KI-Verordnung für Unternehmen einfach erklärt



Dr. Sener Dincer

Rechtsanwalt

Zuletzt aktualisiert

23. April 2026 • 20 Min Lesezeit

Das Wichtigste in Kürze

Wer muss die KI-Verordnung beachten?: Wer in der Europäischen Union KI-Systeme entwickelt oder einsetzt, unterliegt der KI-Verordnung und muss die Pflicht zur KI-Kompetenz nach Art. 4 seit dem 2. Februar 2025 erfüllen.
Wie hoch sind Bußgelder bei KI-Verstößen?: Verstöße gegen die Verbote des Art. 5 der KI-Verordnung können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden.
Welche Schritte führen zur KI-Compliance?: KI-Inventar, Rollenklärung als Anbieter oder Betreiber und Risikoklassifizierung bilden das Fundament einer belastbaren Compliance mit der KI-Verordnung.

Individuelle Prüfung

Jeder Fall ist speziell. Lassen Sie uns Ihren Sachverhalt unverbindlich prüfen.

Soforthilfe anfragen Artikel weiterlesen

Die europäische Verordnung über künstliche Intelligenz ist seit August 2024 in Kraft und wird bis 2027 schrittweise scharfgeschaltet.

Für deutsche Unternehmen bedeutet das: Wer künstliche Intelligenz einsetzt, entwickelt oder verkauft, hat klare Pflichten.

Bei Verstößen gegen Artikel 5 drohen nach Art. 99 Abs. 3 KI-VO Bußgelder bis 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.

Die Praxis zeigt: Viele Geschäftsführer unterschätzen, dass die Verordnung bereits heute greift und nicht erst 2026. Unsere IT-Recht-Beratung verbindet diese Pflichten mit Vertragsgestaltung, Datenschutz und digitaler Compliance.

Dieser Ratgeber beantwortet drei Fragen:

Was regelt die KI-Verordnung und welche Rolle nimmt Ihr Unternehmen ein: Anbieter, Betreiber oder beides?
Welche Fristen gelten schon heute, welche folgen 2026 und 2027, und was davon ist unmittelbar umzusetzen?
Welche konkreten Pflichten ergeben sich aus dem vierstufigen Risikomodell, und wie greifen KI-Verordnung und Datenschutz-Grundverordnung ineinander?

Was ist die KI-Verordnung?

Die KI-Verordnung ist das erste umfassende Regelwerk weltweit, das den Einsatz und die Entwicklung von künstlicher Intelligenz horizontal reguliert.

Sie verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Anforderungen.

Bei Einkauf oder Integration konkreter Systeme sollte man deshalb auch den KI-Vertrag prüfen lassen.

Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und ist am 1. August 2024 in Kraft getreten.

Offiziell heißt die Verordnung im deutschen Sprachgebrauch KI-Verordnung (KI-VO).

In Tech-Medien und im internationalen Kontext hat sich daneben der englische Kurzname EU AI Act etabliert.

Beide Begriffe bezeichnen dasselbe Regelwerk.

Alle 24 Amtssprachen der EU sind gemäß Art. 55 Abs. 1 AEUV gleichermaßen authentisch.

Ziel der Verordnung

Die KI-Verordnung soll einen binnenmarktweiten Rechtsrahmen für vertrauenswürdige KI schaffen.

Sie will Innovation fördern und gleichzeitig sicherstellen, dass in der Europäischen Union eingesetzte KI-Systeme menschenrechtskonform, sicher und transparent sind.

Dafür kombiniert sie drei Elemente: verbotene Praktiken, Pflichten für Hochrisiko-KI und Transparenzanforderungen für bestimmte Systeme.

Für Trainingsdaten, Output und Rechtefragen ist ergänzend das KI-Urheberrecht relevant.

Abgrenzung: KI-System, KI-Modell, GPAI

Nach Art. 3 Nr. 1 der KI-Verordnung ist ein KI-System ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist, nach seiner Betriebsaufnahme anpassungsfähig sein kann und aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden.

Zentrales Abgrenzungskriterium ist die Inferenzfähigkeit: Reine regelbasierte Software ohne lernende oder ableitende Komponente fällt nicht unter die Verordnung.

Ein klassischer Taschenrechner, eine Excel-Formel oder ein simples Filter-Skript sind keine KI-Systeme im Sinne der Verordnung.

Den laufenden Stand zu Leitlinien und Umsetzung fassen wir in unserem Beitrag zur EU-KI-Verordnung zusammen.

KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) sind eine eigene Regelungsebene.

Sie umfassen große Sprachmodelle und generative Bildmodelle, die vielseitig einsetzbar sind und erst in Anwendungen eingebettet werden.

Die Abgrenzung zwischen Modell und System wird in der Praxis über die Einbettung in ein konkretes Produkt getroffen: Erst durch das Produkt entsteht ein KI-System im Sinne der Verordnung.

Wen betrifft die KI-Verordnung?

Die KI-Verordnung betrifft jedes Unternehmen, das KI-Systeme in die Europäische Union in Verkehr bringt oder innerhalb der Union einsetzt.

Entscheidend ist nicht der Sitz des Unternehmens, sondern der Markt, auf dem das System verfügbar gemacht oder verwendet wird.

Die Verordnung unterscheidet zwei zentrale Rollen mit jeweils eigenem Pflichtenkatalog: Anbieter und Betreiber.

Wer seine Rolle falsch einschätzt, unterschätzt seine Pflichten oder trägt Pflichten, die eigentlich eine andere Partei treffen.

Wann gelten Sie als Anbieter?

Nach Art. 3 Nr. 3 der KI-Verordnung ist Anbieter, wer ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt, sei es entgeltlich oder unentgeltlich.

Anbieter ist also, wer ein KI-System unter eigener Verantwortung auf den Markt bringt.

Das betrifft Software-Hersteller, Startups mit eigenem KI-Produkt und Unternehmen, die ein internes KI-System entwickeln und einsetzen.

Wann gelten Sie als Betreiber?

Nach Art. 3 Nr. 4 der KI-Verordnung ist Betreiber eine natürliche oder juristische Person, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet.

Jedes Unternehmen, das ein KI-System beruflich einsetzt, ist Betreiber.

Das gilt für die kleine GmbH, die ein großes Sprachmodell für Kundenanfragen nutzt, genauso wie für den Konzern, der ein KI-gestütztes Bewerbungstool einsetzt. Umgangssprachlich wird häufig vom Nutzer gesprochen.

Der Begriff Nutzer ist in der KI-Verordnung nicht legaldefiniert und führt zu Verwechslungen.

In der KI-Verordnung ist rechtlich korrekt der Begriff Betreiber statt Nutzer nach Art. 3 Nr. 4 VO (EU) 2024/1689.

Wann werden Betreiber zu Anbietern?

Nach Art. 25 Abs. 1 der KI-Verordnung gilt ein Betreiber oder ein sonstiger Dritter unter bestimmten Voraussetzungen als Anbieter eines Hochrisiko-KI-Systems, insbesondere wenn er seinen Namen oder seine Handelsmarke auf einem bereits in Verkehr gebrachten Hochrisiko-KI-System anbringt, eine wesentliche Veränderung vornimmt oder die Zweckbestimmung eines KI-Systems derart verändert, dass es zu einem Hochrisiko-KI-System wird.

Diese Regel ist in der Praxis besonders kritisch.

Wer ein zugekauftes KI-System unter eigener Marke weiterverkauft, wer es maßgeblich modifiziert oder wer einen nicht als Hochrisiko eingestuften Chatbot so anpasst, dass er in einem Hochrisiko-Bereich eingesetzt wird, trägt die volle Pflichtenkaskade eines Anbieters.

Das schließt die technische Dokumentation, die Konformitätsbewertung und die CE-Kennzeichnung ein.

Territoriale Reichweite

Die KI-Verordnung gilt extraterritorial.

Ein US-Unternehmen, das ein Hochrisiko-KI-System in der Europäischen Union anbietet oder dessen Ausgaben in der Union verwendet werden, fällt unter die Verordnung und muss nach Art. 22 Abs. 1 KI-VO einen Bevollmächtigten in der Union benennen.

