AI-Act-Erstcheck

AI-Act-Erstcheck für Unternehmen

Ordnen Sie vorläufig ein, ob Ihr KI-System Stop-Check-, Hochrisiko-, GPAI-, Transparenz- oder Governance-Pflichten auslösen kann. Der Checker strukturiert Rolle, Einsatzbereich, personenbezogene Auswirkungen, verbotene Praktiken, Modellbezug und Schnittstellen zu Datenschutz, Produktrecht, Data Act, CRA, Verträgen und Dokumentation.

AI Act Anbieter & Betreiber Hochrisiko-KI GPAI Transparenz KI-Governance

Wofür dieser Erstcheck gedacht ist

Der Check hilft Unternehmen, Start-ups, Agenturen, Plattformbetreibern, SaaS-/Cloud-Anbietern und Entscheidern, ein KI-Vorhaben strukturiert vorzubereiten: Rolle, Risikoklasse, rote Linien, Unterlagen, Fristen- und Governancebedarf.

Vorläufige, redaktionelle Einordnung nach Risikosignalen und AI-Act-Rollen.
Hinweise zu verbotenen Praktiken, Hochrisiko-Konstellationen, Transparenz und GPAI.
Konkrete nächste Prüfpunkte und Unterlagenliste für eine ITMR-Anfrage.
Kein Ersatz für eine rechtliche Einzelfallprüfung.

Risikopass

AI-Act-Prüfgates: von Stop-Check bis Governance

Die Visualisierung ist als interaktiver KI-Risikopass aufgebaut. Wählen Sie ein Prüfgate aus oder lassen Sie den Fragebogen das passende Gate nach dem Ergebnis hervorheben.

KI-Risikopass Startpunkt: KI-System beschreiben und Rolle bestimmen.

Nach dem Fragebogen wird die vorläufige Risikostufe hier gespiegelt. Die Prüfgates können auch manuell angeklickt werden.

Aktives Prüfgate

Stop-Check vor Rollout

Prüfen Sie zuerst, ob eine verbotene Praktik oder eine besonders kritische Konstellation betroffen sein kann.

Manipulation, Ausnutzung von Schutzbedürftigkeit oder Social Scoring ausschließen.
Biometrie, Emotionserkennung und Strafverfolgungskontexte gesondert prüfen.
Bis zur Klärung keine produktive Nutzung, Bewerbung oder Erweiterung.

Orientierung

So läuft die AI-Act-Ersteinordnung ab

Rolle bestimmen

Anbieter, Betreiber, Integrator, Importeur, Händler oder Produkthersteller können unterschiedliche Pflichten treffen.

Use Case abgrenzen

Entscheidend sind Zweckbestimmung, Nutzergruppen, Daten, Output und tatsächlicher Einsatzkontext.

Red-Flags prüfen

Verbotene Praktiken und sensible Bereiche werden zuerst geprüft, bevor Produkt- oder Rollout-Fragen vertieft werden.

Risikoklasse einordnen

Hochrisiko, GPAI, Transparenzpflichten und normale Governancepflichten werden getrennt betrachtet.

Nachweise vorbereiten

KI-Inventar, Risikobewertung, Datenschutzprüfung, Vendor-Unterlagen und Schulungen werden dokumentationsfähig gemacht.

Leistungsumfang

Was dieser Check leistet

Der AI-Act-Erstcheck ist ein strukturierter Vorfilter. Er ersetzt keine rechtliche Bewertung im Einzelfall, hilft aber, die relevanten Fragen für Anbieter, Betreiber und Integratoren zu bündeln und typische Anschlussprüfungen zu erkennen.

Er erkennt typische Signale für verbotene Praktiken, Hochrisiko-KI, GPAI und Transparenzpflichten.
Er berücksichtigt Governance-Bausteine wie KI-Inventar, AI-Literacy, menschliche Aufsicht, Vendor Review und Dokumentation.
Er weist auf Schnittstellen zu DSGVO/DSFA, Urheberrecht, Geschäftsgeheimnissen, Data Act, CRA, Produkthaftung, DSA und Verträgen hin.
Er erzeugt einen kopierbaren Kurzüberblick für die Anfrage.

Was prüft dieser AI-Act-Erstcheck?

Der Check fragt Rolle, KI-Funktion, Einsatzbereich, Auswirkungen auf Personen, Red-Flags, Transparenzsignale, GPAI-Aspekte und vorhandene Governance-Bausteine ab. Daraus entsteht eine vorläufige Risikoeinordnung mit nächsten Prüfpunkten.

