Dokumentation

Schritt-für-Schritt-Leitfäden, mit denen Ihr Unternehmen die Anforderungen des EU AI Act erfüllt.

Erste Schritte

~15 Minuten, um Ihr erstes KI-System zu erfassen

1

Konto erstellen

Öffnen Sie die Registrierungsseite und geben Sie Name, Firmen-E-Mail-Adresse und Passwort ein. Sie erhalten eine Bestätigungs-E-Mail. Für die 14-tägige Testphase ist keine Kreditkarte erforderlich.

2

Organisation einrichten

Geben Sie Firmenname, Land, Branche und Unternehmensgröße an. Diese Angaben helfen der Plattform, die anwendbaren Pflichten vorzuwählen (z. B. gelten für Einrichtungen des öffentlichen Sektors zusätzliche Anforderungen nach Anhang III).

3

Erstes KI-System anlegen

Klicken Sie im Dashboard auf „KI-System hinzufügen“. Vergeben Sie einen Namen, eine kurze Beschreibung und die Zweckbestimmung (z. B. „Screening-Tool für die Personalauswahl“ oder „Chatbot für den Kundensupport“). Jedes Tool, jede Anwendung und jedes Modell mit KI benötigt einen eigenen Eintrag.

4

Klassifizierungs-Assistenten durchlaufen

Beantworten Sie 8–12 verständlich formulierte Fragen zum System. Die Plattform ermittelt automatisch die Risikostufe (verboten, Hochrisiko, Transparenzpflichten, minimales Risiko oder GPAI) und listet genau die Pflichten auf, die gelten.

5

Betriebsanleitung hochladen

Nach Art. 13 + Art. 26(1) muss für jedes KI-System die Betriebsanleitung des Anbieters gespeichert und zugänglich sein. Laden Sie die Anleitung (PDF, DOCX oder URL) in den Document Vault hoch. Dieser Schritt ist vor dem produktiven Einsatz erforderlich.

6

Einsatz registrieren

Bestätigen Sie vor dem Go-live den Einsatz: Wählen Sie die verantwortliche Person (Einsatzverantwortlicher), das Go-live-Datum und die vorgesehene Einsatzumgebung. So entsteht der unveränderliche Audit-Trail, den Art. 26 verlangt.

Tipp: War ein System bereits vor der Erfassung im Einsatz, tragen Sie das tatsächliche Go-live-Datum in der Vergangenheit ein. Die Plattform berechnet, welche Pflichten ab diesem Datum galten.

Risikoklassifizierung

So arbeitet die Engine — und so interpretieren Sie das Ergebnis

Die fünf Risikostufen

Verboten

Praktiken, die Art. 5 ausdrücklich verbietet (z. B. Social Scoring, biometrische Echtzeit-Überwachung im öffentlichen Raum; das Omnibus-Paket verbietet zudem die KI-Erzeugung nicht einvernehmlicher intimer Darstellungen sowie von CSAM, mit Umsetzung bis 2. Dezember 2026). Diese Systeme dürfen nicht eingesetzt werden.

Hochrisiko

Systeme nach Anhang I (Sicherheitsbauteile regulierter Produkte) oder Anhang III (KI in der Personalauswahl, Kreditwürdigkeitsprüfung, Strafverfolgung, Bildung, kritischen Infrastrukturen usw.). Es gilt der vollständige Pflichtenkatalog.

Transparenzpflichten

Systeme, die mit Menschen interagieren (Chatbots, Emotionserkennung, Deepfakes). Sie müssen offenlegen, dass es sich um KI handelt — Art. 50.

GPAI

KI-Modelle mit allgemeinem Verwendungszweck, die in Ihr Produkt integriert sind (GPT-4o, Claude, Gemini usw.). Löst zusätzliche Pflichten nach Art. 53–55 aus, wenn Sie diese Modelle feinabstimmen oder substanziell integrieren.

Minimales Risiko

Die meisten KI-Tools (Spam-Filter, Empfehlungssysteme, KI-gestützte Produktivitätswerkzeuge). Keine verpflichtenden Auflagen — eine Dokumentation als gute Praxis wird empfohlen.

