EU AI Act Dokumentenprüfung – kaum ein Suchbegriff beschäftigt Compliance-Verantwortliche und M&A-Teams derzeit so sehr. Seit August 2024 ist der EU AI Act in Kraft – und seit dem 2. August 2026 gelten die ersten spürbaren Pflichten für den praktischen KI-Einsatz in Unternehmen. Wer Künstliche Intelligenz zur Dokumentenprüfung einsetzt, etwa im Rahmen einer Due Diligence, eines Unternehmensverkaufs oder einer Vertragsanalyse, stellt sich zu Recht die Frage: Bin ich betroffen? Und wenn ja, wovon genau?
Die kurze Antwort: Ja, Sie sind betroffen – aber vermutlich nicht so stark, wie es die Schlagzeilen zum AI Act vermuten lassen. Dieser Beitrag ordnet ein, was der EU AI Act für die KI-gestützte Dokumentenprüfung im virtuellen Datenraum konkret bedeutet, welche Fristen aktuell gelten, welche sich verschoben haben, und wie Sie mit einer Lösung wie docurex® von Anfang an auf der sicheren Seite stehen.
Besonders relevant ist dieses Thema für Geschäftsführungen, Compliance-Verantwortliche, M&A-Teams und Rechtsabteilungen, die regelmäßig größere Dokumentenmengen prüfen müssen – sei es im Rahmen einer Unternehmenstransaktion, einer Kapitalerhöhung oder eines internen Audits. Gerade diese Zielgruppen stehen häufig vor der Herausforderung, den Nutzen von KI-Werkzeugen mit den neuen regulatorischen Anforderungen in Einklang zu bringen, ohne dabei Tempo und Effizienz zu verlieren. Der folgende Überblick liefert dafür eine praxisnahe Orientierung, keine juristische Einzelfallberatung.
Was ist der EU AI Act eigentlich?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er verfolgt einen risikobasierten Ansatz: Je größer das Risiko, das von einem KI-System für Grundrechte, Sicherheit oder Gesundheit ausgeht, desto strenger die Anforderungen. Der Gesetzgeber unterscheidet vier Risikoklassen – von „unannehmbares Risiko“ (verboten) über „hohes Risiko“ (streng reguliert) und „begrenztes Risiko“ (Transparenzpflichten) bis hin zu „minimales Risiko“ (kaum Auflagen).
Der AI Act gilt nicht auf einen Schlag, sondern in mehreren Stufen:
- 2. Februar 2025: Verbote für KI-Praktiken mit unannehmbarem Risiko treten in Kraft, ebenso die grundsätzliche Pflicht zur KI-Kompetenz (Art. 4) für Unternehmen, die KI-Systeme einsetzen.
- 2. August 2025: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) und Governance-Strukturen greifen.
- 2. August 2026: Die Transparenzpflichten aus Artikel 50 werden verbindlich. KI-generierte Inhalte müssen gekennzeichnet, Nutzerinnen und Nutzer über die Interaktion mit einem KI-System informiert werden.
- Verschoben: Die ursprünglich für August 2026 vorgesehenen umfassenden Pflichten für eigenständige Hochrisiko-KI-Systeme nach Anhang III wurden im Zuge des sogenannten „Digital Omnibus on AI“ – einer politischen Einigung von Rat und Parlament vom 7. Mai 2026 – auf den 2. Dezember 2027 verschoben. Für Hochrisiko-Systeme, die in bereits regulierte Produkte eingebettet sind (Anhang I), gilt sogar eine Übergangsfrist bis 2. August 2028.
Den vollständigen, laufend aktualisierten Zeitplan veröffentlicht die Europäische Kommission auf digital-strategy.ec.europa.eu. Diese Verschiebung ist für Unternehmen mit KI-gestützter Dokumentenprüfung eine wichtige Information, ändert aber nichts an der grundsätzlichen Marschrichtung: Wer heute KI im Datenraum einsetzt, sollte sich schon jetzt an den kommenden Anforderungen orientieren, statt auf den letzten Drücker zu reagieren.

Hochrisiko-KI: Wann fällt ein System unter Anhang III?
