EU-KI-Verordnung-Bereitschafts-Checkliste für CIOs
Die Hauptanwendung der EU-KI-Verordnung-Hochrisiko-Pflichten greift am 2. August 2026. CIOs in regulierten Unternehmen haben ab Herbst 2025 ein enges Zeitfenster, um KI-Inventar, Klassifizierungen, technische Dokumentation, Konformitätsbewertungen und Aufsichts-Pfade aufzubauen. Diese Checkliste fasst die Mindest-Schritte je Risiko-Klasse zusammen und zeigt, welche Pflichten Anbieter tragen, welche Betreiber, und wo das eigene Unternehmen 2026 typischerweise beide Rollen gleichzeitig hat.
KI-Inventar aufbauen
Erste Pflicht. Vollständige Liste aller KI-Systeme im Unternehmen, mit Eigentümer, Zweck, Trainings-Datenbasis, Anbieter, Versions-Historie, Klassifizierung. Auch interne Tools, Plattform-Funktionen, eingebettete KI in Standard-Software gehören dazu. Inventar ist Aufsichts-relevant und Pflicht-Grundlage für jede weitere Entscheidung.
Klassifizierung pro System
Vier Klassen: verboten, hochriskant, begrenzt, minimal. Begründete Einsortierung mit Verweis auf Verordnungs-Artikel und Anhang. Bei Grenzfällen vorsorgliche Höhereinstufung empfohlen. Klassifizierungs-Beschluss ist dokumentiert und vom CISO und CLO mitgezeichnet.
Hochrisiko: Pflichten-Bündel
Risikomanagement-System (Art. 9). Daten und Daten-Governance (Art. 10). Technische Dokumentation nach Anhang IV (Art. 11). Aufzeichnungspflichten (Art. 12). Transparenz für Betreiber (Art. 13). Menschliche Aufsicht (Art. 14). Genauigkeit, Robustheit, Cybersicherheit (Art. 15). Konformitätsbewertung nach Anhang VI/VII. CE-Kennzeichnung und EU-Konformitätserklärung. Registrierung in EU-Datenbank.
Begrenztes Risiko: Transparenz-Pflichten
Chatbots als KI gekennzeichnet, Deepfakes als künstlich erzeugt, Emotions-Erkennung offengelegt, biometrische Kategorisierung offengelegt. Pflicht ist meist mit kleinen UI-Anpassungen erfüllbar, fehlt aber 2025 oft noch in Standard-Implementierungen.
Anbieter- vs. Betreiber-Rolle
Wer ein KI-System auf den Markt bringt oder in Betrieb nimmt unter eigenem Namen, ist Anbieter. Wer ein KI-System nutzt unter eigener Verantwortung, ist Betreiber. Bei Eigen-Entwicklung beide Rollen zugleich. Bei wesentlicher Modifikation eines beschafften Systems wird man zusätzlich zum Anbieter, mit allen Pflichten. Diese Rollen-Klärung ist 2026 die häufigste Vertrags-Streitfrage.
Aufsichts-Pfade vorbereiten
AI Office bei der Europäischen Kommission ist GPAI-Aufsicht. In Deutschland werden die Marktüberwachungs-Behörden 2026 noch ausgestaltet, BNetzA und BfDI sind die wahrscheinlichsten Kandidaten. Vorfall-Meldungs-Pfade, Eskalations-Verantwortlichkeiten und Dokumenten-Zugriff in Stunden sind vor August 2026 produktiv zu testen, nicht erst nach erster Anfrage.
Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.