Das bedeutet für europäische Unternehmen: Auch wenn sie eine Lösung eines Anbieters außerhalb der Union einsetzen, bleiben ihre eigenen Betreiberpflichten bestehen.

Wie ist das Risikomodell aufgebaut?

Die KI-Verordnung ordnet KI-Systeme in ein vierstufiges Risikomodell ein: unannehmbares Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (keine spezifischen Pflichten).

Die Einordnung entscheidet über den Umfang der rechtlichen Anforderungen.

 Wischen

Risikoklasse	Rechtsfolge	Beispiele
Unannehmbar	Verboten (Art. 5)	Social Scoring, Emotionserkennung am Arbeitsplatz, manipulative Systeme
Hoch	Volles Pflichtenregime (Art. 6 ff., Anhang III)	Bewerbungssysteme, Kreditscoring, KI in Medizinprodukten
Begrenzt	Transparenzpflichten (Art. 50)	Chatbots, Deepfakes, KI-generierte Texte und Bilder
Minimal	Keine besonderen Pflichten, aber Art. 4 gilt weiter	Spam-Filter, KI-gestützte Bildverbesserung, Empfehlungssysteme im E-Commerce

Die Klassifizierung ist nicht statisch.

Ein im Grundsatz harmloser Chatbot wird zum Hochrisiko-System, wenn er zur Entscheidung über Stellenbewerbungen eingesetzt wird.

Unternehmen müssen deshalb jede konkrete Anwendung ihrer KI-Systeme gesondert bewerten.

Verbotene Praktiken

Nach Art. 5 Abs. 1 der KI-Verordnung sind unter anderem manipulative und täuschende Techniken, die Ausnutzung der Vulnerabilität bestimmter Personengruppen, Social Scoring durch Behörden, bestimmte Formen der Straftatvorhersage, das ungezielte Scraping von Gesichtsbildern, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, die biometrische Kategorisierung zur Ableitung sensibler Merkmale sowie die biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum zu Strafverfolgungszwecken verboten.

Die Liste der verbotenen Praktiken ist abschließend.

Besonders praxisrelevant ist das Verbot der Emotionserkennung am Arbeitsplatz: Videointerview-Systeme, die die Stimmung oder Nervosität von Bewerbern auswerten, fallen darunter.

Ausnahmen variieren je nach verbotener Praxis in Art. 5 Abs. 1 KI-VO.

Das Verbot gilt seit dem 2. Februar 2025 und kann mit den höchsten Bußgeldern der Verordnung sanktioniert werden.

Die Europäische Kommission hat mit dem Beschluss C(2025) 884 final vom 4. Februar 2025 und der aktualisierten Fassung C(2025) 5052 final vom 29. Juli 2025 Leitlinien zu den verbotenen KI-Praktiken veröffentlicht, die die Auslegung der Tatbestände des Art. 5 konkretisieren.

Hochrisiko-KI und Anhang III

Nach Art. 6 Abs. 2 der KI-Verordnung in Verbindung mit Anhang III gelten KI-Systeme in acht Bereichen als Hochrisiko, darunter Biometrie, kritische Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung und Personalmanagement, Zugang zu grundlegenden privaten und öffentlichen Diensten, Strafverfolgung, Migration und Asyl sowie Rechtspflege und demokratische Prozesse.

Besonders relevant für die Privatwirtschaft sind die Bereiche Beschäftigung (Anhang III Nr. 4) und der Zugang zu grundlegenden Diensten (Anhang III Nr. 5).

Unter Nr. 4 fallen Systeme für Bewerberauswahl, Leistungsbeurteilung und Aufgabenzuteilung.

Unter Nr. 5 fallen Kreditwürdigkeitsprüfung, Risikobewertung in Lebens- und Krankenversicherungen sowie die Priorisierung von Notrufen.

Ausnahme von der Hochrisiko-Einstufung

Nach Art. 6 Abs. 3 der KI-Verordnung gilt ein KI-System nicht als Hochrisiko, wenn es kein erhebliches Risiko der Beeinträchtigung von Gesundheit, Sicherheit oder Grundrechten natürlicher Personen birgt, insbesondere wenn es eine eng umgrenzte Verfahrensaufgabe erfüllt, das Ergebnis einer bereits abgeschlossenen menschlichen Tätigkeit verbessert, Entscheidungsmuster erkennt ohne eine menschliche Entscheidung ohne ordnungsgemäße Überprüfung zu ersetzen, oder eine vorbereitende Aufgabe ausführt.

Die Ausnahme greift jedoch nicht, wenn das System Profiling natürlicher Personen durchführt.

Dann liegt stets ein Hochrisiko-System vor.

Unternehmen müssen die Entscheidung, ob die Ausnahme greift, dokumentieren und gegenüber der Aufsichtsbehörde begründen können.

KI mit begrenztem Risiko

Bestimmte KI-Systeme sind nicht als Hochrisiko eingestuft, unterliegen aber Transparenzpflichten.

Dazu zählen Chatbots, Systeme zur Emotionserkennung außerhalb des Arbeitsplatzes, biometrische Kategorisierungssysteme sowie Systeme, die synthetische Medieninhalte erzeugen.

Die Pflichten werden weiter unten unter Art. 50 im Detail erläutert.

KI mit minimalem Risiko

Die überwiegende Mehrheit der heute eingesetzten KI-Systeme fällt in diese Kategorie.

Dazu gehören Spam-Filter, KI-gestützte Bildoptimierung oder Produktempfehlungen im Onlinehandel.

Für diese Systeme gelten keine spezifischen Pflichten aus der KI-Verordnung, mit einer wichtigen Ausnahme: Die Pflicht zur KI-Kompetenz nach Art. 4 gilt für alle Anbieter und Betreiber, unabhängig von der Risikoklasse.

Welche Fristen gelten und was wirkt bereits heute?

Die KI-Verordnung gilt seit dem 1. August 2024, entfaltet ihre Pflichten aber gestaffelt.

Das erzeugt in der Praxis Unsicherheit, weil Unternehmen zwischen dem formalen Inkrafttreten und dem tatsächlichen Geltungsbeginn einzelner Pflichten unterscheiden müssen.

Nach Art. 113 der KI-Verordnung gilt die Verordnung grundsätzlich ab dem 2. August 2026, mit abweichenden Geltungsterminen: Kapitel I und II einschließlich der Verbote nach Art. 5 und der Pflicht zur KI-Kompetenz nach Art. 4 ab dem 2. Februar 2025, die Kapitel V, VII und XII einschließlich der Pflichten für GPAI-Modelle und des Sanktionsrahmens ab dem 2. August 2025 sowie die Pflichten für Hochrisiko-KI nach Anhang I ab dem 2. August 2027.

 Wischen

Stichtag	Was wirkt	Praxisrelevanz
1. August 2024	Inkrafttreten	Verordnung ist Recht, aber noch nicht vollständig anwendbar
2. Februar 2025	Verbote (Art. 5), KI-Kompetenz (Art. 4)	Unternehmen müssen Emotionserkennung am Arbeitsplatz beenden und Schulungen aufsetzen
2. August 2025	GPAI-Pflichten, Governance, Sanktionsrahmen	Modellanbieter müssen technische Dokumentation vorlegen, nationale Behörden werden benannt
2. August 2026	KI-Verordnung gilt; Hochrisiko-KI nach Anhang III, Transparenzpflichten nach Art. 50 und Registrierungspflichten nach Art. 49	Pflichten greifen für Anbieter und Betreiber betroffener KI-Systeme
2. August 2027	Hochrisiko-KI nach Anhang I, Bestandsmodelle GPAI	Produktregulierte Systeme (z.B. Medizinprodukte) müssen konform sein

Zur Verschiebungsdiskussion

Im November 2025 hat die Europäische Kommission einen Omnibus-Vorschlag zur Anpassung einzelner Fristen vorgelegt.

Geprüft wird insbesondere eine Verschiebung der Hochrisiko-Pflichten nach Anhang III auf Dezember 2027 sowie eine Neuordnung der Aufsichtsarchitektur.

