What is the EU AI Act?

The EU AI Act (Regulation EU 2024/1689) is the world's first comprehensive legal framework for artificial intelligence. It entered into force on August 1, 2024, and applies to all companies operating AI systems in the European Union from August 2, 2026. Non-compliance carries fines of up to €35 million or 7% of global annual turnover.

Who does the EU AI Act apply to?

The EU AI Act applies to any company that develops, deploys, or uses AI systems within the EU — regardless of where the company is headquartered. This includes Series A and Series B startups using AI in their products, HR tools, credit scoring, medical devices, or customer-facing applications.

How long does EU AI Act compliance take?

Traditional compliance timelines with large law firms range from 6 to 18 months and cost €50,000 or more. Verumt delivers a complete audit-ready compliance package in 12 weeks, starting at €2,500 — designed specifically for startups and SMEs that need to move fast without enterprise-scale budgets.

What does EU AI Act compliance include?

A full compliance package includes: AI system risk classification (prohibited, high-risk, limited-risk, minimal-risk), gap analysis against Articles 9–15, technical documentation, conformity assessment support, and board-ready reports. Verumt covers all of this in a single 12-week engagement.

Does the EU AI Act apply to my startup?

Yes, if your startup develops, deploys, or uses AI systems that affect users in the European Union — regardless of where your company is incorporated. The Act applies from August 2, 2026.

What are the penalties for non-compliance with the EU AI Act?

Fines for non-compliance range from €7.5 million (or 1.5% of global annual turnover) for minor violations, up to €35 million (or 7% of global annual turnover) for the most serious breaches.

How is Verumt different from a law firm?

Verumt combines legal expertise with technical knowledge — our team includes both compliance lawyers and engineers. This allows us to deliver audit-ready compliance in 12 weeks at a fraction of the cost of traditional law firms (from €2,500 vs. €50,000+).

What AI systems are considered high-risk under the EU AI Act?

High-risk AI systems include those used in hiring and HR decisions, credit scoring, medical diagnosis, biometric identification, and systems used in critical infrastructure. Article 6 and Annex III of the EU AI Act define the full list.

When does EU AI Act compliance need to be completed?

The full regulation applies from August 2, 2026. However, investor due diligence and enterprise sales cycles mean that most Series A/B companies need to be audit-ready 6–12 months before the deadline — meaning the window to act is now.

Können wir die Compliance erreichen, ohne unsere Engineering-Geschwindigkeit zu verlangsamen?

Ja, wenn die Compliance durch externe Spezialisten übernommen wird. Verumt übersetzt Compliance-Anforderungen direkt in Jira-ready Tickets und Dokumentationsvorlagen.

Was ist eine Konformitätsbewertung gemäß der EU-KI-Verordnung?

Die Konformitätsbewertung ist der Prozess, durch den ein KI-System mit hohem Risiko verifiziert wird, die Anforderungen der EU-KI-Verordnung zu erfüllen. Für die meisten KI-Systeme mit hohem Risiko handelt es sich um eine Selbstbewertung. Einige Kategorien erfordern eine Drittpartei-Bewertung durch eine Benannte Stelle.

CTO-Leitfaden

EU-KI-Verordnung Compliance-Leitfaden für CTOs

Alles, was ein Chief Technology Officer wissen muss, um KI-Systeme vor dem 2. August 2026 konform mit der EU-KI-Verordnung zu machen — ohne Ihre Sprints zu unterbrechen.

Geprüft vom technischen Compliance-Team von Verumt · Zuletzt aktualisiert: März 2026 · Quellen: EU-KI-Verordnung (EUR-Lex)

Was bedeutet die EU-KI-Verordnung für CTOs?

