Die EU-AI-Act-Engineering-Checkliste: Was euer Dev-Team bis August 2026 tun muss

Die Compliance-Frist des EU AI Acts für Hochrisikosysteme ist der 2. August 2026. Das sind weniger als sechs Monate. Wenn euer Produkt KI in irgendeiner bedeutsamen Weise nutzt und ihr europäische Nutzer bedient, betrifft euch das.

Die meisten Inhalte zum AI Act sind von Juristen für Juristen geschrieben. Dieser Post ist anders. Wir sagen euch, was euer Engineering-Team tatsächlich bauen muss.

Betrifft euch das?

Erstmal die ehrliche Antwort: Die meisten MVPs und internen Tools fallen wahrscheinlich unter „minimales Risiko" und brauchen fast nichts. Aber wenn euer KI-System Folgendes tut, seid ihr wahrscheinlich in der Hochrisiko-Kategorie:

Entscheidungen über Menschen treffen (Einstellung, Kreditbewertung, Versicherung)
Mit Nutzern so interagieren, dass sie es für menschlich halten könnten (Chatbots ohne Kennzeichnung)
Biometrische Daten verarbeiten
In kritischer Infrastruktur, Bildung oder Strafverfolgung eingesetzt werden

Der Schnelltest

Wenn euer KI-System eine Entscheidung beeinflusst, die die Rechte, den Zugang oder die Chancen einer Person betrifft — ist es wahrscheinlich Hochrisiko. Wenn es Marketingtexte generiert oder Dokumente zusammenfasst — ist es wahrscheinlich minimales Risiko.

Die Engineering-Checkliste

1. Risikoklassifizierung — Als Produktentscheidung

Bevor ihr Compliance-Code schreibt, klassifiziert eure KI-Features. Das ist keine juristische Übung — es ist eine Produktentscheidung, die eure Architektur prägt.

// types/ai-risk.ts
export enum AIRiskLevel {
  MINIMAL = "minimal",       // Spamfilter, Autocomplete, Empfehlungen
  LIMITED = "limited",        // Chatbots, Emotionserkennung, Deepfakes
  HIGH = "high",              // Kreditbewertung, Hiring-Tools, Medizinprodukte
  UNACCEPTABLE = "unacceptable" // Social Scoring, biometrische Echtzeit-Überwachung
}

export interface AIFeature {
  id: string;
  name: string;
  description: string;
  riskLevel: AIRiskLevel;
  model: string;
  version: string;
  dataCategories: string[];
  humanOversightRequired: boolean;
  lastAssessmentDate: string;
}

Dokumentiert jedes KI-Feature in eurem Produkt mit seiner Risikoklassifizierung. Das ist keine Beschäftigungstherapie — es ist das Fundament, auf dem alles andere aufbaut.

2. Transparenz — Sagt den Nutzern, wenn sie mit KI sprechen

Wenn euer System KI nutzt, die mit Nutzern interagiert, müsst ihr das offenlegen.

// components/AIChatDisclosure.tsx
export function AIChatDisclosure() {
  return (
    <div className="text-sm text-muted-foreground border-b pb-2 mb-4">
      Diese Konversation wird von KI unterstützt. Antworten werden
      automatisch generiert und sind möglicherweise nicht immer korrekt.
      Ein menschlicher Ansprechpartner ist auf Anfrage verfügbar.
    </div>
  );
}

Nicht nur Chatbots. KI-generierte Inhalte, automatisierte Entscheidungen, synthetische Medien — alles braucht Offenlegung.

3. Model Cards — Dokumentation als Code

Hochrisikosysteme brauchen technische Dokumentation. Am besten als Code pflegen — nicht als PDF, das in einer Woche veraltet ist.

# ai/model-cards/credit-scoring-v2.yaml
model:
  name: "CreditScorePredictor"
  version: "2.1.0"
  type: "gradient-boosted classifier"
  last_trained: "2026-01-15"

purpose:
  description: "Vorhersage der Kreditwürdigkeit basierend auf Finanzhistorie"
  intended_use: "Unterstützung menschlicher Kreditberater bei Kreditentscheidungen"
  out_of_scope: "Autonome Kreditgenehmigung ohne menschliche Prüfung"

data:
  training_set: "anonymized_credit_data_v3"
  size: "2,4M Datensätze"
  demographics: "EU-Einwohner, 18-75, ausgewogenes Geschlecht/Alter"
  known_gaps: "Begrenzte Daten für Selbstständige"

performance:
  accuracy: 0.89
  false_positive_rate: 0.07
  fairness_audit_date: "2026-01-20"
  demographic_parity_gap: 0.03

limitations:
  - "Geringere Genauigkeit bei Antragstellern mit <2 Jahren Kredithistorie"
  - "Berücksichtigt keine nicht-traditionellen Einkommensquellen"

Speichert diese im Repo. Versioniert sie mit Git. Reviewt sie in PRs. Das ist euer Audit Trail.

