeme von Dienstleistern und Subunternehmern
Systeme einzelner Abteilungen und Standorte

Warum es wichtig ist: Nur wer seine KI-Systeme kennt, kann auch sicherstellen, dass sie den rechtlichen Anforderungen entsprechen. Unerwartet entdeckte hochriskante Systeme führen zu Compliance-Lücken.

Bezug: Art. 26 Abs. 1 KI-VO verpflichtet Betreiber zur Dokumentation — Grundlage ist ein vollständiges Inventar

2Risikoklasse bestimmen

Was zu tun ist: Klassifizieren Sie jedes KI-System nach Art. 6 KI-VO:

Verbotene Praktiken: Unzulässig (z.B. subliminal manipulative KI, Social-Scoring). → Müssen deaktiviert werden
Hochriskant (Anhang III): Erfordern Konformitätsbewertung, technische Unterlagen, Dokumentation. Beispiele: Recruiting, Kreditscoring, Zugang zu Bildung/Infrastruktur
Allgemeines Risiko: Erfordern Transparenzpflichten (Art. 50), z.B. generative KI-Tools
Minimales Risiko: Grundsätzlich frei, aber gute Praxis empfohlen

Warum es wichtig ist: Die Risikoklasse bestimmt 80% Ihrer Compliance-Verpflichtungen. Eine falsche Klassifikation kann zu massiven Bußgeldern führen.

Rechtliche Grundlage: Art. 6 KI-VO, Anhang III KI-VO (Hochrisikoklassifikation)

3Art. 4 KI-Kompetenz sicherstellen

Was zu tun ist: Schulen Sie Ihr Team auf AI Act Anforderungen und dokumentieren Sie die Schulungen:

Verantwortliche (z.B. Data Scientists, AI Product Owner) kennen die rechtlichen Anforderungen für ihre Systeme
Betreiber verstehen Risiken und Monitoring-Anforderungen
Schulungsattestationen archivieren

Warum es wichtig ist: Die KI-Kompetenzanforderung sichert, dass nicht nur Prozesse, sondern auch Menschen AI Act-konform handeln.

Rechtliche Grundlage: Art. 4 KI-VO (Kompetenzanforderungen für Anbieter und Betreiber)

4Transparenzpflichten umsetzen

Was zu tun ist: Informieren Sie Nutzer hochriskanter KI-Systeme transparent:

Für hochriskante Systeme: Benutzer müssen wissen, dass sie mit einer KI interagieren, und diese muss deutlich gekennzeichnet sein
Für generative KI (Art. 50): Transparenz über KI-generierte Inhalte, z.B. bei Texten, Bildern, Code
Dokumentation der Transparenzmaßnahmen archivieren

Warum es wichtig ist: Transparenz ist die Basis für Vertrauen und verhindert Manipulationen. Art. 50 ist ein neuer, starker Fokus des AI Act für alle KI-Betreiber.

Rechtliche Grundlage: Art. 50 KI-VO (Transparenzpflichten für Betreiber)

5KI-Nutzungsrichtlinie einführen

Was zu tun ist: Entwickeln Sie eine interne KI-Policy, die festlegt:

Welche KI-Systeme in Ihrem Unternehmen eingesetzt werden dürfen
Verbotene Anwendungsfälle (z.B. Einzelne überwachen, unbefugte Gesichtserkennung)
Genehmigungsprozesse für neue KI-Tools
Datenschutz- und Ethik-Standards
Rollen und Verantwortlichkeiten

Warum es wichtig ist: Eine klare Policy verhindert Übergriffe und schafft eine KI-governance Struktur. Besonders wichtig für größere Unternehmen mit dezentralisierten KI-Entscheidungen.

Bezug: Art. 26 KI-VO, Best Practice aus EU-Richtlinien zur Governance

6DSGVO-Schnittstellen dokumentieren

Was zu tun ist: Erstellen Sie eine Datenschutz-Folgenabschätzung (DSFA) für hochriskante KI-Systeme und dokumentieren Sie:

Welche personenbezogenen Daten die KI verarbeitet
Legal Basis der Datenverarbeitung (Einwilligung, Vertrag, etc.)
Speicherdauer und Zugriffsrechte
Maßnahmen zur Datensicherheit

Warum es wichtig ist: Die meisten hochriskanten KI-Systeme verarbeiten personenbezogene Daten. Der AI Act und die DSGVO sind eng verzahnt — eine isolierte Betrachtung ist unrealistisch.

