EU AI Act Vorlagen: 58 Dokumente für Anbieter + Betreiber

Veröffentlicht: 17. Mai 2026 · Letzte Aktualisierung: 17. Mai 2026· Kategorie: EU AI Act

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

4 Risikoklassen, 4 Dokumenten-Pakete: Verboten (Art. 5), Hochrisiko (Annex III), Begrenzt (Art. 50), Minimal
Anbieter Hochrisiko: 9 Kerndokumente (Risk-Management, Data Governance, Tech-Doku Annex IV, Logging, Transparenz, Human Oversight, Accuracy/Robustness, Konformitätsbewertung, EU-Konformitätserklärung)
Betreiber Hochrisiko: Art. 26 (Instruktionen, Logging, Monitoring) + Art. 27 FRIA (für Behörden, Banking, Versicherung, Bildung, kritische Infrastruktur)
GPAI: Art. 53 (alle) + Art. 55 (10^25 FLOPS) — Tech-Doku, Copyright, Training-Data-Summary
Bußgelder: bis 35 Mio. EUR / 7 % Weltumsatz

1. Vorlagen nach Risikoklasse

Der EU AI Act (Verordnung (EU) 2024/1689) staffelt Pflichten nach Risiko. Der Vorlagen-Bedarf folgt direkt dieser Klassifikation:

1.1 Verbotene Praktiken (Art. 5) — seit 02.02.2025

Acht Praktiken sind komplett untersagt: Social Scoring durch Behörden, manipulative Subliminal-KI, Ausnutzen von Schutzbedürftigkeit, biometrische Echtzeit-Identifikation im öffentlichen Raum (mit engen Ausnahmen), Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, biometrische Kategorisierung nach sensiblen Merkmalen, ungezielte Scraping-Datenbanken für Gesichtserkennung, Predictive Policing rein auf Profiling-Basis.

Vorlagen-Bedarf: Prohibition-Compliance-Statement, Use-Case-Inventory mit Klassifikation, Einsatz-Verbots-Policy. Wer keine verbotene Praxis betreibt, dokumentiert das aktiv — Aufsichtsbehörden fragen das ab.

1.2 Hochrisiko (Annex III + Annex I) — ab 02.08.2026

Annex III listet acht Anwendungsbereiche: biometrische Identifikation, kritische Infrastruktur, allgemeine + berufliche Bildung, Beschäftigung (Bewerber-Screening, Beförderungs-Entscheidungen, Performance-Monitoring), wesentliche private/öffentliche Dienste (Kreditwürdigkeit, Versicherungs-Risiko-Bewertung, Notrufdisposition), Strafverfolgung, Migration/Asyl/Grenze, Justizverwaltung + Wahlen. Annex I erfasst KI als Sicherheitskomponente in regulierten Produkten (Medizinprodukte, Maschinen, Spielzeug, Aufzüge).

Vorlagen-Bedarf: komplettes Compliance-Set für Anbieter (Art. 16 + Anhang IV) plus Betreiber-Set (Art. 26-27). Ca. 30-40 Dokumente pro Hochrisiko-System.

1.3 Begrenztes Risiko (Art. 50) — ab 02.08.2026

Transparenzpflichten bei Chatbots, KI-generierten Inhalten, Deepfakes, Emotionserkennungs- und biometrischen Kategorisierungssystemen, die nicht verboten sind. Nutzer müssen erkennen können, dass sie mit einer KI interagieren bzw. dass Inhalt KI-generiert ist (Wasserzeichen / Labels).

Vorlagen-Bedarf: Transparenz-Erklärung, Chatbot-Disclaimer, Deepfake-Labeling-Policy, Watermarking-Konzept.

1.4 Minimales Risiko — seit 02.02.2025 nur AI-Literacy

Spamfilter, KI in Videospielen, einfache Empfehlungssysteme: keine spezifischen Pflichten. Aber: AI-Literacy nach Art. 4 gilt für jedes Unternehmen, das KI einsetzt oder bereitstellt — Mitarbeiter müssen geschult sein.

Vorlagen-Bedarf: AI-Literacy-Schulungskonzept, Schulungs-Nachweis, AI-Acceptable-Use-Policy.

