EU AI Act & NIS2
Wie Act-Check die Beweislast automatisiert
Compliance-Leitfaden für Geschäftsführer | Version 1.0 | Dezember 2025
⚠️ Persönliche Haftung der Geschäftsführung
EU AI Act (ab 02.08.2026 anwendbar): Bußgelder bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen Hochrisiko-KI-Vorschriften (Art. 99).
NIS2-Richtlinie (ab 18.10.2024): Persönliche Haftung von Geschäftsführern für Cybersecurity-Verstöße (Art. 20 Abs. 2). Sanktionen bei Nichtbeachtung des Risk Managements.
1. Das Risiko: Fehlende KI-Transparenz
📊 Typische Situation
- Mitarbeiter nutzen ChatGPT, GitHub Copilot, Midjourney
- Unklar: Welche KI-Systeme sind im Einsatz?
- Unklar: Fließen personenbezogene Daten in KI-Modelle?
- Keine Dokumentation für Audits
❌ Konsequenzen
- EU AI Act: Fehlende KI-Inventarisierung = Organisationsverschulden
- DSGVO: Unerlaubte Datenübermittlung an Drittländer (Art. 44)
- NIS2: Unzureichende Supply-Chain-Kontrolle
- Haftung: Geschäftsführung kann nicht darlegen, Sorgfaltspflicht erfüllt zu haben
2. Die Lösung: Act-Check als „Beweislast-Automatisierung"
Act-Check erfüllt die drei zentralen Nachweispflichten:
✓ 1. KI-Inventarisierung (EU AI Act Art. 11 & 51)
Pflicht: Betreiber müssen ein Register aller eingesetzten KI-Systeme führen.
Act-Check: Analysiert automatisch Proxy-Logs und API-Verkehr → Erkennt OpenAI, Anthropic, Google AI, etc. → Generiert vollständiges KI-Inventar.
✓ 2. Risikobewertung (EU AI Act Anhang III)
Pflicht: Klassifizierung nach „unzulässig", „Hochrisiko", „begrenztes Risiko", „minimales Risiko".
Act-Check: RAG-Modell vergleicht erkannte KI-Systeme mit EU AI Act Anhang III → Automatische Risiko-Einordnung → Vorschläge für notwendige TOM (technische und organisatorische Maßnahmen).
✓ 3. Supply-Chain-Sicherheit (NIS2 Art. 21)
Pflicht: Unternehmen müssen Cybersecurity-Risiken in der Lieferkette (inkl. SaaS-Anbieter) bewerten.
Act-Check: Überwacht kontinuierlich, welche KI-Dienste genutzt werden → Warnt bei neuen oder unbekannten APIs → Compliance-Dokumentation für Aufsichtsbehörden.
3. Checkliste: Haftung vermeiden in 5 Schritten
Schritt 1: Act-Check einbinden
Proxy-Logs in Act-Check routen (z. B. via Squid, NGINX oder Cloud NAT).
⏱ Aufwand: 1-2 Stunden (einmalig)
Schritt 2: KI-Inventar generieren lassen
Act-Check durchsucht 7-30 Tage Proxy-Logs → Erstellt vollständige Liste genutzter KI-Systeme.
⏱ Automatisch, keine Handarbeit
Schritt 3: Risikobewertung prüfen
RAG-Modul vergleicht KI-Systeme mit EU AI Act Anhang III → Zeigt Hochrisiko-Systeme an.
⏱ Echtzeitanalyse
Schritt 4: Compliance-Report exportieren
PDF-Report mit vollständigem KI-Inventar, Risikobewertung und DSGVO-Konformitätsstatus.
⏱ 1-Klick-Export
Schritt 5: Halbjährliches Review
Geschäftsführung nimmt KI-Inventar zur Kenntnis → Unterschrift = Nachweis der Sorgfaltspflicht.
⏱ 15 Minuten (alle 6 Monate)
4. Rechtliche Grundlagen im Überblick
| Rechtsvorschrift | Pflicht | Sanktion |
|---|---|---|
| EU AI Act Art. 11 | KI-Inventarisierung führen | Bis 35 Mio. € oder 7 % Umsatz |
| EU AI Act Art. 51 | Hochrisiko-KI dokumentieren | Bis 15 Mio. € oder 3 % Umsatz |
| DSGVO Art. 44 | Drittland-Transfers absichern | Bis 20 Mio. € oder 4 % Umsatz |
| NIS2 Art. 21 | Supply Chain Security | Persönliche Haftung GF |
5. Konkrete Haftungsszenarien
❌ Szenario 1: Mitarbeiter nutzt ChatGPT für Kundendaten
Risiko: DSGVO-Verstoß (Art. 44 – unerlaubte Drittlandübermittlung nach USA)
Ohne Act-Check: Geschäftsführung kann nicht darlegen, dass KI-Nutzung überwacht wurde → Organisationsverschulden
Mit Act-Check: ✓ Proxy-Logs zeigen OpenAI-Aufruf → ✓ Automatische Warnung → ✓ Nachweis, dass System implementiert war
❌ Szenario 2: Audit durch Aufsichtsbehörde
Frage: „Welche KI-Systeme nutzen Sie? Haben Sie eine Risikobewertung durchgeführt?"
Ohne Act-Check: Keine Antwort möglich → Bußgeld wegen fehlender Dokumentation
Mit Act-Check: ✓ PDF-Report mit vollständigem KI-Inventar → ✓ RAG-gestützte Risikobewertung → ✓ Nachweis der Sorgfaltspflicht
❌ Szenario 3: Datenleck bei KI-Anbieter
Risiko: OpenAI wird gehackt → Kundendaten öffentlich → DSGVO Art. 33 (Meldepflicht innerhalb 72h)
Ohne Act-Check: Unklar, ob überhaupt OpenAI genutzt wurde → Verspätete Meldung → Zusätzliches Bußgeld
Mit Act-Check: ✓ Sofortbenachrichtigung → ✓ Liste betroffener Anfragen → ✓ Rechtzeitige Meldung möglich
6. Business Case: ROI-Berechnung
💸 Kosten ohne Act-Check
- Manuelle KI-Inventarisierung: ~40h/Jahr = 6.000 €
- Externer Datenschutzberater: ~10.000 €/Jahr
- Risiko Bußgeld (1% Wahrscheinlichkeit): ~50.000 € Erwartungswert
- Gesamt: ~66.000 €/Jahr
✓ Kosten mit Act-Check
- Act-Check Pro Abo: ~5.000 €/Jahr
- Setup-Aufwand (einmalig): ~2.000 €
- Halbjährliches Review: ~500 €/Jahr
- Gesamt: ~7.500 €/Jahr (ab Jahr 2)
💰 Einsparung: ~58.500 € pro Jahr
7. Zusammenfassung: Ihre Handlungsempfehlung
✓ Rechtssicherheit: Act-Check erfüllt EU AI Act Art. 11 (Inventarisierung) und NIS2 Art. 21 (Supply Chain)
✓ Haftungsschutz: Geschäftsführung kann nachweisen, dass Sorgfaltspflicht erfüllt wurde
✓ Kosteneffizienz: ~88 % Kosteneinsparung vs. manuelle Compliance
✓ Audit-ready: Jederzeit exportierbarer Compliance-Report für Aufsichtsbehörden
Handlungsbedarf bis:
02. August 2026
(Inkrafttreten EU AI Act Inventarisierungspflicht)
Lutz Hoffmann / Invory
Hittastraße 11, 41061 Mönchengladbach
E-Mail: admin@invory.de | Web: www.act-check.eu