Dienstleistungen · EU AI Act und AI Governance
Der EU AI Act ist seit Februar 2025 in Kraft — die nächsten harten Pflichten kommen ab August 2026 für Hochrisiko-AI-Systeme und ab August 2027 für eingebettete AI in regulierten Produkten. Wer Microsoft 365 Copilot, Copilot for Sales, Copilot for Service, Copilot Studio Agents oder Microsoft Foundry einsetzt, ist als Deployer in der Pflicht — und als Bauer eigener Agents sogar als Provider. Die arades GmbH berät Sie als Microsoft Partner und Microsoft Lizenzierungspartner zur EU-AI-Act-Umsetzung im Microsoft-Cloud-Kontext: Risiko-Klassifizierung, Dokumentation, AI Governance, Schulung. Festpreis, ehrliche Risiko-Einschätzung, klare Roadmap.
EU AI Act — Definition und Status 2026
Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende AI-Regulierung weltweit. Veröffentlicht im Juli 2024, in Kraft getreten am 1. August 2024, schrittweise wirksam über bis zu drei Jahre. Stand Mai 2026 sind die ersten Pflichten bereits aktiv und die nächsten Stufen wenige Monate entfernt. Im Gegensatz zu DSGVO und NIS2 ist der EU AI Act kein „Compliance-nach-Aufforderung“-Gesetz — er gilt ab Tag eins, und Bußgelder sind hoch (bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für die schwersten Verstöße).
Für mittelständische Unternehmen, die Microsoft Copilot, Copilot Studio oder Microsoft Foundry einsetzen, ergeben sich daraus zwei Rollen. Erstens — und das betrifft fast alle: Sie sind Deployer (Anwender) von AI-Systemen. Daraus folgen vor allem Schulungs-, Transparenz- und Aufsichts-Pflichten. Zweitens — und das betrifft alle, die eigene Copilot Studio Agents oder Foundry-Modelle bauen: Sie werden zum Provider abgeleiteter AI-Systeme mit deutlich höheren Pflichten — Risiko-Bewertung, Dokumentation, Konformitätsbewertung, Bias-Tests, Audit-Trails.
Eine ehrliche EU AI Act Beratung deckt fünf Bereiche ab:
Als Microsoft Partner aus Offenbach am Main betreuen wir mittelständische Unternehmen im gesamten Rhein-Main-Gebiet und darüber hinaus — von Frankfurt über Darmstadt und Wiesbaden bis Aschaffenburg.
Die EU-AI-Act-Phasen
Verbot unzulässiger AI-Praktiken (Social Scoring, manipulative AI, untargeted Scraping von Gesichtsbildern, Emotionserkennung in Arbeit/Schule, Risiko-Profiling für Strafverfolgung ohne enge Ausnahmen). Pflicht zu AI Literacy: alle Mitarbeitenden, die AI-Systeme bedienen oder deren Ergebnisse verwenden, müssen geschult sein. Das betrifft auch Microsoft 365 Copilot Nutzer im breiten Sinne.
Pflichten für General-Purpose-AI-Modelle (GPAI): Technische Dokumentation, Copyright-Konformität, Transparenz-Bericht. Diese Pflicht betrifft Microsoft als Provider der zugrundeliegenden Modelle — aber nicht direkt deren Kunden, mit einer Ausnahme: Wer ein GPAI-Modell substantiell anpasst (Fine-Tuning, eigene Datenbasis bei großem Volumen), kann zum Provider werden und übernimmt entsprechende Pflichten. Plus: AI Office bei der EU-Kommission ist operativ und kann erste Marktüberwachungs-Maßnahmen treffen.
