AI-Act-Compliance-Checker: sinnvoller Einstieg oder gefähr­liche Scheinsicherheit?

Die Zahl der „AI Act Compliance Checker“ ist in kurzer Zeit explo­diert. Viele dieser Tools versprechen eine schnelle Einordnung („hochrisiko ja/nein“) und eine Art To-do-Liste. Für Unter­nehmer klingt das attraktiv: wenig Aufwand, klare Ampel, vermeint­liche Rechtssicherheit.

Genau hier liegt das Risiko. Der EU AI Act ist kein Regelwerk, das sich zuver­lässig auf ein paar Multiple-Choice-Fragen reduzieren lässt. Die entschei­denden Pflichten hängen nicht nur von der Techno­logie ab, sondern von Rolle, Zweck, Einsatz­kontext, Nutzer­kreis, Daten­flüssen und der konkreten Einbettung in Prozesse. Ein Tool kann helfen, die richtigen Fragen zu stellen. Es kann die juris­tische Bewertung und die saubere Dokumen­tation aber nicht ersetzen.

Warum der AI Act sich so schlecht „wegklicken“ lässt

Der AI Act arbeitet risiko­ba­siert. Die Einstufung entscheidet darüber, ob nur wenige Trans­pa­renz­pflichten greifen oder ob ein umfang­reiches Compliance-Regime einzu­halten ist.

Besonders relevant ist die Hochrisiko-Logik: Hochrisiko kann sich ergeben, weil ein KI-System als Sicher­heits­kom­po­nente eines Produkts fungiert bzw. selbst Produkt ist (Anknüpfung an Annex I), oder weil es in bestimmte, besonders sensible Einsatz­be­reiche fällt (Annex III). Maßgeblich ist dabei der beabsich­tigte Verwen­dungs­zweck und der tatsäch­liche Einsatz im Unternehmen.

Standar­di­sierte Checker tun sich mit genau diesen Punkten schwer, weil sie typischerweise:

• den realen Prozess­kontext nicht kennen (wer nutzt das System, wofür, mit welchen Folgen?),
• die Rollen­ver­teilung entlang der Wertschöp­fungs­kette nur grob abfragen,
• und recht­liche Abgren­zungen in Ja/Nein-Logik pressen, obwohl der Geset­zes­me­cha­nismus kontext­sen­sitiv ist.

Wo Compliance Checker in der Praxis typischer­weise scheitern

1. Unklare Rollen: Provider oder Deployer?

   Die Pflichten unter­scheiden sich erheblich je nachdem, ob Sie Anbieter (provider), Betreiber/Verwender (deployer) oder etwas dazwi­schen sind (Importeur, Distri­butor, „wesent­liche Änderung“). Viele Tools behandeln Unter­nehmen faktisch immer als „User“ – und blenden damit provider-nahe Pflichten aus, die in Projekten sehr schnell entstehen können (z. B. bei Anpas­sungen, Re-Branding, Integration, Zweckänderung).

2. Hochrisiko hängt am Einsatz­kontext, nicht an der Modellart

   Ein „gewöhn­liches“ Modell kann in einem unkri­ti­schen Einsatz minimalen Pflichten unter­liegen, im HR‑, Kredit‑, Bildung- oder Zugangs­kontext aber sehr schnell in Annex-III-Nähe rücken. Ein Checker, der nur nach „biome­trisch ja/nein“ oder „automa­ti­sierte Entschei­dungen ja/nein“ fragt, trifft häufig nicht den Kern: Welche Entscheidung wird vorbe­reitet oder beein­flusst, und welche Auswir­kungen hat das?

3. Gover­nance und Dokumen­tation werden unterschätzt

   Viele Tools liefern ein Ergebnis, aber keine belastbare Umset­zungs­ar­chi­tektur: Verant­wort­lich­keiten, Überwa­chungs­pro­zesse, Change-Management bei Updates, Logging-Strategie, Liefe­ran­ten­nach­weise, Eskala­ti­onswege bei Vorfällen. Gerade diese Punkte sind später entscheidend, wenn Aufsicht, Kunden oder interne Revision nachfragen.

4. Haftungs- und Vertrags­ri­siken werden selten mitgedacht

   Der AI Act ist öffentlich-rechtlich geprägt. Unter­neh­me­risch gefährlich wird es, wenn AI-Act-Compliance und zivil­recht­liche Haftungs­ri­siken (z. B. Produkt- und Organi­sa­ti­ons­pflichten, vertrag­liche Gewähr­leistung, Audit-Klauseln, Haftungs­be­gren­zungen, Indem­nities) getrennt betrachtet werden. Viele Checker blenden diese zweite Ebene komplett aus.

Bußgelder und Timing: warum „später kümmern“ keine gute Strategie ist

Der Bußgeld­rahmen ist erheblich. Für Verstöße gegen verbotene KI-Praktiken (Art. 5) sind bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahres­um­satzes möglich; für andere Verstöße bis zu 15 Mio. EUR oder 3 Prozent; für falsche/irreführende Angaben bis zu 7,5 Mio. EUR oder 1 Prozent (jeweils abhängig vom konkreten Tatbestand).

Zudem läuft die Umsetzung gestaffelt an. Bestimmte Regelungen gelten bereits seit dem 2. Februar 2025 (u. a. Verbote aus Art. 5). Die allge­meine Anwendung setzt später ein, und einzelne Pflichten greifen wiederum noch später, je nach Kategorie.

