EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
Checkliste

EU AI Act Checkliste August 2026: Was muss bis wann fertig sein?

Zuletzt aktualisiert: Mai 2026·15 min Lesezeit
TL;DR

Diese Checkliste deckt alle 47 Punkte ab, die ein DACH-KMU bis 2. August 2026 erfüllen muss: KI-Inventar (8 Punkte), Klassifikation (6), Provider-Pflichten (12), Deployer-Pflichten (10), KI-Literacy (5), laufendes Monitoring (6). Mit Zeitstempel wann was fertig sein muss.

Diese Checkliste ist dein Roadmap-Dokument bis 2. August 2026. Strukturiert in 6 Kategorien, mit klaren Zeitangaben und Verantwortlichkeits-Hinweisen.

Kategorie 1: KI-Inventar (8 Punkte) — Frist: bis Ende Juni 2026

Ziel: Vollständige Liste aller KI-Systeme im Unternehmen.

  • [ ] 1.1 — Liste aller direkt eingesetzten KI-Tools (Recruiting, CRM, ERP, Marketing-Automation, Chatbots)
  • [ ] 1.2 — Liste aller SaaS-Tools mit eingebetteter KI (Microsoft Copilot, Salesforce Einstein, HubSpot AI, Zendesk Answer Bot)
  • [ ] 1.3 — Liste aller eigenentwickelten KI-Systeme (auch Pilotprojekte und Skripte)
  • [ ] 1.4 — Liste aller KI-Komponenten in Hardware-Produkten (falls Hersteller)
  • [ ] 1.5 — Pro System dokumentiert: Anbieter, Zweck, Einsatzbereich, betroffene Personen, Datenquellen
  • [ ] 1.6 — Pro System: interne Verantwortliche Person (Name, Funktion)
  • [ ] 1.7 — Pro System: Einsatzdatum (seit wann?) — wichtig für Bestandsschutz Art. 111
  • [ ] 1.8 — Inventar in zentraler Datenbank gepflegt, monatliche Aktualisierung definiert

Kategorie 2: Risikoklassifikation (6 Punkte) — Frist: bis Ende Juli 2026

Ziel: Jedes System einer der 4 Risikoklassen zuordnen.

  • [ ] 2.1 — Pro System: Annex-III-Prüfung (8 Hochrisiko-Kategorien)
  • [ ] 2.2 — Pro System: Annex-I-Prüfung (Sicherheitskomponente in regulierten Produkten)
  • [ ] 2.3 — Pro System: Art.-5-Prüfung (verbotene Praktiken — sofortiger Stopp)
  • [ ] 2.4 — Pro System: Art.-50-Prüfung (begrenztes Risiko mit Transparenzpflicht)
  • [ ] 2.5 — Pro System: GPAI-Prüfung (allgemein verwendbar oder spezifisch?)
  • [ ] 2.6 — Klassifikation für jedes System dokumentiert mit Begründung und Artikel-Referenz

Kategorie 3: Provider-Pflichten (12 Punkte) — Frist: vor Markteintritt

Nur relevant wenn du KI selbst entwickelst oder unter eigenem Namen vermarktest.

  • [ ] 3.1 — Risikomanagementsystem nach Art. 9 etabliert
  • [ ] 3.2 — Datengovernance nach Art. 10 implementiert (Trainings-, Validierungs-, Testdaten)
  • [ ] 3.3 — Technische Dokumentation nach Annex IV vollständig
  • [ ] 3.4 — Logging-System nach Art. 12 implementiert
  • [ ] 3.5 — Transparenz für Deployer nach Art. 13 (Bedienungsanleitung)
  • [ ] 3.6 — Menschliche Aufsicht nach Art. 14 designt
  • [ ] 3.7 — Genauigkeit, Robustheit, Cybersicherheit nach Art. 15 dokumentiert
  • [ ] 3.8 — Qualitätsmanagementsystem nach Art. 17 etabliert
  • [ ] 3.9 — Konformitätsbewertung nach Art. 43 durchgeführt
  • [ ] 3.10 — CE-Kennzeichnung nach Art. 48 angebracht
  • [ ] 3.11 — EU-Konformitätserklärung nach Art. 47 erstellt und signiert
  • [ ] 3.12 — EU-Datenbank-Registrierung nach Art. 71 abgeschlossen

Kategorie 4: Deployer-Pflichten (10 Punkte) — Frist: bis 2. August 2026

Relevant für alle die KI-Systeme einsetzen (fast alle KMU).

  • [ ] 4.1 — Anbieter-Anleitung jedes Systems gelesen und befolgt (Art. 26 Abs. 1)
  • [ ] 4.2 — Menschliche Aufsicht je System sichergestellt (Art. 26 Abs. 2)
  • [ ] 4.3 — Eingabedaten-Qualität dokumentiert (Art. 26 Abs. 4)
  • [ ] 4.4 — System-Logs aufbewahrt, mind. 6 Monate (Art. 26 Abs. 6)
  • [ ] 4.5 — Mitarbeitende über System-Einsatz informiert (Art. 26 Abs. 7)
  • [ ] 4.6 — Betroffene Personen informiert (Bewerbende, Kunden — Art. 26 Abs. 11)
  • [ ] 4.7 — DSFA / FRIA durchgeführt wo erforderlich (Art. 27)
  • [ ] 4.8 — Vorfallmeldungs-Prozess etabliert (Art. 73)
  • [ ] 4.9 — Lieferanten-Befragungen mit Konformitätserklärungen
  • [ ] 4.10 — Vertragsklauseln in SaaS-Verträgen aktualisiert

Kategorie 5: KI-Literacy (5 Punkte) — Frist: bereits seit 2. Februar 2025!

