Social Scoring, manipulative KI, Echtzeit-Biometrie.
Verbote nach Art. 5. Anwendbar seit Februar 2025. Maximale Bußgelder 35 Mio. € oder 7% des weltweiten Umsatzes.
PRAXIS · EU AI ACT
AI-Act-Konformität und Governance.
Wir klassifizieren Ihre KI-Systeme nach Anhang III, bereiten die Konformitätsbewertung und technische Dokumentation vor, setzen Risikomanagement nach Art. 9 und menschliche Aufsicht nach Art. 14 um und bauen ein KI-Managementsystem nach ISO 42001 auf. GPAI- und Verbotsprüfungen enthalten.
AI.GOV.DESK · LETZTE 30 TAGE● LIVE
KI-Systeme klassifiziert7 hochriskant64
Konformitätsdateien vorbereitet12
Risikoreviews nach Art. 923
Kombinierte DSFA nach Art. 358
GPAI-Abhängigkeitsbewertungen14
Transparenzhinweise geprüft47
VERTRAUEN VON 300+ EU-ORGANISATIONEN
ROCHESIEMENSIKEAASTRAZENECAVODAFONEPHILIPSJUST EAT
KOSTENLOSE 30-MIN-BERATUNG
Gespräch mit einem Senior-Berater.
Antwort innerhalb eines Werktages. Klare nächste Schritte und indikative Vergütung.
ANTWORT IN 1 WERKTAG·NDA AUF WUNSCH·KEINE VERPFLICHTUNG
01 / EU AI ACT IN 60 SEKUNDEN
Risikostufen.
Anhang-III-Systeme: HR, Kredit, Bildung, Strafverfolgung.
Pflichten nach Art. 8-15: Risikomanagement, Datengovernance, technische Dokumentation, menschliche Aufsicht, Genauigkeit.
KI-Modelle mit allgemeinem Verwendungszweck und systemischem Risiko.
Foundation- und Frontier-Modelle. Transparenz, Model Cards, Urheberrecht, systemische Risikopflichten seit August 2025.
STUFE 1 · OPERATIVE VERSTÖSSE
Bis 15 Mio. € oder 3% Umsatz
Bußgelder nach Art. 99 bei Nichteinhaltung der Konformitätspflichten oder unrichtigen Angaben.
STUFE 2 · VERBOTENE PRAKTIKEN
Bis 35 Mio. € oder 7% Umsatz
Maximum nach Art. 99. Für verbotene KI-Praktiken nach Art. 5 und deren Einsatz.
02 / ARTIKEL IM SCOPE
Anbieter- und Betreiberpflichten.
ANBIETERPFLICHTEN · ART. 8-22
Art. 9RisikomanagementsystemKontinuierlicher, iterativer Risikomanagementprozess über den gesamten Lebenszyklus.
Art. 10Daten und DatengovernanceQualität von Trainings-, Validierungs- und Testdaten, Bias-Prüfung, Repräsentativität.
Art. 11-12Technische Dokumentation und LogsUmfassende Dokumentation vor Markteinführung. Automatische Aufzeichnungen.
Art. 14Menschliche AufsichtWirksame Aufsicht durch natürliche Personen während des Einsatzes des Systems.
Art. 15Genauigkeit, Robustheit und CybersicherheitAngemessenes Niveau an Genauigkeit, Robustheit und Cybersicherheit über den Lebenszyklus.
BETREIBER UND GPAI · ART. 26, 50-55
Art. 26BetreiberpflichtenNutzung gemäß Anweisungen, menschliche Aufsicht, Monitoring, Vorfallmeldung.
Art. 27Grundrechte-FolgenabschätzungFRIA vor dem Einsatz durch öffentliche Stellen und bestimmte Betreiber hochriskanter Systeme.
Art. 50TransparenzpflichtenOffenlegung KI-generierter Inhalte, Deepfakes, Emotionserkennung, biometrische Kategorisierung.
Art. 53-55GPAI-PflichtenTechnische Dokumentation, Urheberrechtspolitik, Zusammenfassung der Trainingsdaten, Modellevaluierungen für Modelle mit systemischem Risiko.
03 / ENGAGEMENT-MODELLE
Einsatzmodelle.
FULLBELIEBT
AI-Act-Programm-Umsetzung
System-Inventar und Klassifizierung, Konformitätsbewertung, technische Dokumentation, Risikomanagement nach Art. 9, menschliche Aufsicht nach Art. 14, Integration mit DSGVO Art. 35 DSFA.
- →System-Inventar und Klassifizierung
- →Konformitätsbewertung und Technische Datei
- →Art. 9 + Art. 14 Umsetzung
- →DSGVO-Art.-35-DSFA-Integration
GAP3-4 WO
AI-Act-Gap-Bewertung
Unabhängige Prüfung der AI-Act-Pflichten, die für Ihre Rolle relevant sind (Anbieter, Betreiber, GPAI). Reifegrad, priorisiertes Lückenregister, Bericht für die Geschäftsleitung.
