facebook-pixel
L
Lunyb

KI-Gesetz der EU: Was Sich 2026 Ändert (AI Act Leitfaden)

L
Lunyb Sicherheitsteam
··8 min read

Das KI-Gesetz der EU (offiziell EU Artificial Intelligence Act, kurz AI Act) ist die weltweit erste umfassende Regulierung künstlicher Intelligenz. Es trat am 1. August 2024 in Kraft und wird schrittweise bis 2027 vollständig anwendbar. Für Unternehmen, Behörden und Entwickler in der EU – und für alle, die KI-Systeme auf dem europäischen Markt anbieten – ergeben sich erhebliche neue Pflichten. Dieser Leitfaden erklärt, was sich konkret ändert, welche Fristen gelten und wie Sie sich vorbereiten.

Was ist das KI-Gesetz der EU?

Das EU-KI-Gesetz (Verordnung 2024/1689) ist ein verbindlicher Rechtsrahmen, der den Einsatz künstlicher Intelligenz in der Europäischen Union regelt. Es verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Anforderungen.

Das Gesetz gilt nicht nur für Anbieter mit Sitz in der EU, sondern auch für Unternehmen außerhalb Europas, deren KI-Systeme in der EU genutzt werden – ähnlich wie die DSGVO. Damit wird der AI Act zum globalen Maßstab, vergleichbar mit dem „Brüsseler Effekt" der Datenschutz-Grundverordnung.

Wichtigste Ziele des AI Act

  • Schutz von Grundrechten und Sicherheit der Bürger
  • Rechtssicherheit für Anbieter und Nutzer von KI
  • Förderung vertrauenswürdiger, transparenter KI
  • Harmonisierung der KI-Regeln im EU-Binnenmarkt
  • Verhinderung diskriminierender oder manipulativer KI-Anwendungen

Die vier Risikoklassen im Überblick

Das Herzstück des KI-Gesetzes ist die Einteilung von KI-Systemen in vier Risikostufen. Davon hängen ab, welche Pflichten gelten – oder ob ein System überhaupt erlaubt ist.

Risikoklasse Beispiele Regelungen
Unannehmbares Risiko Social Scoring, manipulative Systeme, Echtzeit-Gesichtserkennung im öffentlichen Raum (mit Ausnahmen) Verboten
Hohes Risiko KI in Personalauswahl, Kreditvergabe, kritischer Infrastruktur, Medizinprodukten, Strafverfolgung Strenge Anforderungen: Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht
Begrenztes Risiko Chatbots, Deepfakes, KI-generierte Inhalte Transparenzpflicht: Nutzer müssen erkennen, dass sie mit KI interagieren
Minimales Risiko Spamfilter, KI in Videospielen, Empfehlungssysteme Keine besonderen Pflichten, freiwillige Verhaltenskodizes empfohlen

Was ist konkret verboten?

Seit dem 2. Februar 2025 sind bestimmte KI-Praktiken in der EU vollständig verboten. Dazu gehören:

  1. Social Scoring durch Behörden – Bewertung von Bürgern nach Sozialverhalten wie in China
  2. Manipulative KI, die unterschwellige Techniken einsetzt, um Verhalten zu beeinflussen
  3. Ausnutzung von Schwächen bestimmter Personengruppen (Kinder, Senioren, Menschen mit Behinderung)
  4. Biometrische Kategorisierung nach sensiblen Merkmalen wie politischer Meinung, Religion oder sexueller Orientierung
  5. Untargeted Scraping von Gesichtsbildern aus dem Internet oder von Überwachungskameras zum Aufbau von Gesichtserkennungsdatenbanken
  6. Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen (außer aus medizinischen oder Sicherheitsgründen)
  7. Predictive Policing rein auf Basis von Profiling
  8. Echtzeit-Fernidentifizierung per Biometrie im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung)

Pflichten für Hochrisiko-KI-Systeme

Die Mehrheit der regulatorischen Last betrifft Hochrisiko-Systeme. Anbieter müssen ein umfassendes Compliance-Programm einrichten:

