Leistungen
Die Verordnung (EU) 2024/1689 ist geltendes Recht. Verbotene Praktiken gelten seit Februar 2025, GPAI-Pflichten seit August 2025, und das vollständige Hochrisiko-Regime tritt am 2. August 2026 in Kraft. Wir klassifizieren Ihre KI-Systeme gegen Anhang III und Anhang I, verfassen die technische Dokumentation nach Anhang IV / Anhang XI, richten das Risikomanagementsystem nach Artikel 9 und das Qualitätsmanagementsystem nach Artikel 17 ein und führen Marktüberwachung nach Artikel 72 durch — integriert in Ihre bestehenden DSGVO-, ISO-27001- und SOC-2-Kontrollen statt parallel dazu dupliziert. Engineering-taugliche Nachweise, anwaltlesbare Memoranden, vorstandstaugliches Risikoregister. Ab 6.500 EUR für die Bereitschaftsbewertung.
Die EU-KI-Verordnung hat extraterritoriale Reichweite — wenn Ihre KI-Ausgabe in der EU verwendet wird, sind Sie betroffen, unabhängig davon, wo Ihr Unternehmen registriert ist. Bußgelder können 35 Mio. EUR oder 7 Prozent des weltweiten Umsatzes bei verbotenen Praktiken und 15 Mio. EUR oder 3 Prozent bei Hochrisiko-Verstößen erreichen. Die meisten SaaS-Produkte sind jedoch nicht hochriskant; der Mehrwert liegt in einem belastbaren Klassifizierungsmemorandum, einem sauberen Dokumentationspaket und einer Nachweisbibliothek, die gleichzeitig als ISO-42001- und SOC-2-Input dient. Wir haben dies für SaaS-Anbieter, KI-native Start-ups und US-Unternehmen beim Eintritt in den EU-Markt umgesetzt — das Ergebnis ist operativ, nicht theatralisch.
System-für-System-Mapping gegen Anhang III (acht Hochrisikobereiche), Anhang I (regulierte Produkte), Artikel-5-Verbote und begrenzte Risikopflichten nach Artikel 50. Schriftlich mit Artikelverweisen, damit Ihr Rechtsberater es ohne Nacharbeit freigeben kann.
Das vollständige Paket für Hochrisiko-Systeme: Systembeschreibung, beabsichtigter Zweck, Risikomanagement, Datenverwaltung, menschliche Aufsicht, Genauigkeits-/Robustheits-/Cybersicherheitsmetriken, Protokollierung, Marktüberwachungsplan. Versioniertes Markdown in Ihrem Repo, kein einmaliges PDF.
Wenn Sie ein GPAI-Modell feinabstimmen, können Sie nach Artikel 25 Absatz 1 Buchstabe c Anbieter-Pflichten erben. Wir liefern das Anhang-XI-Paket — Modellkarte, Trainingsatendaten-Zusammenfassung, Energiebericht und die Urheberrechtsrichtlinie nach Artikel 53 Absatz 1 Buchstabe c, abgestimmt auf die EU-AI-Office-Vorlage.
Artikel-9-RMS als lebendes System, nicht als Ordner. Gefahrenidentifikation, Restrisikobewertung, Maßnahmenverfolgung und Integration in Ihr ISO-27001-Register, damit dieselbe Kontrolle beide Regelwerke abdeckt.
Artikel-72-PMM-Plan, Artikel-73-Workflow für die Meldung schwerwiegender Vorfälle, Drift- und Genauigkeits-Dashboards sowie das Playbook für die Benachrichtigung zuständiger Behörden innerhalb der gesetzlichen 15 Tage.
Nutzungsanweisungen nach Artikel 13, Transparenzhinweise nach Artikel 50, Betreiber-FRIA (Grundrechte-Folgenabschätzung)-Vorlage nach Artikel 27 — versandbereit für Unternehmenskunden, die KI-Verordnungs-Fragen in ihren Beschaffungs-RFPs stellen.
Woche 1: alle KI-Systeme und GPAI-Modelle in Ihrem Stack inventarisieren, gegen Anhang III/I klassifizieren, verbotene Praktiken identifizieren und das Klassifizierungsmemorandum verfassen. Die meisten Kunden stellen fest, dass zwei Drittel ihrer KI begrenzt riskant oder außerhalb des Anwendungsbereichs ist — vertretbar nachgewiesen.
Woche 2: jedes betroffene System gegen die relevanten Artikel prüfen, jede Lücke nach Frist und Aufwand bewerten und einen Sanierungsfahrplan erstellen, der auf die Meilensteine 2. Februar 2025, 2. August 2025, 2. August 2026 und 2. August 2027 ausgerichtet ist.
Wochen 3–8: Artikel-9-RMS und Artikel-17-QMS einrichten, Anhang-IV- (oder Anhang-XI-für-GPAI-)Dokumentation in Ihrem Repo verfassen, Protokollierung nach Artikel 12 implementieren sowie Artikel-13-Nutzungsanweisungen und Artikel-50-Transparenzhinweise liefern.
