KI-Beauftragter als externer Service
Externer KI-Beauftragter für Ihr Unternehmen
Der EU AI Act greift ab August 2026 mit harten Pflichten für jedes Unternehmen, das KI einsetzt. Wir übernehmen die Rolle des KI-Beauftragten für Sie — mit revisionssicherem KI-Inventar, Risikobewertung nach Art. 6, dokumentierter Mitarbeiter-Schulung nach Art. 4 und Anbieter-Prüfung. Komplett remote, schriftliche Beauftragungs-Vereinbarung, monatlich kündbar. Erst-Inventar 1.490 Euro einmalig, laufende Begleitung ab 290 Euro pro Monat.
Für wen sich der externe KI-Beauftragte lohnt
Wir sind keine Rechtsanwaltskanzlei und keine notifizierte Stelle. Wir sind die organisatorisch verantwortliche Stelle für Ihre KI-Pflichten — Inventar, Risikobewertung, Schulung, Dokumentation, Anfragen an die Aufsicht. Für formale Rechtsberatung und für Konformitätsbewertungen verweisen wir auf die genannten Empfehlungen weiter unten.
Passt zu Ihnen, wenn
- Sie KI-Werkzeuge wie Sprachassistenten, Bewerbungs-Vorauswahl, Buchhaltungs-Automatik, Chatbots oder Bild-Generatoren einsetzen
- Sie ein lokales Sprachmodell auf eigener Infrastruktur betreiben
- Sie Mitarbeiter haben, die mit KI arbeiten, und einen Schulungs-Nachweis brauchen
- Sie keinen eigenen KI-Beauftragten einstellen wollen oder können
- Sie eine prüfbare Dokumentation für Audits, Kunden oder die Aufsicht benötigen
- Sie einen externen Datenschutz-Beauftragten haben und beide Rollen sauber trennen wollen
- Sie unter 80 Mitarbeiter haben und eine Halbtagsstelle für KI-Compliance nicht ausgelastet wäre
Passt nicht, wenn
- Sie eine formale Konformitätsbescheinigung als notifizierte Stelle nach Art. 33 brauchen — das machen TÜV, DEKRA, BSI-CC
- Sie eine anwaltliche Vertretung in einem KI-Bußgeldverfahren benötigen — das dürfen nur zugelassene Rechtsanwälte
- Sie ein KI-Anbieter mit eigenem Hochrisiko-System sind und einen kompletten Compliance-Apparat aufbauen müssen
- Sie eine spezialisierte Beratung zum AI Act in einem regulierten Sektor wie Banken, Versicherungen oder Medizinprodukten benötigen
- Sie eine TISAX-, ISO-42001- oder ISO-27001-Zertifizierung anstreben — dafür braucht es akkreditierte Auditoren
- Sie eine Vor-Ort-Präsenz Ihres KI-Beauftragten verlangen — wir arbeiten ausschließlich remote
Die vier Risikoklassen nach Art. 6 EU AI Act
Der AI Act ordnet jedes KI-System einer von vier Klassen zu. Die Pflichten unterscheiden sich erheblich: von komplettem Verbot bis weitgehend frei. Wir prüfen jedes System Ihrer Liste einzeln und ordnen es nachvollziehbar einer Klasse zu — mit Verweis auf den jeweiligen Anhang oder Artikel.
Risiko-Pyramide nach EU AI Act — je höher, desto härter die Pflicht
Was wir als externer KI-Beauftragter konkret übernehmen
Acht Leistungs-Bausteine. Sie buchen die Begleitung als Paket; die einzelnen Bausteine sind feste Bestandteile, kein Add-on und kein verstecktes Extra. Das Erst-Inventar liefert die Grundlage, ab dem zweiten Monat läuft die Pflege.
KI-Inventar führen und pflegen
Wir erfassen jedes im Unternehmen eingesetzte KI-System in einer revisionssicheren Tabelle. Bezeichnung, Anbieter, Hosting-Region, Modell-Familie, Version, Einsatz-Zweck, beteiligte Abteilungen, verarbeitete Daten-Arten, verantwortliche Person, Stand der Risikobewertung. Bei jedem neuen System prüfen wir die Aufnahme und führen das Inventar nach. Die Tabelle ist jederzeit für Audits abrufbar und enthält eine Versionshistorie.
Risikoklassen-Zuordnung nach Art. 6
Für jedes System ordnen wir die Risikoklasse zu: inakzeptabel, hoch, begrenzt oder minimal. Die Einordnung erfolgt mit Verweis auf den jeweiligen Anhang oder Artikel des AI Act, dokumentiert mit Begründung und Datum. Bei Hochrisiko-Systemen identifizieren wir die fortgeschrittenen Pflichten und priorisieren die Umsetzungs-Reihenfolge. Bei verbotenen Praktiken stoppen wir den Einsatz sofort und schlagen Alternativen vor.
Pflicht-Dokumente erstellen und pflegen
Für Hochrisiko-Systeme erstellen wir die technische Dokumentation nach Art. 11, das Risiko-Management-System nach Art. 9, die Daten-Governance-Beschreibung nach Art. 10, die Aufsichts-Vorkehrungen nach Art. 14. Für Begrenzt-Risiko-Systeme die Transparenz-Hinweise nach Art. 50. Bei personenbezogener Datenverarbeitung zusätzlich eine Folgenabschätzung nach Art. 35 DSGVO in Abstimmung mit Ihrem Datenschutz-Beauftragten.