Anforderungen an Anbieter

  • Risikomanagementsystem über den gesamten Lebenszyklus
  • Daten-Governance: Trainingsdaten müssen repräsentativ, fehlerfrei und vollständig sein
  • Technische Dokumentation vor Markteintritt
  • Protokollierung automatischer Ereignisse (Logs)
  • Transparenz gegenüber Nutzern und Behörden
  • Menschliche Aufsicht muss möglich sein
  • Genauigkeit, Robustheit und Cybersicherheit nachweisen
  • CE-Kennzeichnung und Registrierung in einer EU-Datenbank

Pflichten für Betreiber

Auch Unternehmen, die ein Hochrisiko-KI-System lediglich einsetzen (z. B. eine Personalabteilung mit KI-Bewerberscreening), tragen Verantwortung: Sie müssen Anweisungen des Anbieters einhalten, menschliche Aufsicht sicherstellen, Logs aufbewahren und betroffene Personen informieren.

Sonderregeln für generative KI (GPAI)

General-Purpose AI Models (GPAI) wie GPT-4, Gemini, Claude oder Llama unterliegen seit August 2025 eigenen Regeln. Anbieter müssen:

  • Eine technische Dokumentation bereitstellen
  • Eine Zusammenfassung der Trainingsdaten veröffentlichen
  • Urheberrechte respektieren (EU-Copyright-Richtlinie)
  • Bei systemischen Risiken (Modelle mit mehr als 10^25 FLOPs Trainingsleistung) zusätzliche Pflichten erfüllen: Modellevaluierung, Adversarial Testing, Cybersicherheit, Vorfallmeldung

Für Deepfakes und KI-generierte Inhalte gilt zudem eine Kennzeichnungspflicht: Nutzer müssen erkennen können, dass Bilder, Videos oder Audios künstlich erzeugt wurden.

Zeitplan: Wann gilt was?

Der AI Act tritt gestaffelt in Kraft. Diese Übersicht zeigt die wichtigsten Fristen:

Datum Was tritt in Kraft?
1. August 2024 Verordnung tritt offiziell in Kraft
2. Februar 2025 Verbote (Art. 5) und KI-Kompetenzpflicht (Art. 4) anwendbar
2. August 2025 Regeln für GPAI-Modelle, Sanktionen, Governance-Struktur
2. August 2026 Hauptanwendung: Hochrisiko-Systeme (Anhang III), Transparenzregeln
2. August 2027 Vollständige Anwendung – auch Hochrisiko-Systeme nach Anhang I (z. B. Medizinprodukte)

Strafen: Was kostet ein Verstoß?

Die Bußgelder im KI-Gesetz orientieren sich an der DSGVO – und übertreffen sie teilweise sogar:

  • Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen die Verbote (Art. 5)
  • Bis zu 15 Mio. € oder 3 % des Umsatzes bei Verstößen gegen andere Pflichten (z. B. Hochrisiko-Anforderungen)
  • Bis zu 7,5 Mio. € oder 1 % des Umsatzes bei falschen Angaben gegenüber Behörden

Für KMU und Start-ups gelten reduzierte Sätze. Zuständig sind die jeweiligen nationalen Marktüberwachungsbehörden – in Deutschland voraussichtlich die Bundesnetzagentur, das BSI und der BfDI für datenschutzrelevante Aspekte.

Was bedeutet das für Unternehmen?

Auch wenn Sie kein KI-Anbieter sind: Wenn Ihr Unternehmen KI-Tools einsetzt – etwa für HR, Marketing, Kundenservice oder Sicherheitsanalysen – sind Sie betroffen. Folgende Schritte sollten Sie jetzt angehen:

7-Schritte-Plan zur AI-Act-Compliance

  1. KI-Inventar erstellen: Welche Systeme nutzen Sie? Eigenentwicklung oder eingekauft?
  2. Risikoklassifizierung: Welche Risikostufe trifft auf jedes System zu?
  3. Lücken-Analyse: Welche Anforderungen werden bereits erfüllt, welche nicht?
  4. Governance aufbauen: Verantwortlichkeiten, Richtlinien, Prozesse definieren
  5. Mitarbeiter schulen: Die KI-Kompetenzpflicht (Art. 4) gilt seit Februar 2025
  6. Verträge prüfen: Pflichten der Anbieter dokumentieren, Haftung klären
  7. Monitoring etablieren: Kontinuierliche Überwachung von KI-Systemen und Vorfällen

