EuroComply
Konto erstellen
Back to blog
LeitfÀden 8 min read

Einstieg in die KI-Compliance: Ein Leitfaden fĂŒr Einsteiger

What you need to know: Einstieg in die KI-Compliance: Ein Leitfaden fĂŒr Einsteiger

Neu bei der EU KI-Verordnung? Dieser praxisnahe Einsteigerleitfaden fĂŒhrt Sie durch die ersten 90 Tage: von der Bestandsaufnahme ĂŒber die Risikoklassifizierung bis zur Dokumentation.

Source: EuroComply Editorial (2024-12-15)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ist bereits in Kraft, und die wichtigsten Compliance-Fristen rĂŒcken rasch nĂ€her. Wer neu im Bereich der KI-Compliance ist, wird von der Verordnung leicht ĂŒberfordert — sie ist umfangreich, technisch komplex und verweist auf Dutzende anderer EU-Rechtsakte.

Dieser Leitfaden bricht diese KomplexitÀt mit einem praktischen 90-Tage-Fahrplan auf. Er erlÀutert, was Ihre Pflichten auslöst, wie Sie ein KI-Inventar aufbauen, wie Sie Ihre Systeme nach Risiko klassifizieren und was diese Klassifizierung konkret bedeutet.

Was Ihre Pflichten aus der KI-Verordnung auslöst

Ihre Pflichten aus der KI-Verordnung hĂ€ngen von Ihrer Rolle ab. Die Verordnung unterscheidet zwischen Anbietern — Organisationen, die KI-Systeme entwickeln und in Verkehr bringen — und Betreibern — Organisationen, die KI-Systeme in ihrem eigenen Betrieb einsetzen.

Wenn Sie KI-Systeme entwickeln und verkaufen oder fĂŒr den internen Einsatz aufbauen, sind Sie Anbieter. Wenn Sie KI-Werkzeuge nutzen, die Sie von einem Lieferanten bezogen, ĂŒber eine API integriert oder in gekauften SaaS-Produkten eingebettet haben, sind Sie in der Regel Betreiber. Die Unterscheidung ist wesentlich: Anbieter tragen die primĂ€ren Dokumentations- und KonformitĂ€tsbewertungspflichten, wĂ€hrend Betreiber einen anderen Pflichtenkatalog haben, der sich auf die zweckbestimmte Nutzung, menschliche Aufsicht und Grundrechte-FolgenabschĂ€tzungen bei bestimmten Hochrisiko-EinsĂ€tzen konzentriert.

Die meisten kleinen und mittleren Unternehmen sowie Großunternehmen, die keine KI-Produktunternehmen sind, werden Betreiber sein. Dieser Leitfaden konzentriert sich vorrangig auf den Betreiberpfad und weist dort auf Unterschiede bei Anbieterpflichten hin.

Zwei Pflichten gelten bereits fĂŒr alle: die KI-Kompetenzpflicht nach Artikel 4 (seit Februar 2025 in Kraft) und das Verbot bestimmter KI-Praktiken nach Artikel 5 (ebenfalls seit Februar 2025 in Kraft). Diese können nicht aufgeschoben werden, wĂ€hrend Sie die ĂŒbrigen Anforderungen klĂ€ren.

Schritt 1: KI-Inventar aufbauen (Wochen 1–2)

Was Sie nicht erfasst haben, können Sie nicht klassifizieren. Beginnen Sie damit, ein vollstĂ€ndiges Inventar aller KI-Systeme zu erstellen, die Ihre Organisation einsetzt — sowohl selbst entwickelte Systeme als auch Drittanbieter-Werkzeuge mit KI-Funktionen.

Dokumentieren Sie fĂŒr jedes System:

  • Name und Anbieter — wie das System heißt und wer es bereitstellt
  • Zweck — wofĂŒr das System genutzt wird und welcher GeschĂ€ftsbereich es einsetzt
  • Dateneingaben — welche personenbezogenen Daten das System ggf. verarbeitet
  • Entscheidungseinfluss — beeinflusst die Systemausgabe Entscheidungen ĂŒber natĂŒrliche Personen?
  • Nutzerinnen und Nutzer — welche Mitarbeitenden oder GeschĂ€ftsbereiche auf die Ausgabe angewiesen sind
  • Einsatzkontext — ist dies kundenseitig, intern oder beides?

