EU Compliance 2026: Prompt für automatisierte Regulierungs-Analyse

DACH-Unternehmen müssen bis August 2026 ihre KI-Systeme nach EU AI Act klassifizieren, dokumentiert und teils zertifiziert haben — parallel greifen CSRD-Berichtspflichten ab Geschäftsjahr 2026 sowie der Data Act. Compliance-Teams stehen vor einer simultanen Analyse mehrerer Regelwerke. Dieser Prompt automatisiert die Erstklassifizierung, identifiziert relevante Vorschriften, erkennt Lücken und generiert einen priorisierten Maßnahmenplan in strukturiertem Output für Governance-Berichte.

ROLE: Du bist ein erfahrener EU-Compliance-Experte mit Spezialisierung auf regulatorisches Risikomanagement im DACH-Raum. Du analysierst Unternehmenssituationen präzise, strukturiert und praxisorientiert. Du kennst die Anforderungen von EU AI Act (2024/1689), CSRD (2022/2464) und dem Data Act (2023/2854) in ihrer aktuell geltenden Fassung.

KONTEXT:
Das Unternehmen "[UNTERNEHMENSNAME]" ist tätig in der Branche "[BRANCHE]" mit Sitz in "[STANDORT_DACH]". Es beschäftigt "[MITARBEITERZAHL]" Mitarbeiter und erzielt einen Jahresumsatz von ca. "[UMSATZ_EUR]" EUR. Das Unternehmen setzt folgende KI-Systeme ein: "[KI_SYSTEME_BESCHREIBUNG]". Es liegt bisher folgende Compliance-Dokumentation vor: "[BESTEHENDE_DOKUMENTE]".

AUFGABE:
Führe eine strukturierte Compliance-Analyse für das oben beschriebene Unternehmen durch. Gehe dabei Schritt für Schritt vor:

Schritt 1 — Unternehmensklassifizierung:
Klassifiziere das Unternehmen nach EU AI Act (betroffene Rolle: Anbieter / Betreiber / beides), nach CSRD (berichtspflichtig: ja / nein / bedingt) und nach Data Act (IoT-Relevanz: ja / nein).

Schritt 2 — Relevante Vorschriften identifizieren:
Liste die für dieses Unternehmen konkret anwendbaren Artikel und Anforderungen je Regelwerk auf. Nur was tatsächlich auf die beschriebene Situation zutrifft.

Schritt 3 — Lückenanalyse:
Vergleiche die bestehende Dokumentation mit den identifizierten Anforderungen. Benenne konkrete Lücken (fehlende Dokumentation, fehlende Prozesse, fehlende Nachweise).

Schritt 4 — Priorisierter Maßnahmenplan:
Erstelle einen Maßnahmenplan mit Priorität (Hoch / Mittel / Niedrig), Fälligkeit (bezogen auf August 2026 als Hochrisiko-Deadline) und verantwortlicher Funktion im Unternehmen.

GUARDRAILS:
- Erfinde keine gesetzlichen Anforderungen. Wenn eine Anforderung unklar ist, markiere sie als "[PRÜFBEDARF]".
- Berücksichtige DSGVO Art. 22 bei KI-gestützten Entscheidungen mit Personenbezug.
- Weise auf Bußgeldrisiken hin, ohne Panik zu erzeugen: EU AI Act bis 35 Mio. EUR / 7% Umsatz, CSRD-Verstöße nach nationalem Recht.
- Keine Rechtsberatung: Schließe mit dem Hinweis, dass das Ergebnis einer rechtlichen Prüfung bedarf.

OUTPUT-FORMAT:
Gib das Ergebnis als strukturierte Markdown-Tabelle aus. Jede Sektion (Klassifizierung, Vorschriften, Lücken, Maßnahmen) ist eine eigene Tabelle mit Kopfzeile. Abschließend: eine kurze Executive Summary (max. 5 Sätze) für den Vorstandsbericht.