Ab Monat drei: vierteljährliche Nachweisauffrischung, regulatorisches Monitoring (EU-AI-Office-Leitlinien, harmonisierte Normen bei Veröffentlichung, nationale zuständige Behörden), Artikel-73-Vorfallsübungen und ein jährlicher Trockenlauf für Drittprüfer.
Zwei Wochen, fester Umfang. Klassifizierungsmemorandum, Gap-Analyse gegen die anwendbaren Artikel, Sanierungsfahrplan nach KI-Verordnungs-Fristen und 60-minütiges Executive-Briefing mit Gründer und Rechtsberater. 6.500 EUR Festpreis.
Sechs bis acht Wochen. Vollständige Anhang-IV- oder Anhang-XI-Dokumentation, Artikel-9-RMS, Artikel-10-Datenverwaltungsrichtlinie, Artikel-72-Marktüberwachungsplan, Artikel-13-Nutzungsanweisungen, Artikel-50-Transparenzhinweise und öffentliche Modellkarte. 18.000 EUR Festpreis.
Laufendes monatliches Retainer. Vierteljährliche Nachweisauffrischung, regulatorisches Monitoring, Artikel-73-Vorfallsmeldungsunterstützung, jährlicher Audit-Trockenlauf, Pflege des Betreiber-/Kunden-RFP-Antwortpakets. 4.500 EUR/Monat.
Konformitätsbewertung durch eine benannte Stelle (Artikel 43, Route über Anhang VII) wird separat angeboten, wenn das System eine Drittpartei-Bewertung erfordert. Drei Monate Mindestlaufzeit für den Compliance-Betrieb, danach monatlich kündbar mit 30 Tagen Frist. NDA, DPA und IP-Abtretung werden vor Projektstart unterzeichnet.
Produktionsreife Generative KI auf OpenAI, Anthropic, Mistral und Open-Weight-Modellen — mit Artikel-50-Transparenz bereits im Design verankert.
Mehr erfahren →
Feinabstimmung mit dokumentierter Anbieter-vs.-Betreiber-Grenze nach Artikel 25 Absatz 1 Buchstabe c, damit Sie nicht versehentlich GPAI-Anbieter-Pflichten erwerben.
Mehr erfahren →
Autonome Agenten mit Artikel-14-Menschliche-Aufsicht-Kontrollen und Artikel-12-Protokollierung von Anfang an eingebaut, nicht erst vor dem Audit nachgerüstet.
Mehr erfahren →DSGVO-konform · ISO-27001-bereit · SOC 2 Type II in Vorbereitung · HIPAA-fähig · ISO/IEC 42001-ausgerichtet
Wir lesen den Modell-Code, die Datenpipeline und die Evaluierungssuite, bevor wir ein Memorandum schreiben. Unsere Liefergegenstände halten stand, weil sie widerspiegeln, was das System tatsächlich tut, nicht was eine Präsentation behauptet.
EU-KI-Verordnung, DSGVO, ISO 27001, ISO 42001, SOC 2, NIS2, CRA — die zugrundeliegenden Kontrollen überschneiden sich. Wir bauen eine einzige versionierte Nachweisbibliothek, die Pflichten aus allen abdeckt, statt parallele Ordner zu führen.
DPA und NDA vor Projektstart unterzeichnet, Repo-Zugang, Teilnahme an Ihrem Engineering-Staff-Meeting und Ihrem Board-Legal-Update. Die Dokumentation lebt in Ihrem Stack und gehört nach der Übergabe Ihrem Team.
Für Konformitätsbewertungen arbeiten wir direkt mit EU-benannten Stellen (Anhang-VII-Route 2) zusammen und bereiten die Einreichung auf dem Standard vor, den die Stelle erwartet — nicht auf dem Standard, den ein generalistischer Berater annimmt.
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) trat am 1. August 2024 in Kraft und gilt in Tranchen. Verbotene KI-Praktiken (Artikel 5) gelten seit dem 2. Februar 2025. Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (Kapitel V) gelten ab dem 2. August 2025, einschließlich Transparenz, technischer Dokumentation und Urheberrechtsrichtlinien. Die meisten Pflichten für Hochrisiko-KI-Systeme (Kapitel III) gelten ab dem 2. August 2026. Pflichten für Hochrisiko-KI-Systeme in regulierten Produkten nach Anhang I (Medizinprodukte, Maschinen, Spielzeug, In-vitro-Diagnostika usw.) gelten ab dem 2. August 2027. Wenn Sie in die EU oder den EWR verkaufen oder Ihre KI-Ausgabe in der EU verwendet wird, sind Sie betroffen — auch wenn Ihr Unternehmen in den USA registriert ist. Artikel 2 hat extraterritoriale Reichweite.
