EuroComply
Sign up
Back to blog
EU KI-Verordnung 9 min read

Was ist die EU-KI-Verordnung? Ein vollständiger Leitfaden für Unternehmen

What you need to know: Was ist die EU-KI-Verordnung? Ein vollständiger Leitfaden für Unternehmen

Die EU-KI-Verordnung ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Dieser Leitfaden erläutert, was sie beinhaltet, für wen sie gilt, was die Risikostufen bedeuten und was Ihr Unternehmen vor der Frist im August 2026 tun muss.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Die EU-KI-Verordnung (Verordnung 2024/1689) ist der weltweit erste umfassende Rechtsrahmen zur Regulierung künstlicher Intelligenz. Sie trat am 1. August 2024 in Kraft und gilt für jedes Unternehmen, das KI-Systeme entwickelt, einsetzt oder nutzt, die Personen in der Europäischen Union betreffen – unabhängig davon, wo dieses Unternehmen seinen Sitz hat.

Dieser Leitfaden behandelt alles Wesentliche: was die Verordnung verlangt, für wen sie gilt, wie KI-Systeme klassifiziert werden, welche Fristen gelten und welche Konsequenzen bei Versäumnissen drohen.

Was ist die EU-KI-Verordnung?

Die EU-KI-Verordnung begründet einen risikobasierten Rahmen für KI. Anstatt alle KI-Systeme gleich zu behandeln, klassifiziert sie diese nach dem Risiko, das sie für Personen darstellen – und knüpft an jede Stufe unterschiedliche Compliance-Pflichten.

Die Verordnung gilt für:

  • Anbieter — Unternehmen, die KI-Systeme entwickeln und auf dem EU-Markt in Verkehr bringen
  • Betreiber — Unternehmen, die KI-Systeme in ihrem Betrieb nutzen (einschließlich marktfertiger Tools wie ChatGPT oder Copilot)
  • Einführer und Händler — Unternehmen, die KI-Systeme aus Drittstaaten auf den EU-Markt bringen

Wenn Ihr Unternehmen KI-Tools einsetzt, um mit Kundinnen und Kunden zu interagieren, Anträge zu bearbeiten, Bewerbende zu sichten, Personen zu bewerten oder Entscheidungen zu treffen, die Menschen betreffen – sind Sie ein Betreiber, und die KI-Verordnung findet auf Sie Anwendung.

Die vier Risikostufen

Stufe 1: Verbotene KI (Artikel 5)

Bestimmte KI-Anwendungen sind vollständig verboten. Diese Verbote sind bereits seit 2. August 2025 durchsetzbar:

  • Social Scoring — Systeme, die Personen aufgrund ihres Sozialverhaltens oder persönlicher Merkmale bewerten
  • Biometrische Echtzeit-Identifizierung in öffentlich zugänglichen Räumen (mit engen Ausnahmen für die Strafverfolgung)
  • Unterschwellige Manipulation — KI, die psychologische Schwächen ausnutzt, um Verhalten zu verändern
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
  • Biometrische Kategorisierung zur Ableitung sensibler Attribute (Rasse, politische Meinung, Religion, sexuelle Orientierung)
  • Predictive Policing für Einzelpersonen auf der Grundlage von Profiling
  • Ungezielte Erfassung von Gesichtsbildern aus dem Internet oder CCTV-Aufnahmen

Der Einsatz eines verbotenen KI-Systems ist mit Bußgeldern von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bedroht.

