Interaktive Checkliste zur Überprüfung Ihrer AI-Act-Konformität nach Funktion. DSB, Personalleitung, IT-Leitung, Geschäftsführung und KMU-Verantwortliche.
Der häufigste Fehler beim AI Act: Glauben, dass eine einzelne Abteilung die Konformität allein tragen kann. Der DSB kann nicht alles allein machen. Die IT-Leitung auch nicht. Die AI-Act-Konformität erfordert juristische, technische, personalwirtschaftliche und strategische Kompetenzen — sie kann nur gelingen, wenn jede Funktion ihre spezifischen Verantwortlichkeiten übernimmt.
Dieses Kapitel bietet Ihnen eine interaktive Checkliste nach Funktion, um präzise zu identifizieren, was Sie betrifft, und Ihren Fortschritt zu verfolgen.
Der Datenschutzbeauftragte (oder der Konformitätsverantwortliche) spielt eine zentrale Rolle. Er muss alle KI-Systeme inventarisieren, sie gemäß den von der Verordnung definierten Risikoniveaus klassifizieren und sicherstellen, dass verbotene Praktiken in der Organisation nicht angewendet werden.
Er ist auch das Bindeglied zwischen Geschäftsführung, IT-Leitung und Personalleitung: Er koordiniert die Maßnahmen und bereitet die Nachweise für einen möglichen Audit vor — sei es durch die BfDI, die BaFin oder andere zuständige nationale Behörden.
Artikel 26, Absatz 5 — Règlement (UE) 2024/1689
Betreiber von Hochrisiko-KI-Systemen überwachen den Betrieb des Hochrisiko-KI-Systems anhand der Gebrauchsanweisung und […] informieren den Anbieter oder Händler und die zuständige Marktüberwachungsbehörde.
Artikel 4 stellt die KI-Schulung in den Mittelpunkt der Konformität. Die Personalleitung ist am besten geeignet, ein an jedes Mitarbeiterprofil angepasstes Kompetenzentwicklungsprogramm umzusetzen.
Das geht über die Organisation eines Webinars hinaus. Man muss den Schulungsverlauf dokumentieren, die Ergebnisse messen und Nachweise erbringen können, dass das KI-Kompetenzniveau der jeweiligen Rolle angemessen ist.
📄AI Act Artikel 4: die KI-Schulungspflicht erklärt→Die IT-Leitung ist verantwortlich für die Kartierung aller eingesetzten KI-Systeme — einschließlich der von Fachabteilungen ohne Freigabe eingeführten (Schatten-KI). Für jedes als hochriskant eingestufte System muss sie die technische Dokumentation umsetzen, die Nachverfolgbarkeit algorithmischer Entscheidungen sicherstellen und die erforderlichen Mechanismen menschlicher Aufsicht integrieren.
Die häufigste Herausforderung: In Drittsoftware eingebettete KI-Tools (CRM, ERP, Bürosoftware). Die IT-Leitung muss diese „unsichtbaren” KI-Komponenten identifizieren und ihr Risikoniveau prüfen. In Deutschland umfasst dies auch KI-Funktionen in Systemen der Bundesagentur für Arbeit, BaFin-regulierten Plattformen der Deutschen Bank und Schufa-Scoring-Schnittstellen.
📄Schatten-IT im Unternehmen: Risiken und Lösungen 2026→Die Geschäftsführung muss die Konformitätsstrategie genehmigen, die Budgets bereitstellen (insbesondere für die Schulung gemäß Artikel 4) und einen AI-Act-Verantwortlichen benennen. Sie verfolgt den Fortschritt über ein Konformitäts-Dashboard und antizipiert regulatorische Fristen, um böse Überraschungen zu vermeiden.
Das Hauptrisiko für die Geschäftsführung: Budgetunterschätzung. Die AI-Act-Konformität hat einen Preis — aber er liegt weit unter den möglichen Sanktionen (bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes).
KMU sind vom AI Act nicht befreit. Aber der Ansatz muss verhältnismäßig sein: Feststellen, ob das Unternehmen KI-Systeme nutzt (auch indirekt über Drittsoftware), Teams in guten Praktiken schulen, die Konformität der Lieferanten überprüfen und die Nutzung dokumentieren.
Für ein KMU ist die absolute Priorität Artikel 4: Ein dokumentiertes Schulungsprogramm, selbst ein einfaches, reicht aus, um den guten Willen der Organisation zu belegen.
Wählen Sie Ihre Funktion und haken Sie die bereits erledigten Maßnahmen ab. Ihr Fortschritt wird lokal in Ihrem Browser gespeichert — Sie können jederzeit darauf zurückkommen.
Selectionnez votre role :
Die Checkliste nach Funktion ist nützlich, um individuelle Verantwortlichkeiten zu klären. Aber die AI-Act-Konformität erfordert eine aktive Koordination zwischen den Funktionen. Hier sind die wesentlichen Mechanismen.
Bringen Sie DSB, Personalleitung, IT-Leitung und ein Mitglied der Geschäftsführung in einem dedizierten Ausschuss zusammen, der monatlich tagt. Das Ziel: Fortschritte teilen, Blockaden lösen und Prioritäten entscheiden. Ohne diesen Ausschuss arbeitet jede Funktion im Silo und blinde Flecken vermehren sich.
Der DSB koordiniert, die IT-Leitung liefert die technische Kartierung, die Personalleitung identifiziert die fachliche Nutzung. Das Inventar muss einheitlich, geteilt und regelmäßig aktualisiert sein. Eine Tabellenkalkulation kann für den Anfang genügen — wichtig ist, dass es existiert und vollständig ist.
Das von der Personalleitung geleitete Schulungsprogramm muss an der vom DSB festgelegten Risikoklassifizierung ausgerichtet sein. Mitarbeitende, die Hochrisiko-Systeme nutzen, benötigen eine tiefergehende Schulung als jene, die einen einfachen Konversationsassistenten verwenden.
Warten Sie nicht auf eine Kontrolle, um Ihre Akte zusammenzustellen. Jede Konformitätsmaßnahme muss mit Datum, Verantwortlichem und Ergebnis dokumentiert werden. Die Beweislast liegt bei der Organisation: Es liegt an Ihnen nachzuweisen, dass Sie gehandelt haben.
📄KI-Governance im Unternehmen: 5 Schritte zur Strukturierung→Die Bedeutung der Nachverfolgbarkeit
Der AI Act verlangt keine Perfektion — er verlangt den Nachweis des Bemühens. Ein dokumentiertes Schulungsprogramm, ein aktuelles KI-System-Inventar, Protokolle des Konformitätsausschusses: Diese Elemente bilden Ihre erste Verteidigungslinie im Falle einer Kontrolle. Das vollständige Fehlen von Dokumentation ist hingegen ein eindeutiger Mangel.