2. Pflichten Anbieter (Art. 16) — die 9 Kerndokumente

2.1 Risk-Management-System (Art. 9)

Iterativer Prozess über den gesamten KI-Lebenszyklus: Identifikation vorhersehbarer Risiken, Bewertung, Mitigation, Rest-Risiko-Dokumentation, Testing. Vorlage: Risk-Management-Plan + Risk-Register.

2.2 Data-Governance (Art. 10)

Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Bias-Prüfung verpflichtend. Vorlage: Data-Governance-Policy, Bias-Assessment-Protokoll, Data-Lineage-Dokumentation.

2.3 Technische Dokumentation (Art. 11 + Anhang IV)

Anhang IV listet 9 Bereiche: allgemeine Beschreibung, detaillierte Funktionsweise (Architektur, Datensätze, Validierungs-Verfahren), Monitoring-Verfahren, Performance-Metriken, Risiko-Management-System, Änderungs-Management, Standards-Konformität, EU-Konformitätserklärung, Post-Market-Monitoring-Plan. Vorlage: Technical-Documentation-Template nach Annex IV (typisch 40-80 Seiten).

2.4 Logging (Art. 12)

Automatische Aufzeichnung von Ereignissen über den Lebenszyklus, mindestens: Aufzeichnungs-Zeitraum, Eingangs-Datenbank-Referenz, Ergebnis-Übereinstimmungs-Prüfung, Personen-Identifikation für menschliche Überprüfung. Vorlage: Logging-Konzept + Log-Spezifikation.

2.5 Transparenz + User-Information (Art. 13)

Betreibern müssen klare, vollständige, korrekte Anweisungen mitgeliefert werden: Zweck, Genauigkeit, bekannte Limitierungen, Trainingsdaten-Eigenschaften, Erwartungen für menschliche Aufsicht, Hardware-Requirements, erwartete Lebensdauer. Vorlage: User-Instructions / Deployer-Information-Document.

2.6 Human-Oversight (Art. 14)

Das System muss so designed sein, dass natürliche Personen es überwachen können — Stop-Button, Interpretierbarkeit der Outputs, Bewusstsein für Automation-Bias. Vorlage: Human-Oversight-Konzept + Interventions-Protokoll.

2.7 Accuracy, Robustness + Cybersecurity (Art. 15)

Angemessene Leistungs-Level über Lebenszyklus, Resilienz gegen Fehler / Inkonsistenzen / adversariale Inputs / Data Poisoning. Vorlage: Accuracy/Robustness-Testbericht, Cybersecurity-Konzept (orientiert an ENISA-Leitlinien).

2.8 Konformitätsbewertung (Art. 43)

Vor Inverkehrbringen: interne Kontrolle (Modul A) oder Notified Body (Modul B+C, B+F, H) je nach Annex. Vorlage: Conformity-Assessment-Bericht + interne Kontrollverfahren.

2.9 EU-Konformitätserklärung + CE-Kennzeichnung (Art. 47-48)

Vorlage: EU-Konformitätserklärung nach Anhang V.

3. Pflichten Betreiber/Deployer (Art. 26)

Wer ein Hochrisiko-KI-System einsetzt, ist Betreiber und hat eigene Pflichten — auch wenn er das System nicht entwickelt hat:

Anweisungen befolgen: Anbieter-Instruktionen umsetzen, technische + organisatorische Maßnahmen
Human Oversight: natürliche Person mit ausreichender Kompetenz benennen
Input-Daten: Sicherstellen, dass Eingangsdaten dem Verwendungszweck entsprechen
Monitoring: Betrieb überwachen, ernsthafte Vorfälle innerhalb 15 Tage an Anbieter + Aufsicht melden
Logging: automatisch erzeugte Logs mindestens 6 Monate aufbewahren
Betriebsrat + Beschäftigte informieren: vor Einsatz im Arbeitsumfeld (Art. 26 Abs. 7)
DSGVO-DSFA: KI-spezifische Risiken einbeziehen

Vorlagen: Deployer-Compliance-Checkliste, Human-Oversight-Bestellung, Monitoring-Konzept, Vorfalls-Meldeprotokoll, Betriebsrats-Info-Mitteilung.