Beispiel-Output (fiktiv, DACH-Kontext):

Unternehmensklassifizierung

Regelwerk

Rolle/Status

Begründung

EU AI Act

Betreiber (Art. 3 Nr. 4)

Einsatz eines HR-Screening-Systems vom Drittanbieter

CSRD

Berichtspflichtig ab GJ 2026

> 250 Mitarbeiter, > 40 Mio. EUR Umsatz, Sitz München

Data Act

Ja

Produktion von vernetzten Maschinen mit Sensordaten

Identifizierte Lücken (Auswahl)

Lücke

Regelwerk

Priorität

Fälligkeit

Keine Risikobewertung für HR-KI-System

EU AI Act Art. 9

Hoch

02.08.2026

Fehlende DSGVO-DSFA für automatisierte Personalentscheidungen

DSGVO Art. 35

Hoch

Sofort

Kein ESRS-konformes Datenmanagementsystem

CSRD

Mittel

GJ-Ende 2026

Executive Summary: Die Muster GmbH ist als Betreiber eines Hochrisiko-KI-Systems (HR-Screening) von den Anforderungen des EU AI Act ab 2. August 2026 direkt betroffen. Die kritischste Lücke ist das Fehlen einer DSFA nach DSGVO Art. 35, die sofortigen Handlungsbedarf erzeugt. Die CSRD-Berichtspflicht erfordert bis Jahresende ein ESRS-fähiges Datensystem. Alle identifizierten Maßnahmen sollten durch externen Rechtsrat validiert werden.

So verwendest du den Prompt

Kopiere den Prompt vollständig in ChatGPT, Claude oder ein anderes Frontier-Modell. Ersetze dann die sieben Variablen in eckigen Klammern mit den konkreten Unternehmensdaten:

• [UNTERNEHMENSNAME] — Firmenname oder Projektbezeichnung
• [BRANCHE] — z.B. "Maschinenbau", "Finanzdienstleistungen", "E-Commerce"
• [STANDORT_DACH] — Stadt und Land (relevant für nationales CSRD-Umsetzungsrecht)
• [MITARBEITERZAHL] und [UMSATZ_EUR] — entscheiden über CSRD-Schwellenwerte
• [KI_SYSTEME_BESCHREIBUNG] — je präziser, desto bessere Klassifizierung; z.B. "KI-gestütztes Bewerberscreening von Anbieter X, Chatbot für Kundensupport"
• [BESTEHENDE_DOKUMENTE] — z.B. "DSGVO-Verzeichnis der Verarbeitungstätigkeiten, kein KI-spezifisches Register"

Der Prompt funktioniert auch mit unvollständigen Eingaben: Fehlende Variablen führen nicht zu Halluzinationen, sondern zu [PRÜFBEDARF]-Markierungen im Output — ein bewusstes Design-Element aus dem Guardrails-Block. Für wiederkehrende Compliance-Reviews empfiehlt sich, den Output als CSV zu exportieren und in ein GRC-Tool (Governance, Risk, Compliance) wie z.B. ServiceNow oder einen einfachen Notion-Tracker zu überführen.

Warum dieser Prompt funktioniert

Der Prompt kombiniert drei etablierte Prompting-Techniken, die im Zusammenspiel die Ausgabequalität bei komplexen Analyse-Aufgaben deutlich stabilisieren.

Chain-of-Thought (CoT) durch explizite Schritte: Die vier nummerierten Schritte (Klassifizierung → Vorschriften → Lücken → Maßnahmen) zwingen das Modell zu sequentiellem Reasoning. Große Sprachmodelle verarbeiten Token-Sequenzen — ohne expliziten CoT-Pfad springen sie häufig direkt zur Ausgabe, überspringen Zwischenschritte und halluzinieren Lücken, die im Kontext nicht vorhanden sind. Der erzwungene Schritt-für-Schritt-Pfad erhöht die interne Konsistenz der Ausgabe messbar.

Role Prompting mit Domänen-Anker: Die ROLE-Definition "EU-Compliance-Experte mit Spezialisierung im DACH-Raum" aktiviert im Modell semantisch verwandte Token-Cluster aus Rechts- und Compliance-Literatur. Das senkt die Wahrscheinlichkeit generischer Antworten und erhöht die Verwendung korrekter Artikel-Referenzen (z.B. Art. 9 EU AI Act für Risikobewertung von Hochrisiko-Systemen).

Structured Output mit Guardrails: Das explizit definierte OUTPUT-FORMAT (Markdown-Tabellen je Sektion plus Executive Summary) erzeugt maschinenlesbare Ausgaben, die direkt in Governance-Dokumente oder GRC-Tools überführt werden können. Die Guardrails — insbesondere die [PRÜFBEDARF]-Regel und der Pflicht-Disclaimer zur Rechtsberatung — reduzieren das Risiko, dass das Modell bei unklaren Rechtsfragen Schein-Sicherheit erzeugt. Das ist bei Compliance-Anwendungen unter dem EU AI Act besonders relevant: Ein KI-System, das rechtlich bindende Einschätzungen ohne menschliche Aufsicht ausgibt, kann selbst unter die Hochrisiko-Klassifizierung fallen.