Einstieg in die KI-Compliance: Ein Leitfaden fĂŒr Einsteiger
What you need to know: Einstieg in die KI-Compliance: Ein Leitfaden fĂŒr Einsteiger
Neu bei der EU KI-Verordnung? Dieser praxisnahe Einsteigerleitfaden fĂŒhrt Sie durch die ersten 90 Tage: von der Bestandsaufnahme ĂŒber die Risikoklassifizierung bis zur Dokumentation.
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ist bereits in Kraft, und die wichtigsten Compliance-Fristen rĂŒcken rasch nĂ€her. Wer neu im Bereich der KI-Compliance ist, wird von der Verordnung leicht ĂŒberfordert â sie ist umfangreich, technisch komplex und verweist auf Dutzende anderer EU-Rechtsakte.
Dieser Leitfaden bricht diese KomplexitÀt mit einem praktischen 90-Tage-Fahrplan auf. Er erlÀutert, was Ihre Pflichten auslöst, wie Sie ein KI-Inventar aufbauen, wie Sie Ihre Systeme nach Risiko klassifizieren und was diese Klassifizierung konkret bedeutet.
Was Ihre Pflichten aus der KI-Verordnung auslöst
Ihre Pflichten aus der KI-Verordnung hĂ€ngen von Ihrer Rolle ab. Die Verordnung unterscheidet zwischen Anbietern â Organisationen, die KI-Systeme entwickeln und in Verkehr bringen â und Betreibern â Organisationen, die KI-Systeme in ihrem eigenen Betrieb einsetzen.
Wenn Sie KI-Systeme entwickeln und verkaufen oder fĂŒr den internen Einsatz aufbauen, sind Sie Anbieter. Wenn Sie KI-Werkzeuge nutzen, die Sie von einem Lieferanten bezogen, ĂŒber eine API integriert oder in gekauften SaaS-Produkten eingebettet haben, sind Sie in der Regel Betreiber. Die Unterscheidung ist wesentlich: Anbieter tragen die primĂ€ren Dokumentations- und KonformitĂ€tsbewertungspflichten, wĂ€hrend Betreiber einen anderen Pflichtenkatalog haben, der sich auf die zweckbestimmte Nutzung, menschliche Aufsicht und Grundrechte-FolgenabschĂ€tzungen bei bestimmten Hochrisiko-EinsĂ€tzen konzentriert.
Die meisten kleinen und mittleren Unternehmen sowie GroĂunternehmen, die keine KI-Produktunternehmen sind, werden Betreiber sein. Dieser Leitfaden konzentriert sich vorrangig auf den Betreiberpfad und weist dort auf Unterschiede bei Anbieterpflichten hin.
Zwei Pflichten gelten bereits fĂŒr alle: die KI-Kompetenzpflicht nach Artikel 4 (seit Februar 2025 in Kraft) und das Verbot bestimmter KI-Praktiken nach Artikel 5 (ebenfalls seit Februar 2025 in Kraft). Diese können nicht aufgeschoben werden, wĂ€hrend Sie die ĂŒbrigen Anforderungen klĂ€ren.
Schritt 1: KI-Inventar aufbauen (Wochen 1â2)
Was Sie nicht erfasst haben, können Sie nicht klassifizieren. Beginnen Sie damit, ein vollstĂ€ndiges Inventar aller KI-Systeme zu erstellen, die Ihre Organisation einsetzt â sowohl selbst entwickelte Systeme als auch Drittanbieter-Werkzeuge mit KI-Funktionen.
Dokumentieren Sie fĂŒr jedes System:
- Name und Anbieter â wie das System heiĂt und wer es bereitstellt
- Zweck â wofĂŒr das System genutzt wird und welcher GeschĂ€ftsbereich es einsetzt
- Dateneingaben â welche personenbezogenen Daten das System ggf. verarbeitet
- Entscheidungseinfluss â beeinflusst die Systemausgabe Entscheidungen ĂŒber natĂŒrliche Personen?
- Nutzerinnen und Nutzer â welche Mitarbeitenden oder GeschĂ€ftsbereiche auf die Ausgabe angewiesen sind
- Einsatzkontext â ist dies kundenseitig, intern oder beides?
