AI Act Self-Check (EU)

Was dieser Self-Check Ihnen zeigt

Wie gut Ihr Unternehmen auf die Anforderungen des EU AI Act vorbereitet ist – mit konkreten Handlungsempfehlungen.

Kontext	EU AI Act (EU) 2024/1689 · Provider & Deployer von High-Risk-AI
Gewichtung	★★ = doppelt, ★ = einfach
Fragen	25
Bearbeitungszeit	ca. 10–15 Min.

Zweck & Einleitung

Dieser Self-Check dient als pragmatischer Spiegel, um einzuschätzen, wie gut Ihre Organisation auf die Anforderungen des EU AI Act vorbereitet ist. Die Verordnung gilt direkt in Deutschland.

Der Check beleuchtet Risikoklassifizierung, Governance-Strukturen, Dokumentation, Risikomanagement, Datenqualität sowie Verantwortlichkeiten als Provider oder Deployer – mit Fokus auf High-Risk-AI-Systeme (ab 2. August 2026 voll anwendbar).

Wichtig

Kein offizieller Test, kein Scoring im regulatorischen Sinne, kein Benchmark. Ehrliche Selbsteinschätzung – idealerweise vor einer Prüfung durch eine Marktüberwachungsbehörde. ★★-Fragen werden doppelt gewichtet. Der Check richtet sich primär an Organisationen mit High-Risk-AI-Systemen.

Antwortoptionen

Ja · 2

Vollständig und belastbar umgesetzt, dokumentiert, gelebt und erprobt

Teilweise · 1

Vorhanden, aber lückenhaft, personenabhängig oder ungetestet

Nein · 0

Nicht oder kaum vorhanden

n/a · –

Nicht anwendbar (wird bei der Berechnung ignoriert)

Fragebogen

Klicken Sie für jede Frage auf Ja, Teilweise, Nein oder n/a. Die Auswertung erfolgt automatisch nach der letzten Frage. ★★-Fragen werden doppelt gewichtet.

Fortschritt 0 / 25

0 % beantwortet

A. Risikoklassifizierung

Haben Sie alle AI-Systeme systematisch auf Risikokategorien (verboten, high-risk, limited-risk, minimal-risk) geprüft und dokumentiert? ★★

Gibt es kritisches Klassifizierungswissen, das nur einzelne Personen vollständig überblicken? ★★

Umkehrfrage: Nein = gut (2 Punkte), Ja = schlecht (0 Punkte)

Ist dokumentiert, warum ein System (nicht) als high-risk eingestuft wurde (z. B. Annex I/III-Prüfung)? ★★

B. Governance & Management

Sind Rollen, Verantwortlichkeiten und Entscheidungsbefugnisse im AI-Risikomanagement klar definiert und allen bekannt? ★★

Überwacht die Geschäftsführung aktiv AI-Risiken und lässt sich regelmässig schulen (AI Literacy)? ★★

Gibt es funktionierende Vertretungsregelungen für Schlüsselrollen in der AI-Governance? ★

C. Risikomanagement

Existiert ein kontinuierliches Risikomanagementsystem für High-Risk-AI (Identifikation, Bewertung, Mitigation über den gesamten Lifecycle)? ★★

Gibt es eine einheitliche, dokumentierte Logik zur Bewertung von Risiken für Gesundheit, Sicherheit und Grundrechte? ★★

Werden bekannte und vorhersehbare Risiken (inkl. Missbrauch) systematisch minimiert? ★★

D. Daten & Training

Werden Trainings-, Validierungs- und Testdaten systematisch auf Qualität, Repräsentativität und Bias geprüft (Data Governance)? ★★

Ist dokumentiert, warum Datenanforderungen (nicht) erfüllt wurden? ★

E. Technische Dokumentation

Liegt eine vollständige technische Dokumentation vor (gem. Annex IV: Design, Daten, Risiken, Tests etc.)? ★★

Ist das System für Logging/Traceability ausgelegt (automatische Ereignisprotokollierung)? ★★

Würde ein externer Prüfer die Dokumentation ohne große Nachfragen verstehen? ★

F. Human Oversight & Robustheit

Ist Human Oversight (menschliche Aufsicht) effektiv im Design verankert (z. B. Interventionsmöglichkeiten)? ★★

Erfüllt das System Anforderungen an Genauigkeit, Robustheit und Cybersicherheit (inkl. Adversarial Testing)? ★★

G. Konformitätsbewertung

Wurde eine Konformitätsbewertung (intern oder durch Notified Body) durchgeführt oder geplant? ★★

Liegt eine EU-Konformitätserklärung vor und ist CE-Kennzeichnung geplant? ★★

Ist die Registrierung in der EU-Datenbank vorbereitet? ★★

H. Deployer-Pflichten

Wurde eine Fundamental Rights Impact Assessment (FRIA) für relevante High-Risk-Einsätze durchgeführt? ★★

Werden Mitarbeiter vor Einsatz von High-Risk-AI informiert und Logs mindestens 6 Monate aufbewahrt? ★

Existiert ein Prozess zur Meldung von Risiken/Incidents an Provider und Behörden? ★★

I. Post-Market Monitoring

Gibt es ein System zum Post-Market-Monitoring (Vorfallsüberwachung, Korrekturmaßnahmen)? ★★

Könnten zentrale AI-Verantwortlichkeiten geordnet übergeben werden (ohne Wissensverlust)? ★

Ist die Organisation primär durch Strukturen stabil – oder durch einzelne AI-«Helden»? ★★

Ihr Ergebnis

Wichtige Begriffe

Provider	Entwickler/Hersteller eines AI-Systems – trägt die Hauptlast der Pflichten bei High-Risk.
Deployer	Nutzer/Einsatzorganisation eines AI-Systems (z. B. Unternehmen, das ein High-Risk-System einsetzt).
High-Risk-AI	Systeme in Annex I/III (z. B. Biometrie, Kreditscoring, kritische Infrastruktur) – erfordern Risikomanagement, Dokumentation, Konformitätsbewertung und CE-Markierung.
FRIA	Fundamental Rights Impact Assessment – Bewertung der Auswirkungen auf Grundrechte (für bestimmte Deployer obligatorisch).

KI-Compliance ist kein Dokumentationsprojekt – sie ist der Nachweis, dass Sie wissen, was Ihr System tut, warum, und was passiert, wenn es schiefläuft.

Weiter vertiefen

Leitfaden Leitfaden AI Act Der vollständige AI-Act-Praxisleitfaden. Lesen → Fallstudie Fallstudie AI Act Ein KMU im AI-Act-Prozess. Lesen → Deep Dive Deep Dive: KI-Governance Technische Tiefe zu KI-Risikomanagement. Lesen →