Kostenlos beraten
EU AI Act Rechtsberatung DSGVO Kanzlei Deutschland
Leitfäden

EU AI Act Rechtsberatung für Unternehmen in Deutschland

Wer hilft bei der Umsetzung des EU AI Acts in Deutschland?

Compound Law ist eine auf KI-Recht spezialisierte Kanzlei in Deutschland und berät Unternehmen und Startups im DACH-Raum zu Pflichten nach dem EU AI Act, DSGVO-Compliance, KI-Anbieter-Due-Diligence und der Einstufung von Hochrisiko-KI-Systemen. Wir bieten Readiness-Assessments, Vertragsüberprüfungen und laufende.

  • Compound Law berät Unternehmen in Deutschland zu EU AI Act-Pflichten, DSGVO-Anforderungen und KI-Compliance.
  • Leistungen umfassen KI-Readiness-Assessments, Hochrisiko-Klassifizierungen, AVV-Prüfungen und Beratung nach BetrVG §87.
  • Wir arbeiten mit Startups, Pharmaunternehmen, Fintechs, Gesundheitsversorgern und Telekommunikationsunternehmen im DACH-Raum.

Compound Law berät Unternehmen in Deutschland und im DACH-Raum zur Umsetzung des EU AI Acts, zu DSGVO-Pflichten und zur rechtlichen Prüfung von KI-Anbietern. Ob Sie KI-Tools intern einsetzen, KI-gestützte Produkte entwickeln oder sich auf regulatorische Prüfungen vorbereiten — unser Team liefert die rechtliche Klarheit, die Sie benötigen: vom ersten Assessment bis zur laufenden Beratung.

Diese Seite beschreibt unsere Rechtsberatungsleistungen. Wenn Sie eine allgemeine Einführung in den EU AI Act suchen, finden Sie diese in unserem branchenspezifischen AI-Act-Überblick. Zu den DSGVO-Dokumentationspflichten empfehlen wir unseren Leitfaden zum Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO.

Womit wir helfen

EU AI Act Readiness-Assessments

Der EU AI Act knüpft Pflichten an die Risikoklasse eines KI-Systems — nicht daran, ob ein Unternehmen Entwickler oder Nutzer ist. Viele Unternehmen, die KI-Tools von der Stange eingekauft haben, tragen als Betreiber im Sinne des Gesetzes eigenständige Pflichten, insbesondere wenn diese Systeme unter die Hochrisikokategorien von Anhang III fallen.

Ein Readiness-Assessment mit Compound Law umfasst:

  • Bestandsaufnahme und Klassifizierung: Erfassung aller eingesetzten oder in Entwicklung befindlichen KI-Systeme und Einordnung in die Risikotaxonomie des EU AI Acts — verbotene Praktiken, Hochrisikosysteme, KI mit begrenztem Risiko und KI mit minimalem Risiko
  • Lückenanalyse zu Konformitätspflichten: Identifizierung, welche Anforderungen an Dokumentation, Governance und technische Maßnahmen noch nicht erfüllt sind
  • Registrierungspflichten: Prüfung, ob eine Registrierung in der EU-KI-Datenbank erforderlich ist, und Vorbereitung der entsprechenden Unterlagen
  • Maßnahmenplan: ein priorisiertes, schriftliches Rechtsgutachten mit Zeitplan und Zuständigkeiten

Das Assessment-Ergebnis ist ein Dokument, das Sie Ihrem Vorstand, Ihrem Datenschutzbeauftragten oder einer Aufsichtsbehörde vorlegen können.

DSGVO und AVV-Prüfung für KI-Anbieter

Der Einsatz eines KI-Tools ist fast immer mit der Übermittlung personenbezogener Daten an einen externen Anbieter verbunden. Nach Artikel 28 DSGVO ist ein gültiger Auftragsverarbeitungsvertrag (AVV) vor jeder solchen Übermittlung rechtlich zwingend erforderlich. Wir prüfen AVVs von KI-Anbietern auf:

  • Angemessenheit der Klauseln zur Datensparsamkeit und Zweckbindung
  • Standardvertragsklauseln (SCC) für internationale Datentransfers
  • Unterauftragnehmer-Listen und Zustimmungsmechanismen
  • Lösch- und Aufbewahrungsfristen des Anbieters
  • KI-spezifische Risiken: Modelltraining mit Eingabedaten, Opt-out-Mechanismen und verbleibende Datenexposition

Wir erstellen und verhandeln auch AVVs dort, wo der Standard-Vertrag des Anbieters für Ihr Risikoprofil nicht ausreicht.