Hochrisiko-AI-Pflichten werden vollständig wirksam: Risikomanagement-System, Daten-Governance, technische Dokumentation, Aufzeichnungs-Pflicht (Logs), Transparenz gegenüber Deployers, Human Oversight, Genauigkeits- und Cybersicherheits-Anforderungen, Konformitätsbewertung vor Marktbringen. Plus Transparenz-Pflichten für AI-generierte Inhalte (Watermarking, Kennzeichnung von Chatbots, Deepfakes). Wer Hochrisiko-AI selbst baut oder einsetzt, hat damit umfangreiche Aufgaben. Wer „nur“ Microsoft Copilot Standard nutzt, hat überwiegend Deployer-Pflichten (siehe Februar 2025).
Erweiterte Anforderungen für eingebettete AI in regulierten Produkten (Medizinprodukte, Spielzeug, Maschinen, Aufzüge, Druckgeräte etc.) — relevant für Mittelständler, deren Produkte bereits CE-Konformitätsbewertungen brauchen. Hier wird AI Teil der Produkt-Konformitätsbewertung.
Die vier Risiko-Kategorien
Der EU AI Act unterscheidet vier Risiko-Stufen. Welche Stufe Ihr AI-System einnimmt, entscheidet über Pflichten, Aufwand und Bußgeld-Exposition.
Grundsätzlich verbotene AI-Systeme: Social Scoring durch Behörden, manipulative AI gegen Vulnerable Groups, untargeted Scraping von Gesichtern, Emotionserkennung in Arbeit oder Schule, biometrische Kategorisierung nach geschützten Merkmalen, biometrische Echtzeit-Identifizierung im öffentlichen Raum durch Strafverfolgung (mit engen Ausnahmen). Bußgeld bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.
AI in regulierten Produkten oder Bereichen aus Anhang III: kritische Infrastruktur, Bildung und Berufsausbildung, Beschäftigung und Personalmanagement (z.B. AI-Bewerber-Screening), Zugang zu öffentlichen Dienstleistungen, Strafverfolgung, Asyl- und Migrations-Management, Justiz, demokratische Prozesse. Plus eingebettete AI in regulierten Produkten (Medizin, Maschinen, Spielzeug). Umfangreiche Pflichten zu Dokumentation, Konformitätsbewertung, Human Oversight, Risikomanagement-System, Logs, Transparenz.
AI-Systeme mit Transparenz-Pflichten: Chatbots müssen sich als AI zu erkennen geben (Microsoft Copilot Studio Agents fallen typisch hier hinein), Deepfakes müssen gekennzeichnet sein, AI-generierte Inhalte brauchen Wasserzeichen (synthetische Audio, Video, Text in bestimmten Kontexten), Emotionserkennung außerhalb von Arbeit/Schule muss offengelegt werden. Pflichten sind moderat, aber konkret umzusetzen.
AI-Systeme ohne spezifische Pflichten: Spam-Filter, Empfehlungssysteme im E-Commerce, AI in Videospielen, Übersetzungs-Tools, Schreib-Assistenten. Die Mehrheit der Microsoft-365-Copilot-Standard-Use-Cases fällt typisch hier hinein — aber Vorsicht: Sobald Copilot in HR-Prozessen, Kundenbeziehung-Kritischen Entscheidungen oder regulatorisch sensiblen Bereichen genutzt wird, kann die Klassifizierung höher ausfallen.
Microsoft Copilot & Foundry · spezifische Compliance-Pflichten
Microsoft Copilot ist nicht ein Produkt, sondern eine Produkt-Familie mit mindestens fünf relevanten Ausprägungen im Mittelstands-Kontext. Jede hat unter dem EU AI Act eine etwas andere Compliance-Logik:
Allgemeiner Produktivitäts-Assistent für Word, Excel, PowerPoint, Outlook, Teams. Im Standard-Einsatz typisch Kategorie 4 (minimales Risiko), aber Sie sind als Deployer für die AI-Literacy-Schulung verantwortlich (seit 02.2025). Konkret: Mitarbeitende müssen verstehen, was Copilot leistet, wo seine Grenzen liegen, wie Daten verarbeitet werden, und wie sie Output verifizieren können. Wir liefern Schulungs-Bausteine als Teil des Audits.
