KI-Gesetz der EU: Was Sich 2026 für Unternehmen und Bürger Ändert

Das KI-Gesetz der EU (offiziell: EU AI Act, Verordnung 2024/1689) ist das weltweit erste umfassende Regelwerk für künstliche Intelligenz. Nach seinem Inkrafttreten am 1. August 2024 treten zwischen 2025 und 2027 schrittweise verbindliche Pflichten in Kraft, die Unternehmen, Behörden und Entwickler grundlegend verändern werden. In diesem Leitfaden erfahren Sie, was sich konkret ändert, welche Risikoklassen definiert sind und wie Sie sich rechtzeitig vorbereiten.

Was ist das KI-Gesetz der EU?

Das KI-Gesetz der EU ist eine Verordnung, die den Einsatz von künstlicher Intelligenz innerhalb der Europäischen Union regelt. Es verfolgt einen risikobasierten Ansatz: Je höher das potenzielle Risiko eines KI-Systems für Grundrechte, Sicherheit oder Demokratie, desto strenger sind die Anforderungen.

Die Verordnung gilt extraterritorial – das heißt, sie betrifft auch Unternehmen außerhalb der EU, sofern deren KI-Produkte auf dem europäischen Markt eingesetzt werden. Damit ähnelt der AI Act in seiner Reichweite der DSGVO, die ebenfalls global wirkt.

Zentrale Ziele des KI-Gesetzes

1. Schutz der Grundrechte: Verhinderung von Diskriminierung, Massenüberwachung und Manipulation.
2. Förderung vertrauenswürdiger KI: Transparenz, Nachvollziehbarkeit und menschliche Aufsicht.
3. Rechtssicherheit für Unternehmen: Harmonisierte Regeln statt nationaler Flickenteppich.
4. Innovationsförderung: Regulatorische Sandkästen und Erleichterungen für KMU und Start-ups.

Die vier Risikoklassen des AI Act

Das Herzstück des KI-Gesetzes ist die Einteilung von KI-Systemen in vier Risikokategorien. Jede Klasse bringt unterschiedliche rechtliche Konsequenzen mit sich.

Risikoklasse	Beispiele	Rechtsfolge
Unannehmbares Risiko	Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung im öffentlichen Raum	Verboten
Hohes Risiko	KI in Personalauswahl, Bildung, Kreditvergabe, kritischer Infrastruktur	Strenge Pflichten (Konformitätsbewertung, Dokumentation)
Begrenztes Risiko	Chatbots, Deepfakes, generative KI	Transparenzpflichten (Kennzeichnung)
Minimales Risiko	Spam-Filter, KI in Videospielen	Keine spezifischen Pflichten

Verbotene KI-Praktiken (seit Februar 2025)

Bereits seit dem 2. Februar 2025 sind bestimmte Anwendungen vollständig untersagt. Dazu gehören:

• Systeme zur sozialen Bewertung von Personen durch Behörden (Social Scoring).
• KI, die menschliches Verhalten unterschwellig manipuliert.
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.
• Ungezielte Auswertung von Gesichtsbildern aus dem Internet zur Erstellung biometrischer Datenbanken.
• Biometrische Kategorisierung nach sensiblen Merkmalen (Ethnie, Religion, sexuelle Orientierung).

Zeitplan: Wann gilt was?

Das KI-Gesetz tritt nicht auf einen Schlag in Kraft, sondern wird gestaffelt eingeführt. Der folgende Zeitplan zeigt die wichtigsten Meilensteine.

Datum	Was tritt in Kraft?
1. August 2024	Inkrafttreten der Verordnung
2. Februar 2025	Verbote bestimmter KI-Praktiken; KI-Kompetenzpflicht für Mitarbeitende
2. August 2025	Regeln für General-Purpose-AI (GPAI) wie ChatGPT, Gemini, Claude
2. August 2026	Hauptanwendung: Pflichten für Hochrisiko-KI-Systeme
2. August 2027	Vollständige Anwendung auch auf bereits regulierte Produkte (z. B. Medizinprodukte)

Pflichten für Hochrisiko-KI-Systeme

Hochrisiko-KI bildet das Kernstück der Regulierung. Anbieter solcher Systeme müssen ein umfassendes Compliance-Programm aufbauen, bevor das Produkt auf den Markt kommt.