Rechtliche Grundlage: Art. 35 DSGVO (DSFA), Art. 26 KI-VO (Integration mit DSGVO)

7Anbieter-Sorgfaltsprüfung durchführen

Was zu tun ist: Wenn Sie hochriskante KI-Systeme von Anbietern nutzen, überprüfen Sie:

CE-Kennzeichnung: Ist das System gemäß Art. 19 ordnungsgemäß gekennzeichnet?
Technische Unterlagen: Verlangt Sie vom Anbieter nach Art. 11 KI-VO (Trainingsdaten, Modell, Qualitätssicherung)
Konformitätserklärung: Liegt eine vollständige EU-Konformitätserklärung vor?
Dokumentation: Wurde die erforderliche Dokumentation übermittelt?

Warum es wichtig ist: Als Betreiber sind Sie nicht automatisch von Anbieter-Verstößen befreit. Ihre Sorgfaltsprüfung ist Beweis dafür, dass Sie Due-Diligence geleistet haben.

Rechtliche Grundlage: Art. 26 Abs. 2 KI-VO, Art. 19 KI-VO (CE-Kennzeichnung)

8Menschliche Aufsicht organisieren

Was zu tun ist: Für hochriskante Systeme müssen Menschen die KI-Entscheidungen überwachen und kontrollieren können:

Verantwortliche Person(en) definieren, die KI-Output überwacht
Systeme einrichten für manuelles Override oder Ablehnung von KI-Vorschlägen
Trainings durchführen, damit Überwacher Fehler erkennen können
Dokumentation der Überwachungsmaßnahmen archivieren

Warum es wichtig ist: Art. 26 Abs. 1 verpflichtet zu „human oversight" — nicht weil KI schlecht ist, sondern um sicherzustellen, dass Risiken kontrolliert sind.

Rechtliche Grundlage: Art. 26 Abs. 1 KI-VO (Human Oversight)

9Vorfallregister und Meldeprozess einrichten

Was zu tun ist: Etablieren Sie ein Vorfallmanagementsystem für hochriskante Systeme:

Vorfallregister: Dokumentieren Sie jeden Vorfall (Fehler, Unfallzwischenfälle, Datenpannen, unerwartete Verhalten)
Bewertung: Klassifizieren Sie Vorfälle nach Schweregrad und Auswirkung
Meldepflicht: Berichten Sie schwere Vorfälle an Aufsichtsbehörden (Art. 26 Abs. 5)
Korrekturmaßnahmen: Dokumentieren Sie, wie Sie den Vorfall behoben haben

Warum es wichtig ist: Ein transparentes Vorfallregister zeigt Aufsichtsbehörden, dass Sie aktiv Ihre Systeme überwachen und ernst nehmen. Versteckte Vorfälle führen zu schärferen Strafen.

Rechtliche Grundlage: Art. 26 Abs. 5 KI-VO (Meldung ernsthafter Vorfälle), Art. 84 KI-VO (Bußgelder)

10Compliance-Monitoring etablieren

Was zu tun ist: Richten Sie regelmäßige Compliance-Reviews ein:

Quartalsweise: Überprüfung des KI-Inventars auf neue Systeme
Halbjährlich: Audit der Dokumentation, Schulungen, Vorfallregister
Jährlich: Gesamtcompliance-Assessment, Anpassung der KI-Policy an neue Entwicklungen
Bei Änderungen: Sofortige Überprüfung bei Systemupdates, Datenquellen-Änderungen, Nutzungsausweitung

Warum es wichtig ist: Der AI Act ist kein einmaliges Projekt, sondern ein kontinuierlicher Governance-Prozess. Änderungen in Ihren KI-Systemen oder der Regulierung erfordern schnelle Anpassungen.

