Selbsttest

EU-AI-Act-Selbsttest für Unternehmen

Der EU AI Act ist keine Empfehlung, sondern geltendes Recht. Aber er ist nur die eine Hälfte der KI-Compliance: Er regelt das System, die DSGVO regelt die Daten, die hineinlaufen. Dieser Selbsttest zeigt deshalb beides — AI-Act-Einstufung und eine schnelle Datenschutz-Ampel für KI-Nutzung.

26 Fragen
7+1 Dimensionen
2 Signale
Rahmen

Was dieser Test misst

Ein hoher Score heißt nicht, dass Sie „fertig“ sind. Er heißt, dass die Grundpflichten operationalisiert sind. Ein niedriger Score heißt umgekehrt nicht Panik, sondern: Klarheit schaffen, Prioritäten setzen, juristisch absichern — in dieser Reihenfolge. Achtung: Viele potenzielle KI-Fehltritte sind keine AI-Act-Verstöße, sondern DSGVO-Verstöße mit KI-Tools.

Anwendbarkeit & Rolle

Fallen Sie überhaupt unter den AI Act, und in welcher Rolle — Anbieter, Betreiber, Importeur oder Händler? Die Rolle bestimmt, welche Pflichten greifen.

Inventar & Risikoklassifizierung

Haben Sie alle eingesetzten KI-Systeme erfasst — inklusive eingebetteter KI in Drittanwendungen — und sauber nach Risikoklassen eingeordnet?

Verbotene Praktiken (Art. 5)

Emotionserkennung am Arbeitsplatz, Social Scoring, manipulative Techniken — seit 2025 scharf, mit der höchsten Sanktionsstufe. Sicher ausgeschlossen?

Hochrisiko-Pflichten (Anhang III)

Risikomanagement, Datenqualität, technische Dokumentation, Logging, menschliche Aufsicht — wenn Ihre Systeme in Anhang-III-Bereiche fallen, greifen die schärfsten operativen Pflichten.

Transparenz & Kennzeichnung (Art. 50)

Erkennen Nutzer Ihre Chatbots als KI, kennzeichnen Sie KI-generierte Inhalte — und informieren Sie bei Emotionserkennung oder biometrischer Kategorisierung?

AI-Literacy & Organisation (Art. 4)

Befähigung statt einmaliger Schulung, klare Verantwortlichkeiten, funktionierender Prozess für Vorfallmeldungen — Pflicht seit Februar 2025.

GPAI & Drittanbieter

Welche Foundation Models stecken in Ihren Systemen — auch indirekt über SaaS? Regeln Ihre Verträge, was Sie zur Erfüllung Ihrer Betreiberpflichten brauchen?

DSGVO bei KI-Nutzung

Welche personenbezogenen Daten fließen in KI-Tools, auf welcher Grundlage, mit welcher Anbieterbindung — und mit welchem Risiko für Drittlandtransfer oder unkontrollierte Weiterverwendung?

Selbsttest

26 Fragen für eine ehrliche Standortbestimmung

Bewerten Sie jede Aussage mit Nein, Teilweise oder Ja. Der Test berechnet daraus ein AI-Act-Profil und eine getrennte DSGVO-Ampel für KI-Nutzung.

0 Nein
1 Teilweise
2 Ja
Hinweis vor dem Start: Dieser Selbsttest ist keine Rechtsberatung und kein Datenschutz-Audit. Er unterstützt die Standortbestimmung, ersetzt aber keine juristische Prüfung durch qualifizierte Beratung. Für rechtsverbindliche Bewertungen — insbesondere zur Einstufung Ihrer Systeme, zu Konformitätsbewertungen, Rechtsgrundlagen, Auftragsverarbeitung und Drittlandtransfers — ziehen Sie spezialisierte Beratung hinzu.
Anwendbarkeit & Rolle

Diese Fragen klären, ob Ihr Unternehmen unter den AI Act fällt — und in welcher Rolle. Die Rolle bestimmt, welche Pflichten überhaupt gelten.