Mitarbeiter-Schulungen nach Art. 4
Schulungs-Pflicht greift seit 2. Februar 2025. Wir liefern angepasste Schulungs-Unterlagen als PDF mit Wissens-Test, organisieren die jährliche Auffrischung und führen die Schulungs-Nachweis-Liste mit Datum und Unterschrift. Inhalte: KI-Grundlagen, Erkennen von Halluzinationen, sicherer Umgang mit vertraulichen Daten, Kennzeichnungs-Pflicht nach Art. 50, branchen-spezifische Risiken, Eskalations-Wege bei Auffälligkeiten.
Vendor- und Anbieter-Audits
Bei jedem KI-Anbieter prüfen wir die vorhandene Konformitäts-Erklärung, die DPA nach Art. 28 DSGVO, die Sub-Auftragnehmer-Liste, die Hosting-Region, die Modell-Trainings-Klausel und die Sicherheits-Maßnahmen. Bei nicht-EU-Anbietern prüfen wir die zusätzlichen Schutzmaßnahmen nach Schrems II. Die Prüf-Ergebnisse landen als Anbieter-Akte im Inventar und werden jährlich aktualisiert.
Anfragen-Bearbeitung an die Aufsicht
Wenn die Bundesnetzagentur als federführende Aufsicht, die BaFin, das BfArM oder eine Landes-Datenschutzbehörde anfragt, übernehmen wir die Bearbeitung: Prüfung der Zuständigkeit und Frist, Zusammenstellung der relevanten Inventar-Auszüge, fachlich saubere Stellungnahme, fristwahrender Versand. Auch für interne Beschwerden von Mitarbeitern oder Kunden gilt: Sie leiten weiter, wir bearbeiten.
Pflege bei Gesetzes-Updates
Der AI Act wird durch delegierte Rechtsakte, Durchführungsverordnungen, Leitlinien des AI Office, harmonisierte Normen (z.B. ISO 42001) und nationale Durchführungsgesetze konkretisiert. Wir verfolgen die offiziellen Quellen, bewerten die Auswirkung auf Ihre Systeme und passen Inventar, Dokumentation und Schulung an. Sie bekommen quartalsweise einen kompakten Status-Bericht: was hat sich geändert, was bedeutet das für Sie konkret.
Schnittstelle zur Geschäftsleitung
Wir berichten direkt an die Geschäftsführung oder die definierte Compliance-Stelle. Halbjährlich gibt es einen Berichts-Termin mit klarem Status, geöffneten Punkten, anstehenden Pflichten und konkreten Entscheidungs-Vorlagen. Sie behalten die Verantwortung und Entscheidungs-Hoheit; wir liefern die fachliche Grundlage. Die Berichts-Mappe geht im Original an Sie und ist in der Anlage zum Beauftragungs-Vertrag dokumentiert.
Pakete und Preise
Festpreise. Sie wissen vorher, was Sie zahlen. Erst-Inventar als einmaliges Setup, danach laufende Begleitung als monatlicher Service mit klarer Kündigungs-Regelung.
Erst-Inventar
einmalig, einmalige Bestandsaufnahme
- Vollständige Erfassung aller KI-Systeme
- Risikoklassen-Zuordnung nach Art. 6 mit Begründung
- Erst-Schulung der Belegschaft als Online-Material
- Anbieter-Akte für alle eingesetzten KI-Dienste
- Schriftliche Status-Mappe für die Geschäftsleitung
- Empfehlungen zu kritischen Systemen
- 2 bis 4 Wochen Bearbeitungszeit
Begleitung Basis
pro Monat, laufende Betreuung
- Pflege des KI-Inventars bei jedem neuen System
- Quartalsweiser Status-Bericht zu Gesetzes-Updates
- Bearbeitung Anfragen an die Aufsicht
- Jährliche Schulungs-Auffrischung
- Anbieter-Akten jährlich aktualisiert
- Halbjährlicher Bericht an die Geschäftsleitung
- Monatlich kündbar zum Monatsende
Begleitung Plus
pro Monat, für KI-intensive Betriebe
- Alles aus Begleitung Basis
- Bis zu zwei Hochrisiko-Systeme im laufenden Betrieb
- Monatlicher Status-Bericht statt quartalsweise
- Ausführliche Vendor-Audits bei neuen Anbietern
- Folgenabschätzung-Vorlagen für jedes neue System
- Bereitschaft für Compliance-Rückfragen werktags
- Monatlich kündbar zum Monatsende
Optionaler Zusatz und Vertragsbedingungen
Krisen-Bereitschaft: 49 € pro Monat als Add-on zu jeder Begleitung. Bei einem akuten Vorfall (Datenleck eines KI-Anbieters, dringliche Behörden-Anfrage, kritisches Modell-Update) erreichen Sie uns werktags binnen vier Stunden, samstags und sonntags binnen acht Stunden. Standard ohne Add-on: Bearbeitung im nächsten Werktag.
Alle Preise sind Endpreise. Aufgrund der Kleinunternehmerregelung gemäß §19 UStG wird keine Umsatzsteuer ausgewiesen. Die Leistungen erfolgen komplett remote, Reise- oder Vor-Ort-Kosten fallen nicht an.
