# EU AI Act Checkliste — Ist dein Unternehmen bereit?

> 15-Punkte Checkliste zur Selbstprüfung. Gehe jeden Punkt durch und dokumentiere den Status.

## Legende
- Erledigt = Punkt ist vollständig umgesetzt
- In Arbeit = Umsetzung hat begonnen
- Offen = Noch nicht begonnen

---

## A. Bestandsaufnahme

- [ ] **1. KI-Inventar erstellt** — Alle im Unternehmen eingesetzten KI-Systeme sind dokumentiert (Tool-Name, Anbieter, Zweck, Datenflüsse).

- [ ] **2. Risikoeinstufung durchgeführt** — Jedes KI-System ist einer Risikostufe zugeordnet (Minimal, Begrenzt, Hoch, Unannehmbares Risiko).

- [ ] **3. Verbotene Praktiken geprüft** — Es wurde sichergestellt, dass keine verbotenen KI-Praktiken nach Art. 5 eingesetzt werden (Social Scoring, Emotion Recognition am Arbeitsplatz, etc.).

## B. Governance

- [ ] **4. KI-Beauftragten benannt** — Eine verantwortliche Person für KI-Compliance ist benannt und hat die nötigen Befugnisse.

- [ ] **5. Interne KI-Richtlinie erstellt** — Es gibt eine schriftliche Richtlinie für den Umgang mit KI im Unternehmen.

- [ ] **6. Meldeprozess für KI-Vorfälle** — Es gibt einen definierten Prozess, wie KI-Fehler oder Vorfälle gemeldet und behandelt werden.

## C. Kompetenz & Schulung

- [ ] **7. Schulungsbedarf ermittelt** — Es ist klar, welche Mitarbeiter KI-Kompetenz nach Art. 4 benötigen (Anwender, Entwickler, Führungskräfte).

- [ ] **8. Schulungen durchgeführt** — Betroffene Mitarbeiter wurden geschult. Schulungsnachweise liegen vor.

- [ ] **9. Auffrischungszyklus geplant** — Regelmäßige Auffrischungsschulungen sind eingeplant.

## D. Transparenz & Dokumentation

- [ ] **10. Kennzeichnungspflichten umgesetzt** — Chatbots und KI-generierte Inhalte sind als solche gekennzeichnet (Art. 50).

- [ ] **11. Technische Dokumentation vorhanden** — Für Hochrisiko-Systeme existiert die erforderliche technische Dokumentation.

- [ ] **12. DPIA durchgeführt** — Datenschutz-Folgenabschätzungen für KI-Systeme mit personenbezogenen Daten sind erstellt.

## E. Verträge & Externe

- [ ] **13. AVV geprüft** — Auftragsverarbeitungsverträge mit KI-Anbietern sind vorhanden und aktuell.

- [ ] **14. Drittanbieter-Compliance** — Cloud-KI-Anbieter erfüllen DSGVO und EU AI Act Anforderungen. Serverstandorte sind dokumentiert.

## F. Fristen

- [ ] **15. Zeitplan erstellt** — Die EU AI Act Fristen sind bekannt und ein Umsetzungsplan existiert:
  - 02.02.2025: Verbotene Praktiken (Art. 5) — bereits in Kraft
  - 02.08.2025: GPAI-Regeln (Art. 51-54)
  - 02.08.2026: Art. 4 KI-Kompetenz + Hochrisiko-Systeme (Anhang III)
  - 02.08.2027: Hochrisiko-Systeme (Anhang I)

---

## Auswertung

| Ergebnis | Bewertung |
|----------|-----------|
| 13-15 erledigt | Gut vorbereitet — Feinschliff und regelmäßige Überprüfung |
| 8-12 erledigt | Handlungsbedarf — Priorisiere offene Punkte nach Fristen |
| 0-7 erledigt | Dringender Handlungsbedarf — Beginne mit Bestandsaufnahme (Punkte 1-3) |

## Nächste Schritte
1. Offene Punkte priorisieren nach EU AI Act Fristen
2. Verantwortliche für jeden offenen Punkt benennen
3. Quartalsmäßige Überprüfung einplanen

---
*Vorlage von AI Engineering (wiki.ai-engineering.at) — Kein Ersatz für Rechtsberatung.*