Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
Compliance Audit 2026 vorbereitenCompliance Audit ChecklisteNIS2 AuditAI Act AuditAudit-Vorbereitung

Compliance-Audit vorbereiten — Checkliste für 2026

AI Act, NIS2 und DSGVO in einer Compliance-Audit-Checkliste mit 30+ Prüfpunkten, Dokumenten und häufigen Findings für 2026.

Veröffentlicht: 10. März 2026Letzte Aktualisierung: 20. März 202610 Min. Lesezeit

Compliance Audit 2026 vorbereiten

Die Vorbereitung auf Compliance-Audits 2026 erfordert die gleichzeitige Dokumentation von AI Act-, NIS2- und DSGVO-Maßnahmen — eine integrierte Checkliste deckt alle drei Regulierungen ab. Für Unternehmen ist das der praktisch wichtigste Punkt: Ein gutes Audit beginnt nicht mit dem Termin der Prüfung, sondern mit einer belastbaren Lückenanalyse zu KI-Governance, Cybersecurity und Datenschutz, bevor Aufsichtsbehörden, Kunden oder interne Revisionen dieselben Schwächen entdecken.

Letzte Aktualisierung: 20. März 2026

Die kurze Antwort lautet: Ein Compliance-Audit deckt Lücken auf, bevor es Aufsichtsbehörden tun, und 2026 sollten Unternehmen AI Act, NIS2 und DSGVO als zusammenhängendes Nachweisprogramm vorbereiten. Seit dem 2. Februar 2025 gilt die KI-Kompetenzpflicht aus Art. 4 der EU-VO 2024/1689, der AI Act ist nach Art. 113 in seiner Hauptstufe ab dem 2. August 2026 anwendbar, NIS2-Pflichten wirken in Deutschland über das BSIG einschließlich § 38 BSIG, und die DSGVO verlangt schon heute belastbare Accountability, Awareness und dokumentierte Schutzmaßnahmen. Wenn Sie erst die Fristen einordnen möchten, lesen Sie ergänzend Compliance-Schulung 2026 — Welche Schulungen sind Pflicht?, Compliance-Fristen 2026-2027, die AI Act Checkliste für Unternehmen, den Einstieg in BSI IT-Grundschutz und die operative EU AI Act Schulung.

Zusätzlich lohnt sich der Blick auf beide Governance-Hubs, weil ein Audit selten nur ein Rechtsgebiet prüft: Der NIS2-Hub strukturiert Management-, Melde- und Sicherheitsfragen, und der ISO-42001-Hub hilft bei KI-Governance, Rollenmodell und Nachweislogik. Genau diese Schnittstellen entscheiden in Audits darüber, ob Ihre Dokumente wie Einzellösungen aussehen oder wie ein konsistentes Compliance-System.

Compliance-Audit 2026 im Schnellüberblick

Die schnellste Vorbereitung auf ein Compliance-Audit 2026 besteht darin, je Regulierung dieselben vier Fragen zu beantworten: Welche Pflichten treffen uns, welche Dokumente belegen die Umsetzung, wer ist verantwortlich, und wo sind noch Lücken? Die folgende Tabelle ist dafür der kompakteste Einstieg.

RegulierungZentrale PrüffrageErforderliche DokumenteTypische Nachweise
AI ActIst der KI-Einsatz inventarisiert, risikoklassifiziert und mit Art.-4-Schulung hinterlegt?KI-Inventar, Rollenmatrix, Schulungskonzept, Risikobewertung, RichtlinieTeilnahmelisten, Freigaben, Systemregister, Versionsstände
NIS2Ist ein wirksames Cyber-Risikomanagement mit Organverantwortung implementiert?ISMS-Unterlagen, Incident-Response-Plan, Meldewege, LieferantenprozessManagementbeschlüsse, Übungen, Awareness-Nachweise, Registrierungsstatus
DSGVOSind Verarbeitungstätigkeiten, Risiken und Schutzmaßnahmen aktuell dokumentiert?VVT, DSFA-Unterlagen, TOMs, Löschkonzept, Verträge, RichtlinienVerfahrensverzeichnis, Freigaben, Schulungsnachweise, Prüfprotokolle

Die Tabelle zeigt auch den Kern des Audit-Problems: Die meisten Mängel sind keine exotischen Spezialfragen, sondern fehlende Aktualität, unklare Zuständigkeiten und schwache Dokumentation. Deshalb beginnt die eigentliche Audit-Vorbereitung immer mit einer Vorphase, nicht mit Detailprüfungen je Paragraph.

