KI-Compliance und EU-AI-Act-Beratung
Regulatorische Beratung zur KI-Verordnung (EU AI Act): Risikoklassifizierung Ihrer KI-Systeme, Governance-Framework, Konformitätsdokumentation und laufendes Monitoring. Pragmatisch — vom Foundation-Model-Anbieter bis zum KI-Anwender im Mittelstand.
Unsere KI-Compliance-Leistungen
AI-Inventar und Risikoklassifizierung
Vollständige Erfassung aller KI-Systeme in Ihrer Organisation — inkl. eingekaufter Foundation Models, KI-Komponenten in SaaS und intern entwickelter Systeme. Zuordnung zu den vier AI-Act-Risikokategorien.
Konformitätsbewertung für Hochrisiko-KI
Durchführung der Konformitätsbewertung nach Anhang VI/VII: Risikomanagement-System, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Robustheit und Cybersecurity.
AI-Governance-Framework
Aufbau unternehmensweiter KI-Governance: Policies, Rollen (AI Officer, Ethics Board), Prozesse für KI-Risikobewertung, Modell-Freigabe, Monitoring und Incident Response.
Datenschutz bei KI-Systemen
DSGVO-konforme Gestaltung von KI-Training und -Betrieb: Rechtsgrundlage, Zweckbindung, Datenminimierung, Betroffenenrechte, DSFA bei Hochrisiko-KI und AVV für KI-Dienstleister.
Lieferanten-Due-Diligence für KI
Prüfung von Foundation-Model-Anbietern, KI-SaaS und KI-Komponenten: AI-Act-Status, Trainingsdaten-Herkunft, Dokumentation, Compliance-Attestationen und Ausstiegsstrategien.
KI-Schulungen und Awareness
Pflichtschulungen nach Art. 4 EU AI Act (AI-Literacy): Grundlagen für alle Mitarbeitenden, vertiefte Rollenschulungen für Entwicklung, Einkauf, Datenschutz und Geschäftsleitung.
Was KI-Compliance-Verstöße kosten
Der EU AI Act hat die strengsten Sanktionen aller aktuellen EU-Digitalgesetze — und die Aufsichtsbehörden (KI-Büro, BNetzA, BSI) werden die Einhaltung ab 2026/2027 aktiv prüfen.
Bußgelder bis 35 Mio. € oder 7 % Umsatz
Bei Einsatz verbotener KI-Systeme (Art. 5) drohen bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes. Bei Hochrisiko-KI-Verstößen bis zu 15 Mio. € oder 3 %.
Persönliche Haftung der Geschäftsleitung
Geschäftsleitung haftet für die Einhaltung des AI Acts. Insbesondere die Pflicht zur AI-Literacy (Art. 4) und zur Einhaltung von Hochrisiko-Anforderungen ist Chefsache.
Marktrücknahme und Vertriebseinstellung
Bei non-konformer Hochrisiko-KI kann die Behörde eine Marktrücknahme, einen Vertriebsstopp oder eine Nachbesserung anordnen — mit erheblichen operativen Folgen.
Zivilrechtliche Klagen bei KI-Schäden
Die EU-AI-Haftungsrichtlinie und die überarbeitete Produkthaftungsrichtlinie senken die Beweislast-Schwelle für Geschädigte erheblich — Klagen werden zunehmen.
Der EU AI Act in drei Ebenen
Der EU AI Act unterscheidet KI-Systeme nach Risiko und Rolle. Erst nach korrekter Einordnung Ihres Systems wissen Sie, welche konkreten Pflichten anwendbar sind.
Verbotene und Hochrisiko-KI (Art. 5–15)
- Verbotene Praktiken: Social Scoring, biometrische Kategorisierung nach sensiblen Merkmalen, Emotion-Recognition am Arbeitsplatz
- Hochrisiko-KI nach Anhang III: HR (Personalauswahl), Kredit-Scoring, Bildung, kritische Infrastruktur, Justiz
- Hochrisiko-KI als Sicherheitsbauteil: Medizinprodukte, Fahrzeuge, Maschinen (nach Anhang I)
- Risikomanagement-System über gesamten Lebenszyklus
- Technische Dokumentation nach Anhang IV
- Menschliche Aufsicht und Einspruchsmöglichkeit
Anforderungen an Anbieter und Betreiber
- Konformitätsbewertung vor Markteinführung
- CE-Kennzeichnung für Hochrisiko-KI
- Registrierung in der EU-AI-Datenbank
- Daten-Governance: Trainings-, Validierungs- und Testdaten-Qualität
- Protokollierung und Monitoring im Betrieb
- Meldepflicht bei ernsten Vorfällen
Foundation Models und GPAI (Art. 51–56)
- Transparenzpflichten für General Purpose AI (GPAI)
- Technische Dokumentation und Trainingsdaten-Zusammenfassung
- Copyright-Compliance nach DSM-Richtlinie
- Verstärkte Pflichten bei GPAI mit systemischen Risiken (>10²⁵ FLOPs)
- Model Evaluation und Red-Teaming
- Beitrag zu EU-Codes of Practice
Unser Vorgehen zur AI-Act-Readiness
Phase 1: AI-Inventar und Klassifizierung
Systematische Erfassung aller KI-Systeme (intern entwickelt, eingekauft, in SaaS eingebettet). Zuordnung zu AI-Act-Risikokategorien und Identifikation verbotener Praktiken.
Phase 2: Governance-Framework
Aufbau von Policies, Rollen, Prozessen und Schulungsprogrammen. Etablierung eines AI-Ethics-Committees und klarer Verantwortlichkeiten über den KI-Lebenszyklus.