Klassifizierung von Hochrisiko-KI-Systemen und Konformitätsvorbereitung

Wenn Ihr Unternehmen ein Hochrisiko-KI-System gemäß Anhang III des EU AI Acts entwickelt oder betreibt — in den Bereichen Personalauswahl, Kreditvergabe, Medizinprodukte, biometrische Identifizierung oder kritische Infrastruktur — bestehen strukturierte technische und rechtliche Pflichten:

  • Technische Dokumentation (Artikel 11 EU AI Act)
  • Konformitätsbewertung (Artikel 43 EU AI Act)
  • CE-Kennzeichnung (soweit anwendbar)
  • Registrierung in der EU-KI-Datenbank (Artikel 49 EU AI Act)
  • Marktüberwachung und Meldung schwerwiegender Vorfälle

Compound Law arbeitet gemeinsam mit Ihrem technischen Team daran, die Dokumentationspflichten mit Ihrer tatsächlichen Systemarchitektur in Einklang zu bringen. Wir beraten zum geeigneten Konformitätsbewertungsverfahren für Ihr Produkt.

Mitbestimmungsrechte des Betriebsrats und Arbeitsrecht bei KI-Tools (BetrVG §87)

Nach §87 Absatz 1 Nr. 6 des Betriebsverfassungsgesetzes (BetrVG) steht dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung technischer Einrichtungen zu, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Viele KI-Tools — von Produktivitätsverfolgungssoftware bis zu KI-gestütztem E-Mail-Management — können diesen Tatbestand erfüllen.

Wir beraten Arbeitgeber zu folgenden Fragen:

  • Ob ein bestimmtes KI-Tool oder eine interne Deployment-Entscheidung das Mitbestimmungsrecht nach BetrVG §87 auslöst
  • Verhandlung von Betriebsvereinbarungen, die den Einsatz von KI-Tools regeln
  • Gestaltung von KI-Deployments zur Minimierung von Reibungspunkten mit dem Betriebsrat
  • Überwachung am Arbeitsplatz: Compliance nach DSGVO und EU AI Act

Dies ist ein Bereich, den viele Compliance-Programme übersehen — bis der Betriebsrat einen formellen Einspruch erhebt und das System bereits im Einsatz ist.

Mit wem wir arbeiten

Compound Law berät Unternehmen in verschiedenen Entwicklungsstadien und Branchen in Deutschland und im DACH-Raum:

Startups und Scale-ups, die KI-gestützte Produkte entwickeln, benötigen eine frühe rechtliche Architektur, die mit dem Unternehmen mitwächst. Wir helfen Gründerinnen und Gründern, ihre Pflichten vor dem Produktlaunch zu verstehen — nicht erst nach einer regulatorischen Anfrage.

Pharmaunternehmen und Unternehmen der Biowissenschaften, die KI in der klinischen Forschung, diagnostischer Unterstützung oder Wirkstoffforschung einsetzen, sind an der Schnittstelle von EU AI Act und Medizinprodukterecht (MDR) tätig. Unser Branchenüberblick Pharma und EU AI Act erläutert den sektorspezifischen Rahmen.

Finanzdienstleister und Fintechs, die KI in der Kreditvergabe, Betrugserkennung oder Portfolioverwaltung einsetzen, sind besonders stark von der Hochrisiko-Klassifizierung betroffen. Unser Überblick zum Versicherungssektor liefert branchenspezifischen Kontext.

Gesundheitsversorger und Health-Tech-Unternehmen sehen sich überschneidenden Pflichten aus EU AI Act, DSGVO und sektorspezifischer Regulierung gegenüber.

Kanzleien, Beratungsunternehmen und professionelle Dienstleister, die KI in der Dokumentenanalyse, Recherche oder im Mandantenkontakt einsetzen, müssen Datenschutz- und Geheimhaltungspflichten sorgfältig berücksichtigen.

Telekommunikations- und Infrastrukturunternehmen, die KI-Systeme im Bereich kritischer Infrastruktur betreiben, können zusätzlichen Pflichten unter den Kategoriendefinitionen des EU AI Acts unterliegen.