Pre-Audit-Phase: Scope, Dokumente, Verantwortliche

Die Pre-Audit-Phase entscheidet darüber, ob die spätere Prüfung effizient oder chaotisch verläuft. Unternehmen sollten zuerst den Geltungsbereich festlegen, alle relevanten Unterlagen einsammeln und für jedes Themenfeld einen benannten Owner bestimmen.

Ihre Vorab-Checkliste sollte mindestens diese Punkte enthalten:

  1. Prüfen Sie, welche Gesellschaften, Standorte, Teams und Systeme im Audit-Scope liegen.
  2. Definieren Sie, ob das Audit ein Gesamtbild oder nur einzelne Regime wie AI Act, NIS2 oder DSGVO abdeckt.
  3. Benennen Sie für jedes Themenfeld eine verantwortliche Person aus Compliance, IT, Datenschutz oder Geschäftsleitung.
  4. Legen Sie einen zentralen Datenraum für Richtlinien, Nachweise und Protokolle an.
  5. Sammeln Sie die aktuelle Version aller Schulungsunterlagen und Teilnahmeberichte.
  6. Halten Sie fest, welche externen Dienstleister, KI-Anbieter und Auftragsverarbeiter einbezogen werden müssen.
  7. Dokumentieren Sie offene Maßnahmen aus früheren Audits, Revisionen oder Managementreviews.
  8. Erstellen Sie eine Fristenliste mit allen laufenden Umsetzungs- und Aktualisierungspflichten.

Praktisch bedeutet das: Ein Audit sollte nie als reine Kontrollsituation verstanden werden, sondern als Stresstest für Ihre Governance-Struktur. Wenn schon in der Vorphase unklar ist, wer das KI-Inventar pflegt, wer Incident-Response freigibt oder wo die DSFA-Version liegt, ist das fast immer ein Vorbote für Findings in der Hauptprüfung.

AI Act Audit-Punkte: KI-Inventar, Schulungen, Risikoklassifizierung

AI-Act-Audits sind 2026 vor allem deshalb heikel, weil viele Unternehmen KI bereits produktiv nutzen, aber ihre Nachweise noch wie Pilotprojekte aussehen. Nach Art. 4 müssen Anbieter und Betreiber von KI-Systemen ein ausreichendes Maß an KI-Kompetenz sicherstellen, und vor der Hauptanwendung des AI Acts zum 2. August 2026 sollten Unternehmen deshalb ihre Basisevidenz geschlossen haben.

Die AI-Act-Checkliste für Ihr Audit umfasst mindestens diese Punkte:

  1. Es existiert ein vollständiges KI-Inventar aller eingesetzten Systeme, einschließlich SaaS-Funktionen mit KI-Komponenten.
  2. Für jedes System sind Zweck, Fachbereich, Anbieter, Datenarten und verantwortliche Owner dokumentiert.
  3. Es ist festgehalten, ob Ihr Unternehmen Anbieter, Betreiber, Einführer oder Händler ist.
  4. Die Risikoklassifizierung unterscheidet verbotene Praktiken, Hochrisiko-Systeme, Transparenzfälle und Minimalrisiko.
  5. Art.-4-Schulungen sind für betroffene Mitarbeitende dokumentiert und rollenspezifisch aufgebaut.
  6. Schulungsnachweise enthalten Datum, Inhalte, Version, Teilnehmende und idealerweise Lernkontrollen.
  7. Es gibt interne Nutzungsregeln für generative KI, insbesondere zu Freigaben, Eingabedaten und Output-Prüfung.
  8. Hochrisiko-nahe Anwendungsfälle in HR, Bewertung, Zugang, Kredit oder kritischer Infrastruktur sind gesondert markiert.
  9. Für jedes sensible KI-System ist eine Eskalationslogik an Recht, Datenschutz oder Compliance definiert.
  10. Transparenzpflichten nach Art. 50 sind für Chatbots, KI-generierte Inhalte oder ähnliche Konstellationen geprüft.
  11. Änderungen an KI-Systemen, Prompts, Modellen oder Einsatzbereichen werden versioniert dokumentiert.
  12. Beschaffungsprozesse für neue KI-Tools enthalten eine Compliance-Freigabe vor Produktivstart.

Gerade bei AI Act findet sich in Audits häufig derselbe Fehler: Unternehmen besitzen einzelne Schulungen oder Einzelrichtlinien, aber keinen geschlossenen Zusammenhang zwischen Inventar, Risiko, Rolle und Nachweis. Wenn Sie diesen Teil vertiefen möchten, ist die AI Act Checkliste für Unternehmen der naheliegende Anschluss, und für den Schulungsnachweis bleibt die EU AI Act Schulung die direkteste Umsetzungsoption.