Bedeutet ein hohes Ergebnis automatisch Hochrisiko-KI?

Nein. Ein hohes Ergebnis bedeutet, dass eine vertiefte Prüfung naheliegt. Ob ein KI-System tatsächlich als Hochrisiko-KI gilt, hängt von Zweckbestimmung, konkretem Einsatz, Rolle des Unternehmens, Ausnahmen, Omnibus-Stand und finaler Rechtslage ab.

Welche AI-Act-Pflichten sind besonders zeitnah relevant?

Verbotene Praktiken, AI-Literacy, GPAI, Transparenz- und Hochrisiko-Fragen müssen getrennt betrachtet werden. Wegen aktueller Leitlinien, Standards und Omnibus-Anpassungen sollte vor verbindlichen Fristannahmen eine aktuelle Quellenprüfung erfolgen.

Welche Unterlagen sollten vorbereitet werden?

Hilfreich sind Systembeschreibung, Zweck, Nutzergruppen, Datenflüsse, Anbieterunterlagen, Verträge, Screenshots, Output-Beispiele, Datenschutzunterlagen, Risikoanalyse, Schulungskonzept und geplanter Go-live.

Interaktiver Erstcheck

Welche AI-Act-Pflichten könnten Ihr KI-System betreffen?

Beantworten Sie die Fragen so, wie das Vorhaben aktuell geplant ist. Bei Unsicherheit wählen Sie die vorsichtigere Antwort oder markieren Sie „Keine oder unklar“, soweit angeboten.

Schritt 1 von 6

1. Welche Rolle hat Ihr Unternehmen? Anbieter / ProviderSie entwickeln, trainieren, konfigurieren oder bringen ein KI-System unter eigenem Namen auf den Markt. Betreiber / DeployerSie nutzen ein KI-System im eigenen Unternehmen, gegenüber Kunden, Mitarbeitern oder Nutzern. Integrator / Downstream ProviderSie integrieren ein Modell oder Tool eines Drittanbieters in ein eigenes Produkt, SaaS-Angebot oder Kundenprojekt. Importeur, Händler oder ProduktherstellerSie vertreiben, importieren oder integrieren KI in ein reguliertes Produkt oder eine Sicherheitskomponente. Interner Pilot / TestphaseDas System wird intern getestet, evaluiert oder für einen späteren Rollout vorbereitet.

2. Welche KI-Funktion steht im Mittelpunkt? Chatbot, Assistent oder automatisierte KommunikationMenschen interagieren direkt mit dem KI-System, etwa in Support, Beratung, Vertrieb oder HR. Generierung von Text, Bild, Audio, Code oder VideoDas System erzeugt synthetische Inhalte, Marketingmaterial, Bilder, Stimmen, Videos, Texte oder Code. Bewertung, Empfehlung oder EntscheidungsunterstützungDas System bewertet Personen, Risiken, Bewerbungen, Anträge, Leistungen, Inhalte oder Verhalten. Interne ProzessautomatisierungDas System unterstützt Recherche, Dokumentation, Wissensmanagement, Support oder Backoffice-Prozesse. Allzweck-KI-Modell / Foundation ModelSie trainieren, veröffentlichen, feinjustieren oder stellen ein Modell bereit, das für viele Zwecke eingesetzt werden kann. KI als Produkt- oder SicherheitskomponenteKI ist Bestandteil eines Produkts, Geräts, Systems oder einer sicherheitsrelevanten Funktion.

4. Gibt es kritische AI-Act-Red-Flags?

Markieren Sie alles, was auch nur möglicherweise zutrifft.

Manipulative, täuschende oder unterschwellige Beeinflussung von Personen. Ausnutzung von Alter, Behinderung oder sozialer beziehungsweise wirtschaftlicher Schutzbedürftigkeit. Social Scoring oder Bewertung von Personen über mehrere Lebensbereiche hinweg. Vorhersage strafbaren Verhaltens allein auf Basis von Profiling oder Persönlichkeitsmerkmalen. Aufbau oder Erweiterung von Gesichtserkennungsdatenbanken durch ungezieltes Scraping. Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen. Biometrische Kategorisierung zur Ableitung sensibler Merkmale. Echtzeit-Fernidentifizierung im öffentlichen Raum, insbesondere im Strafverfolgungskontext. Keine dieser Red-Flags ist ersichtlich oder derzeit bekannt.

