- Published on
Check: Ist mein KI-System vom EU AI Act erfasst?
- Authors

- Name
- Tails Azimuth
Dieser Check ist der Einstiegspunkt für jede weitere Prüfung. Bevor Sie über Risikoklassen, Provider-Pflichten oder Reifegrade nachdenken, müssen Sie eine Vorfrage klären: Ist Ihr System rechtlich überhaupt ein "KI-System" im Sinne der Verordnung — und fällt es in den Anwendungsbereich? Fällt die Antwort negativ aus, sparen Sie sich alle Folgeprüfungen. Fällt sie positiv aus, wissen Sie, dass Sie weitergehen müssen. Der Check führt Sie in wenigen Minuten durch beide Fragen.
Vorbereitung
Halten Sie folgende Informationen bereit, bevor Sie starten:
- Eine kurze technische Beschreibung des Systems: Was tut es, wie erzeugt es seine Ausgaben?
- Den Einsatzkontext: privat, betrieblich, Forschung, Verteidigung?
- Den geografischen Bezug: Wo sitzen Sie, wo sitzen die Nutzer, wo werden die Ausgaben verwendet?
- Information darüber, ob es sich um klassische, fest programmierte Software handelt oder um ein System, das aus Daten Modelle ableitet.
Der Check
Frage 1: Leitet Ihr System seine Ausgaben aus Eingaben ab — auf eine Weise, die über reine, vom Menschen vollständig vorgegebene Regeln hinausgeht?
Die Definition des KI-Systems in Art. 3 stellt auf maschinengestützte Systeme ab, die mit einem gewissen Grad an Autonomie arbeiten und aus Eingaben ableiten, wie sie Ausgaben (etwa Vorhersagen, Empfehlungen oder Entscheidungen) erzeugen.
- Ja → siehe Frage 2
- Nein, es ist klassische, vollständig deterministisch durchprogrammierte Software ohne abgeleitete Logik → Ergebnis A: vermutlich nicht erfasst. Prüfen Sie dennoch Frage 2, falls Sie unsicher sind.
Frage 2: Wird das System in der EU in Verkehr gebracht, in Betrieb genommen oder verwendet — oder werden seine Ausgaben in der EU genutzt?
Der Anwendungsbereich (Art. 2) ist bewusst weit gefasst. Er greift nicht nur, wenn Sie in der EU sitzen, sondern auch, wenn Anbieter oder Betreiber außerhalb der EU ansässig sind, die vom System erzeugten Ausgaben aber innerhalb der EU verwendet werden.
- Ja → siehe Frage 3
- Nein, kein EU-Bezug in Sitz, Inbetriebnahme oder Ausgabenverwendung → Ergebnis B: außerhalb des Anwendungsbereichs.
Frage 3: Greift eine der Bereichsausnahmen aus Art. 2?
Die Verordnung nimmt mehrere Felder ausdrücklich aus. Prüfen Sie, ob einer der folgenden Punkte auf Ihr System zutrifft:
- Ausschließliche Nutzung für militärische, Verteidigungs- oder nationale Sicherheitszwecke.
- Systeme, die eigens und ausschließlich für wissenschaftliche Forschung und Entwicklung entwickelt und in Betrieb genommen werden.
- Forschungs-, Test- und Entwicklungstätigkeit vor dem Inverkehrbringen (nicht jedoch Tests unter Realbedingungen).
- Nutzung durch eine natürliche Person im Rahmen einer rein persönlichen, nicht beruflichen Tätigkeit.
Trifft einer dieser Punkte vollständig und ausschließlich zu?
- Ja → Ergebnis C: durch Bereichsausnahme freigestellt (für genau diesen Einsatzkontext).
- Nein → siehe Frage 4
Frage 4: Handelt es sich um eine freie und quelloffene Komponente, die nicht als Hochrisiko-System, nicht als verbotene Praktik und nicht als bestimmtes transparenzpflichtiges System in Verkehr gebracht wird?
Für freie und Open-Source-Komponenten gelten Erleichterungen — allerdings mit klaren Rückausnahmen für Hochrisiko, verbotene Praktiken und bestimmte Transparenzfälle.
- Ja → Ergebnis D: teilweise freigestellt, Sie sollten dennoch die Risikoklassifizierung prüfen.
- Nein → Ergebnis E: voll erfasst.
Auswertung
Ergebnis A bedeutet: Ihr System ist mit hoher Wahrscheinlichkeit kein KI-System im Sinne der Definition. Dokumentieren Sie diese Einschätzung trotzdem — die Abgrenzung zwischen abgeleiteter und rein regelbasierter Logik ist im Einzelfall nicht trivial.
Ergebnis B bedeutet: Kein EU-Anwendungsbereich. Behalten Sie im Blick, dass sich das ändert, sobald Ausgaben in der EU verwendet werden.
Ergebnis C stellt nur den geprüften Einsatzkontext frei. Wird dasselbe System später anders eingesetzt, kann der Anwendungsbereich wieder greifen.
Ergebnis D und E bedeuten: Sie sind im Anwendungsbereich. Die nächste Frage lautet nicht mehr "ob", sondern "welche Risikoklasse".
Nächste Schritte
- Bei Ergebnis D oder E: Gehen Sie weiter zur Risikoklassifizierung — beginnend mit der Prüfung verbotener Praktiken (Art. 5), dann Hochrisiko (Annex I/III). Die vier Risikoklassen erklärt im Detail ki-risikostufe.de.
- Klären Sie Ihre Rolle: Sind Sie Provider, Deployer, Importer oder Distributor? Daran hängt der gesamte Pflichtenkatalog.
- Halten Sie das Ergebnis dieses Checks schriftlich fest. Eine nachvollziehbare Scope-Einschätzung ist der erste Baustein einer audit-ready Trust-Infrastructure für das Forcing Event am 02.12.2027.
Den vollständigen Überblick über Pflichten, Risikoklassen und Fristen finden Sie im Leitfaden auf eu-ai-verordnung.de.
Was dieser Check NICHT leistet
Dieser Self-Check ersetzt keine Rechtsberatung. Die Definition des KI-Systems und die Reichweite der Bereichsausnahmen sind im Einzelfall auslegungsbedürftig, und die Einordnung kann von Details Ihrer Architektur und Ihres Einsatzkontexts abhängen. Der Check liefert Ihnen eine strukturierte Ersteinschätzung und zeigt, wo Sie genauer hinsehen müssen — die verbindliche Bewertung gehört in die Hände qualifizierter Berater.
Wenn dieser Check Sie zur Erkenntnis bringt, dass strukturierte Trust-Infrastructure nötig ist: AEGIRA AI Navigator deckt diese Self-Assessments operativ ab — aegira.ai.