Skip to main content

EU AI Act Beratung für KMU: praxisnah, technisch fundiert, termingerecht.

Am 2. August 2026 treten die Hochrisiko-Pflichten des EU AI Act vollständig in Kraft. Die EU AI Act Beratung von Elsen GRC unterstützt Unternehmen und Behörden dabei, KI-Systeme rechtzeitig zu inventarisieren, Risiken korrekt einzustufen und alle Dokumentations-, Transparenz- und Governance-Pflichten zu erfüllen, noch bevor die Bundesnetzagentur als Aufsichtsbehörde aktiv prüft. Unser Beratungsansatz verbindet über 14 Jahre Software-Entwicklung am Markt mit fundierter GRC-Praxis, sodass Sie nicht nur juristisch abgesichert sind, sondern die Anforderungen auch technisch umsetzen können. Bei Bedarf auch im direkten Sparring mit Ihrem DEV-Team.

Kontakt

Was ist der EU AI Act?

Der EU AI Act (KI-Verordnung, EU 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er klassifiziert KI-Systeme in vier Risikostufen: von minimalem Risiko bis unannehmbares Risiko und leitet daraus verbindliche Pflichten für Anbieter und Betreiber ab. Seit Februar 2025 gelten bereits die Verbote unzulässiger KI-Praktiken und die KI-Kompetenzpflicht nach Art. 4. Ab August 2026 greifen die vollständigen Hochrisiko-Anforderungen: Risikomanagement, technische Dokumentation, Daten-Governance, menschliche Aufsicht und Konformitätsbewertung. Betroffen ist nicht nur, wer KI entwickelt, sondern jedes Unternehmen, das KI-Systeme einsetzt, etwa in Human Resource und Recruiting, Kreditprüfung, Kundenservice oder Prozessautomatisierung (z.B. via KI-Chatbots). Eine fundierte AI Act Beratung klärt Ihre Rolle (Anbieter, Betreiber, Anwender), identifiziert betroffene Systeme und schafft die Grundlage für termingerechte Compliance. Mehr dazu in unserer Übersicht zum EU AI Act.

Die 7 zentralen Pflichten aus dem EU AI Act

KI-Inventar & Risikoklassifizierung

Jedes Unternehmen, das KI einsetzt, muss wissen, welche Systeme im Einsatz sind , auch Shadow AI zählt dazu. Der EU AI Act verlangt eine vollständige Bestandsaufnahme aller KI-Systeme und deren Einstufung in die vier Risikoklassen (minimal, begrenzt, hoch, unannehmbar). Ohne KI-Inventar ist keine Compliance möglich.

01

KI-Kompetenzpflicht nach Art. 4

Seit Februar 2025 müssen alle Unternehmen, die KI einsetzen, die KI-Kompetenz ihres Personals sicherstellen. Das gilt unabhängig von der Unternehmensgröße und betrifft auch die Nutzung von ChatGPT, Copilot oder KI-Features in bestehender Software. Eine dokumentierte KI-Kompetenzschulung ist der obligatorische Nachweis.

02

Risikomanagement für Hochrisiko-KI

Hochrisiko-KI-Systeme, wie sie es etwa beim Einsatz in Recruiting, Kreditprüfung oder kritischer Infrastruktur sind, erfordern ein kontinuierliches Risikomanagementsystem nach Art. 9. Dazu gehören Risikoidentifikation, Bewertung, Minderungsmaßnahmen und regelmäßige Überprüfung. Das System muss dokumentiert und nachweisbar sein.

03

Technische Dokumentation & Konformität

Der AI Act verlangt eine vollständige technische Dokumentation für Hochrisiko-Systeme: Zweckbestimmung, Systemarchitektur, Trainingsdaten, Leistungsmetriken und Testverfahren. Dazu kommt die Konformitätsbewertung, die in den meisten Fällen als Selbstbewertung ausreichend ist. Die Dokumentation muss vor dem 2. August 2026 stehen.

04

Transparenzpflichten & Kennzeichnung

KI-Systeme mit begrenztem Risiko, wie Chatbots oder KI-generierte Inhalte, müssen als KI gekennzeichnet werden. Nutzer müssen wissen, dass sie mit einer KI interagieren. Für Hochrisiko-Systeme gelten zusätzliche Informationspflichten gegenüber betroffenen Personen, ähnlich den DSGVO-Betroffenenrechten. Wir prüfen, ob Ihre KI-Systeme die EU AI Act Pflichten erfüllen.

