What is the EU AI Act?

The EU AI Act (Regulation EU 2024/1689) is the world's first comprehensive legal framework for artificial intelligence. It entered into force on August 1, 2024, and applies to all companies operating AI systems in the European Union from August 2, 2026. Non-compliance carries fines of up to €35 million or 7% of global annual turnover.

Who does the EU AI Act apply to?

The EU AI Act applies to any company that develops, deploys, or uses AI systems within the EU — regardless of where the company is headquartered. This includes Series A and Series B startups using AI in their products, HR tools, credit scoring, medical devices, or customer-facing applications.

How long does EU AI Act compliance take?

Traditional compliance timelines with large law firms range from 6 to 18 months and cost €50,000 or more. Verumt delivers a complete audit-ready compliance package in 12 weeks, starting at €2,500 — designed specifically for startups and SMEs that need to move fast without enterprise-scale budgets.

What does EU AI Act compliance include?

A full compliance package includes: AI system risk classification (prohibited, high-risk, limited-risk, minimal-risk), gap analysis against Articles 9–15, technical documentation, conformity assessment support, and board-ready reports. Verumt covers all of this in a single 12-week engagement.

Does the EU AI Act apply to my startup?

Yes, if your startup develops, deploys, or uses AI systems that affect users in the European Union — regardless of where your company is incorporated. The Act applies from August 2, 2026.

What are the penalties for non-compliance with the EU AI Act?

Fines for non-compliance range from €7.5 million (or 1.5% of global annual turnover) for minor violations, up to €35 million (or 7% of global annual turnover) for the most serious breaches.

How is Verumt different from a law firm?

Verumt combines legal expertise with technical knowledge — our team includes both compliance lawyers and engineers. This allows us to deliver audit-ready compliance in 12 weeks at a fraction of the cost of traditional law firms (from €2,500 vs. €50,000+).

What AI systems are considered high-risk under the EU AI Act?

High-risk AI systems include those used in hiring and HR decisions, credit scoring, medical diagnosis, biometric identification, and systems used in critical infrastructure. Article 6 and Annex III of the EU AI Act define the full list.

When does EU AI Act compliance need to be completed?

The full regulation applies from August 2, 2026. However, investor due diligence and enterprise sales cycles mean that most Series A/B companies need to be audit-ready 6–12 months before the deadline — meaning the window to act is now.

Rechtliche Checkliste

EU-KI-Verordnung Compliance-Checkliste für General Counsel

Ein praktischer Leitfaden für General Counsel, CLOs und Leiter der Rechtsabteilung zur Navigation der Pflichten aus der EU-KI-Verordnung, zum Schutz von Vorstandsmitgliedern vor persönlicher Haftung und zur Beschleunigung der Investor Due Diligence.

Geprüft vom rechtlichen Compliance-Team von Verumt · Zuletzt aktualisiert: März 2026 · Quellen: EU-KI-Verordnung (EUR-Lex) · KI-Büro der Europäischen Kommission

Was bedeutet die EU-KI-Verordnung für General Counsel?

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) schafft direkte rechtliche Pflichten für Unternehmen, die KI-Systeme in der EU betreiben. Für General Counsel bedeutet dies zwei unterschiedliche Verantwortungsbereiche: die Sicherstellung, dass das Unternehmen seine Compliance-Pflichten vor dem 2. August 2026 erfüllt, und den Schutz von Vorstandsmitgliedern und Direktoren vor persönlicher Haftung im Falle von Regulierungsmaßnahmen. Unternehmen mit KI-Systemen mit hohem Risiko drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Persönliche Haftung von Direktoren und Vorstandsmitgliedern

Die EU-KI-Verordnung enthält Governance-Anforderungen, die eine potenzielle persönliche Haftung von Unternehmensleitern begründen. Artikel 26 verlangt von Betreibern von KI-Systemen mit hohem Risiko die Implementierung von Governance-Strukturen, die Zuweisung von Verantwortlichkeiten und die Aufrechterhaltung der Aufsicht — Pflichten, die Behörden auf benannte Personen zurückführen können. Die Investor Due Diligence prüft KI-Governance zunehmend als Risikofaktor auf Vorstandsebene.

Die EU-KI-Verordnung Compliance-Checkliste für Rechtsteams

Phase 1: Bewertung (Wochen 1–4)

Inventarisierung aller vom Unternehmen verwendeten oder entwickelten KI-Systeme
Klassifizierung jedes Systems nach Risikokategorie (verboten / hohes Risiko / begrenzt / minimal)
Identifizierung der Systeme, die vor dem 2. August 2026 eine Konformitätsbewertung erfordern
Mapping der KI-Systeme zu den geltenden Artikeln (Artikel 6–15 für hohes Risiko)
Identifizierung von Drittanbieter-KI-Anbietern und Überprüfung ihres Compliance-Status
Überprüfung bestehender Verträge mit KI-Anbietern auf Compliance-Klauseln

Phase 2: Dokumentation (Wochen 5–8)

Erstellung oder Beauftragung technischer Dokumentation gemäß Artikel 11
Implementierung des Risikomanagementsystems gemäß Artikel 9
Einrichtung eines Daten-Governance-Rahmens gemäß Artikel 10
Dokumentation der Mechanismen zur menschlichen Aufsicht gemäß Artikel 14
Erstellung eines Plans zur Überwachung nach dem Inverkehrbringen gemäß Artikel 72
Vorbereitung der Konformitätserklärung (für KI-Systeme mit hohem Risiko)

