Selbsttest

EU-AI-Act-Selbsttest für Unternehmen

Der EU AI Act ist keine Empfehlung, sondern geltendes Recht. Teile sind bereits in Kraft — verbotene Praktiken, AI-Literacy, GPAI-Governance — die Hauptregelung für Hochrisiko-KI folgt. Dieser Selbsttest macht sichtbar, wo Ihr Unternehmen heute steht, bevor Sie mit einer Kanzlei weiterarbeiten.

21 Fragen
7 Dimensionen
4 Ergebnisprofile
Rahmen

Was dieser Test misst

Ein hoher Score heißt nicht, dass Sie „fertig“ sind. Er heißt, dass die Grundpflichten operationalisiert sind. Ein niedriger Score heißt umgekehrt nicht Panik, sondern: Klarheit schaffen, Prioritäten setzen, juristisch absichern — in dieser Reihenfolge.

Anwendbarkeit & Rolle

Fallen Sie überhaupt unter den AI Act, und in welcher Rolle — Anbieter, Betreiber, Importeur oder Händler? Die Rolle bestimmt, welche Pflichten greifen.

Inventar & Risikoklassifizierung

Haben Sie alle eingesetzten KI-Systeme erfasst — inklusive eingebetteter KI in Drittanwendungen — und sauber nach Risikoklassen eingeordnet?

Verbotene Praktiken (Art. 5)

Emotionserkennung am Arbeitsplatz, Social Scoring, manipulative Techniken — seit 2025 scharf, mit der höchsten Sanktionsstufe. Sicher ausgeschlossen?

Hochrisiko-Pflichten (Anhang III)

Risikomanagement, Datenqualität, technische Dokumentation, Logging, menschliche Aufsicht — wenn Ihre Systeme in Anhang-III-Bereiche fallen, greifen die schärfsten operativen Pflichten.

Transparenz & Kennzeichnung (Art. 50)

Erkennen Nutzer Ihre Chatbots als KI, kennzeichnen Sie KI-generierte Inhalte — und informieren Sie bei Emotionserkennung oder biometrischer Kategorisierung?

AI-Literacy & Organisation (Art. 4)

Befähigung statt einmaliger Schulung, klare Verantwortlichkeiten, funktionierender Prozess für Vorfallmeldungen — Pflicht seit Februar 2025.

GPAI & Drittanbieter

Welche Foundation Models stecken in Ihren Systemen — auch indirekt über SaaS? Regeln Ihre Verträge, was Sie zur Erfüllung Ihrer Betreiberpflichten brauchen?

Selbsttest

21 Fragen für eine ehrliche Standortbestimmung

Bewerten Sie jede Aussage mit Nein, Teilweise oder Ja. Der Test berechnet daraus Ihren Score und zeigt, wo Ihre größten Lücken liegen.

0 Nein
1 Teilweise
2 Ja
Hinweis vor dem Start: Dieser Selbsttest ist keine Rechtsberatung. Er unterstützt die Standortbestimmung, ersetzt aber keine juristische Prüfung durch qualifizierte Beratung. Für rechtsverbindliche Bewertungen — insbesondere zur Einstufung Ihrer Systeme, zu Konformitätsbewertungen und zu Vertragsklauseln — ziehen Sie eine spezialisierte Kanzlei oder eine Wirtschaftsprüfung hinzu.
Anwendbarkeit & Rolle

Diese Fragen klären, ob Ihr Unternehmen unter den AI Act fällt — und in welcher Rolle. Die Rolle bestimmt, welche Pflichten überhaupt gelten.

1. Wir haben geprüft, ob wir im Sinne des AI Act Anbieter, Betreiber, Importeur oder Händler sind — und für welche Systeme in welcher Rolle.

2. Wir kennen die extraterritoriale Reichweite: auch KI-Ausgaben, die in der EU verwendet werden, können Pflichten auslösen — unabhängig vom Firmensitz.

3. Bei jeder Eigenentwicklung oder wesentlichen Anpassung eines KI-Systems prüfen wir bewusst, ob wir damit vom Betreiber zum Anbieter werden.

