> KI-Services · EU AI Act · Transparenz ab 08/2026 · Hochrisiko ab 12/2027

EU AI Act-Audit für Unternehmen jeder Größe.

Mit dem „Digital Omnibus" verschiebt die EU die Pflichten für Hochrisiko-Systeme (Anhang III) voraussichtlich auf den 2. Dezember 2027. Verbote und KI-Kompetenzpflicht gelten aber schon seit Februar 2025, die Transparenzpflichten ab dem 2. August 2026. Wir prüfen Ihre KI-Landschaft, klassifizieren jedes System, schließen die Lücken und liefern einen umsetzbaren Fahrplan. Festpreis, planbare Lieferzeit.

Pakete und Festpreise ansehen → Kostenloser AI-Act-Check · 2 Min →
[01] Ausgangslage

Warum jetzt — und warum es kleine und mittlere Unternehmen härter trifft, als sie denken.

Der EU AI Act (Verordnung 2024/1689) ist seit August 2024 in Kraft, die Pflichten greifen gestaffelt. Seit Februar 2025 gelten die Verbotstatbestände (Art. 5) und die Pflicht zur KI-Kompetenz des Personals (Art. 4). Seit August 2025 die GPAI- und Governance-Bestimmungen. Die Transparenzpflichten (Art. 50) greifen zum 2. August 2026. Die umfangreichen Pflichten für Hochrisiko-Systeme nach Anhang III — ursprünglich ebenfalls für August 2026 vorgesehen — werden mit dem „Digital Omnibus" voraussichtlich auf den 2. Dezember 2027 verschoben (politische Einigung vom 7. Mai 2026, formale Verabschiedung noch ausstehend).

Die Sanktionen sind real: bis zu 35 Mio. EUR oder 7 % des weltweiten Konzernumsatzes für Verstöße gegen die Verbotsthemen, bis zu 15 Mio. EUR oder 3 % für Hochrisiko-Verstöße. Das betrifft nicht nur KI-Entwickler — auch Unternehmen, die KI-Systeme nur einsetzen, tragen Pflichten.

Gerade kleinere und mittlere Unternehmen unterschätzen die Lage — gerade weil sie KI nicht „bauen", sondern nur nutzen. Vier Muster wiederholen sich: Niemand weiß, wie viele KI-Accounts (ChatGPT, Claude, Copilot) intern aktiv sind. HR-Tools mit KI-Komponenten werden als „nur Software" eingestuft, sind aber nach Anhang III Hochrisiko. Die Schulungspflicht aus Art. 4 ist nicht dokumentiert. Und Verträge mit KI-Anbietern enthalten keine Klauseln zu Auskunfts- und Dokumentationspflichten.

[02] Was wir prüfen

Sieben Prüfschritte, ein belastbares Ergebnis.

KI-Inventar

Vollständige Erfassung aller KI-Systeme im Haus — intern entwickelt und extern eingekauft, einschließlich der KI-Accounts einzelner Abteilungen.

Risikoklassifizierung

Einordnung jedes Systems nach EU AI Act: verboten (Art. 5), Hochrisiko (Anhang III), begrenztes Risiko (Transparenzpflichten Art. 50), minimales Risiko. Eine rechtliche Bewertung, keine IT-Sortierung.

Pflicht-Mapping

Welche konkreten Pflichten je Klasse gelten — Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Transparenz, Konformitätsbewertung.

Gap-Analyse

Welche Pflichten bereits erfüllt sind und wo Lücken bestehen, priorisiert nach Dringlichkeit vor dem Stichtag.

KI-Kompetenz-Konzept

Umsetzung der Schulungspflicht aus Art. 4 — welche Mitarbeiter welche Schulung in welcher Frequenz brauchen, dokumentationssicher.

Governance-Setup

Verantwortlichkeiten, Eskalationspfad, interne KI-Richtlinie, laufende Pflege des KI-Inventars.

Maßnahmenplan

Konkrete Schritte mit Zeitleiste und Verantwortlichen — umsetzbar entlang der gestaffelten Fristen.

[03] Pakete

Drei Festpreise, je nach Unternehmensgröße.

Vergleichbare Audits kosten am Markt 25.000 EUR aufwärts. Wir liefern die gleiche Prüftiefe, KI-augmentiert und damit zu Festpreisen, die schon für kleine Unternehmen tragbar sind. Alle Preise netto zzgl. 19 % USt. 50 % bei Mandatsannahme, 50 % bei Übergabe.

