ComplianceWerkstatt
Regulatorik & Recht

AI Act Audit: So prüfen Sie Ihre KI-Compliance systematisch

Woher wissen Sie, ob Ihre KI-Compliance wirklich standhält? Ein internes KI-Audit gibt die Antwort. Dieser Artikel liefert 8 Prüfbereiche mit je 3 Kernfragen, ein Ampelsystem zur Bewertung, eine Maßnahmenplanung für Lücken und die Verknüpfung aller Audit-Nachweise mit den vorherigen Dokumentationsphasen.

Inhaltsverzeichnis

Warum ein internes KI-Audit jetzt sinnvoll ist – auch ohne Behördenanfrage

Sie haben ein KI-Inventar erstellt, eine KI-Richtlinie verabschiedet und Ihre Deployer-Pflichten dokumentiert. Doch woher wissen Sie, ob das alles zusammenpasst – und im Ernstfall einer Prüfung standhält?

Genau hier setzt ein internes KI-Audit an. Es ist kein bürokratischer Selbstzweck, sondern Ihr Realitätscheck: Wo stehen Sie wirklich – und wo gibt es Lücken, die Sie vor August 2026 schließen müssen?

Die Bundesnetzagentur (BNetzA) ist seit Februar 2026 als nationale Marktüberwachungsbehörde für den AI Act benannt. Konkrete Prüfkampagnen sind angekündigt. Wer erst bei einer Behördenanfrage reagiert, verliert wertvolle Vorbereitungszeit – und zahlt im schlimmsten Fall Bußgelder bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes (Art. 99 Abs. 4).

Audit ≠ Zertifizierung. Ein internes KI-Audit ist eine Selbstprüfung. Sie brauchen keinen externen Prüfer und keine ISO-Zertifizierung. Sie brauchen einen strukturierten Prüfkatalog, ehrliche Antworten und einen Maßnahmenplan.

Dieser Artikel liefert Ihnen die Struktur: 8 Prüfbereiche, pro Bereich die Kernfragen, ein Ampelsystem zur Bewertung und eine Maßnahmenplanung für identifizierte Lücken. Die vollständige Prüfmatrix mit über 60 Einzelfragen finden Sie im AI Act Compliance-Prüfkatalog.

Die 8 Prüfbereiche eines AI-Act-Audits im Überblick

Ein KI-Audit nach dem AI Act ist kein monolithisches Projekt. Es lässt sich in klar abgegrenzte Prüfbereiche zerlegen – jeder mit eigenen Fragen, Nachweisen und Verantwortlichen. Die folgende Struktur orientiert sich an den Deployer-Pflichten nach Art. 26 und den Querschnittsanforderungen des AI Act:

Nr.

Prüfbereich

Kernfrage

AI-Act-Referenz

1

KI-Inventar & Klassifizierung

Sind alle KI-Systeme erfasst und korrekt eingestuft?

Art. 6, Anhang III

2

Governance & Verantwortlichkeiten

Gibt es klare Rollen, eine KI-Richtlinie und Freigabeprozesse?

Art. 26 Abs. 1

3

Deployer-Dokumentation

Ist die Dokumentation je System vollständig und aktuell?

Art. 26 Abs. 1, 5

4

Risikomanagement & FRIA

Wurden Risiken bewertet und Grundrechte-Folgen geprüft?

Art. 9, Art. 27

5

AI Literacy & Schulung

Sind alle relevanten Personen geschult und ist das dokumentiert?

Art. 4

6

Transparenz & Information

Wissen Betroffene, dass KI im Einsatz ist?

Art. 50, Art. 26 Abs. 7

7

Monitoring & Incident-Management

Werden KI-Systeme laufend überwacht und Vorfälle dokumentiert?

Art. 26 Abs. 5, Art. 72

8

Datenschutz-Schnittstelle

Sind AI Act und DSGVO aufeinander abgestimmt?

Art. 26 Abs. 9, Art. 10

Nicht jeder Prüfbereich hat für jedes Unternehmen die gleiche Relevanz. Wenn Sie ausschließlich KI-Systeme mit minimalem Risiko einsetzen, fallen die Bereiche 3, 4 und 6 deutlich schlanker aus. Die Bereiche 1, 2, 5 und 7 gelten dagegen für alle Deployer – unabhängig von der Risikoklasse.

