EU AI Act für Professional Services: Compliance-Leitfaden für Beratungen
Der EU AI Act trifft Professional-Services-Firmen auf zwei Ebenen gleichzeitig: als Betreiber von KI-Tools im eigenen Betrieb — und als Berater, die ihre Mandanten durch die gleichen Anforderungen führen. Für Beratungen, Wirtschaftsprüfungsgesellschaften, Rechtsanwaltskanzleien und Advisory-Praxen in Deutschland entstehen damit neue Compliance-Pflichten, aber auch ein echtes Service-Angebot.
Das gute Nachricht zuerst: Die meisten internen KI-Nutzungsszenarien in Professional Services fallen unter das minimale oder begrenzte Risiko. Aber wo KI-Systeme in mandantenseitige Deliverables einfließen, Mitarbeiterverhalten beeinflussen oder rechtliche und finanzielle Bewertungen mittragen, gelten strengere Anforderungen — und Berufspflichten fügen eine zusätzliche Verantwortungsschicht hinzu.
AI-Act-Timelines: Was jetzt gilt
Die Europäische Kommission hat folgende Anwendungsdaten festgelegt:
| Datum | Regelung |
|---|---|
| 1. August 2024 | EU AI Act in Kraft getreten |
| 2. Februar 2025 | Verbotene KI-Praktiken (Art. 5) und KI-Literacy-Pflicht (Art. 4) |
| 2. August 2025 | Pflichten für GPAI-Modellanbieter (Art. 53 ff.) |
| 2. August 2026 | Hochrisiko-System-Anforderungen (Annex III), Transparenzpflichten (Art. 50) |
| 2. August 2027 | Hochrisiko-Anforderungen für bestehende Systeme, die vor August 2026 in Betrieb waren |
Für Professional-Services-Firmen als Betreiber (Deployer) sind die Pflichten ab August 2026 entscheidend. Aber die Vorbereitung — Inventar, Risikoklassifizierung, Dokumentation — muss deutlich früher beginnen.
Wie der AI Act Professional Services als Betreiber betrifft
KI-Literacy für alle Mitarbeiter (jetzt gültig)
Art. 4 AI Act gilt bereits seit dem 2. Februar 2025. Betreiber müssen sicherstellen, dass Mitarbeiter, die KI-Systeme einsetzen, über ausreichende KI-Kompetenz verfügen. Das bedeutet kein formales Zertifizierungsprogramm — aber strukturierte Schulungen zu den eingesetzten Tools, deren Risiken und Grenzen sind Teil der Betreiberpflicht.
Für Professional-Services-Firmen ist das besonders relevant, weil Berater, Partner und Analysten KI-Outputs direkt in Mandantenarbeit einfließen lassen. Wer ChatGPT, Copilot, Harvey AI oder ähnliche Tools nutzt, muss deren Funktionsweise und Grenzen verstehen — und das muss dokumentiert sein.
Verbotene KI-Praktiken prüfen (jetzt gültig)
Die Verbote aus Art. 5 AI Act sind seit dem 2. Februar 2025 anwendbar. Für Professional Services relevant:
- Social Scoring: KI-Systeme, die Personen nach sozialem Verhalten bewerten und zu Nachteilen führen — nicht typisch für Beratung, aber bei datengestützten Due-Diligence-Prozessen prüfen.
- Biometrische Kategorisierung nach sensiblen Merkmalen: Nicht relevant für Standard-Professional-Services.
- Manipulation durch unterschwellige Techniken: Prüfen, ob mandantenseitige KI-Systeme solche Techniken einsetzen — relevant für Beratung zur KI-Strategie.
