eu-konform.ai
← Alle Artikel | Compliance

AI Act Audit – So bereiten Sie sich auf die erste Prüfung vor

AI Act Audit ab Dezember 2027 (Frist verschoben durch Digital Omnibus): Erfahren Sie, wie Sie sich vorbereiten und die Konformitätsprüfung für Hochrisiko-KI bestehen.

eu-konform.ai Redaktion · · 8 Min. Lesezeit

Ab Dezember 2027 sind die ersten vollständigen Konformitätsprüfungen für Hochrisiko-KI fällig (verschoben durch den Digital Omnibus) – und die meisten Unternehmen im DACH-Raum wissen noch nicht, was ein AI Act Audit konkret bedeutet. Die gute Nachricht: Wer heute mit der Vorbereitung beginnt, hat noch ausreichend Zeit, um die Prüfung souverän zu bestehen. Die schlechte Nachricht: „Wir nutzen KI nur intern” schützt vor der Prüfpflicht nicht.

Dieser Artikel erklärt, wie ein AI Act Audit abläuft, welche fünf Bereiche Prüfer besonders unter die Lupe nehmen – und wie Sie Ihr Unternehmen Schritt für Schritt prüfungsreif machen.


Was „AI Act Audit” überhaupt bedeutet

Der Begriff Audit ist im AI Act selbst nicht einheitlich definiert. In der Praxis meinen Unternehmen damit zwei verschiedene Szenarien:

  1. Konformitätsbewertung (Conformity Assessment): Das ist das formale Verfahren nach AI Act, mit dem ein Anbieter nachweist, dass sein Hochrisiko-KI-System die gesetzlichen Anforderungen erfüllt. Je nach System erfolgt das als Selbstbewertung oder durch eine externe, notifizierte Stelle.

  2. Marktüberwachungsprüfung: Nationale Marktüberwachungsbehörden (in Deutschland voraussichtlich die Bundesnetzagentur) können anlasslos oder auf Beschwerde hin prüfen, ob Anbieter und Betreiber ihre Pflichten einhalten.

Für KMUs, die KI-Systeme einsetzen, aber nicht selbst entwickeln, steht vor allem das zweite Szenario im Vordergrund: Sind die Betreiberpflichten dokumentiert und umgesetzt? Dieser Artikel fokussiert auf genau diese Praxis-Perspektive.

Wichtiger Hinweis vorab: Welche Pflichten Sie konkret treffen, hängt davon ab, ob Sie Anbieter (entwickelt, vertreibt) oder Betreiber (setzt ein) eines KI-Systems sind – und in welche Risikoklasse Ihr System fällt.


Die zwei Wege zur Konformität bei Hochrisiko-KI

Selbstbewertung durch den Anbieter

Für die Mehrheit der Hochrisiko-KI-Systeme nach Annex III ist eine interne Konformitätsbewertung zulässig. Der Anbieter prüft eigenverantwortlich, ob sein System alle Anforderungen der Artikel 9–15 des AI Act erfüllt, erstellt die technische Dokumentation und stellt eine EU-Konformitätserklärung aus.

Das klingt einfacher als es ist: Die Dokumentationsanforderungen sind umfangreich, und im Fall einer Behördenprüfung müssen alle Unterlagen auf Abruf vorliegen.

Externe Prüfung durch notifizierte Stellen

Für bestimmte Hochrisiko-Systeme – insbesondere KI in biometrischer Identifizierung und sicherheitskritischen Infrastrukturbereichen – schreibt der AI Act die Einschaltung einer unabhängigen, notifizierten Prüfstelle vor. Diese Stellen (vergleichbar mit TÜV-Organisationen im Produktsicherheitsrecht) führen dann die eigentliche Konformitätsprüfung durch.

Für die meisten KMUs im DACH-Raum ist dieser Weg zunächst nicht relevant – entscheidend ist die saubere Selbstbewertung plus Dokumentation.


Die fünf Prüfbereiche, die Prüfer zuerst anschauen

Ein AI Act Audit ist im Kern eine Dokumenten- und Systemnachweispflicht. Prüfer folgen dabei einer klaren Logik: Gibt es ein Risikomanagementsystem? Ist es gelebt? Lässt sich das nachweisen?

1. Risikomanagementsystem (Art. 9)

Das Herzstück jedes Compliance-Nachweises. Art. 9 verlangt ein iteratives Risikomanagementsystem über den gesamten Lebenszyklus eines Hochrisiko-KI-Systems. Geprüft wird:

  • Existiert ein dokumentierter Risikomanagementprozess?
  • Wurden Risiken identifiziert, bewertet und gemindert?
  • Wird das System nach Updates oder Änderungen neu bewertet?
  • Gibt es Restrisiken, die bewusst akzeptiert wurden – und ist das begründet?

Typischer Fehler: Ein einmaliges Risikoassessment beim Systemkauf, das nie aktualisiert wurde. Prüfer schauen auf Datumsangaben und Versionshistorien.

