Background mountain data relief

EU AI Act – Interaktive Checkliste

Diese Checkliste hilft mittelständischen Unternehmen (KMU), die Anforderungen des EU AI Act zu verstehen und umzusetzen.

Umsetzungsleitfaden für KMU zur Erfüllung der EU AI Act-Vorgaben

Fortschritt0%

1. Rolle(n) im Unternehmen klären

Offen

Warum ist das wichtig?

Der EU AI Act unterscheidet zwischen "Provider" (Entwickler) und "Deployer" (Nutzer). Stellen Sie sicher, welche Rolle(n) Ihr Unternehmen übernimmt, um die richtigen Pflichten zu erfüllen.

Wie gehen Sie vor?

Erfassen Sie zunächst alle KI-Anwendungen, prüfen Sie, ob Sie sie entwickeln oder lediglich einsetzen. Achten Sie darauf, dass bei wesentlichen Änderungen an der KI (oder am Einsatzzweck) Sie selbst zum Provider werden können.

  • Erfassen Sie alle KI-Anwendungen (inkl. Drittanbieter-Tools) und ordnen Sie die Rolle(n) Ihres Unternehmens zu.

    Mehr dazu im Anhang

2. Risiko Ihrer KI-Anwendungen einstufen

Offen

Warum ist das wichtig?

Je höher das Risiko (Unacceptable, High, Limited, No Risk), desto mehr Auflagen. Eine korrekte Einstufung ist entscheidend, um Bußgelder oder rechtliche Probleme zu vermeiden.

Wie gehen Sie vor?

Prüfen Sie, ob Ihre KI in Bereichen eingesetzt wird, die Gesundheit, Sicherheit oder Grundrechte beeinträchtigen könnten. Dokumentieren Sie Ihre Entscheidung und ziehen Sie bei Bedarf externe Expertise hinzu.

  • Nutzen Sie die "Pyramide des Risikos" (verboten, hochriskant, eingeschränkt, kein Risiko) und halten Sie Ihre Einstufung fest.

    Mehr dazu im Anhang

3. Pflichten umsetzen (Konformität, Transparenz, Dokumentation)

Offen

Warum ist das wichtig?

Abhängig vom Risikograd müssen Sie ggf. Konformitätsbewertungen durchführen, technische Dokumentation erstellen, Logs führen oder für mehr Transparenz sorgen.

Wie gehen Sie vor?

Richten Sie ein Risikomanagement ein, prüfen Sie Ihre Daten (Bias), halten Sie KI-Entscheidungen fest und informieren Sie alle Betroffenen klar über den KI-Einsatz. Bei High Risk (hochriskant) greifen umfangreiche Dokumentations- und Meldepflichten.

  • Definieren Sie Prozesse, Verantwortlichkeiten und Dokumentationsrichtlinien für den KI-Einsatz (z. B. QMS).

    Mehr dazu im Anhang

  • Überwachen Sie Ihre Trainings- und Testdaten, minimieren Sie Bias, führen Sie Logs über KI-Entscheidungen.

    Mehr dazu im Anhang

  • Kennzeichnen Sie deutlich, wenn KI genutzt wird (z. B. Chatbots, KI-generierte Inhalte), damit Nutzer es erkennen.

    Mehr dazu im Anhang

  • Erstellen Sie Risikoanalysen, Dokumentation und ggf. ein QMS. Registrieren Sie das System in der EU-Datenbank.

    Mehr dazu im Anhang

4. Mitarbeitende schulen

Offen

Warum ist das wichtig?

Nach dem EU AI Act müssen alle, die mit KI arbeiten, ein Mindestmaß an KI-Verständnis (AI Literacy) haben, um Fehlanwendungen oder Risiken zu minimieren.

Wie gehen Sie vor?

Planen Sie interne oder externe Schulungen, die zentrale KI-Konzepte, mögliche Risiken und Datenschutz-/Grundrechtsaspekte behandeln. So erfüllen Sie die Vorgaben zur Schulung und erhöhen das Verständnis im Team.

  • Vermitteln Sie Grundlagen zu KI, Risiken, regulatorischen Vorgaben (EU AI Act) und Datenschutzpflichten.

    Mehr dazu im Anhang

5. KI-System überwachen und Prozesse anpassen

Offen

Warum ist das wichtig?

Der EU AI Act fordert laufende Überwachung, Meldung von Vorfällen und regelmäßige Aktualisierungen, damit Ihre KI langfristig konform bleibt.