NIS2 Audit-Punkte: ISMS, Incident Response, Meldewege, Organpflichten

NIS2-Audits prüfen nicht nur Technik, sondern vor allem Managementverantwortung und Betriebsfähigkeit. Art. 20 und 21 der Richtlinie (EU) 2022/2555 verlangen Governance, Risikomanagement, Cyberhygiene und Schulungen; in Deutschland konkretisiert § 38 BSIG zusätzlich die Umsetzungs-, Überwachungs- und Schulungspflicht der Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen.

Für die NIS2-Audit-Vorbereitung sollten Sie diese Punkte systematisch abhaken:

  1. Der Betroffenheitsstatus als besonders wichtige oder wichtige Einrichtung ist geprüft und dokumentiert.
  2. Ein ISMS oder gleichwertiges Sicherheitsmanagement ist implementiert und aktuell beschrieben.
  3. Die Geschäftsleitung hat Risikomanagementmaßnahmen formell beschlossen oder freigegeben.
  4. Managementschulungen nach § 38 BSIG sind regelmäßig durchgeführt und nachweisbar dokumentiert.
  5. Cyberhygiene- und Awareness-Maßnahmen für Mitarbeitende sind geplant, durchgeführt und belegt.
  6. Ein Incident-Response-Plan mit Rollen, Eskalationsstufen und Kommunikationswegen liegt in aktueller Version vor.
  7. Meldewege an interne Stellen und gegebenenfalls an das BSI sind definiert, getestet und bekannt.
  8. Es gibt ein Verfahren zur Bewertung erheblicher Sicherheitsvorfälle.
  9. Backup-, Wiederherstellungs- und Business-Continuity-Prozesse sind dokumentiert und geübt.
  10. Lieferanten- und Dienstleisterrisiken werden systematisch bewertet und vertraglich adressiert.
  11. Kritische Assets, Systeme und Abhängigkeiten sind inventarisiert.
  12. Frühere Vorfälle, Beinahe-Vorfälle oder externe Warnungen sind in Verbesserungsmaßnahmen überführt worden.

Viele Unternehmen scheitern bei NIS2 nicht an fehlender Technik, sondern an schwacher Evidenz: Ein Notfallplan existiert, wurde aber nie geübt; eine Schulung wurde gehalten, aber nicht archiviert; die Geschäftsleitung wurde informiert, aber nicht formell eingebunden. Genau deshalb sind BSI IT-Grundschutz und der NIS2-Hub für die Audit-Vorbereitung so wertvoll: Sie bringen Ordnung in Sicherheitsmaßnahmen, Nachweise und Organpflichten.

DSGVO Audit-Punkte: VVT, DSFA, TOMs, DSB, Awareness

DSGVO-Audits sind 2026 besonders dann kritisch, wenn KI-Einsatz, neue Cloud-Tools und alte Datenschutzdokumentation auseinanderlaufen. Die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO wirkt nur dann glaubwürdig, wenn Verarbeitungen, Risiken und Maßnahmen in aktueller Form dokumentiert sind.

Ihre DSGVO-Checkliste sollte deshalb mindestens diese Punkte umfassen:

  1. Das Verzeichnis von Verarbeitungstätigkeiten ist vollständig, aktuell und enthält auch neue KI-gestützte Prozesse.
  2. Für risikoreiche Verarbeitungen wurden Datenschutz-Folgenabschätzungen durchgeführt oder bewusst verneint und begründet.
  3. Technische und organisatorische Maßnahmen sind je Verarbeitung oder System nachvollziehbar dokumentiert.
  4. Rollen und Zuständigkeiten für Datenschutz, Fachbereiche, IT und externe Dienstleister sind sauber beschrieben.
  5. Sofern erforderlich, ist ein Datenschutzbeauftragter bestellt und intern eingebunden.
  6. Auftragsverarbeitungsverträge und Drittlandtransfer-Prüfungen sind für relevante Tools aktuell.
  7. Löschkonzepte und Speicherfristen sind definiert und praktisch umsetzbar.
  8. Prozesse für Betroffenenrechte, Datenschutzverletzungen und interne Eskalationen sind dokumentiert.
  9. Mitarbeitendenschulungen oder Awareness-Maßnahmen zum Datenschutz sind regelmäßig durchgeführt und nachweisbar.
  10. KI-Use-Cases mit personenbezogenen Daten sind mit dem VVT und gegebenenfalls mit DSFA-Unterlagen verknüpft.
  11. Freigabeprozesse für neue SaaS- und KI-Tools enthalten Datenschutzprüfung vor Einführung.
  12. Frühere Datenschutzvorfälle, Beschwerden oder Prüfhinweise sind in Maßnahmenlisten überführt worden.