Phase 3: Konformität für Hochrisiko-KI
Für identifizierte Hochrisiko-Systeme: Technische Dokumentation nach Anhang IV, Risikomanagement-System, Daten-Governance, menschliche Aufsicht, Konformitätsbewertung.
Phase 4: Monitoring und Reporting
Laufendes Monitoring, Incident-Reporting, jährliche Konformitäts-Reviews, Anpassung bei Modell-Updates und bei neuen Einsatzszenarien.
Häufig gestellte Fragen zur KI-Compliance
Ja. Der EU AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten. Die Pflichten werden gestaffelt wirksam: (1) Verbote seit 2. Februar 2025, (2) AI-Literacy-Pflicht seit 2. Februar 2025, (3) Governance-Vorgaben ab 2. August 2025, (4) Hochrisiko-KI-Anforderungen ab 2. August 2026 (für Anhang-III-Systeme) bzw. 2. August 2027 (für Anhang-I-Systeme mit Produkt-Rechtsakten).
Das hängt vom Einsatzzweck ab. Die meisten intern eingesetzten KI-Systeme fallen in die Kategorie „minimal risk" oder „limited risk" und unterliegen primär Transparenzpflichten. Hochrisiko-Klassifizierung gilt für spezifische Anwendungen (Anhang III: HR, Bildung, Kredit, Kritische Infrastruktur, Strafverfolgung) und KI als Sicherheitsbauteil (Anhang I). Wir prüfen Ihre Systeme strukturiert in der Risikoklassifizierung.
Für einen mittelständischen Anwender ohne Hochrisiko-KI: 15.000–40.000 € für Inventar, Governance-Framework und AI-Literacy-Schulungen. Mit einem oder mehreren Hochrisiko-Systemen: 50.000–150.000 € je Hochrisiko-System für die Konformitätsbewertung. Für GPAI-Anbieter (Foundation Models): individuelle Kalkulation. Festpreis nach Scoping.
Ja. Art. 4 EU AI Act verpflichtet Anbieter und Betreiber, dafür zu sorgen, dass Beschäftigte — und ggf. auch beauftragte Dritte — ein ausreichendes Maß an „KI-Kompetenz" (AI Literacy) haben. Diese Pflicht gilt seit 2. Februar 2025. Die Behörden haben bereits angekündigt, die AI-Literacy-Schulungen bei Prüfungen abzufragen — wir liefern dokumentierte, rollenbasierte Schulungen.
Die Aufsichtsstruktur ist noch im Aufbau. Vorläufig: Das EU-AI-Büro (im Rahmen der Europäischen Kommission) ist für GPAI zuständig. National koordiniert die BNetzA, unterstützt durch BSI (Cyber), BfDI (Datenschutz) und sektorale Behörden (BaFin für Finanzdienstleister, BASG für Medizin, KBA für Fahrzeuge). Wir begleiten bei der Interaktion mit der zuständigen Behörde.
Als „Betreiber" eines allgemeinen KI-Modells müssen Sie: (1) AI-Literacy sicherstellen (Art. 4), (2) Transparenz gegenüber Betroffenen gewährleisten (bei Interaktion mit KI-Chatbots, Art. 50), (3) Datenschutz gemäß DSGVO einhalten (u. a. AVV mit OpenAI/Microsoft, DSFA bei sensiblen Nutzungen), (4) keine verbotenen Praktiken umsetzen. Zusätzliche Pflichten ergeben sich, falls Sie den Copilot in einem Hochrisiko-Kontext einsetzen (z. B. Personalauswahl).
Ein Anbieter („Provider") entwickelt bzw. bringt ein KI-System in Verkehr oder stellt es bereit. Ein Betreiber („Deployer") setzt ein KI-System im eigenen Geschäftsbetrieb ein. Die Pflichten unterscheiden sich deutlich: Anbieter haben Konformitätspflichten vor Markteinführung, Betreiber haben v. a. Pflichten zur menschlichen Aufsicht, Dokumentation der Nutzung und Transparenz gegenüber Betroffenen.
Die DSGVO regelt die Verarbeitung personenbezogener Daten — der AI Act reguliert KI-Systeme unabhängig davon, ob sie personenbezogene Daten verarbeiten. Beide Regelwerke gelten parallel: KI-Systeme müssen AI-Act-konform sein und — wenn sie personenbezogene Daten verarbeiten — zusätzlich DSGVO-konform. Wir liefern ein integriertes Compliance-Programm, das beide abdeckt.
Nein. Eine DSFA nach Art. 35 DSGVO ist nur bei KI-Systemen mit hohem Risiko für die Rechte und Freiheiten Betroffener erforderlich — typischerweise bei automatisierter Entscheidungsfindung mit erheblichen Auswirkungen (Art. 22), großflächiger Verarbeitung besonderer Datenkategorien oder systematischer Überwachung. Wir entscheiden fallbezogen im Rahmen der Risikoklassifizierung.
Der AI Act entwickelt sich dynamisch — neue RTS, Leitlinien und Codes of Practice erscheinen quartalsweise. Als laufender Mandant erhalten Sie unsere Regulatory-Alerts, quartalsweise Analysen mit konkreten Umsetzungshinweisen und vorab Zugang zu unseren internen Leitfäden. Auf Wunsch auch operatives Monitoring der EU-AI-Datenbank.
Branchen mit KI-Relevanz
Bereit für den EU AI Act?
Kostenloses Erstgespräch — 30 Minuten. Wir klassifizieren Ihre KI-Systeme, priorisieren die nächsten Schritte und liefern einen realistischen Fahrplan zur AI-Act-Readiness.