Typische zu prĂŒfende Kategorien: HR- und Recruiting-Werkzeuge (Bewerberverwaltung, LebenslaufprĂŒfung, Leistungsbeurteilung), kundenseitige Werkzeuge (Chatbots, Empfehlungssysteme, Content-Personalisierung), Finanzwerkzeuge (Kreditentscheidung, Betrugserkennung, Preismodelle), Sicherheitswerkzeuge (NetzwerkĂŒberwachung, Zugangskontrolle) sowie interne ProduktivitĂ€tswerkzeuge mit KI-Funktionen.

Dieses Inventar dient als dauerhaftes KI-Register — ein lebendes Dokument, das aktualisiert werden muss, sobald ein neues KI-Werkzeug eingefĂŒhrt oder ein bestehendes wesentlich verĂ€ndert wird.

Schritt 2: Risiko klassifizieren (Wochen 3–4)

Wenden Sie mit dem Inventar in der Hand das vierstufige Risikomodell der KI-Verordnung auf jedes System an.

Erstens: PrĂŒfen Sie Artikel 5 — die Liste der verbotenen Praktiken. Acht Kategorien von KI sind in der EU vollstĂ€ndig untersagt: unterschwellige Manipulation, Ausnutzung von Schwachstellen, soziales Scoring durch Behörden, biometrische Echtzeit-Identifizierung in öffentlichen RĂ€umen durch Strafverfolgungsbehörden, biometrische Kategorisierung zur Ableitung sensibler Merkmale, Emotionserkennung an ArbeitsplĂ€tzen und Bildungseinrichtungen, ungezielte Gesichtsdaten-Extraktion sowie prĂ€diktive Polizeiarbeit. Ähnelt ein System in Ihrem Inventar einer dieser Kategorien, holen Sie sofort rechtliche Beratung ein.

Zweitens: PrĂŒfen Sie Anhang III — die Hochrisiko-Liste. Acht Sektoren sind erfasst: Biometrie, kritische Infrastruktur, Bildung, BeschĂ€ftigung, wesentliche Privatdienstleistungen (Kredit, Versicherung, Sozialleistungen), Strafverfolgung, Migration und Rechtspflege. Fragen Sie fĂŒr jedes System in Ihrem Inventar: Ist es in einem dieser Sektoren tĂ€tig UND trifft oder beeinflusst es wesentlich Entscheidungen ĂŒber natĂŒrliche Personen? Falls ja, handelt es sich um ein Hochrisiko-System, das bis zum 2. August 2026 dem vollstĂ€ndigen Compliance-Regime unterliegt.

Drittens: PrĂŒfen Sie Artikel 50 — die Transparenzpflichten. Auch nicht-hochriskante Systeme unterliegen Offenlegungspflichten, wenn sie Chatbots sind (Nutzerinnen und Nutzer mĂŒssen darĂŒber informiert werden, dass sie mit KI interagieren), synthetische Inhalte erzeugen (diese mĂŒssen gekennzeichnet sein) oder Emotionserkennung einsetzen.

Alle ĂŒbrigen Systeme gelten als minimales Risiko — keine spezifischen Pflichten außer der KI-Kompetenzpflicht nach Artikel 4.

Schritt 3: Dokumentation beginnen (Wochen 5–8)

Starten Sie fĂŒr jedes Hochrisiko-KI-System in Ihrem Inventar den Compliance-Dokumentationsprozess. Die wesentlichen Dokumentationsanforderungen nach den Artikeln 9–15 sind:

  • Risikomanagementsystem (Artikel 9): ein dokumentierter, fortlaufender Prozess zur Identifikation, Bewertung und Minderung von Risiken
  • Datenverwaltung (Artikel 10): Dokumentation der QualitĂ€t, ReprĂ€sentativitĂ€t und Bias-Bewertung von Trainingsdaten (primĂ€r fĂŒr Anbieter)
  • Technische Dokumentation (Artikel 11): umfassende Anhang-IV-Dokumentation zu Design, Leistung und Grenzen des Systems
  • Protokollierung (Artikel 12): automatische Ereignisprotokollierung zur Ermöglichung der MarktĂŒberwachung
  • Transparenz gegenĂŒber Betreibern (Artikel 13): Gebrauchsanweisungen mit Angaben zu Zweckbestimmung und EinschrĂ€nkungen
  • Menschliche Aufsicht (Artikel 14): dokumentierte Aufsichtsmechanismen und die Möglichkeit menschlicher Eingriffe

FĂŒr Betreiber, die Hochrisiko-KI-Systeme von Dritten nutzen, sollte der Anbieter die technische Dokumentation und die Gebrauchsanweisungen bereitstellen. Ihre Pflicht besteht darin, sicherzustellen, dass diese Dokumente vorhanden und angemessen sind und dass Sie das System innerhalb seiner Zweckbestimmung betreiben.