KI-Gesetz und Datenschutz: das Zusammenspiel mit der DSGVO

Der AI Act ergänzt die DSGVO, ersetzt sie aber nicht. Wer personenbezogene Daten verarbeitet, muss beide Gesetze einhalten. Wichtige Schnittstellen:

  • Rechtsgrundlage für Datenverarbeitung bleibt DSGVO-Aufgabe
  • Datenschutz-Folgenabschätzung (DSFA) ist oft zusätzlich erforderlich
  • Betroffenenrechte (Auskunft, Löschung) bleiben bestehen
  • Automatisierte Entscheidungen unterliegen weiterhin Art. 22 DSGVO

Wer wissen möchte, wie viele Daten ohnehin schon über ihn gesammelt werden, findet in unserem Beitrag Was Google über Sie weiß einen guten Einstieg ins Thema digitale Selbstbestimmung.

Auswirkungen auf Verbraucher

Für Bürgerinnen und Bürger bringt das KI-Gesetz konkrete neue Rechte:

  • Transparenz: Sie müssen wissen, wenn Sie mit einem Chatbot sprechen oder einen Deepfake sehen
  • Erklärbarkeit: Bei Hochrisiko-Entscheidungen (z. B. Kreditablehnung) haben Sie Anspruch auf Erläuterung
  • Beschwerderecht bei der nationalen Aufsichtsbehörde
  • Schutz vor verbotenen Praktiken wie Social Scoring oder manipulativer KI

Zusammen mit anderen Schutzmaßnahmen – etwa dem Erkennen von Phishing-Angriffen oder dem sicheren Verhalten in öffentlichen WLANs – stärkt der AI Act die digitale Resilienz von Verbrauchern erheblich.

Die Rolle von Vertrauen und sicheren Tools

Mit zunehmender Verbreitung von KI-generierten Inhalten, Deepfakes und automatisierten Phishing-Kampagnen wird die Verifizierung digitaler Inhalte und Links immer wichtiger. Datenschutzfreundliche Tools wie Lunyb – ein URL-Shortener, der ohne aggressives Tracking arbeitet und Sicherheitsfunktionen integriert – können helfen, das Vertrauen in digitale Kommunikation aufrechtzuerhalten. Wer mehr über transparente Alternativen erfahren möchte, findet im Vergleich Lunyb vs Bitly einen Überblick.

Was gilt in der Schweiz?

Die Schweiz ist als Nicht-EU-Mitglied formal nicht an den AI Act gebunden. Allerdings müssen Schweizer Unternehmen, die KI-Systeme in der EU anbieten oder einsetzen, die Verordnung befolgen. Zudem prüft der Bundesrat eine eigene Regulierung mit Anlehnung an den AI Act. Mehr zur regulatorischen Lage finden Sie in unserem Artikel zur Cybersicherheit in der Schweiz 2026.

Kritik und offene Fragen

Der AI Act ist nicht unumstritten. Häufige Kritikpunkte:

  • Bürokratischer Aufwand für Start-ups und KMU
  • Unklare Definitionen, was genau ein „KI-System" ist
  • Innovationshemmnis: Gefahr, dass europäische KI-Entwicklung zurückfällt
  • Ausnahmen für Strafverfolgung könnten Grundrechte aushöhlen
  • Vollzugsdefizite wie schon bei der DSGVO befürchtet

Befürworter argumentieren dagegen, dass klare Regeln gerade Vertrauen schaffen und somit Innovation langfristig fördern – ähnlich wie die DSGVO Datenschutz „Made in Europe" zum Qualitätsmerkmal gemacht hat.

Fazit: Vorbereitung ist alles

Das KI-Gesetz der EU markiert einen historischen Wendepunkt. Erstmals existiert ein umfassender, verbindlicher Rechtsrahmen für künstliche Intelligenz – mit globaler Strahlkraft. Für Unternehmen heißt das: Jetzt handeln. Die ersten Pflichten gelten bereits, die Hauptanwendung beginnt im August 2026, und die Strafen sind empfindlich hoch.

