Carolli GmbHAnfragen
← Blog

20. April 2026

EU AI Act Checkliste für Unternehmen 2026

EU AI Act Checkliste für Unternehmen: Welche Pflichten gelten ab August 2026, was Sie jetzt prüfen müssen, und wo die meisten Betriebe noch Lücken haben.

Der EU AI Act gilt. Nicht irgendwann, nicht für Konzerne. Für Unternehmen jeder Größe, die KI-Systeme nutzen. Die zentrale Deadline ist August 2026.

Diese Checkliste zeigt, was bis dahin erledigt sein muss.

Wer diese Checkliste braucht

Jedes Unternehmen, das KI-Systeme im Betrieb einsetzt. Das schließt ein: ChatGPT, Microsoft Copilot, KI-gestützte ERP-Module, automatisierte Bewerberauswahl, Qualitätskontrolle per Bildverarbeitung, Chatbots im Kundenservice.

Wer keines dieser Systeme nutzt: kein Handlungsbedarf.

Wer auch nur eines davon nutzt: alle fünf Punkte der Checkliste sind relevant.

Die Checkliste im Überblick

1. KI-Inventar erstellt

Was gemeint ist: Eine Liste aller KI-Systeme, die im Betrieb eingesetzt werden. Nicht nur die, die IT angeschafft hat. Auch die, die Mitarbeiter privat nutzen und für die Arbeit verwenden.

Was viele vergessen: Browser-Plugins mit KI-Funktionen, KI-Funktionen in bestehender Software (z.B. automatische Textvorschläge im CRM), extern eingekaufte KI-Leistungen (z.B. KI-gestützte Übersetzung).

Woran Sie erkennen, dass es fehlt: Niemand im Betrieb kann auf Anhieb sagen, welche KI-Systeme gerade aktiv genutzt werden.

2. Risikoklassifizierung abgeschlossen

Was gemeint ist: Jedes KI-System auf der Inventarliste muss einer Risikoklasse zugeordnet werden. Der EU AI Act unterscheidet vier Stufen: verboten, hochriskant, begrenzt riskant, minimales Risiko.

Was das für den Mittelstand bedeutet: Die meisten Standard-Tools wie Copilot oder ChatGPT fallen in die Kategorie "minimales Risiko". Aber KI in der Personalauswahl, Kreditvergabe oder Sicherheitskritischen Anlagen fällt in "hochriskant" mit deutlich strengeren Anforderungen.

Woran Sie erkennen, dass es fehlt: Die Risikoklasse ist für keines der genutzten Systeme dokumentiert.

3. KI-Nutzungsrichtlinie vorhanden

Was gemeint ist: Ein internes Dokument, das regelt, wer welche KI-Systeme für welche Zwecke nutzen darf. Und was verboten ist.

Was viele vergessen: Die Richtlinie muss kommuniziert werden. Einmal im Intranet ablegen reicht nicht. Mitarbeiter müssen bestätigen, dass sie die Richtlinie gelesen haben.

Woran Sie erkennen, dass es fehlt: Neue Mitarbeiter wissen nicht, was im Betrieb mit KI erlaubt ist.

4. Schulungsnachweise dokumentiert

Was gemeint ist: Seit Februar 2025 gilt die Schulungspflicht des EU AI Act. Mitarbeiter, die KI-Systeme nutzen, müssen nachweislich über Grundlagen, Risiken und Grenzen dieser Systeme informiert worden sein.

Was das konkret bedeutet: Eine kurze schriftliche Information mit Lesebestätigung ist in vielen Fällen ausreichend. Ein mehrstündiges Seminar ist nicht zwingend.

Woran Sie erkennen, dass es fehlt: Es gibt keine Dokumentation darüber, wer wann über welche KI-Systeme informiert wurde.

5. Anbieter-Check durchgeführt

Was gemeint ist: Externe KI-Anbieter müssen ihrerseits EU AI Act-konform sein. Als Betreiber tragen Sie eine Mitverantwortung dafür, keine nicht-konformen Systeme einzusetzen.

Was das bedeutet: Prüfen Sie, ob Ihre KI-Anbieter eine Konformitätserklärung oder entsprechende Zertifizierung vorweisen können. Für Hochrisiko-Systeme ist das Pflicht.

Woran Sie erkennen, dass es fehlt: Sie wissen nicht, ob Ihre Anbieter EU AI Act-konform sind.