Wie gehen Sie vor?

Definieren Sie Meldewege, z. B. für Sicherheitsprobleme oder Datenschutzverletzungen. Aktualisieren Sie Ihr KI-System (Software-Updates, neue Daten) und prüfen Sie regelmäßig, ob sich die Rechtslage geändert hat.

  • Definieren Sie, wie gravierende Fehlentscheidungen oder Vorfälle (Bias, Sicherheitslücken) erkannt und gemeldet werden.

    Mehr dazu im Anhang

  • Beobachten Sie neue Gesetze, Normen und KI-Trends. Führen Sie regelmäßige Audits durch, um Konformität zu wahren.

    Mehr dazu im Anhang
Checkliste per E-Mail senden

Anhang: "Checkliste zur Umsetzung der EU AI Act-Vorgaben für KMU"

Untenstehend das vollständige Dokument (Punkte 1–8 + Fazit). Die obige Checkliste lehnt sich an diese Inhalte.

1Grundlegendes Verständnis schaffen

1.1 Regulatorischer Rahmen klären

  • Die EU AI Act ist eine EU-Verordnung (gilt direkt in allen Mitgliedsstaaten), die am 2. August 2024 in Kraft getreten ist.
  • Sie greift horizontal in allen Branchen, sobald KI-Lösungen in der EU bereitgestellt bzw. genutzt werden.
  • Die Auflagen sind risikobasiert: Je höher das Risiko für Gesundheit, Sicherheit und Grundrechte, desto mehr Verpflichtungen.

1.2 Reichweite der Verordnung

  • Gilt für alle Unternehmen, die KI in der EU entwickeln, importieren, vertreiben oder einsetzen ("KI-Wertschöpfungskette").
  • Gilt auch für Unternehmen außerhalb der EU, wenn die KI-Ausgaben oder -Ergebnisse in der EU genutzt werden.

1.3 Ziele der EU AI Act

  • Sicherstellen, dass KI, die wesentliche Risiken birgt, sicher und vertrauenswürdig ist.
  • Transparenz erhöhen, Missbrauch und Diskriminierung verringern.
  • Vertrauen der Nutzer in KI stärken und damit Innovationspotenzial erschließen.

1.4 Zentrale Merkmale von KI (Opacity, Complexity, Unpredictability, Adaptability)

  • KI lässt sich nicht immer leicht nachvollziehen, was eine besondere Regulierung erforderlich macht (z. B. transparente Dokumentation, Logging, etc.).

1.5 Grundsatz der KI-Schulung ("AI Literacy")

  • Für alle Unternehmen und KI-Anwendungen gilt: Mitarbeitende, die KI-Systeme bedienen oder verantworten, müssen über ein angemessenes KI-Verständnis verfügen.
  • Diese Verpflichtung ist branchenunabhängig – unabhängig davon, ob die KI als hochriskant oder gar nicht risikoreich eingestuft wird.

2Rollen und Verantwortlichkeiten definieren

2.1 Provider (KI-Anbieter)

  • Entwickelt bzw. "baut" KI-Systeme.
  • Trägt Hauptverantwortung für Produkt-/Systemsicherheit, Datenqualität, Dokumentation und Konformitätsbewertung.

2.2 Deployer (KI-Nutzer)

  • Setzt ein fertiges KI-System ein und muss sicherstellen, dass die KI wie vorgesehen (intended purpose) eingesetzt wird.

2.3 Unterscheidung "AI System" vs. "AI Model"

  • AI System: Fertige Lösung (Produkt), direkt einsetzbar.
  • AI Model: Zugrundeliegendes Modell (z. B. GPT-4).

2.4 Wechsel der Rolle

  • Wer ein KI-System wesentlich modifiziert oder ein allgemeines Modell (GPAI) zu einem hochriskanten Anwendungsfall ausbaut, wird zum "Provider".

3Risiko einstufen: "Pyramide des Risikos"

3.1 Unacceptable Risk (verboten)

  • Massenüberwachung in Echtzeit, Social Scoring, Predictive Policing, subliminale Manipulation, Emotionserkennung in Bildung/Arbeit etc.

3.2 High Risk (hochriskante KI)

  • KI in Medizinprodukten, Fahrzeugen, Spielzeugen (Sicherheitskomponenten), Personalentscheidungen, Bildung, essenziellen Diensten (Kredit, Versicherung etc.), Strafverfolgung, kritische Infrastruktur.