Der häufigste DSGVO-Befund lautet nicht, dass gar nichts vorhanden ist. Häufiger ist die Dokumentation schlicht veraltet: Neue Tools sind produktiv, aber nicht im VVT; eine DSFA stammt aus der Vor-KI-Zeit; TOMs beschreiben lokale Server, obwohl längst Cloud-Dienste genutzt werden. Genau an dieser Stelle werden AI Act und DSGVO in Audits untrennbar.

Häufige Audit-Findings: Top 10 Mängel und wie Sie sie vorab beheben

Die häufigsten Findings in Compliance-Audits 2026 sind meist banal, aber teuer. Wer sie vorab prüft, spart nicht nur Rückfragen im Audit, sondern oft auch Hektik in Geschäftsleitung, HR und IT.

  1. Kein vollständiges KI-Inventar: Beheben Sie den Mangel mit einer systematischen Tool-Inventur je Fachbereich.
  2. Art.-4-Schulungen ohne Nachweis: Sichern Sie pro Person Datum, Inhalte, Version und Teilnahmebestätigung.
  3. Risikoklassifizierung nur mündlich: Halten Sie die Einstufung pro KI-System schriftlich fest.
  4. ISMS ohne Management-Einbindung: Dokumentieren Sie Beschlüsse, Reviews und Verantwortlichkeiten der Geschäftsleitung.
  5. Incident-Response-Plan ungetestet: Führen Sie mindestens eine Übung oder Tabletop-Simulation durch.
  6. Meldewege unbekannt: Veröffentlichen Sie klare interne Eskalationspfade und Ansprechpartner.
  7. VVT veraltet: Aktualisieren Sie alle neuen Prozesse, insbesondere KI- und Cloud-Anwendungen.
  8. DSFA-Lücken bei sensiblen Prozessen: Prüfen Sie HR-, Tracking-, Bewertungs- und Profiling-Anwendungen priorisiert.
  9. TOMs nur generisch beschrieben: Ergänzen Sie konkrete Maßnahmen zu Zugriff, Verschlüsselung, Backup und Berechtigungen.
  10. Keine zentrale Maßnahmenliste: Führen Sie offene Findings, Owner, Fristen und Status in einem gemeinsamen Register.

Die wichtigste Regel lautet: Finden Sie den Mangel intern zuerst. Ein Audit wird deutlich leichter, wenn Sie offen zeigen können, welche Lücken bereits erkannt, priorisiert und in einen Maßnahmenplan überführt wurden.

Checkliste zum Download: 30+ Prüfpunkte für 2026

Wenn Sie die Audit-Vorbereitung als internes Arbeitsblatt nutzen möchten, können Sie die folgende strukturierte Prüfliste direkt in Ihr Projektboard, Ihr ISMS oder Ihren Audit-Datenraum übernehmen. Sie bündelt alle drei Regime in einer Reihenfolge, die in der Praxis funktioniert.

A. Governance und Vorarbeit

  • Audit-Scope schriftlich definiert
  • Verantwortliche pro Rechtsgebiet benannt
  • Zentrale Dokumentenablage eingerichtet
  • Offene Maßnahmen aus Vorprüfungen gesammelt
  • Fristen- und Review-Kalender aktualisiert

B. AI Act

  • Vollständiges KI-Inventar vorhanden
  • Rollen als Anbieter oder Betreiber dokumentiert
  • Risikoklassifizierung pro KI-System durchgeführt
  • Art.-4-Schulungen dokumentiert
  • Interne KI-Richtlinie verabschiedet
  • Transparenzpflichten geprüft
  • Hochrisiko-nahe Use Cases gesondert markiert
  • Freigabeprozess für neue KI-Tools implementiert

C. NIS2

  • Betroffenheitsprüfung dokumentiert
  • ISMS oder gleichwertiges Sicherheitsmodell aktiv
  • Managementbeschlüsse und Organpflichten archiviert
  • §-38-BSIG-Schulungsnachweise vorhanden
  • Cyberhygiene-Schulungen durchgeführt
  • Incident-Response-Plan aktuell
  • Meldewege intern und extern definiert
  • Lieferantenrisiken bewertet
  • Backup- und Wiederherstellungsprozesse getestet