Erst-Inventar: 1.490 € einmalig, zahlbar nach Abschluss. Begleitung Basis: 290 €/Monat, vorab. Begleitung Plus: 590 €/Monat, vorab. Krisen-Bereitschaft: 49 €/Monat optional dazu. Zusätzliche Sonderleistungen (etwa Vor-Ort-Schulung, ausführliches Audit eines spezifischen Systems) werden vorab schriftlich angeboten und erst nach Ihrer Freigabe berechnet.
Für den externen KI-Beauftragten gelten unsere allgemeinen AGB sowie die Schriftform der Beauftragungs-Vereinbarung.
Hinweis zur Wirkung: Ein externer KI-Beauftragter organisiert Pflichten und liefert Dokumentation. Die endgültige Verantwortung für KI-Einsatz, Risiko-Entscheidungen und Konformitäts-Lage bleibt bei der Geschäftsleitung. Wir übernehmen die fachliche Vorarbeit und die laufende Betreuung — nicht die Letzt-Verantwortung im Sinne von Art. 26 AI Act.
So sieht ein gepflegtes KI-Register aus
Ein KI-Register ist die zentrale Tabelle, mit der Sie jederzeit nachweisen können, welche Systeme im Einsatz sind, wer verantwortlich ist und wie die Risiko-Lage aussieht. Wir führen das Register als revisionssichere Datei und liefern es bei Anfragen sofort ab. Beispiel-Einträge eines mittelständischen Unternehmens:
KI-Register (Beispiel-Ausschnitt)
Jeder Eintrag ist mit Stand-Datum, Versionsnummer, Prüfer und Begründung versehen. Bei einer Behörden-Anfrage können Sie binnen Minuten den gefragten Auszug erstellen und versenden. Bei einem internen Vorfall sehen Sie sofort, wer für das betroffene System verantwortlich war.
Branchen-Beispiele: Was die KI-Beauftragten-Rolle konkret bedeutet
Die Pflichten aus dem AI Act treffen jede Branche anders. Sechs realistische Konstellationen, in denen wir die externe KI-Beauftragten-Rolle übernehmen — mit den jeweiligen Schwerpunkten in Inventar, Risiko und Schulung.
Anwaltskanzlei mit 8 Mitarbeitern
Eingesetzt werden ein Browser-Sprachassistent für Schriftsatz-Entwürfe, ein OCR-Modul mit Belege-Erkennung, ein lokales Sprachmodell für vertrauliche Mandate. Schwerpunkt: Berufsgeheimnis nach §203 StGB prüfen, Cloud-Modelle nur mit EU-Hosting und Trainings-Ausschluss freigeben, lokale Lösung als primärer Pfad für vertrauliche Vorgänge dokumentieren, Mitarbeiter jährlich auf KI-Halluzinationen schulen. Risikoklassen: zwei Mal Minimal, ein Mal Begrenzt. Aufwand etwa 4 Stunden pro Monat.
Steuerbüro mit DATEV-Anbindung
KI-gestützte Beleg-Erkennung, automatisierte Konto-Vorschläge, Mandanten-Chatbot auf der Website. Schwerpunkt: Anbieter-Akte für DATEV mit Konformitäts-Erklärung prüfen, Chatbot mit klarer Art.-50-Transparenz versehen, Mandanten-Daten in Schulungsdaten ausschließen, Folgenabschätzung nach Art. 35 DSGVO in Abstimmung mit dem DSB. Risikoklassen: zwei Mal Minimal, ein Mal Begrenzt. Aufwand etwa 3 Stunden pro Monat plus jährliche Schulung.
Personalvermittler mit 25 Beratern
Bewerber-Vorauswahl mit KI-Score, Lebenslauf-Parsing, automatisierte Interview-Auswertung über Video-Analyse. Schwerpunkt: Hochrisiko-Einstufung nach Anhang III Nr. 4, komplette Konformitätsbewertung, Anti-Diskriminierungs-Test mit dokumentiertem Audit-Trail, menschliche Aufsicht nach Art. 14 mit klarer Übersteuerungs-Pflicht, Mitarbeiter-Information zu Recht auf Erklärung. Risikoklassen: ein Mal Hoch, zwei Mal Minimal. Aufwand etwa 8 Stunden pro Monat — klassische Plus-Variante.
Handwerksbetrieb mit Telefonassistent
KI-Telefonassistent für Erst-Anfragen, ein Sprach-zu-Text-Tool für Baustellen-Notizen, ein Foto-Erkennungs-Tool für Mengen-Schätzung. Schwerpunkt: Anrufer-Information zur KI-Interaktion nach Art. 50, Aufzeichnungs-Einwilligung nach §201 StGB, Datenschutz-Folgenabschätzung wegen Sprach-Aufnahmen, Schulung der Monteure zur Foto-Erkennungs-Genauigkeit. Risikoklassen: drei Mal Begrenzt. Aufwand etwa 2 Stunden pro Monat plus halbjährlicher Status-Bericht.
E-Commerce-Shop mit 15.000 Bestellungen pro Monat
Empfehlungs-Algorithmus, Chatbot für Erst-Service, Bonitäts-Prüfung über externen Score, automatische Bewertungs-Auswertung. Schwerpunkt: Bonitäts-Prüfung als Hochrisiko nach Anhang III Nr. 5 einstufen, ggf. Schwellenwert für Ablehnung mit Mensch-Eingriff verknüpfen, Empfehlungs-System hinsichtlich Dark-Pattern-Risiken prüfen, Bewertungs-KI auf Manipulationen prüfen. Risikoklassen: ein Mal Hoch, drei Mal Minimal/Begrenzt. Aufwand etwa 5 Stunden pro Monat.