Achtung: Diese Pflicht gilt schon — nicht erst ab 2026.

  • [ ] 5.1 — KI-Literacy-Niveau jeder Rolle definiert (Universal/Deployer/Provider/Oversight/Leadership)
  • [ ] 5.2 — Schulungsmaterialien beschafft oder erstellt
  • [ ] 5.3 — Pflicht-Schulung für alle Mitarbeitenden mit KI-Berührung durchgeführt
  • [ ] 5.4 — Kompetenznachweis dokumentiert (Test, Zertifikat)
  • [ ] 5.5 — Refresh-Plan etabliert (jährlich oder bei Änderungen)

Kategorie 6: Laufendes Monitoring (6 Punkte) — Ab August 2026 dauerhaft

  • [ ] 6.1 — Post-Market-Monitoring nach Art. 72 etabliert (für Provider)
  • [ ] 6.2 — Performance-Metriken jedes Systems regelmässig erhoben
  • [ ] 6.3 — Bias-Tests bei Hochrisiko-Systemen (mindestens jährlich)
  • [ ] 6.4 — Re-Klassifikation bei wesentlichen Änderungen
  • [ ] 6.5 — Audit-Trail unveränderlich gespeichert
  • [ ] 6.6 — Re-Assessment-Trigger definiert (z.B. neue Funktionen, Anbieterwechsel, Regelwerk-Update)

Quick-Win-Reihenfolge

Wenn du gerade erst startest, hier die optimale Reihenfolge für maximalen Effekt:

Woche 1: Inventarisierung (Punkte 1.1-1.5) — gib dir 3 Tage, dann hast du Klarheit.

Woche 2: Klassifikation (Punkte 2.1-2.6) — nutze ein Tool wie ai-risk-check.com für schnelle Einordnung.

Woche 3-4: Quick-Wins:

  • Bewerber-Information für Recruiting-Tools (4.6)
  • Chatbot-Transparenzhinweis (Art. 50)
  • KI-Literacy Mini-Schulung (5.3)

Monat 2-3: Tiefe Provider-/Deployer-Pflichten (Kat. 3 oder 4)

Monat 4-6: Lieferanten-Befragungen, Verträge, Monitoring-Setup

Was kostet diese Checkliste in der Umsetzung?

Selbst gemacht (KMU mit 1-3 Hochrisiko-Systemen):

  • Zeit: 80-120 Stunden insgesamt über 6 Monate
  • Externe Tools (z.B. ai-risk-check.com): 89-149 EUR/Monat
  • Anwaltsstunden für Vertragsanpassungen: 2.000-5.000 EUR
  • Gesamt: 5.000-15.000 EUR

Mit externer Unterstützung:

  • Beratungs-Aufwand: 15.000-40.000 EUR
  • Zeit-Ersparnis: 60-80%
  • Gesamt: 20.000-50.000 EUR

Die Wahl hängt von deinen internen Ressourcen ab — in vielen Fällen ist die Tool-gestützte Eigenarbeit kosteneffektiver.

Häufig gestellte Fragen

Welche Punkte sind die wichtigsten?+

KI-Inventar (Kategorie 1) und Risikoklassifikation (Kategorie 2) sind die Grundlage. Ohne diese kannst du keine sinnvolle Compliance leisten. KI-Literacy (Kategorie 5) ist die einzige Kategorie die schon jetzt verpflichtend ist und nicht warten kann.

Was wenn ich bis August 2026 nicht alles geschafft habe?+

Priorisiere nach Risikoklasse: Hochrisiko-Systeme zuerst, dann Limited-Risk, dann Minimal. Dokumentiere deine Compliance-Reise — wer nachweisen kann, dass er aktiv arbeitet, hat bei Audits eine deutlich bessere Position als jemand, der nichts gemacht hat.

Brauche ich für jeden Punkt einen Anwalt?+

Nein. KI-Inventar, Klassifikation, KI-Literacy und Bewerber-Information kannst du selbst machen. Anwaltlich prüfen lassen solltest du: Vertragsklauseln, FRIA bei Grundrechten, Konformitätsbewertung bei Provider-Pflichten.

Was ist ein realistischer Zeitplan?+

Für ein KMU mit 1-3 Hochrisiko-Systemen: 6 Monate für vollständige Erstcompliance. Wenn du erst im Q2 2026 startest, fokussiere auf die KRITISCHEN Punkte (KI-Literacy, Hochrisiko-Klassifikation, Bewerber-Information) — diese sind realistisch in 3 Monaten machbar.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Consulting GmbH — EU AI Act Compliance

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
EU AI Act Checkliste August 2026 — KMU Vorbereitung | ai-risk-check.com