Pro Prüfbereich: Die 3 wichtigsten Fragen

Der vollständige AI Act Compliance-Prüfkatalog enthält über 60 Einzelfragen mit Nachweisanforderungen und Bewertungskriterien. Hier die jeweils drei entscheidenden Fragen pro Bereich – genug, um Ihren aktuellen Stand realistisch einzuschätzen.

Prüfbereich 1: KI-Inventar & Klassifizierung

  1. Vollständigkeit: Sind alle KI-Systeme erfasst – einschließlich eingebetteter KI in SaaS-Tools, die nicht offensichtlich als KI erkennbar sind?

  2. Risikoklassifizierung: Wurde jedes System einer Risikoklasse zugeordnet – mit dokumentierter Begründung?

  3. Aktualität: Wurde das Inventar in den letzten 6 Monaten aktualisiert? Neue Tools, abgeschaffte Systeme, Provider-Wechsel berücksichtigt?

Typischer Audit-Befund: Das Inventar existiert, enthält aber nur die offensichtlichen Tools (ChatGPT, Copilot). Eingebettete KI in HR-Software, CRM oder Buchhaltung fehlt. Prüfen Sie jedes SaaS-Tool auf KI-Funktionen – die Anbieter-Dokumentation hilft.

Prüfbereich 2: Governance & Verantwortlichkeiten

  1. KI-Richtlinie: Existiert eine freigegebene KI-Richtlinie mit klaren Nutzungskategorien (erlaubt, eingeschränkt, verboten)?

  2. Verantwortlichkeiten: Ist eine Person als KI-Compliance-Verantwortliche/r benannt – mit dokumentiertem Mandat?

  3. Freigabeprozess: Gibt es einen definierten Prozess für die Einführung neuer KI-Tools – und wird er tatsächlich genutzt?

Prüfbereich 3: Deployer-Dokumentation

  1. Systemdokumentation: Liegt für jedes Hochrisiko-System eine Deployer-Dokumentation vor (Zweck, Datenflüsse, menschliche Aufsicht, Provider-Kontakt)?

  2. Anbieteranweisungen: Ist dokumentiert, dass das System gemäß den Anbieteranweisungen eingesetzt wird (Art. 26 Abs. 1)?

  3. Aufbewahrung: Werden Logs und Dokumentation mindestens 6 Monate aufbewahrt (Art. 26 Abs. 6)?

Prüfbereich 4: Risikomanagement & FRIA

  1. Risikoanalyse: Wurde für jedes Hochrisiko-System eine Risikoanalyse durchgeführt – nicht nur eine Risikoklassifizierung?

  2. FRIA: Wurde eine Grundrechte-Folgenabschätzung durchgeführt, wo erforderlich (Art. 27)?

  3. Maßnahmen: Sind identifizierte Risiken mit konkreten Gegenmaßnahmen adressiert – und sind diese umgesetzt, nicht nur geplant?

Prüfbereich 5: AI Literacy & Schulung

  1. Schulungskonzept: Existiert ein Schulungskonzept mit Zielgruppen-Differenzierung (Geschäftsführung, Fachbereiche, alle Mitarbeitenden)?

  2. Durchführung: Wurden die Schulungen tatsächlich durchgeführt – und ist das mit Teilnahmelisten und Inhalten dokumentiert?

  3. Aktualität: Werden Schulungen bei neuen KI-Tools oder regulatorischen Änderungen aktualisiert?

Prüfbereich 6: Transparenz & Information

  1. Kennzeichnung: Wissen Nutzer und Betroffene, wenn sie mit einem KI-System interagieren (Art. 50)?

  2. Mitarbeiterinformation: Wurde die Arbeitnehmervertretung über den Einsatz von Hochrisiko-KI am Arbeitsplatz informiert (Art. 26 Abs. 7)?

  3. Erklärbarkeit: Können Sie bei automatisierten Entscheidungen erklären, wie das Ergebnis zustande kam – und an wen sich Betroffene wenden können?

Prüfbereich 7: Monitoring & Incident-Management

  1. Prüfzyklen: Sind Prüfzyklen je Risikoklasse definiert und werden sie eingehalten?

  2. Incident-Log: Existiert ein KI-Vorfall-Log – und wurden Vorfälle tatsächlich erfasst (oder gab es wirklich keine)?

  3. Meldepflicht: Ist der Eskalationspfad für schwerwiegende Vorfälle definiert – einschließlich der Meldung an die BNetzA (Art. 26 Abs. 5)?