Praxis-Verbund mit 4 Standorten
KI-Befund-Vorbereitung, Sprach-Diktat für Arztbriefe, Termin-Bot, automatisierte Anamnese-Vorbefragung. Schwerpunkt: Medizinprodukte-Konformität prüfen (MDR plus AI Act), keine Diagnose-Funktion ohne ausdrückliche Ärzte-Bestätigung, Patienten-Information zur KI-Nutzung, vertrauliche Daten ausschließlich in lokaler Lösung verarbeiten. Risikoklassen: bei Diagnose-Vorbereitung Hoch nach Anhang III Nr. 6, sonst Minimal. Aufwand etwa 6 Stunden pro Monat.
Die zehn häufigsten Praxis-Fehler bei der KI-Compliance
Was wir in den ersten Inventar-Aufnahmen typischerweise vorfinden — und wie wir es bereinigen. Ehrliche Bestandsaufnahme, kein Vorwurfs-Ton: die meisten dieser Punkte entstehen aus Tempo und nicht aus Nachlässigkeit.
- Fehler 1: Schatten-KI ohne Inventar. Mitarbeiter nutzen Browser-Sprachassistenten ohne Freigabe, kopieren vertrauliche Texte hinein und ziehen Antworten zurück in interne Dokumente. Bereinigung: Inventar-Aufnahme mit anonymer Nutzungs-Befragung, klare Whitelist mit Begründung, Schulung mit konkreten Beispielen erlaubt vs. verboten.
- Fehler 2: Keine schriftliche Auftrags-Klausel zum Trainings-Ausschluss. Standard-Browser-Accounts speisen Eingaben in Modell-Training, sobald die Trainings-Klausel nicht explizit deaktiviert ist. Bereinigung: Wechsel zu Enterprise-Tarifen mit schriftlichem Ausschluss oder zu lokaler Lösung.
- Fehler 3: Chatbot ohne KI-Hinweis nach Art. 50. Webseiten-Chatbots, die wie ein Mensch wirken, sind ohne klaren Kennzeichnung seit August 2025 ein Verstoss. Bereinigung: sichtbarer Hinweis im Erst-Kontakt, Hinweis in der ersten Bot-Antwort.
- Fehler 4: Bewerber-Auswahl mit KI-Score, kein Mensch im Loop. Wenn ein Algorithmus selbstständig aussortiert, ist das nach Art. 22 DSGVO und Anhang III Nr. 4 AI Act ein Hochrisiko-Verfahren. Bereinigung: jede Ablehnung muss eine Mensch-Entscheidung sein, mit dokumentiertem Prüfweg.
- Fehler 5: Keine Schulungs-Nachweise. Mitarbeiter benutzen KI, aber niemand kann belegen, dass die nach Art. 4 erforderliche KI-Kompetenz vorliegt. Bereinigung: Online-Schulung mit Wissens-Test, unterschriebene Teilnehmer-Liste, jährliche Auffrischung.
- Fehler 6: KI-generierte Inhalte ohne Kennzeichnung. Bilder im Marketing, Texte in Newsletter, Social-Media-Posts. Ohne klare Kennzeichnung nach Art. 50 ist das ein Verstoss gegen die Transparenz-Pflicht und gegen lauterkeitsrechtliche Standards. Bereinigung: Footer-Hinweis bei KI-Bildern, Disclaimer in KI-Texten, technische Wasserzeichen wenn möglich.
- Fehler 7: Cloud-Modell mit US-Hosting für vertrauliche Daten. Auch nach Schrems II und neuem TADPF bleibt die rechtssichere Verarbeitung personenbezogener oder geschäftsgeheimer Daten in US-Cloud-KI-Modellen kompliziert. Bereinigung: EU-Hosting verlangen, lokale Lösung prüfen, Pseudonymisierung vor Übermittlung.
- Fehler 8: Keine Notfall-Abschaltung dokumentiert. Wenn ein KI-Anbieter ausfällt oder ein Modell ein gefährliches Verhalten zeigt, fehlen oft die Notfall-Schritte. Bereinigung: schriftliche Vorgehens-Beschreibung pro System, Verantwortliche benannt, Notfall-Test einmal pro Jahr.
- Fehler 9: Verknüpfung mit DSGVO-Folgenabschätzung fehlt. Wer eine KI-Folgenabschätzung nach AI Act macht, sollte sie mit der DSGVO-Folgenabschätzung nach Art. 35 koppeln, um doppelte Arbeit zu vermeiden. Bereinigung: integrierte Vorlage mit beiden Prüf-Dimensionen.
- Fehler 10: Keine Anbieter-Akte mit Schlüssel-Verträgen. Im Behörden-Fall braucht es die Konformitäts-Erklärung des Anbieters, den AVV nach Art. 28 DSGVO, die Sub-Auftragnehmer-Liste, die Hosting-Region und die DPIA-Vorlage. Bereinigung: Anbieter-Akte als Standard-Set pro System, jährliche Aktualisierung.
So gehen wir vor
Vier Schritte vom ersten Kontakt bis zur laufenden Begleitung. Komplett remote, zwei bis vier Wochen für das Erst-Inventar, ab dem zweiten Monat als Standard-Betreuung.