1. Wir haben geprüft, ob wir im Sinne des AI Act Anbieter, Betreiber, Importeur oder Händler sind — und für welche Systeme in welcher Rolle.

2. Wir kennen die extraterritoriale Reichweite: auch KI-Ausgaben, die in der EU verwendet werden, können Pflichten auslösen — unabhängig vom Firmensitz.

3. Bei jeder Eigenentwicklung oder wesentlichen Anpassung eines KI-Systems prüfen wir bewusst, ob wir damit vom Betreiber zum Anbieter werden.

Inventar & Risikoklassifizierung

Ohne Inventar keine Compliance. Diese Dimension prüft, ob Sie wissen, welche KI-Systeme im Haus sind — und wie sie regulatorisch einzuordnen sind.

4. Wir haben ein aktuelles Inventar aller eingesetzten KI-Systeme, inklusive eingebetteter KI in Drittanwendungen (z. B. Office-Suiten, CRM, Recruiting-Tools).

5. Jedes System ist nach Risikoklasse eingeordnet (verboten / hochrisiko / begrenzt-transparenzpflichtig / minimal) und die Einordnung ist begründet dokumentiert.

6. Wir haben einen definierten Prozess, wie neue KI-Systeme vor Einführung klassifiziert werden — nicht erst im Nachhinein.

Verbotene Praktiken (Art. 5)

Rechtlich verboten seit 2. Februar 2025, sanktionsbewehrt durch nationale Behörden seit August 2025 — mit der höchsten Sanktionsstufe (bis 35 Mio. € oder 7 % weltweiter Jahresumsatz). Hier gibt es kein „teilweise" — entweder sicher ausgeschlossen oder akutes juristisches Risiko.

7. Wir setzen keine Systeme ein, die Emotionen am Arbeitsplatz oder in Bildungseinrichtungen auswerten — und haben das aktiv geprüft, auch in eingekauften Tools.

8. Wir betreiben kein Social Scoring und keine biometrische Kategorisierung nach sensiblen Merkmalen (z. B. Ethnie, politische Meinung, Gewerkschaftszugehörigkeit).

9. Wir nutzen keine Systeme, die Schutzbedürftigkeit (Alter, Behinderung, soziale Lage) zur Verhaltensbeeinflussung ausnutzen oder manipulative Techniken unterhalb der Bewusstseinsschwelle einsetzen.

Hochrisiko-Pflichten (Anhang III)

Wenn Sie Systeme in Anhang-III-Bereichen einsetzen — HR/Recruiting, Kreditwürdigkeit, kritische Infrastruktur, Biometrie, Bildung — greifen die schärfsten operativen Pflichten.

10. Für Hochrisiko-Systeme haben wir ein dokumentiertes Risikomanagement, das den Lebenszyklus abdeckt (nicht nur ein einmaliges Assessment).

11. Menschliche Aufsicht ist nicht nur beschrieben, sondern operativ wirksam: benannte Personen können Entscheidungen überprüfen, korrigieren und den Betrieb stoppen.

12. Wir erfüllen die Pflichten für unsere Rolle: als Anbieter halten wir technische Dokumentation (Anhang IV), Datenqualitätsnachweise (Art. 10) und automatisches Logging (Art. 12) vor; als Betreiber nutzen wir die Systeme nach Anleitung, sichern menschliche Aufsicht, überwachen den Betrieb, bewahren Logs im Rahmen unserer Kontrolle auf und melden schwerwiegende Vorfälle (Art. 26).

Transparenz & Kennzeichnung (Art. 50)

Gilt auch für Systeme unterhalb der Hochrisiko-Schwelle. Praktisch relevant vor allem bei Chatbots, Bildgeneratoren und Deepfake-fähigen Werkzeugen.

13. Nutzer unserer Chatbots und Sprachagenten erkennen klar, dass sie mit einer KI interagieren — ohne nachschauen zu müssen.