Prüfbereich 8: Datenschutz-Schnittstelle

  1. DSFA-Abgleich: Wurde geprüft, ob für KI-Systeme mit personenbezogenen Daten eine DSFA erforderlich ist – und wurde sie mit der FRIA abgeglichen?

  2. Rechtsgrundlage: Ist für jedes KI-System mit Personenbezug eine DSGVO-Rechtsgrundlage dokumentiert?

  3. Art. 22 DSGVO: Werden automatisierte Einzelentscheidungen identifiziert – und gibt es Opt-out-Möglichkeiten für Betroffene?

Mehr zur Schnittstelle zwischen AI Act und DSGVO lesen Sie in unserem Schnittstellenartikel.

Ampelsystem: Wie Sie Ihren Compliance-Status bewerten

Fragen allein reichen nicht – Sie brauchen eine einheitliche Bewertungslogik. Das folgende Ampelsystem hat sich in der Praxis bewährt, weil es einfach anzuwenden ist und trotzdem differenzierte Ergebnisse liefert:

Ampel

Status

Bedeutung

Handlungsbedarf

🟢

Konform

Anforderung erfüllt, Nachweis vorhanden

Kein akuter Handlungsbedarf – im nächsten Audit-Zyklus erneut prüfen

🟡

Teilweise konform

Ansatz vorhanden, aber unvollständig oder veraltet

Nachbesserung innerhalb von 60 Tagen

🔴

Nicht konform

Anforderung nicht erfüllt, kein Nachweis

Sofortmaßnahme – Priorisierung im Maßnahmenplan

Nicht anwendbar

Prüfpunkt betrifft das Unternehmen nicht

Begründung dokumentieren (z. B. „keine Hochrisiko-Systeme")

Ein ehrliches Gelb ist wertvoller als ein geschöntes Grün. Das Audit soll Lücken aufdecken – nicht verstecken.

So bewerten Sie richtig

Bewerten Sie jeden Prüfbereich einzeln, nicht das Gesamtergebnis. Ein Unternehmen kann im Bereich AI Literacy grün stehen und bei der Deployer-Dokumentation rot – das ist keine Schande, sondern eine klare Handlungsanweisung.

Bewertungsregel: Der Prüfbereich bekommt die Farbe der schlechtesten Einzelfrage. Wenn zwei von drei Fragen grün sind, aber eine rot – ist der Bereich rot. Das verhindert, dass kritische Lücken in einem „Durchschnitt" verschwinden.

Praxis-Tipp: Dokumentieren Sie bei jeder Bewertung den konkreten Nachweis. „Grün" ohne Nachweis ist im Ernstfall wertlos. Notieren Sie z. B.: „KI-Richtlinie v1.2 vom 15.03.2026, freigegeben durch GF, abgelegt unter [Pfad]."

Maßnahmenplanung: Von der Lücke zur Umsetzung

Jede gelbe oder rote Bewertung braucht eine Maßnahme. Ohne konkreten Maßnahmenplan bleibt das Audit ein Papiertiger. Die folgende Struktur hat sich bewährt:

Feld

Beschreibung

Beispiel

Prüfbereich

Wo wurde die Lücke identifiziert?

3 – Deployer-Dokumentation

Befund

Was fehlt konkret?

Keine Deployer-Doku für Personio (HR-Scoring)

Ampel

Aktuelle Bewertung

🔴 Nicht konform

Maßnahme

Was wird getan?

Deployer-Dokumentation erstellen (Template nutzen)

Verantwortlich

Wer setzt um?

HR-Leitung + KI-Compliance-Beauftragte/r

Frist

Bis wann?

30.06.2026

Zielstatus

Erwartete Ampelfarbe nach Umsetzung

🟢 Konform

Priorisierung: Was zuerst?

Nicht alle Lücken sind gleich dringend. Priorisieren Sie nach zwei Kriterien:

  1. Risikoklasse des betroffenen Systems: Lücken bei Hochrisiko-Systemen haben Vorrang vor Lücken bei Systemen mit minimalem Risiko.

  2. Sichtbarkeit bei einer Prüfung: Ein fehlendes KI-Inventar (Bereich 1) fällt sofort auf. Eine unvollständige FRIA (Bereich 4) wird erst bei gezielter Nachfrage relevant.

Faustregel: Prüfbereiche 1 und 2 sind Grundvoraussetzungen. Wenn hier Rot steht, sind alle anderen Bereiche automatisch fragil – weil die Basis fehlt.