Typische zu prĂŒfende Kategorien: HR- und Recruiting-Werkzeuge (Bewerberverwaltung, LebenslaufprĂŒfung, Leistungsbeurteilung), kundenseitige Werkzeuge (Chatbots, Empfehlungssysteme, Content-Personalisierung), Finanzwerkzeuge (Kreditentscheidung, Betrugserkennung, Preismodelle), Sicherheitswerkzeuge (NetzwerkĂŒberwachung, Zugangskontrolle) sowie interne ProduktivitĂ€tswerkzeuge mit KI-Funktionen.
Dieses Inventar dient als dauerhaftes KI-Register â ein lebendes Dokument, das aktualisiert werden muss, sobald ein neues KI-Werkzeug eingefĂŒhrt oder ein bestehendes wesentlich verĂ€ndert wird.
Schritt 2: Risiko klassifizieren (Wochen 3â4)
Wenden Sie mit dem Inventar in der Hand das vierstufige Risikomodell der KI-Verordnung auf jedes System an.
Erstens: PrĂŒfen Sie Artikel 5 â die Liste der verbotenen Praktiken. Acht Kategorien von KI sind in der EU vollstĂ€ndig untersagt: unterschwellige Manipulation, Ausnutzung von Schwachstellen, soziales Scoring durch Behörden, biometrische Echtzeit-Identifizierung in öffentlichen RĂ€umen durch Strafverfolgungsbehörden, biometrische Kategorisierung zur Ableitung sensibler Merkmale, Emotionserkennung an ArbeitsplĂ€tzen und Bildungseinrichtungen, ungezielte Gesichtsdaten-Extraktion sowie prĂ€diktive Polizeiarbeit. Ăhnelt ein System in Ihrem Inventar einer dieser Kategorien, holen Sie sofort rechtliche Beratung ein.
Zweitens: PrĂŒfen Sie Anhang III â die Hochrisiko-Liste. Acht Sektoren sind erfasst: Biometrie, kritische Infrastruktur, Bildung, BeschĂ€ftigung, wesentliche Privatdienstleistungen (Kredit, Versicherung, Sozialleistungen), Strafverfolgung, Migration und Rechtspflege. Fragen Sie fĂŒr jedes System in Ihrem Inventar: Ist es in einem dieser Sektoren tĂ€tig UND trifft oder beeinflusst es wesentlich Entscheidungen ĂŒber natĂŒrliche Personen? Falls ja, handelt es sich um ein Hochrisiko-System, das bis zum 2. August 2026 dem vollstĂ€ndigen Compliance-Regime unterliegt.
Drittens: PrĂŒfen Sie Artikel 50 â die Transparenzpflichten. Auch nicht-hochriskante Systeme unterliegen Offenlegungspflichten, wenn sie Chatbots sind (Nutzerinnen und Nutzer mĂŒssen darĂŒber informiert werden, dass sie mit KI interagieren), synthetische Inhalte erzeugen (diese mĂŒssen gekennzeichnet sein) oder Emotionserkennung einsetzen.
Alle ĂŒbrigen Systeme gelten als minimales Risiko â keine spezifischen Pflichten auĂer der KI-Kompetenzpflicht nach Artikel 4.
Schritt 3: Dokumentation beginnen (Wochen 5â8)
Starten Sie fĂŒr jedes Hochrisiko-KI-System in Ihrem Inventar den Compliance-Dokumentationsprozess. Die wesentlichen Dokumentationsanforderungen nach den Artikeln 9â15 sind:
- Risikomanagementsystem (Artikel 9): ein dokumentierter, fortlaufender Prozess zur Identifikation, Bewertung und Minderung von Risiken
- Datenverwaltung (Artikel 10): Dokumentation der QualitĂ€t, ReprĂ€sentativitĂ€t und Bias-Bewertung von Trainingsdaten (primĂ€r fĂŒr Anbieter)
- Technische Dokumentation (Artikel 11): umfassende Anhang-IV-Dokumentation zu Design, Leistung und Grenzen des Systems
- Protokollierung (Artikel 12): automatische Ereignisprotokollierung zur Ermöglichung der MarktĂŒberwachung
- Transparenz gegenĂŒber Betreibern (Artikel 13): Gebrauchsanweisungen mit Angaben zu Zweckbestimmung und EinschrĂ€nkungen
- Menschliche Aufsicht (Artikel 14): dokumentierte Aufsichtsmechanismen und die Möglichkeit menschlicher Eingriffe
FĂŒr Betreiber, die Hochrisiko-KI-Systeme von Dritten nutzen, sollte der Anbieter die technische Dokumentation und die Gebrauchsanweisungen bereitstellen. Ihre Pflicht besteht darin, sicherzustellen, dass diese Dokumente vorhanden und angemessen sind und dass Sie das System innerhalb seiner Zweckbestimmung betreiben.
