Echte EU-AI-Act-Compliance-Kosten für ein 5-Personen-Startup (€30 bis €80k Aufschlüsselung)
Konkrete Zahlen für ein 5-Personen-Startup, das ein KI-System in der EU einsetzt: Ein begrenzt-riskanter Chatbot oder RAG-Assistent landet bei etwa €15k bis €30k Compliance-Kosten im ersten Jahr. Ein hochriskantes System (Recruiting, Credit Scoring, Education Scoring, kritische Infrastruktur) landet bei €50k bis €80k+ mit Konformitätsbewertung durch Dritte. Minimal-riskante Systeme (Spam-Filter, Recommender) tragen nahezu keine direkten Compliance-Kosten. Verbotene Systeme sollten nicht existieren. Volles Linienpostenbudget unten.
Ich schreibe das aus der Engineering-Sicht. Wir haben die technische Dokumentation und die Risiko-Management-Workstreams für Kunden umgesetzt, die KI-Features in die EU ausliefern mussten. Die Zahlen unten sind Spannen aus Wavects Engagement-Historie plus veröffentlichten Auditor-Gebührenordnungen. Sprich mit einem Anwalt für rechtliche Sicherheit. Sprich mit mir für die Umsetzungs-Realität.
Lieferst du KI in die EU aus?
Kostenloses Erstgespräch buchenWie klassifiziert der EU AI Act dein System tatsächlich?
Bevor irgendeine Zahl Sinn ergibt, klassifiziere dein System. Der Act definiert vier Stufen:
- Verboten. Social Scoring, biometrische Echtzeit-Identifikation in der Öffentlichkeit, manipulative Dark-Pattern-KI, Emotionserkennung am Arbeitsplatz oder in der Schule. Compliance-Kosten: Bau es nicht.
- Hochriskant. Annex-III-Liste: Recruiting-Entscheidungen, Credit Scoring, Education Scoring, Law Enforcement, kritische Infrastruktur, Medizinprodukte, Biometrie. Volles Konformitätsregime gilt.
- Begrenzt riskant. Chatbots, generative Inhalte, Emotions- oder biometrische Kategorisierung, wo erlaubt. Transparenzpflichten, leichtere Dokumentation.
- Minimal riskant. Spam-Filter, Empfehlungs-Engines für Medien, einfaches ML in Games. Keine spezifischen Pflichten über DSGVO hinaus.
Die meisten Early-Stage-SaaS-Startups landen bei begrenzt riskant oder minimal riskant. Der große Kostensprung passiert bei hochriskant.
Was kostet EU-AI-Act-Compliance Zeile für Zeile?
Budget-Tabelle für ein 5-Personen-Startup. Spalte begrenzt-riskant unter der Annahme eines kundenorientierten Chatbots oder RAG-Produkts. Spalte hochriskant unter der Annahme eines Recruiting- oder Credit-Scoring-Systems, das eine Konformitätsbewertung durch Dritte erfordert.
| Posten | Begrenzt-riskant (EUR) | Hochriskant (EUR) |
|---|---|---|
| Initiale Rechtsprüfung und Risikoklassifikation | 3.000 bis 6.000 | 6.000 bis 12.000 |
| Technische Dokumentation (Annex IV) | 4.000 bis 8.000 | 10.000 bis 18.000 |
| Data Governance und Datensatz-Dokumentation | 2.000 bis 5.000 | 8.000 bis 15.000 |
| Risiko-Management-System-Setup | 1.500 bis 3.000 | 5.000 bis 10.000 |
| Konformitätsbewertung (durch Dritte, wo nötig) | n/a (Selbstdeklaration) | 8.000 bis 20.000 |
| Post-Market-Monitoring-Tooling und -Prozess | 2.000 bis 4.000 | 5.000 bis 10.000 |
| Internes Training und SOP-Rollout | 1.500 bis 3.000 | 3.000 bis 6.000 |
| Transparenz und nutzerorientierte Kennzeichnung | 1.000 bis 2.000 | 1.500 bis 3.000 |
| Gesamt im ersten Jahr | 15.000 bis 31.000 | 46.500 bis 94.000 |
Was liefert die Rechtsprüfung wirklich?
Ein auf EU-Tech-Recht spezialisierter Anwalt schreibt ein Memo, das dein System unter dem Act klassifiziert, die Pflichten mappt und DSGVO-Überschneidungen markiert. Rechne mit 8 bis 20 Stunden Senior-Anwalts-Zeit zu €300 bis €600/Stunde im DACH-Raum. Billige Anwälte werden €1.500 anbieten und ein Template-Dokument produzieren, das eine Aufsichtsanfrage nicht überlebt. Bezahle den Senior.
Was kommt in die technische Dokumentation?