Bezug: Art. 26 KI-VO (kontinuierliche Überwachung und Dokumentation)

Häufige Fehler bei der Umsetzung

❌ Fehler 1: „Wir nutzen nur allgemeine KI, also betrifft uns der AI Act nicht"

Realität: Auch für allgemeine KI (z.B. ChatGPT) gelten Transparenzpflichten nach Art. 50. Sie müssen dokumentieren, welche generativen KI-Tools Sie einsetzen und wie Sie sie nutzen (z.B. zur Code-Generierung, Text-Erstellung). Der AI Act ist breiter als nur hochriskante Systeme.

❌ Fehler 2: Compliance nur für Legal/Compliance-Team — keine Integration mit IT/Product

Realität: Der AI Act ist ein shared responsibility. IT-Teams müssen Compliance-Anforderungen in Systemdesign einbauen, Product-Teams müssen bei Neuentwicklungen berücksichtigen, Data-Teams müssen Trainings- und Testdaten dokumentieren. Ein Compliance-Team allein kann das nicht umsetzen.

❌ Fehler 3: Keine Dokumentation = Keine Compliance

Realität: Der AI Act basiert auf Dokumentation. Selbst wenn Sie alle Maßnahmen umsetzen, ist fehlende Dokumentation ein Nachweis-Problem bei Audits. Investieren Sie in ein robustes Documentation-Management-System.

❌ Fehler 4: Zu pessimistisch bei der Risikoklassifikation

Realität: Viele Unternehmen klassifizieren ihre Systeme automatisch als „hochriskant", um sicherzugehen. Das führt zu unnötigen Compliance-Kosten. Analysieren Sie stattdessen wirklich, ob Ihr Einsatzfall in Anhang III fällt — oft ist die echte Risikoklasse niedriger.

Welche Dokumente brauchen KI-Betreiber?

Diese Tabelle zeigt, welche Dokumente und Unterlagen Sie für jeden Schritt der Checkliste benötigen:

Schritt	Erforderliche Dokumente	Zweck
1. Inventar	KI-Systemregister (Excel/Datenbank)	Übersicht aller eingesetzten KI-Systeme
2. Risikoklasse	Risikoklassifikations-Checklist, Dokumentation der Klassifiziererungsentscheidung	Nachweis der Risikoeinschätzung
3. KI-Kompetenz	Schulungsvorgaben, Schulungsattestationen, E-Learning-Records	Nachweis von Fachkompetenz
4. Transparenz	Transparenzmatrix, User-Facing Information, Hinweis auf KI-Nutzung	Nachweis von Nutzer-Informationen
5. KI-Policy	KI-Nutzungsrichtlinie, Genehmigungsprozess-Dokumentation	Interne Governance-Struktur
6. DSGVO	Datenschutz-Folgenabschätzung (DSFA), Datenverarbeitungsregister	DSGVO-Konformität nachweisen
7. Anbieter-Prüfung	Anbieter-Checkliste, CE-Kennzeichnung-Kopien, technische Unterlagen, Konformitätserklärung	Due-Diligence-Nachweis
8. Human Oversight	Human-Oversight-Plan, Schulungen für Überwacher, Dokumentation der Überwachungsprozesse	Nachweis von Menschlicher Kontrolle
9. Vorfallregister	Vorfallregister-Template, Meldungsvorlagen, Korrekturmaßnahmen-Dokumentation	Transparenz über Zwischenfälle
10. Monitoring	Compliance-Audit-Plan, Audit-Reports, Lessons-Learned-Dokumentation	Kontinuierliche Verbesserung

Alle 10 Compliance-Dokumente als fertige Vorlagen

Sparen Sie Wochen Arbeit mit unserem AI Act Betreiber-Kit. Alle Checklisten, Vorlagen, Richtlinien und Register — sofort einsetzbar, von Compliance-Experten validiert.

Jetzt zum Pricing

⚠️ Wichtig: Regelmäßige Compliance-Checks sind Pflicht

Der AI Act und seine Auslegungsrichtlinien entwickeln sich ständig weiter. Was heute konform ist, kann morgen durch neue Guidance der EU-Kommission oder Datenschutzaufsichtsbehörden angepasst werden. Planen Sie regelmäßige Reviews — mindestens halbjährlich — ein und nutzen Sie offizielle Quellen wie die EDPB-Orientierungen und die AI Office des NIST.