Ob ein KI-System als „hochriskant“ im Sinne des AI Act gilt, entscheidet sich in erster Linie über Artikel 6 und Anhang III der Verordnung. Dort ist abschließend aufgelistet, in welchen Bereichen KI-Systeme automatisch als hochriskant eingestuft werden – unter anderem:
- Biometrische Fernidentifizierung und -kategorisierung
- Kritische Infrastruktur (z. B. Energie- und Wasserversorgung)
- Bildung und Berufsbildung (z. B. automatisierte Bewertung von Prüfungen)
- Beschäftigung, Personalauswahl und Mitarbeiterbewertung
- Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen, etwa Kreditwürdigkeitsprüfung
- Strafverfolgung, Migration, Grenzkontrolle und Asylverfahren
- Rechtspflege und demokratische Prozesse
Die offizielle Liste der Hochrisikobereiche stellt die Europäische Kommission im AI Act Service Desk bereit, der laufend um Auslegungshinweise und Praxisbeispiele ergänzt wird.
Werfen Sie einen Blick auf diese Liste, fällt etwas auf: Die KI-gestützte Analyse von Vertragsdokumenten in einem virtuellen Datenraum taucht dort nicht auf. Ein KI-Assistent, der Ihnen bei der Due-Diligence-Prüfung hilft, Verträge zusammenfasst oder auf Nachfrage Klauseln herausfiltert, ist in aller Regel kein Hochrisiko-KI-System im Sinne von Anhang III – es sei denn, das Ergebnis der KI-Analyse fließt direkt und automatisiert in eine der oben genannten Entscheidungssituationen ein, etwa eine automatisierte Kreditentscheidung ohne menschliche Prüfung.

EU AI Act Dokumentenprüfung: Was bedeutet das konkret für den Datenraum?
Für die meisten Anwendungsfälle einer Due Diligence oder Vertragsprüfung im virtuellen Datenraum gilt also: Sie bewegen sich überwiegend im Bereich „begrenztes“ bis „minimales Risiko“. Das bedeutet nicht, dass Sie sich zurücklehnen können – drei Pflichten betreffen Sie mit hoher Wahrscheinlichkeit trotzdem:
1. Transparenzpflicht (Art. 50). Nutzerinnen und Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren. Ein KI-Chat im Datenraum, der Fragen zu Vertragsdokumenten beantwortet, muss sich klar als KI-gestützte Funktion zu erkennen geben – keine versteckte Automatisierung.
2. KI-Kompetenzpflicht (Art. 4). Unternehmen, die KI-Systeme einsetzen, müssen seit Februar 2025 sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen, um die Systeme sachgerecht zu nutzen und deren Grenzen einzuschätzen. Das betrifft auch Teams, die im Datenraum mit einem KI-Assistenten arbeiten.
3. Sorgfaltspflicht bei der Risikoeinstufung. Auch wenn Ihr Anwendungsfall nicht unter Anhang III fällt, sollten Sie diese Einschätzung dokumentieren – insbesondere, wenn sich der Einsatzzweck der KI im Laufe eines Projekts erweitert, etwa von der reinen Dokumentenzusammenfassung hin zu einer automatisierten Vorauswahl von Bewerbungsunterlagen im Rahmen einer Transaktion.
Hinzu kommt: Auch wenn die Hochrisiko-Pflichten selbst verschoben wurden, bleiben die Grundprinzipien des AI Act – Transparenz, menschliche Aufsicht, Nachvollziehbarkeit, Datenschutz nach DSGVO – der Maßstab, an dem sich seriöse Anbieter von KI-Datenraumlösungen schon heute orientieren sollten.
Wie docurex® die Anforderungen des AI Act bereits heute erfüllt
Der KI-Assistent von docurex® wurde von Anfang an mit Blick auf Transparenz, Nachvollziehbarkeit und Datensouveränität entwickelt – nicht, weil der AI Act es verlangt, sondern weil es für einen Datenraum mit hochsensiblen Dokumenten ohnehin der einzig sinnvolle Weg ist. Konkret bedeutet das:
- Klare Kennzeichnung als KI-Funktion. Der KI-Chat im Datenraum ist als solcher erkennbar; Nutzerinnen und Nutzer wissen jederzeit, dass sie mit einem KI-System interagieren, nicht mit einer menschlichen Antwort.
- Nachvollziehbare Quellenangaben. Jede Antwort des KI-Assistenten im virtuellen Datenraum verweist auf die konkreten Quelldokumente – keine Black Box, sondern belegbare Aussagen.
- Menschliche Kontrolle bleibt zentral. Der KI-Assistent liefert Analysen und Zusammenfassungen, trifft aber keine automatisierten Entscheidungen anstelle von Menschen. Die finale Bewertung bleibt bei Ihrem Team.
- Lokale Verarbeitung in deutschen Rechenzentren. Alle KI-Prozesse laufen ausschließlich auf eigenen Servern in ISO-27001-zertifizierten deutschen Rechenzentren – ohne Anbindung an US-Hyperscaler und ohne Weitergabe an externe KI-Anbieter.