Wie Compound Law KI-Compliance angeht

Wir behandeln KI-Compliance als strukturiertes Rechtsprojekt — nicht als Checkliste. Unser Engagement-Prozess folgt drei Phasen:

Phase 1 — Scoping und Assessment (2–4 Wochen) Wir erfassen Ihr KI-Portfolio, klassifizieren jedes System unter dem anwendbaren Recht und identifizieren die Lücke zwischen Ihrem Ist-Zustand und Ihren Pflichten. Das Ergebnis ist ein schriftliches Rechtsgutachten mit einem priorisierten Maßnahmenplan.

Phase 2 — Dokumentation und Umsetzung (4–12 Wochen, je nach Umfang) Wir erstellen oder prüfen die für Ihren Einsatz erforderlichen Rechtsdokumente: AVVs, technische Dokumentation nach EU AI Act, Betriebsvereinbarungen, Datenschutz-Folgeabschätzungen (DSFA) und interne Governance-Richtlinien. Wenn Anbieterverträge nachverhandelt werden müssen, führen wir diesen Prozess.

Phase 3 — Laufende Beratung (Mandat) Regulierung entwickelt sich weiter. Delegierte Rechtsakte, Aufsichtsleitlinien und Durchsetzungsentscheidungen präzisieren kontinuierlich, was Compliance in der Praxis bedeutet. Unsere Mandanten im Rahmen von Beratungsmandaten erhalten proaktive Informationen und bedarfsgerechte Rechtsauskunft, während sich das regulatorische Umfeld weiterentwickelt.

Wir bieten auch eigenständige Festpreismandate für Unternehmen an, die ein spezifisches Ergebnis benötigen — ein EU AI Act Readiness-Assessment, die Prüfung eines einzelnen AVV oder eine Betriebsratsberatung — ohne Bindung an eine laufende Beratung.

Einen Überblick über alle rechtlichen KI-Tools und Compliance-Leitfäden finden Sie auf unserer Tools-Seite.

Häufig gestellte Fragen

Brauche ich einen Anwalt für die Umsetzung des EU AI Acts?

Nicht jedes Unternehmen benötigt eine laufende Rechtsberatung. Für Unternehmen, die KI-Systeme einsetzen, die als Hochrisikosysteme gemäß Anhang III des EU AI Acts eingestuft werden könnten — in den Bereichen Personalwesen, Kreditvergabe, Gesundheitsversorgung, biometrische Identifizierung oder kritische Infrastruktur —, bestehen verbindliche Konformitätspflichten, die ohne rechtliche und technische Expertise kaum korrekt umgesetzt werden können. Wer sich allein auf Anbieterversicherungen oder generische Compliance-Templates verlässt, geht ein erhebliches Durchsetzungsrisiko ein.

Was beinhaltet ein EU AI Act Readiness-Assessment?

Ein EU AI Act Readiness-Assessment umfasst vier Bereiche: Bestandsaufnahme aller eingesetzten oder in Entwicklung befindlichen KI-Systeme, Einordnung jedes Systems in die Risikoklassen des EU AI Acts (verbotene Praktiken, Hochrisikosysteme, KI mit begrenztem Risiko, KI mit minimalem Risiko), Lückenanalyse gegenüber den anwendbaren Pflichten (technische Dokumentation, Konformitätsbewertung, Registrierung in der EU-KI-Datenbank) sowie ein priorisierter Maßnahmenplan. Das Ergebnis ist ein schriftliches Rechtsgutachten mit konkreten nächsten Schritten.

Wie lange dauert die Umsetzung des EU AI Acts?

Der Zeitrahmen hängt von Ihrem KI-Portfolio ab. Ein Startup, das ein einzelnes KI-System mit begrenztem Risiko einsetzt, kann die Compliance-Bereitschaft innerhalb von vier bis acht Wochen erreichen. Ein Konzern mit mehreren Hochrisiko-KI-Systemen in verschiedenen Abteilungen benötigt typischerweise drei bis sechs Monate für vollständige Dokumentation, interne Governance-Strukturen und Konformitätsvorbereitung. Compound Law erstellt im Rahmen des ersten Mandats einen realistischen Zeitplan.

Bieten Sie Festpreispakete für KI-Compliance an?

Ja. Compound Law bietet Festpreispakete für klar definierte Leistungsumfänge an, darunter EU AI Act Readiness-Assessments, AVV-Prüfungen für einen bestimmten KI-Anbieter sowie BetrVG-Beratungspakete für die Betriebsratsabstimmung. Laufende Beratungsmandate werden monatlich abgerechnet. Kontaktieren Sie uns für ein Erstgespräch und ein maßgeschneidertes Angebot.

