Compliance-Checkliste
EU AI Act: 23-Punkte Technische Compliance-Checkliste
Eine praktische, technische Checkliste für Engineering- und Compliance-Teams zur Vorbereitung auf die Durchsetzung des EU AI Act am 2. August 2026. Umfasst Entscheidungsprotokollierung, Identitätstrennung, Prüfpfade, Datengovernance und menschliche Aufsicht.
Kategorie 1: Entscheidungsprotokollierung & Herkunftsnachweis (Art. 12)
1.KI-Entscheidungen werden mit strukturierten Metadaten erfasst (Modell, Eingaben, Ausgaben, Konfidenz)
2.Entscheidungsaufzeichnungen sind kryptographisch signiert (Ed25519 oder äquivalent)
3.Aufzeichnungen sind verkettet (Hash-Kette), um Manipulation zu verhindern
4.Unabhängige Zeitstempel von externer TSA (RFC 3161)
5.Entscheidungsaufzeichnungen werden für die regulatorische Mindestaufbewahrungsdauer des Systems aufbewahrt
Kategorie 2: Menschliche Aufsicht (Art. 14)
6.Autorisiertes Personal kann Entscheidungsaufzeichnungen auf Anforderung einsehen
7.Entscheidungsaufzeichnungen enthalten ausreichend Kontext, um die Entscheidungsfindung der KI nachzuvollziehen
8.Mechanismen zur menschlichen Übersteuerung existieren für Hochrisiko-Entscheidungen
9.Überwachungsschnittstellen stehen Datenschutzbeauftragten zur Verfügung (nicht nur Entwicklern)
10.Der Prüfpfad verknüpft Entscheidungen mit den Personen, die sie überprüft haben
Kategorie 3: Identitätstrennung & Datenminimierung (Art. 10, DSGVO Art. 25)
11.Personenbezogene Daten werden vor der KI-Verarbeitung erkannt (automatisiert, nicht manuell)
12.Identitätsdaten werden auf Infrastrukturebene von der KI-Inferenz getrennt
13.KI-Modelle können nicht auf Identitätsdaten zugreifen (netzwerktechnisch durchgesetzt, nicht richtlinienbasiert)
14.Pseudonyme Token ersetzen Identitätsdaten in der KI-Verarbeitung
15.Rückverknüpfung erfordert einen expliziten Autorisierungs-Workflow
Kategorie 4: Datengovernance (Art. 10)
16.KI-Trainingsdaten sind inventarisiert und dokumentiert
17.Operative Datenflüsse sind kartiert und klassifiziert
18.Datenaufbewahrungs- und Löschrichtlinien werden technisch durchgesetzt
19.Grenzüberschreitende Datenübertragungen werden nachverfolgt und sind konform
20.Datenqualitätsprüfungen werden vor der KI-Verarbeitung durchgeführt
Kategorie 5: Verifizierung & Prüfung (Art. 15, Art. 61)
21.Compliance kann unabhängig verifiziert werden (nicht selbst gemeldet)
22.Zertifikate oder Attestierungen stehen Prüfern zur Verfügung
23.Regelmäßige Compliance-Tests sind automatisiert (nicht jährliche manuelle Überprüfung)
Diese Checkliste basiert auf der Interpretation der EU-AI-Act-Anforderungen für Hochrisiko-KI-Systeme durch die Plattform The Veil. Sie stellt keine Rechtsberatung dar. Konsultieren Sie Ihr Rechtsteam für jurisdiktionsspezifische Hinweise.
Als PDF herunterladen — E-Mail-Adresse eingeben
Oder direkt herunterladen