14. Synthetische oder manipulierte Inhalte werden nach Art. 50 sauber behandelt: KI-generierte Audios, Bilder, Videos und Texte maschinenlesbar gekennzeichnet; Deepfakes für das Publikum offengelegt; KI-erzeugte oder -manipulierte Texte, die der Information der Öffentlichkeit dienen, entsprechend kenntlich gemacht.

15. Wenn wir Emotionserkennung oder biometrische Kategorisierung einsetzen (auch außerhalb verbotener Kontexte), informieren wir die betroffenen Personen aktiv.

AI-Literacy & Organisation (Art. 4)

Seit Februar 2025 Pflicht. Betrifft nicht nur IT, sondern alle Mitarbeitenden, die KI einsetzen oder deren Ergebnisse verantworten.

16. Wir haben ein belastbares AI-Literacy-Programm — nicht eine einmalige Schulung, sondern laufende Befähigung, zugeschnitten auf die jeweilige Rolle.

17. Verantwortlichkeiten für KI-Einsatz sind klar geregelt: es gibt eine benannte Stelle (Person oder Gremium), die Freigaben entscheidet und Vorfälle meldet.

18. Wir haben einen funktionierenden Prozess, um schwerwiegende Vorfälle intern zu erkennen und — wo gesetzlich gefordert — fristgerecht an Aufsichtsbehörden zu melden.

GPAI & Drittanbieter

Die meisten Unternehmen sind nicht Entwickler, sondern Nutzer großer Sprachmodelle. GPAI-Pflichten treffen primär die Modellanbieter; für Downstream-Nutzer zählt, welche Informationen, Zusicherungen und Eskalationswege sie aus der Anbieterbeziehung bekommen — und was vertraglich abgesichert ist.

19. Wir wissen, welche Foundation Models (GPAI) in unseren Systemen stecken — auch indirekt über eingekaufte SaaS-Lösungen.

20. Unsere Verträge mit KI-Anbietern regeln, welche Informationen wir zur Erfüllung unserer Betreiberpflichten bekommen (z. B. technische Doku, Trainingsdaten-Zusammenfassung, Einstufung systemisches Risiko).

21. Wir haben eine Policy für den Umgang mit GPAI, die Sensitivitätsstufen, zulässige Eingaben, Datenabfluss und Prüfpflichten klar regelt — und halten uns daran.

DSGVO-Schnellcheck für KI-Nutzung

Der AI Act klassifiziert das KI-System. Die DSGVO greift, sobald personenbezogene Daten in die Nutzung einfließen — etwa Kunden-, Beschäftigten-, Bewerber- oder Gesundheitsdaten. Dieser Block ist bewusst praktisch gehalten: Er zeigt, ob Datenschutz als Betriebsfrage geklärt ist. Das ist besonders relevant, weil viele wichtige KI-Modelle nicht aus der EU kommen.

22. Wir wissen, welche personenbezogenen Daten in KI-Tools verarbeitet werden: in Prompts (Eingaben), hochgeladenen Dateien, Antworten, angebundenen Wissensquellen wie M365/CRM/ERP und Logs (technischen Protokollen) — inklusive Beschäftigten-, Kunden- und Bewerberdaten.

23. Für KI-Nutzungen mit personenbezogenen Daten sind Zweck, Rechtsgrundlage, zulässige Datenkategorien und Informationspflichten geklärt — ebenso, ob eine DSFA (Datenschutz-Folgenabschätzung) nötig ist, also eine strukturierte Datenschutz-Risikoprüfung vor dem Einsatz.

24. Für KI-Anbieter und KI-Funktionen in SaaS-Lösungen ist geklärt, welche datenschutzrechtliche Rolle der Anbieter hat. Falls er als Auftragsverarbeiter handelt, sind AVV, Unterauftragsverarbeiter, Löschfristen und Aufbewahrung von Prompts/Antworten geregelt; falls nicht, ist dokumentiert, auf welcher Grundlage die Nutzung zulässig ist und ob Eingaben für Training oder Produktverbesserung verwendet werden.