Was passiert, wenn die Checkliste nicht abgearbeitet ist

Bußgelder bis zu 35 Millionen Euro oder 7% des globalen Jahresumsatzes sind möglich. Für den Mittelstand realistischer: Abmahnungen, Reputationsschäden, und der Ausschluss aus öffentlichen Vergabeverfahren, die zunehmend Compliance nachfragen.

Wichtiger als die Strafe: Wer die Checkliste abgearbeitet hat, hat auch einen besseren Überblick darüber, welche KI-Systeme im Betrieb wirklich genutzt werden. Das allein hat für viele Unternehmen eigenständigen Wert.

Wie lange dauert die Umsetzung?

Für einen Betrieb mit 20 bis 150 Mitarbeitern und einer überschaubaren Anzahl an KI-Systemen: vier bis acht Wochen, wenn jemand die Aufgabe strukturiert angeht.

Der größte Zeitaufwand liegt beim KI-Inventar. Wer nicht weiß, was im Betrieb genutzt wird, kann die restlichen vier Punkte nicht sauber abarbeiten.

Der häufigste Fehler

Betriebe warten auf eine offizielle Handreichung, die alles genau erklärt. Die gibt es nicht in dieser Form. Der EU AI Act ist ein Rahmengesetz. Was "angemessene Governance" konkret bedeutet, wird im Einzelfall beurteilt.

Das bedeutet: Handeln ist besser als Warten. Ein dokumentierter, ehrlicher Versuch schützt besser als nichts.

Interne Links für den nächsten Schritt

Wer alle fünf Punkte strukturiert abarbeiten will, findet die Details im Artikel zu den [EU AI Act Pflichten für KMU 2026](/blog/eu-ai-act-kmu-pflichten-2026).

Den Unterschied zwischen den Risikoklassen erklärt der Artikel zur [AI Act Risikoklassifizierung für KMU](/blog/ai-act-risikoklassifizierung-kmu).

Was die Schulungspflicht (Punkt 4 der Checkliste) konkret bedeutet und wie der Nachweis aussehen muss, erklärt der Artikel zur [EU AI Act Schulungspflicht für Mitarbeiter](/blog/eu-ai-act-schulungspflicht-mitarbeiter).

Wer eine fertige Vorlage für die Nutzungsrichtlinie (Punkt 3) sucht: die [KI-Nutzungsrichtlinie Vorlage](/blog/ki-nutzungsrichtlinie-vorlage) ist direkt anpassbar.

Wer die Checkliste professionell begleitet abarbeiten will: der [KI Compliance Check](/ki-compliance-check) deckt alle fünf Punkte ab.

Häufige Fragen

Gilt die Checkliste auch für kleine Betriebe unter 20 Mitarbeitern? Ja. Der EU AI Act unterscheidet nicht nach Betriebsgröße. Für Kleinstunternehmen gelten vereinfachte Anforderungen bei bestimmten Punkten, aber kein genereller Ausnahme.

Was wenn wir nur ChatGPT gelegentlich nutzen? Auch das zählt. ChatGPT fällt in die Kategorie "minimales Risiko", was die Anforderungen überschaubar macht. Aber eine Nutzungsrichtlinie und ein Schulungsnachweis sind auch dann sinnvoll.

Müssen wir einen Datenschutzbeauftragten einschalten? Nicht zwingend für den EU AI Act. Aber da KI oft personenbezogene Daten verarbeitet, ist Abstimmung mit dem Datenschutzbeauftragten empfehlenswert.

Reicht eine interne Lösung oder brauchen wir externe Hilfe? Das hängt von der Komplexität ab. Betriebe mit vielen verschiedenen KI-Systemen oder Hochrisiko-Anwendungen profitieren von externer Begleitung. Für einfache Setups ist eine interne Lösung oft ausreichend.

Wie oft muss die Checkliste wiederholt werden? Jährlich als Mindeststandard. Bei wesentlichen Änderungen in der Tool-Landschaft zusätzlich.

Weiterführend

KI Compliance Check für den MittelstandKostenfreier KI WorkshopKI Sprint: Implementierung in 4 Wochen

Jetzt KI-Compliance prüfen

In 3 Minuten wissen Sie, ob und wie der EU AI Act für Ihren Betrieb gilt.

Zum Compliance-Check

Wenn der Workshop Ihnen keine 3 konkreten Hebel mit ROI-Schätzung liefert, schicke ich Ihnen eine Flasche guten Weins als Entschuldigung.