KI-Audit: 20-Punkte-Checkliste für AI-Act-Konformität

Der AI Act fordert von Anbietern und Betreibern von KI-Systemen ein strukturiertes Compliance-Management. Dieser Leitfaden gibt Ihnen eine praxistaugliche 20-Punkte-Checkliste, um Ihre KI-Systeme systematisch auf Konformität zu prüfen.

Phase 1: KI-Inventar erstellen (Punkte 1–5)

Bevor Sie prüfen können, müssen Sie wissen, was zu prüfen ist.

1. Vollständiges KI-Register

Erfassen Sie jedes KI-System in Ihrem Unternehmen:

| Feld | Beschreibung | |---|---| | Name/Bezeichnung | Interner Name und Produktname | | Anbieter | Hersteller/Entwickler | | Einsatzzweck | Wofür wird das System genutzt? | | Abteilung | Welche Abteilung nutzt es? | | Datenquellen | Welche Daten fließen ein? | | Entscheidungsrelevanz | Trifft das System Entscheidungen über Personen? | | Einführungsdatum | Seit wann im Einsatz? |

2. Rolle bestimmen: Provider oder Deployer

Pro KI-System festlegen:

• ☐ Provider: Sie entwickeln/vertreiben das KI-System
• ☐ Deployer: Sie setzen ein externes KI-System ein
• ☐ Beides: Sie passen ein externes System wesentlich an (dann ggf. Provider-Pflichten)

3. Risikoklasse zuordnen

• ☐ Fällt das System unter ein Verbot (Art. 5)?
• ☐ Ist es ein Hochrisiko-System (Anhang I oder III)?
• ☐ Unterliegt es Transparenzpflichten (Art. 50)?
• ☐ Minimales Risiko (keine spezifischen Pflichten)?

4. GPAI-Einordnung

• ☐ Nutzen Sie General-Purpose-AI-Modelle (ChatGPT, Gemini, Claude)?
• ☐ Haben Sie Zugang zur Dokumentation des GPAI-Anbieters?
• ☐ Verwenden Sie die GPAI innerhalb des bestimmungsgemäßen Gebrauchs?

5. Drittanbieter-Abhängigkeiten

• ☐ Welche KI-Dienste beziehen Sie von Dritten?
• ☐ Sind diese Anbieter EU-ansässig oder haben einen EU-Bevollmächtigten?
• ☐ Stellen die Anbieter die notwendige Dokumentation bereit?

Phase 2: Governance und Organisation (Punkte 6–10)

6. KI-Verantwortlicher benannt

• ☐ Eine Person oder Rolle ist für KI-Compliance verantwortlich
• ☐ Berichtsweg an die Geschäftsleitung definiert
• ☐ Budget für KI-Compliance vorhanden

7. KI-Richtlinie vorhanden

• ☐ Unternehmensweite KI-Nutzungsrichtlinie existiert
• ☐ Erlaubte und verbotene Nutzungen definiert
• ☐ Freigabeprozess für neue KI-Tools etabliert
• ☐ Regelmäßig aktualisiert (mindestens jährlich)

8. KI-Kompetenz (Art. 4)

• ☐ Schulungsprogramm existiert
• ☐ Alle relevanten Mitarbeiter geschult
• ☐ Schulungen dokumentiert (Teilnehmer, Datum, Inhalt)
• ☐ Regelmäßige Auffrischungen geplant

9. Menschliche Aufsicht

• ☐ Für Hochrisiko-KI: Qualifiziertes Aufsichtspersonal benannt
• ☐ Eskalationsprozesse definiert (wann greift ein Mensch ein?)
• ☐ Aufsichtspersonal versteht Funktionsweise und Grenzen des Systems

10. Incident-Management

• ☐ Meldeprozess für KI-Fehlfunktionen definiert
• ☐ Dokumentation von Vorfällen (Bias, Fehlentscheidungen, Ausfälle)
• ☐ Bei schwerwiegenden Vorfällen: Meldepflicht an Behörden bekannt

Phase 3: Technische Prüfung (Punkte 11–15)

11. Daten-Governance

• ☐ Trainingsdaten dokumentiert (bei Provider-Rolle)
• ☐ Eingabedaten-Qualität sichergestellt (bei Deployer-Rolle)
• ☐ Datenschutz-konform (DSGVO, DSFA bei Hochrisiko)
• ☐ Keine diskriminierenden Datensätze

12. Bias und Fairness

• ☐ Regelmäßige Bias-Prüfung durchgeführt
• ☐ Ergebnisse dokumentiert
• ☐ Maßnahmen bei erkanntem Bias definiert
• ☐ Diverse Testdaten verwendet