Annex IV des Acts listet 9 Kategorien an Pflichtdokumentation: allgemeine Beschreibung, Designspezifikationen, Monitoring und Kontrolle, Validierung und Tests, Post-Market-Monitoring-Plan und so weiter. Wir produzieren das typischerweise als versioniertes Dokument im Kundenrepo, in Sync mit der Codebase. Die erste Version braucht 40 bis 80 Engineering-Stunden plus 10 bis 20 Stunden Senior-Review. Wartung danach sind grob 4 bis 8 Stunden pro Release.
Was verlangt Data Governance tatsächlich?
Für hochriskante Systeme fordert der Act Datensätze, die relevant, repräsentativ, fehlerfrei und vollständig sind. In der Praxis heißt das: dokumentierte Datenquellen, dokumentierte Vorverarbeitung, dokumentierte Qualitätsprüfungen, dokumentierte Bias-Evaluation. Wir backen das in den SDLC ein, via Model Cards und Dataset Cards, plus einem quartalsweisen Bias-Audit auf Produktionsdaten. Die Setup-Kosten stehen in der Tabelle; die laufenden Kosten sind Engineering-Zeit, die wir als Teil des Feature-Budgets behandeln.
Wann brauchst du eine Konformitätsbewertung durch Dritte?
Hochriskante Systeme aus Annex III, bei denen der Anbieter eine harmonisierte Norm nicht voll nutzen kann, oder bei denen der Act explizit eine benannte Stelle vorschreibt. Konformitätsbewertungsgebühren benannter Stellen im DACH-Raum variieren stark. Wir haben Angebote von €8.000 für eng gefasste Systeme bis €25.000 oder mehr für komplexe gesehen. Plane 8 bis 14 Wochen Kalenderzeit für die Bewertung ein, nicht 2.
"Compliance ist Architektur, kein Papierkram. Bau es in den SDLC ein, und das Audit wird zum Abnicken."
Was ist mit Post-Market-Monitoring?
Der Act verlangt laufendes Monitoring der Systemperformance und Incident-Reporting. Für die meisten Startups heißt das: strukturiertes Logging von Modell-Inputs und -Outputs mit Privacy-Controls, eine Alerting-Pipeline für Drift und Anomalien, ein dokumentierter Incident-Response-Prozess und ein Notifizierungspfad für schwerwiegende Vorfälle zur nationalen Behörde. Wir verdrahten das typischerweise durch denselben Observability-Stack, den das Team schon nutzt (Sentry, Grafana, Datadog), plus eine kleine Custom-Schicht. Einmaliges Setup wie in der Tabelle, laufende Kosten sind operativ.
Was deckt internes Training ab?
Jeder, der das KI-System designt, baut oder betreibt, muss die Pflichten und Grenzen verstehen. Für ein 5-Personen-Team machen wir meist einen halbtägigen Workshop plus ein 10 bis 20-seitiges Handbuch, zugeschnitten auf das Produkt, dann jährliche Auffrischung. Günstig, hoher Hebel. Lass es weg, und die erste Aufsichtsanfrage legt die Lücke offen.
Was sind die laufenden jährlichen Kosten nach Jahr eins?
Grob 30 bis 50 Prozent der Erstjahreskosten als wiederkehrende Kosten. Ein begrenzt-riskantes System läuft also bei €5k bis €15k pro Jahr laufend, ein hochriskantes System bei €15k bis €35k pro Jahr. Plus Re-Assessment-Gebühren, falls du substantielle Änderungen am System vornimmst, was breit definiert ist und öfter zutrifft, als Gründer erwarten.
Was, wenn du mit KI-Agenten oder RAG baust?
Die Klassifikation hängt immer vom Use Case ab, nicht von der Architektur. Ein RAG-Assistent für interne Wissenssuche ist meist minimal- oder begrenzt-riskant. Ein mehrstufiger KI-Agent, der Aktionen im Namen von Nutzern ausführt (Buchen, Kaufen, Kommunikation senden), muss danach klassifiziert werden, was diese Aktionen betreffen. Ein Agent, der Recruiting-Entscheidungen triggert, ist hochriskant, egal wie clever der Prompt geschrieben ist. Wir besprechen das mit jedem Kunden beim Scoping unter unserem KI-Service.
Fazit
Wenn du begrenzt-riskant bist, liegt die Untergrenze näher bei €15k und die Obergrenze um €30k. Wenn du hochriskant bist, gibst du in Jahr eins €50k bis €80k aus, und du solltest das budgetieren, bevor du Funding raist. Der größte Einzelkostentreiber ist, ob du eine Konformitätsbewertung durch Dritte brauchst, was €8k bis €20k Gebühren plus 8 bis 14 Wochen Kalenderzeit hinzufügt.
Die Falle, in die die meisten Gründer tappen, ist, Compliance als Q4-Papierkram-Übung zu behandeln. In Q4 haben deine Architekturentscheidungen die Compliance-Kosten schon zementiert. Behandle es ab Tag eins als Architektur, und du gibst grob halb so viel aus wie eine nachträgliche Nachbesserung kostet.
KI in deiner Roadmap?
Kostenloses Erstgespräch buchen