EU AI Act Checkliste für den Mittelstand: 10 Punkte, die du jetzt abhaken musst

Du hast gehört, dass der EU AI Act in Kraft ist. Du weißt, dass er dich betrifft. Aber du weißt nicht, wo du anfangen sollst.

Diese Checkliste gibt dir 10 konkrete Punkte, die du abhaken kannst – kein Juristendeutsch, sondern Klartext.

Die Checkliste

1. KI-Inventar erstellen

Was: Liste alle KI-Systeme auf, die in deinem Unternehmen genutzt werden.

Wie:

Vergiss nicht: Auch Tools, die Mitarbeiter eigenständig nutzen (ChatGPT im Browser, KI-Plugins in Office), gehören ins Inventar.

• [ ] KI-Inventar erstellt und vollständig

2. Risikoklasse pro System bestimmen

Was: Jedes KI-System in eine der vier Risikoklassen einordnen.

Faustregel: Wenn dein KI-System Entscheidungen über Menschen trifft (Einstellung, Kredit, Versicherung), ist es wahrscheinlich hochriskant.

• [ ] Risikoklasse für jedes System bestimmt

3. Transparenzpflichten umsetzen

Was: Nutzer müssen wissen, dass sie mit KI interagieren.

Konkret:

• Chatbot auf der Website: Hinweis “Sie sprechen mit einem KI-Assistenten” sichtbar platzieren
• Telefonassistent: Ansage zu Beginn (“Dieses Gespräch wird von einem KI-System unterstützt”)
• KI-generierte E-Mails: Kennzeichnung, dass KI bei der Erstellung unterstützt hat
• KI-generierte Bilder/Videos: Als KI-generiert markieren

Bei Agentino ist die Transparenz-Ansage bereits standardmäßig integriert – der Anrufer wird zu Beginn informiert und kann jederzeit einen Menschen verlangen.

• [ ] Alle kundenseitigen KI-Systeme mit Transparenzhinweis versehen

4. Hochrisiko-Systeme identifizieren und dokumentieren

Was: Falls du Hochrisiko-KI einsetzt, brauchst du:

• Risikomanagementsystem: Welche Risiken bestehen? Wie werden sie gemindert?
• Datenqualitätsdokumentation: Welche Trainingsdaten werden verwendet? Sind sie repräsentativ?
• Technische Dokumentation: Wie funktioniert das System? Welche Limitationen hat es?
• Logbuch: Wann wird das System eingesetzt? Welche Ergebnisse produziert es?

• Menschliche Aufsicht: Wer prüft die KI-Entscheidungen?

• [ ] Hochrisiko-Systeme identifiziert (falls vorhanden)

• [ ] Dokumentation begonnen

5. Menschliche Aufsicht sicherstellen

Was: Bei Hochrisiko-KI müssen Menschen die finale Entscheidung treffen.

Beispiel Recruiting: Die KI darf Bewerbungen vorsortieren und bewerten – aber die Einladung zum Gespräch oder die Absage muss ein Mensch entscheiden und verantworten.

Beispiel Kreditvergabe: Die KI darf eine Empfehlung geben – aber ein Mensch prüft und entscheidet.

• [ ] Menschliche Aufsicht für Hochrisiko-Systeme definiert

6. Anbieter-Compliance prüfen

Was: Deine KI-Anbieter müssen ebenfalls compliant sein.

Prüfe:

• [ ] Wo werden Daten verarbeitet? (EU-Server?)
• [ ] Gibt es einen AVV (Auftragsverarbeitungsvertrag)?
• [ ] Kann der Anbieter eine Konformitätserklärung vorlegen?
• [ ] Ist das KI-System dokumentiert?
• [ ] Gibt es ein Sicherheitskonzept?

7. Mitarbeiter schulen

Was: Deine Mitarbeiter müssen die Grundregeln kennen.

