Compliance BAFA-Förderung: bis zu 80% Zuschuss

AI Act Compliance-Check: Der 5-Schritte-Audit-Prozess für Ihr Unternehmen

AI Act Compliance-Check in 5 Schritten: So führen Sie ein systematisches KI-Audit durch — mit Checkliste, Zeitaufwand und Praxisbeispiel.

~ 6 Min. Lesezeit

Warum jedes Unternehmen jetzt einen Compliance-Check braucht

Der EU AI Act ist seit August 2024 geltendes Recht. Die Hochrisiko-Pflichten greifen ab August 2026. Was dazwischen liegt, ist kein Schonfrist-Geschenk — es ist die Umsetzungsfrist. Unternehmen, die bis dahin keinen strukturierten Compliance-Check durchgeführt haben, riskieren Bußgelder von bis zu 15 Mio. € oder 3% des Jahresumsatzes.

Ein Compliance-Check ist kein juristisches Gutachten und kein IT-Projekt. Es ist ein strukturierter Audit-Prozess, der in fünf klar definierten Schritten Ihr KI-Portfolio bewertet und einen konkreten Handlungsplan produziert.

Der 5-Schritte-Audit-Prozess

Schritt 1 — KI-Inventar erstellen (Tag 1)

Bevor Sie klassifizieren können, müssen Sie wissen, was Sie haben. Die Inventarisierung erfasst jedes System, das automatisierte Entscheidungen trifft oder Menschen bei Entscheidungen unterstützt. Das klingt einfach — die Praxis zeigt, dass 40–60% der KI-Systeme in Unternehmen nicht als solche erkannt werden.

Die Checkliste für die Inventarisierung:

  • ERP-System: Enthält es Demand-Forecasting, automatische Bestellvorschläge, Preisoptimierung?
  • CRM-System: Nutzt es Lead-Scoring, Churn-Prediction, automatisierte Segmentierung?
  • HR-Software: Filtert sie Bewerbungen, bewertet sie Mitarbeiterleistung, empfiehlt sie Gehaltsbänder?
  • Finanz-Tools: Gibt es automatisierte Kreditprüfung, Betrugs-Erkennung, Risikomodelle?
  • Kundenservice: Chatbots, automatische Ticket-Klassifizierung, Sentiment-Analyse?
  • Produktion: Predictive Maintenance, Qualitätskontrolle per Bilderkennung, Prozessoptimierung?

Schritt 2 — Risikoklasse bestimmen (Tag 1–2)

Für jedes inventarisierte System: In welche der vier AI-Act-Risikoklassen fällt es? Die detaillierte Klassifizierungsmethodik mit Annex-III-Kriterien und typischen Fehlern beschreiben wir in unserem separaten Leitfaden zur KI-Verordnung Risikoklassen.

Für den Compliance-Check ist das Ergebnis eine Tabelle: System → Risikoklasse → geltende Pflichten.

Schritt 3 — Pflichten-Abgleich (Tag 2–3)

Welche konkreten Anforderungen gelten für Ihre Risikoklasse als Betreiber? Die vollständige Pflichten-Übersicht mit Fristen finden Sie in unserem Leitfaden zu den EU KI-Verordnung Pflichten für den Mittelstand.

Für den Compliance-Check prüfen wir pro System:

  • Dokumentation: Liegt eine technische Beschreibung vor?
  • Schulung: Sind die Nutzer im Umgang geschult?
  • Monitoring: Gibt es Protokollierung und Vorfallmeldung?
  • Transparenz: Wissen Betroffene, dass KI eingesetzt wird?

Schritt 4 — Gap-Analyse (Tag 3–4)

Der Kern des Checks: Wo stehen Sie heute, wo müssen Sie bis August 2026 sein? Die Gap-Analyse ist eine Matrix — System × Anforderung × Status (erfüllt / teilweise / fehlend). Aus dieser Matrix ergibt sich der Handlungsbedarf direkt.

Typische Lücken im Mittelstand:

  • Kein formales KI-Inventar vorhanden (Lücke bei 80% der geprüften Unternehmen)
  • HR-Tool als Hochrisiko nicht erkannt (Lücke bei 60%)
  • Keine Mitarbeiterschulung zum KI-Einsatz dokumentiert (Lücke bei 90%)
  • Keine Vorfallmeldeprozesse definiert (Lücke bei 95%)

Schritt 5 — Maßnahmenplan erstellen (Tag 4–5)

Der Maßnahmenplan ist das Arbeitsdokument, mit dem Ihr Team die Lücken schließt. Jede Maßnahme hat: Verantwortlichen, Deadline, Ressourcenbedarf, Abhängigkeiten. Die Priorisierung folgt der Logik: Hochrisiko-Systeme zuerst, dann begrenzte Risiken, dann organisatorische Maßnahmen.

Was der Check kostet — und warum er sich rechnet

Ein professioneller AI Act Compliance-Check für ein mittelständisches Unternehmen liegt bei 3.500 € bis 7.000 € je nach Komplexität. Über die BAFA-Beratungsförderung zahlen Sie davon nur 50% (alte Bundesländer) bzw. 20% (neue Bundesländer).