Stand April 2026 ist der Vorschlag noch nicht verabschiedet.

Bis zur formalen Änderung gelten die oben genannten Termine unverändert. Unternehmen, die auf eine Verschiebung spekulieren, tragen das volle Risiko, dass die Verschiebung nicht oder nicht in der erwarteten Form kommt.

KI-Kompetenz: Die unterschätzte Pflicht aller Unternehmen

Die Pflicht zur KI-Kompetenz ist die wichtigste und am meisten unterschätzte Pflicht der Verordnung.

Sie gilt bereits seit Februar 2025, trifft alle Anbieter und Betreiber jeder Risikoklasse und kennt keine Größenschwelle.

Die kleine Ein-Personen-GmbH ist davon genauso betroffen wie der Konzern.

Nach Art. 4 der KI-Verordnung ergreifen die Anbieter und Betreiber von KI-Systemen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.

Wer muss geschult werden?

Die Formulierung der Vorschrift ist weit.

Sie erfasst jeden, der in Ihrem Auftrag mit KI-Systemen arbeitet: eigene Mitarbeiter, Zeitarbeitskräfte, externe Dienstleister, Freiberufler.

Wer ein großes Sprachmodell in der Marketingabteilung einsetzt, muss auch die Marketingpraktikantin einweisen. Wer KI-gestützte Übersetzungsdienste für Vertragsunterlagen nutzt, muss die Rechtsabteilung schulen.

Was muss der Inhalt der Schulung sein?

Die Verordnung definiert keine festen Lerninhalte.

Nach dem Verordnungstext und den offiziellen Auslegungen gehören zu ausreichender KI-Kompetenz aber mindestens folgende Elemente:

Technisches Grundverständnis der eingesetzten KI-Systeme: Was sind die Fähigkeiten und die Grenzen?
Kenntnis der Chancen und Risiken: Wo kann KI Fehler produzieren, wo drohen Diskriminierung, Datenschutzverstöße oder Sicherheitslücken?
Regulatorischer Rahmen: Grundzüge der KI-Verordnung, insbesondere die verbotenen Praktiken und Transparenzpflichten.
Konkrete Anwendungsregeln im Unternehmen: Welche Daten dürfen in welche Systeme eingegeben werden, welche Prüfschritte sind Pflicht?

Dokumentation der Schulungsmaßnahmen

Die Verordnung enthält keine ausdrückliche Dokumentationspflicht für Art.

4. In der Praxis ist die Dokumentation dennoch unverzichtbar. Im Streitfall muss ein Unternehmen nachweisen können, dass es die Pflicht nach bestem Bemühen erfüllt hat. Ohne dokumentierte Schulungen und Onboarding-Prozesse lässt sich das nicht belegen.

Kein KI-Beauftragter nötig

Die Verordnung schreibt keinen KI-Beauftragten analog zum Datenschutzbeauftragten vor.

Das stellt auch die Bundesnetzagentur in ihrem Factsheet für kleine und mittlere Unternehmen klar.

Unternehmen können die Zuständigkeit an vorhandene Rollen anbinden, typischerweise an den Datenschutzbeauftragten, die Compliance-Abteilung oder die IT-Leitung.

Praxis-Hinweis zur KI-Kompetenz

Eine 30-minütige Online-Einführung genügt den Anforderungen in aller Regel nicht, wenn Mitarbeiter KI-Systeme regelmäßig in geschäftskritischen Prozessen einsetzen. Umfang und Tiefe der Schulung müssen zur Rolle und zum Einsatzkontext passen. Die Bundesnetzagentur empfiehlt ein abgestuftes Konzept: Basisschulung für alle Beschäftigten, vertiefende Module für Fachanwender und Führungskräfte.

Welche Pflichten gelten bei Hochrisiko-KI?

Bei Hochrisiko-KI-Systemen greift das schärfste Pflichtenregime der Verordnung.

Die Pflichten sind auf Anbieter und Betreiber verteilt und überlagern sich mit bestehenden Regelwerken aus dem Produktrecht, dem Datenschutz und dem Arbeitsrecht.

Anforderungen an das System

Nach Art. 9 bis Art. 15 der KI-Verordnung müssen Hochrisiko-KI-Systeme ein Risikomanagementsystem über den gesamten Lebenszyklus, eine angemessene Daten-Governance für Trainings-, Validierungs- und Testdaten, technische Dokumentation, automatische Protokollierung, Transparenz gegenüber Betreibern, wirksame menschliche Aufsicht sowie ein angemessenes Niveau an Genauigkeit, Robustheit und Cybersicherheit erfüllen.

Diese Anforderungen binden primär den Anbieter und müssen vor dem Inverkehrbringen erfüllt sein.

Die Konformität wird über ein Konformitätsbewertungsverfahren festgestellt.

In vielen Fällen reicht eine interne Bewertung, in einigen Bereichen ist eine Prüfung durch eine notifizierte Stelle erforderlich.

Anbieterpflichten

Nach Art. 16 der KI-Verordnung müssen Anbieter von Hochrisiko-KI-Systemen ein Qualitätsmanagementsystem einrichten, die technische Dokumentation erstellen und aktuell halten, die Konformitätsbewertung nach Art. 43 durchführen, die CE-Kennzeichnung anbringen, das System in der EU-Datenbank nach Art. 49 registrieren, Korrekturmaßnahmen einleiten und mit den zuständigen Behörden kooperieren.

Betreiberpflichten

Nach Art. 26 der KI-Verordnung müssen Betreiber von Hochrisiko-KI-Systemen die Systeme gemäß der Betriebsanleitung einsetzen, die menschliche Aufsicht kompetenten und geschulten Personen übertragen, sicherstellen, dass Eingabedaten der Zweckbestimmung entsprechen, den Betrieb überwachen, schwerwiegende Vorfälle melden, automatisch erzeugte Protokolle mindestens sechs Monate aufbewahren und vor der Inbetriebnahme am Arbeitsplatz die Arbeitnehmervertreter und betroffenen Arbeitnehmer unterrichten.

Betreiber müssen Arbeitnehmervertreter nach Art. 26 Abs. 7 KI-VO vor dem Einsatz von Hochrisiko-KI-Systemen am Arbeitsplatz unterrichten.

Sie tritt neben die Mitbestimmungsrechte des Betriebsrats aus dem Betriebsverfassungsgesetz und erzeugt in Kombination mit dem deutschen Arbeitsrecht eine doppelte Informationspflicht: einmal nach der KI-Verordnung, einmal nach dem Betriebsverfassungsgesetz.

Wer Bewerbungssysteme, Leistungsbeurteilungssoftware oder Monitoring-Tools einführt, muss beide Schienen bedienen.

Grundrechte-Folgenabschätzung

Nach Art. 27 der KI-Verordnung müssen Einrichtungen des öffentlichen Rechts, private Einrichtungen, die öffentliche Dienste erbringen, sowie Betreiber von Hochrisiko-KI-Systemen im Bereich der Kreditwürdigkeitsprüfung und der Risikobewertung in Lebens- und Krankenversicherungen vor dem erstmaligen Einsatz eine Grundrechte-Folgenabschätzung durchführen und deren Ergebnis der Marktüberwachungsbehörde übermitteln.

Die Grundrechte-Folgenabschätzung ist eigenständig und tritt neben die Datenschutz-Folgenabschätzung der Datenschutz-Grundverordnung.

Die Grundrechte-Folgenabschätzung nach Art. 27 KI-VO und die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verfolgen unterschiedliche Perspektiven, können jedoch nach Art. 27 Abs. 4 KI-VO koordiniert werden.

Transparenzpflichten für generative KI

Neben Verboten und Hochrisiko-Pflichten schafft die KI-Verordnung eine dritte Regelungsebene: Transparenzpflichten für bestimmte KI-Systeme.

Sie gelten unabhängig von der Risikoklasse und betreffen praktisch jedes Unternehmen, das generative KI in der Kundenkommunikation oder Content-Produktion einsetzt.