Schritt 4: Laufende KI-Kompetenz (fortlaufend)

Artikel 4 verpflichtet alle Anbieter und Betreiber sicherzustellen, dass ihre Mitarbeitenden ĂŒber ausreichende KI-Kompetenz verfĂŒgen. Dabei handelt es sich nicht um eine einmalige Schulungsmaßnahme — es ist eine fortlaufende Pflicht. Entwickeln Sie ein Programm, das folgende Inhalte abdeckt: welche KI-Systeme Ihre Organisation einsetzt, wie jedes System auf dem fĂŒr die jeweilige Rolle angemessenen Niveau funktioniert, bekannte EinschrĂ€nkungen und Fehlerarten, wie Bedenken eskaliert werden, sowie Aktualisierungen bei der EinfĂŒhrung neuer Systeme.

FĂŒhren Sie Nachweise. Nationale zustĂ€ndige Behörden werden Belege fĂŒr die Einhaltung der KI-Kompetenzpflicht verlangen, und ein dokumentiertes Schulungsprogramm mit Anwesenheitsnachweisen ist der Mindeststandard.

Welche kostenlosen Ressourcen verfĂŒgbar sind

Die EuropĂ€ische Kommission und ENISA haben beide LeitfĂ€den zur UnterstĂŒtzung der Compliance veröffentlicht. Das EuropĂ€ische KI-BĂŒro (innerhalb der Kommission) betreibt das Umsetzungsportal zur KI-Verordnung auf der Website fĂŒr digitale Strategie der EuropĂ€ischen Kommission. ENISA hat eine Methodik zur KI-RisikoabschĂ€tzung veröffentlicht. Der EuropĂ€ische Datenschutzausschuss (EDSA) hat Orientierungshilfen zur Schnittstelle zwischen DSGVO und KI herausgegeben. Nationale zustĂ€ndige Behörden in grĂ¶ĂŸeren Mitgliedstaaten haben ebenfalls sektorspezifische KI-LeitfĂ€den veröffentlicht — z. B. das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) in Deutschland, das neben seiner Rolle als nationale Behörde fĂŒr Cybersicherheit auch Orientierung zur KI-Sicherheit bereitstellt.

Hinweis: Das Bundesdatenschutzgesetz (BDSG) enthĂ€lt in § 38 eine nationale Regelung zur Datenschutzbeauftragten-Pflicht, die ĂŒber die Vorgaben der DSGVO hinausgeht. Diese Regelung gilt ausschließlich in Deutschland und ist kein universelles EU-Recht.

HĂ€ufige Einstiegsfehler

Die hĂ€ufigsten Fehler in der Anfangsphase sind: das Inventar nicht fertigstellen, bevor mit der Klassifizierung begonnen wird (fĂŒhrt zu ĂŒbersehenen Systemen); „unser Anbieter ist compliant" als ausreichend zu behandeln, ohne zu prĂŒfen, ob die Dokumentation tatsĂ€chlich vorliegt; die KI-Kompetenzpflicht nach Artikel 4 aufzuschieben, weil sie weniger dringend als die Frist 2026 erscheint; und die Risikoklassifizierung als einmalige Übung zu behandeln, anstatt sie als Prozess zu verstehen, der bei System- oder NutzungsĂ€nderungen wiederholt werden muss. Eine in Woche 4 korrekt durchgefĂŒhrte Klassifizierung muss erneut bewertet werden, sobald ein neues KI-Werkzeug eingefĂŒhrt oder ein bestehendes in einem neuen Kontext eingesetzt wird.


Zuletzt aktualisiert: Mai 2026.

HĂ€ufig gestellte Fragen

Wir nutzen in gekaufter Software eingebettete KI-Funktionen — haben wir Pflichten?