- →System-Risikoklassifizierung
- →Lückenregister, nach Priorität
- →Risikobewerteter Fahrplan
- →Bericht für die Geschäftsleitung
ISO5-7 MO
ISO 42001 KI-Managementsystem
Aufbau des KI-Managementsystems nach ISO 42001. Geeignet für Organisationen, die externe Zertifizierung oder kundenseitige Absicherung suchen.
- →ISO 42001 AIMS-Aufbau
- →KI-Richtlinienpaket
- →Internes Audit-Programm
- →Audit-Unterstützung
04 / LEISTUNGSUMFANG
Leistungsumfang.
01 / 04
Inventar und Klassifizierung
- KI-System-Inventar und Verantwortlichkeit
- Anhang-III-Mapping für hohes Risiko
- Prüfung verbotener Praktiken (Art. 5)
- Rollenanalyse Anbieter vs Betreiber
- GPAI-Abhängigkeitsbewertung
02 / 04
Konformität und Dokumentation
- Konformitätsbewertungsverfahren
- Technische Dokumentation (Art. 11)
- EU-Konformitätserklärung
- CE-Kennzeichnung und Registrierung
- Post-Market-Monitoring-Plan
03 / 04
Risiko- und Aufsichtskontrollen
- Risikomanagementsystem nach Art. 9
- Datengovernance nach Art. 10
- Gestaltung der menschlichen Aufsicht (Art. 14)
- Genauigkeit und Robustheit (Art. 15)
- Vorfallmeldung (Art. 73)
04 / 04
Personal und Nachweise
- KI-Kompetenz-Schulung (Art. 4)
- Grundrechte-Folgenabschätzung
- Transparenzhinweise (Art. 50)
- Behördenkorrespondenz
- Jahresbericht zum Programm
05 / DSGVO UND AI ACT, ZUSAMMENBeispiel-Inhaltsverzeichnis Technische DateiPDF · 12 S
Verbundene DSFA und Konformitätsbewertung.
Hochrisiko-KI-Systeme verarbeiten meist personenbezogene Daten. Pflichten aus Art. 35 (DSFA) und die KI-Konformitätsbewertung überlappen sich. Unsere Vorlage deckt beides ab, und die technische Dokumentation verweist auf beide Pflichtsätze.
Kombinierte DSFA-Vorlage
Enthalten
Konformitätsdatei
Wir bereiten vor
Behördenmeldung
Wir reichen ein
Jahresbericht zum Programm
Enthalten
BEISPIEL.TECH.DATEI.INDEXOKT 2026
Systembeschreibung und ZweckbestimmungAbschnitt 1
Risikomanagement-Dokumentation (Art. 9)Abschnitt 2
Daten und Datengovernance (Art. 10)Abschnitt 3
Logging-Architektur (Art. 12)Abschnitt 4
Gestaltung der menschlichen Aufsicht (Art. 14)Abschnitt 5
Post-Market-Monitoring-PlanAbschnitt 8
UNTERZEICHNET. PETRA NOVAK, COUNSEL. KI-GOVERNANCE
06 / AUSGEWÄHLTE PROJEKTE
Alle Fallstudien →Aktuelle Mandate.
CASE 01HR-Tech · Series C
Anhang-III-Konformität für 7 Produktions-KI-Systeme vor Frist.
7
Systeme
3
Hochrisiko-Meldungen
✓
Launch gehalten
SCOPEAI Act · Anhang III · DSFA-Integration
CASE 02Foundation-Modell-Anbieter
GPAI-Pflichten vor August-2025-Frist erfüllt. Model Card und Urheberrechtspolitik eingereicht.
2
GPAI-Modelle
2
Model Cards
0
Aufsichtsanfragen
SCOPEGPAI · Art. 53-55 · Modelldokumentation
CASE 03EU-Bank · Tier 2
Kombinierte DSGVO-Art.-35- und AI-Act-Konformität für Kredit-Scoring-System.
4
Modelle geprüft
4 Mon.
Zeit bis Readiness
0
Kritische Befunde
SCOPEAI Act · DSGVO · Kombinierte DSFA
07 / WARUM DAS WICHTIG IST
AI-Act-Durchsetzung.
35 Mio. € / 7%
Maximales Bußgeld für verbotene KI-Praktiken
Feb 2025
Verbote und KI-Kompetenz durchsetzbar
Aug 2025
GPAI-Pflichten aktiv
Aug 2026
Hochrisiko- und die meisten weiteren Bestimmungen
TREND 01
Anbieter vs Betreiber ist nicht immer offensichtlich
Fine-Tuning eines Foundation-Modells kann Sie vom Betreiber zum Anbieter machen. Aufsichtsbehörden haben klargestellt, dass wesentliche Änderungen den Pflichtensatz verschieben.