Erstgespräch und Scope
15 bis 30 Minuten zur Klärung Ihres KI-Einsatzes, Ihrer Branche und Ihrer Compliance-Lage. Sie erhalten ein schriftliches Angebot mit Erst-Inventar-Festpreis und der passenden Begleitungs-Variante.
Beauftragungs-Vereinbarung
Sie unterzeichnen die schriftliche Beauftragungs-Vereinbarung mit Aufgaben-Abgrenzung, Berichts-Wegen und Vertraulichkeits-Klausel. Bei Zugang zu personenbezogenen Daten zusätzlich AV-Vertrag nach Art. 28 DSGVO.
Erst-Inventar
Wir erfassen alle Systeme, ordnen Risikoklassen zu, prüfen Anbieter und erstellen die Erst-Schulung. Sie erhalten eine schriftliche Status-Mappe mit priorisierten Empfehlungen für die nächsten Schritte.
Laufende Begleitung
Ab Monat zwei läuft die Standard-Betreuung: Inventar-Pflege, quartalsweiser Bericht, Anfragen-Bearbeitung, jährliche Auffrischungs-Schulung. Monatlich kündbar, ohne Bindungs-Trick.
Was wir leisten — und was wir nicht leisten
Klare Abgrenzung statt Allzweck-Versprechen. Wir übernehmen die organisatorischen Pflichten eines KI-Beauftragten. Wir sind keine Kanzlei, keine notifizierte Stelle und kein Versicherer. Wo es eng wird, verweisen wir an Spezialisten.
Das übernehmen wir
- Führung und Pflege des KI-Inventars in revisionssicherer Form
- Risikoklassen-Zuordnung jedes Systems nach Art. 6 mit Begründung
- Erstellung und Pflege der Pflicht-Dokumentation nach Art. 9, 10, 11, 14
- Schulungs-Materialien und Schulungs-Nachweise nach Art. 4
- Vendor-Audits und Anbieter-Akten
- Bearbeitung von Anfragen der Bundesnetzagentur und anderer Aufsichtsbehörden
- Pflege bei Gesetzes-Updates und neuen Leitlinien
- Halbjährliche Berichte an die Geschäftsleitung
- Folgenabschätzungs-Vorlagen in Abstimmung mit Ihrem DSB
Das übernehmen wir nicht
- Rechtsberatung im engeren Sinn — dafür benötigen Sie eine Rechtsanwaltskanzlei
- Konformitätsbescheinigung als notifizierte Stelle nach Art. 33 — dafür TÜV, DEKRA, BSI-CC
- Anwaltliche Vertretung in einem Bußgeldverfahren oder vor Gericht
- Datenschutz-Beauftragten-Bestellung nach Art. 37 DSGVO — wir arbeiten mit Ihrem DSB zusammen
- ISO-42001- oder ISO-27001-Auditierung — dafür akkreditierte Auditoren
- Behörden-Lobbying oder Stellungnahmen in Gesetzgebungs-Verfahren
- Versicherungsleistungen im Schadensfall — dafür D&O- und Cyber-Versicherungen
- Aufklärung in regulierten Sektoren wie Banken-Aufsicht oder Medizin-Produkte-Zulassung
Für diese Fälle empfehlen wir folgende Spezialisten
Rechtsberatung zum AI Act: Reusch Rechtsanwälte (Köln), GvW Graf von Westphalen (Frankfurt), CMS Hasche Sigle (Stuttgart), Bird & Bird (Düsseldorf), Taylor Wessing (Hamburg). Diese Kanzleien haben dedizierte Praxis-Gruppen zum AI Act und beraten zu Hochrisiko-Einstufung, Konformitätsbewertung und Bußgeldverfahren.
Konformitätsbewertung als notifizierte Stelle nach Art. 33: TÜV SÜD, TÜV Rheinland, DEKRA, BSI im Geltungsbereich BSI-CC. Für Hochrisiko-Anbieter, die ein formales Konformitätsbewertungs-Verfahren brauchen.
Datenschutz-Beauftragter: activeMind AG, intersoft consulting services AG, BvD-Mitglieder, Eckhard Mohr Datenschutz, Schwartmanns Datenschutz-Anwaltskanzlei.
ISO 42001 (KI-Management-System): DQS, TÜV SÜD, TÜV Rheinland, DEKRA als Zertifizierungs-Stellen, sowie BSI-akkreditierte Auditoren.
Methodik und Standards
Wir arbeiten gegen offizielle Quellen und etablierte Normen. Keine selbst-gestrickten Frameworks, keine Lock-in-Methodik. Das macht das Inventar übertragbar — wenn Sie irgendwann einen internen KI-Beauftragten einstellen, übergeben wir alles in lesbarer Form.
Worauf wir uns stützen
Rechtlicher Rahmen — Zeitplan und Sanktionen
Der EU AI Act ist seit 1. August 2024 in Kraft, gilt aber in vier gestaffelten Stufen. Die wichtigsten Daten und Pflichten im Überblick — und was passiert, wenn man sie verfehlt.
Verbotene Praktiken
Art. 5 ist scharfgeschaltet: Social Scoring durch öffentliche Stellen, biometrische Echtzeit-Fern-Identifikation im öffentlichen Raum, Emotions-Erkennung am Arbeitsplatz und in Bildungseinrichtungen, gezielte Manipulation. Zusätzlich greift die KI-Kompetenz-Pflicht nach Art. 4 für alle Betreiber.