Nach Art. 50 der KI-Verordnung müssen Anbieter sicherstellen, dass KI-Systeme mit direkter Interaktion mit natürlichen Personen so gestaltet sind, dass die Interaktion als KI erkennbar ist, und dass synthetische Audio-, Bild-, Video- oder Textausgaben maschinenlesbar als künstlich erzeugt oder manipuliert gekennzeichnet werden; Betreiber müssen den Einsatz von Emotionserkennung oder biometrischer Kategorisierung offenlegen, Deepfakes als künstlich erzeugt oder manipuliert kennzeichnen und KI-generierte Texte zu Angelegenheiten von öffentlichem Interesse als solche offenlegen, sofern keine menschliche redaktionelle Kontrolle erfolgt.

Chatbot-Kennzeichnung

Wer einen KI-gestützten Chatbot auf seiner Website oder in einer App einsetzt, muss den Nutzer unmissverständlich darüber informieren, dass er mit einer KI spricht.

Die Information muss spätestens bei der ersten Interaktion erfolgen, klar, unterscheidbar und barrierefrei.

Formulierungen wie “Sie chatten mit unserem KI-Assistenten” genügen, wenn sie vor Beginn der Konversation sichtbar sind.

Deepfake-Kennzeichnung

Wer KI-generierte Bilder, Audios oder Videos einsetzt, die wirklichen Personen, Orten oder Ereignissen ähneln, muss diese als KI-erzeugt kennzeichnen.

Für satirische, fiktionale oder künstlerische Werke gelten reduzierte Anforderungen, aber auch sie müssen eine minimale Kennzeichnung tragen.

Kennzeichnung KI-generierter Inhalte

Die Kennzeichnung muss nach der Verordnung maschinenlesbar erfolgen.

Das zielt auf Metadaten-Standards und Wasserzeichen.

Die Coalition for Content Provenance and Authenticity hat dafür mit dem C2PA-Standard eine technische Lösung entwickelt, die von der Europäischen Kommission als Referenz genannt wird.

GPAI: Was gilt für große Sprachmodelle?

Die Regeln für KI-Modelle mit allgemeinem Verwendungszweck betreffen primär die Entwickler der Modelle.

Wer ein solches Modell als fertiges Produkt einsetzt, ist Betreiber, nicht Anbieter des Modells.

Das ändert sich aber, sobald eine wesentliche Anpassung vorgenommen wird.

Pflichten der Modellanbieter

Nach Art. 53 der KI-Verordnung müssen Anbieter von KI-Modellen mit allgemeinem Verwendungszweck eine technische Dokumentation nach Anhang XI erstellen, nachgelagerten Anbietern die erforderlichen Informationen nach Anhang XII zur Verfügung stellen, eine Strategie zur Einhaltung des Urheberrechts umsetzen und eine öffentlich verfügbare Zusammenfassung der für das Training des Modells verwendeten Inhalte nach einem von der Kommission bereitgestellten Muster veröffentlichen.

Systemisches Risiko bei sehr leistungsfähigen Modellen

Nach Art. 51 Abs. 2 der KI-Verordnung wird vermutet, dass ein KI-Modell mit allgemeinem Verwendungszweck über High-Impact-Fähigkeiten verfügt und damit als systemisch relevant einzustufen ist, wenn die kumulative Trainings-Rechenleistung des Modells mehr als 10^25 Gleitkommaoperationen beträgt.

Für die Praxis der meisten Unternehmen hat diese Schwelle keine unmittelbare Bedeutung.

Sie adressiert die größten Modellanbieter weltweit und begründet zusätzliche Pflichten zu Modellbewertung, Risikominderung, Incident-Reporting und Cybersicherheit nach Art.

55 der Verordnung.

Für Nachnutzer bleiben die Betreiberpflichten einschlägig.

GPAI Code of Practice

Der am 10. Juli 2025 von der Europäischen Kommission veröffentlichte General-Purpose AI Code of Practice besteht aus drei Kapiteln zu Transparenz, Urheberrecht sowie Sicherheit und Schutz und dient Anbietern von KI-Modellen mit allgemeinem Verwendungszweck als Nachweis der Einhaltung ihrer Pflichten aus Art. 53 und Art. 55 der KI-Verordnung.

Der Kodex ist freiwillig, aber praktisch bindend: Wer ihn unterzeichnet, gilt bei Prüfungen durch das KI-Büro als grundsätzlich konform.

Zu den Unterzeichnern gehören große internationale und europäische Modellanbieter.

Bußgelder und Haftung

Die Sanktionen der KI-Verordnung sind so konstruiert wie bei der Datenschutz-Grundverordnung: Höchstbeträge orientieren sich am weltweiten Jahresumsatz oder an absoluten Euro-Beträgen, wobei jeweils der höhere Betrag gilt.

Nach Art. 99 der KI-Verordnung können Verstöße gegen das Verbot nach Art. 5 mit Geldbußen von bis zu 35 Millionen Euro oder bis zu 7 Prozent des gesamten weltweiten Jahresumsatzes, Verstöße gegen sonstige Pflichten mit bis zu 15 Millionen Euro oder 3 Prozent des Jahresumsatzes und die Erteilung falscher, unvollständiger oder irreführender Informationen an Aufsichtsbehörden mit bis zu 7,5 Millionen Euro oder 1 Prozent des Jahresumsatzes geahndet werden, wobei jeweils der höhere Betrag maßgeblich ist.

Schonregel für kleine und mittlere Unternehmen

Nach Art. 99 Abs. 6 der KI-Verordnung gilt für Kleinstunternehmen, kleine und mittlere Unternehmen einschließlich Start-ups jeweils der niedrigere der beiden im Sanktionsrahmen genannten Beträge.

Für KMU gilt nach Art. 99 Abs. 6 VO (EU) 2024/1689 der jeweils niedrigere der beiden Bußgeldbeträge.

Das reduziert das finanzielle Risiko erheblich, entbindet aber nicht von den Pflichten.

Sanktionen bei GPAI

Nach Art. 101 der KI-Verordnung können Verstöße von Anbietern von KI-Modellen mit allgemeinem Verwendungszweck mit Geldbußen von bis zu 15 Millionen Euro oder bis zu 3 Prozent des gesamten weltweiten Jahresumsatzes geahndet werden, wobei die Durchsetzung durch die Kommission erfolgt.

Persönliche Haftung der Geschäftsführung

Die KI-Verordnung adressiert nach Art. 3 Nr. 3 und 4 auch natürliche Personen als Anbieter und Betreiber von KI-Systemen.

Die persönliche Haftung der Geschäftsführung folgt aber aus dem allgemeinen Zivil- und Gesellschaftsrecht.

Wer als Geschäftsführer die Compliance mit der KI-Verordnung vernachlässigt, riskiert Regressansprüche der Gesellschaft und persönliche Haftung bei Vorsatz oder grober Fahrlässigkeit.

Zusätzlich kann ein Verstoß gegen Ordnungswidrigkeiten im Rahmen der deutschen Umsetzung zu Bußgeldern gegen die handelnden Personen führen.

Die gesellschaftsrechtlichen Grundlinien erläutert unser Ratgeber zur persönlichen Haftung der Geschäftsführung.

Verhältnis zur Datenschutz-Grundverordnung

Die KI-Verordnung und die Datenschutz-Grundverordnung gelten nebeneinander.

Wer ein KI-System einsetzt, das personenbezogene Daten verarbeitet, muss beide Regelwerke einhalten.

Die KI-Verordnung regelt das System, die Datenschutz-Grundverordnung die Daten.

Art. 22 DSGVO und die KI-Verordnung

Die Datenschutz-Grundverordnung verbietet grundsätzlich Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung entfalten oder die betroffene Person erheblich beeinträchtigen.

Die KI-Verordnung verlangt bei Hochrisiko-KI eine wirksame menschliche Aufsicht.

Beide Regeln greifen ineinander: Ohne inhaltliche menschliche Überprüfung bleibt eine automatisierte Entscheidung unzulässig, auch wenn sie formal von einer Person bestätigt wird.

