EU AI-Act Vorschriften: Was Berater jetzt vorbereiten müssen

Die AI-Act Vorschriften treten in den maßgeblichen Teilen in Kraft. Die Diskussion in Beratungsbüros dreht sich seit Monaten darum, wer „Anbieter”, wer „Betreiber” ist, und welche Pflichten sich daraus ergeben. Hier ist eine fundierte und geprüfte Zusammenfassung für Beratungsbüros.

Wer ist Anbieter, wer Betreiber?

Die Verordnung unterscheidet in Art. 3 zwischen Anbieter (Provider) und Betreiber (Deployer) eines KI-Systems. Anbieter ist, wer das System entwickelt oder unter eigenem Namen in Verkehr bringt. Betreiber ist, wer es eigenverantwortlich einsetzt.

Für ein Beratungsbüro bedeutet das in den meisten Fällen: Wer ein eingekauftes KI-System (ChatGPT, Claude, Microsoft Copilot, Cognelys oder andere) im Beratungsalltag einsetzt, ist Betreiber. Anbieter ist der Software-Hersteller. Beide haben getrennte Pflichten.

Wer dagegen selbst ein KI-System entwickelt, etwa einen eigenen Bot zur Mandantenkommunikation auf Basis eines kommerziellen Modells, wird unter Umständen selbst zum Anbieter im Sinne der Verordnung. Das ist die risikoreichste Variante.

Risikoklassifikation: in welcher Kategorie sind Sie?

Der AI Act kennt vier Kategorien, verbotenes Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Für Beratungsbüros sind lediglich hohes Risiko und begrenztes Risiko die relevanten.

Hochrisiko-Systeme listet Anhang III der Verordnung auf. Eine Beratung von Privatkunden zu z.b. Energiefragen steht nicht direkt darauf. Was aber unter Hochrisiko fallen kann, sind KI-Systeme zur Kreditwürdigkeitsprüfung, zur Personalentscheidung, zur Bewertung öffentlicher Leistungen. Wer als Berater zum Beispiel einen KI-Algorithmus zur Bewertung von Förderfähigkeit einzelner Mandanten betreibt, sollte die Klassifikation sorgfältig prüfen.

Im Regelfall der täglichen Beratungs-Praxis liegt der Einsatz im begrenzten Risiko. Damit greift im Wesentlichen eine Transparenzpflicht: Mandanten müssen wissen, dass sie mit KI interagieren oder dass KI-Inhalte verwendet werden oder wurden.

Drei Dokumente, die in Ihren Akten vorhanden sein müssen

1. Risikoregister

Eine schriftliche Übersicht der eingesetzten KI-Systeme mit Klassifikation, Zweck und Verantwortlichen. Das Register muss kein 50-Seiten-Werk sein, aber es muss existieren und auf Anfrage vorgelegt werden können. Eine tabellarische Auflistung mit Spalten „System”, „Hersteller”, „Risikoklasse”, „Einsatzzweck”, „Verantwortlicher” reicht in den meisten Fällen aus.

2. Verarbeitungsverzeichnis nach Art. 30 DSGVO, KI-bezogen

Das Verarbeitungsverzeichnis ist seit 2018 Pflicht. Für KI-Einsätze sollte der Eintrag ergänzt werden: welche personenbezogenen Daten in das System eingebracht werden, welche Datenkategorien das System generiert, welcher Subprozessor beteiligt ist. Das ist nicht neu, aber es wird unter dem AI-Act in Verbindung mit Art. 35 DSGVO (Datenschutz-Folgenabschätzung) genauer geprüft und muss auf Anfrage bereitgestellt werden.

3. Mandanten-Information

Wer KI im Mandatsverhältnis einsetzt, muss diese darüber informieren. Der Hinweis kann in der Mandatsvereinbarung erfolgen, in einem Anschreiben oder in den Allgemeinen Geschäftsbedingungen. Wichtig ist, dass er nachvollziehbar dokumentiert und vom Mandanten zur Kenntnis genommen wurde. Eine Muster-Klausel lautet sinngemäß:

„Wir setzen bei der Bearbeitung Ihres Beratungsfalls KI-gestützte Recherche-Werkzeuge ein. Die fachliche Bewertung und Empfehlung trifft der zuständige Berater. Bei Fragen zu Funktionsweise und Datenschutz wenden Sie sich an den Berater.”

Ob diese Formulierung im Einzelfall ausreicht, hängt vom Mandatsverhältnis und der Tiefe des KI-Einsatzes ab. Die endgültige Formulierung gehört in die juristische Prüfung.

Bußgelder, die relevanten Zahlen

Bei Verstößen gegen den AI-Act drohen Bußgelder bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für ein mittelständisches Beratungsbüro klingt das fern, weil 7 Prozent vom Jahresumsatz eines 4-Personen-Büros eine überschaubare Größe sind. Aber: Die Verordnung kennt mehrere Kategorien, und die Bußgelder staffeln sich nach Ihrer Schwere. Bei einer Verletzung von Transparenz- oder Dokumentationspflichten ist eher der untere Bereich relevant, der für ein Beratungsbüro dennoch schnell existenzbedrohend werden kann.

Hinzu kommt die zivilrechtliche Ebene: Wer einen Mandanten nicht über den KI-Einsatz informiert hat und in der Folge eine fehlerhafte Empfehlung gibt, hat im Schadensersatz-Fall eine schlechtere Verteidigungsposition. Die Verbindung zu Urteilen im LG Berlin und LG Frankenthal ist hier offensichtlich.

Was sich noch nicht entschieden hat

Manches in der Verordnung ist offen oder wartet auf Auslegungshinweise. Wie genau die zuständigen Aufsichtsbehörden, in Bayern das BayLDA, in anderen Bundesländern andere Stellen, die Pflichten kontrollieren, bleibt eine Praxis-Frage. Wie streng die Dokumentationspflicht im Einzelnen geprüft wird, wird sich in den ersten Verfahren zeigen.

Was sich nicht geändert hat: Wer eine bestehende Dokumentation hat, hat die bessere Verteidigung. Wer keine hat, steht im Streitfall ohne Nachweise da.

Was Cognelys an dieser Stelle leistet

Cognelys liefert mit dem Onboarding ein vorbereitetes Risikoregister, eine Vorlage für das Verarbeitungsverzeichnis und Mandanten-Hinweistexte zur Anpassung. Der Audit-Trail erfüllt die Aufzeichnungspflicht aus Art. 12 AI Act auf der Anbieter-Seite, und liefert dem Betreiber zugleich die Belege für eigene Nachweise.

Diese Informationen ersetzen keine Rechtsberatung. Wer noch keine juristische Prüfung der eigenen Lage angestoßen hat, sollte dies zeitnah erledigen.