Audit-Ergebnisse dokumentieren und nachweisen

Ein Audit ist nur so viel wert wie seine Dokumentation. Im Ernstfall müssen Sie der BNetzA nicht beweisen, dass Sie perfekt sind – sondern dass Sie systematisch arbeiten und identifizierte Lücken aktiv schließen.

Was Ihr Audit-Bericht enthalten sollte

  • Audit-Steckbrief: Datum, Prüfumfang, beteiligte Personen, verwendeter Prüfkatalog

  • Ergebnisübersicht: Ampel-Matrix aller 8 Prüfbereiche (eine Seite, auf einen Blick)

  • Detailbefunde: Pro Prüfbereich die Einzelbewertungen mit Nachweisreferenzen

  • Maßnahmenplan: Alle gelben und roten Befunde mit Verantwortlichen und Fristen

  • Unterschrift: Freigabe durch die Geschäftsführung oder den KI-Compliance-Verantwortlichen

Art. 26 Abs. 5 verlangt ausdrücklich, dass Deployer die Fähigkeit zur Kooperation mit der Marktüberwachungsbehörde nachweisen können. Ein internes Audit mit dokumentiertem Maßnahmenplan ist dafür der beste Nachweis.

Wo ablegen?

Idealerweise dort, wo auch Ihre anderen Compliance-Dokumente liegen – im KI-Compliance-Ordner oder Managementsystem. Wichtig: Der Audit-Bericht muss mindestens 6 Monate aufbewahrt werden (Art. 26 Abs. 6). Empfehlung: Unbegrenzt aufbewahren, um die Entwicklung über mehrere Audit-Zyklen nachvollziehen zu können.

Halten Sie den Bericht schlank: Die Management-Summary sollte auf eine Seite passen. Geschäftsführungen lesen keine 30-seitigen Audit-Berichte – sie lesen eine Ampel-Matrix mit acht Feldern und den drei dringendsten Maßnahmen. Die Detailbefunde gehören in den Anhang, nicht auf Seite eins. Wenn Ihr erster Audit-Bericht mehr als zehn Seiten hat, kürzen Sie – oder Sie haben zu detailliert geprüft.

Wie oft auditieren? Empfehlung für den jährlichen KI-Compliance-Review

Der AI Act schreibt keine feste Audit-Frequenz für Deployer vor. In der Praxis hat sich ein Rhythmus aus regelmäßigen und anlassbezogenen Audits bewährt:

Audit-Typ

Frequenz

Umfang

Typischer Auslöser

Vollaudit

Jährlich

Alle 8 Prüfbereiche

Festgelegt im KI-Compliance-Kalender

Fokus-Audit

Halbjährlich oder anlassbezogen

1–3 Prüfbereiche

Neue Hochrisiko-Systeme, regulatorische Änderungen

Quick-Check

Anlassbezogen

Einzelsystem

KI-Vorfall, Provider-Update, Orga-Änderung

Empfehlung: Planen Sie Ihr erstes Vollaudit vor dem 2. August 2026. Auch wenn nicht alles grün ist – die dokumentierte Prüfung zeigt der Behörde, dass Sie das Thema ernst nehmen und aktiv bearbeiten. Ein Audit mit drei roten Feldern und einem klaren Maßnahmenplan ist besser als gar kein Audit. Behörden unterscheiden zwischen Unternehmen, die ehrlich an ihrer Compliance arbeiten, und solchen, die das Thema ignoriert haben.

Audit und Monitoring: Unterschied und Zusammenspiel

Das KI-Compliance Monitoring (S7) läuft kontinuierlich. Es erfasst Veränderungen, Vorfälle und Status-Updates im Tagesgeschäft. Das Audit ist die periodische Gesamtbewertung – es prüft, ob das Monitoring funktioniert und ob die Ergebnisse in der Praxis stimmen.

Dimension

Monitoring

Audit

Frequenz

Laufend / quartalsweise

Jährlich / anlassbezogen

Perspektive

Operativ – Was passiert gerade?

Strategisch – Stimmt das Gesamtbild?

