EuroComply
Konto erstellen
Back to blog
EU KI-Verordnung 8 min read

EU KI-Verordnung Zeitplan: Was KMU 2025–2027 wissen müssen

What you need to know: EU KI-Verordnung Zeitplan: Was KMU 2025–2027 wissen müssen

Die EU KI-Verordnung wird in Phasen durchgesetzt. Hier erfahren Sie genau, was bereits in Kraft ist, was als Nächstes kommt und welche Fristen Ihr Unternehmen nicht versäumen darf.

Source: EuroComply Editorial (2025-03-15)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Die EU KI-Verordnung (Verordnung 2024/1689) trat am 1. August 2024 in Kraft, die Durchsetzung erfolgt jedoch phasenweise über drei Jahre. Für KMU, die KI einsetzen, ist das Verständnis dieser Daten entscheidend — einige Pflichten sind bereits rechtsverbindlich, und das Versäumen der Frist im August 2026 kann Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes nach sich ziehen.

Dieser Leitfaden behandelt jeden wichtigen Stichtag, was jede Phase tatsächlich erfordert und was KMU jetzt konkret tun sollten.

Was bereits in Kraft ist

2. Februar 2025 — KI-Kompetenz (Artikel 4)

Der erste Durchsetzungsmeilenstein ist am 2. Februar 2025 verstrichen. Jede Organisation, die KI-Systeme bereitstellt oder einsetzt, muss sicherstellen, dass ihre Mitarbeitenden über „ausreichende KI-Kompetenz" verfügen. Das ist keine Empfehlung — es handelt sich um eine rechtsverbindliche Pflicht nach Artikel 4.

In der Praxis bedeutet KI-Kompetenz, dass Ihre Mitarbeitenden Folgendes verstehen sollten:

  • Welche KI-Systeme Ihre Organisation nutzt und in welchen Prozessen
  • Wie diese Systeme auf hohem Niveau funktionieren — ihre Eingaben, Ausgaben und Logik
  • Ihre bekannten Einschränkungen, Fehlerquellen und das Potenzial für Verzerrungen
  • Die für Ihren Einsatzkontext spezifischen Risiken
  • Wie Bedenken oder Anomalien eskaliert werden können

Sie müssen nicht jeden Mitarbeitenden in der Architektur neuronaler Netze schulen. Aber Führungskräfte, die sich bei Entscheidungen, die Menschen betreffen — Einstellungsempfehlungen, Kreditbewertungen, Leistungsbeurteilungen — auf KI-generierte Ausgaben verlassen, benötigen ein substanzielles Verständnis, keine bloße Kästchen-Abhak-Übung.

Das Europäische KI-Büro hat noch keine detaillierten Leitlinien dazu herausgegeben, was „ausreichend" bedeutet, aber der praktische Maßstab lautet: Könnte dieser Mitarbeitende einen KI-Fehler erkennen und wüsste, was zu tun ist?

2. Februar 2025 — Verbotene KI-Praktiken (Artikel 5)

Acht Kategorien von KI sind nunmehr in der gesamten EU verboten:

  1. Unterschwellige Manipulation — KI, die Techniken unterhalb der bewussten Wahrnehmung einsetzt, um das Verhalten auf schädliche Weise zu beeinflussen
  2. Ausnutzung von Schwachstellen — KI, die Personen auf Grundlage von Alter, Behinderung oder sozialer bzw. wirtschaftlicher Lage anspricht, um ihr Verhalten zu verzerren
  3. Social Scoring durch öffentliche Stellen — Bewertung natürlicher Personen anhand ihres Sozialverhaltens oder persönlicher Merkmale zur allgemeinen sozialen Einstufung
  4. Biometrische Echtzeit-Fernidentifikation im öffentlichen Raum durch Strafverfolgungsbehörden (mit engen, zeitlich begrenzten Ausnahmen für bestimmte Straftaten)
  5. Biometrische Kategorisierung, die sensible Attribute (Rasse, politische Meinungen, Religionszugehörigkeit, sexuelle Orientierung) aus biometrischen Daten ableitet
  6. Emotionserkennung an Arbeitsplätzen und in Bildungseinrichtungen
  7. Ungezielte Gesichtsbildersuche im Internet oder per Überwachungskamera zum Aufbau biometrischer Datenbanken
  8. Prädiktive Strafverfolgung, die Einzelpersonen auf Grundlage von Profilerstellung oder Persönlichkeitsmerkmalen ins Visier nimmt

Für die meisten KMU ist die wichtigste zu prüfende Verbotskategorie die Emotionserkennung am Arbeitsplatz (Regel 6). Wenn Sie HR-Analysetools, Meeting-Software oder Produktivitätswerkzeuge einsetzen, die behaupten, Stimmung oder emotionalen Zustand von Mitarbeitenden aus Video, Audio oder Verhalten ableiten zu können, ist dieser Anwendungsfall nunmehr verboten.