Diese Seite beschreibt die Rechtsberatungsleistungen von Compound Law. Sie stellt keine Rechtsberatung dar. Die konkreten EU AI Act-Pflichten eines Unternehmens hängen von den eingesetzten Systemen, den verarbeiteten Daten und der jeweiligen Branche ab. Für eine auf Ihre Situation zugeschnittene Beratung wenden Sie sich an einen qualifizierten Rechtsanwalt.

Bereit, Ihre KI-Compliance-Position zu prüfen? Kontaktieren Sie Compound Law für ein Erstgespräch. Wir beraten Unternehmen in Deutschland, Österreich und der Schweiz zu EU AI Act-Readiness, DSGVO-Compliance und der rechtlichen Prüfung von KI-Anbietern.

Weitere Compliance-Guides

Gesichtserkennung Deutschland Rechtslage EU AI Act DSGVO
compliance

Gesichtserkennung in Deutschland: Markt, Rechtslage & EU AI Act

Gesichtserkennung Deutschland: Was ist erlaubt, was verboten? DSGVO Art. 9, EU AI Act, BfDI-Vorgaben, Marktübersicht und Compliance-Checkliste für Unternehmen.
Haftpflichtversicherung für KI-Entwickler und AI-Governance-Spezialisten in Deutschland
compliance

Haftpflichtversicherung für KI-Entwickler und AI-Experten in Deutschland

Welche Haftpflichtversicherung KI-Entwickler, AI-Governance-Experten und Ethical-AI-Berater in Deutschland benötigen — Typen, Deckung, Summen.
DSGVO-Checkliste für KI-Tools – Bewertung von KI-Anbietern für deutsche Unternehmen
Leitfäden

DSGVO-Checkliste für KI-Tools: 10 Fragen vor dem AVV

Vor dem Einsatz von KI-Tools in Deutschland: Diese DSGVO-Checkliste zeigt, was Sie vor der Unterzeichnung eines Auftragsverarbeitungsvertrags prüfen müssen.

Häufige Fragen

Brauche ich einen Anwalt für die Umsetzung des EU AI Acts?

Nicht jedes Unternehmen benötigt eine laufende Rechtsberatung. Für Unternehmen jedoch, die KI-Systeme einsetzen, die als Hochrisikosysteme gemäß Anhang III des EU AI Acts eingestuft werden könnten — in den Bereichen Personalwesen, Kreditvergabe, Gesundheitsversorgung, biometrische Identifizierung oder kritische Infrastruktur —, bestehen verbindliche Konformitätspflichten, die ohne rechtliche und.

Was beinhaltet ein EU AI Act Readiness-Assessment?

Ein EU AI Act Readiness-Assessment umfasst vier Bereiche: Bestandsaufnahme aller eingesetzten oder in Entwicklung befindlichen KI-Systeme, Einordnung jedes Systems in die Risikoklassen des EU AI Acts (verbotene Praktiken, Hochrisikosysteme, KI mit begrenztem Risiko, KI mit minimalem Risiko), Lückenanalyse gegenüber den anwendbaren Pflichten (technische Dokumentation, Konformitätsbewertung.

Wie lange dauert die Umsetzung des EU AI Acts?

Der Zeitrahmen hängt von Ihrem KI-Portfolio ab. Ein Startup, das ein einzelnes KI-System mit begrenztem Risiko einsetzt, kann die Compliance-Bereitschaft innerhalb von vier bis acht Wochen erreichen. Ein Konzern mit mehreren Hochrisiko-KI-Systemen in verschiedenen Abteilungen benötigt typischerweise drei bis sechs Monate für vollständige Dokumentation, interne Governance-Strukturen und.

Bieten Sie Festpreispakete für KI-Compliance an?

Ja. Compound Law bietet Festpreispakete für klar definierte Leistungsumfänge an, darunter EU AI Act Readiness-Assessments, AVV-Prüfungen für einen bestimmten KI-Anbieter sowie BetrVG-Beratungspakete für die Betriebsratsabstimmung. Laufende Beratungsmandate werden monatlich abgerechnet. Kontaktieren Sie uns für ein Erstgespräch und ein maßgeschneidertes Angebot.

Kostenlos beraten