25. Datenresidenz und Drittlandtransfer sind geprüft: Wo Daten gespeichert und verarbeitet werden, wer aus Support oder Subprozessoren zugreifen kann und welche Garantien dafür gelten, ist dokumentiert — nicht nur aus Anbieter-Marketing abgeleitet.

26. Mitarbeitende haben klare Leitplanken: freigegebene KI-Tools, No-Go-Daten, Berechtigungen, Vertraulichkeitslabels, PII-Masking (automatisches Entfernen personenbezogener Daten), Audit-Logs und Eskalation bei Unsicherheit.

Methodik

Worauf dieser Selbsttest aufbaut

Dieser Selbsttest orientiert sich an der Verordnung (EU) 2024/1689 (EU AI Act), den Leitlinien des EU AI Office (Prohibited Practices Guidelines Februar 2025, GPAI Code of Practice Juli 2025), der ALTAI-Assessment-List der High-Level Expert Group on AI sowie an praxistauglichen Compliance-Frameworks aus Deloitte Trustworthy AI und PwC Responsible AI Toolkit. Der DSGVO-Block verdichtet die operativ häufigsten KI-Datenschutzfragen: personenbezogene Daten, Rechtsgrundlage, Auftragsverarbeitung, Drittlandtransfer, Retention, Trainingsnutzung und interne Nutzungsleitplanken. Als übergreifende Kontrollarchitektur wurde das NIST AI Risk Management Framework herangezogen. Die Auswahl der Fragen folgt dem gleichen Prinzip wie beim KI-Readiness-Selbsttest: wenige, scharf gestellte Items pro Dimension — keine vollständige Compliance-Prüfung, sondern eine ehrliche Standortbestimmung in fünf bis zehn Minuten.

Transparenzhinweis: Dieser Selbsttest wurde unter KI-Unterstützung inhaltlich erarbeitet, redaktionell durchgesehen und wird laufend aktualisiert, wenn sich AI-Act-Guidance oder Praxisstand ändern.

Interpretation

Die vier AI-Act-Profile plus DSGVO-Ampel

Der Test soll keine juristische Ja-Nein-Antwort simulieren. Er zeigt, wo Ihr Unternehmen heute steht und welcher nächste Schritt sinnvoll ist. Der AI-Act-Score bildet System- und Organisationsreife ab; die DSGVO-Ampel zeigt, ob die Datenseite der KI-Nutzung tragfähig ist.

0–14 Punkte

Hoher Klärungsbedarf. Das Compliance-Risiko ist heute real und nicht beziffert. Vor jeder weiteren KI-Initiative gehört ein externer juristischer Check an den Anfang, nicht ans Ende.

15–27 Punkte

Auf gutem Weg, aber mit Lücken. Die Grundstruktur steht, aber zentrale Pflichten — typischerweise Inventar, Hochrisiko-Dokumentation und AI-Literacy — sind noch nicht belastbar. Die zwei schwächsten Dimensionen schließen, bevor neue Use Cases aufgesetzt werden.

28–38 Punkte

Belastbare Compliance-Basis. Die Pflichten sind im Kern operationalisiert. Nächster Schritt: externer Compliance-Audit durch spezialisierte Kanzlei oder Wirtschaftsprüfung, plus laufendes Monitoring und saubere Vertragsführung mit GPAI-Anbietern.

39–42 Punkte

Ausgereifte Compliance. Auch hier bleibt externe Prüfung in angemessenen Abständen Standard — aber der Fokus liegt auf Weiterentwicklung (neue Guidance, neue Systeme, neue GPAI-Anbieter), nicht mehr auf Grundaufbau.

0–4 Punkte DSGVO

Rot. Datenschutz ist nicht belastbar geklärt. KI-Nutzung mit personenbezogenen Daten gehört vor Skalierung in einen fokussierten Datenschutz-Check.