App-spezifische Copilots in CRM und ERP. In den meisten Fällen Kategorie 4, aber bei Auswirkung auf Personalentscheidungen oder Kreditscoring auch Kategorie 3 oder 2. Beispiel: Wenn Copilot for Sales Lead-Priorisierungen vornimmt, die in das Account-Management einfließen, ist das meist noch Kategorie 4. Wenn aber Bewertungen automatisch zur Kunden-Sperrung führen ohne menschliche Prüfung, kippt es Richtung Hochrisiko.
Hier wird es kompliziert: Sobald Sie eigene Copilot Studio Agents bauen, werden Sie typisch zum Provider eines AI-Systems. Pflichten je nach Anwendungsfall des Agents — interner Wissens-Assistent ist meist Kategorie 4, externer Kunden-Service-Bot ist Kategorie 3 (Transparenz-Pflicht: muss sich als AI zu erkennen geben), HR-Screening-Bot wäre Kategorie 2 (Hochrisiko).
Wer Microsoft Foundry für RAG mit eigenen Daten oder Fine-Tuning eigener Modelle nutzt, bewegt sich in Provider-Territorium. Hier kommen ggf. GPAI-Pflichten (Dokumentation, Copyright-Konformität, Transparenz-Bericht) hinzu, plus alle Hochrisiko-Pflichten, sofern der Anwendungsfall in Anhang III fällt.
Microsoft stellt mehrere Werkzeuge zur Verfügung, die die Compliance technisch unterstützen: Microsoft Purview Audit (vollständige Audit-Trails für Copilot-Interaktionen — Lizenz E5 oder Add-on), Microsoft Defender for Cloud Apps (Schatten-AI-Erkennung im Tenant), Microsoft Entra ID Conditional Access für AI-Workloads, Copilot Studio Governance Tools, Microsoft Foundry Content Safety (Bias- und Toxicity-Filter, Prompt Shields). Wir konfigurieren diese Werkzeuge so, dass die EU-AI-Act-Pflichten technisch belegbar werden.
Drei Beratungs-Formate
Wir liefern EU AI Act Beratung in drei klar abgegrenzten Formaten mit Festpreis. Sie wählen das Format passend zu Reife und Investitions-Bereitschaft. Kein Stundengeschäft, kein offenes Ende.
1 Tag Audit mit anschließendem schriftlichen Bericht. Inhalt: Inventarisierung der heute genutzten AI-Systeme (Microsoft Copilot, Copilot Studio, Foundry, Drittanbieter), erste Risiko-Klassifizierung pro Use-Case, Lücken-Analyse gegen aktuelle EU-AI-Act-Pflichten, drei konkrete Sofortmaßnahmen mit erwartbarem Effekt. Geeignet als Erst-Audit oder als Vorbereitung auf einen tieferen Governance-Aufbau.
Festpreis · Preis auf Anfrage
2 bis 3 Tage Vor-Ort in Offenbach, Frankfurt oder bei Ihnen — oder remote über Microsoft Teams. Inhalt: vollständige AI-System-Inventarisierung, Risiko-Klassifizierung nach EU AI Act, Aufbau AI Governance Register, AI-Richtlinie als Dokument, Trainings-Plan für AI Literacy, Roadmap für 08.2026-Pflichten, Microsoft-Cloud-Konfiguration (Purview, Defender, Entra ID) als Maßnahmenliste.
Festpreis · Preis auf Anfrage · Lieferung: 2–3 Wochen
Quartalsweise AI-Governance-Reviews als Recurring-Service. Für Unternehmen, die mehrere Copilot Studio Agents oder Foundry-Modelle betreiben und kontinuierliche Governance-Disziplin brauchen — neue AI-Use-Cases klassifizieren, Audit-Trail-Auswertungen, Pflicht-Updates nach EU-Marktüberwachungs-Entscheidungen, Schulungs-Updates für neue Mitarbeitende, Microsoft-Feature-Bewertungen.