Grundsatzentscheidung zur Transparenz automatisierter Scoring-Entscheidungen

Der Europäische Gerichtshof hat in seinem Urteil vom 27. Februar 2025 (Rs. C-203/22, Dun & Bradstreet Austria) klargestellt, dass betroffene Personen bei automatisierten Einzelentscheidungen nach Art. 15 Abs. 1 lit. h DSGVO aussagekräftige Informationen über die involvierte Logik in präziser, transparenter, verständlicher und leicht zugänglicher Form verlangen können und die bloße Übermittlung eines Algorithmus nicht ausreicht.

Die Entscheidung setzt den Maßstab für die Erklärbarkeit von KI-Scoring-Systemen in HR, Kredit und Versicherung und entzieht Unternehmen das Argument, Geschäftsgeheimnisse könnten die Auskunft pauschal blockieren.

EDPB-Stellungnahme zur KI und Datenschutz

Der Europäische Datenschutzausschuss hat in seiner Stellungnahme 28/2024 vom 17. Dezember 2024 festgehalten, dass die Anonymität eines KI-Modells einer Einzelfallprüfung bedarf, dass das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für Training und Deployment eines KI-Modells nur nach einem strengen Drei-Stufen-Test in Betracht kommt und dass rechtswidrig verarbeitete Trainingsdaten die Rechtmäßigkeit des späteren Deployments beeinträchtigen können, sofern das Modell nicht nachweislich anonymisiert ist.

Die Stellungnahme ist von den nationalen Datenschutzbehörden in der Europäischen Union weitestmöglich zu berücksichtigen und prägt maßgeblich die Aufsichtspraxis.

Für Unternehmen, die generative KI einsetzen, ergibt sich eine praktische Konsequenz: Die Auswahl eines KI-Anbieters sollte beinhalten, wie der Anbieter mit Trainingsdaten umgeht und wie er Anfragen zu Datenrechten seiner Nutzer umsetzt.

Datenschutz-Folgenabschätzung bei KI-Einsatz

Nach Art. 26 Abs. 9 der KI-Verordnung nutzen Betreiber die von Anbietern bereitgestellten Informationen, um einer etwaigen Pflicht zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO nachzukommen.

Wer KI-Systeme einsetzt, die personenbezogene Daten verarbeiten und ein hohes Risiko begründen, muss vor der Inbetriebnahme eine Datenschutz-Folgenabschätzung durchführen.

Die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6. Mai 2024 konkretisiert die Prüfschritte.

Bei Hochrisiko-KI tritt die Grundrechte-Folgenabschätzung hinzu.

Unternehmen sollten beide Abschätzungen strukturell parallel führen.

Abgrenzung zu weiteren Regelwerken

Produkthaftungsrichtlinie (EU) 2024/2853 - Software und KI-Systeme gelten ausdrücklich als Produkt.

Die Haftung erstreckt sich auch auf Post-Market-Updates.
Die Umsetzungsfrist läuft bis zum 9. Dezember 2026.
NIS2-Richtlinie - Cybersicherheitspflichten überschneiden sich mit den Anforderungen an Hochrisiko-KI-Systeme aus Art. 15 der KI-Verordnung.
Cyber Resilience Act - Horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Gilt für Hochrisiko-KI-Systeme parallel.
Digital Services Act und Digital Markets Act - Plattformen mit generativer KI unterliegen zusätzlichen Risikobewertungs- und Transparenzpflichten.

Wer mehrere Regelwerke gleichzeitig erfüllen muss, kann das nicht durch isolierte Compliance-Projekte leisten. Praktikabel ist eine integrierte Governance, die KI-, Datenschutz-, Produkt- und Cybersicherheits-Compliance zusammen denkt. Der Einstieg in eine solche Struktur lässt sich in unserem Leitfaden zur DSGVO-Compliance für Unternehmen und im Ratgeber zum datenschutzkonformen KI-Einsatz nachlesen.

Branchenspezifische Anforderungen

Die Einordnung eines KI-Systems hängt nicht nur von der Technologie ab, sondern vor allem vom Anwendungsbereich.

Dieselbe Sprachmodell-Technologie kann im Marketing minimal reguliert und im Recruiting Hochrisiko sein.

Die folgenden Branchen sind nach aktueller Rechtslage besonders betroffen.

Personalwesen und Recruiting

Bewerbersysteme, CV-Screening, Matching-Software und KI-gestützte Leistungsbeurteilung fallen unter Anhang III Nr. 4 der KI-Verordnung VO (EU) 2024/1689.

Sie sind damit Hochrisiko. Ab dem 2. August 2026 gelten die vollen Anbieter- und Betreiberpflichten.

Wer ein solches System einsetzt, muss die Bewerber transparent informieren, die Ergebnisse von einer kompetenten Person überprüfen lassen, den Betriebsrat vor der Inbetriebnahme unterrichten und die automatischen Protokolle mindestens sechs Monate aufbewahren.

Parallel gelten die Diskriminierungsverbote des Allgemeinen Gleichbehandlungsgesetzes und die Vorgaben der Datenschutz-Grundverordnung zu automatisierten Einzelentscheidungen.

Finanzdienstleister und Banken

Nach Anhang III Nr. 5 lit. b der KI-Verordnung gelten KI-Systeme, die zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Erstellung ihrer Bonitätsbewertung verwendet werden, als Hochrisiko, wobei KI-Systeme zur Erkennung von Finanzbetrug ausgenommen sind.

Banken und Finanzdienstleister müssen bestehende Compliance-Strukturen aus der Aufsichtspraxis der Bundesanstalt für Finanzdienstleistungsaufsicht um die Pflichten der KI-Verordnung erweitern.

Besonders relevant sind die Erklärbarkeit von Scoring-Entscheidungen, die Bias-Prüfung in Trainingsdaten und die Archivierung automatischer Protokolle.

Zusätzlich greift für Kreditinstitute die Pflicht zur Grundrechte-Folgenabschätzung.

Versicherungen

Nach Anhang III Nr. 5 lit. c der KI-Verordnung gelten KI-Systeme, die zur Risikobewertung und Preisbildung bei Lebens- und Krankenversicherungen in Bezug auf natürliche Personen verwendet werden, als Hochrisiko.

Sach- und Haftpflichtversicherung sind nicht per se Hochrisiko.

Betroffen sind vor allem Underwriting-Prozesse und die Prämienkalkulation in Kranken- und Lebensversicherung.

Versicherer müssen sicherstellen, dass ihre KI-Systeme nicht auf Merkmale zurückgreifen, die nach dem Allgemeinen Gleichbehandlungsgesetz oder Art. 9 DSGVO besonders geschützt sind.

Gesundheit und Medizinprodukte

KI in Medizinprodukten ist doppelt reguliert: Sie fällt unter die Medizinprodukteverordnung und unter die KI-Verordnung.

KI-Medizinprodukte sind nach Art. 6 Abs. 1 KI-VO und Anhang I ab dem 2. August 2027 hochriskant, wenn sie einer MDR-Konformitätsbewertung durch Dritte unterliegen.

Die Frist für die volle Anwendung der KI-Verordnung in diesem Bereich ist der 2. August 2027.

Kliniken als Betreiber müssen die Betriebsanleitung strikt befolgen, schwerwiegende Vorfälle melden und die automatisch erzeugten Protokolle archivieren.

Kritische Infrastruktur

Nach Anhang III Nr. 2 der KI-Verordnung gelten KI-Systeme, die als Sicherheitsbauteile im Management und Betrieb der Versorgung mit Wasser, Gas, Wärme und Strom sowie der kritischen digitalen Infrastruktur und des Straßenverkehrs verwendet werden, als Hochrisiko.

Energieversorger, Netzbetreiber und digitale Infrastrukturbetreiber müssen die Pflichten der KI-Verordnung mit den Anforderungen aus der NIS2-Richtlinie und der nationalen Kritis-Verordnung in Einklang bringen.

In der Praxis bedeutet das eine integrierte Governance für Cybersicherheit, KI-Risikomanagement und IT-Sicherheit.

Bildung

Unter Anhang III Nr. 3 fallen KI-Systeme zur Zulassung, zur Bewertung von Lernergebnissen und zur Überwachung von Prüfungen.

Zusätzlich greift das Verbot der Emotionserkennung in Bildungseinrichtungen.

Hochschulen, Weiterbildungsanbieter und Zertifizierungsstellen müssen ihre Prüfungssysteme darauf überprüfen, ob sie Emotionen oder Mimik der Prüflinge auswerten.

Solche Systeme sind seit Februar 2025 verboten.

E-Commerce, Marketing und Chatbots

Klassische Marketing- und E-Commerce-KI ist in der Regel nicht Hochrisiko.

Entscheidend sind die Transparenzpflichten aus Art. 50: Chatbots müssen als KI erkennbar sein, Deepfakes in Werbekampagnen müssen gekennzeichnet werden, KI-generierte Produktbeschreibungen oder redaktionelle Beiträge zu Themen von öffentlichem Interesse müssen offengelegt werden.

Die Abgrenzung zu den manipulativen Praktiken nach Art. 5 ist zu beachten: Wer KI einsetzt, um bewusst Kaufentscheidungen zu manipulieren oder Vulnerabilität auszunutzen, riskiert die höchsten Sanktionen der Verordnung.

Häufige Missverständnisse

In der Beratungspraxis tauchen immer wieder dieselben Fehleinschätzungen auf. Sie beruhen selten auf Nachlässigkeit, sondern auf missverständlichen Schlagzeilen, übersetzten Tech-Medien und der Komplexität der Verordnung selbst. Die folgenden Missverständnisse sind besonders verbreitet.

Mythos

„Das betrifft nur die großen Modellanbieter“

Klarstellung

Die KI-Verordnung betrifft nicht nur große Modellanbieter; sie adressiert Anbieter und Betreiber von KI-Systemen gleichermaßen.

Nicht nur große Modellanbieter, sondern auch Unternehmen, die ein großes Sprachmodell für Kundenanfragen, Texterstellung oder Marketing-Kampagnen einsetzen, können Betreiber im Sinne der KI-Verordnung sein.

Die Konzentration auf große Modellanbieter übersieht, dass die KI-Verordnung Pflichten entlang der gesamten Wertschöpfungskette verteilt.

Mythos

„Bis August 2026 müssen wir nichts tun“

Klarstellung

Unternehmen dürfen mit KI-Compliance nicht bis August 2026 warten, weil die KI-Kompetenzpflicht aus Art. 4 und die Verbote aus Art. 5 der KI-Verordnung seit dem 2. Februar 2025 gelten.

Die GPAI-Pflichten und der Sanktionsrahmen der KI-Verordnung greifen seit dem 2. August 2025.

Die Emotionserkennung am Arbeitsplatz ist bereits seit Februar 2025 verboten; ein Videointerview-System, das Stimmungen analysiert, kann deshalb schon vor August 2026 gegen die KI-Verordnung verstoßen.

Mythos

„Unsere KI ist nicht Hochrisiko, also sind wir raus“

Klarstellung

Unternehmen sind nicht schon deshalb aus der KI-Verordnung heraus, weil ihr KI-System kein Hochrisiko-System ist; auch Systeme mit begrenztem oder minimalem Risiko können unter die Transparenzpflichten nach Art. 50 und die Pflicht zur KI-Kompetenz nach Art. 4 fallen.

Auch wenn ein KI-System kein Hochrisiko-System ist, müssen Unternehmen bei generativer KI in der Content-Produktion die Kennzeichnungspflichten der KI-Verordnung prüfen.

Auch bei KI-Systemen ohne Hochrisiko-Einstufung müssen Mitarbeiter, die mit KI-Systemen arbeiten, nach Art. 4 der KI-Verordnung über ausreichende KI-Kompetenz verfügen.

Mythos

„Wir nutzen Open-Source-KI, also gilt die Verordnung nicht“

Klarstellung

Die Open-Source-Ausnahme der KI-Verordnung bedeutet nicht, dass Open-Source-KI generell ausgenommen ist; sie greift nur für Modelle, die kostenlos unter einer freien Lizenz veröffentlicht werden, und auch dann nicht vollständig.

Open-Source-Modelle unterliegen den vollen Pflichten der KI-Verordnung, wenn sie in einem Hochrisiko-System eingesetzt oder als GPAI mit systemischem Risiko eingestuft werden.

Die Integration von Open-Source-KI in ein kommerzielles Produkt kann eine Anbieterrolle mit den zugehörigen Pflichten der KI-Verordnung begründen.

Mythos

„Die KI-Verordnung ersetzt die DSGVO“

Klarstellung

Die KI-Verordnung ersetzt die DSGVO nicht; beide Regelwerke gelten nebeneinander und unabhängig voneinander.

Die Datenschutz-Grundverordnung schützt personenbezogene Daten, während die KI-Verordnung KI-Systeme reguliert.

Unternehmen, die KI mit personenbezogenen Daten einsetzen, müssen sowohl die DSGVO als auch die KI-Verordnung einhalten.

Die KI-Verordnung entlastet nicht von der Datenschutz-Folgenabschätzung und ändert nichts am Recht auf aussagekräftige Auskunft über automatisierte Entscheidungen.

Mythos

„Die Verbote betreffen nur die öffentliche Hand“

Klarstellung

Andere Verbote der KI-Verordnung wie die Emotionserkennung am Arbeitsplatz, manipulative Techniken, die Ausnutzung von Vulnerabilität oder die biometrische Kategorisierung nach sensiblen Merkmalen treffen den privaten Sektor unmittelbar.

Die Verbote der KI-Verordnung betreffen nicht nur die öffentliche Hand; Unternehmen müssen prüfen, ob die von ihnen eingesetzten KI-Systeme unter ein Verbot fallen.

Mythos

„Ein KI-Beauftragter ist Pflicht“

Klarstellung

Ein KI-Beauftragter ist nach der KI-Verordnung keine gesetzliche Pflicht; Unternehmen können die Zuständigkeit für KI-Compliance an den Datenschutzbeauftragten, die Compliance-Funktion oder die IT-Leitung anbinden.

Deutsche Umsetzung und Zuständigkeiten

Die KI-Verordnung gilt in Deutschland unmittelbar.

Einige Fragen der Aufsicht, der Marktüberwachung und der nationalen Durchführung werden aber durch ein deutsches Umsetzungsgesetz konkretisiert.

Der Stand der Umsetzung ist für Unternehmen relevant, weil er bestimmt, welche Behörde zuständig ist und wie das Bußgeldverfahren abläuft.

Die deutsche Bundesregierung hat am 11. Februar 2026 den Entwurf eines Gesetzes zur Durchführung der KI-Verordnung (KI-Marktüberwachungs- und Innovationsförderungsgesetz, KI-MIG) beschlossen, der die Bundesnetzagentur als zentrale Koordinierungs- und Marktüberwachungsbehörde vorsieht und sektoral bestehende Zuständigkeiten, etwa der Bundesanstalt für Finanzdienstleistungsaufsicht, beibehält.

Rolle der Bundesnetzagentur

Die Bundesnetzagentur hat bereits vor der förmlichen Verabschiedung des deutschen Umsetzungsgesetzes einen KI-Servicedesk und einen KI-Compliance-Kompass aufgebaut.

Unternehmen können dort Orientierung zu den Pflichten aus der Verordnung erhalten.

Die Behörde wird künftig die zentrale Anlaufstelle für Marktüberwachung und Aufsicht sein.

Sektorale Zuständigkeiten

Der deutsche Gesetzentwurf folgt einem hybriden Ansatz.

Für die Finanzbranche bleibt die Bundesanstalt für Finanzdienstleistungsaufsicht zuständig.

Für Medizinprodukte bleibt das Bundesinstitut für Arzneimittel und Medizinprodukte zuständig.

Für die übergreifende Marktüberwachung ist die Bundesnetzagentur vorgesehen.

Datenschutzbehörden bleiben für grundrechtssensible biometrische Systeme und für die Schnittstelle zur Datenschutz-Grundverordnung zuständig.

Europäische Ebene

Das Büro für Künstliche Intelligenz der Europäischen Kommission (AI Office), eingerichtet durch den Kommissionsbeschluss (EU) 2024/1459 vom 24. Januar 2024, ist zuständig für die Aufsicht über KI-Modelle mit allgemeinem Verwendungszweck und für die Erarbeitung von Leitlinien zur KI-Verordnung.

Das Büro für Künstliche Intelligenz koordiniert mit dem Europäischen Ausschuss für Künstliche Intelligenz und den nationalen Aufsichtsbehörden.

Für die meisten Unternehmen bleibt die nationale Behörde der primäre Ansprechpartner.

Praxis-Empfehlungen für Unternehmen

Die folgende Checkliste bildet die Pflichten und Kontrollpunkte ab, die jedes Unternehmen für einen strukturierten Einstieg in die Compliance mit der KI-Verordnung bearbeiten sollte.

KI-Inventar erstellen - alle im Unternehmen eingesetzten KI-Systeme mit Zweck, Anbieter, Datenflüssen und beteiligten Abteilungen dokumentieren.
Rollen klären - für jedes System festhalten, ob das Unternehmen Anbieter, Betreiber oder beides ist.
Risikoklassifizierung - jedes System nach den vier Risikoklassen einordnen und die Einordnung begründen.
Verbotene Praktiken prüfen - insbesondere Emotionserkennung am Arbeitsplatz, manipulative Systeme und biometrische Kategorisierung nach sensiblen Merkmalen aus dem Einsatz entfernen.
KI-Kompetenz aufbauen - ein abgestuftes Schulungskonzept mit Basisschulung für alle und vertiefenden Modulen für Fachanwender implementieren und dokumentieren.
Transparenzpflichten umsetzen - Chatbots kennzeichnen, Deepfakes kennzeichnen, KI-generierte Inhalte kennzeichnen, dort wo das System unter die Regeln zur generativen KI fällt.
Dokumentation aufbauen - technische Dokumentation, Protokolle und Betriebsanleitungen zu jedem eingesetzten System strukturieren.
Verträge mit Anbietern prüfen - sicherstellen, dass Modellanbieter die erforderlichen Informationen zur Verfügung stellen und ihre eigenen Pflichten als Modellanbieter erfüllen.
Grundrechte- und Datenschutz-Folgenabschätzung verzahnen - für alle Hochrisiko-Systeme beide Abschätzungen parallel aufsetzen.
Betriebsrat einbinden - vor Einführung eines Hochrisiko-Systems die Arbeitnehmervertreter unterrichten, parallel die Mitbestimmung des Betriebsrats aus dem Betriebsverfassungsgesetz beachten.

Häufige Fehler vermeiden

KI-Kompetenz auf den Datenschutzbeauftragten delegieren - die Zuständigkeit kann dort liegen, die Schulungspflicht bleibt aber beim gesamten Unternehmen.
Emotionserkennung am Arbeitsplatz als Feature des Recruiting-Tools übersehen - viele Videointerview-Plattformen werten Emotionen aus, ohne dass die Personalabteilung dies bewusst einsetzt.
Auf eine Verschiebung der Fristen spekulieren - bis zur formalen Änderung der Verordnung gelten die bestehenden Termine.
KI-Inventar nur als IT-Projekt behandeln - KI wird in der Praxis oft von Fachabteilungen eingeführt, die nicht immer IT-Governance-Prozesse durchlaufen.
Drittanbieter-Verträge nicht anpassen - Verantwortlichkeiten für Konformitätsbewertung und Datenquellen müssen vertraglich klar sein.

Wann anwaltliche Unterstützung sinnvoll ist

Der Einstieg in die Compliance mit der KI-Verordnung lässt sich strukturiert selbst gestalten. Kritische Weichenstellungen bleiben aber typische Rechtsfragen: Ist ein System als Hochrisiko einzustufen oder greift die Ausnahme? Wann wird ein Betreiber zum nachgelagerten Anbieter? Wie sind Verträge mit Modellanbietern zu gestalten, damit die eigenen Betreiberpflichten nicht ins Leere laufen? Welche Formulierungen in Datenschutzerklärung und Nutzungsbedingungen sind erforderlich, wenn generative KI eingesetzt wird?

Wir begleiten Unternehmen vom KI-Inventar über die Risikoklassifizierung bis zur vertraglichen Absicherung und zur Schulungsdokumentation. Wenn Sie unsicher sind, ob ein geplanter KI-Einsatz zulässig ist oder welche Pflichten auf Ihr Unternehmen zukommen, nehmen Sie Kontakt auf. Eine frühzeitige Einschätzung verhindert spätere Korrekturen und minimiert das Sanktionsrisiko.

Fazit

Die europäische Regulierung künstlicher Intelligenz ist kein abstraktes Großprojekt mehr, sondern greifbares Compliance-Recht. Wer KI einsetzt, muss seine Rolle bestimmen, die Risikoklasse beurteilen und die daraus folgenden Pflichten strukturiert umsetzen.

Die wichtigsten Schritte liegen nicht in der Zukunft, sondern in der Gegenwart: Die Pflicht zur KI-Kompetenz und die Verbote gelten bereits, die Transparenzpflichten und die meisten Hochrisiko-Pflichten folgen im Jahr 2026.

Unternehmen, die jetzt ein belastbares KI-Inventar, eine saubere Risikoklassifizierung und ein realistisches Schulungskonzept aufbauen, schaffen die Grundlage für den Hauptanwendungsbeginn. Wer die regulatorische Neuordnung als integrierte Aufgabe mit Datenschutz, Produktsicherheit und Cybersicherheit verbindet, vermeidet Doppelarbeit und baut eine Struktur, die auch kommende Anpassungen des europäischen Rechtsrahmens trägt.

Antworten auf einen Blick

Häufige Fragen

Die häufigsten Fragen zum Thema, kompakt beantwortet. Für die vollständige Einordnung bleiben die Abschnitte oben maßgeblich.

Was regelt die KI-Verordnung?

Die KI-Verordnung (Verordnung (EU) 2024/1689) ist das erste umfassende Regelwerk weltweit, das Entwicklung und Einsatz von KI-Systemen risikobasiert reguliert. Sie unterscheidet vier Risikoklassen – von verbotenen Praktiken bis zu minimalem Risiko – und weist Pflichten entlang der Wertschöpfungskette zu. Die Verordnung trat am 1. August 2024 in Kraft, entfaltet ihre Pflichten aber gestaffelt bis August 2027. Sie gilt für alle Unternehmen, die KI in der EU anbieten oder nutzen, unabhängig vom Firmensitz.

Welche Fristen gelten für die KI-Verordnung?

Die KI-Verordnung entfaltet ihre Pflichten gestaffelt gemäß Art. 113. Seit dem 2. Februar 2025 gelten die Verbote (Art. 5) und die Pflicht zur KI-Kompetenz (Art. 4). Seit dem 2. August 2025 greifen die GPAI-Pflichten und der Sanktionsrahmen. Am 2. August 2026 beginnt der Hauptanwendungstermin mit den Hochrisiko-Pflichten nach Anhang III. Produktregulierte KI (Anhang I) folgt am 2. August 2027. Bis zur formalen Änderung gelten diese Termine unverändert.

Was ist der Unterschied zwischen Anbieter und Betreiber?

Nach Art. 3 Nr. 3 KI-VO ist Anbieter, wer ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt. Betreiber ist nach Art. 3 Nr. 4 jede Person, die ein KI-System beruflich einsetzt. Beide Rollen tragen eigene Pflichtenkataloge. Ein Betreiber wird nach Art. 25 zum Anbieter, wenn er ein Hochrisiko-KI-System unter eigener Marke weiterverkauft, wesentlich verändert oder dessen Zweckbestimmung so ändert, dass es Hochrisiko wird.

Was bedeutet KI-Kompetenz nach Art. 4?

Art. 4 KI-VO verpflichtet alle Anbieter und Betreiber, sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Die Pflicht gilt seit dem 2. Februar 2025 für jede Unternehmensgröße und jede Risikoklasse. Die Schulung muss technisches Grundverständnis, Kenntnis der Chancen und Risiken, regulatorische Grundzüge und konkrete Anwendungsregeln umfassen. Ein KI-Beauftragter ist nicht vorgeschrieben, die Dokumentation der Schulungen aber faktisch unverzichtbar.