Die wichtigsten Anforderungen im Überblick

1. Risikomanagementsystem: Kontinuierliche Identifikation und Minimierung von Risiken über den gesamten Lebenszyklus.
2. Daten-Governance: Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ und möglichst fehlerfrei sein.
3. Technische Dokumentation: Detaillierte Unterlagen über Funktionsweise, Architektur und Leistungsfähigkeit.
4. Protokollierung: Automatische Aufzeichnung von Ereignissen (Logs) zur Nachvollziehbarkeit.
5. Transparenz gegenüber Nutzern: Klare Bedienungsanleitungen und Hinweise auf Grenzen des Systems.
6. Menschliche Aufsicht: Möglichkeit des Eingreifens oder Abschaltens durch qualifiziertes Personal.
7. Robustheit, Genauigkeit und Cybersicherheit: Schutz vor Manipulation und Angriffen.
8. Konformitätsbewertung: Vor Inverkehrbringen ist ein Konformitätsverfahren durchzuführen, vergleichbar mit der CE-Kennzeichnung.

General-Purpose AI: Sonderregeln für ChatGPT & Co.

Generative KI-Modelle wie GPT-4, Gemini oder Llama fallen unter den Begriff General-Purpose AI (GPAI). Seit August 2025 gelten für diese eigene Pflichten.

Standardpflichten für alle GPAI-Anbieter

• Erstellung und Pflege technischer Dokumentation.
• Bereitstellung von Informationen für nachgelagerte Anbieter.
• Einhaltung des EU-Urheberrechts, insbesondere bei Trainingsdaten.
• Veröffentlichung einer Zusammenfassung der verwendeten Trainingsdaten.

Zusätzliche Pflichten bei systemischem Risiko

Modelle mit besonders hoher Rechenleistung (über 10^25 FLOPs) gelten als systemisch riskant. Für sie kommen hinzu:

• Modellbewertungen inklusive adversarialer Tests (Red-Teaming).
• Meldung schwerwiegender Vorfälle an das EU AI Office.
• Bewertung und Minderung systemischer Risiken.
• Angemessenes Maß an Cybersicherheit.

Transparenzpflichten bei Chatbots und Deepfakes

Auch KI-Systeme mit begrenztem Risiko unterliegen klaren Transparenzregeln. Diese betreffen viele Unternehmen, die KI in Marketing, Service oder Content-Produktion einsetzen.

• Chatbots: Nutzer müssen erkennen können, dass sie mit einer Maschine kommunizieren.
• Deepfakes: Synthetisch erzeugte Bilder, Videos oder Audios müssen als solche gekennzeichnet werden.
• KI-generierte Texte: Bei Inhalten zu Themen von öffentlichem Interesse besteht Kennzeichnungspflicht.
• Emotionserkennung & biometrische Kategorisierung: Information der betroffenen Personen ist verpflichtend.

KI-Kompetenz: Schulungspflicht seit Februar 2025

Artikel 4 des KI-Gesetzes verlangt von Anbietern und Betreibern, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Diese Pflicht gilt bereits seit Februar 2025 und betrifft praktisch jedes Unternehmen, das KI einsetzt.

Konkret bedeutet das:

1. Identifikation aller Mitarbeitenden, die mit KI-Systemen arbeiten.
2. Entwicklung eines Schulungsplans, abgestimmt auf Rolle und Risiko.
3. Dokumentation der durchgeführten Trainings.
4. Regelmäßige Aktualisierung der Inhalte bei neuen Systemen oder Vorschriften.

Bußgelder: Die finanziellen Folgen bei Verstößen

Die Sanktionen des KI-Gesetzes orientieren sich an der DSGVO – teilweise sind sie sogar höher. Verstöße können existenzbedrohend sein.

Verstoß	Maximales Bußgeld
Verbotene KI-Praktiken	Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Verstoß gegen Pflichten für Hochrisiko-KI	Bis zu 15 Mio. € oder 3 % des Umsatzes
Falsche Informationen an Behörden	Bis zu 7,5 Mio. € oder 1 % des Umsatzes
KMU und Start-ups	Es gilt jeweils der niedrigere Betrag

Was bedeutet das KI-Gesetz für deutsche Unternehmen?

Die Aufsicht in Deutschland wird voraussichtlich gemeinsam von Bundesnetzagentur, BfDI und den Landesdatenschutzbehörden ausgeübt. Ein nationales KI-Umsetzungsgesetz ist in Vorbereitung.