Hochrisiko-Systeme in Professional Services (ab August 2026)
Annex III des AI Act listet Hochrisiko-Kategorien. Für Professional Services direkt relevant:
| Annex-III-Kategorie | Typische Professional-Services-Szenarien |
|---|---|
| Nr. 5: Finanzdienstleistungen — Kreditbewertung, Bonitätsprüfung | M&A-Due-Diligence mit KI-gestützter Finanzbewertung, automatisierte Kreditanalyse in Advisory |
| Nr. 4: Beschäftigung — Recruiting, Leistungsbewertung | HR-Analytics für Mandanten, KI-gestütztes Kandidaten-Screening |
| Nr. 8: Justizwesen — Rechtsrecherche mit erheblicher Entscheidungsrelevanz | KI-gestützte rechtliche Analyse mit direkter Entscheidungswirkung |
| Nr. 6: Öffentliche Dienste — Zugangsentscheidungen zu Leistungen | Beratungsprojekte im Public-Sector-Bereich |
Für diese Szenarien gelten umfassende Compliance-Anforderungen: Risikomanagementsystem, technische Dokumentation, Datensatz-Qualitätsprüfung, Logging, Human Oversight und Konformitätsbewertung.
Transparenzpflichten (ab August 2026)
Art. 50 AI Act verpflichtet Betreiber von KI-Systemen, die direkt mit natürlichen Personen interagieren, zur Offenlegung. Wenn Beratungen KI-gestützte Kommunikation, Chatbots oder automatisierte Reports an Mandanten liefern, muss der KI-Einsatz erkennbar sein. Planen Sie das jetzt in Ihre Deliverable-Standards ein.
KI als professionelles Werkzeug: Risikoklassifizierung intern
Minimales Risiko: Standard-Produktivitätsnutzung
Der größte Teil der KI-Nutzung in Professional Services fällt hier hinein:
- Recherche-Automatisierung (Web-Recherche, Dokumentenextraktion)
- Entwürfe von Präsentationen, Reports, E-Mails
- Code-Unterstützung und Datenanalyse
- Übersetzungen und Zusammenfassungen
- Zeiterfassung und administrative Automatisierung
Anforderungen: KI-Literacy-Schulung, interne Nutzungsrichtlinie, klare Dokumentation welche Tools im Einsatz sind.
Begrenztes Risiko: KI mit Mandantenkontakt
Wenn KI-Systeme direkt mit Mandanten interagieren oder KI-generierte Inhalte ohne ausreichende menschliche Prüfung als Deliverable geliefert werden:
- KI-generierte Due-Diligence-Berichte
- Automatisierte Vertragsanalysen als Mandantenleistung
- KI-Chatbots für Mandantenbetreuung
Anforderungen: Transparenz gegenüber Mandanten über KI-Beteiligung, Qualitätssicherung, Offenlegung per Art. 50 AI Act ab August 2026.
Hohe Priorität: KI in rechts- oder finanzrelevanten Entscheidungen
Sobald KI-Outputs direkte Grundlage für rechtliche Bewertungen, Finanzempfehlungen oder M&A-Entscheidungen werden:
- KI-gestützte Rechtsgutachten mit eingeschränkter menschlicher Überprüfung
- Automatisierte Compliance-Prüfungen mit Handlungsrelevanz
- Hochvolumen-Vertragsreviews mit KI als primärem Analysewerkzeug
Anforderungen: Sorgfältige Prüfung gegen Hochrisiko-Kategorien, Human Oversight dokumentieren, Berufspflichten einhalten.
Mandantentransparenz und Berufspflichten
Der AI Act formuliert keine Berufshaftung — diese bleibt nach dem Berufsrecht des jeweiligen Landes beim Berufsträger. Aber die Schnittstelle von AI Act und Berufspflichten ist real:
Für Rechtsanwaltskanzleien gilt: Die BRAO-Pflicht zur persönlichen und eigenverantwortlichen Rechtsberatung (§ 3 BRAO) wird durch KI-Nutzung nicht suspendiert. Wer KI-Outputs ohne ausreichende Prüfung als rechtliche Beratung weitergibt, haftet für Fehler. Das umfasst Halluzinationen, veraltete Rechtsprechung und unkorrekte Zitate.