Schritt 4: Laufende KI-Kompetenz (fortlaufend)
Artikel 4 verpflichtet alle Anbieter und Betreiber sicherzustellen, dass ihre Mitarbeitenden ĂŒber ausreichende KI-Kompetenz verfĂŒgen. Dabei handelt es sich nicht um eine einmalige SchulungsmaĂnahme â es ist eine fortlaufende Pflicht. Entwickeln Sie ein Programm, das folgende Inhalte abdeckt: welche KI-Systeme Ihre Organisation einsetzt, wie jedes System auf dem fĂŒr die jeweilige Rolle angemessenen Niveau funktioniert, bekannte EinschrĂ€nkungen und Fehlerarten, wie Bedenken eskaliert werden, sowie Aktualisierungen bei der EinfĂŒhrung neuer Systeme.
FĂŒhren Sie Nachweise. Nationale zustĂ€ndige Behörden werden Belege fĂŒr die Einhaltung der KI-Kompetenzpflicht verlangen, und ein dokumentiertes Schulungsprogramm mit Anwesenheitsnachweisen ist der Mindeststandard.
Welche kostenlosen Ressourcen verfĂŒgbar sind
Die EuropĂ€ische Kommission und ENISA haben beide LeitfĂ€den zur UnterstĂŒtzung der Compliance veröffentlicht. Das EuropĂ€ische KI-BĂŒro (innerhalb der Kommission) betreibt das Umsetzungsportal zur KI-Verordnung auf der Website fĂŒr digitale Strategie der EuropĂ€ischen Kommission. ENISA hat eine Methodik zur KI-RisikoabschĂ€tzung veröffentlicht. Der EuropĂ€ische Datenschutzausschuss (EDSA) hat Orientierungshilfen zur Schnittstelle zwischen DSGVO und KI herausgegeben. Nationale zustĂ€ndige Behörden in gröĂeren Mitgliedstaaten haben ebenfalls sektorspezifische KI-LeitfĂ€den veröffentlicht â z. B. das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) in Deutschland, das neben seiner Rolle als nationale Behörde fĂŒr Cybersicherheit auch Orientierung zur KI-Sicherheit bereitstellt.
Hinweis: Das Bundesdatenschutzgesetz (BDSG) enthĂ€lt in § 38 eine nationale Regelung zur Datenschutzbeauftragten-Pflicht, die ĂŒber die Vorgaben der DSGVO hinausgeht. Diese Regelung gilt ausschlieĂlich in Deutschland und ist kein universelles EU-Recht.
HĂ€ufige Einstiegsfehler
Die hĂ€ufigsten Fehler in der Anfangsphase sind: das Inventar nicht fertigstellen, bevor mit der Klassifizierung begonnen wird (fĂŒhrt zu ĂŒbersehenen Systemen); âunser Anbieter ist compliant" als ausreichend zu behandeln, ohne zu prĂŒfen, ob die Dokumentation tatsĂ€chlich vorliegt; die KI-Kompetenzpflicht nach Artikel 4 aufzuschieben, weil sie weniger dringend als die Frist 2026 erscheint; und die Risikoklassifizierung als einmalige Ăbung zu behandeln, anstatt sie als Prozess zu verstehen, der bei System- oder NutzungsĂ€nderungen wiederholt werden muss. Eine in Woche 4 korrekt durchgefĂŒhrte Klassifizierung muss erneut bewertet werden, sobald ein neues KI-Werkzeug eingefĂŒhrt oder ein bestehendes in einem neuen Kontext eingesetzt wird.
Zuletzt aktualisiert: Mai 2026.
HĂ€ufig gestellte Fragen
Wir nutzen in gekaufter Software eingebettete KI-Funktionen â haben wir Pflichten?