Für Unter­nehmer heißt das: Es gibt keinen einzigen „Stichtag“, an dem man einmalig abhakt. Compliance ist ein Prozess, der spätestens ab dem ersten ernst­haften KI-Einsatz struk­tu­riert werden sollte.

Was ein Checker sinnvoll leisten kann

Ein Compliance Checker kann in der Praxis nützlich sein, wenn er richtig einge­ordnet wird:

• als Scoping-Tool zu Beginn (Inven­ta­ri­sierung von Use-Cases und Datenflüssen),
• als Sensi­bi­li­sierung für „rote Flaggen“ (Annex-III-nahe Anwen­dungs­fälle, verbotene Praktiken),
• als Anstoß für die Dokumen­tation (welche Infor­ma­tionen fehlen für eine belastbare Einordnung?).

Das Ergebnis sollte aber als Arbeits­hy­po­these behandelt werden, nicht als Finalentscheidung.

Typische Unter­nehmer-Use-Cases: wo besondere Vorsicht geboten ist

In der Beratung sehen wir regel­mäßig erhöhte Risiken bei:

• HR/People Analytics, Recruiting, Leistungs­be­wertung und interne Disziplinarentscheidungen,
• Kredit- und Versi­che­rungs­pro­zessen (Scoring, Pricing, Betrugsverdacht),
• Bildung/Prüfungssystemen,
• Zugangs­kon­trollen und Identitäts-/Biome­trie­an­wen­dungen,
• Kunden­service-Systemen, die Entschei­dungen „vorstruk­tu­rieren“ (z. B. Ableh­nungs- oder Eskalationslogik),
• KI-Integration in Produkte, die sicher­heits­re­levant sind (Maschinen, MedTech, Automotive-Zulieferung).

Hier genügt eine „Low Risk“-Ampel aus einem Tool erfah­rungs­gemäß nicht.

Ein praxis­taug­licher Fahrplan für Unternehmer

1. Use-Case-Katalog erstellen

   Welche KI-Systeme sind im Einsatz oder geplant? Welche Daten werden verar­beitet? Wer trifft am Ende die Entscheidung?

2. Rollen und Liefer­kette klären

   Welche Anbieter sind beteiligt, welche Vertragslage besteht, welche Zusicherungen/Auditrechte brauchen Sie?

3. Vorprüfung: Verbote und Hochrisiko-Indikatoren

   Art. 5 (verbotene Praktiken) als Stopp­schild, Annex-III-Nähe als Frühwarnsystem.

4. Gover­nance aufsetzen

   Verant­wort­liche benennen, Freiga­be­pro­zesse definieren, Monitoring, Incident-Prozess, Dokumen­ta­ti­ons­standard, Update-/Change-Prozess.

5. Umsetzung in Verträge und Prozesse übersetzen

   Anfor­de­rungen an Anbieter (Nachweise, Logs, Dokumen­tation), interne Richt­linien, Schulung/Awareness, Prüfpfade.

6. Regel­mäßige Re-Evaluierung

   Systeme ändern sich durch Updates, neue Daten, neue Einsatz­sze­narien. Das muss organi­sa­to­risch abgebildet sein.

Kurz-Check: Wann Sie nicht mehr „tool-basiert“ entscheiden sollten

Eine juris­tische Bewertung ist regel­mäßig angezeigt, wenn mindestens eines zutrifft:

• Einsatz in HR, Kredit/Versicherung, Bildung, Zugangs­kon­trolle, kriti­scher Infra­struktur oder behörd­lichem Kontext,
• automa­ti­sierte oder faktisch vorge­prägte Entschei­dungen mit spürbaren Auswir­kungen auf Personen,
• biome­trische Kompo­nenten oder Profiling,
• KI wird in ein Produkt integriert oder als sicher­heits­re­le­vante Kompo­nente genutzt,
• Sie verändern ein fremdes System so, dass Zweck, Leistung oder Risiko­profil wesentlich anders sind,
• Sie müssen Kunden vertraglich Zusiche­rungen geben oder Audits bestehen.

Wie wir unterstützen

Unsere Beratung zielt nicht darauf, nur eine Risikoklasse „zu etiket­tieren“, sondern auf eine belastbare, audit­feste und unter­neh­me­risch sinnvolle Lösung:

• rechts­si­chere Rollen- und Use-Case-Einordnung entlang des AI Acts,
• Hochrisiko- und Verbots­prüfung mit dokumen­tierter Begründung,
• Aufbau einer pragma­ti­schen Gover­nance (inkl. Verant­wort­lich­keiten, Monitoring, Change-Management),
• Vertrags- und Liefer­ket­ten­ab­si­cherung (Anbie­ter­pflichten, Nachweise, Haftungs- und Auditklauseln),
• Umset­zungs­hilfe bis zur „prüfbaren“ Dokumen­tation, die auch intern tragfähig ist.

Fazit

Compliance Checker sind als Start­punkt nützlich, als Endpunkt gefährlich. Wer sich auf ein Tool-Ergebnis verlässt, riskiert falsche Einordnung, fehlende Dokumen­tation und ein Gover­nance-Vakuum – und damit unnötige recht­liche und wirtschaft­liche Angriffsflächen.

Wenn Sie möchten, können wir auf Basis Ihrer konkreten Use-Cases in einem kurzen Erstge­spräch klären, ob verbotene Praktiken oder Hochrisiko-Themen betroffen sind, welche Rolle Ihr Unter­nehmen einnimmt und wie viel Gover­nance tatsächlich erfor­derlich ist. Danach erhalten Sie eine klare, priori­sierte Roadmap, die sich im Unter­nehmen umsetzen lässt.