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ist nicht nur ein rechtliches Problem — sie ist ein Engineering-Problem. CTOs sind verantwortlich für die Klassifizierung jedes KI-Systems in ihrem Stack, die Erstellung technischer Dokumentation, die Implementierung von Mechanismen zur menschlichen Aufsicht und die Sicherstellung, dass ihr Entwicklungslebenszyklus (SDLC) die Anforderungen des Risikomanagementsystems nach Artikel 9 erfüllt. Bei Nichteinhaltung bis zum 2. August 2026 drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Schritt 1: Risikoklassifizierung aller KI-Systeme in Ihrem Stack

Die EU-KI-Verordnung weist jedem KI-System eine von vier Risikokategorien zu. Ihre Compliance-Pflichten hängen vollständig davon ab, in welche Kategorie jedes System fällt. Beginnen Sie damit, alle KI-Systeme aufzulisten, die Ihr Unternehmen entwickelt oder verwendet — einschließlich Drittanbieter-APIs, eingebetteter Modelle und KI-gestützter Funktionen.

Risikokategorie	Beispiele	Pflichten
Verboten	Social Scoring, biometrische Echtzeit-Überwachung	Vollständig verboten — darf nicht eingesetzt werden
Hohes Risiko	KI im Personalwesen, Kreditbewertung, medizinische Diagnose, biometrische Identifikation	Artikel 9–15: Risikomanagementsystem, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung
Begrenztes Risiko	Chatbots, Deepfake-Tools, Emotionserkennung	Transparenzpflichten — Nutzer müssen wissen, dass sie mit KI interagieren
Minimales Risiko	Spam-Filter, Empfehlungssysteme, die meisten SaaS-KI-Funktionen	Keine verbindlichen Anforderungen — freiwillige Verhaltenskodizes

Schritt 2: Anforderungen an die technische Dokumentation (Artikel 11)

Für jedes KI-System mit hohem Risiko verlangt Artikel 11 der EU-KI-Verordnung eine technische Dokumentation, die während des gesamten Lebenszyklus des Systems gepflegt und auf Anfrage den Behörden zur Verfügung gestellt werden muss. Diese Dokumentation muss Systemarchitektur, Trainingsdaten, Leistungskennzahlen und Risikominderungsmaßnahmen abdecken.

Erforderliche Dokumentation umfasst:

Allgemeine Beschreibung des KI-Systems und seines Verwendungszwecks
Beschreibung der Systemarchitektur und der Komponenten
Trainings-, Validierungs- und Testdatensätze (Daten-Governance gemäß Artikel 10)
Aufzeichnungen des Risikomanagementsystems (Artikel 9)
Maßnahmen zur menschlichen Aufsicht (Artikel 14)
Kennzahlen zu Genauigkeit, Robustheit und Cybersicherheit (Artikel 15)
Plan zur Überwachung nach dem Inverkehrbringen

Schritt 3: Compliance in Ihren SDLC integrieren

Der häufigste Fehler von CTOs besteht darin, die Compliance mit der EU-KI-Verordnung als einmalige Prüfung zu betrachten statt als fortlaufende Engineering-Praxis. Artikel 9 verlangt ein Risikomanagementsystem, das über den gesamten Lebenszyklus des KI-Systems eingerichtet, implementiert, dokumentiert und gepflegt wird — das bedeutet, Compliance muss in Ihren Entwicklungsprozess eingebettet sein.

Praktische SDLC-Integration:

Designphase: Risikoklassifizierungs-Checkliste, bevor eine KI-Funktion in die Roadmap aufgenommen wird
Entwicklungsphase: Daten-Governance-Prüfung (Artikel 10) für Trainingsdatensätze
Testphase: Genauigkeits-, Robustheits- und Bias-Tests mit dokumentierten Ergebnissen
Deployment-Phase: Mechanismen zur menschlichen Aufsicht aktiviert, Logging aktiviert
Nach dem Deployment: Überwachung nach dem Inverkehrbringen gemäß Artikel 72

Schritt 4: Anforderungen an die menschliche Aufsicht (Artikel 14)

Artikel 14 verlangt, dass KI-Systeme mit hohem Risiko so konzipiert sind, dass eine menschliche Aufsicht möglich ist — das bedeutet, eine qualifizierte Person kann das System überwachen, verstehen, eingreifen, übersteuern oder abschalten. Dies ist eine Engineering-Anforderung, nicht nur eine Richtlinienanforderung. Ihre Benutzeroberfläche und Systemarchitektur müssen die Aufsicht technisch ermöglichen.