Stufe 2: Hochrisiko-KI (Anhang III)

Hochrisiko-KI-Systeme unterliegen den strengsten Anforderungen. Ein System gilt als hochriskant, wenn es in einem von acht regulierten Sektoren tätig ist und Entscheidungen über natürliche Personen trifft oder maßgeblich beeinflusst:

| Sektor | Beispiele | |--------|-----------| | Biometrie | Fernidentifizierung, Emotionserkennung | | Kritische Infrastruktur | Sicherheitskomponenten in Wasser-, Energie- und Verkehrssystemen | | Bildung | Zulassung, Benotung, Prüfungsaufsicht | | Beschäftigung | Lebenslaufsichtung, Leistungsbewertung, Kündigung | | Grundlegende Dienste | Kreditbewertung, Versicherungsrisiko, Sozialleistungen | | Strafverfolgung | Risikobewertung, Beweismittelauswertung, Profiling | | Migration und Asyl | Risikobewertung, Dokumentenprüfung | | Demokratische Prozesse | Wahlbeeinflussung, Wähleransprache |

Compliance-Anforderungen für Hochrisiko-Systeme umfassen:

  • Ein Risikomanagementsystem, das über den gesamten Lebenszyklus aufrechterhalten wird
  • Datenverwaltungsverfahren für Trainings- und Validierungsdaten
  • Technische Dokumentation (Anhang IV)
  • Automatische Protokollierung der Systemaktivitäten
  • Transparenz — Nutzende müssen darüber informiert werden, dass sie mit einem Hochrisiko-KI-System interagieren oder von einem solchen betroffen sind
  • Menschliche Aufsicht — ein Mensch muss in der Lage sein, das System zu überwachen, zu übersteuern oder zu stoppen
  • Tests auf Genauigkeit, Robustheit und Cybersicherheit
  • Eine Konformitätsbewertung vor der Inbetriebnahme (oder ein Drittprüfverfahren für Anhang-I-Produkte)

Die Frist für die Compliance bei Hochrisiko-KI ist der 2. August 2026.

Stufe 3: KI mit begrenztem Risiko (Artikel 50)

Systeme mit begrenztem Risiko unterliegen ausschließlich Transparenzpflichten:

  • Chatbots und konversationelle KI müssen Nutzende darüber informieren, dass sie mit einer Maschine interagieren
  • KI-generierte Inhalte (Bilder, Audio, Video, Text) müssen eindeutig als synthetisch gekennzeichnet werden
  • Deepfakes müssen als künstlich erstellt oder manipuliert offengelegt werden
  • Emotionserkennungssysteme müssen die analysierten Personen benachrichtigen

Die meisten kommerziellen KI-Tools – Kundendienst-Bots, Content-Generatoren, Empfehlungssysteme – fallen in diese Stufe.

Stufe 4: KI mit minimalem Risiko

Alle übrigen KI-Systeme. Keine verbindlichen Pflichten über die allgemeine KI-Kompetenzanforderung hinaus. Es gelten freiwillige Verhaltenskodizes. Diese Stufe umfasst die Mehrheit der KI-Anwendungsfälle: Spam-Filter, KI-gestützte Suche, Empfehlungssysteme, Betrugserkennung (außerhalb des Finanzsektors) und ähnliche Werkzeuge.

Der Zeitplan

| Datum | Ereignis | |-------|---------| | 1. August 2024 | Verordnung tritt in Kraft | | 2. Februar 2025 | KI-Kompetenz (Artikel 4) — bereits in Kraft. Alle Unternehmen, die KI einsetzen, müssen sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen | | 2. August 2025 | Verbotene Praktiken und GPAI-Pflichten — bereits in Kraft. Acht Kategorien von KI sind verboten. Anbieter von KI-Systemen mit allgemeinem Verwendungszweck unterliegen neuen Dokumentationspflichten | | 2. August 2026 | Frist für Hochrisiko-KI-Systeme. Vollständige Compliance für alle Systeme nach Anhang III erforderlich | | 2. August 2027 | Vollständige Durchsetzung für KI, die in Produkte eingebettet ist, die unter EU-Harmonisierungsrechtsvorschriften fallen (Medizinprodukte, Maschinen, Spielzeug) |

Was ist KI-Kompetenz (Artikel 4)?

Seit dem 2. Februar 2025 muss jede Organisation, die KI-Systeme bereitstellt oder einsetzt, sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen – definiert als die Fähigkeiten, Kenntnisse und das Verständnis, die für einen informierten Umgang mit KI-Systemen erforderlich sind.