So funktioniert die Klassifizierungs-Engine

Die Engine arbeitet regelbasiert (deterministisch), nicht mit maschinellem Lernen. Sie wendet einen Entscheidungsbaum mit ~30 Regeln an, die direkt aus dem Text des EU AI Act und den Leitlinien der Kommission zu Art. 3 und Art. 6 abgeleitet sind. Jede Entscheidung ist erklärbar und prüffähig — Sie können genau die Regel einsehen, die die Klassifizierung ausgelöst hat.

Wann neu klassifizieren?

Führen Sie die Klassifizierung erneut durch, wenn: (1) sich die Zweckbestimmung des Systems ändert, (2) das System wesentlich verändert wird (neue Trainingsdaten, neue Funktionen) oder (3) neue Vorschriften in Kraft treten (z. B. die Omnibus-Änderungen). Die Plattform benachrichtigt Sie, wenn eine Neuklassifizierung erforderlich ist.

Wichtig: Wenn Sie bei der Klassifizierung eines Systems unsicher sind, dokumentieren Sie Ihre Überlegungen im Feld „Notizen“ und ziehen Sie gegebenenfalls juristischen Rat hinzu. Die Plattform speichert Ihre Begründung als Teil des Audit-Trails.

Document Vault

Was Sie hochladen und wie die Aufbewahrung funktioniert

Erforderliche Dokumente je Risikostufe

Erforderliche Dokumente je Risikostufe des KI-Systems
Dokument Hochrisiko Transparenz Minimal Rechtsgrundlage
Betriebsanleitung (Anbieter) ✅ Required ✅ Recommended Art. 13 + Art. 26(1)
FRIA-Bericht ✅ Wenn Art. 27 anwendbar ist Art. 27
DSFA / DSGVO Art. 35 ✅ Required Art. 26(9)
Registrierung in der EU-Datenbank (Nutzung) ✅ Nur öffentliche Stellen Art. 49(3)
Transparenzhinweis (Nutzer) ✅ Required ✅ Required Art. 50 + Art. 26(11)
Betriebsprotokoll (6 Monate) ✅ Required Art. 26(5) + Art. 12
Vorfallsberichte ✅ Required ✅ If serious Art. 73
Nachweis der jährlichen Überprüfung ✅ Required Art. 26

Unterstützte Dateiformate

PDF, DOCX, XLSX, PNG, JPG (max. 50 MB pro Datei). Alle Dateien werden beim Hochladen auf Schadsoftware geprüft. URL-Links zu externen Dokumenten (SharePoint, Google Drive) werden ebenfalls unterstützt, mit einem Referenzvermerk.

Aufbewahrungsrichtlinie für Dokumente

Art. 12 verlangt, Protokolle mindestens 6 Monate über das Lebensende des KI-Systems hinaus aufzubewahren. Die Plattform markiert automatisch Dokumente, deren Aufbewahrungsfrist sich dem Ende nähert, und erinnert Sie 30 Tage, bevor eine Löschung möglich wird.

Tipp: Dokumente im Vault sind versioniert. Laden Sie eine neue Version der Betriebsanleitung hoch, wird die vorherige Version archiviert (nicht gelöscht), damit der Audit-Trail vollständig bleibt.

Enterprise-API & Webhooks

REST-API zur Integration von Compliance-Daten in externe GRC-, BPM- oder BI-Tools.

Enterprise

Die Enterprise-API bietet programmatischen Zugriff auf Ihre Compliance-Daten. Authentifizieren Sie sich mit einem persönlichen Zugriffstoken, den Sie in der Plattform erzeugen.

Method Path Beschreibung
GET /api/v1/me Informationen zum angemeldeten Benutzer
GET /api/v1/ai-systems KI-Systeme auflisten (filterbar)
GET /api/v1/ai-systems/{id} Einzelnes KI-System
GET /api/v1/obligations 28 Pflichten mit Status
GET /api/v1/incidents Vorfälle auflisten
POST /api/v1/incidents Vorfall anlegen + löst Webhook aus

Webhook-Ereignisse

incident.created ai_system.classified ai_system.deployed ai_system.retired

Payloads werden mit HMAC-SHA256 signiert. Prüfen Sie den X-EuAiComply-Signature-Header bei jeder Anfrage.

OpenAPI-3.1-Spezifikation herunterladen

Bereit loszulegen?

14 Tage kostenlos testen. Keine Kreditkarte erforderlich.

Kostenloses Konto erstellen