Wie lange dauert die technische Compliance?

Ansatz	Zeitrahmen	Engineering-Kosten	Risiko
Internes Engineering-Team allein	6–12 Monate	Hoch (lenkt Sprints ab)	Hoch — Lücken wahrscheinlich ohne Rechtsexpertise
Große Kanzlei + internes Team	6–18 Monate	Sehr hoch	Mittel
Verumt (Technik + Recht)	12 Wochen	Gering — wir übernehmen die Hauptarbeit	Gering — Gap-Analyse wird in Jira-Tickets übersetzt

Häufig gestellte Fragen für CTOs

Gilt die EU-KI-Verordnung für KI-Funktionen, die auf Drittanbieter-APIs (OpenAI, Anthropic usw.) aufgebaut sind?+

Ja. Wenn Ihr Unternehmen eine KI-gestützte Funktion für EU-Nutzer bereitstellt, sind Sie gemäß der EU-KI-Verordnung der Betreiber — unabhängig davon, ob das zugrunde liegende Modell von einem Drittanbieter stammt. Ihre Pflichten hängen von der Risikokategorie des Anwendungsfalls ab, nicht von der eingesetzten Technologie.

Was gilt, wenn unser KI-System ein minimales Risiko aufweist — müssen wir trotzdem etwas tun?+

KI-Systeme mit minimalem Risiko unterliegen keinen verbindlichen Anforderungen der EU-KI-Verordnung. Sie müssen jedoch Ihre Risikoklassifizierungsentscheidung dokumentieren, damit Sie gegenüber Behörden oder Investoren nachweisen können, dass Sie das System bewertet und als außerhalb der Hochrisikokategorien liegend eingestuft haben.

Wie beeinflusst die Compliance mit der EU-KI-Verordnung unseren Enterprise-Vertriebszyklus?+

Enterprise-Käufer — insbesondere in Fintech, Healthtech und HR-Tech — verlangen zunehmend Compliance-Dokumentation zur EU-KI-Verordnung als Teil der Beschaffungs-Due-Diligence. Prüfungsbereitschaft kann Enterprise-Deals um bis zu 3x beschleunigen, indem ein wesentlicher Einwand im Beschaffungsprozess ausgeräumt wird.

Können wir vor August 2026 compliant werden, ohne unsere Engineering-Geschwindigkeit zu verlangsamen?+

Ja, wenn die Compliance durch externe Spezialisten und nicht durch Umleitung Ihres Engineering-Teams übernommen wird. Verumts Ansatz übersetzt Compliance-Anforderungen direkt in Jira-ready Tickets und Dokumentationsvorlagen — sodass Ihr Team das Notwendige implementiert, ohne sich vom Produktentwicklungsprozess ablenken zu lassen.

Was ist eine Konformitätsbewertung und brauchen wir eine?+

Die Konformitätsbewertung ist der Prozess, durch den ein KI-System mit hohem Risiko verifiziert wird, die Anforderungen der EU-KI-Verordnung zu erfüllen, bevor es in Verkehr gebracht wird. Für die meisten KI-Systeme mit hohem Risiko handelt es sich um eine Selbstbewertung — Sie benötigen keinen externen Prüfer, es sei denn, Ihr System fällt in bestimmte Kategorien (wie biometrische Identifikation), die eine Drittpartei-Bewertung erfordern.

Wie viel kostet die Compliance mit der EU-KI-Verordnung für ein Series A/B Startup?+

Verumts Compliance-Pakete beginnen bei €2.500 für ein einzelnes KI-System (Starter) und €5.900 für bis zu fünf KI-Systeme (Professional). Traditionelle Anwaltskanzleien berechnen €50.000 oder mehr für vergleichbaren Umfang mit Zeitrahmen von 6 Monaten oder länger.

Bringen Sie Ihren KI-Stack in 12 Wochen zur Prüfungsreife

Compliance-Anforderungen als Jira-Tickets. Integration in Ihren SDLC ohne Sprint-Verluste.

Technische Bewertung buchen