GPAI und Sanktionen
Regeln für allgemeine KI-Modelle (General Purpose AI, GPAI): Dokumentation, Urheberrechts-Beachtung, Vorfälle-Meldung. Die Sanktions-Vorschriften nach Art. 99 werden durchsetzbar. Nationale Aufsichts-Behörden müssen benannt sein.
Hochrisiko-Pflichten
Anhang III ist scharfgeschaltet: KI in Beschäftigung, Bildung, Kreditwürdigkeit, Versicherung, kritischer Infrastruktur, Strafverfolgung. Pflichten: Konformitätsbewertung, technische Dokumentation, Risiko-Management, Daten-Governance, menschliche Aufsicht, Genauigkeit und Robustheit.
Produktregulierte Bereiche
Anhang I tritt voll in Kraft: KI als Sicherheitskomponente in Produkten, die unter eigene EU-Produktregeln fallen (Medizinprodukte, Maschinen, Spielzeug, Luftfahrt). Bestands-KI-Systeme aus der Zeit vor August 2026 müssen spätestens jetzt angepasst sein.
Sanktionen im Überblick (Art. 99)
- Bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen KI-Praktiken nach Art. 5
- Bis 15 Mio. € oder 3 % des weltweiten Jahresumsatzes bei Verstößen gegen Pflichten für Hochrisiko-Systeme und gegen wesentliche Anbieter-Pflichten
- Bis 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes bei falschen Angaben gegenüber notifizierten Stellen oder Aufsichtsbehörden
- Für KMU und Start-ups gilt jeweils der niedrigere der beiden Werte
Schnittstelle DSGVO
Wenn Ihr KI-System personenbezogene Daten verarbeitet, gilt parallel die DSGVO. Besonders relevant: Art. 22 DSGVO untersagt automatisierte Entscheidungen mit erheblicher Auswirkung auf eine Person — ohne Einwilligung, Vertragsbasis oder gesetzliche Erlaubnis. Bei Hochrisiko-KI-Einsatz besteht parallel die Pflicht zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Wir stimmen die Folgenabschätzung mit Ihrem DSB ab, damit keine Doppel-Arbeit entsteht.
Schützenswerte Geschäftsgeheimnisse
Wenn Ihr Unternehmen KI mit Trainingsdaten füttert, die Geschäftsgeheimnisse enthalten, greift §10 GeschGehG. Vor dem Einsatz eines externen Cloud-Modells müssen adäquate Geheimhaltungs-Maßnahmen vereinbart sein. Standard-Browser-Nutzung eines amerikanischen Sprachmodells mit produktiven Daten ist im Zweifel ein Verlust des Geschäftsgeheimnis-Schutzes. Wir prüfen das je System einzeln.
Sie wissen jetzt, was bis August 2026 fertig sein muss
Wir übernehmen die Rolle des KI-Beauftragten — ab dem ersten Inventar bis zur nächsten Behörden-Anfrage.
Erst-Inventar 1.490 Euro einmalig mit Bestandsaufnahme, Risikoklassen-Zuordnung und Erst-Schulung. Laufende Begleitung Basis 290 Euro pro Monat mit Inventar-Pflege, quartalsweisem Status-Bericht und Anfragen-Bearbeitung. Plus-Variante 590 Euro pro Monat für KI-intensive Betriebe. Optionale Krisen-Bereitschaft 49 Euro pro Monat. Schriftliche Beauftragungs-Vereinbarung, monatlich kündbar, komplett remote, fester Festpreis nach §19 UStG.
Quellen und weiterführende Informationen
Alle wesentlichen Aussagen auf dieser Seite stützen sich auf offizielle Quellen. Hier die Original-Verweise zum Selbst-Nachlesen.
Der Volltext der Verordnung über künstliche Intelligenz im Amtsblatt der Europäischen Union, mit allen Anhängen und Erwägungsgründen. eur-lex.europa.eu
Die offizielle Anlaufstelle der Europäischen Kommission für Auslegungs-Hilfen, FAQ und Leitlinien zum AI Act. digital-strategy.ec.europa.eu
Federführende deutsche Aufsicht für den AI Act, mit Hinweisen zu Anbieter- und Betreiber-Pflichten. bundesnetzagentur.de
Gemeinsame Beschlüsse der deutschen Datenschutz-Aufsichtsbehörden zu KI, Sprachmodellen und Hochrisiko-Systemen. datenschutzkonferenz-online.de
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zur Schnittstelle DSGVO und AI Act. bfdi.bund.de
Das Bundesministerium für Wirtschaft und Klimaschutz zur deutschen Umsetzung und zu KI-Förder-Programmen. bmwk.de
Internationale Norm für KI-Management-Systeme, anwendbar als Strukturierungs-Hilfe für die internen Prozesse. iso.org
Das US-Rahmenwerk zum KI-Risiko-Management, nützlich für Unternehmen mit transatlantischer Lieferung. nist.gov
Beschreiben Sie Ihr Problem
Wir melden uns bei Ihnen und finden eine Lösung.
Häufig gestellte Fragen
Was ist der EU AI Act und ab wann gilt er?