2. Technische Dokumentation (Art. 11)

Art. 11 in Verbindung mit Anhang IV definiert, was die technische Dokumentation enthalten muss. Für Betreiber, die keine eigene KI entwickeln, gilt: Sie müssen die Dokumentation vom Anbieter einfordern und für Behörden bereithalten.

Checkliste für die Prüfung:

  • Beschreibung des Systems und seiner Zweckbestimmung
  • Leistungskennzahlen und Genauigkeitswerte
  • Datenherkunft und -qualität
  • Änderungshistorie und Versionsstand
  • Konformitätserklärung des Anbieters

Praxistipp: Legen Sie diese Dokumente nicht im E-Mail-Postfach ab. Ein strukturiertes KI-Register – wie in unserem Leitfaden zum KI-Inventar beschrieben – macht die Dokumentation auf Knopfdruck abrufbar.

3. Datenverwaltung und Datenqualität (Art. 10)

Art. 10 ist einer der technisch anspruchsvollsten Artikel des AI Act. Er verlangt, dass Trainingsdaten, Validierungsdaten und Testdaten bestimmte Qualitätskriterien erfüllen – frei von Fehlern, repräsentativ, nicht diskriminierend.

Für Betreiber bedeutet das konkret: Nachweisen, dass Sie beim Anbieter nach der Datenbasis gefragt haben, und dokumentieren, dass das System in Ihrem spezifischen Einsatzkontext auf geeigneten Daten basiert.

Prüfer fragen hier auch nach der Schnittstelle zum Datenschutz: Wenn personenbezogene Daten im Spiel sind, gehört eine Datenschutz-Folgenabschätzung (DSFA) zur Pflichtdokumentation.

4. Transparenz und Nutzerinformation (Art. 13)

Art. 13 fordert, dass Hochrisiko-KI-Systeme so transparent gestaltet sind, dass Betreiber ihre Ausgaben verstehen und richtig interpretieren können. In der Prüfung bedeutet das:

  • Gibt es eine verständliche Gebrauchsanweisung (Instructions for Use)?
  • Werden Betreiber über Einschränkungen, Versagensfälle und Unsicherheiten informiert?
  • Ist dokumentiert, für welche Zwecke das System nicht geeignet ist?

Ein häufiger Audit-Befund: Die Gebrauchsanweisung liegt auf Englisch vor, wird aber von deutschen Mitarbeitern ohne ausreichende Sprachkenntnisse genutzt. Der AI Act sieht ausdrücklich vor, dass Informationen in der Sprache bereitgestellt werden, die Betreiber tatsächlich verstehen.

5. Menschliche Aufsicht (Art. 14)

Art. 14 ist das Prinzip, das viele KI-Projekte in der Praxis am stärksten verändert. Jedes Hochrisiko-KI-System muss so konzipiert sein, dass Menschen die Ausgaben effektiv überwachen, eingreifen und das System notfalls abschalten können.

Was Prüfer sehen wollen:

  • Gibt es benannte Personen mit klarer Aufsichtsfunktion?
  • Werden diese Personen regelmäßig geschult? (Verbindung zur KI-Kompetenz nach AI Act)
  • Gibt es einen dokumentierten Eskalationsprozess?
  • Kann das System bei kritischen Fehlern innerhalb definierter Zeit gestoppt werden?

Typische Audit-Findings: Was wirklich schiefgeht

Aus der bisherigen Praxis von Konformitätsbewertungen in anderen regulierten Bereichen (Medizinprodukte, Finanzaufsicht) lassen sich typische Muster ableiten:

FindingHäufigkeitKonsequenz
Fehlende oder veraltete technische DokumentationSehr häufigNicht-Konformität, Nachdokumentationspflicht
Kein nachweisbares RisikomanagementsystemHäufigSchwerwiegendes Finding, Fristsetzung
Menschliche Aufsicht auf dem Papier, nicht in der PraxisHäufigProzessanpassung erforderlich
KI-Schulung nicht nachweisbarMittelFristsetzung für Nachschulung
DSFA fehlt trotz personenbezogener DatenMittelKoordination mit Datenschutzbehörde
Anbieterdokumentation nicht eingeholtMittelNachhol-Pflicht, ggf. Vertragsanpassung

Was ein Audit nicht ist: Eine einmalige Momentaufnahme, nach der man sich zurücklehnen kann. Compliance ist ein laufender Prozess – Prüfer schauen explizit auf Revisionszyklen und Update-Protokolle.


Ihr 12-Wochen-Fahrplan zur Audit-Bereitschaft

Wenn Sie heute starten, können Sie in drei Monaten prüfungsbereit sein. Der Weg gliedert sich in vier Phasen:

Phase 1: Inventar (Wochen 1–2)

Bevor Sie dokumentieren, müssen Sie wissen, was Sie dokumentieren. Erstellen Sie ein vollständiges KI-Inventar aller Systeme im Unternehmen. Fragen Sie pro System:

  • Wer ist Anbieter, wer Betreiber?
  • Für welchen Zweck wird das System eingesetzt?
  • Fällt es unter eine der Hochrisiko-Kategorien nach Annex III?
  • Werden personenbezogene Daten verarbeitet?