Phase 3: Vorstandsreife (Wochen 9–12)

Erstellung eines KI-Governance-Berichts auf Vorstandsebene
Einrichtung einer KI-Governance-Richtlinie und Zuweisung benannter Verantwortlichkeiten
Erstellung eines Investor Due Diligence Pakets (Zusammenfassung der KI-Act-Compliance)
Implementierung von Incident-Reporting-Verfahren gemäß Artikel 73
Registrierung von KI-Systemen mit hohem Risiko in der EU-Datenbank (soweit erforderlich)
Briefing der Vorstandsmitglieder zu persönlicher Haftungsexponierung und Risikominderung

EU-KI-Verordnung Zeitplan — Wichtige Termine für Rechtsteams

Datum	Verpflichtung	Betroffene Parteien
2. Februar 2025	Verbotene KI-Praktiken (Artikel 5) in Kraft getreten	Alle Unternehmen
2. August 2025	Pflichten für KI-Modelle mit allgemeinem Verwendungszweck gelten	KI-Modellanbieter
2. August 2026	Vollständige Verordnung gilt — Hochrisiko-KI-Pflichten durchsetzbar	Alle Unternehmen mit KI-Systemen mit hohem Risiko
2. August 2027	Bereits auf dem Markt befindliche KI-Systeme mit hohem Risiko müssen compliant sein	Bestehende Produkteinsätze

Wie Verumt General Counsel unterstützt

Was Sie benötigen	Was Verumt liefert	Zeitrahmen
Risikobewertung des KI-Stacks	Vollständiges System-Inventar + Risikoklassifizierungsbericht	Wochen 1–2
Regulatorisches Mapping	Artikel-für-Artikel-Pflichtenübersicht pro System	Wochen 2–4
Technische Dokumentation	Artikel-11-konformes Dokumentationspaket	Wochen 4–8
Board-ready Bericht	Führungskräfte-Zusammenfassung + Governance-Empfehlungen	Woche 10
Investor Due Diligence Paket	Compliance-Zusammenfassung im Investoren-Format	Woche 12

Häufig gestellte Fragen für General Counsel

Gilt die EU-KI-Verordnung für Unternehmen mit Hauptsitz außerhalb der EU?+

Ja. Die EU-KI-Verordnung gilt für jedes Unternehmen, dessen KI-Systeme Nutzer in der Europäischen Union betreffen — unabhängig davon, wo das Unternehmen eingetragen ist. Das gilt auch für US-amerikanische, britische, israelische und asiatische Unternehmen, die in europäische Märkte verkaufen.

Haften Direktoren persönlich für Verstöße gegen die EU-KI-Verordnung?+

Die EU-KI-Verordnung selbst begründet keine direkte persönliche strafrechtliche Haftung, verlangt jedoch, dass benannte Personen mit Governance-Verantwortlichkeiten betraut werden — was eine klare Dokumentation für Regulierungsmaßnahmen schafft. Darüber hinaus enthalten Investorenvereinbarungen und D&O-Versicherungspolicen zunehmend KI-Compliance-Erklärungen, die eine indirekte persönliche Haftung begründen.

Benötigen wir externen Rechtsrat oder können wir die Compliance intern managen?+

Unternehmen mit einem einzigen KI-System mit minimalem Risiko können sich möglicherweise selbst bewerten. Unternehmen mit mehreren KI-Systemen, Hochrisiko-Anwendungen oder Investor-Reporting-Pflichten benötigen typischerweise externe Expertise — sowohl um Vollständigkeit sicherzustellen als auch um Unabhängigkeit gegenüber Behörden und Investoren zu demonstrieren.

Wie beeinflusst die Compliance mit der EU-KI-Verordnung die Series-B-Finanzierung?+

EU- und US-amerikanische institutionelle Investoren, die Due Diligence bei europäischen Series-B-Runden durchführen, verlangen zunehmend KI-Governance-Dokumentation als Teil des rechtlichen Datenraums. Unternehmen mit prüfungsbereiter Compliance schließen Runden schneller und mit weniger Auflagen ab als solche, die keine Compliance-Bereitschaft nachweisen können.

Was ist der Unterschied zwischen der EU-KI-Verordnung und der DSGVO für Rechtsteams?+

Die DSGVO regelt den Datenschutz — wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden. Die EU-KI-Verordnung regelt die KI-Systemsicherheit und -Governance — wie KI-Systeme konzipiert, getestet, dokumentiert und beaufsichtigt werden. Beide Regelwerke überschneiden sich erheblich für KI-Systeme, die personenbezogene Daten verarbeiten, und ein Compliance-Programm sollte beide gleichzeitig adressieren.

Wie schnell kann Verumt uns zur Prüfungsreife bringen?+

Verumt liefert ein vollständiges prüfungsbereites Compliance-Paket in 12 Wochen. Das Professional-Paket (€5.900) deckt bis zu fünf KI-Systeme ab und umfasst alle Dokumentation, Risikobewertung, regulatorisches Mapping und Board-ready Reporting. Für Unternehmen mit bevorstehender Investor Due Diligence oder Enterprise-Deals bieten wir beschleunigte Zeitrahmen an.

Prüfungsbereit in 12 Wochen. Ihr nächster Investor wird fragen — haben Sie die Antwort bereit.

Board-ready Reports. Investor Due Diligence Pack. Vollständige Dokumentation. Ab €5.900.

Rechtliche Bewertung buchen