13. Robustheit und Cybersicherheit

• ☐ Adversariale Tests durchgeführt (bei Provider-Rolle)
• ☐ Zugriffsschutz auf KI-Systeme implementiert
• ☐ Logging und Monitoring aktiv
• ☐ Schutz gegen Manipulation der Eingabedaten

14. Genauigkeit und Leistung

• ☐ Leistungskennzahlen definiert und gemessen
• ☐ Akzeptable Fehlerquoten festgelegt
• ☐ Regelmäßige Leistungsüberprüfung
• ☐ Schwellenwerte für Alarm/Abschaltung definiert

15. Transparenz und Erklärbarkeit

• ☐ Für Nutzer: Verständliche Erklärung der KI-Funktionsweise
• ☐ Für Betroffene: Information über KI-gestützte Entscheidungen
• ☐ Für Chatbots: KI-Kennzeichnung implementiert
• ☐ Für generierte Inhalte: Kennzeichnung als KI-erstellt

Phase 4: Dokumentation und Compliance (Punkte 16–20)

16. Technische Dokumentation

Für Provider von Hochrisiko-KI:

| Dokument | Inhalt | |---|---| | Systembeschreibung | Zweck, Funktionsweise, Grenzen | | Risikomanagement | Identifizierte Risiken und Maßnahmen | | Daten-Dokumentation | Trainings-/Validierungsdaten, Qualitätskriterien | | Leistungskennzahlen | Genauigkeit, Fehlerquoten, Bias-Metriken | | Gebrauchsanweisung | Bestimmungsgemäße Verwendung, Einschränkungen |

17. Aufzeichnungspflichten

• ☐ Automatische Logs aktiv (bei Hochrisiko-KI)
• ☐ Aufbewahrungsfrist definiert (mindestens 6 Monate)
• ☐ Logs vor Manipulation geschützt
• ☐ Zugriff auf Logs geregelt

18. Konformitätsbewertung

Für Provider von Hochrisiko-KI:

• ☐ Selbstbewertung durchgeführt ODER
• ☐ Drittbewertung durch benannte Stelle
• ☐ Konformitätserklärung ausgestellt
• ☐ CE-Kennzeichnung angebracht

19. EU-Datenbank-Registrierung

• ☐ Hochrisiko-KI in der EU-Datenbank registriert (Provider-Pflicht)
• ☐ Deployer: Eigene Registrierung als Betreiber (bei bestimmten Hochrisiko-Systemen)

20. Kontinuierliche Verbesserung

• ☐ Jährlicher Audit-Zyklus geplant
• ☐ Änderungsmanagement für KI-Systeme definiert
• ☐ Regulatorische Entwicklungen überwacht
• ☐ Lessons Learned aus Vorfällen integriert

Audit-Bewertungsmatrix

| Punkte erreicht | Bewertung | Handlungsbedarf | |---|---|---| | 18–20 | Exzellent | Regelmäßiges Monitoring | | 14–17 | Gut | Gezielte Verbesserungen | | 10–13 | Ausreichend | Systematische Nachbesserung | | 6–9 | Mangelhaft | Dringender Handlungsbedarf | | < 6 | Kritisch | Sofortprogramm erforderlich |

Priorisierung nach Risiko

Nicht jeder Punkt hat die gleiche Dringlichkeit:

Sofort (Pflicht seit 02/2025)

• KI-Inventar (Punkt 1)
• Risikoklassifizierung (Punkt 3)
• KI-Kompetenz-Schulungen (Punkt 8)
• Verbotene Systeme identifizieren und abstellen (Punkt 3)

Bis August 2026

• Alle Governance-Punkte (6–10)
• Technische Prüfung für Hochrisiko (11–15)
• Transparenzpflichten umsetzen (15)

Laufend

• Monitoring und Dokumentation (16–20)
• Jährliche Audits

Werkzeuge und Ressourcen

| Ressource | Nutzen | |---|---| | ALTAI (Assessment List for Trustworthy AI) | Fragebogen der EU-Kommission für Selbstbewertung | | BSI AIC4 | Prüfkatalog für KI-Systeme des BSI | | ISO/IEC 42001 | Managementsystem für KI (zertifizierbar) | | NIST AI RMF | Risikomanagement-Framework (US, ergänzend) |

Fazit

Ein KI-Audit nach dem AI Act ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Beginnen Sie mit dem Inventar und der Risikoklassifizierung — das verschafft Ihnen Überblick und Handlungsfähigkeit. Die 20 Punkte dieser Checkliste bieten eine strukturierte Grundlage für Ihre KI-Compliance.

Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.