Compliancechecklistcompliancecto

EU-KI-Verordnung Compliance-Checkliste für CTOs und CIOs

Handlungsorientierte Compliance-Checkliste für Technologieführer — bewerten Sie Ihre KI-Systeme, verstehen Sie die Anforderungen und erstellen Sie einen Fahrplan zur Compliance mit der EU-KI-Verordnung vor der Frist 2026.

February 15, 202513 min read

Die EU-KI-Verordnung (Verordnung 2024/1689) ist jetzt geltendes Recht, und ihre Pflichten werden in einem strikten Zeitplan wirksam. Als CTO oder CIO sind Sie die Person, die am ehesten die technische Seite der Compliance verantwortet — und diejenige, die antworten muss, wenn der Vorstand fragt: „Sind wir bereit?"

Dieser Artikel bietet eine strukturierte, handlungsorientierte Checkliste, die Ihnen hilft, die Position Ihrer Organisation zu bewerten, Lücken zu identifizieren und einen Compliance-Fahrplan zu erstellen. Er richtet sich an Technologieführer in Unternehmen, die KI-Systeme entwickeln, einsetzen oder beschaffen, die den EU-Markt berühren.

Verbotene KI-Praktiken sind seit dem 2. Februar 2025 durchsetzbar. Pflichten für KI-Modelle mit allgemeinem Verwendungszweck gelten ab 2. August 2025. Die vollständige Durchsetzung für Hochrisiko-KI-Systeme beginnt am 2. August 2026. Jetzt ist die Zeit zum Handeln.

Phase 1: Bestandsaufnahme und Inventarisierung

Bevor Sie die Compliance sicherstellen können, müssen Sie wissen, was Sie haben. Die meisten Organisationen unterschätzen die Anzahl der KI-Systeme, die sie betreiben, erheblich.

Checkliste: KI-System-Inventar

  • Identifizieren Sie alle KI-Systeme in der gesamten Organisation — nicht nur die, die als „KI" gekennzeichnet sind. Die Definition der Verordnung (Artikel 3 Absatz 1) ist weit gefasst: jedes maschinenbasierte System, das mit unterschiedlichem Grad an Autonomie operiert und Ausgaben wie Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte generiert.
  • Berücksichtigen Sie Drittanbieter-KI — Systeme, die Sie beschaffen, einbetten oder über API nutzen. Als Betreiber haben Sie Pflichten auch für Systeme, die Sie nicht selbst entwickelt haben.
  • Ordnen Sie KI-Systeme Geschäftsfunktionen zu — HR, Kundenservice, Betrugserkennung, Content-Moderation, Lieferkette, Marketing, Produktfunktionen, interne Tools.
  • Dokumentieren Sie Zweck und Umfang jedes Systems — welche Entscheidungen es beeinflusst, welche Daten es verarbeitet, wer von seinen Ausgaben betroffen ist.
  • Identifizieren Sie den Anbieter für jedes System — intern entwickelt, von einem Anbieter beschafft oder Open Source? Ihre Pflichten unterscheiden sich je nach Ihrer Rolle in der Wertschöpfungskette.

Die Definition des „KI-Systems" unter der Verordnung ist absichtlich weit gefasst. Sie umfasst Machine-Learning-Modelle, regelbasierte Expertensysteme, statistische Ansätze und hybride Systeme. Im Zweifelsfall nehmen Sie ein System in Ihr Inventar auf — es ist weitaus besser, zu viel zu klassifizieren und dann auszuschließen, als ein System zu übersehen, das sich als relevant herausstellt.

Checkliste: Rollenidentifikation

Die KI-Verordnung weist je nach Rolle unterschiedliche Pflichten zu. Sie können gleichzeitig mehrere Rollen innehaben:

  • Anbieter (Artikel 3 Absatz 3) — Sie entwickeln ein KI-System oder lassen eines in Ihrem Auftrag entwickeln und bringen es unter eigenem Namen oder eigener Marke in Verkehr
  • Betreiber (Artikel 3 Absatz 4) — Sie nutzen ein KI-System unter Ihrer Verantwortung (auch wenn Sie es nicht selbst entwickelt haben)
  • Einführer — Sie bringen ein KI-System eines außerhalb der EU ansässigen Anbieters auf den EU-Markt
  • Händler — Sie stellen ein KI-System auf dem EU-Markt bereit, ohne Anbieter oder Einführer zu sein
  • Bevollmächtigter Vertreter — Sie wurden von einem Nicht-EU-Anbieter beauftragt, in dessen Namen zu handeln

Phase 2: Risikoklassifizierung

Das Herzstück der KI-Verordnung ist ihr risikobasierter Ansatz. Ihre Pflichten hängen vollständig davon ab, in welche Risikokategorie jedes KI-System fällt.