Preis auf Anfrage
Die häufigsten Fehler · was wir in EU-AI-Act-Audits regelmäßig sehen
Die AI-Literacy-Pflicht gilt seit Februar 2025 für alle Mitarbeitenden, die AI-Systeme bedienen oder Ergebnisse verwenden. Das umfasst nahezu jeden Microsoft-365-Copilot-Nutzer. In den meisten Unternehmen ist diese Schulung schlicht nicht stattgefunden — ein dokumentierbarer Verstoß mit Bußgeld-Potenzial. Wir liefern Schulungs-Bausteine inkl. Teilnahme-Nachweis als Teil des Quick-Audits.
Mitarbeitende nutzen unauthorisierte AI-Tools (ChatGPT-Free, Claude, Perplexity, lokale LLMs) für Geschäftsdaten — oft mit Datenschutz-Risiko und ohne EU-AI-Act-Governance. Microsoft Defender for Cloud Apps erkennt diese Schatten-AI im Tenant. Wir konfigurieren die Erkennung als Teil des Strategie-Workshops.
Eigene Copilot Studio Agents werden oft im Power-Platform-Wildwuchs gebaut, ohne dass jemand prüft, ob ein Agent unter EU AI Act eine Hochrisiko- oder Transparenz-Pflicht auslöst. Wir prüfen alle Agents im Tenant und klassifizieren sie nach Anhang III.
Hochrisiko-AI-Systeme müssen ab 08.2026 Aufzeichnungen über ihre Nutzung führen. Microsoft Purview Audit kann das für Copilot-Interaktionen liefern — aber nur, wenn die Lizenz (Microsoft 365 E5 oder Audit-Add-on) vorhanden und die Konfiguration aktiv ist. Im Audit prüfen wir Lizenz und Konfiguration.
Chatbots in Kunden-Portalen oder auf Websites müssen sich seit 08.2026 als AI zu erkennen geben. Wir sehen Bots, die als „Ihre persönliche Beratung“ vermarktet werden — ein klarer Verstoß gegen die Transparenz-Pflicht. Im Strategie-Workshop überarbeiten wir die Bot-Konversations-Logik.
Der EU AI Act regelt teilweise die Informationspflichten zwischen Provider und Deployer. Wer Microsoft Copilot einsetzt, sollte die Microsoft-Verträge und Microsoft-EU-AI-Act-Dokumentation kennen. Wer Drittanbieter-AI nutzt, sollte deren Provider-Pflichten in den eigenen Vertragsbedingungen sehen. Im Audit prüfen wir die Vertragslage.
Weiterführend
Plattform-Überblick aller Microsoft-AI-Werkzeuge: Microsoft 365 Copilot, App-Copilots, Copilot Studio, Microsoft Foundry.
NIS2-Quick-Assessment, DSGVO-Reviews. Compliance über mehrere Regularien (NIS2, EU AI Act, DSGVO) gemeinsam betrachtet.
Holistische Microsoft-Beratung, in der AI Governance als integraler Teil mit Identity, Security und Adoption gedacht wird.
Copilot-Lizenzen kalkulieren, Microsoft 365 E5 Add-ons für Purview Audit prüfen — als Festpreis-Audit.
Wer Copilot Studio Agents baut, braucht Power-Platform-Governance. Audit, Policies und Tooling für ALM und Lifecycle.
AI Literacy Schulung für Microsoft 365 Copilot, Copilot Studio Workshops, Foundry-Modellbau-Training. Festpreis pro Modul.
Häufige Fragen zur EU AI Act Beratung
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz, in Kraft seit August 2024 mit schrittweiser Wirksamkeit. Seit 02.2025 gelten Verbote unzulässiger Praktiken und AI-Literacy-Pflicht. Ab 08.2025 GPAI-Pflichten. Ab 08.2026 vollständige Hochrisiko-Pflichten und Transparenz-Anforderungen. Ab 08.2027 erweiterte Hochrisiko-Pflichten für eingebettete AI in regulierten Produkten.
