EU AI Act Checkliste: 7 Schritte zur Compliance bis August 2026

Noch weniger als fünf Monate bis zum 2. August 2026. Ab dann müssen Unternehmen nachweisen können, dass ihre KI-Systeme dokumentiert, eingestuft und compliant sind. Wer bis dahin nicht vorbereitet ist, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Das klingt nach viel. Ist es auch. Aber die gute Nachricht: Die Vorbereitung ist kein Hexenwerk, wenn man strukturiert vorgeht.

Diese Checkliste zeigt Ihnen Schritt für Schritt, was Sie bis August 2026 erledigt haben sollten. Nicht als juristische Abhandlung, sondern als praktischer Fahrplan für den Mittelstand.

Was bereits gilt (seit Februar 2025)

Bevor wir nach vorne schauen: Zwei Pflichten greifen schon jetzt. Falls Sie diese noch nicht umgesetzt haben, sollten sie ganz oben auf Ihrer Prioritätenliste stehen.

🚫

Verbotene KI-Praktiken (Art. 5)

Social Scoring, manipulative KI-Systeme und anlasslose biometrische Überwachung im öffentlichen Raum sind verboten. Prüfen Sie, ob Sie solche Systeme im Einsatz haben. Falls ja: sofort abschalten.

🎓

KI-Kompetenz (Art. 4)

Alle Mitarbeiter, die mit KI-Systemen arbeiten, müssen über ausreichende KI-Kompetenz verfügen. Das gilt für jede Risikoklasse, für jedes KI-System. Schulungen dokumentieren.

Die Checkliste: 7 Schritte bis August 2026

Die folgenden Schritte bringen Sie von der ersten Bestandsaufnahme bis zur vollständigen Compliance. Arbeiten Sie sie der Reihe nach ab.

KI-Inventar erstellen

Erfassen Sie alle KI-Systeme im Unternehmen. Nicht nur die offensichtlichen wie ChatGPT oder Copilot, sondern auch eingebettete KI-Features in CRM-, HR- und ERP-Systemen. Fragen Sie jede Abteilung ab. Shadow AI ist real.

Pro System festhalten: Name, Anbieter, Einsatzzweck, betroffene Abteilung, verantwortliche Person, Art der verarbeiteten Daten

Risikoklasse bestimmen

Stufen Sie jedes KI-System in eine der vier Risikoklassen ein: unannehmbares Risiko (verboten), hohes Risiko, begrenztes Risiko, minimales Risiko. Der Einsatzkontext entscheidet, nicht die Technologie.

Besonders prüfen: KI im Recruiting, in der Kreditvergabe, in der medizinischen Diagnostik, bei automatisierten Entscheidungen über Personen. Diese fallen fast immer unter Hochrisiko (Anhang III).

Verantwortlichkeiten festlegen

Benennen Sie eine Person oder ein Team, das für KI-Compliance verantwortlich ist. Klären Sie: Wer erfasst neue Systeme? Wer führt Bewertungen durch? Wer prüft und gibt frei? Ohne klare Zuständigkeiten bleibt die Dokumentation lückenhaft.

Transparenzpflichten umsetzen (begrenztes Risiko)

Für KI-Systeme mit begrenztem Risiko (Chatbots, Bildgeneratoren, Textgeneratoren) gelten Transparenzpflichten: Nutzer müssen wissen, dass sie mit KI interagieren, und KI-generierte Inhalte müssen gekennzeichnet werden.

Konkret: Interne Richtlinie zur Kennzeichnung erstellen, Mitarbeiter schulen, Prozesse für externe Kommunikation anpassen.

Hochrisiko-Anforderungen erfüllen

Für Hochrisiko-KI-Systeme gelten die strengsten Anforderungen. Das ist der aufwändigste Teil der Checkliste, aber auch der wichtigste.

Risikomanagementsystem (Art. 9)	Risiken identifizieren, bewerten und minimieren. Über den gesamten Lebenszyklus.
Datenqualität (Art. 10)	Trainings- und Testdaten prüfen. Bias-Risiken dokumentieren.
Technische Dokumentation (Art. 11)	Umfassende Beschreibung des Systems, seiner Funktionsweise und Grenzen.
Protokollierung (Art. 12)	Automatische Aufzeichnung von Ergebnissen und Entscheidungen.
Transparenz (Art. 13)	Verständliche Informationen für Betreiber und betroffene Personen.
Menschliche Aufsicht (Art. 14)	Natürliche Personen müssen das System überwachen und eingreifen können.

