KI-Compliance Checkliste für den Mittelstand

KI-Compliance klingt nach Großkonzern und Rechtsabteilung. Für die meisten Mittelständler lässt sich der Einstieg aber in acht überschaubaren Schritten erledigen. Gehen Sie die folgende Liste einmal durch. Wo Sie ein Nein ankreuzen, haben Sie Ihren nächsten Handlungspunkt.

Schritt 1. KI-Inventar erstellen

Verschaffen Sie sich einen Überblick über alle KI-Anwendungen im Unternehmen. Dazu gehört auch die versteckte KI in Standardsoftware wie Microsoft Copilot oder SAP und die sogenannte Schatten-KI, also Tools wie ChatGPT, die einzelne Mitarbeitende auf eigene Faust nutzen.

Selbstprüfung: Haben wir ein vollständiges Verzeichnis aller genutzten KI-Anwendungen?

Schritt 2. Rolle bestimmen

Klären Sie je System, ob Sie Betreiber oder Anbieter sind. Wer fertige Lösungen einkauft und nutzt, ist in der Regel Betreiber. Wer KI wesentlich verändert oder unter eigenem Namen weitervertreibt, kann zum Anbieter werden.

Selbstprüfung: Ist bei jedem Tool geklärt, ob wir Betreiber oder Anbieter sind?

Schritt 3. Risikoklasse einordnen und Verbotenes stoppen

Ordnen Sie jedes System einer der vier Risikoklassen zu. Verbotene Anwendungen wie Emotionserkennung am Arbeitsplatz müssen sofort abgeschaltet werden. Wie die Einordnung funktioniert, erklärt der Artikel zu den AI Act Risikoklassen.

Selbstprüfung: Haben wir verbotene Systeme gestoppt und alle anderen einer Klasse zugeordnet?

Schritt 4. Mitarbeitende schulen

Seit Februar 2025 verlangt Art. 4, dass alle Personen, die mit KI arbeiten, über ausreichende KI-Kompetenz verfügen. Mehr dazu im Artikel zur KI-Schulungspflicht.

Selbstprüfung: Können wir nachweisen, dass unsere Belegschaft im Umgang mit KI geschult ist?

Schritt 5. Transparenzpflichten umsetzen

Wenn Kunden mit einem Chatbot sprechen, müssen sie das wissen. Wenn Sie mit KI Inhalte für die Öffentlichkeit erstellen, sind diese als künstlich erzeugt zu kennzeichnen. Diese Pflichten gelten ab dem 2. August 2026.

Selbstprüfung: Wissen Nutzer und Kunden, wann sie mit unserer KI interagieren?

Schritt 6. Interne KI-Richtlinie aufsetzen

Reine Verbote wirken selten. Besser ist ein kurzer Leitfaden mit klaren Dos und Don'ts. Eine bewährte Faustregel lautet, dass niemals personenbezogene Daten oder Geschäftsgeheimnisse in öffentliche, kostenlose KI-Tools eingegeben werden.

Selbstprüfung: Gibt es schriftliche Verhaltensregeln für den Umgang mit KI?

Schritt 7. Datenschutz verzahnen

Der AI Act ersetzt nicht die DSGVO, beide gelten parallel. Stimmen Sie KI-Prozesse mit dem Datenschutz ab. Prüfen Sie die Rechtsgrundlage für die Datenverarbeitung und bei kritischen Anwendungen die Notwendigkeit einer Datenschutz-Folgenabschätzung.

Selbstprüfung: Sind unsere KI-Prozesse mit dem Datenschutz abgestimmt?

Schritt 8. Dokumentieren

Wenn die Behörde nachfragt, zählt nur, was schriftlich vorliegt. Dokumentieren Sie das KI-Inventar, die Risikobewertungen, die Schulungsnachweise und die getroffenen Maßnahmen.

Selbstprüfung: Können wir unsere Compliance-Schritte einer Behörde auf Nachfrage vorlegen?

So nutzen Sie diese Liste

Arbeiten Sie die acht Schritte der Reihe nach ab. Schon Schritt 1 und Schritt 4 bringen die meisten Unternehmen einen großen Sprung weiter. Eine fertige Vorlagensammlung dafür bietet unser KI-Compliance-Kit.

Häufige Fragen

Müssen wir für KI-Compliance eine eigene Abteilung aufbauen?
Nein. Für die meisten Mittelständler genügt ein strukturiertes Vorgehen mit bestehenden Ressourcen, gegebenenfalls mit externer Unterstützung.
Wo fangen wir am besten an?
Mit dem KI-Inventar in Schritt 1 und der Schulung in Schritt 4. Beide adressieren die Pflichten, die heute schon gelten.
Brauchen wir für die Schulung ein Zertifikat?
Nein. Vorgeschrieben ist ein angemessenes Kompetenzniveau, nachweisbar dokumentiert. Ein Zertifikat kann den Nachweis erleichtern, ist aber nicht Pflicht.
Gilt diese Checkliste auch ohne Hochrisiko-KI?
Ja. Die Schritte 1, 4, 5, 6, 7 und 8 sind für nahezu jedes Unternehmen relevant, auch wenn keine Hochrisiko-KI im Einsatz ist.
Reicht die Checkliste als Nachweis gegenüber Behörden?
Sie ist eine gute Arbeitsgrundlage. Den eigentlichen Nachweis liefert erst die Dokumentation der tatsächlich umgesetzten Schritte.

Sie wollen die acht Schritte nicht allein gehen. Als externer KI-Beauftragter arbeiten wir die Liste mit Ihnen ab und bringen das Ergebnis in eine prüfungsfeste Form.

Externer KI-Beauftragter ansehen

Binarsolve erbringt keine Rechtsberatung im Sinne des RDG. Unsere Einordnungen sind eine betriebliche Arbeitsgrundlage und ersetzen keine juristische Einzelfallprüfung.