D. DSGVO

  • VVT aktualisiert
  • DSFA-Bedarf geprüft und dokumentiert
  • TOMs aktualisiert
  • Datenschutzbeauftragter bestellt oder Entbehrlichkeit begründet
  • AV-Verträge und Drittlandtransfers geprüft
  • Prozesse für Betroffenenrechte beschrieben
  • Datenschutzvorfälle dokumentiert
  • Datenschutz-Schulungsnachweise archiviert

E. Nachweisfähigkeit

  • Alle Richtlinien mit Versionsstand versehen
  • Schulungsstände pro Person nachvollziehbar
  • Maßnahmenregister mit Owner und Fristen gepflegt
  • Managementreview oder Audit-Readiness-Check durchgeführt
  • Externe Dienstleister in den Nachweisprozess einbezogen

Diese Liste ist bewusst pragmatisch aufgebaut. Sie ersetzt keine Rechtsberatung, aber sie zeigt sehr zuverlässig, wo vor einem Audit die größten Lücken liegen. Für viele mittelständische Unternehmen ist genau das der effizienteste Start: erst Übersicht, dann Priorisierung, dann Nachweisqualität.

Fazit: Gute Audit-Vorbereitung ist integrierte Governance

Ein Compliance-Audit 2026 ist beherrschbar, wenn Sie AI Act, NIS2 und DSGVO nicht als drei isolierte Baustellen behandeln. Die belastbarste Reihenfolge lautet: Scope festlegen, Dokumente zentralisieren, Verantwortliche benennen, Pflichtnachweise schließen und die häufigsten Findings intern vorwegnehmen.

Wenn Sie dafür eine Schulungs- und Nachweisbasis aufbauen möchten, ist die EU AI Act Schulung der sinnvollste Einstieg für den KI-Teil. Ergänzend helfen Compliance-Schulung 2026 — Welche Schulungen sind Pflicht?, Compliance-Fristen 2026-2027, BSI IT-Grundschutz, der NIS2-Hub und der ISO-42001-Hub dabei, die Audit-Vorbereitung in ein dauerhaft tragfähiges Governance-System zu übersetzen.

Häufige Fragen zum Compliance-Audit 2026

Welche Compliance-Schulungen sind 2026 Pflicht?

2026 sind vor allem KI-Kompetenz nach Art. 4 AI Act, Management- und Cyberhygiene-Schulungen unter NIS2 beziehungsweise § 38 BSIG sowie Datenschutz-Awareness im DSGVO-Kontext relevant. Welche Personen konkret geschult werden müssen, hängt vom Einsatz von KI, von der Branche und von Ihrer Organisationsstruktur ab.

Was kostet Compliance für den Mittelstand?

Die Kosten hängen stark davon ab, ob Dokumentation, Schulungen und Sicherheitsprozesse schon vorhanden sind oder erst kurzfristig vor einem Audit aufgebaut werden. Typisch ist eine Spanne vom niedrigen bis mittleren fünfstelligen Bereich pro Jahr, sobald mehrere Regime gleichzeitig vorbereitet werden.

Wer prüft AI Act- und NIS2-Compliance?

Je nach Sachverhalt prüfen Marktüberwachungs- und Aufsichtsbehörden, das BSI beziehungsweise zuständige nationale Stellen, Kunden, interne Revision oder externe Auditoren. In der Praxis sollten Unternehmen deshalb nicht nur auf formale Aufsicht schauen, sondern auch auf Vertrags- und Lieferkettenprüfungen vorbereitet sein.

Welche Dokumente brauche ich für ein Compliance-Audit?

Im Kern brauchen Sie ein KI-Inventar, Risikoklassifizierungen, Schulungsnachweise, ein Sicherheits- beziehungsweise Incident-Management, ein aktuelles VVT, gegebenenfalls DSFA-Unterlagen, dokumentierte TOMs und klare Benennungen der Verantwortlichen. Entscheidend ist, dass diese Dokumente konsistent zusammenpassen.

Wie oft muss ein Compliance-Audit stattfinden?

Ein fester universeller Audit-Turnus ist gesetzlich nicht für alle Regime identisch vorgegeben. Praktisch bewährt sich ein jährlicher Audit- oder Review-Zyklus, ergänzt um Anlassprüfungen bei neuen KI-Systemen, Vorfällen, wesentlichen Tool-Wechseln oder regulatorischen Änderungen.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →