KI-Verordnung (AI Act): Was Unternehmen wissen müssen
KI-Verordnung: Was deutsche Unternehmen jetzt wissen und tun müssen
Die KI-Verordnung (AI Act, Verordnung EU 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Am 1. August 2024 in Kraft getreten, entfaltet sie ihre Wirkung schrittweise — und die nächste entscheidende Frist rückt unaufhaltsam näher: Am 2. August 2026 gelten die Hauptpflichten für alle Unternehmen, die KI-Systeme entwickeln, vertreiben oder einsetzen.
Laut einer Studie des Center for Data Innovation haben Ende 2025 weniger als 30 Prozent der europäischen KMU begonnen, sich auf die KI-Verordnung vorzubereiten. In Deutschland hat das Bundeskabinett am 11. Februar 2026 den Entwurf des KI-Maßnahmen-Implementierungsgesetzes (KI-MIG) beschlossen — das nationale Durchführungsgesetz, das Zuständigkeiten, Sanktionen und Innovationsförderung regelt.
Wer jetzt nicht handelt, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Was ist die KI-Verordnung?
Die KI-Verordnung ist ein EU-Regulierungsrahmen — kein unverbindlicher Leitfaden. Als Verordnung gilt sie unmittelbar in allen EU-Mitgliedstaaten, ohne nationale Umsetzung. Ihr Ziel: die Entwicklung und den Einsatz von KI in Europa nach einem risikobasierten Ansatz zu regulieren.
Abgrenzung zur DSGVO
Die DSGVO regelt den Umgang mit personenbezogenen Daten. Die KI-Verordnung regelt KI-Systeme selbst — ihre Konzeption, Markteinführung und Nutzung. Beide Regelwerke sind komplementär: Ein KI-System, das personenbezogene Daten verarbeitet, muss sowohl DSGVO-konform als auch AI-Act-konform sein.
Praxisbeispiel: Ein KI-gestütztes Recruiting-Tool, das Bewerbungen automatisch vorsortiert, muss:
- DSGVO-konform Einwilligungen einholen und Betroffene informieren
- Nach der KI-Verordnung als Hochrisiko-System eingestuft, dokumentiert und überwacht werden
- Transparenzpflichten erfüllen: Bewerber müssen wissen, dass eine KI an der Entscheidung beteiligt ist
Warum gerade jetzt?
Die Explosion generativer KI-Modelle (ChatGPT, Mistral, Claude, Gemini, Llama) hat die Dringlichkeit verschärft. Algorithmische Verzerrungen im Recruiting, Desinformation durch Deepfakes, intransparente automatisierte Entscheidungen, Massenüberwachung durch Gesichtserkennung — die Risiken sind real und wachsend. Europa hat sich entschieden, zu regulieren, bevor diese Risiken unkontrollierbar werden.
Der Zeitplan: Wann gilt was?
Die KI-Verordnung wird stufenweise wirksam. Einige Pflichten gelten bereits, andere treten erst 2027 in Kraft.
2. Februar 2025 — Verbotene Praktiken (bereits in Kraft)
Seit diesem Datum sind KI-Systeme mit unannehmbarem Risiko in der EU verboten:
- Subliminale Manipulation: KI-Systeme, die das Verhalten von Personen unbewusst beeinflussen, um ihnen zu schaden
- Ausnutzung von Schwächen: Systeme, die Alter, Behinderung oder soziale Lage gezielt ausnutzen
- Social Scoring: Soziale Bewertungssysteme durch Behörden
- Biometrische Kategorisierung: Einstufung von Personen nach sensiblen Merkmalen (Ethnie, Religion, sexuelle Orientierung)
- Ungezieltes Scraping: Massenerhebung von Gesichtsbildern aus dem Internet für Gesichtserkennung
Was das für Ihr Unternehmen bedeutet: Wenn Sie ein KI-Tool einsetzen, das Emotionen von Bewerbern in Video-Interviews analysiert oder Mitarbeiter nach einem Zuverlässigkeitsscore bewertet, sind Sie seit Februar 2025 potenziell in Verstoß. Die Bußgelder für verbotene Praktiken sind die höchsten: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
2. August 2025 — Pflichten für GPAI-Modelle (bereits in Kraft)
Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI — GPAI) wie Mistral, GPT, Claude oder Llama unterliegen Transparenz- und Dokumentationspflichten. Modelle mit systemischem Risiko haben verschärfte Auflagen.
Was das für Nutzer dieser Modelle bedeutet: Wenn Sie ein GPAI-Modell in Ihre Produkte oder Dienstleistungen integrieren, profitieren Sie zwar von der technischen Dokumentation des Modellanbieters. Aber Sie bleiben verantwortlich für die Konformität Ihrer konkreten Anwendung.
2. August 2026 — Hauptpflichten (unmittelbar bevorstehend)
Ab diesem Datum gelten die vollständigen Anforderungen für:
- Hochrisiko-KI-Systeme: Strenge Pflichten für Dokumentation, Risikomanagement, Datenqualität, Transparenz und menschliche Aufsicht
- KI-Systeme mit begrenztem Risiko: Transparenzpflichten (z. B. Hinweis, dass ein Chatbot eine KI ist)
- Alle Organisationen: Pflicht zur KI-Kompetenz nach Artikel 4
Artikel 4 — die unterschätzte Pflicht: Alle Organisationen müssen sicherstellen, dass Personen, die mit KI-Systemen arbeiten, über angemessene KI-Kenntnisse verfügen. Das betrifft nicht nur Entwickler, sondern auch Anwender, Führungskräfte und Entscheidungsträger. Diese Pflicht gilt bereits seit dem 2. Februar 2025 und wird von den meisten Unternehmen ignoriert.
2. August 2027 — Bestandsschutz endet
Hochrisiko-KI-Systeme, die vor August 2026 auf dem Markt waren, müssen spätestens jetzt vollständig konform sein. Es gibt keine dauerhafte Bestandsschutzregelung.
Die vier Risikoklassen der KI-Verordnung
Das Herzstück der KI-Verordnung ist die risikobasierte Klassifizierung. Jedes KI-System wird einer von vier Risikostufen zugeordnet — und die Pflichten steigen mit dem Risiko.
Unannehmbares Risiko — Verboten
KI-Systeme, die grundlegende Rechte und Werte der EU verletzen. Beispiele: Social Scoring, biometrische Echtzeit-Identifizierung in öffentlichen Räumen (mit engen Ausnahmen für Strafverfolgung), subliminale Manipulation.
Hohes Risiko — Streng reguliert
KI-Systeme in sicherheitskritischen oder grundrechtsrelevanten Bereichen. Die KI-Verordnung definiert zwei Kategorien:
Kategorie 1: KI-Systeme, die als Sicherheitskomponente eines Produkts eingesetzt werden, das unter EU-Harmonisierungsvorschriften fällt (Medizinprodukte, Maschinen, Spielzeug, Aufzüge, etc.)
Kategorie 2: KI-Systeme in explizit genannten Anwendungsbereichen:
- Biometrie: Fernidentifizierung, Emotionserkennung am Arbeitsplatz
- Kritische Infrastruktur: Steuerung von Energie, Wasser, Verkehr
- Bildung: Zugang zu Bildungseinrichtungen, Prüfungsbewertung
- Beschäftigung: Recruiting, Leistungsbewertung, Beförderungsentscheidungen
- Öffentliche Dienstleistungen: Sozialleistungen, Kreditwürdigkeit, Versicherungsprämien
- Strafverfolgung: Risikobewertung, Lügendetektoren, prädiktive Polizeiarbeit
- Migration: Risikobewertung an Grenzen, Asylverfahren
Pflichten für Hochrisiko-KI:
- Risikomanagementsystem einrichten und pflegen
- Daten- und Datenverwaltungsanforderungen einhalten
- Technische Dokumentation erstellen
- Protokollierung und Rückverfolgbarkeit sicherstellen
- Transparenz und Informationen für Nutzer bereitstellen
- Menschliche Aufsicht gewährleisten
- Genauigkeit, Robustheit und Cybersicherheit nachweisen
- Konformitätsbewertung durchführen (je nach Kategorie: Selbstbewertung oder durch benannte Stelle)
Begrenztes Risiko — Transparenzpflichten
KI-Systeme, die mit Personen interagieren, ohne dass dies offensichtlich ist. Hauptpflicht: Transparenz.
- Chatbots: Nutzer müssen darüber informiert werden, dass sie mit einer KI kommunizieren
- Deepfakes: Synthetisch erzeugte oder manipulierte Inhalte müssen als solche gekennzeichnet werden
- KI-generierte Texte: Inhalte, die zu Informationszwecken veröffentlicht werden, müssen als KI-generiert gekennzeichnet sein
Minimales Risiko — Keine spezifischen Pflichten
Die große Mehrheit der KI-Systeme: Spam-Filter, KI-gestützte Videospiele, Rechtschreibprüfung. Hier empfiehlt die EU freiwillige Verhaltenskodizes, aber es bestehen keine rechtlichen Pflichten aus der KI-Verordnung.
Das deutsche Durchführungsgesetz: KI-MIG
Am 11. Februar 2026 hat das Bundeskabinett den Entwurf des Gesetzes zur Durchführung der KI-Verordnung (KI-MIG) beschlossen. Es regelt die nationale Umsetzung und Durchsetzung.
Zuständige Behörden in Deutschland
Das KI-MIG legt fest, welche deutschen Behörden die Aufsicht übernehmen. Die Bundesnetzagentur wird voraussichtlich die zentrale Marktaufsichtsbehörde für KI-Systeme. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) spielt eine wichtige Rolle bei der technischen Bewertung, insbesondere durch das QUAIDAL-Framework — ein Instrument zur Qualitätsprüfung, das technische Leistungs- und Sicherheitsmessungen für KI-Systeme vereinfacht und teilweise automatisiert.
Innovationsförderung
Das KI-MIG sieht auch Maßnahmen zur Innovationsförderung vor: KI-Reallabore (Regulatory Sandboxes), die es Unternehmen ermöglichen, KI-Systeme unter behördlicher Aufsicht zu testen, bevor sie den vollen regulatorischen Anforderungen unterliegen.
Sanktionen
Die Bußgelder entsprechen den in der KI-Verordnung vorgesehenen Höchstgrenzen:
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken | 35 Mio. EUR oder 7 % des Jahresumsatzes |
| Pflichten für Hochrisiko-KI | 15 Mio. EUR oder 3 % des Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | 7,5 Mio. EUR oder 1,5 % des Jahresumsatzes |
Für KMU und Start-ups: Die KI-Verordnung sieht verhältnismäßige Bußgelder vor — es gilt jeweils der niedrigere Betrag.
Praktische Schritte: Was Unternehmen jetzt tun sollten
Schritt 1: KI-Bestandsaufnahme
Identifizieren Sie alle KI-Systeme in Ihrem Unternehmen — auch solche, die Sie nicht selbst entwickelt haben, sondern als Nutzer einsetzen. Viele Unternehmen setzen KI ein, ohne es zu wissen: automatische E-Mail-Sortierung, Chatbots auf der Website, KI-gestützte Übersetzungstools, prädiktive Funktionen im CRM.
Typische KI-Systeme in Unternehmen:
- KI-gestützte Analytics und Business Intelligence
- Chatbots und virtuelle Assistenten
- Automatisierte Bewerbervorsortierung
- Prädiktive Wartung
- KI-basierte Betrugserkennung
- Automatisierte Kreditentscheidungen
- KI-generierte Inhalte für Marketing
Schritt 2: Risikoklassifizierung
Bewerten Sie jedes identifizierte KI-System anhand der vier Risikostufen. Fragen Sie sich: Trifft das System Entscheidungen, die Personen wesentlich betreffen? Operiert es in einem der genannten Hochrisikobereiche? Interagiert es direkt mit Personen?
Schritt 3: KI-Kompetenz sicherstellen (Artikel 4)
Schulen Sie alle Personen, die mit KI-Systemen arbeiten. Das umfasst nicht nur technisches Wissen, sondern auch ein Verständnis der ethischen und rechtlichen Implikationen. Diese Pflicht gilt bereits — nicht erst ab August 2026.
Schritt 4: Dokumentation und Governance aufbauen
Für Hochrisiko-KI-Systeme müssen Sie ein Risikomanagementsystem, technische Dokumentation, Protokollierungsmechanismen und Prozesse für menschliche Aufsicht etablieren. Beginnen Sie jetzt — der Aufbau dieser Strukturen braucht Zeit.
Schritt 5: Zusammenspiel mit DSGVO prüfen
Jedes KI-System, das personenbezogene Daten verarbeitet, muss auch die DSGVO einhalten. Prüfen Sie: Haben Sie eine Rechtsgrundlage für die Datenverarbeitung durch die KI? Wurde eine Datenschutz-Folgenabschätzung durchgeführt? Werden Betroffene informiert?
