Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz. ComplianceScan hilft Ihnen, Ihre KI-Systeme zu klassifizieren und die Anforderungen zu dokumentieren.
Zuletzt aktualisiert: 2026-06-15
Inhaltsverzeichnis
- Überblick
- Anwendbarkeits-Schnellcheck
- Schritt-für-Schritt-Assistent
- Risikoklassen
- Hochrisiko-Checkliste
- KI-Kompetenz (Art. 4)
- Systeme verwalten
- Wichtige Fristen
- Kontingente
Überblick
Der Assistent erscheint in der Seitenleiste unter AI-Act (Seitentitel „EU AI Act Selbstbewertung"). Er unterstützt Sie bei:
- Anwendbarkeits-Schnellcheck — Gilt der AI Act für Ihr Unternehmen?
- KI-System-Erfassung — Name, Zweck, Anbieter, Rolle, Einsatzbereich
- Risikoklassifizierung — automatische Einstufung
- Checklisten — Pflichten je Rolle und Risikoklasse
- KI-Kompetenz (Art. 4) — Nachweisdokumentation der Schulungen
Oben rechts wählen Sie den Geltungsbereich (EU-weit, Österreich, Deutschland, Schweiz), wovon länderspezifische Rechtshinweise abhängen.
Anwendbarkeits-Schnellcheck
Ein kurzer Schnell-Check klärt in 3 Fragen, ob und in welchem Umfang der AI Act für Sie gilt:
- KI-Einsatz — „Wir nutzen externe KI-Dienste" (Betreiber), „Wir entwickeln eigene KI" (Anbieter), „Beides" oder „Kein KI-Einsatz".
- Nutzerinteraktion — Interagiert das KI-System direkt mit Ihren Endnutzern oder Kunden (z. B. Chatbot, sichtbare KI-Antworten)?
- Hochrisiko-Bereiche — Wird KI für Entscheidungen in sensiblen Bereichen eingesetzt (Personalauswahl, Kreditvergabe, Bildung, Biometrie, kritische Infrastruktur, Strafverfolgung)?
Aus den Antworten leitet ComplianceScan ab, ob der AI Act für Sie anwendbar ist, und schaltet die weiteren Funktionen entsprechend frei. Sie können den Check jederzeit über Neu prüfen wiederholen.
Schritt-für-Schritt-Assistent
Über Neues System klassifizieren öffnen Sie die geführte Klassifizierung in 5 Schritten:
Schritt 1: Basis-Infos
| Feld | Beschreibung |
|---|---|
| Rolle | Anbieter, Betreiber, Importeur oder Distributor |
| Systemname | Bezeichnung des KI-Systems |
| Beschreibung | Zweck und Funktionsweise |
| Anbieter | Hersteller / Entwickler |
| KI-Definition | Einordnung als KI-System |
| GPAI-Bezug | Basiert das System auf einem General-Purpose-AI-Modell? |
Anbieter entwickeln/trainieren das KI-System und bringen es in Verkehr. Betreiber (Deployer) nutzen ein KI-System im eigenen Geschäftsbetrieb. Importeure bringen KI aus Drittländern in die EU, Distributoren vertreiben sie.
Schritt 2: KI-Klassifizierung
Erfassung der KI-Eigenschaften als Grundlage der automatischen Risikoeinstufung (u. a. verbotene Praktiken, Transparenz-Merkmale).
Schritt 3: Annex III Einsatzbereiche
Zuordnung zu den Hochrisiko-Kategorien nach Annex III (z. B. Biometrie, kritische Infrastruktur, Beschäftigung, Zugang zu wesentlichen Diensten).
Schritt 4: Risikobewertung
Anzeige der berechneten Risikoklasse mit Begründung und Empfehlungen.
Schritt 5: Pflichten & Empfehlungen
Checkliste der Anforderungen je nach Rolle und Risikoklasse (siehe Hochrisiko-Checkliste).