Quick-Audit, AI Governance Strategie-Workshop und Architecture-as-a-Service stehen als Festpreis-Formate zur Verfügung. Vollständige EU-AI-Act-Implementierungs-Projekte (Inventarisierung, Klassifizierung, Dokumentation, Governance-Aufbau, Schulungen) werden je nach Mitarbeiterzahl und Anzahl AI-Use-Cases modular kalkuliert. Preise auf Anfrage.
Sie sind in zwei Rollen unterwegs: Als Deployer (Anwender) typisch AI-Literacy-Schulung, Transparenz, Human Oversight. Als Provider eigener Copilot Studio Agents oder Foundry-Modelle deutlich höhere Pflichten — Risiko-Bewertung, Konformitätsdokumentation, Bias-Tests, Audit-Trails. Microsoft selbst ist Provider der zugrundeliegenden Modelle und erfüllt seinen Teil.
Kategorie 1 — Unzulässig (verboten): z.B. Social Scoring, manipulative AI. Kategorie 2 — Hochrisiko (umfangreiche Pflichten): AI in regulierten Produkten oder Bereichen wie HR, Bildung, kritische Infrastruktur. Kategorie 3 — Begrenztes Risiko (Transparenz-Pflicht): Chatbots, Deepfakes, AI-generierte Inhalte. Kategorie 4 — Minimal: keine spezifischen Pflichten (Spam-Filter, Schreib-Assistenten).
Ein guter Partner kombiniert regulatorisches Verständnis (EU AI Act, DSGVO, NIS2 im Zusammenspiel), tiefes Microsoft-Cloud-Verständnis (Copilot, Foundry, Purview, Defender), Mittelstands-Pragmatismus und Festpreis-Disziplin. arades GmbH ist seit 2007 Microsoft Partner mit CMMI-Methodik in der Geschäftsführung — nachweisliche Erfahrung mit Governance und Audit-Anforderungen.
Zum Mitnehmen · zwei Materialien
Zwei Tiefen für unterschiedliche Lese-Bedürfnisse. Das Factsheet ist Quick-Reference (3-5 Min) und sofort herunterladbar. Das Whitepaper ist Markt-Edukation mit Methodik und Vergleichs-Daten (15-30 Min) — Sie bekommen es per Mail nach kurzer Anfrage.
3-5 Min Lesezeit · Direkter Download · ohne Formular
Kompakte Übersicht: Leistungsumfang, Kennzahlen, Pricing-Modell, Ablauf — ideal zum Weiterleiten an CFO, Einkauf oder Fachbereich.
15-30 Min Lesezeit · per E-Mail nach Anfrage
Methodik, Vergleichs-Daten, Empfehlungs-Rahmen — Material zur internen Argumentation gegenüber Stakeholdern.
Verwandte Dienstleistungen
Parallel-Compliance-Pflicht — gleicher Governance-Aufbau, gemeinsame Audit-Strukturen.
Ansehen →
AI generell — Plattform-Entscheidung, RAG, Foundry, EU-LLMs.
Ansehen →
QM-Strukturen als Basis nachhaltiger AI-Governance.
Ansehen →
AI-Architektur unter regulatorischer Vorgabe — Tenant-Strategie, Data-Governance.
Ansehen →
EU AI Act Beratung anfragen
30 Minuten Erstgespräch — wir klären, ob ein Quick-Audit, ein Strategie-Workshop oder Architecture-as-a-Service das passende Format ist. Sie bekommen zeitnah eine konkrete Einschätzung.
Zum Mitnehmen
Zwei-Seiten-Quick-Reference mit Pakets-Struktur, Liefer-Bereichen und drei Gründen für arades — sofort herunterladbar, ohne Formular. Ideal zum Weiterleiten an CFO, Einkauf oder IT-Lead.
3-5 Min Lesezeit · Direkter Download · ohne Formular