Ja. Betreiber von Hochrisiko-KI-Systemen haben Pflichten nach Artikel 26, auch wenn sie ein Drittanbietersystem nutzen. Dazu gehören: das System nur innerhalb seiner vom Anbieter festgelegten Zweckbestimmung zu nutzen; eine angemessene menschliche Aufsicht sicherzustellen; das System vor dem Einsatz in den in Artikel 49 genannten Kategorien in der EU-Datenbank zu registrieren; und vor dem Einsatz bestimmter Anhang-III-Systeme Grundrechte-FolgenabschĂ€tzungen durchzufĂŒhren. Die KI-Kompetenzpflicht nach Artikel 4 gilt unabhĂ€ngig davon, ob die KI intern entwickelt oder von einem Anbieter bezogen wurde.

Wie gehen wir mit KI-Funktionen um, die in Produkte wie Microsoft 365 oder Google Workspace eingebettet sind?

Dies sind universelle ProduktivitĂ€tswerkzeuge, in die KI-Funktionen von einem Anbieter eingebettet wurden, der seinen eigenen Pflichten aus der KI-Verordnung unterliegt. Bei den meisten ProduktivitĂ€ts-KI-Funktionen (SchreibvorschlĂ€ge, E-Mail-Zusammenfassung, Besprechungsprotokollierung) ist das Risikoniveau minimal oder begrenzt, und Ihre Pflichten beschrĂ€nken sich im Wesentlichen auf die Kompetenzpflicht nach Artikel 4 sowie die ÜberprĂŒfung, dass die Werkzeuge nicht auf eine Weise eingesetzt werden, die verbotene Praktiken darstellt. Werden diese Werkzeuge zur Erzeugung von Ausgaben genutzt, die Entscheidungen ĂŒber natĂŒrliche Personen beeinflussen — z. B. Leistungsbeurteilungen oder HR-Entscheidungen — sollten Sie prĂŒfen, ob der konkrete Anwendungsfall einen Hochrisiko-Einsatz begrĂŒndet, der die Betreiberpflichten nach Artikel 26 auslöst.

Was ist die Strafe fĂŒr die Nichteinhaltung der Hochrisiko-Frist im August 2026?

Die Nichteinhaltung der Pflichten fĂŒr Hochrisiko-KI-Systeme nach den Artikeln 9–15 kann Geldbußen von bis zu 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist (Artikel 99 Absatz 3). Der Einsatz eines verbotenen KI-Systems nach Artikel 5 kann mit Bußgeldern von bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden. In allen EU-Mitgliedstaaten wurden nationale zustĂ€ndige Behörden benannt, die ihre DurchsetzungskapazitĂ€ten aufbauen. Das EuropĂ€ische KI-BĂŒro ĂŒberwacht direkt die Anbieter von KI-Modellen mit allgemeinem Verwendungszweck und kann Durchsetzungsmaßnahmen koordinieren.

Quellen

  • EUR-Lex, Verordnung (EU) 2024/1689 (EU-KI-Verordnung), Volltext einschließlich Anhang III und Artikel 26: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
  • EuropĂ€isches KI-BĂŒro, Umsetzungsleitfaden zur KI-Verordnung: https://digital-strategy.ec.europa.eu/en/policies/european-ai-office
  • ENISA, Methodik zur KI-RisikoabschĂ€tzung: https://www.enisa.europa.eu/topics/artificial-intelligence
  • EuropĂ€ischer Datenschutzausschuss (EDSA), Stellungnahme zur Interaktion von KI und DSGVO: https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-processing-personal-data-context-ai-models_en

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: Einstieg in die KI-Compliance: Ein Leitfaden fĂŒr Einsteiger

This article covers: Was Ihre Pflichten aus der KI-Verordnung auslöst, Schritt 1: KI-Inventar aufbauen (Wochen 1–2), Schritt 2: Risiko klassifizieren (Wochen 3–4).

  • Was Ihre Pflichten aus der KI-Verordnung auslöst
  • Schritt 1: KI-Inventar aufbauen (Wochen 1–2)
  • Schritt 2: Risiko klassifizieren (Wochen 3–4)
  • Schritt 3: Dokumentation beginnen (Wochen 5–8)
  • Schritt 4: Laufende KI-Kompetenz (fortlaufend)
Source: EuroComply Editorial (2024-12-15)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

Einstieg in die KI-Compliance: Ein Leitfaden fĂŒr Einsteiger