Checkliste: Prüfung verbotener Praktiken (Artikel 5)

  • Überprüfen Sie jedes KI-System anhand der acht verbotenen Praktiken in Artikel 5
  • Kennzeichnen Sie jedes System, das beinhaltet: unterschwellige oder manipulative Techniken, Ausnutzung vulnerabler Gruppen, Social Scoring, individuelle prädiktive Polizeiarbeit, ungezieltes Scraping von Gesichtsbildern, Emotionserkennung am Arbeitsplatz/in der Bildung, biometrische Kategorisierung nach sensiblen Merkmalen oder biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen
  • Für gekennzeichnete Systeme: Entscheiden Sie umgehend, ob das System eingestellt, umgestaltet werden muss oder unter eine enge Ausnahme fällt
  • Dokumentieren Sie Ihre Analyse für jedes System — einschließlich der Begründung, warum Systeme in der Nähe der Grenze nicht verboten sind
Unacceptable Risk

Checkliste: Hochrisiko-Klassifizierung (Artikel 6 und Anhang III)

  • Prüfen Sie Anhang I — dient Ihr KI-System als Sicherheitskomponente eines Produkts oder ist es selbst ein Produkt, das unter EU-Harmonisierungsgesetzgebung fällt (Medizinprodukte, Maschinen, Spielzeug, Fahrzeuge, Luftfahrt usw.)?
  • Prüfen Sie Anhang III — fällt Ihr KI-System in einen der acht Hochrisikobereiche?
    • Biometrische Identifizierung und Kategorisierung
    • Verwaltung und Betrieb kritischer Infrastrukturen
    • Bildung und Berufsausbildung (Zulassungen, Bewertungen)
    • Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit (Einstellung, Aufgabenverteilung, Überwachung, Bewertung)
    • Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen (Kreditbewertung, Versicherungspreisgestaltung, Notfalldienste)
    • Strafverfolgung (Risikobewertung, Polygraphen, Beweisanalyse)
    • Migration, Asyl und Grenzkontrolle
    • Rechtspflege und demokratische Prozesse
  • Wenden Sie die Ausnahme nach Artikel 6 Absatz 3 an — auch wenn in Anhang III aufgeführt, ist ein System nicht hochriskant, wenn es kein erhebliches Schadensrisiko darstellt. Dokumentieren Sie diese Bewertung sorgfältig, wenn Sie sich darauf stützen.
  • Dokumentieren Sie die Klassifizierungsbegründung für jedes KI-System — dies wird ein Schlüsseldokument bei jeder regulatorischen Anfrage sein
High Risk

Checkliste: Systeme mit begrenztem und minimalem Risiko

  • Identifizieren Sie Systeme mit Transparenzpflichten (Artikel 50) — Chatbots, Deepfakes, Emotionserkennung, biometrische Kategorisierung
  • Klassifizieren Sie verbleibende Systeme als minimales Risiko — freiwillige Verhaltenskodizes empfohlen, aber keine verbindlichen Pflichten
  • Dokumentieren Sie alle Klassifizierungen in Ihrem KI-Register

Automatisieren Sie Ihre Compliance-Dokumentation

Ctrl AI generiert prüfungssichere Ausführungsnachweise und vertrauensgekennzeichnete Ausgaben für jede KI-Entscheidung und gibt CTOs die Evidenzbasis, die Aufsichtsbehörden erwarten.

Mehr über Ctrl AI erfahren

Phase 3: Lückenanalyse für Hochrisikosysteme

Wenn Sie Hochrisiko-KI-Systeme identifiziert haben, beginnt hier die eigentliche Arbeit. Die Artikel 8 bis 15 definieren die Anforderungen.