TREND 02
Grundrechte-Folgenabschätzungen sind ein neues Artefakt
FRIA nach Art. 27 ist für öffentliche Stellen und bestimmte private Betreiber hochriskanter Systeme erforderlich. Die Vorlage unterscheidet sich von der DSGVO-DSFA, beide werden aber typischerweise integriert.
TREND 03
Dokumentation ist der eigentliche Engpass
Die meisten Organisationen können ihre Systeme schnell klassifizieren. Der langsame Schritt ist die Erstellung der technischen Dokumentation nach Art. 11, die einer Notified-Body-Prüfung standhält.
08 / FAQ
Häufige Fragen.
01Ab wann gelten die AI-Act-Pflichten für uns?+
Verbote und KI-Kompetenzpflichten gelten seit Februar 2025. GPAI-Pflichten seit August 2025. Pflichten für hochriskante Systeme ab August 2026 (mit einigen sektorspezifischen Verlängerungen). Betreiber hochriskanter Systeme haben ein 24-monatiges Fenster ab Markteinführung für die operativen Pflichten.
02Sind wir Anbieter oder Betreiber?+
Sie sind Anbieter, wenn Sie ein KI-System entwickeln oder entwickeln lassen und es unter Ihrem Namen auf den Markt bringen. Sie sind Betreiber, wenn Sie ein KI-System unter Ihrer Aufsicht einsetzen. Wesentliche Änderungen an einem System eines Dritten können Sie zum Anbieter machen. Wir bestätigen das im Klassifizierungsschritt.
03Wie greift der AI Act mit der DSGVO ineinander?+
Hochriskante KI-Systeme verarbeiten in der Regel personenbezogene Daten, sodass DSFA-Pflichten nach Art. 35 DSGVO parallel gelten. Unsere Praxis erstellt eine kombinierte DSFA, die beide Regulierungen abdeckt. Die technische Dokumentation nach Art. 11 referenziert die DSGVO-Nachweisarchitektur.
04Was, wenn wir ein Foundation-Modell eines Dritten nutzen?+
Sie sind Betreiber für dieses Modell. Ihre Pflichten umfassen menschliche Aufsicht, Monitoring, Transparenzhinweise und Vorfallmeldung. Wenn Sie das Modell wesentlich nachtrainieren, können Sie für die nachtrainierte Version zum Anbieter werden, was die vollen Anbieterpflichten auslöst.
05Brauchen wir ISO 42001?+
Nein, der AI Act schreibt ISO 42001 nicht vor. Der Standard ist ein nützlicher strukturierter Rahmen für das KI-Management und wird zunehmend von Kunden und Ausschreibungen verlangt. Organisationen, die externe Zertifizierung oder kundenseitige Absicherung suchen, verfolgen oft beides: AI-Act-Konformität und ISO 42001.
06Wie unterstützen Sie bei einer Aufsichtsanfrage?+
Wir antworten in Ihrem Namen, bereiten die Nachweise vor, briefen die Geschäftsleitung und nehmen am Termin teil. Die nach Art. 11 vorbereitete technische Dokumentation ist der primäre Nachweis. Pre-Aufsichts-Reviews sind Teil des AI-Act-Programm-Retainers.
09 / RESSOURCEN
Vorlagen und Leitfäden.
LEITFADENPDF · 36 Seiten
AI-Act-Umsetzungsleitfaden
Phasen-Umsetzungsplan abgestimmt auf den AI-Act-Anwendungsplan. Anhang-III-Mapping und FRIA-Vorlage enthalten.
Herunterladen ↓E-MAIL ERFORDERLICH
LEITFADENPDF · 12 Seiten
Entscheidungsbaum: Anbieter vs Betreiber
Visueller Entscheidungsbaum für die Rollen Anbieter, Betreiber, Einführer und Händler. Deckt Fine-Tuning und wesentliche Änderungen ab.
Herunterladen ↓E-MAIL ERFORDERLICH
VORLAGEPDF + DOCX
Kombinierte DSFA und AI-Act-FRIA
Einheitliche Vorlage für DSFA nach Art. 35 DSGVO und Grundrechte-Folgenabschätzung nach Art. 27 AI Act.
Herunterladen ↓E-MAIL ERFORDERLICH
10 / VERWANDTE PRAXEN
Verwandte Praxen.
Datenschutz und DSGVO
DSFA nach Art. 35 erweitert sich auf kombinierte DSGVO- und AI-Act-Bewertungen. Gleicher DSB, gleiche Nachweisarchitektur.
Praxis öffnen →Cybersecurity und ISO 27001
Cybersicherheitspflichten für hochriskante KI nach Art. 15 überlappen mit Kontrollen aus ISO 27001 Anhang A.
Praxis öffnen →Incident Response
Meldung schwerwiegender Vorfälle für hochriskante Systeme (Art. 73). Gleiche Krisenteam-Koordination.
Praxis öffnen →11 / GET STARTED
AI-Act-Programm starten.
Kostenloses Erstgespräch. Klare nächste Schritte. Indikative Vergütung innerhalb eines Werktages.