5–7 Punkte DSGVO

Gelb. Erste Leitplanken sind da, aber Anbieter, Rechtsgrundlage oder Drittlandtransfer sind noch nicht durchgehend sauber.

8–10 Punkte DSGVO

Grün. Die Datenseite wirkt operativ kontrolliert. Trotzdem bleiben neue Tools, neue Datenkategorien und Anbieterwechsel prüfpflichtig.

Weiterlesen

Der strategische Blick auf die gleiche Frage

Dieser Test ist bewusst eng an Regulierung und Datenschutz geführt. Wenn Sie parallel strategisch prüfen wollen, wie KI-ready Ihr Unternehmen insgesamt ist — Problemfit, Daten, Prozesse, Führung, Talent, Wertbeitrag und Governance — empfiehlt sich der Schwestertest.

Zur KI-Beratung KI-Readiness-Selbsttest
Originalquellen

Wo Sie die Pflichten im Wortlaut nachlesen

Der Selbsttest verdichtet — die Originalquellen sind der Maßstab. Die folgenden Einstiege decken Gesetzestext, Anwendungsfristen, EU-Auslegungshilfen zu den kritischen Artikeln, GPAI-Regime und die nationalen Servicestellen in Österreich und Deutschland ab.

QuelleZweckHerausgeber
Verordnung (EU) 2024/1689 — EUR-Lex ↗ Amtlicher Volltext im Amtsblatt der EU — die rechtsverbindliche Grundlage. Amt für Veröffentlichungen der EU
AI Act — Überblick inkl. Timeline ↗ Ziele, Risikoklassen und Anwendungsdaten: in Kraft 1. August 2024; Verbote und AI-Literacy seit 2. Februar 2025; GPAI und Governance seit 2. August 2025; Grundanwendung ab 2. August 2026; bestimmte Hochrisiko-Systeme nach Art. 6 Abs. 1 ab 2. August 2027. Europäische Kommission
AI Office ↗ Zuständige Durchsetzungs- und Guidance-Behörde auf EU-Ebene. Europäische Kommission
Guidelines zu verbotenen Praktiken (Art. 5) ↗ Offizielle Auslegungshilfe zu den verbotenen KI-Praktiken (Februar 2025). Europäische Kommission
Guidelines zur Definition eines KI-Systems ↗ Abgrenzung, was überhaupt unter den AI Act fällt (Februar 2025). Europäische Kommission
GPAI Code of Practice — Inhalte ↗ Aktuelle offizielle Landingpage zu Inhalt und Struktur des freiwilligen GPAI Code of Practice für Anbieter von General-Purpose-AI-Modellen. Europäische Kommission / AI Office
Guidelines zu GPAI-Modellpflichten ↗ Offizielle Auslegung zum Umfang der GPAI-Anbieterpflichten und dazu, wer darunter fällt. Europäische Kommission
RTR KI-Servicestelle ↗ Nationale KI-Servicestelle für Österreich — Auskunft und Koordination. Rundfunk und Telekom Regulierungs-GmbH (RTR)
BNetzA KI-Service-Desk ↗ Nationaler KI-Service-Desk für Deutschland zur Umsetzung der KI-Verordnung. Bundesnetzagentur (BNetzA)
Datenschutz erklärt ↗ Offizieller Einstieg der Europäischen Kommission zur DSGVO und zum Begriff personenbezogener Daten. Europäische Kommission
Wann dürfen personenbezogene Daten verarbeitet werden? ↗ Überblick zu Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Europäische Kommission
Auftragsverarbeitung nach DSGVO ↗ Offizielle Erläuterung zu Auftragsverarbeitung, AVV und Unterauftragsverarbeitern. Europäische Kommission
Standardvertragsklauseln (SCC) ↗ Offizieller Einstieg zu Standardvertragsklauseln und internationalen Datentransfers. Europäische Kommission