Der EU AI Act ist die Verordnung (EU) 2024/1689 über künstliche Intelligenz. Er ist am 1. August 2024 im Amtsblatt der EU erschienen und am 1. August 2024 in Kraft getreten, mit gestaffeltem Geltungs-Beginn: ab 2. Februar 2025 die Verbote bestimmter Praktiken (Social Scoring, biometrische Echtzeit-Identifikation in Echtzeit, Emotions-Erkennung am Arbeitsplatz, gezielte Manipulation) und die Schulungs-Pflicht nach Art. 4. Ab 2. August 2025 die Regeln für allgemeine KI-Modelle (GPAI) und die Sanktions-Vorschriften. Ab 2. August 2026 die Pflichten für Hochrisiko-Systeme nach Anhang III und der überwiegende Teil der Vorschriften. Ab 2. August 2027 für KI-Systeme, die als Sicherheitskomponente in produktregulierten Bereichen verbaut sind (Anhang I). Bestandssysteme haben Übergangsfristen.
Welche Unternehmen sind von der KI-Verordnung betroffen?
Praktisch jedes Unternehmen, das KI einsetzt – auch über Standard-Software. Wer einen E-Mail-Assistenten, einen Chatbot auf der Website, ein KI-gestütztes Buchhaltungs-Tool, eine Bewerber-Vorauswahl per KI, ein Übersetzungs-Tool oder ein lokales Sprachmodell nutzt, ist nach Art. 3 als Betreiber im Sinne der Verordnung adressiert. Wer KI-Funktionen in eigene Produkte einbaut, ist zusätzlich Anbieter und trägt deutlich höhere Pflichten. Eine pauschale Kleinunternehmer-Ausnahme gibt es nicht. Auch Kanzleien, Praxen, Handwerksbetriebe, Vereine und Pfarrgemeinden fallen darunter, sobald KI im Spiel ist.
Was ist der Unterschied zwischen Datenschutz-Beauftragtem und KI-Beauftragtem?
Der Datenschutz-Beauftragte ist gesetzlich in Art. 37–39 DSGVO und §38 BDSG vorgesehen und prüft die Verarbeitung personenbezogener Daten. Der KI-Beauftragte ist im AI Act nicht namentlich als Rolle benannt, ergibt sich aber aus den Pflichten zu Schulung (Art. 4), Risikoklassifizierung (Art. 6), Dokumentation (Art. 11), Aufsicht durch Menschen (Art. 14) und Folgenabschätzung. In der Praxis braucht jedes Unternehmen mit KI-Einsatz eine Person oder eine Stelle, die diese Pflichten organisiert – intern oder extern. Beide Rollen überlappen (jede KI verarbeitet meist Daten), sind aber inhaltlich unterschiedlich: DSGVO schützt Personen, AI Act regelt Systeme. Die Doppelrolle in einer Person ist zulässig, wenn beide Felder fachlich abgedeckt sind.
Brauche ich überhaupt einen KI-Beauftragten, wenn ich nur Browser-Sprachassistenten nutze?
Sie brauchen jemanden, der die Pflichten organisiert. Ob diese Person formal „KI-Beauftragter" heißt, ist nachrangig. Was Sie konkret brauchen: ein vollständiges Inventar Ihrer eingesetzten KI-Systeme, eine Risiko-Einordnung jedes Systems nach Art. 6, dokumentierte Schulung der Mitarbeiter, einen Ablauf für neue Tools, eine Anlaufstelle für Beschwerden, eine schriftliche Stellungnahme bei Anfragen der Aufsicht. Bei einem Solo-Betrieb mit zwei Browser-KI-Tools ist das in wenigen Stunden im Monat erledigt. Bei einem mittelständischen Unternehmen mit 30 eingesetzten Systemen wird daraus eine Halbtagsstelle. Genau dafür gibt es uns als externe Lösung.
Was ändert sich konkret ab August 2026?
Ab 2. August 2026 greifen die Vorschriften für Hochrisiko-KI-Systeme nach Anhang III: Verfahren in den Bereichen Beschäftigung (Bewerber-Auswahl, Leistungs-Bewertung), Kreditwürdigkeit, Versicherungs-Tarifierung, Strafverfolgung, Migrationskontrolle, kritische Infrastruktur, Bildung. Wer ein solches System einsetzt, muss Konformitätsbewertung, technische Dokumentation, Risiko-Management, Daten-Governance, menschliche Aufsicht, Genauigkeits- und Robustheits-Nachweise vorhalten. Wer ein solches System anbietet, hat noch deutlich mehr Pflichten. Zusätzlich werden ab diesem Datum die Sanktionen voll durchsetzbar: bis 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei verbotenen Praktiken, bis 15 Millionen oder 3 Prozent bei Verstößen gegen Hochrisiko-Pflichten, bis 7,5 Millionen oder 1 Prozent bei falschen Angaben gegenüber Behörden.
Was gehört in ein KI-Inventar?
Ein KI-Inventar erfasst pro System mindestens: Bezeichnung des Systems, Anbieter und Hosting-Ort, Modell-Familie und Version, Einsatz-Zweck im Unternehmen, beteiligte Abteilungen, verarbeitete Daten-Arten, Risikoklasse nach Art. 6 AI Act, verantwortliche Person, Datum der letzten Risiko-Bewertung, Datum der Mitarbeiter-Schulung zum System, technische Schutzmaßnahmen, Notfall-Abschaltung, Anbieter-Konformitäts-Erklärung wenn vorhanden, Schnittstellen zu anderen Systemen. Wir führen das Inventar als revisionssichere Tabelle mit Versionshistorie und übergeben es bei Bedarf an die Aufsichtsbehörde, an Auditoren oder an den Datenschutz-Beauftragten.