Minimale Schulung:

• Was ist der EU AI Act? (5 Minuten)
• Welche KI-Systeme nutzen wir? (10 Minuten)
• Was dürfen sie, was nicht? (10 Minuten)
• An wen wenden sie sich bei Fragen? (5 Minuten)

Tipp: Ein KI-Workshop kann beides abdecken – KI-Kompetenz aufbauen und Compliance-Basics vermitteln.

• [ ] Mitarbeiter über Grundregeln informiert

8. KI-Richtlinie erstellen

Was: Ein internes Dokument, das festlegt:

• Welche KI-Tools dürfen genutzt werden?
• Welche Daten dürfen in KI-Tools eingegeben werden? (Keine Kundendaten in ChatGPT!)
• Wer genehmigt neue KI-Tools?
• Wie werden KI-Ergebnisse geprüft?

Das muss kein 50-Seiten-Dokument sein – eine Seite mit klaren Regeln reicht für den Anfang.

• [ ] KI-Richtlinie erstellt und kommuniziert

9. Beschwerdeprozess einrichten

Was: Betroffene Personen müssen sich beschweren können, wenn sie glauben, dass eine KI-Entscheidung unfair war.

Konkret: - Kontaktperson für KI-Beschwerden benennen - Prozess definieren: Beschwerde → Prüfung → Antwort - Frist: Innerhalb von 30 Tagen antworten

Für die meisten KMU reicht es, den Datenschutzbeauftragten auch für KI-Beschwerden zuständig zu machen.

• [ ] Beschwerdeprozess definiert

10. Regelmäßige Überprüfung einplanen

Was: KI-Compliance ist kein einmaliges Projekt, sondern ein laufender Prozess.

Empfehlung:

• Halbjährlich: KI-Inventar aktualisieren (neue Tools? Alte abgeschaltet?)
• Jährlich: Risikoklassen überprüfen (hat sich der Einsatzzweck geändert?)

• Bei Änderungen: Neue KI-Tools vor der Einführung prüfen

• [ ] Review-Termine im Kalender

Zusammenfassung: Die Checkliste auf einen Blick

*Hoch, falls Hochrisiko-KI im Einsatz

FAQ

Muss ich jetzt sofort alles umsetzen?

Nein. Die Transparenzpflichten gelten jetzt. Hochrisiko-Pflichten greifen ab August 2026. Aber je früher du anfängst, desto weniger Stress hast du später.

Brauche ich einen KI-Beauftragten?

Der AI Act schreibt das nicht explizit vor. Aber es ist sinnvoll, eine Person zu benennen, die das KI-Inventar pflegt und bei Fragen Ansprechpartner ist. In kleinen Unternehmen kann das der Datenschutzbeauftragte sein.

Was ist, wenn ich nur ChatGPT nutze?

Dann brauchst du: KI-Inventar (ChatGPT eintragen), KI-Richtlinie (was darf in ChatGPT eingegeben werden?) und eine Information an Kunden, falls ChatGPT-generierte Inhalte nach außen gehen. Das ist in 2 Stunden erledigt.

Kann mein Softwarepartner bei der Compliance helfen?

Ja – und sollte er auch. Ein guter Entwicklungspartner baut KI-Systeme von Anfang an compliant. Bei bayram.solutions achten wir bei allen KI-Projekten auf EU AI Act Konformität: Transparenz, Dokumentation, EU-Hosting, menschliche Aufsicht.

Fazit: 10 Punkte, überschaubarer Aufwand

Der EU AI Act klingt nach viel Bürokratie. In der Praxis ist der Aufwand für KMU überschaubar – die meisten Punkte sind in 1–2 Arbeitstagen erledigt. Das Wichtigste: Nicht ignorieren. Die Strafen sind real, und der Aufwand jetzt ist um ein Vielfaches geringer als eine nachträgliche Compliance-Krise.

Du willst wissen, ob deine KI-Systeme compliant sind? Lass uns das in 30 Minuten gemeinsam durchgehen – wir prüfen dein KI-Inventar und identifizieren Handlungsbedarf. Lies auch unseren ausführlichen EU AI Act Ratgeber und den DSGVO-Leitfaden.