Wir klassifizieren gegen Anhang III (acht Hochrisikobereiche: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienstleistungen einschließlich Kredit-Scoring und Lebens-/Krankenversicherungspreisgestaltung, Strafverfolgung, Migration/Asyl/Grenzkontrolle, Justiz und demokratische Prozesse) und Anhang I (KI als Sicherheitskomponente in regulierten Produkten). Begrenzt risikante Systeme nach Artikel 50 (Chatbots, Emotionserkennung, biometrische Kategorisierung, Deepfakes) haben nur Transparenzpflichten. Minimal risikante Systeme unterliegen freiwilligen Kodizes. Wir liefern ein schriftliches Klassifizierungsmemorandum mit Artikelverweisen und ein Risikoregister, das der Vorstand lesen kann. Etwa 60 Prozent der von uns klassifizierten SaaS-Produkte sind begrenzt riskant und benötigen nur Transparenzhinweise und Wasserzeichen — allein diese Entscheidung spart sechsstellige Compliance-Kosten.
Nein, Sie bleiben nachgelagerter Anbieter oder Betreiber, kein GPAI-Anbieter. GPAI-Anbieter-Pflichten (Artikel 53) gelten für den Modellersteller — OpenAI, Anthropic, Google DeepMind, Mistral. Sie erben jedoch nachgelagerte Pflichten: Nutzungsanweisungen pflegen, auf systemische Risiken überwachen und wenn Sie ein GPAI-Modell auf Ihren Daten feinabstimmen, können Sie nach Artikel 25 Absatz 1 Buchstabe c zum Anbieter eines abgeleiteten GPAI-Modells werden. Wir kartieren die Upstream-/Downstream-Grenze, dokumentieren sie in Ihrem Vertrag mit dem Modellanbieter und schreiben die Feinabstimmungsrichtlinie, die Sie aus Anbieter-Klassenpflichten heraushält — es sei denn, Sie möchten ausdrücklich Anbieter sein.
Anhang IV definiert es für Hochrisiko-Systeme: eine allgemeine Beschreibung des Systems und des beabsichtigten Zwecks; eine detaillierte Beschreibung von Komponenten und Entwicklungsprozess; Überwachung, Funktionsweise und Kontrolle; Risikomanagementsystem nach Artikel 9; Trainings-, Validierungs- und Testdaten nach Artikel 10; technische Mittel zur menschlichen Aufsicht nach Artikel 14; Genauigkeits-, Robustheits- und Cybersicherheitsmetriken nach Artikel 15; das Qualitätsmanagementsystem nach Artikel 17; Protokolle und den Marktüberwachungsplan nach Artikel 72. Für GPAI-Modelle gilt Anhang XI — Modellkarte, Trainingsatendaten-Zusammenfassung, Energieverbrauch und Urheberrechts-Compliance-Richtlinie. Wir liefern das vollständige Paket als versioniertes Markdown in Ihrem Repo sowie eine öffentliche Modellkarte und ein Betreiber-gerichtetes Anweisungsblatt.
Erheblich, und der Trick ist eine integrierte Kontrollkarte. Das Risikomanagementsystem nach Artikel 9 kann Ihr ISO-27001-Risikoregister wiederverwenden. Die Datenverwaltungsanforderungen nach Artikel 10 stimmen eng mit den DSGVO-Artikeln 5, 25 und 32 überein — dasselbe DSFA-Framework mit zusätzlicher Fairness- und Bias-Dokumentation. ISO/IEC 42001:2023 KI-Managementsystem deckt etwa 70 Prozent der Qualitätsmanagementanforderungen nach Artikel 17 ab; wenn Sie eine ISO-42001-Zertifizierung anstreben, sequenzieren wir es so, dass KI-Verordnungs-Pflichten gleichzeitig erfüllt werden. Das Datengesetz, NIS2 und der Cyber Resilience Act fügen benachbarte Pflichten hinzu, die Nachweise teilen — wir liefern eine einheitliche Nachweisbibliothek, nicht fünf doppelte.
Drei Pakete. Bereitschaftsbewertung: 6.500 EUR Festpreis (zwei Wochen): Klassifizierungsmemorandum, Gap-Analyse gegen die relevanten Artikel, Sanierungsfahrplan und Executive-Briefing. Dokumentationspaket: 18.000 EUR Festpreis (sechs bis acht Wochen): vollständige Anhang-IV- oder Anhang-XI-Dokumentation, Risikomanagementsystem, Datenverwaltungsrichtlinie, Marktüberwachungsplan, Nutzungsanweisungen und öffentliche Modellkarte. Laufender Compliance-Betrieb: 4.500 EUR/Monat: vierteljährliche Nachweisauffrischung, regulatorisches Monitoring (EU AI Office, nationale zuständige Behörden, harmonisierte Normen von CEN-CENELEC JTC 21), Unterstützung bei der Vorfallsberichterstattung nach Artikel 73 und ein jährlicher Trockenlauf für Drittprüfer. Konformitätsbewertung mit einer benannten Stelle wird separat angeboten, wenn erforderlich.