Wie funktioniert die Risikoklassen-Zuordnung nach Art. 6 konkret?
Der AI Act unterscheidet vier Stufen. Inakzeptabel: verboten nach Art. 5, etwa Social Scoring, Emotions-Erkennung am Arbeitsplatz, biometrische Echtzeit-Fern-Identifikation im öffentlichen Raum. Hoch: nach Anhang III, etwa Bewerber-Auswahl, Kreditwürdigkeits-Prüfung, kritische Infrastruktur – mit umfangreichen Pflichten. Begrenzt: Transparenz-Pflicht nach Art. 50, etwa Chatbots mit menschlich wirkender Kommunikation, KI-generierte Bilder, Deepfakes – Nutzer muss erkennen können, dass KI dahintersteckt. Minimal: alles andere, etwa Spam-Filter, Standard-Übersetzer, Auto-Vervollständigung – weitgehend frei, aber Schulungs-Pflicht nach Art. 4 bleibt. Wir prüfen jedes System Ihrer Liste einzeln und ordnen es nachvollziehbar zu, mit Verweis auf den jeweiligen Anhang-Punkt.
Was kostet ein interner KI-Beauftragter im Vergleich?
Ein interner KI-Beauftragter als Halbtagsstelle kostet inklusive Lohn-Nebenkosten, Fortbildung, Tool-Lizenzen und Vertretungs-Regelung erfahrungsgemäß zwischen 35.000 und 65.000 Euro pro Jahr. Hinzu kommt die fachliche Qualifikation: Kenntnis des AI Act, der DSGVO, der branchen-spezifischen Vorgaben, der relevanten Normen wie ISO 42001 und ISO 23894. Für Unternehmen unter 80 Mitarbeitern lohnt sich die externe Lösung fast immer. Unsere Begleitung Basis kostet 3.480 Euro pro Jahr, die Plus-Variante 7.080 Euro pro Jahr – jeweils einschließlich Inventar-Pflege, Risiko-Updates und einer dokumentierten Schulung pro Jahr.
Wie ist die Begleitung kündbar?
Die laufende Begleitung ist monatlich zum Monatsende kündbar, schriftlich per E-Mail oder Post genügt. Es gibt keine Mindest-Laufzeit, keine Bindung über das Erst-Inventar hinaus, keinen Automatik-Verlängerungs-Trick. Bei Beendigung übergeben wir das vollständige Inventar als revisionssichere Datei zur Übernahme durch Sie oder einen Nachfolger. Die Pflicht zur Aufbewahrung der KI-Dokumentation nach Art. 12 und 18 AI Act läuft weiter und liegt nach Beendigung bei Ihnen.
Können Sie die Doppelrolle Datenschutz-Beauftragter und KI-Beauftragter übernehmen?
Nein. Wir sind kein bestellter Datenschutz-Beauftragter im Sinne von Art. 37 DSGVO und stellen auch keine schriftliche DSB-Bestellung aus. Für die formelle DSB-Rolle empfehlen wir spezialisierte Anbieter wie activeMind, intersoft consulting, BvD-Mitglieder oder die jeweilige Branchen-Vereinigung. Die KI-Beauftragten-Aufgaben übernehmen wir gerne und arbeiten mit Ihrem bestehenden DSB eng zusammen. Wo sich die Pflichten überschneiden – etwa bei der Folgenabschätzung nach Art. 35 DSGVO zugleich mit den Risiko-Pflichten nach Art. 9 AI Act – stimmen wir die Dokumentation mit dem DSB ab, damit doppelte Arbeit vermieden wird.
Was passiert, wenn die Aufsichtsbehörde anfragt?
Wir übernehmen die Bearbeitung. Konkret: Wir prüfen die Anfrage auf Zuständigkeit und Frist, holen die relevanten Inventar-Auszüge, formulieren eine fachlich saubere Stellungnahme, lassen Sie diese vor Versand prüfen und versenden sie fristwahrend. Die Bundesnetzagentur ist nach dem deutschen AI-Act-Durchführungsgesetz federführende Aufsicht für die meisten KI-Systeme; für Hochrisiko-Anwendungen im Finanzbereich die BaFin, im Gesundheitsbereich das BfArM, im Datenschutz-Bereich die jeweilige Landes-Datenschutzbehörde. Wir kennen die Zuständigkeits-Matrix und sortieren Anfragen entsprechend ein.
Welche Schulungs-Inhalte umfasst die Pflicht nach Art. 4?
Art. 4 AI Act verlangt, dass Personen, die KI-Systeme betreiben oder nutzen, über ausreichende KI-Kompetenz verfügen – angemessen zur jeweiligen Funktion. Das umfasst: Grundverständnis von KI (Was ist ein Sprachmodell, was kann es nicht), Erkennen von Halluzinationen und Bias, sicherer Umgang mit vertraulichen Daten, Kennzeichnungs-Pflicht bei KI-generierten Inhalten nach Art. 50, Eskalations-Wege bei Auffälligkeiten, branchen-spezifische Risiken (etwa bei medizinischer KI: Verantwortung bleibt beim Arzt). Wir liefern dokumentierte Schulungs-Materialien als PDF mit Wissens-Test, jährliche Auffrischung, Schulungs-Nachweis-Liste mit Datum und Unterschrift. Die Materialien werden auf Ihren Unternehmens-Kontext angepasst.