- Revisionssichere Protokollierung. KI-Anfragen und -Analysen werden nachvollziehbar dokumentiert, was sowohl für die AI-Act-Compliance als auch für die Nachweisbarkeit im Rahmen einer Due Diligence von Vorteil ist.
Diese Prinzipien decken sich in weiten Teilen mit den Anforderungen, die der AI Act an Transparenz und Governance stellt – und sie ergänzen sich mit den bereits geltenden Sicherheitsanforderungen aus NIS2, die viele Unternehmen ohnehin parallel umsetzen müssen.

Praktische To-Dos: So bereiten Sie Ihre KI-gestützte Dokumentenprüfung vor
Unabhängig davon, ob Ihr konkreter Anwendungsfall als Hochrisiko-System gilt oder nicht, lohnt sich eine strukturierte Vorbereitung. Diese fünf Schritte haben sich in der Praxis bewährt:
- KI-Inventar erstellen. Verschaffen Sie sich einen Überblick, an welchen Stellen Ihres Unternehmens KI bereits eingesetzt wird – auch im Datenraum, in der Vertragsanalyse oder im Reporting.
- Einsatzzweck dokumentieren. Halten Sie schriftlich fest, wofür die KI-Funktion im Datenraum genutzt wird und wofür ausdrücklich nicht, etwa keine automatisierte Personalentscheidung.
- Transparenz sicherstellen. Prüfen Sie, ob alle KI-Funktionen für Nutzerinnen und Nutzer klar als solche erkennbar sind – das gilt für den KI-Chat ebenso wie für automatisch generierte Zusammenfassungen.
- KI-Kompetenz aufbauen. Schulen Sie Teams, die regelmäßig mit KI-gestützten Tools arbeiten, zu Möglichkeiten und Grenzen der eingesetzten Systeme.
- Anbieter sorgfältig prüfen. Achten Sie bei der Auswahl einer Datenraum-Lösung auf Serverstandort, Zertifizierungen wie ISO 27001, Nachvollziehbarkeit der KI-Antworten und den Ausschluss der Nutzung Ihrer Dokumente für externes KI-Training.
Häufige Missverständnisse rund um den AI Act und die Dokumentenprüfung
In der Beratungspraxis begegnen uns immer wieder dieselben Missverständnisse. Ein Klassiker: „Jede KI im Unternehmen ist jetzt Hochrisiko-KI.“ Das stimmt nicht – die Hochrisiko-Einstufung ist an konkrete, im Anhang III abschließend aufgezählte Einsatzbereiche geknüpft. Ein zweites Missverständnis: „Die Fristen sind jetzt komplett vom Tisch.“ Auch das trifft nicht zu – lediglich die umfassenden Pflichten für eigenständige Hochrisiko-Systeme wurden verschoben, die Transparenzpflichten aus Artikel 50 gelten weiterhin ab August 2026, ebenso die bereits aktive KI-Kompetenzpflicht.
Und ein drittes: „Ein europäischer Anbieter ist automatisch AI-Act-konform.“ Auch der Standort allein reicht nicht – entscheidend sind die konkrete technische Umsetzung, die Dokumentation und die Transparenz gegenüber den Nutzerinnen und Nutzern.
AI Act und DSGVO: Zwei Regelwerke, ein gemeinsamer Kern
Ein Punkt sorgt in der Praxis immer wieder für Verwirrung: Der EU AI Act ersetzt nicht die DSGVO, sondern ergänzt sie. Während die DSGVO regelt, wie personenbezogene Daten verarbeitet werden dürfen, regelt der AI Act, wie KI-Systeme selbst gestaltet, gekennzeichnet und beaufsichtigt werden müssen. Für die Dokumentenprüfung im Datenraum bedeutet das: Beide Regelwerke greifen parallel.
Enthalten Ihre Dokumente personenbezogene Daten, etwa Mitarbeiterverträge, Kundendaten oder Gesundheitsdaten im Rahmen einer Transaktion, gelten weiterhin die klassischen DSGVO-Anforderungen: Rechtsgrundlage, Zweckbindung, Auftragsverarbeitungsvertrag mit dem Datenraum-Anbieter, Löschkonzept. Der AI Act kommt als zusätzliche Schicht hinzu, sobald eine KI-Komponente im Spiel ist, die diese Dokumente analysiert, zusammenfasst oder durchsucht. Wer bereits eine saubere DSGVO-Dokumentation für seinen virtuellen Datenraum vorweisen kann, hat für die AI-Act-Vorbereitung bereits einen wichtigen Teil der Arbeit erledigt, da sich viele Nachweispflichten inhaltlich überschneiden – etwa die Frage, wo Daten verarbeitet werden und wer Zugriff hat.