Für Wirtschaftsprüfer gilt: Die Unabhängigkeit (§ 49 WPO) und die persönliche Urteilsbildung dürfen nicht durch unkontrollierten KI-Einsatz untergraben werden. KI als Analysewerkzeug ist zulässig — KI als Urteilsersatz ist es nicht.
Für Unternehmensberatungen gilt: Pflicht zur inhaltlichen Richtigkeit von Deliverables bleibt. Wenn Mandanten Empfehlungen auf Basis KI-generierter Analysen treffen, ist Transparenz über die KI-Beteiligung und deren Grenzen gute Praxis — und zunehmend rechtlich geboten.
Mandantentransparenz konkret:
- Erläutern Sie in Engagement Letters, welche KI-Tools zum Einsatz kommen können.
- Kennzeichnen Sie KI-intensiv erstellte Deliverables — zumindest intern.
- Richten Sie Quality-Gates ein: Wer prüft KI-Outputs vor Mandantenlieferung?
- Informieren Sie Mandanten über die Grenzen KI-gestützter Analysen.
KI-Compliance als Service-Angebot
Professional-Services-Firmen, die eigene AI-Act-Compliance aufgebaut haben, sind in einer starken Position, Mandanten bei der gleichen Aufgabe zu unterstützen. Das ist kein Zufallsprodukt — es ist ein strategischer Vorteil.
Beratungsgesellschaften und Kanzleien entwickeln zunehmend dedizierte KI-Compliance-Service Lines, die umfassen:
- AI-Act-Readiness-Assessments für Unternehmensmandate
- KI-Inventarisierung und Risikoklassifizierung
- Erstellung technischer Dokumentation für Hochrisiko-Systeme
- Aufbau von Governance-Frameworks für KI-Einsatz
- Vendor-Due-Diligence für KI-Tools (AVV, DPA, Subprozessoren)
- Begleitung von Konformitätsbewertungen und Marktüberwachung
Das Angebot kann organisch aus der eigenen Compliance-Arbeit entstehen — sofern diese sorgfältig dokumentiert und auf externe Mandate übertragbar gemacht wird.
Arbeitsrechtliche Dimension: KI und Mitarbeiterschutz
In deutschen Professional-Services-Firmen mit Betriebsrat löst der Einsatz von KI-Tools regelmäßig Mitbestimmungsrechte aus. § 87 Abs. 1 Nr. 6 BetrVG erfasst technische Einrichtungen, die Arbeitnehmerverhalten überwachen können. Das gilt für:
- KI-gestützte Arbeitszeitanalyse und Produktivitätsmessung
- Monitoring von Dokumenten-Outputs auf Qualität oder Themen
- KI-Assistenten mit Nutzungs-Logs auf Mitarbeiterebene
Darüber hinaus können KI-Tools, die Karriereentscheidungen, Leistungsbewertungen oder Teamzuordnungen beeinflussen, Hochrisiko-Status unter dem AI Act (Annex III, Nr. 4) auslösen — mit umfassenden Betreiberpflichten.
Praktische nächste Schritte für Professional-Services-Firmen
- KI-Inventar erstellen: Welche Tools nutzen welche Teams zu welchem Zweck? Vollständige Liste erstellen.
- Risikoklassifizierung: Jeden Use Case gegen AI-Act-Risikoklassen prüfen. Hochrisiko-Szenarien identifizieren.
- KI-Literacy-Schulung planen: Art. 4 AI Act gilt bereits. Strukturierte Schulungen sind Betreiberpflicht.
- Mandantenrichtlinie entwickeln: Wann und wie wird KI-Beteiligung in Deliverables offengelegt?
- Vendor-Prüfung: AVV, DPA, EU-Datenresidenz für alle eingesetzten Tools prüfen.
- Quality-Gates einrichten: Wer prüft KI-Outputs vor Mandantenlieferung? Wie wird das dokumentiert?