Checkliste: Datengovernance (Artikel 10)

  • Dokumentieren Sie Trainings-, Validierungs- und Testdatensätze — einschließlich Herkunft, Relevanz, Repräsentativität und bekannter Lücken oder Verzerrungen
  • Implementieren Sie Datenqualitätskriterien — prüfen Sie Daten vor dem Training und fortlaufend auf Fehler, Unvollständigkeiten und Verzerrungen
  • Stellen Sie eine angemessene Datengovernance sicher — einschließlich Datenerhebungsprozesse, Kennzeichnung, Bereinigung und Anreicherung
  • Behandeln Sie Verzerrungen in Datensätzen — insbesondere hinsichtlich geschützter Merkmale (Geschlecht, Ethnie, Alter, Behinderung)
  • Bei Verarbeitung personenbezogener Daten: Bestätigen Sie die DSGVO-Konformität, einschließlich Rechtsgrundlage, Datenminimierung und Zweckbindung

Checkliste: Technische Dokumentation (Artikel 11)

  • Erstellen Sie technische Dokumentation bevor ein System in Verkehr gebracht wird — dies ist nicht optional und muss aktuell gehalten werden
  • Umfassen Sie alle in Anhang IV genannten Elemente: allgemeine Beschreibung, Entwicklungsprozess, Überwachung und Kontrolle, Risikomanagement, Änderungen und angewandte Normen
  • Stellen Sie sicher, dass die Dokumentation umfassend genug ist, damit Behörden die Compliance bewerten können — vage oder oberflächliche Dokumentation reicht nicht aus

Checkliste: Aufzeichnungen und Protokollierung (Artikel 12)

  • Implementieren Sie automatische Protokollierung von Ereignissen während des KI-Systembetriebs — die Verordnung verlangt Rückverfolgbarkeit
  • Stellen Sie sicher, dass Protokolle erfassen: den Zeitraum jeder Nutzung, die Referenzdatenbank, Eingabedaten mit Übereinstimmung und die Identifizierung der an der menschlichen Aufsicht beteiligten Personen
  • Definieren Sie Aufbewahrungsfristen für Protokolle — mindestens für den dem Verwendungszweck angemessenen Zeitraum und nicht weniger als sechs Monate, sofern nicht anders angegeben
  • Stellen Sie sicher, dass Protokolle zugänglich sind für Betreiber und auf Anfrage für Behörden verfügbar

Checkliste: Transparenz und Information (Artikel 13)

  • Gestalten Sie Systeme transparent — Betreiber müssen die Ausgabe des Systems verstehen und angemessen nutzen können
  • Stellen Sie klare Gebrauchsanweisungen bereit, die Folgendes abdecken: Verwendungszweck, Genauigkeits- und Robustheitsniveau, bekannte Einschränkungen, vorhersehbare Fehlnutzungsrisiken, Maßnahmen zur menschlichen Aufsicht und erwartete Eingabedatenspezifikationen
  • Wo zutreffend: Informieren Sie Personen, dass sie einer Entscheidung durch ein Hochrisiko-KI-System unterliegen

Checkliste: Menschliche Aufsicht (Artikel 14)

  • Gestalten Sie Systeme für wirksame menschliche Aufsicht — das bedeutet echte, sinnvolle Aufsicht, nicht ein Gummistempel
  • Stellen Sie sicher, dass die Aufsichtsperson: die Fähigkeiten und Grenzen des Systems vollständig verstehen, Ausgaben korrekt interpretieren, entscheiden kann, das System nicht zu verwenden oder dessen Ausgabe zu überstimmen, und in das System eingreifen oder es anhalten kann
  • Implementieren Sie „Human-on-the-loop"- oder „Human-in-the-loop"-Mechanismen, die dem Risikoniveau und Kontext angemessen sind
  • Schulen Sie die Personen, die für die menschliche Aufsicht verantwortlich sind — sie müssen die Kompetenz, Schulung und Befugnis haben, ihre Rolle auszuüben

Checkliste: Genauigkeit, Robustheit und Cybersicherheit (Artikel 15)

  • Definieren und deklarieren Sie Genauigkeitsmetriken — das System muss die für seinen Verwendungszweck angemessene Genauigkeit erreichen
  • Testen Sie auf Robustheit — das System sollte unter erwarteten Bedingungen konsistent arbeiten und Fehler oder Inkonsistenzen angemessen behandeln
  • Implementieren Sie Cybersicherheitsmaßnahmen — Schutz gegen unbefugte Manipulation von Trainingsdaten, Eingaben oder dem Modell selbst (Data Poisoning, Adversarial Examples, Modellextraktion)
  • Dokumentieren Sie alle Testergebnisse und nehmen Sie sie in die technische Dokumentation auf

Phase 4: Organisatorische Bereitschaft

Technische Compliance ist notwendig, aber nicht ausreichend. Sie benötigen auch organisatorische Strukturen und Prozesse.