Häufig gestellte Fragen zur EU AI Act Dokumentenprüfung
Ist ein KI-Chat im virtuellen Datenraum automatisch ein Hochrisiko-KI-System? Nein. Ein KI-Assistent, der Fragen zu Vertragsdokumenten beantwortet oder Inhalte zusammenfasst, fällt in aller Regel nicht unter die in Anhang III abschließend aufgezählten Hochrisikobereiche. Eine Einzelfallprüfung bleibt dennoch sinnvoll, insbesondere wenn KI-Ergebnisse in automatisierte Personalentscheidungen einfließen.
Muss ich schon jetzt handeln, wenn die Hochrisiko-Pflichten erst 2027 greifen? Ja, zumindest teilweise. Die KI-Kompetenzpflicht aus Artikel 4 gilt bereits seit Februar 2025, und die Transparenzpflichten aus Artikel 50 werden ab August 2026 verbindlich. Wer die Vorbereitung auf 2027 verschiebt, verschenkt wertvolle Vorlaufzeit.
Was passiert bei Verstößen gegen den AI Act? Je nach Schwere des Verstoßes drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken, beziehungsweise bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes bei Verstößen gegen Hochrisiko-Pflichten. Für die meisten Anwendungsfälle der Dokumentenprüfung im Datenraum ist das Risiko deutlich geringer einzuordnen, da sie nicht unter die Hochrisiko-Kategorie fallen.
Reicht ein Anbieter mit Serverstandort Deutschland automatisch aus? Der Serverstandort ist ein wichtiger, aber nicht der einzige Baustein. Entscheidend sind zusätzlich die technische Transparenz der KI-Funktionen, eine nachvollziehbare Dokumentation der Antworten sowie der vertragliche Ausschluss, dass Ihre Dokumente für das Training fremder KI-Modelle verwendet werden.
Fazit: Vorbereitung statt Torschlusspanik
Die EU AI Act Dokumentenprüfung ist für die meisten Unternehmen kein Grund zur Torschlusspanik. Der EU AI Act verändert die Rahmenbedingungen für KI im Unternehmen spürbar – doch für die klassische KI-gestützte Dokumentenprüfung im Datenraum bedeutet das aktuell vor allem: Transparenz schaffen, Einsatzzwecke dokumentieren und einen Anbieter wählen, der Nachvollziehbarkeit und Datensouveränität von Haus aus mitbringt. Die Verschiebung der Hochrisiko-Pflichten auf 2027 verschafft Unternehmen zusätzliche Zeit – sollte aber nicht als Freibrief verstanden werden, die Vorbereitung aufzuschieben.
Mit docurex® setzen Sie auf einen KI-Assistenten, der schon heute auf Transparenz, Quellenangaben, menschliche Kontrolle und Datenverarbeitung in deutschen Rechenzentren setzt – und damit gut aufgestellt ist, unabhängig davon, wie sich einzelne Fristen des AI Act in den kommenden Jahren noch verschieben. Vereinbaren Sie eine unverbindliche Demo und erleben Sie, wie sich Dokumentenprüfung, Compliance und KI in der Praxis miteinander verbinden lassen.
Der regulatorische Rahmen rund um Künstliche Intelligenz wird sich in den kommenden Jahren weiter verändern, das zeigt bereits die Verschiebung der Hochrisiko-Fristen durch den Digital Omnibus. Unternehmen, die jetzt auf einen transparenten, dokumentierten und datenschutzkonformen KI-Einsatz setzen, sind für künftige Anpassungen der Verordnung besser gerüstet als jene, die auf endgültige Rechtssicherheit warten, bevor sie überhaupt beginnen. Betrachten Sie den EU AI Act daher weniger als einmalige Compliance-Hürde, sondern als Anlass, Ihre KI-gestützte Dokumentenprüfung grundsätzlich sauber aufzustellen – ein Vorteil, der weit über die reine Gesetzeserfüllung hinausreicht.
Quellen
- Europäische Kommission: Regulatory framework for AI, digital-strategy.ec.europa.eu
- Europäische Kommission: AI Act Service Desk, Artikel 6 – Einstufungsvorschriften für Hochrisiko-KI-Systeme, ai-act-service-desk.ec.europa.eu