4. FRIA — Fundamental Rights Impact Assessment (Art. 27)

Verpflichtend für: öffentliche Stellen (alle Hochrisiko-KI), private Stellen bei öffentlichen Diensten (Bildung, Beschäftigung, kritische Infrastruktur), Kreditwürdigkeitsprüfung, Lebens- und Krankenversicherungs-Risikobewertung.

Pflicht-Inhalte:

Beschreibung der Einsatzprozesse
Zeitraum und Häufigkeit der Nutzung
Kategorien betroffener natürlicher Personen
Spezifische Risiken für Grundrechte
Human-Oversight-Maßnahmen
Maßnahmen bei Realisierung der Risiken (Beschwerdemechanismen)

Die FRIA muss vor der ersten Nutzung erstellt, an die Marktüberwachungsbehörde gemeldet und bei wesentlichen Änderungen aktualisiert werden. Sie kann mit der DSGVO-DSFA (Art. 35 DSGVO) kombiniert werden, wenn beide Pflichten zutreffen.

Vorlage: FRIA-Template mit 6 Pflicht-Sektionen + Risiko-Matrix-Worksheet.

5. GPAI — Art. 53-55

General-Purpose-AI-Modelle (GPAI) sind ein eigenes Regelungs-Regime. Anbieter wie OpenAI, Anthropic, Google, Meta, Mistral fallen darunter.

5.1 Alle GPAI (Art. 53) — seit 02.08.2025

Technische Dokumentation nach Anhang XI
Informationen für nachgelagerte Anbieter (Annex XII)
Copyright-Compliance-Policy (Reservation of Rights nach Art. 4(3) DSM-Richtlinie respektieren)
Summary of Training Data (öffentlich, nach AI-Office-Template)

Ausnahme: Open-Source-GPAI-Anbieter sind teilweise befreit, sofern keine systemischen Risiken.

5.2 GPAI mit systemischem Risiko (Art. 55) — Schwelle 10^25 FLOPS

Zusätzlich:

Model Evaluations (State-of-the-Art-Protokolle, Red-Teaming)
Adversarial Testing
Systemic-Risk-Assessment + Mitigation
Cybersecurity-Schutz (Modellgewichte, Trainings-Infrastruktur)
Tracking + Meldung schwerwiegender Vorfälle ans AI Office

Details siehe GPAI-Compliance-Vorlage Art. 53-55.

6. Übersichts-Tabelle der 58 Dokumente

Kategorie	Anzahl	Beispiel-Dokumente
Governance + AI-Literacy	8	AI-Governance-Policy, AI-Literacy-Schulung, Rollen-Matrix, Acceptable-Use-Policy
Risikoklassifikation	4	Use-Case-Inventory, Klassifikations-Entscheidung, Prohibition-Statement
Anbieter Hochrisiko (Art. 9-15)	14	Risk-Mgmt-Plan, Data-Governance, Tech-Doku Annex IV, Logging, User-Instruktionen, Human-Oversight, Accuracy-Tests, Robustness, Cybersecurity, Post-Market-Monitoring-Plan
Konformität + CE (Art. 43-49)	5	Conformity-Assessment-Bericht, EU-Konformitätserklärung, CE-Kennzeichnung-Dossier, Registrierungs-Eintrag EU-DB
Betreiber Hochrisiko (Art. 26)	7	Deployer-Checkliste, Monitoring-Plan, Vorfalls-Meldung, Betriebsrats-Info, Logging-Aufbewahrung
FRIA (Art. 27)	3	FRIA-Template, Risiko-Matrix, Beschwerdemechanismus
Transparenz Art. 50	4	Chatbot-Disclaimer, Deepfake-Labeling, Watermarking-Konzept, KI-Inhalt-Kennzeichnung
GPAI (Art. 53-55)	8	Tech-Doku Annex XI, Downstream-Info Annex XII, Copyright-Policy, Training-Data-Summary, Model-Evaluation-Protokoll, Adversarial-Testing
Audit + Compliance	5	Audit-Checkliste, Interne-Revision-Bericht, Continuous-Compliance-Plan, Lieferanten-Bewertung
Summe	58	— vollständige Compliance-Dokumentation