Welche KI-Praktiken sind verboten?

Art. 5 Abs. 1 KI-VO verbietet abschließend unter anderem manipulative und täuschende Techniken, Social Scoring durch Behörden, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, biometrische Kategorisierung nach sensiblen Merkmalen und die biometrische Echtzeit-Fernidentifizierung. Die Verbote gelten seit dem 2. Februar 2025. Verstöße können mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes sanktioniert werden.

Was ist Hochrisiko-KI und wer ist betroffen?

Nach Art. 6 Abs. 2 KI-VO in Verbindung mit Anhang III gelten KI-Systeme in acht Bereichen als Hochrisiko, darunter Bewerbungssysteme, Kreditscoring, KI in Medizinprodukten und kritische Infrastruktur. Hochrisiko-KI unterliegt einem vollständigen Pflichtenregime mit Risikomanagementsystem, technischer Dokumentation, Konformitätsbewertung und CE-Kennzeichnung. Eine Ausnahme nach Art. 6 Abs. 3 greift nur, wenn kein erhebliches Risiko für Grundrechte besteht.

Welche Bußgelder drohen bei Verstößen gegen die KI-Verordnung?

Art. 99 KI-VO sieht drei Bußgeldstufen vor: bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes für Verstöße gegen die Verbote, bis zu 15 Millionen Euro oder 3 Prozent für sonstige Pflichtverstöße und bis zu 7,5 Millionen Euro oder 1 Prozent für falsche Angaben gegenüber Behörden. Für KMU und Startups greift nach Art. 99 Abs. 6 eine Schonregel: Maßgeblich ist jeweils der niedrigere der beiden Beträge.

Wie hängen KI-Verordnung und DSGVO zusammen?

Beide Regelwerke gelten nebeneinander. Die KI-Verordnung reguliert das KI-System, die DSGVO die personenbezogenen Daten. Wer KI einsetzt, die personenbezogene Daten verarbeitet, muss beide einhalten. Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO tritt neben die Grundrechte-Folgenabschätzung nach Art. 27 KI-VO. Der EuGH hat in Rs. C-203/22 die Erklärbarkeit automatisierter Scoring-Entscheidungen verschärft.

Brauchen Unternehmen einen KI-Beauftragten?

Nein. Die KI-Verordnung schreibt keinen KI-Beauftragten analog zum Datenschutzbeauftragten vor. Unternehmen können Verantwortlichkeiten intern regeln, etwa bei der Compliance- oder IT-Leitung. Eine Einbindung des Datenschutzbeauftragten ist möglich, sofern dessen Unabhängigkeit gewahrt bleibt. Die Bundesnetzagentur bietet hierzu Orientierungshilfen für KMU an.

Was müssen Betreiber von Hochrisiko-KI beachten?

Nach Art. 26 KI-VO müssen Betreiber Hochrisiko-KI gemäß der Betriebsanleitung einsetzen, die menschliche Aufsicht kompetenten Personen übertragen, Eingabedaten prüfen, den Betrieb überwachen, Vorfälle melden und Protokolle mindestens sechs Monate aufbewahren. Vor der Inbetriebnahme am Arbeitsplatz müssen Arbeitnehmervertreter unterrichtet werden. Bei Systemen nach Anhang III müssen betroffene Personen über den KI-Einsatz informiert werden.

Welche Transparenzpflichten gelten für generative KI?

Art. 50 KI-VO verlangt, dass Chatbots als KI erkennbar sind, Deepfakes als künstlich erzeugt gekennzeichnet werden und KI-generierte Texte zu öffentlichen Themen offengelegt werden. Die Kennzeichnung muss maschinenlesbar erfolgen, der C2PA-Standard dient als technische Referenz. Die Pflichten gelten unabhängig von der Risikoklasse und betreffen praktisch jedes Unternehmen, das generative KI in Kundenkommunikation oder Content-Produktion einsetzt.

Noch offene Fragen?

Wir begleiten Sie vom KI-Inventar über die Risikoklassifizierung bis zur vertraglichen Absicherung und zur Schulungsdokumentation.

Jetzt Ersteinschätzung anfragen

Beliebte Ratgeber

Zwei Fäuste prallen von beiden Seiten gegen ein schwebendes gläsernes Copyright-Zeichen, das an den Kontaktstellen bricht

Markenrecht

KI-Verordnung für Unternehmen einfach erklärt

Das Wichtigste in Kürze

Individuelle Prüfung

Was ist die KI-Verordnung?

Ziel der Verordnung

Abgrenzung: KI-System, KI-Modell, GPAI

Wen betrifft die KI-Verordnung?

Wann gelten Sie als Anbieter?

Wann gelten Sie als Betreiber?

Wann werden Betreiber zu Anbietern?

Territoriale Reichweite

Wie ist das Risikomodell aufgebaut?

Verbotene Praktiken

Hochrisiko-KI und Anhang III

Ausnahme von der Hochrisiko-Einstufung

KI mit begrenztem Risiko

KI mit minimalem Risiko

Welche Fristen gelten und was wirkt bereits heute?

Zur Verschiebungsdiskussion

KI-Kompetenz: Die unterschätzte Pflicht aller Unternehmen

Wer muss geschult werden?

Was muss der Inhalt der Schulung sein?

Dokumentation der Schulungsmaßnahmen

Kein KI-Beauftragter nötig

Praxis-Hinweis zur KI-Kompetenz

Welche Pflichten gelten bei Hochrisiko-KI?

Anforderungen an das System

Anbieterpflichten

Betreiberpflichten

Grundrechte-Folgenabschätzung

Transparenzpflichten für generative KI

Chatbot-Kennzeichnung

Deepfake-Kennzeichnung

Kennzeichnung KI-generierter Inhalte

GPAI: Was gilt für große Sprachmodelle?

Pflichten der Modellanbieter

Systemisches Risiko bei sehr leistungsfähigen Modellen

GPAI Code of Practice

Bußgelder und Haftung

Schonregel für kleine und mittlere Unternehmen

Sanktionen bei GPAI

Persönliche Haftung der Geschäftsführung

Verhältnis zur Datenschutz-Grundverordnung

Art. 22 DSGVO und die KI-Verordnung

Grundsatzentscheidung zur Transparenz automatisierter Scoring-Entscheidungen

EDPB-Stellungnahme zur KI und Datenschutz

Datenschutz-Folgenabschätzung bei KI-Einsatz

Abgrenzung zu weiteren Regelwerken

Branchenspezifische Anforderungen

Personalwesen und Recruiting

Finanzdienstleister und Banken

Versicherungen

Gesundheit und Medizinprodukte

Kritische Infrastruktur

Bildung

E-Commerce, Marketing und Chatbots

Häufige Missverständnisse

Deutsche Umsetzung und Zuständigkeiten

Rolle der Bundesnetzagentur

Sektorale Zuständigkeiten

Europäische Ebene

Praxis-Empfehlungen für Unternehmen

Häufige Fehler vermeiden

Wann anwaltliche Unterstützung sinnvoll ist

Fazit

Häufige Fragen

Was regelt die KI-Verordnung?

Welche Fristen gelten für die KI-Verordnung?

Was ist der Unterschied zwischen Anbieter und Betreiber?

Was bedeutet KI-Kompetenz nach Art. 4?

Welche KI-Praktiken sind verboten?

Was ist Hochrisiko-KI und wer ist betroffen?

Welche Bußgelder drohen bei Verstößen gegen die KI-Verordnung?

Wie hängen KI-Verordnung und DSGVO zusammen?

Brauchen Unternehmen einen KI-Beauftragten?

Was müssen Betreiber von Hochrisiko-KI beachten?

Welche Transparenzpflichten gelten für generative KI?

Bösgläubige Markenanmeldung abwehren

E-Commerce Compliance für Online-Händler

Gesellschaftsvertrag GmbH richtig gestalten