Inventar & Risikoklassifizierung

Ohne Inventar keine Compliance. Diese Dimension prüft, ob Sie wissen, welche KI-Systeme im Haus sind — und wie sie regulatorisch einzuordnen sind.

4. Wir haben ein aktuelles Inventar aller eingesetzten KI-Systeme, inklusive eingebetteter KI in Drittanwendungen (z. B. Office-Suiten, CRM, Recruiting-Tools).

5. Jedes System ist nach Risikoklasse eingeordnet (verboten / hochrisiko / begrenzt-transparenzpflichtig / minimal) und die Einordnung ist begründet dokumentiert.

6. Wir haben einen definierten Prozess, wie neue KI-Systeme vor Einführung klassifiziert werden — nicht erst im Nachhinein.

Verbotene Praktiken (Art. 5)

Seit Februar 2025 scharf, mit der höchsten Sanktion (bis 35 Mio. € oder 7 % weltweiter Jahresumsatz). Hier gibt es kein „teilweise" — entweder sicher ausgeschlossen oder akutes Problem.

7. Wir setzen keine Systeme ein, die Emotionen am Arbeitsplatz oder in Bildungseinrichtungen auswerten — und haben das aktiv geprüft, auch in eingekauften Tools.

8. Wir betreiben kein Social Scoring und keine biometrische Kategorisierung nach sensiblen Merkmalen (z. B. Ethnie, politische Meinung, Gewerkschaftszugehörigkeit).

9. Wir nutzen keine Systeme, die Schutzbedürftigkeit (Alter, Behinderung, soziale Lage) zur Verhaltensbeeinflussung ausnutzen oder manipulative Techniken unterhalb der Bewusstseinsschwelle einsetzen.

Hochrisiko-Pflichten (Anhang III)

Wenn Sie Systeme in Anhang-III-Bereichen einsetzen — HR/Recruiting, Kreditwürdigkeit, kritische Infrastruktur, Biometrie, Bildung — greifen die schärfsten operativen Pflichten.

10. Für Hochrisiko-Systeme haben wir ein dokumentiertes Risikomanagement, das den Lebenszyklus abdeckt (nicht nur ein einmaliges Assessment).

11. Menschliche Aufsicht ist nicht nur beschrieben, sondern operativ wirksam: benannte Personen können Entscheidungen überprüfen, korrigieren und den Betrieb stoppen.

12. Wir halten die gesetzlich geforderte Dokumentationstiefe vor: technische Dokumentation nach Anhang IV, automatisches Logging der Systemläufe (Art. 12) und Nachweise zur Datenqualität (Art. 10).

Transparenz & Kennzeichnung (Art. 50)

Gilt auch für Systeme unterhalb der Hochrisiko-Schwelle. Praktisch relevant vor allem bei Chatbots, Bildgeneratoren und Deepfake-fähigen Werkzeugen.

13. Nutzer unserer Chatbots und Sprachagenten erkennen klar, dass sie mit einer KI interagieren — ohne nachschauen zu müssen.

14. KI-generierte Bilder, Audios oder Videos, die wir veröffentlichen, werden maschinenlesbar gekennzeichnet — und, wo Personen erkennbar sind, auch für Menschen sichtbar.

15. Wenn wir Emotionserkennung oder biometrische Kategorisierung einsetzen (auch außerhalb verbotener Kontexte), informieren wir die betroffenen Personen aktiv.

AI-Literacy & Organisation (Art. 4)

Seit Februar 2025 Pflicht. Betrifft nicht nur IT, sondern alle Mitarbeitenden, die KI einsetzen oder deren Ergebnisse verantworten.

16. Wir haben ein belastbares AI-Literacy-Programm — nicht eine einmalige Schulung, sondern laufende Befähigung, zugeschnitten auf die jeweilige Rolle.

17. Verantwortlichkeiten für KI-Einsatz sind klar geregelt: es gibt eine benannte Stelle (Person oder Gremium), die Freigaben entscheidet und Vorfälle meldet.