7. Fristen 2025-2027

02.02.2025: Verbotene Praktiken (Art. 5) — sofort, ohne Übergangsfrist. AI-Literacy-Pflicht (Art. 4) aktiv.
02.08.2025: GPAI-Pflichten (Art. 53-55), AI Office voll arbeitsfähig, Governance-Strukturen, nationale Aufsichtsbehörden, Sanktionen (außer GPAI).
02.08.2026: Hochrisiko-KI Annex III + Transparenz Art. 50. Code of Practice GPAI verbindlich.
02.08.2027: Hochrisiko-KI Annex I (eingebettet in regulierte Produkte) + Strafen GPAI.
02.08.2030: Bestehende öffentliche Hochrisiko-Systeme müssen konform sein.

FAQ

Welche EU-AI-Act-Vorlagen brauchen Anbieter (Provider)?

Anbieter von Hochrisiko-KI brauchen 9 Kerndokumente: Risk-Management-System (Art. 9), Data Governance (Art. 10), Technische Dokumentation nach Anhang IV (Art. 11), Logging-Konzept (Art. 12), Transparenz-Anweisungen (Art. 13), Human-Oversight-Plan (Art. 14), Accuracy/Robustness/Cybersecurity-Nachweis (Art. 15), Konformitätsbewertung (Art. 43), EU-Konformitätserklärung (Art. 47).

Welche Vorlagen brauchen Betreiber (Deployer)?

Betreiber-Pflichten nach Art. 26: Anweisungen umsetzen, Logging aufbewahren (6 Monate), menschliche Aufsicht, Information der Beschäftigten und Betriebsrat. Bei Behörden + spezifischen Hochrisiko-Anwendungen zusätzlich Fundamental Rights Impact Assessment (FRIA) nach Art. 27.

Was ist mit GPAI (General Purpose AI)?

GPAI-Anbieter brauchen Technische Dokumentation (Anhang XI), Downstream-Info-Dokument (Anhang XII), Copyright-Compliance-Statement, Training-Data-Summary. Bei systemischem Risiko (10^25 FLOPS) zusätzlich Model Evaluations, Adversarial Testing, Incident-Reporting an AI Office (Art. 55).

Wann gelten welche Fristen?

02.02.2025: Verbotene Praktiken + AI-Literacy. 02.08.2025: GPAI-Pflichten + Governance. 02.08.2026: Hochrisiko-Systeme Annex III. 02.08.2027: Hochrisiko-Systeme Annex I (regulierte Produkte) + Strafen GPAI.

Wie hoch sind die Bußgelder?

Bis 35 Mio. EUR oder 7 % Weltjahresumsatz bei verbotenen Praktiken (Art. 99 Abs. 3), bis 15 Mio. EUR oder 3 % bei Verstößen gegen Anbieter-/Betreiber-Pflichten, bis 7,5 Mio. EUR oder 1 % bei falschen Angaben gegenüber Behörden.

Brauche ich die Vorlagen auch ohne Hochrisiko-KI?

Ja. AI-Literacy-Pflicht (Art. 4) gilt seit 02.02.2025 für alle, die KI einsetzen — unabhängig von Risikoklasse. Transparenz-Pflichten Art. 50 betreffen Chatbots, Deepfakes und KI-generierte Inhalte.

Quellen

Stand: 17.05.2026

Verordnung (EU) 2024/1689 (EU AI Act) — konsolidierte Fassung (Stand: 17.05.2026)
Anhang III — Hochrisiko-Anwendungsbereiche (Stand: 17.05.2026)
Anhang IV — Technische Dokumentation (Stand: 17.05.2026)
Europäische Kommission — AI Office (Stand: 17.05.2026)

Werkzeuge & Selbsttests

EU AI Act Readiness-Check Pruefen Sie Ihre AI-Act-Reife in 10 Minuten. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. EU AI Act Selbsttest Welche Risikoklasse trifft mein KI-System? In 5 Minuten klassifiziert.