Checkliste: Qualitätsmanagementsystem (Artikel 16)

  • Richten Sie ein Qualitätsmanagementsystem ein, das der Größe Ihrer Organisation angemessen ist — dokumentierte Richtlinien und Verfahren für die Entwicklung, den Einsatz und die Überwachung von KI-Systemen
  • Nehmen Sie Compliance-Strategie, Ressourcenallokation und Verantwortlichkeit in das QMS auf
  • Implementieren Sie ein Marktüberwachungssystem nach dem Inverkehrbringen (Artikel 72) — systematische Prozesse zur Erhebung und Analyse von Daten über die Leistung Ihrer KI-Systeme nach dem Einsatz
  • Definieren Sie einen Prozess zur Meldung schwerwiegender Vorfälle (Artikel 73) — Sie müssen den Behörden innerhalb von 15 Tagen nach Kenntnisnahme eines schwerwiegenden Vorfalls Bericht erstatten

Checkliste: Konformitätsbewertung (Artikel 43-44)

  • Bestimmen Sie, welches Konformitätsbewertungsverfahren für jedes Hochrisikosystem gilt — interne Kontrolle (Anhang VI) oder Drittbewertung (Anhang VII)
  • Ermitteln Sie, ob eine Benannte Stelle erforderlich ist — dies ist für bestimmte biometrische und kritische Infrastruktur-KI-Systeme zwingend
  • Erstellen Sie die EU-Konformitätserklärung (Artikel 47) — eine formelle Erklärung, dass das System alle geltenden Anforderungen erfüllt
  • Bringen Sie die CE-Kennzeichnung an (Artikel 48) vor dem Inverkehrbringen des Systems
  • Registrieren Sie das System in der EU-Datenbank (Artikel 49)

Checkliste: Betreiberpflichten (Artikel 26)

Wenn Sie Hochrisiko-KI-Systeme einsetzen (nutzen), die von anderen entwickelt wurden:

  • Verwenden Sie das System gemäß den Gebrauchsanweisungen des Anbieters
  • Weisen Sie die menschliche Aufsicht Personen mit der erforderlichen Kompetenz, Schulung und Befugnis zu
  • Stellen Sie sicher, dass die Eingabedaten relevant und hinreichend repräsentativ für den Verwendungszweck des Systems sind
  • Überwachen Sie den Betrieb des Systems und melden Sie schwerwiegende Vorfälle dem Anbieter und der zuständigen Behörde
  • Führen Sie eine Grundrechte-Folgenabschätzung durch (Artikel 27), wenn Sie eine Einrichtung des öffentlichen Rechts sind oder ein privates Unternehmen, das öffentliche Dienstleistungen erbringt
  • Informieren Sie Einzelpersonen, dass sie einer Entscheidung eines Hochrisiko-KI-Systems unterliegen, sofern erforderlich

Betreiberpflichten gelten auch dann, wenn Sie ein KI-System von einem Anbieter gekauft haben, der behauptet, „EU-KI-Verordnung-konform" zu sein. Compliance ist eine geteilte Verantwortung. Sie können Ihre Betreiberpflichten nicht an Ihren Anbieter auslagern.

Phase 5: Zeitplan und Fahrplan

Erstellen Sie einen konkreten Fahrplan mit Meilensteinen, die auf den gestaffelten Durchsetzungszeitplan der Verordnung abgestimmt sind.

Phase 6: Laufende Compliance

Compliance ist kein einmaliges Projekt. Die KI-Verordnung erfordert kontinuierliche Überwachung und Anpassung.

Checkliste: Laufende Pflichten

  • Überwachen Sie die KI-Systemleistung nach dem Einsatz — verfolgen Sie Genauigkeits-, Verzerrung- und Zuverlässigkeitsmetriken im Zeitverlauf
  • Aktualisieren Sie die technische Dokumentation, wenn das System wesentlich verändert wird (Artikel 43 Absatz 4)
  • Melden Sie schwerwiegende Vorfälle der zuständigen Marktüberwachungsbehörde innerhalb der vorgeschriebenen Frist
  • Bleiben Sie bei regulatorischen Leitlinien auf dem Laufenden — das KI-Büro, der KI-Ausschuss und nationale Behörden werden 2025-2027 Durchführungsrechtsakte, Normen und Verhaltenskodizes herausgeben
  • Führen Sie regelmäßige interne Audits Ihrer KI-Systeme anhand der Anforderungen der Verordnung durch
  • Schulen Sie Ihre Teams nach, wenn sich die regulatorische Landschaft weiterentwickelt
  • Pflegen Sie Ihr KI-Register — halten Sie es aktuell, wenn Systeme hinzugefügt, geändert oder außer Betrieb genommen werden

