Diese Checkliste deckt alle wesentlichen Pflichten für Hochrisiko-KI-Systeme unter dem EU AI Act ab. Arbeiten Sie jeden Punkt ab, um Ihren Compliance-Status vor der August-2026-Deadline zu überprüfen.
Schritt 1: KI-System klassifizieren
- Prüfung gegen Annex-III-Kategorien für Hochrisiko-Einstufung
- Prüfung gegen Art. 5 verbotene Praktiken
- Bestimmung, ob begrenztes Risiko vorliegt (Chatbots, Deepfakes → nur Transparenzpflichten)
- Nutzen Sie unseren kostenlosen Risiko-Check
Schritt 2: Rolle bestimmen
- Anbieter (Art. 16): Sie entwickeln oder vermarkten das KI-System → volle Compliance-Pflichten
- Betreiber (Art. 26): Sie setzen ein KI-System ein → nutzungsbezogene Pflichten + FRIA
Details: Anbieter vs. Betreiber
Schritt 3: Risikomanagementsystem
Art. 9 – Kontinuierliches Risikomanagement einrichten:
- Bekannte und vorhersehbare Risiken identifizieren und analysieren
- Risiken aus bestimmungsgemäßer Nutzung und vorhersehbarem Missbrauch bewerten
- Risikominderungsmaßnahmen ergreifen
- System testen, um akzeptable Restrisiken sicherzustellen
- Gesamten Risikomanagementprozess dokumentieren
Schritt 4: Daten-Governance
Art. 10 – Anforderungen an Trainings-, Validierungs- und Testdaten:
- Daten müssen relevant, repräsentativ und möglichst fehlerfrei sein
- Bias-Prüfung und -Minderung, insbesondere bei besonderen Kategorien personenbezogener Daten
- Datenquellen, Erhebungsmethodik und Vorverarbeitung dokumentieren
Schritt 5: Technische Dokumentation
Art. 11 + Annex IV – Umfassende Technische Dokumentation:
- Allgemeine Systembeschreibung (Zweckbestimmung, Entwickler, Version)
- Detaillierte Beschreibung der Elemente und des Entwicklungsprozesses
- Leistungskennzahlen und Testergebnisse
- Cybersicherheitsmaßnahmen
Abkürzung: Technische Dokumentation generieren
Schritt 6: Aufzeichnungspflicht (Logging)
Art. 12 – Automatische Protokollierung von Ereignissen im Betrieb.
- Rückverfolgbarkeit der Funktionsweise sicherstellen
- Betreiber müssen Logs mindestens 6 Monate aufbewahren (Art. 26(6))
Schritt 7: Transparenzinformationen
Art. 13 – Gebrauchsanweisungen mit Zweckbestimmung, Genauigkeit, bekannten Einschränkungen.
Abkürzung: Transparenzhinweis generieren
Schritt 8: Menschliche Aufsicht
Art. 14 – System muss effektiv von Menschen beaufsichtigt werden können:
- Fähigkeiten und Grenzen verstehen
- Ergebnisse korrekt interpretieren
- Ergebnisse übersteuern oder rückgängig machen können
- System unterbrechen können ("Stopp-Knopf")
Schritt 9: Grundrechtliche Folgenabschätzung (FRIA)
Art. 27 – Pflicht für Betreiber von Hochrisiko-KI:
- Betroffene Personengruppen identifizieren
- Auswirkungen auf Grundrechte bewerten
- Risikominderungsmaßnahmen beschreiben
- Vor erstmaligem Einsatz abschließen
Abkürzung: FRIA generieren
Schritt 10: Konformitätsbewertung
Art. 43 – Vor Inverkehrbringen:
- Meiste Hochrisiko-Systeme: Interne Konformitätsbewertung (Selbstbewertung nach Annex VI)
- Biometrische Systeme: Drittbewertung durch benannte Stelle
- Ergebnis: CE-Kennzeichnung und EU-Konformitätserklärung
Schritt 11: EU-Datenbank-Registrierung
Art. 49 – Registrierung vor Inverkehrbringen. Informationen aktuell halten.
Schritt 12: Laufende Überwachung und KI-Kompetenz
- Post-Market-Monitoring (Art. 72)
- Meldung schwerwiegender Vorfälle (Art. 73)
- KI-Kompetenz (Art. 4) – Personal schulen
- Dokumentation bei wesentlichen Änderungen aktualisieren
Bußgeld-Hinweis
Bei Verstößen drohen erhebliche Bußgelder: bis zu 15 Mio. € oder 3% des Umsatzes bei Hochrisiko-Verstößen. Dokumentierte Compliance-Bemühungen zeigen guten Willen nach Art. 99 Abs. 7.