Unser Leitfaden zum KI-Inventar gibt Ihnen eine fertige Struktur dafür.

Phase 2: Lückenanalyse (Wochen 3–5)

Gleichen Sie Ihren Ist-Stand mit den gesetzlichen Anforderungen ab. Prüfen Sie für jedes Hochrisiko-System:

  • Liegt die technische Dokumentation des Anbieters vor?
  • Gibt es ein dokumentiertes Risikoassessment?
  • Sind Aufsichtspersonen benannt und geschult?
  • Ist eine DSFA erstellt (falls relevant)?

Dieser Schritt macht die eigentliche Arbeit sichtbar – und erlaubt eine realistische Priorisierung.

Phase 3: Dokumentation und Prozesse (Wochen 6–9)

Schließen Sie die identifizierten Lücken. Das bedeutet konkret:

  • Risikomanagementprozess aufsetzen oder formalisieren, Verantwortliche benennen
  • Technische Dokumentation vom Anbieter einfordern, fehlende Teile nachverhandeln
  • Schulungsnachweis für alle Personen mit KI-Aufsichtsfunktion dokumentieren
  • Betriebshandbücher und Eskalationsprozesse schriftlich fixieren

Für Unternehmen, die mehrere KI-Tools einsetzen: Priorisieren Sie nach Risiko. Beginnen Sie mit den Systemen, die Entscheidungen mit rechtlichen oder erheblich wirtschaftlichen Wirkungen unterstützen.

Phase 4: Interne Testprüfung (Wochen 10–12)

Führen Sie einen internen Mock-Audit durch: Eine Person, die nicht täglich mit dem Thema befasst ist, geht durch die Dokumentation und prüft, ob sie die regulatorischen Fragen beantworten kann – ohne telefonieren zu müssen.

Klassische Prüffragen für den Mock-Audit:

  • „Zeigen Sie mir das aktuelle Risikoassessment für System X.”
  • „Wer ist verantwortlich für die Aufsicht über dieses System?”
  • „Wann wurde diese Person zuletzt geschult? Wo ist das belegt?”
  • „Was passiert, wenn das System eine fehlerhafte Ausgabe produziert?”

Können diese Fragen innerhalb von 15 Minuten mit Belegen beantwortet werden? Dann sind Sie prüfungsbereit.


Was mit den Bußgeldern passiert, wenn Sie nicht prüfungsbereit sind

Der AI Act sieht bei Verstößen gegen die Anforderungen für Hochrisiko-KI-Systeme Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes vor (es gilt der höhere Betrag). Für KMUs gibt es Verhältnismäßigkeitsregeln – aber das bedeutet nicht, dass die Pflichten entfallen.

Eine detaillierte Übersicht der Bußgeldtatbestände finden Sie in unserem Artikel AI Act Bußgelder – Was Unternehmen wirklich droht.

Wichtig: Sanktionen setzen nicht erst bei einem Audit an. Schon das Fehlen der erforderlichen Dokumentation zum gesetzlichen Stichtag kann eine Ordnungswidrigkeit darstellen.


Audit und DSGVO: Zwei Pflichten, eine Dokumentation

Viele Unternehmen stellen fest, dass sich AI Act Compliance und DSGVO-Dokumentation erheblich überschneiden. Wer bereits eine DSFA erstellt hat, hat wesentliche Teile der technischen Dokumentation schon erarbeitet. Wer ein Verarbeitungsverzeichnis führt, kennt seine KI-Systeme bereits.

Die kluge Strategie: Nicht zwei parallele Compliance-Silos aufbauen, sondern eine integrierte Dokumentation. Unser Artikel zu den Unterschieden zwischen AI Act und DSGVO zeigt, wo die Strukturen ineinandergreifen.


Fazit: Wer sich jetzt vorbereitet, hat den Vorteil

Ein AI Act Audit ist kein Zufallsereignis – er kommt, sobald Marktüberwachungsbehörden operativ sind. Die Frage ist nicht ob, sondern wann Ihr Unternehmen in den Fokus gerät. Und: Mit welchem Stand werden Sie dann angetroffen?

Die Vorbereitung ist machbar. Sie erfordert kein juristisches Sonderteam, aber sie erfordert Struktur, Zuständigkeiten und Konsequenz. Wer heute ein KI-Inventar hat, ein Risikomanagementsystem führt und Schulungsnachweise dokumentiert, ist in einer Position, die anderen fehlen wird.

Der wichtigste erste Schritt: Wissen, welche Ihrer KI-Systeme überhaupt unter die verschärften Pflichten fallen.


Wissen Sie, welche KI-Systeme in Ihrem Unternehmen als Hochrisiko eingestuft werden? Der kostenlose Risiko-Check von eu-konform.ai gibt Ihnen in unter 10 Minuten eine strukturierte Einschätzung Ihres AI Act Status – inklusive konkreter nächster Schritte für die Audit-Vorbereitung.

Jetzt Risiko-Check starten →

Ist Ihr KI-Einsatz konform?

Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.

Jetzt prüfen