Was ab August 2025 gilt

2. August 2025 — Pflichten für Allzweck-KI-Modelle (Kapitel V)

Ab August 2025 müssen Anbieter von Allzweck-KI-Modellen (GPAI-Modellen) Transparenz- und Dokumentationsanforderungen erfüllen. Dies gilt für Unternehmen, die Basismodelle entwickeln und veröffentlichen — nicht für Unternehmen, die sie über eine API nutzen.

Wenn Sie GPT-4, Claude, Gemini oder Mistral über eine API nutzen, sind Sie ein Betreiber, kein GPAI-Anbieter. Diese Pflichten treffen OpenAI, Anthropic, Google bzw. Mistral. Wenn Sie jedoch ein Basismodell feinabstimmen und es extern freigeben, können Sie zum GPAI-Anbieter werden und diesen Vorschriften unterliegen.

GPAI-Anbieter müssen technische Dokumentation erstellen, Urheberrechtsrichtlinien einhalten und Zusammenfassungen der Trainingsdaten veröffentlichen. Modelle, die als „systemisches Risiko" eingestuft werden (solche, die mit mehr als 10^25 FLOP trainiert wurden), unterliegen zusätzlichen Anforderungen: adversarielle Tests, Cybersicherheitsmaßnahmen und Incident-Meldung an das Europäische KI-Büro.

Der entscheidende Stichtag: 2. August 2026

Hochrisiko-KI-Systeme (Anhang III)

Dies ist der für die Mehrheit der KI-einsetzenden Organisationen wichtigste Stichtag. Ab dem 2. August 2026 müssen alle KI-Systeme, die unter Anhang III fallen und eingesetzt werden, um Entscheidungen zu treffen oder wesentlich zu beeinflussen, die Personen betreffen, den vollständigen Satz von Hochrisiko-Pflichten erfüllen.

Kategorien nach Anhang III:

  1. Biometrische Identifikation und Kategorisierung
  2. Kritische Infrastrukturen (Energie, Wasser, Verkehr, digitale Netze)
  3. Bildung und Berufsausbildung (Zugang, Bewertung, Beurteilung)
  4. Beschäftigung (Einstellung, Auswahl, Beförderung, Kündigung, Überwachung)
  5. Zugang zu wesentlichen Diensten (Kredit, Versicherung, Sozialleistungen, Notfalldienste)
  6. Strafverfolgung
  7. Migration und Asyl
  8. Justizverwaltung und demokratische Prozesse

Die meisten KMU werden KI nicht direkt in der Strafverfolgung oder im Migrationsbereich einsetzen. Beschäftigung und der Zugang zu Diensten sind jedoch für eine breite Palette von Unternehmen relevant:

  • KI-gestützte Lebenslaufprüfung oder Bewerberranking-Tools
  • Leistungsüberwachungssoftware, die Beschäftigungsentscheidungen beeinflusst
  • Kreditrisiko- oder Versicherungszeichnungstools
  • Chatbots, die den Zugang zu öffentlichen Diensten oder Leistungen steuern

Was die vollständige Compliance bei Hochrisiko-KI erfordert:

  • Risikomanagementsystem (Artikel 9): dokumentierter, fortlaufender Prozess zur Identifikation und Minderung von Risiken über den gesamten Lebenszyklus
  • Daten und Daten-Governance (Artikel 10): Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ und fehlerfrei sein
  • Technische Dokumentation (Artikel 11): detaillierte Dokumentation von Zweck, Design, Leistung und bekannten Einschränkungen des Systems
  • Aufzeichnung / Protokollierung (Artikel 12): automatische Protokollierung des Betriebs, insbesondere für Strafverfolgung und kritische Infrastrukturen
  • Transparenz gegenüber Betreibern (Artikel 13): Anbieter müssen Gebrauchsanweisungen einschließlich vorgesehenem Zweck und Einschränkungen bereitstellen
  • Menschliche Aufsicht (Artikel 14): wirksame Aufsichtsmaßnahmen, einschließlich der Möglichkeit für Menschen einzugreifen, das System zu übersteuern oder abzuschalten
  • Genauigkeit, Robustheit und Cybersicherheit (Artikel 15): definierte Leistungsmetriken und Cybersicherheitsmaßnahmen über den gesamten Lebenszyklus
  • Konformitätsbewertung (Artikel 43): Drittprüfung für bestimmte Hochrisikokategorien oder Selbstbewertung mit Anmeldung bei einer Benannten Stelle

Die Konformitätsbewertung allein kann drei bis sechs Monate in Anspruch nehmen. Organisationen, die erst Anfang 2026 beginnen, werden Schwierigkeiten haben, sie rechtzeitig abzuschließen.

2. August 2027 — Vollständige Durchsetzung

Die letzte Phase umfasst KI-Systeme, die in Produkte eingebettet sind, die bereits unter harmonisiertes EU-Recht fallen: Medizinprodukte, In-vitro-Diagnostika, Zivilluftfahrt, Schiffsausrüstung, Eisenbahn, Kraftfahrzeuge, landwirtschaftliche Maschinen und Spielzeug. Diese Produkte müssen bis August 2027 konform sein.

