Compliance-Assistent¶
Geführte technische Dokumentation nach EU AI Act für Ihre KI-Systeme
Der Compliance-Assistent bietet einen geführten Workflow zum Erstellen und Pflegen der technischen Dokumentation, die der EU AI Act verlangt. Er kombiniert einen strukturierten Dokumentations-Arbeitsbereich mit einem KI-Assistenten, der Sie bei der Einstufung Ihres Systems unterstützt, die erforderlichen Abschnitte ausfüllt, bestehende Dokumente importiert, die Qualität Ihrer Dokumentation prüft und das Ergebnis als vollständige technische Dokumentation nach Anhang IV als PDF exportiert.
Beta-Funktion
Der Compliance-Assistent befindet sich derzeit in der Beta-Phase. Funktionen und Workflows können sich ändern, da wir die Benutzererfahrung auf Grundlage von Nutzer-Feedback weiter verbessern.

Der Arbeitsbereich¶
Navigieren Sie in der Seitenleiste Ihres Projekts zu Compliance → Compliance-Assistent. Der Arbeitsbereich besteht aus zwei größenverstellbaren Bereichen:
- Technische Dokumentation (links) — der Dokumentationsbereich: Fortschrittsübersicht, Abschnittseditoren und Qualitätsprüfung
- Compliance-Assistent (rechts) — ein KI-Chat-Assistent, der Fragen beantwortet, Ihr System einstuft und Dokumentationsfelder für Sie ausfüllt; einklappbar, wenn Sie sich auf das Dokument konzentrieren möchten
Über die Kopfzeile des Dokumentationsbereichs erreichen Sie die Übersicht, Ihren Gesamtfortschritt, Abschnitts-Chips zum direkten Anspringen jedes Abschnitts, die Qualitätsprüfung, den EU AI Act-Regulierungsbrowser, Dokument importieren und Dokument generieren. Sobald die Risikoeinstufung abgeschlossen ist, erscheint ein Anforderungsfilter (Alle / Empfohlen / Pflicht).
Der Dokumentations-Workflow¶
Der Compliance-Assistent führt Sie durch vier Phasen:
- Einstufen — Projektrolle und Risikostufe des Systems bestimmen
- Dokumentieren — Die für Ihre Einstufung erforderlichen Abschnitte ausfüllen
- Prüfen — Compliance-Tests gegen Ihr System ausführen
- Bericht — Die technische Dokumentation generieren und herunterladen
Die Übersicht zeigt diese Phasen als Stepper, zusammen mit Ihrem Fortschritt in Prozent, offenen Pflichtlücken und einem vorgeschlagenen nächsten Schritt.

Phase 1: Einstufen¶
Die Einstufung steht am Anfang, weil sie bestimmt, welche Abschnitte und Felder erforderlich sind: Ein Anbieter eines Hochrisiko-Systems muss deutlich mehr dokumentieren als ein Betreiber eines Systems mit minimalem Risiko.
Projektrolle — Wählen Sie die Rolle, die Ihre Organisation für dieses KI-System einnimmt:
| Rolle | Bedeutung |
|---|---|
| Anbieter | Sie entwickeln das KI-System oder bringen es unter eigenem Namen in Verkehr |
| Betreiber | Sie verwenden ein KI-System in eigener Verantwortung in Ihrer Organisation |
| Beides | Sie entwickeln das System und betreiben es selbst |
Abschnitte, die für Ihre Rolle nicht relevant sind, werden ausgeblendet. Wenn Sie Betreiber wählen, Ihre Angaben aber auf eine wesentliche Änderung eines Hochrisiko-Systems hindeuten, weist der Assistent darauf hin, dass Sie möglicherweise zum Anbieter geworden sind (Art. 25 Abs. 1 lit. c).
Risikoeinstufung — Beschreiben Sie Ihr System (Zweckbestimmung, betroffene Personen, Einfluss auf Entscheidungen) und wählen Sie anschließend die Risikostufe samt Begründung der Einstufung:
| Risikostufe | Bedeutung |
|---|---|
| Hochrisiko | Das System fällt unter eine der Hochrisiko-Kategorien des EU AI Act (z. B. Anwendungsfälle nach Anhang III) |
| Begrenztes Risiko | Das System unterliegt Transparenzpflichten, ist aber kein Hochrisiko-System |
| Minimales Risiko | Keine spezifischen Pflichten nach dem EU AI Act |

Verbotene Praktiken
Nach Art. 5 verbotene Praktiken (z. B. Social Scoring) sind keine wählbare Risikostufe — solche Systeme dürfen gar nicht in Verkehr gebracht werden. Die Risikoeinstufung erläutert dies in einem Hinweis.
Transparenz (Art. 50) — Eine eigene Bewertungskarte behandelt die Transparenzpflichten aus Art. 50: ob sie auf Ihr System anwendbar sind, welche Auslöser zutreffen (Interaktion mit Menschen, synthetische Inhalte, Emotionserkennung oder biometrische Kategorisierung, Deepfakes, KI-generierte Texte zu Angelegenheiten von öffentlichem Interesse) und wie Sie sie erfüllen. Transparenzpflichten gelten kumulativ — auch ein Hochrisiko-System kann Art. 50 unterliegen.
BSI Schutzbedarfsfeststellung — Ein ergänzendes Modul (über den EU AI Act hinaus) zur Schutzbedarfsfeststellung nach BSI IT-Grundschutz in den Dimensionen Vertraulichkeit, Integrität und Verfügbarkeit, jeweils bewertet mit Niedrig / Mittel / Hoch, plus Gesamtschutzbedarf.
DSFA-Hinweis
Deutet Ihre Einstufung auf ein hohes Risiko oder hohen Vertraulichkeitsbedarf hin, zeigt der Assistent einen Hinweis, dass eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) wahrscheinlich erforderlich ist. Dies ist eine informative Heuristik, kein zusätzlicher Dokumentationsabschnitt.
Phase 2: Dokumentieren¶
Die Dokumentation ist in Abschnittsgruppen organisiert. Welche Abschnitte erscheinen — und welche Felder Pflicht sind — hängt von Rolle und Risikostufe ab:
| Gruppe | Inhalt |
|---|---|
| Bewertung | Projektrolle, Risikoeinstufung und Transparenz (Art. 50) |
| Anhang IV | Die neun Abschnitte der technischen Dokumentation (§1–§9): allgemeine Beschreibung, Entwicklung, Überwachung, Leistung, Risikomanagement, Änderungen, Normen, Konformität, Post-Market-Plan |
| Weitere Pflichten | EU-Konformitätserklärung (Anhang V), Daten-Governance (Art. 10), Qualitätsmanagementsystem (Art. 17), Konformitätsbewertung (Art. 43), Registrierung in der EU-Datenbank (Art. 49, 71, Anhang VIII), GPAI-Modelldokumentation (Art. 53, Anhang XI), Marktbeobachtung (Art. 72), Meldung schwerwiegender Vorfälle (Art. 73) |
| Ergänzend | BSI Schutzbedarfsfeststellung |
Welche Module sichtbar sind, hängt von Ihrer Rolle ab: Mit der Rolle Betreiber werden anbieterspezifische Module ausgeblendet, stattdessen erscheinen betreiberspezifische wie Betreiberpflichten (Art. 26) und die Grundrechte-Folgenabschätzung (Art. 27).
Jedes Feld trägt eine aus Ihrer Einstufung abgeleitete Anforderungsstufe — Pflicht, Empfohlen oder Nicht erforderlich — und jeder Abschnitt zeigt seinen Status (Nicht begonnen / In Bearbeitung / Abgeschlossen). Leere Felder zeigen „Noch nicht dokumentiert"; über den Filter in der Kopfzeile blenden Sie gezielt nur Pflicht- oder empfohlene Felder ein.

Es gibt mehrere Wege, Inhalte zu erfassen:
- Direkt bearbeiten — Jedes Feld ist ein editierbares Textfeld mit automatischem Speichern. Feld leeren setzt ein Feld zurück.
- Den Assistenten fragen — Beschreiben Sie Ihr System im Chat; der Assistent schreibt die passenden Felder für Sie.
- Dokument importieren — Inhalte aus bestehender Dokumentation übernehmen (siehe Dokumente importieren).
- Aus Anhang IV übernehmen — Abgeleitete Module (z. B. die Konformitätserklärung) können bereits erfasste Anhang-IV-Inhalte wiederverwenden.
- Compliance-Testergebnisse nutzen — Vorhandene Compliance-Evaluationen des Projekts können als Leistungsnachweis referenziert werden.
Phase 3: Prüfen¶
Die Phase Prüfen verweist auf die Compliance-Funktion, mit der Sie Compliance-Testpakete gegen Ihr System ausführen. Abgeschlossene Evaluationen können als Nachweis im Leistungsabschnitt Ihrer Dokumentation dienen.
Phase 4: Bericht¶
Klicken Sie auf Dokument generieren, um die technische Dokumentation zu erstellen. Die Vorschau beginnt mit einem Deckblatt (Projekt, Erstellungsdatum, Stand der Verordnung, Risikoeinstufung, Gesamtfortschritt), gefolgt von einer Statusübersicht je Abschnitt und den dokumentierten Inhalten. In der Vorschau können Sie:
- Herunterladen — Das Dokument als Markdown speichern
- PDF herunterladen — Das Dokument als formatiertes PDF speichern
- Qualitätsbewertung einbeziehen — Optional eine LLM-basierte Qualitätsbewertung jedes Feldes an das Dokument anhängen
Das generierte Dokument folgt der Sprache der Benutzeroberfläche — stellen Sie die Oberfläche auf Deutsch für ein deutsches Dokument oder auf Englisch für ein englisches.

Der Chat-Assistent¶
Der Chat ist ein Compliance-bewusster KI-Assistent. Er schlägt kontextabhängige nächste Schritte vor und kann:
- Ihr System einstufen — Er stellt Fragen zu Ihrem System, setzt die Projektrolle und unterstützt Sie bei der Begründung der Risikostufe
- Dokumentationsfelder ausfüllen — Beschreiben Sie Ihr System in eigenen Worten; der Assistent ordnet die Informationen den richtigen Abschnitten und Feldern zu, die sich im linken Bereich live aktualisieren
- Regulatorische Fragen beantworten — z. B. „Was bestimmt meine Risikostufe?" oder „Was würde meine Risikostufe ändern?"
- Ihre Dokumentation prüfen — z. B. „Auf Widersprüche prüfen" oder „Vollständigkeit prüfen"
Konversationen werden pro Projekt gespeichert — Sie können neue Chats beginnen, frühere durchsuchen und dort weitermachen, wo Sie aufgehört haben.
Dokumente importieren¶
Wenn bereits Dokumentation zu Ihrem System existiert (z. B. eine Systembeschreibung, ein Architekturdokument oder eine bestehende technische Dokumentation), können Sie diese importieren, statt sie neu zu erfassen:
- Klicken Sie auf Dokument importieren in der Kopfzeile des Dokumentationsbereichs
- Laden Sie vorhandenes Material zu Ihrem KI-System hoch — Systemarchitektur, Datenschutz-Folgenabschätzungen, Test- oder Auditberichte, frühere technische Dokumentation. Unterstützte Formate: PDF, Text, Markdown (max. 25 MB)
- Der Assistent analysiert das Dokument und extrahiert Fakten in Dokumentationsfelder
- Prüfen Sie die Vorschau der extrahierten Felder, gruppiert nach Wirkung des Imports (Risikoeinstufung, Schutzbedarf, Betreiberpflichten, Dokumentationsinhalte)
- Wählen Sie aus, welche Werte übernommen werden — Felder mit vorhandenem Inhalt sind standardmäßig abgewählt, damit Importe Ihre Arbeit nicht überschreiben

Der Import schreibt ausschließlich Dokumentationsinhalte. Er setzt niemals Ihre Projektrolle oder Risikostufe — diese Entscheidungen bleiben bei Ihnen. Berührt importierter Inhalt den Abschnitt zur Risikoeinstufung, fordert der Assistent Sie auf zu prüfen, ob Ihre Schutzbedarfsfeststellung noch zutrifft.
Sicherheitsprüfungen beim Import
Der Import warnt, wenn ein Dokument manipulierte Inhalte zu enthalten scheint (Prompt Injection) und wenn der Systemname im importierten Dokument nicht zu Ihrem Projekt passt.
Qualitätsprüfung¶
Klicken Sie auf Qualitätsprüfung in der Kopfzeile, um Ihre Dokumentation auf Konsistenz und Vollständigkeit zu prüfen. Die Prüfung liefert ein Gesamturteil:
| Urteil | Bedeutung |
|---|---|
| Konsistent | Keine wesentlichen Probleme gefunden |
| Hinweise vorhanden | Es gibt Verbesserungsvorschläge |
| Wesentliche Lücken | Pflichtinhalte fehlen oder widersprechen sich |

Die Prüfung kombiniert mehrere Checks:
- Pflichtlücken — Deterministische Prüfung auf fehlende Pflichtinhalte (auch auf der Übersicht sichtbar)
- Abschnittsübergreifende Befunde — Konsistenzprüfungen zwischen zusammengehörigen Abschnitten, z. B. Risikoeinstufung ↔ Risikomanagementsystem, Rolle ↔ Pflichten, Trainingsdaten ↔ betroffene Personen
- Befunde auf Feldebene — Einzelne Felder bewertet mit Ausreichend / Mehr Details empfohlen / Unzureichend
- Nicht begonnene Pflichtabschnitte — Eine Liste erforderlicher Abschnitte ohne Inhalt
Ändern Sie nach einer Prüfung Dokumentationsinhalte, wird das Urteil als „Ggf. veraltet" markiert — klicken Sie auf Erneut prüfen, um es zu aktualisieren. Das generierte Dokument kann die Qualitätsbewertung auf Feldebene als Anhang enthalten.
Der Regulierungsbrowser¶
Klicken Sie auf EU AI Act in der Kopfzeile, um einen durchsuchbaren Regulierungsbrowser mit den Artikeln, Anhängen und Erwägungsgründen des EU AI Act zu öffnen — nützlich, um die neben Abschnitten und Feldern angezeigte Rechtsgrundlage nachzuschlagen.
Stand der Verordnung
Der Regulierungskorpus entspricht der Verordnung (EU) 2024/1689 in ihrer ursprünglich verabschiedeten Fassung. Nach der Verabschiedung vorgeschlagene Änderungen sind noch nicht enthalten.
Hinweise¶
- Der Compliance-Assistent unterstützt Sie bei der Erstellung Ihrer technischen Dokumentation. Er ersetzt keine juristische Prüfung Ihrer Pflichten nach dem EU AI Act.
- Alle Dokumentationsinhalte werden pro Projekt gespeichert und können jederzeit bearbeitet werden.