4. Logging — Einen Audit Trail aufbauen

Jede KI-Entscheidung muss nachvollziehbar sein. Nicht nur „was hat das Modell ausgegeben", sondern „welchen Input hat es erhalten, welche Version lief, und was hat der Mensch mit dem Ergebnis gemacht."

// lib/ai-audit-log.ts
interface AIAuditEntry {
  id: string;
  timestamp: string;
  featureId: string;
  modelVersion: string;
  input: Record<string, unknown>;  // bereinigt — keine rohen PII
  output: Record<string, unknown>;
  confidence: number;
  humanDecision?: string;
  humanOverride: boolean;
}

export async function logAIDecision(entry: AIAuditEntry) {
  await prisma.aiAuditLog.create({
    data: {
      ...entry,
      input: JSON.stringify(entry.input),
      output: JSON.stringify(entry.output),
    },
  });
}

Keine PII loggen

Der Audit-Log sollte genug enthalten, um die Entscheidung nachzuvollziehen, aber keine Rohdaten personenbezogener Informationen. Hasht oder anonymisiert nutzeridentifizierende Informationen.

5. Bias-Testing — In der CI automatisieren

Der AI Act verlangt, dass Hochrisikosysteme auf Bias über geschützte Merkmale getestet werden. Nicht manuell. Automatisiert.

// tests/ai/bias-check.test.ts
describe("Kreditbewertungsmodell Bias-Check", () => {
  it("sollte demografische Paritätslücke < 5 % haben", async () => {
    const testCases = generateDemographicTestSet({
      ages: [25, 35, 45, 55, 65],
      genders: ["male", "female", "non-binary"],
    });

    const results = await runModelOnTestSet(testCases);
    const parityGap = calculateDemographicParity(results);

    expect(parityGap).toBeLessThan(0.05);
  });
});

Lauft das in eurer CI-Pipeline. Wenn Bias-Schwellenwerte überschritten werden, schlägt der Build fehl.

6. Menschliche Aufsicht — Den Override bauen

Hochrisikosysteme brauchen einen Menschen in der Schleife. Baut drei Dinge:

Override-UI — ein Weg für Operatoren, die KI-Entscheidung zu ändern
Kill Switch — die KI-Funktion ohne Redeployment deaktivieren
Eskalationspfad — bei niedriger Konfidenz automatisch an einen Menschen weiterleiten

Die Compliance-Timeline

Frist	Anforderung	Engineering-Arbeit
Feb 2025 (erledigt)	Verbotene Praktiken gebannt	Social Scoring o.ä. entfernen
Aug 2025 (erledigt)	GPAI-Anbieter müssen compliant sein	Nur wenn ihr Foundation Models baut
Aug 2026	Hochrisikosystem-Compliance	Alles in dieser Checkliste
Aug 2027	Volle Durchsetzung für alle Kategorien	Restliche System-Updates

Warum das eigentlich ein Vorteil ist

Hier kommt die konträre These: Der AI Act ist ein Wettbewerbsvorteil.

US-Unternehmen, die KI-Produkte nach Europa liefern, müssen Compliance nachträglich draufschrauben. EU-Unternehmen, die sie von Anfang an einbauen, haben bessere Dokumentation, zuverlässigere Modelle, höheres Nutzervertrauen und geringeres Bußgeldrisiko.

Wir haben AI-Act-Compliance in unseren MVP-Entwicklungsprozess integriert. Es fügt etwa 2–3 Tage zu einem 4-Wochen-Sprint hinzu. Ein kleiner Preis dafür, legal im größten regulierten Markt der Welt shippen zu können.

Das Fazit

Der AI Act verschwindet nicht. Die Frist verschiebt sich nicht. Und „kümmern wir uns später drum" ist der Weg zu 7 % Umsatzbußgeld.

Fangt mit der Risikoklassifizierung an. Baut den Audit Trail. Automatisiert Bias-Testing. Dokumentiert eure Modelle als Code.

Sechs Monate sind genug Zeit, wenn ihr jetzt anfangt. Sie reichen nicht, wenn ihr im Juli anfangt.

Du brauchst Hilfe bei der Entwicklung EU-AI-Act-konformer KI-Features? Erfahre mehr über unsere KI- & LLM-Integration.