Dies betrifft Hersteller physischer Produkte, die KI integrieren — z. B. ein Überwachungsgerät mit ML-basierter Diagnostik, ein Fahrzeugsicherheitssystem oder ein intelligentes Spielzeug. Die Pflichten der KI-Verordnung überlagern dabei die bestehenden Produktsicherheitsvorschriften.

Was KMU jetzt tun sollten

Schritt 1: KI-Kompetenz (bereits erforderlich). Führen Sie eine dokumentierte Schulungssitzung zu Ihren KI-Tools, deren Einschränkungen und Eskalationsverfahren durch. Bewahren Sie Nachweise auf — nationale zuständige Behörden werden diese einfordern.

Schritt 2: KI-Inventar erstellen. Erfassen Sie jedes KI-System, das Ihre Organisation nutzt, einschließlich Drittanbieter-Tools mit eingebetteter KI. Dokumentieren Sie Zweck, Anbieter, Dateneingaben und wer sich auf die Ausgaben verlässt.

Schritt 3: Jedes System nach Risikostufe klassifizieren. Prüfen Sie die Kategorien des Anhangs III für jedes System in Ihrem Inventar. Die Entscheidungslogik lautet: Agiert diese KI in einem aufgeführten Sektor? Trifft sie Entscheidungen über Personen oder beeinflusst diese wesentlich? Wenn beides zutrifft, handelt es sich um Hochrisiko-KI.

Schritt 4: Anhang I für produktintegrierte KI prüfen. Wenn Sie Produkte herstellen, überprüfen Sie, ob KI-Komponenten unter harmonisiertes Recht fallen, das von der Frist 2027 betroffen ist.

Schritt 5: Für jedes Hochrisikosystem eine Lückenanalyse starten. Vergleichen Sie Ihre aktuelle Dokumentation und Prozesse mit den neun Anforderungen aus Artikeln 9–15. Erstellen Sie einen Sanierungsplan. Wenn eine Drittprüfung durch eine Konformitätsbewertungsstelle erforderlich ist, identifizieren Sie eine Benannte Stelle und beginnen Sie jetzt mit der Kontaktaufnahme — die Kapazitäten werden knapp.

Häufig gestellte Fragen

Wir verwenden KI-Tools von Anbietern — sind wir „Betreiber" oder „Anbieter"? Wenn Sie KI von Dritten über eine API oder SaaS nutzen und in Ihre Geschäftsprozesse einbinden, sind Sie Betreiber. Anbieter (die Unternehmen, die das KI-System entwickelt und bereitgestellt haben) tragen die primären Pflichten. Betreiber haben jedoch eigene Pflichten nach Artikel 26, darunter die Sicherstellung, dass das System innerhalb seines vorgesehenen Zwecks genutzt wird und dass bei Hochrisikosystemen menschliche Aufsicht besteht.

Was gilt, wenn unser KI-System nicht unter Anhang III fällt? Systeme außerhalb des Anhangs III sind kein Hochrisiko. Sie können dennoch begrenzte Transparenzpflichten haben (Artikel 50 — für Chatbots und Deep Fakes), erfordern jedoch keine Konformitätsbewertungen oder das vollständige Dokumentationsregime. Sie müssen weiterhin die KI-Kompetenzpflicht erfüllen (Artikel 4) und verbotene Praktiken vermeiden (Artikel 5).

Ist die Frist August 2026 verbindlich? Ja. Die gestaffelten Anwendungsdaten sind in Artikel 113 der Verordnung verankert. Es gibt keine Hinweise auf eine Verlängerung, und das Europäische KI-Büro baut aktiv Durchsetzungskapazitäten auf. Nationale zuständige Behörden wurden in allen EU-Mitgliedstaaten benannt.

Welche Bußgelder drohen bei Versäumung der Hochrisikofrist? Verstöße gegen Hochrisiko-Pflichten (Artikel 9–15) können Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Verbotene Praktiken (Artikel 5) können bis zu 35 Millionen Euro oder 7 % nach sich ziehen. Die Übermittlung falscher Informationen an Behörden kann bis zu 7,5 Millionen Euro oder 1,5 % nach sich ziehen.

Quellen

  • EUR-Lex, Verordnung (EU) 2024/1689 (EU KI-Verordnung), Artikel 113 (Anwendungsdaten): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
  • Europäisches KI-Büro, Umsetzungszeitplan und Leitlinien zur KI-Verordnung: https://digital-strategy.ec.europa.eu/en/policies/european-ai-office
  • ENISA, KI-Compliance-Fahrplan und Leitlinien für Betreiber: https://www.enisa.europa.eu/topics/artificial-intelligence

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: EU KI-Verordnung Zeitplan: Was KMU 2025–2027 wissen müssen

This article covers: Was bereits in Kraft ist, Was ab August 2025 gilt, Der entscheidende Stichtag: 2. August 2026.

  • Was bereits in Kraft ist
  • Was ab August 2025 gilt
  • Der entscheidende Stichtag: 2. August 2026
  • 2. August 2027 — Vollständige Durchsetzung
  • Was KMU jetzt tun sollten
Source: EuroComply Editorial (2025-03-15)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.