05

Menschliche Aufsicht & Governance-Strukturen

Der AI Act fordert für Hochrisiko-Systeme eine menschliche Aufsichtsfunktion (Human Oversight). Dazu gehören klare Verantwortlichkeiten, definierte Eskalationswege und ein KI-Beauftragter oder Governance-Verantwortlicher. Ohne diese Strukturen ist eine AI Act Compliance unmöglich.

06

Bußgelder bis zu 35 Mio. € oder 7 % Jahresumsatz

Die Sanktionsstruktur des EU AI Act orientiert sich bewusst an der DSGVO: Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen KI-Praktiken, bis zu 15 Mio. € oder 3 % bei Nichteinhaltung der Hochrisiko-Anforderungen. Diese Bußgelder liegen oftmals über der Schmerzgrenze großer Unternehmen. Für KMU gelten abgemilderte Obergrenzen, aber die Durchsetzung durch die Bundesnetzagentur kommt mit Sicherheit, da wir wissen, wie es um den Kassenbestand des Bundes steht.

07

Leistungsumfang der AI Act Beratung

  • Vollständiges KI-Inventar: Erfassung aller KI-Systeme inkl. Shadow AI
  • Risikoklassifizierung nach den vier Stufen des EU AI Act
  • Rollenbestimmung: Anbieter, Betreiber oder Anwender und daraus result. Pflichten
  • Gap-Analyse: Wo stehen Sie heute, was fehlt bis zur vollen Compliance?
  • Technische Dokumentation und Konformitätsbewertung für Hochrisiko-Systeme
  • KI-Kompetenzschulung nach Art. 4 inkl. Zertifikat und Schulungsregister
  • Aufbau von KI-Governance-Strukturen: Rollen, Verantwortlichkeiten, Monitoring
  • DSGVO-Schnittstellen: Datenschutz-Folgenabschätzung bei KI-Systemen mit personenbezogenen Daten
  • Umsetzungsroadmap mit konkreten Meilensteinen bis August 2026

Für wen ist die AI Act Beratung geeignet?

  • KMU, die KI-Systeme einsetzen und ihre Pflichten als Betreiber verstehen müssen
  • Unternehmen mit Hochrisiko-KI in Recruiting, Kreditprüfung, HR oder kritischer Infrastruktur
  • SaaS-Anbieter, die KI in ihre Produkte integrieren (Anbieter-Pflichten)
  • Behörden und Kommunen, die KI-Systeme einführen und regulieren müssen
  • Organisationen, die DSGVO-Compliance und AI Act-Compliance verknüpfen wollen
  • Geschäftsführer, die persönliche Haftungsrisiken durch fehlende KI-Governance minimieren wollen
Ihr Ansprechpartner

Als zertifizierter Datenschutzbeauftragter und Gründer von Elsen GRC in Hamburg berate ich Unternehmen und Behörden zur EU AI Act Compliance. Mit über 14 Jahren Erfahrung in der Software-Entwicklung verstehe ich nicht nur die regulatorischen Anforderungen, sondern kann Ihre IT-Abteilung auch bei der technischen Umsetzung unterstützen – von der Risikoklassifizierung über die Dokumentation bis zur Integration in bestehende GRC-Frameworks.

Mario Elsen, Geschäftsführer Elsen Media GmbH

Kontakt
Mario Elsen, Geschäftsführer, zertifizierter externer Datenschutzbeauftragter (KI, EU AI Act) und Software Entwickler

FAQ zur AI Act Beratung

Was ist der EU AI Act?

Der EU AI Act (KI-Verordnung, EU 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er gilt seit August 2024 und wird stufenweise anwendbar. KI-Systeme werden in vier Risikoklassen eingeteilt: verboten, Hochrisiko, begrenzt und minimal. Je höher die Einstufung, desto strenger die Pflichten für Anbieter und Betreiber. Mehr dazu: EU AI Act Wiki

Ist mein Unternehmen vom EU AI Act betroffen?

Sehr wahrscheinlich ja. Der AI Act betrifft nicht nur KI-Entwickler, sondern jedes Unternehmen, das KI-Systeme einsetzt, als sogenannter Betreiber (Deployer). Das umfasst auch die Nutzung von ChatGPT, Microsoft Copilot, Claude Code, KI-Features in CRM-, HR- oder Marketing-Tools mit KI-Funktionen. Bereits die Nutzung eines KI-Chatbots auf der Website kann regulatorische Pflichten auslösen.