Fokus

Einzelsysteme, Vorfälle, Status

Alle 8 Bereiche, Gesamtbewertung

Ergebnis

Status-Update, Incident-Log

Ampel-Matrix, Maßnahmenplan

Der Audit-Kreislauf: So greifen alle Dokumente ineinander

Ein KI-Audit steht nicht isoliert. Es baut auf den Dokumenten auf, die Sie in den vorherigen Phasen erstellt haben – und seine Ergebnisse fließen in die nächste Monitoring-Runde zurück. Die folgende Tabelle zeigt, welches Dokument in welchem Prüfbereich als Nachweis dient:

Prüfbereich

Nachweis-Dokument

Erstellt in Phase

1 – Inventar & Klassifizierung

KI-Inventar, Risikoklassifizierungs-Matrix

Phase 1 / Phase 2

2 – Governance

KI-Richtlinie, Organigramm, Freigabe-Prozess

Phase 2

3 – Deployer-Dokumentation

Deployer-Doku je System

Phase 3

4 – Risikomanagement & FRIA

Risikoanalyse, FRIA-Bericht

Phase 3

5 – AI Literacy

Schulungskonzept, Teilnahmelisten

Phase 4

6 – Transparenz

Informationsschreiben, Kennzeichnungen

Phase 3 / Phase 4

7 – Monitoring

Monitoring-Berichte, Incident-Log, Prüfzyklen

Phase 5

8 – Datenschutz

DSFA, VVT-Einträge, DSGVO-Rechtsgrundlage

Querschnitt

Der Audit-Kreislauf: Inventar → Klassifizierung → Governance → Dokumentation → Schulung → Monitoring → Audit → Maßnahmenplan → zurück zu Monitoring. Jedes Dokument wird im Audit geprüft – und das Audit-Ergebnis verbessert die Dokumente.

Was jetzt zu tun ist – Ihre nächsten 3 Schritte

  1. Audit-Termin setzen: Blockieren Sie einen halben Tag vor dem 2. August 2026 für Ihr erstes KI-Vollaudit. Laden Sie die relevanten Personen ein: KI-Compliance-Verantwortliche/r, IT, Datenschutz, Geschäftsführung.

  2. Nachweise sammeln: Prüfen Sie für jeden der 8 Bereiche, ob die Nachweis-Dokumente existieren und aktuell sind. Fehlende Dokumente sind Ihr erster Maßnahmenplan.

  3. Prüfkatalog nutzen: Verwenden Sie einen strukturierten Prüfkatalog mit Bewertungslogik – nicht eine generische Checkliste. Der Unterschied: Ein Prüfkatalog erzwingt eine Bewertung und einen Maßnahmenplan. Eine Checkliste erzeugt nur Häkchen.

AI Act Compliance-Prüfkatalog: Über 60 Prüffragen in 8 Bereichen, Ampel-Bewertung, Maßnahmenplan-Template und Management-Summary – sofort einsetzbar. Zum Prüfkatalog →

Alle 9 Dokumente im Bundle: KI-Inventar, Risikoklassifizierung, KI-Richtlinie, Deployer-Doku, FRIA, Schulungskonzept, Schulungspräsentation, Monitoring-Kit und Prüfkatalog – alles aufeinander abgestimmt. AI Act Aufbau-Bundle ansehen →

Stand: Februar 2026. Dieser Artikel dient der fachlichen Orientierung und ersetzt keine individuelle Beratung. Regulatorische Änderungen vorbehalten.

Passende Produkte zum Thema

EU AI Act Aufbau-Bundle
Sonstiges

EU AI Act Aufbau-Bundle

Komplettpaket zur Umsetzung des EU AI Act – von der KI-Inventarisierung bis zum Management Report. 9 aufeinander abgestimmte Dokumente in 5 Phasen. Stichtag 2. August 2026.

299,00 €Toolkit (Bundle)
EU AI Act: KI-Compliance Monitoring & Reporting Kit
Sonstiges

EU AI Act: KI-Compliance Monitoring & Reporting Kit

Laufende KI-Compliance überwachen und berichten: Excel-Dashboard mit Ampelsystem, Vorfälle-Log, Änderungs-Tracking. Plus fertige Management-Report-Präsentation für den Vorstand.

59,00 €Excel
EU AI Act Compliance-Prüfkatalog
Sonstiges

EU AI Act Compliance-Prüfkatalog

Vollständiger Fragenkatalog für interne AI-Act-Audits. 8 Prüfbereiche, Ampelsystem, Rechtsquellen-Referenzen. Ihr Werkzeug für den systematischen KI-Compliance-Check.

49,00 €Excel
Alle Produkte im Shop ansehen →
MZ

Marvin Zimbelmann

Head of Governance, Risk & Compliance · MBA-Dozent · Podcast-Host

Auf LinkedIn vernetzen →
Alle Beiträge

Warenkorb (0)

Ihr Warenkorb ist leer

Zum Shop →