Mitarbeiter schulen

Die KI-Kompetenzpflicht (Art. 4) gilt bereits. Aber Schulungen sind auch operativ wichtig: Mitarbeiter müssen wissen, welche KI-Tools sie wie nutzen dürfen, was sie eingeben dürfen und welche Ergebnisse sie prüfen müssen. Dokumentieren Sie die Schulungen.

Compliance-Report erstellen und Review-Prozess etablieren

Am Ende steht ein exportierbarer Nachweis: Welche KI-Systeme sind im Einsatz, wie wurden sie eingestuft, welche Maßnahmen wurden ergriffen? Dieser Report muss aktuell gehalten werden. Etablieren Sie einen regelmäßigen Review-Zyklus (z.B. quartalsweise), um Änderungen zu erfassen und die Dokumentation nachzuführen.

Zeitplan: Was wann erledigt sein sollte

Zeitraum	Aufgabe	Priorität
Bereits fällig	Verbotene Praktiken prüfen, KI-Kompetenz sicherstellen	Sofort
Jetzt bis Mai 2026	KI-Inventar, Risikoklassifizierung, Verantwortlichkeiten	Hoch
Mai bis Juli 2026	Transparenzpflichten, Hochrisiko-Dokumentation, Schulungen	Hoch
Ab August 2026	Laufender Review-Prozess, Dokumentation aktuell halten	Kontinuierlich

Hinweis zum Digital Omnibus: Die EU-Kommission hat im November 2025 vorgeschlagen, die Hochrisiko-Fristen auf Dezember 2027 zu verschieben. Dieser Vorschlag muss noch von Parlament und Rat verabschiedet werden. Unsere Empfehlung: Planen Sie weiterhin mit August 2026. Eine Verschiebung ist nicht garantiert, und die KI-Kompetenzpflicht sowie die Verbote gelten bereits.

Die häufigsten Fehler bei der Umsetzung

Typische Fehler

„Betrifft uns nicht" sagen, ohne geprüft zu haben. Fast jedes Unternehmen nutzt heute KI.

Alles als „Minimal Risk" einstufen, weil es schneller geht. Ohne strukturierte Bewertung riskieren Sie eine Fehlklassifizierung.

Keine Verantwortlichkeiten definieren. Wenn niemand zuständig ist, passiert nichts.

Auf den Digital Omnibus warten. Die Verschiebung ist ein möglicher Bonus, keine Planungsgrundlage.

Besser so

Jede Abteilung aktiv befragen. IT allein hat keinen vollständigen Überblick.

Geführte Fragebögen nutzen, die die Risikoklasse regelbasiert ableiten. Nachvollziehbar und wiederholbar.

Compliance als Teamprojekt aufsetzen. IT, DSB, Fachabteilung und Geschäftsführung an einen Tisch.

Jetzt starten und den Vorsprung nutzen, den die meisten Wettbewerber noch nicht haben.

Checkliste zum Mitnehmen

EU AI Act Compliance Checkliste

☐ Verbotene KI-Praktiken geprüft (Art. 5)

☐ KI-Kompetenz der Mitarbeiter sichergestellt (Art. 4)

☐ Vollständiges KI-Inventar erstellt

☐ Risikoklasse je System bestimmt

☐ Verantwortliche Person / Team benannt

☐ Transparenzpflichten für Limited-Risk-Systeme umgesetzt

☐ Hochrisiko-Anforderungen erfüllt (Art. 9-14)

☐ Mitarbeiter geschult und Schulungen dokumentiert

☐ Compliance-Report exportierbar

☐ Review-Prozess etabliert

Der schnellste Weg durch diese Checkliste

Sie können jeden dieser Schritte manuell umsetzen. Mit Excel-Listen, Word-Dokumenten und E-Mail-Ketten. Das funktioniert, bis es nicht mehr funktioniert.

Oder Sie nutzen eine Lösung, die genau für diesen Prozess gebaut wurde. SimpleAct führt Sie durch jedes Element dieser Checkliste: KI-Systeme erfassen, regelbasiert einstufen, Compliance-Checklisten je Risikoklasse abarbeiten, Änderungen protokollieren, Report exportieren. Alles an einem Ort, nachvollziehbar, audit-ready.

Jetzt kostenlos starten →

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die Anforderungen des EU AI Act können sich durch das geplante Digital Omnibus Paket noch ändern. Bei Unsicherheiten empfehlen wir eine rechtliche Prüfung. Stand: März 2026.

Über SimpleAct: SimpleAct ist eine deutsche Compliance-Plattform, die Unternehmen bei der strukturierten Dokumentation ihrer KI-Systeme nach EU AI Act unterstützt. Von der Erfassung über die Risikobewertung bis zum exportfähigen Audit-Nachweis. Alles an einem Ort.

Mehr erfahren →