Was kostet eine AI Act Beratung?

Der Umfang hängt von der Anzahl und Risikoklasse Ihrer KI-Systeme ab. Ein erster AI Act Readiness Check (KI-Inventar, Rollenbestimmung, Gap-Analyse) beginnt ab 1.950 € netto. Für ein umfassendes Compliance-Programm inkl. Dokumentation, Governance-Aufbau und Schulungen erstellen wir ein individuelles Angebot nach einem kostenfreien 15-Minuten-Erstgespräch.

Welche Fristen gelten für den EU AI Act?

Die wichtigsten Fristen: Seit Februar 2025 gelten die Verbote unzulässiger KI-Praktiken und die KI-Kompetenzpflicht (Art. 4). Am 2. August 2026 treten die vollständigen Hochrisiko-Anforderungen in Kraft. Für KI-Systeme in regulierten Produkten (Anhang I) gilt eine Frist bis August 2027. Empfehlung: Planen Sie mit August 2026 als fixer Deadline, denn eine Verschiebung durch das Digital Omnibus Paket ist nicht garantiert.

Brauche ich einen KI-Beauftragten?

Der AI Act schreibt keinen formalen „KI-Beauftragten“ vor, fordert aber klare Verantwortlichkeiten und Governance-Strukturen. In der Praxis bedeutet das: Jemand in Ihrem Unternehmen muss für KI-Compliance verantwortlich sein. Analog zum externen Datenschutzbeauftragten bieten wir diese Funktion als externen KI-Beauftragten an: laufend, proaktiv und ohne interne Personalbindung. Gerne im monatlichen KI-Projektmanagement Retainer.

Welche Bußgelder drohen bei Verstößen gegen den AI Act?

Bei verbotenen KI-Praktiken: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes. Bei Nichteinhaltung der Hochrisiko-Anforderungen: bis zu 15 Mio. € oder 3 %. Bei falschen Angaben gegenüber Behörden: bis zu 7,5 Mio. € oder 1,5 %. Für KMU gelten jeweils die niedrigeren Beträge. Die Bundesnetzagentur wird als nationale Marktüberwachungsbehörde die Durchsetzung übernehmen.

Was unterscheidet Elsen GRC von anderen AI Act Beratern?

Drei Dinge: Erstens erhalten Sie eine persönliche Beratung mit über 14 Jahren Software-Entwicklung und regulatorischer Expertise. Wir verstehen nicht nur die Gesetze, sondern auch den Code und die Implementierung dahinter. Zweitens arbeiten wir als TÜV-zertifizierter DSB bereits an der Schnittstelle DSGVO und AI Act, also keine Doppelberatung, sondern integrierte Compliance. Drittens haben wir Praxiserfahrung mit öffentlichem Sektor und KMU und liefern so fundierte und praxisorientierte Ansätze, die auch im „eigenen Unternehmen“ wirklich funktionieren.

Wie läuft eine AI Act Beratung ab?

In drei Schritten:

  1. Analyse: Erfassung alle KI-Systeme, bestimmen Ihre Rolle (Anbieter/Betreiber/Anwender) und klassifizieren die Risikostufen.
  2. Gap-Analyse & Roadmap: Identifizierung von Compliance-Lücken und Erstellung eines konkreten Maßnahmenplans mit Meilensteinen bis August 2026.
  3. Umsetzung: Dokumentation, Governance-Aufbau, Schulungen und laufende Begleitung. Ein kostenfreies 15-Minuten-Erstgespräch klärt Ihren konkreten Bedarf.

Gilt der AI Act auch für ChatGPT und Microsoft Copilot?

Ja. ChatGPT, Copilot und andere Large Language Models fallen als General Purpose AI (GPAI) unter den AI Act. Die Anbieter-Pflichten (Transparenz, Dokumentation) liegen bei OpenAI bzw. Microsoft. Als Unternehmen, das diese Tools nutzt, haben Sie als Betreiber eigene Pflichten: insbesondere die KI-Kompetenzpflicht nach Art. 4, Transparenzpflichten und (falls die Tools in Hochrisiko-Kontexten eingesetzt werden) erweiterte Dokumentations- und Aufsichtspflichten.