3.3 Limited Risk (eingeschränkteres Risiko)

  • z. B. Chatbots, Deepfakes (Transparenzpflicht).

3.4 No Risk (kein relevantes Risiko)

  • Mehrheit aller KI-Anwendungen. Einzige Pflicht: Mitarbeiterschulung.

4Verpflichtungen für Provider (Anbieter) hochriskanter KI

4.1 Konformitätsbewertung ("Conformity Assessment")

  • Systematische Prüfung aller Anforderungen. Ggf. externe Stelle nötig.

4.2 Risikomanagement

  • Kontinuierliche Analyse und Teststrategien.

4.3 Daten-Governance

  • Bias-Minimierung, Qualitätsprüfung, Dokumentation.

4.4 Technische Dokumentation & Logs

  • Detaillierte Dokumentation, automatisches Logging zur Nachverfolgung.

4.5 Benutzerinformationen & Transparenz

  • Anleitung, Safe-Stop-Funktion, menschliche Aufsicht.

4.6 Qualitätsmanagementsystem (QMS)

  • Ähnlich ISO 9001.

4.7 Eintragung in EU-Datenbank

  • Vor dem Inverkehrbringen.

4.8 Zusammenarbeit mit Behörden

  • Bei Audits, Meldungen schwerwiegender Vorfälle etc.

4.9 Harmonisierte Normen

  • Nutzung künftiger Standards kann Konformität vereinfachen.

5Verpflichtungen für Deployers (Nutzer) hochriskanter KI

  • Einsatz gemäß Zweckbestimmung.
  • Systemlauf überwachen, Logs führen.
  • Meldepflicht bei schwerwiegenden Vorfällen.
  • Information der Betroffenen.
  • Fundamental Rights Impact Assessment (FRIA) bei öffentlicher Stelle oder essenziellen Diensten.
  • Registrierungspflicht (öffentlicher Sektor).
  • Änderungen am System beachten (Rolle als Provider).

6Besondere Regeln für General Purpose AI (GPAI)

  • GPAI (mehr als 1 Mrd. Parameter) können systemische Risiken bergen.
  • Light-touch-Pflichten für niedrigeres GPAI-Risiko (Dokumentation, Transparenz).
  • Schwelle bei mehr als 10^25 FLOPs: Meldung an EU-Kommission, erweiterte Anforderungen (Cybersicherheit, Reporting).

7Sanktionen & Durchsetzung

  • Hohe Strafen (bis zu 7 % des globalen Jahresumsatzes oder 35 Mio. €).
  • Behördliche Kontrollen und Audits möglich.

8Praktische Schritte im Unternehmen (Handlungsempfehlung)

  • Bestandsaufnahme machen (alle KI-Anwendungen erfassen, Rollen klären).
  • Risiko-Kategorisierung durchführen (Unacceptable, High, Limited, No Risk).
  • Risikomanagement/Compliance-Struktur aufbauen (Verantwortlichkeiten, Prozesse).
  • Datensatzprüfung (Bias, Qualität) & Dokumentation (Logging, Berichte).
  • Mitarbeiterschulung (Grundlagen, Risiken, Datenschutz).
  • Transparenz sichern (Nutzer müssen wissen, wenn KI angewendet wird).
  • Konformitätsbewertung (falls hochriskant), ggf. externe Zertifizierung.
  • Melde- und Überwachungssystem einführen (schwere Vorfälle an Behörden melden).
  • Regelmäßige Updates & Überprüfung (Rechtslage, KI-System).

Fazit

Mit dieser Checkliste erhalten Sie einen Überblick, wie Sie als KMU den Anforderungen der EU AI Act gerecht werden können. Im Kern geht es um eine risikobasierte Vorgehensweise, klare Rollentrennung zwischen Anbieter (Provider) und Nutzer (Deployer), umfassende Dokumentation, Transparenz gegenüber Betroffenen und solide Risikomanagement-Prozesse.

  • Identifizieren Sie Ihre Rolle(n).
  • Einstufen Sie das Risiko Ihrer KI-Anwendungen.
  • Erfüllen Sie die spezifischen Pflichten (Konformität, Transparenz, Dokumentation).
  • Schulen Sie alle relevanten Mitarbeitenden.
  • Überwachen Sie Ihr KI-System und passen Sie Prozesse und Dokumentationen an.