Organisationen, die die Compliance mit der KI-Verordnung als laufendes Programm behandeln — nicht als einmalige Checkbox-Übung — werden sich nicht nur für die regulatorische Compliance, sondern auch für den Aufbau wirklich vertrauenswürdiger KI-Systeme besser positioniert finden. Die Anforderungen an Datengovernance, Transparenz, menschliche Aufsicht und Robustheit sind schlicht gute Engineering-Praktiken, die in Gesetze gegossen wurden.

Häufige Fallstricke für Technologieführer

Basierend auf den Anforderungen der Verordnung und frühen Durchsetzungssignalen sind hier die Fehler, die CTOs und CIOs aktiv vermeiden sollten:

Unterschätzung des Umfangs. Die Definition des „KI-Systems" in der KI-Verordnung ist breiter als viele erwarten. Wenn Sie nur Systeme betrachten, die explizit als „KI" oder „ML" gekennzeichnet sind, übersehen Sie regelbasierte Systeme, statistische Modelle und eingebettete KI in Drittanbieter-Tools.

Compliance nur als Rechtsangelegenheit behandeln. Die Compliance mit der KI-Verordnung erfordert tiefgreifende technische Arbeit — Datengovernance, Protokollierung, Tests, Dokumentation. Rechtsabteilungen können dies nicht allein bewältigen. Die technische Führung muss direkt einbezogen werden.

Betreiberpflichten ignorieren. Viele CTOs gehen davon aus, dass sie abgesichert sind, wenn sie ein KI-System von einem konformen Anbieter kaufen. Das sind sie nicht. Betreiber haben eigenständige Pflichten in Bezug auf menschliche Aufsicht, Überwachung und Eingabedatenqualität.

Handeln aufschieben. Da verbotene Praktiken bereits durchsetzbar sind und Hochrisiko-Pflichten im August 2026 in Kraft treten, sind Organisationen, die ihr Compliance-Programm noch nicht gestartet haben, bereits im Rückstand.

GPAI-Modellpflichten übersehen. Wenn Ihre Organisation ein KI-Modell mit allgemeinem Verwendungszweck bereitstellt oder feinabstimmt, gelten zusätzliche Anforderungen gemäß den Artikeln 51-55, wobei die Durchsetzung im August 2025 beginnt.

Fazit

Die Compliance mit der EU-KI-Verordnung ist eine technische und organisatorische Herausforderung, die direkt in der Verantwortung des CTO und CIO liegt. Die obige Checkliste bietet einen strukturierten Weg von der Bestandsaufnahme bis zur laufenden Compliance, abgestimmt auf den gestaffelten Durchsetzungszeitplan der Verordnung.

Die Organisationen, die diesen Übergang am reibungslosesten meistern werden, sind diejenigen, die jetzt beginnen, in systematische Inventarisierung und Klassifizierung investieren und Compliance nicht als Last, sondern als Chance betrachten, KI-Systeme zu bauen, die transparent, robust und vertrauenswürdig sind.

Die Frist ist klar. Die Anforderungen sind definiert. Die Frage ist, ob Ihre Organisation bereit sein wird.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Verwandte Artikel

Compliance3 min read

Anforderungen an die technische Dokumentation für KI-Systeme

Welche technische Dokumentation unter der EU-KI-Verordnung erforderlich ist — Anforderungen nach Anhang IV, Risikomanagement-Aufzeichnungen, Datengovernance-Dokumentation und wie Sie die Compliance aufrechterhalten.

Compliance4 min read

Konformitätsbewertung unter der EU-KI-Verordnung

Leitfaden zu den Konformitätsbewertungsverfahren für Hochrisiko-KI-Systeme — interne Kontrolle, Drittbewertung, CE-Kennzeichnung und EU-Konformitätserklärung erklärt.

Compliance5 min read

Anforderungen an die menschliche Aufsicht unter der EU-KI-Verordnung

Leitfaden zu den Pflichten der menschlichen Aufsicht nach Artikel 14 — was Betreiber implementieren müssen, Prävention von Automatisierungsbias und das Recht, KI-Entscheidungen bei Hochrisikosystemen zu überstimmen.