KI-Verordnung und Web-Analytics
Web-Analytics ist ein Bereich, in dem die Schnittstelle zwischen DSGVO und KI-Verordnung besonders relevant wird. Moderne Analytics-Plattformen nutzen zunehmend KI für prädiktive Analysen, Nutzersegmentierung und Conversion-Optimierung.
Wenn Ihr Analytics-Tool KI einsetzt, müssen Sie prüfen:
- Welche Risikoklasse hat das KI-Element?
- Werden personenbezogene Daten durch die KI verarbeitet?
- Ist die KI-Verarbeitung transparent dokumentiert?
- Wo werden die Daten verarbeitet und gespeichert?
Mirage Analytics bietet eine transparente, europäisch gehostete Alternative: Alle Datenverarbeitungen erfolgen auf souveräner Infrastruktur in Europa, ohne Datentransfer in Drittländer. Die cookielose Architektur reduziert zugleich die DSGVO-Anforderungen an das Cookie-Consent-Management.
KI-Verordnung und Datensouveränität
Die KI-Verordnung verstärkt die Bedeutung europäischer Datensouveränität. KI-Systeme, die auf Daten trainiert werden, die in Drittländern verarbeitet werden, unterliegen zusätzlichen Risiken — insbesondere wenn US-amerikanische Anbieter dem CLOUD Act unterliegen.
Für Unternehmen, die KI-konform werden wollen, ist die Wahl souveräner Infrastruktur ein strategischer Vorteil: weniger regulatorische Komplexität, bessere Kontrolle über die Trainingsdaten und keine Abhängigkeit von fragilen internationalen Datentransfer-Abkommen.
DPLIANCE entwickelt als Anbieter souveräner Data- und KI-Lösungen Werkzeuge, die beide Anforderungen gleichzeitig erfüllen — DSGVO-Konformität und europäische Datensouveränität. Von Mirage Analytics für cookielose Web-Analyse bis Complio für automatisierte Compliance-Audits: alle Daten bleiben in Europa.
Häufig gestellte Fragen
Gilt die KI-Verordnung auch für KMU?
Ja. Die KI-Verordnung gilt für alle Unternehmen, die KI-Systeme entwickeln, vertreiben oder nutzen — unabhängig von der Unternehmensgröße. Es gibt jedoch Erleichterungen: KMU können KI-Reallabore nutzen, die Bußgelder werden verhältnismäßig bemessen, und die EU-Kommission stellt vereinfachte Leitlinien bereit.
Muss ich jeden KI-Einsatz in meinem Unternehmen registrieren?
Es gibt kein allgemeines KI-Register für alle Systeme. Aber Hochrisiko-KI-Systeme, die von Behörden oder im öffentlichen Interesse eingesetzt werden, müssen in eine EU-Datenbank eingetragen werden. Für alle KI-Systeme empfiehlt sich eine interne Inventarisierung als Grundlage für die Compliance.
Was passiert, wenn ich ein KI-Tool eines Drittanbieters nutze?
Als “Betreiber” (Deployer) eines KI-Systems tragen Sie Pflichten — auch wenn Sie das System nicht selbst entwickelt haben. Bei Hochrisiko-KI müssen Sie sicherstellen, dass das System bestimmungsgemäß eingesetzt wird, die menschliche Aufsicht gewährleistet ist und die Eingabedaten relevant sind.
Wie hängen KI-Verordnung und DSGVO zusammen?
Beide Regelwerke sind komplementär. Die DSGVO regelt den Umgang mit personenbezogenen Daten, die KI-Verordnung regelt die KI-Systeme selbst. Ein KI-System, das personenbezogene Daten verarbeitet, muss beide einhalten. Die Datenschutz-Folgenabschätzung nach DSGVO und die Risikobewertung nach KI-Verordnung können jedoch teilweise parallel durchgeführt werden.
Ab wann drohen tatsächlich Bußgelder?
Für verbotene KI-Praktiken drohen Bußgelder bereits seit dem 2. Februar 2025. Für die meisten anderen Pflichten ab dem 2. August 2026. Die deutschen Aufsichtsbehörden werden voraussichtlich zunächst auf Beratung setzen — aber die Erfahrung mit der DSGVO zeigt, dass die Schonfrist kurz sein kann.