18. Wir haben einen funktionierenden Prozess, um schwerwiegende Vorfälle intern zu erkennen und — wo gesetzlich gefordert — fristgerecht an Aufsichtsbehörden zu melden.

GPAI & Drittanbieter

Die meisten Unternehmen sind nicht Entwickler, sondern Nutzer großer Sprachmodelle. Die Frage ist: Was erbt der Betreiber vom Anbieter — und was steht dazu im Vertrag?

19. Wir wissen, welche Foundation Models (GPAI) in unseren Systemen stecken — auch indirekt über eingekaufte SaaS-Lösungen.

20. Unsere Verträge mit KI-Anbietern regeln, welche Informationen wir zur Erfüllung unserer Betreiberpflichten bekommen (z. B. technische Doku, Trainingsdaten-Zusammenfassung, Einstufung systemisches Risiko).

21. Wir haben eine Policy für den Umgang mit GPAI, die Sensitivitätsstufen, zulässige Eingaben, Datenabfluss und Prüfpflichten klar regelt — und halten uns daran.

Methodik

Worauf dieser Selbsttest aufbaut

Dieser Selbsttest orientiert sich an der Verordnung (EU) 2024/1689 (EU AI Act), den Leitlinien des EU AI Office (Prohibited Practices Guidelines Februar 2025, GPAI Code of Practice Juli 2025), der ALTAI-Assessment-List der High-Level Expert Group on AI, dem EU AI Act Compliance Checker des Future of Life Institute sowie an praxistauglichen Compliance-Frameworks aus Deloitte Trustworthy AI und PwC Responsible AI Toolkit. Als übergreifende Kontrollarchitektur wurde das NIST AI Risk Management Framework herangezogen. Die Auswahl der Fragen folgt dem gleichen Prinzip wie beim KI-Readiness-Selbsttest: wenige, scharf gestellte Items pro Dimension — keine vollständige Compliance-Prüfung, sondern eine ehrliche Standortbestimmung in fünf bis zehn Minuten.

Transparenzhinweis: Dieser Selbsttest wurde unter KI-Unterstützung inhaltlich erarbeitet, redaktionell durchgesehen und wird laufend aktualisiert, wenn sich AI-Act-Guidance oder Praxisstand ändern.

Interpretation

Die vier Ergebnisprofile

Die entscheidende Frage ist nicht „compliant oder nicht", sondern: Wo stehen Sie heute — und welchen Schritt macht als Nächstes Sinn? Auch bei hohem Score bleibt die externe Prüfung die Empfehlung.

0–14 Punkte

Hoher Klärungsbedarf. Das Compliance-Risiko ist heute real und nicht beziffert. Vor jeder weiteren KI-Initiative gehört ein externer juristischer Check an den Anfang, nicht ans Ende.

15–27 Punkte

Auf gutem Weg, aber mit Lücken. Die Grundstruktur steht, aber zentrale Pflichten — typischerweise Inventar, Hochrisiko-Dokumentation und AI-Literacy — sind noch nicht belastbar. Die zwei schwächsten Dimensionen schließen, bevor neue Use Cases aufgesetzt werden.

28–38 Punkte

Belastbare Compliance-Basis. Die Pflichten sind im Kern operationalisiert. Nächster Schritt: externer Compliance-Audit durch spezialisierte Kanzlei oder Wirtschaftsprüfung, plus laufendes Monitoring und saubere Vertragsführung mit GPAI-Anbietern.

39–42 Punkte

Ausgereifte Compliance. Auch hier bleibt externe Prüfung in angemessenen Abständen Standard — aber der Fokus liegt auf Weiterentwicklung (neue Guidance, neue Systeme, neue GPAI-Anbieter), nicht mehr auf Grundaufbau.

Weiterlesen

Der strategische Blick auf die gleiche Frage

Dieser Test ist bewusst eng am Gesetzestext geführt. Wenn Sie parallel strategisch prüfen wollen, wie KI-ready Ihr Unternehmen insgesamt ist — Problemfit, Daten, Prozesse, Führung, Talent, Wertbeitrag und Governance — empfiehlt sich der Schwestertest.

Zur KI-Beratung KI-Readiness-Selbsttest