Dies gilt für Beschäftigte, die KI in ihrer täglichen Arbeit nutzen. Es ist keine Zertifizierung erforderlich, wohl aber eine dokumentierte Schulung. Wesentliche Bereiche umfassen:

  • Verstehen, was KI-Systeme leisten und wie sie Entscheidungen treffen
  • Kenntnis der Grenzen und Risiken der eingesetzten KI-Tools
  • Erkennen, wann KI-Ausgaben einer menschlichen Überprüfung bedürfen
  • Verstehen der datenschutzrechtlichen Pflichten beim Einsatz von KI

Die EU hat kein bestimmtes Format vorgeschrieben, so dass strukturiertes Onboarding, E-Learning-Module oder dokumentierte Briefings die Anforderung erfüllen.

Welche Bußgelder drohen?

| Verstoß | Höchststrafe | |---------|-------------| | Verbotene KI-Praktiken | 35 Mio. € oder 7 % des weltweiten Jahresumsatzes | | Verstöße bei Hochrisiko-KI | 15 Mio. € oder 3 % des weltweiten Jahresumsatzes | | Bereitstellung falscher Informationen | 7,5 Mio. € oder 1,5 % des weltweiten Jahresumsatzes |

Es gilt jeweils der höhere Betrag. Bei einem KMU mit einem Jahresumsatz von 10 Mio. € bedeuten 7 % bereits 700.000 € – ein erhebliches Risiko.

Die Mitgliedstaaten errichten nationale KI-Behörden, die für die Durchsetzung zuständig sind. In Deutschland übernimmt diese Aufgabe die Bundesnetzagentur. Frankreich richtet eine eigene Behörde ein. Die koordinierte Durchsetzung auf EU-Ebene obliegt dem Europäischen KI-Büro.

Was bedeutet das für KMU?

Die meisten KMU sind Betreiber, keine Anbieter. Sie kaufen und nutzen KI-Tools, anstatt sie selbst zu entwickeln. Die Pflichten der Betreiber sind enger gefasst als die der Anbieter, aber sie sind bindend:

  1. KI-Kompetenz — bereits verpflichtend
  2. Folgenabschätzung für Grundrechte — für Hochrisiko-Systeme bei Behörden oder in regulierten Sektoren
  3. Menschliche Aufsicht — für jedes eingesetzte Hochrisiko-KI-System
  4. Transparenz gegenüber Nutzenden — für KI mit begrenztem Risiko
  5. Meldung von Vorfällen — schwerwiegende Vorfälle mit Hochrisiko-KI müssen den nationalen Behörden gemeldet werden

Der praktische erste Schritt für jedes KMU ist eine KI-System-Bestandsaufnahme: Erfassen Sie alle eingesetzten KI-Tools, klassifizieren Sie diese gemäß der Verordnung und stellen Sie fest, welche davon (falls überhaupt) als hochriskant einzustufen sind. Die meisten KMU werden feststellen, dass ihre Tools in die Stufen mit begrenztem oder minimalem Risiko fallen – aber dies muss nachgewiesen, nicht angenommen werden.

Erste Schritte

  1. KI-Tools inventarisieren — erfassen Sie jedes KI-System, das Ihr Unternehmen einsetzt oder betreibt
  2. Jedes Tool klassifizieren — prüfen Sie anhand der Liste in Anhang III, ob Hochrisiko-Relevanz besteht
  3. Mitarbeitende schulen — erfüllen Sie die Anforderung zur KI-Kompetenz nach Artikel 4
  4. Hochrisiko-Systeme dokumentieren — beginnen Sie gegebenenfalls mit dem Aufbau der Dokumentation nach Anhang IV
  5. Compliance-Fahrplan erstellen — der 2. August 2026 ist die Hochrisiko-Frist; beginnen Sie jetzt

Die KI-Verordnung soll Unternehmen nicht vom KI-Einsatz abhalten. Sie soll sicherstellen, dass KI, die das Leben von Menschen beeinflusst, verantwortungsvoll, transparent und unter menschlicher Aufsicht eingesetzt wird. Für die meisten KMU ist Compliance erreichbar – sie erfordert Dokumentation und Prozesse, kein eigenes Compliance-Team.