Wer frühzeitig ein KI-Inventar erstellt, Risiken klassifiziert, Mitarbeiter schult und Governance aufbaut, ist auf der sicheren Seite. Für Bürger bringt der AI Act mehr Transparenz, mehr Schutz vor Manipulation und ein klares Recht zu wissen, wann KI im Spiel ist.

Häufig gestellte Fragen (FAQ)

Gilt das KI-Gesetz auch für US-amerikanische Unternehmen?

Ja. Wie die DSGVO hat der AI Act extraterritoriale Wirkung. Sobald ein KI-System in der EU angeboten oder dessen Ergebnisse in der EU genutzt werden, gilt die Verordnung – unabhängig vom Sitz des Anbieters. Verstöße können auch gegen Unternehmen aus den USA, Großbritannien oder China verhängt werden.

Muss ich ChatGPT, Copilot oder Gemini im Unternehmen verbieten?

Nein, der Einsatz solcher Tools ist grundsätzlich erlaubt. Sie müssen aber sicherstellen, dass (1) Mitarbeiter ausreichend KI-Kompetenz besitzen, (2) bei der Verarbeitung personenbezogener Daten DSGVO eingehalten wird, (3) Transparenz gegenüber Kunden besteht, wenn KI-generierte Inhalte verwendet werden, und (4) keine Hochrisiko-Anwendungen ohne entsprechende Compliance erfolgen.

Was ist die „KI-Kompetenzpflicht"?

Artikel 4 des AI Act verpflichtet seit Februar 2025 alle Anbieter und Betreiber von KI-Systemen, sicherzustellen, dass ihr Personal und beauftragte Dritte über ausreichende KI-Kompetenz verfügen. Konkret bedeutet das: Schulungen, klare Richtlinien und dokumentiertes Verständnis der eingesetzten KI – angepasst an die jeweilige Rolle.

Welche Behörde ist in Deutschland zuständig?

Die finale Struktur wird derzeit gesetzlich festgelegt. Voraussichtlich übernimmt die Bundesnetzagentur die Hauptkoordination, während BSI, BfDI und sektorspezifische Behörden (z. B. BaFin im Finanzbereich) eigene Zuständigkeiten behalten. Auf EU-Ebene koordiniert das neue AI Office bei der EU-Kommission die Aufsicht über GPAI-Modelle.

Reicht eine DSGVO-Compliance, um auch AI-Act-konform zu sein?

Nein. DSGVO und AI Act haben unterschiedliche Schutzziele. Die DSGVO schützt personenbezogene Daten, der AI Act adressiert Sicherheit, Grundrechte und Transparenz von KI-Systemen insgesamt. Beide Regelwerke müssen parallel eingehalten werden, ergänzen sich aber sinnvoll. Eine bestehende DSGVO-Governance ist allerdings eine gute Basis für AI-Act-Compliance.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

DSG: Das Schweizer Datenschutzgesetz Einfach Erklärt (2026)

Das revidierte Schweizer Datenschutzgesetz (revDSG) gilt seit 1. September 2023 und bringt umfassende neue Pflichten für Unternehmen. Erfahren Sie alles über Grundsätze, Pflichten, Rechte und Sanktionen – sowie die wichtigsten Unterschiede zur DSGVO.

8 min

EDÖB Beschwerde Einreichen: So Gehen Sie Schritt für Schritt Vor (2026)

Erfahren Sie Schritt für Schritt, wie Sie eine Beschwerde beim EDÖB einreichen. Dieser umfassende Leitfaden 2026 erklärt Voraussetzungen, Ablauf, neue Befugnisse seit dem revDSG und liefert einen praxiserprobten Musterbrief für Ihre Datenschutzbeschwerde in der Schweiz.

8 min

DSGVO Einfach Erklärt 2026: Der Komplette Leitfaden für Verbraucher und Unternehmen

Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft und prägt den Umgang mit personenbezogenen Daten in der EU. Dieser Leitfaden erklärt die wichtigsten Regelungen verständlich und zeigt, was sich 2026 für Sie ändert.

7 min

Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026

Das österreichische Datenschutzgesetz (DSG) regelt gemeinsam mit der DSGVO den Schutz personenbezogener Daten in Österreich. In diesem Leitfaden erklären wir die wichtigsten Bestimmungen, Rechte und Pflichten verständlich und praxisnah.

8 min