6. Welche Governance-Bausteine sind bereits vorhanden? KI-Inventar beziehungsweise Übersicht aller eingesetzten oder angebotenen KI-Systeme vorhanden. Zweck, Nutzergruppen, Datenflüsse, Modell-/Tool-Herkunft und Verantwortlichkeiten dokumentiert. Risikoanalyse, Datenschutzprüfung, DSFA oder vergleichbare Folgenabschätzung durchgeführt. Menschliche Aufsicht, Eskalation, Override und Fehlermanagement geregelt. Verträge, Anbieterinformationen, AVV/DPA, Nutzungsbedingungen und technische Dokumentation geprüft. AI-Literacy, Schulungen oder interne KI-Richtlinie vorhanden und dokumentiert. Keine belastbaren Governance-Bausteine vorhanden oder unklar.

Fristen & Schnittstellen

Typische AI-Act-Risiken, Fristen und Maßnahmen

Redaktioneller Stand: 26.05.2026. Wegen AI-Omnibus, Leitlinien, Standards und nationaler Aufsichtspraxis sind konkrete Fristen vor verbindlichen Maßnahmen quellenbezogen zu prüfen.

Prüffeld	Einordnung	Typische Maßnahme
Verbotene Praktiken	Stop-Check für Art.-5-Konstellationen wie bestimmte manipulative, biometrische oder Social-Scoring-Fälle.	Use Case sperren oder umgestalten, Rechtsprüfung, Managementfreigabe dokumentieren.
AI-Literacy	Schulung und Kompetenzaufbau sind bei Organisationen mit KI-Nutzung ein früher Governance-Baustein.	Schulungskonzept, KI-Richtlinie, Nachweise und Rollenverantwortung dokumentieren.
GPAI	Bei Allzweck-KI-Modellen sind Anbieter-, Dokumentations-, Copyright- und Transparenzpflichten gesondert zu prüfen.	Modellunterlagen, Trainingsdatenzusammenfassung, Copyright Policy und Vendor-Klauseln prüfen.
Hochrisiko-KI nach Anhang III	HR, Bildung, essenzielle Dienste, Biometrie, kritische Infrastruktur und Behördenkontexte sind besonders prüfungsbedürftig.	Risikomanagement, Datenqualität, technische Dokumentation, Logging, Human Oversight, Robustheit und Cybersecurity vorbereiten.
Produktintegrierte Hochrisiko-KI	Bei KI in regulierten Produkten, Sicherheitskomponenten, Software oder digitalen Elementen können längere Staffelungen und Produktrecht greifen.	Konformitätsbewertung, CE-/Produktunterlagen, SBOM, Secure SDLC, Updatepolitik und Haftungsdokumentation abstimmen.
DSGVO / DSFA	Personenbezug, Beschäftigtendaten, Profiling oder sensible Daten können eine vertiefte Datenschutzprüfung auslösen.	Rechtsgrundlagen, VVT, AVV, TOM, DSFA, Betroffeneninformation und Löschkonzept prüfen.
Data Act / CRA / DSA	Vernetzte Produkte, Cloud, Produktdaten, Software, Plattformen, Ranking oder Moderation können zusätzliche Regime auslösen.	Dateninventar, Datenzugangsprozess, Geschäftsgeheimnisse, Cybersecurity, Plattformpflichten und Vertragsklauseln prüfen.

Nächste sinnvolle Schritte

AI-Act-Fragen strukturiert vorbereiten

Schildern Sie kurz, welches KI-System Sie einsetzen, anbieten oder integrieren, welche Rolle Ihr Unternehmen hat, ob personenbezogene Daten betroffen sind und ob ein Go-live, Kundenrollout oder Behörden-/Kundenanforderungen bevorstehen.

AI-Act-Erstcheck bei ITMR anfragen

Rechtlicher Hinweis: Dieser Checker bietet eine erste Orientierung für digitale Geschäftsmodelle und KI-Vorhaben. Er ersetzt keine rechtliche Prüfung des konkreten Systems, der Verträge, Datenflüsse, Rollen, technischen Dokumentation oder aktuellen Rechtslage. Bei geplanten oder politischen Änderungen wie AI-Omnibus, Leitlinien oder nationaler Behördenpraxis sollte die finale Fassung gesondert geprüft werden.