Zusammenfassung

Die EU-KI-Verordnung ist die bedeutendste Technologiegesetzgebung seit der DSGVO. Sie gilt für jedes Unternehmen, das KI in der EU oder mit Auswirkungen auf die EU einsetzt. Die Risikoklassifizierung ist der erste Schritt: Ermitteln Sie, ob Ihre KI-Systeme verboten, hochriskant, risikobegrenzt oder minimal riskant sind, und bauen Sie Ihr Compliance-Programm entsprechend auf. Die Hochrisiko-Frist ist der 2. August 2026 — rund 15 Monate nach dem Erscheinungsdatum dieses Leitfadens.


Zuletzt aktualisiert: April 2026. Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Häufig gestellte Fragen

Für wen gilt die EU-KI-Verordnung?

Die EU-KI-Verordnung gilt für jedes Unternehmen, das KI-Systeme entwickelt, einsetzt oder nutzt, die Personen in der Europäischen Union betreffen – unabhängig vom Unternehmenssitz. Gemäß Artikel 2 erfasst dies Anbieter, die KI-Systeme auf dem EU-Markt in Verkehr bringen, Betreiber, die KI-Systeme in ihrem Betrieb nutzen, sowie Einführer oder Händler, die KI in die EU verbringen. Ein in den Vereinigten Staaten ansässiges Unternehmen, das ein KI-Tool zur Sichtung von Bewerbenden aus der EU einsetzt, ist ein Betreiber und unterliegt der Verordnung.

Was ist ein Hochrisiko-KI-System gemäß der EU-KI-Verordnung?

Hochrisiko-KI-Systeme werden durch Anhang III der Verordnung definiert und umfassen acht Sektoren: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, grundlegende private und öffentliche Dienste, Strafverfolgung, Migration und Asylverwaltung sowie Justizverwaltung und demokratische Prozesse. Ein System gilt als hochriskant, wenn es in einem dieser Sektoren tätig ist und Entscheidungen über natürliche Personen trifft oder maßgeblich beeinflusst. Lebenslauf-Sichtungstools und Kreditbewertungssysteme sind gängige Beispiele. Hochrisiko-Systeme müssen Anforderungen erfüllen, darunter ein Risikomanagementsystem, Datenverwaltungskontrollen, technische Dokumentation nach Anhang IV, Mechanismen zur menschlichen Aufsicht und eine Konformitätsbewertung – alles vor der Inbetriebnahme, mit der Compliance-Frist 2. August 2026 gemäß Artikel 6.

Welche Bußgelder drohen bei Verstößen gegen die EU-KI-Verordnung?

Die Bußgeldstruktur der KI-Verordnung hat drei Stufen. Der Einsatz einer verbotenen KI-Praxis nach Artikel 5 – z. B. Social Scoring oder biometrische Echtzeit-Identifizierung in öffentlichen Räumen – ist mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bedroht, je nachdem, welcher Betrag höher ist. Verstöße gegen Hochrisiko-KI-Pflichten sind mit Bußgeldern von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes bedroht. Die Übermittlung unrichtiger oder irreführender Informationen an Behörden ist mit Bußgeldern von bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Umsatzes bedroht. Bei kleineren Unternehmen führt der prozentuale Höchstbetrag häufig zu einem höheren Ergebnis als der absolute Maximalbetrag.

Quellen

Key takeaways: Was ist die EU-KI-Verordnung? Ein vollständiger Leitfaden für Unternehmen

This article covers: Was ist die EU-KI-Verordnung?, Die vier Risikostufen, Der Zeitplan.

  • Was ist die EU-KI-Verordnung?
  • Die vier Risikostufen
  • Der Zeitplan
  • Was ist KI-Kompetenz (Artikel 4)?
  • Welche Bußgelder drohen?
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.