Die Alternative: keine Prüfung, und ab August 2026 das Risiko von Bußgeldern bis 15 Mio. € tragen. Die Rechnung macht sich von selbst.

Wie ST Strategieberatung den Check durchführt

Wir arbeiten mit einem standardisierten Fragebogen, der die Annex-III-Kriterien systematisch abbildet. Das Ergebnis ist kein akademisches Gutachten, sondern ein Arbeitsdokument: KI-Register, Gap-Matrix, Maßnahmenplan. Das Erstgespräch ist kostenlos.

Nach dem Check: Governance dauerhaft verankern

Ein einmaliger Compliance-Check beantwortet die Frage, wo Sie heute stehen. Die Frage, wie Sie die Anforderungen dauerhaft erfüllen, beantwortet ein KI-Governance-Rahmen mit klaren Rollen, Richtlinie und Quartalsüberprüfung. Der Check liefert die Ist-Analyse, die Governance macht daraus einen Regelbetrieb.

Kennzahl
3–5 Beratertage für KMU mit 10–30 KI-Systemen
Zeitaufwand für einen strukturierten AI Act Compliance-Check
Quelle: Projekterfahrung ST Strategieberatung UG (2025)
Kostenlose Potenzialanalyse anfragen Mehr über unsere Methodik
Unser Ansatz

Unser Ansatz für ai act compliance check unternehmen mittelstand

KI-Inventar erstellen
Vollständige Erfassung aller Systeme mit KI-Komponenten — inkl. eingebetteter KI in ERP, CRM und HR-Software. Ergebnis: KI-Systemregister.
Compliance-Gap-Analyse
Für jedes System: Welche Pflichten gelten? Welche Dokumentation fehlt? Welche Fristen laufen? Ergebnis: Lücken-Matrix mit Handlungsbedarf.
Maßnahmenplan mit Prioritäten
Priorisierter Fahrplan: Was muss bis August 2026 erledigt sein? Was hat niedrigere Dringlichkeit? Ergebnis: Umsetzungs-Roadmap mit Verantwortlichkeiten.
FAQ

Häufige Fragen

Ein vollständiger Check umfasst fünf Bereiche: (1) KI-Inventar — welche Systeme setzen Sie ein? (2) Risikoklassifizierung — in welche Kategorie fällt jedes System? Siehe dazu unseren separaten Leitfaden zur KI-Verordnung Risikoklassen. (3) Pflichten-Abgleich — welche Anforderungen gelten für Ihre Risikoklasse? (4) Gap-Analyse — wo fehlen Dokumentation, Prozesse oder Schulungen? (5) Maßnahmenplan — was muss bis wann erledigt werden?

Für ein Unternehmen mit 10 bis 30 KI-Systemen rechnen wir mit 3 bis 5 Beratertagen. Der größte Zeitblock entfällt auf die Inventarisierung — viele Systeme enthalten KI-Komponenten, ohne explizit als KI vermarktet zu werden. Die eigentliche Klassifizierung und der Maßnahmenplan sind dann strukturierte Folgeschritte.

Grundsätzlich ja — die EU stellt Leitfäden für KMU bereit. In der Praxis scheitert die Eigenanalyse aber oft an zwei Punkten: (1) Eingebettete KI in Standardsoftware wird übersehen. (2) Die Grenzfälle zwischen 'begrenztem' und 'hohem' Risiko erfordern juristische und technische Einschätzung. Ein externer Check über die BAFA-Förderung kostet Sie effektiv 1.750 € — das ist günstiger als eine Fehlklassifizierung.

Sie erhalten drei Dokumente: (1) Ein KI-Systemregister mit Risikoklasse pro System. (2) Eine Gap-Analyse mit konkreten Lücken in Dokumentation und Prozessen. (3) Einen priorisierten Maßnahmenplan mit Fristen und Verantwortlichkeiten. Diese Dokumente dienen gleichzeitig als Nachweis gegenüber Aufsichtsbehörden.

Ja. Ein AI Act Compliance-Check ist als Teil einer KI-Strategieberatung über die BAFA-Unternehmensberatungsförderung zu 50% (alte Bundesländer) bzw. 80% (neue Bundesländer) förderbar. Mehr zur BAFA-Förderung finden Sie auf unserer Seite zur BAFA KI-Beratung 2026.

Kostenlose Potenzialanalyse anfragen

Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Datenschutzerklärung

Verwandte Strategien & Insights

compliance

KI-Governance im Mittelstand: Was die EU-KI-Verordnung konkret verlangt und wie Sie sie ohne Rechtsabteilung erfüllen

compliance

KI im Personalwesen rechtssicher einsetzen: DSGVO & AI Act für HR-Verantwortliche

compliance

DSGVO-konforme KI-Einführung im Mittelstand: Rechtssicher automatisieren ohne Datenschutz-Risiko