// Paket 01

Quick-Audit

5–30 Mitarbeiter · 1–3 KI-Systeme

2.800 EUR
netto · Lieferung 2 Wochen
  • KI-Inventar und Risikoklassifizierung
  • 15-seitiger Audit-Report
  • 5-Punkt-Maßnahmenplan
  • Vorlage interne KI-Richtlinie
Anfragen
// Paket 02 · meistgewählt

Standard-Audit

30–250 Mitarbeiter · 3–10 KI-Systeme

5.200 EUR
netto · Lieferung 3–4 Wochen
  • Alles aus dem Quick-Audit
  • 30-seitiger Report mit Gap-Analyse
  • Governance-Konzept mit AI-Officer-Rolle
  • KI-Kompetenz-Schulungskonzept
  • Klausel-Vorlagen für KI-Anbieter (3 Anbieter)
Anfragen
// Paket 03

Full-Audit + Quartalsbegleitung

250–1.000 Mitarbeiter · 10+ KI-Systeme · Hochrisiko-Branche

9.200 EUR
netto · Lieferung 5–6 Wochen
  • Vollständiger Audit aller Systeme
  • Governance-Setup inkl. Inventar-Tool
  • Schulungsprogramm für 3 Personenkreise
  • Anbieter-Due-Diligence-Vorlagen
  • 3 Strategie-Sparrings im Folgequartal
Anfragen

Add-ons

Inhouse-Schulung als 90-Min-Modul: 1.200 EUR · KI-Anbieter-Due-Diligence pro Anbieter: 600 EUR · jährlicher Compliance-Update-Retainer: 1.440 EUR · Implementations-Sparring pro Sitzung: 480 EUR. Jeweils netto.

[04] Ablauf

Von der Anfrage zum fertigen Audit.

Schritt 1 — Discovery-Call (30 Minuten, kostenfrei). Wir klären Unternehmensgröße, eingesetzte KI-Systeme, Branche und passendes Paket. Danach erhalten Sie ein verbindliches Festpreis-Angebot.

Schritt 2 — Inventur und Datenabfrage. Strukturierter Fragebogen plus kurzes Gespräch mit Ihrer IT und Fachseite. KI-augmentiert ausgewertet, anwaltlich verantwortet.

Schritt 3 — Audit und Report. Risikoklassifizierung, Gap-Analyse, Governance-Konzept, Maßnahmenplan. Übergabe als Report plus Vorlagen.

Schritt 4 — Übergabe-Gespräch. Wir gehen den Report mit Ihnen durch und priorisieren die Schritte bis zum Stichtag.

[05] Ihr Ergebnis

Was Sie nach dem Audit in der Hand haben.

Aus den sieben Prüfschritten entstehen sechs Ergebnisdokumente — kein Gutachten zum Wegschließen, sondern eine sofort nutzbare Arbeitsgrundlage mit klaren nächsten Schritten. In der Regel nach rund zehn Arbeitstagen.

01

KI-System-Inventar

Strukturierte Tabelle aller eingesetzten KI-Systeme: Zweck, Fachbereich, Anbieter, verarbeitete Datenarten und Verantwortliche — inklusive der bislang ungenehmigten Schatten-KI.

02

Risiko- und Rollenklassifizierung

Je System Ihre Rolle (Betreiber oder Anbieter) und die Risikoklasse nach AI Act — verboten, hochriskant, transparenzpflichtig oder minimal, jeweils mit Begründung.

03

Pflichten-Matrix

Welche konkreten Pflichten je System und Klasse greifen — mit Normbezug (Art. 5, 26, 50, Anhang III) und dem Zeitpunkt der Anwendbarkeit.

04

Gap-Analyse mit Ampel

Soll/Ist je Anforderung, rot/gelb/grün priorisiert — auf einen Blick sichtbar, wo akuter Handlungsbedarf besteht und was warten kann.

05

Maßnahmenplan

Konkrete Schritte mit Priorität, Frist und Verantwortlichen, abgestimmt auf die gestaffelten Stichtage 2026–2028.

06

Governance-Paket

Muster-KI-Richtlinie, Klauseln für Anbieterverträge, Schulungsnachweis-Vorlage und ein Geschäftsführungs-Memo für die Leitung.

Beispiel-Report ansehen

Ein anonymisiertes Muster-Audit (fiktiver Online-Händler, rund 60 Mitarbeitende) zeigt Aufbau, Tiefe und Ergebnis eines EASTKAP-Audits — von der Risikoklassifizierung bis zum Maßnahmenplan.

Muster-Report (PDF) →
[06] Discovery-Call

30 Minuten, kostenfrei, unverbindlich.

Wir klären in einem kurzen Gespräch, in welcher Risikolage Ihr Unternehmen steht und welches Paket passt. Buchen Sie direkt einen Termin — oder schreiben Sie uns kurz Unternehmensgröße und Branche.

Termin direkt buchen — 30 Min, kostenfrei → Lieber schreiben? Zur Kontaktseite →

Kanzlei

Rechtsanwalt Daniel Wagner

Kiehlufer 9

12059 Berlin

Direktkontakt

daniel.wagner@eastkap.de

+49 170 9926903

Discovery-Call