Ja. Betreiber von Hochrisiko-KI-Systemen haben Pflichten nach Artikel 26, auch wenn sie ein Drittanbietersystem nutzen. Dazu gehören: das System nur innerhalb seiner vom Anbieter festgelegten Zweckbestimmung zu nutzen; eine angemessene menschliche Aufsicht sicherzustellen; das System vor dem Einsatz in den in Artikel 49 genannten Kategorien in der EU-Datenbank zu registrieren; und vor dem Einsatz bestimmter Anhang-III-Systeme Grundrechte-FolgenabschĂ€tzungen durchzufĂŒhren. Die KI-Kompetenzpflicht nach Artikel 4 gilt unabhĂ€ngig davon, ob die KI intern entwickelt oder von einem Anbieter bezogen wurde.
Wie gehen wir mit KI-Funktionen um, die in Produkte wie Microsoft 365 oder Google Workspace eingebettet sind?
Dies sind universelle ProduktivitĂ€tswerkzeuge, in die KI-Funktionen von einem Anbieter eingebettet wurden, der seinen eigenen Pflichten aus der KI-Verordnung unterliegt. Bei den meisten ProduktivitĂ€ts-KI-Funktionen (SchreibvorschlĂ€ge, E-Mail-Zusammenfassung, Besprechungsprotokollierung) ist das Risikoniveau minimal oder begrenzt, und Ihre Pflichten beschrĂ€nken sich im Wesentlichen auf die Kompetenzpflicht nach Artikel 4 sowie die ĂberprĂŒfung, dass die Werkzeuge nicht auf eine Weise eingesetzt werden, die verbotene Praktiken darstellt. Werden diese Werkzeuge zur Erzeugung von Ausgaben genutzt, die Entscheidungen ĂŒber natĂŒrliche Personen beeinflussen â z. B. Leistungsbeurteilungen oder HR-Entscheidungen â sollten Sie prĂŒfen, ob der konkrete Anwendungsfall einen Hochrisiko-Einsatz begrĂŒndet, der die Betreiberpflichten nach Artikel 26 auslöst.
Was ist die Strafe fĂŒr die Nichteinhaltung der Hochrisiko-Frist im August 2026?
Die Nichteinhaltung der Pflichten fĂŒr Hochrisiko-KI-Systeme nach den Artikeln 9â15 kann GeldbuĂen von bis zu 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist (Artikel 99 Absatz 3). Der Einsatz eines verbotenen KI-Systems nach Artikel 5 kann mit BuĂgeldern von bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden. In allen EU-Mitgliedstaaten wurden nationale zustĂ€ndige Behörden benannt, die ihre DurchsetzungskapazitĂ€ten aufbauen. Das EuropĂ€ische KI-BĂŒro ĂŒberwacht direkt die Anbieter von KI-Modellen mit allgemeinem Verwendungszweck und kann DurchsetzungsmaĂnahmen koordinieren.
Quellen
- EUR-Lex, Verordnung (EU) 2024/1689 (EU-KI-Verordnung), Volltext einschlieĂlich Anhang III und Artikel 26: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
- EuropĂ€isches KI-BĂŒro, Umsetzungsleitfaden zur KI-Verordnung: https://digital-strategy.ec.europa.eu/en/policies/european-ai-office
- ENISA, Methodik zur KI-RisikoabschÀtzung: https://www.enisa.europa.eu/topics/artificial-intelligence
- EuropÀischer Datenschutzausschuss (EDSA), Stellungnahme zur Interaktion von KI und DSGVO: https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-processing-personal-data-context-ai-models_en
Dieser Beitrag dient ausschlieĂlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.
Key takeaways: Einstieg in die KI-Compliance: Ein Leitfaden fĂŒr Einsteiger
This article covers: Was Ihre Pflichten aus der KI-Verordnung auslöst, Schritt 1: KI-Inventar aufbauen (Wochen 1â2), Schritt 2: Risiko klassifizieren (Wochen 3â4).
- Was Ihre Pflichten aus der KI-Verordnung auslöst
- Schritt 1: KI-Inventar aufbauen (Wochen 1â2)
- Schritt 2: Risiko klassifizieren (Wochen 3â4)
- Schritt 3: Dokumentation beginnen (Wochen 5â8)
- Schritt 4: Laufende KI-Kompetenz (fortlaufend)
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing â 2 minutes, every Thursday.