Über Veröffentlichen schließen Sie die Klassifizierung ab; mit Entwurf speichern sichern Sie den Zwischenstand. Ihr Fortschritt wird zudem automatisch alle 30 Sekunden gespeichert.
Risikoklassen
Die Risikoklasse wird automatisch aus Ihren Angaben berechnet:
| Klasse | Beschreibung | Pflichten |
|---|---|---|
| Unacceptable | Verbotene Praktiken (Art. 5): Social Scoring, Manipulation u. Ä. | Verbot — Einsatz sofort einstellen |
| High Risk | Annex-III-Systeme: Biometrie, Kreditvergabe, Beschäftigung u. Ä. | Umfangreiche Compliance-Pflichten |
| Limited Risk | Transparenzpflichtige Systeme (Chatbots, Deepfakes, Emotion) | Transparenzpflichten |
| Minimal Risk | Kein KI-System oder geringes Risiko | Keine speziellen Pflichten |
Sobald Systeme erfasst sind, zeigt ein Risiko-Portfolio die Verteilung Ihrer Systeme über die Risikoklassen.
Hochrisiko-Checkliste
Für Hochrisiko-KI-Systeme dokumentiert der Assistent die Pflichten. Je nach Rolle gelten unterschiedliche Checklisten.
Anbieter (Art. 9–15)
| Anforderung |
|---|
| Risikomanagement-System etabliert |
| Daten-Governance dokumentiert |
| Technische Dokumentation erstellt |
| Logging/Aufzeichnung implementiert |
| Transparenz-Informationen bereitgestellt |
| Menschliche Aufsicht definiert |
| Genauigkeit/Robustheit/Cybersicherheit geprüft |
Betreiber (Art. 26)
| Anforderung |
|---|
| System gemäß Gebrauchsanweisung eingesetzt (Abs. 1) |
| Befähigte Personen für menschliche Aufsicht benannt (Abs. 2) |
| Relevanz der Eingabedaten sichergestellt (Abs. 4) |
| Betriebsüberwachung & Risikomeldung etabliert (Abs. 5) |
| Protokolle mindestens 6 Monate aufbewahrt (Abs. 6) |
| Mitarbeiter vor Einsatz am Arbeitsplatz informiert (Abs. 7) |
| Betroffene Personen über KI-Einsatz informiert (Abs. 11) |
Jede Anforderung kann als erledigt markiert werden.
KI-Kompetenz (Art. 4)
Dokumentieren Sie organisationsweit, dass Ihr Personal über KI-Kompetenz verfügt:
- Status auswählen: „Ja, durchgeführt", „In Planung" oder „Nein"
- bei „Ja, durchgeführt": Schulungsdatum hinterlegen
Die Pflicht zur KI-Kompetenz (Art. 4) gilt bereits seit dem 2. Februar 2025. Ist noch keine Schulung erfolgt, weist der Assistent auf den Handlungsbedarf hin.
Systeme verwalten
Unter AI-Act sehen Sie alle erfassten KI-Systeme. Je System können Sie die Details aufklappen, das System bearbeiten oder löschen. Bearbeitete Systeme werden beim Speichern neu klassifiziert.
Wichtige Fristen
| Datum | Pflicht |
|---|---|
| 2. Februar 2025 | KI-Kompetenz (Art. 4); Verbote nach Art. 5 gelten |
| 2. August 2025 | Pflichten für General-Purpose-AI (GPAI) |
| 2. August 2026 | Pflichten für Hochrisiko-KI-Systeme; Registrierung in der EU-Datenbank (Art. 49) |
Die Registrierung in der EU-Datenbank erfolgt nicht über ComplianceScan.
Kontingente
Die Verfügbarkeit des AI-Act-Assistenten sowie die maximale Anzahl klassifizierter KI-Systeme hängen von Ihrem Tarif ab. Die aktuellen Tarif-Limits finden Sie in der Abrechnungs-Dokumentation.
Weiterführend
- NIS2-Compliance — Cybersicherheits-Anforderungen
- VVT — Verarbeitungsverzeichnis
- Erste Schritte — Zurück zum Start