- Betriebsrat informieren: Falls zutreffend, frühzeitig einbinden und Betriebsvereinbarung verhandeln.
- August-2026-Deadline vorbereiten: Hochrisiko-Compliance und Transparenzpflichten bis dahin implementieren.
Wie Compound Law unterstützt
- AI-Act-Readiness-Assessment für Professional-Services-Firmen
- KI-Inventarisierung und Use-Case-Risikoklassifizierung
- Mandantentransparenz-Frameworks und Engagement-Letter-Klauseln
- Betriebsrats-Verhandlung für KI-Tools
- Berufshaftpflicht-Integration in KI-Governance
- Aufbau von KI-Advisory-Service-Lines für externe Mandate
- DSGVO-Compliance für KI-Tools (AVV-Prüfung, DSFA)
Für anbieterspezifische Compliance-Fragen finden Sie auf unserer Website Guides zu ChatGPT Enterprise und Copilot für Microsoft 365. Zu angrenzenden Sektoren siehe unsere Seiten zu AI Act und Legal Services und AI Act und Financial Services.
Häufig gestellte Fragen
Welche AI-Act-Pflichten gelten jetzt für Beratungen in Deutschland?
Seit dem 2. Februar 2025 gelten die Verbote nach Art. 5 AI Act und die KI-Literacy-Pflicht nach Art. 4 AI Act. Die umfassenden Hochrisiko-Anforderungen und Transparenzpflichten nach Art. 50 AI Act greifen ab dem 2. August 2026. Die Vorbereitung — Inventar, Klassifizierung, Schulung — sollte deutlich früher beginnen.
Ändert der AI Act etwas an der Berufshaftung von Rechtsanwälten und Wirtschaftsprüfern?
Der AI Act formuliert keine spezifische Berufshaftung. Das Berufsrecht — BRAO, WPO, Standesregeln — bleibt die maßgebliche Grundlage. Aber wer KI-Outputs ohne ausreichende Prüfung als professionelle Leistung weitergibt, trägt weiterhin das volle Haftungsrisiko nach Berufsrecht. KI entbindet nicht von der Pflicht zur eigenverantwortlichen Urteilsbildung.
Müssen Mandanten über den KI-Einsatz in Deliverables informiert werden?
Transparenz ist gute Praxis und zunehmend rechtlich geboten. Ab August 2026 gilt Art. 50 AI Act für KI-Systeme mit direktem Personenkontakt. Bereits jetzt empfiehlt sich eine klare Praxis: KI-Beteiligung in Engagement Letters erwähnen, Qualitäts-Gates einrichten, Grenzen von KI-Analysen kommunizieren.
Sind KI-Recherche-Tools für Anwälte ein Hochrisiko-System unter dem AI Act?
Es kommt auf die Nutzung an. KI als Recherchewerkzeug, das Anwälte unterstützt und dessen Output menschlich geprüft wird, ist typischerweise kein Hochrisiko-System. Wenn KI-Outputs direkte Entscheidungsgrundlage mit erheblicher rechtlicher Wirkung für Dritte werden — ohne ausreichende menschliche Überprüfung — kann Hochrisiko-Status entstehen. Die Grenze liegt bei der Eigenverantwortlichkeit des Berufsträgers.
Können Beratungen KI-Act-Compliance als Service anbieten, ohne selbst vollständig compliant zu sein?
Formell ja — es gibt keine Voraussetzung, dass Berater selbst compliant sein müssen, um Compliance-Beratung zu leisten. Praktisch jedoch: Eigene AI-Act-Compliance aufzubauen schärft das Verständnis der Anforderungen, ermöglicht authentische Beratung aus Erfahrung und ist reputationsstärkend. Kanzleien und Beratungen, die selbst dokumentierte KI-Governance vorweisen, werden als Berater glaubwürdiger wahrgenommen.