Pros: Chancen für Unternehmen

• Rechtssicherheit durch klare europaweite Regeln.
• Wettbewerbsvorteil durch vertrauenswürdige, zertifizierte KI.
• Förderung über regulatorische Sandkästen, insbesondere für KMU.
• Stärkung der Marke durch nachweisbare Compliance.

Cons: Herausforderungen

• Hoher Dokumentations- und Bürokratieaufwand.
• Unsicherheit bei Auslegung einzelner Begriffe (z. B. „systemisches Risiko").
• Mögliche Wettbewerbsnachteile gegenüber Anbietern aus weniger regulierten Märkten.
• Kosten für Schulungen, Audits und Konformitätsbewertungen.

In 7 Schritten zur AI-Act-Compliance

Unternehmen, die KI einsetzen oder entwickeln, sollten ihre Vorbereitung systematisch angehen. Der folgende Fahrplan hilft beim Einstieg.

1. Bestandsaufnahme: Inventarisieren Sie alle eingesetzten KI-Systeme inklusive Schatten-KI in Fachabteilungen.
2. Risikoklassifizierung: Ordnen Sie jedes System einer der vier Risikoklassen zu.
3. Gap-Analyse: Prüfen Sie, welche Pflichten heute schon erfüllt werden und wo Lücken bestehen.
4. Governance etablieren: Benennen Sie eine verantwortliche Stelle (KI-Beauftragte:r) und definieren Sie Prozesse.
5. Schulungen umsetzen: Rollen-spezifische KI-Kompetenz aufbauen und dokumentieren.
6. Technische und organisatorische Maßnahmen: Logging, Monitoring, menschliche Aufsicht und Cybersicherheit implementieren.
7. Lieferantenmanagement: Verträge mit KI-Anbietern überprüfen und um AI-Act-Klauseln ergänzen.

KI-Gesetz und Datenschutz: Das Zusammenspiel mit der DSGVO

Das KI-Gesetz ersetzt die DSGVO nicht, sondern ergänzt sie. Werden personenbezogene Daten verarbeitet, gelten beide Regelwerke parallel. Mehr zum Spannungsfeld zwischen KI und Datenschutz lesen Sie in unserem Beitrag KI und Datenschutz 2026.

Praktische Konsequenz: Bei Hochrisiko-KI ist regelmäßig eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen, ergänzt durch die Grundrechte-Folgenabschätzung (FRIA) nach AI Act.

Praktischer Datenschutz im KI-Zeitalter

Während das KI-Gesetz Anbieter und Betreiber in die Pflicht nimmt, sollten auch Privatpersonen ihre digitale Souveränität stärken. Sichere Kommunikation, datensparsame Tools und der bewusste Umgang mit Links sind Grundpfeiler. Wer beispielsweise Links teilen möchte, ohne unnötig Daten preiszugeben, kann auf datenschutzfreundliche Dienste wie Lunyb setzen – einen URL-Kürzer mit Fokus auf Privatsphäre und Sicherheit. Weitere Empfehlungen finden Sie unter Bitly-Alternativen 2026 und im Leitfaden zum Schutz vor QR-Code-Betrug.

Auch das Thema ganzheitliche Cybersicherheit gewinnt an Bedeutung. Wie sich Unternehmen und Behörden in der DACH-Region wappnen, zeigt unser Überblick zur Cybersicherheit in der Schweiz 2026.

Häufig gestellte Fragen (FAQ)

Gilt das KI-Gesetz auch für Unternehmen außerhalb der EU?

Ja. Das KI-Gesetz wirkt extraterritorial. Sobald ein KI-System in der EU eingesetzt wird oder dessen Ergebnisse hier genutzt werden, gilt die Verordnung – unabhängig davon, wo der Anbieter sitzt. Das betrifft insbesondere US-amerikanische und chinesische Anbieter.

Müssen kleine Unternehmen das KI-Gesetz vollständig umsetzen?

Grundsätzlich ja. Allerdings sieht der AI Act erleichterte Verfahren für KMU und Start-ups vor, etwa vereinfachte Dokumentation, reduzierte Gebühren und priorisierten Zugang zu regulatorischen Sandkästen. Die Schulungspflicht zur KI-Kompetenz gilt jedoch ausnahmslos.

Was zählt als Hochrisiko-KI?

Hochrisiko-KI ist in Anhang III des AI Act aufgeführt. Dazu gehören Systeme in Bereichen wie Personalauswahl, Bildungsbewertung, Kreditwürdigkeitsprüfung, biometrische Identifizierung, kritische Infrastruktur, Strafverfolgung sowie Komponenten, die unter EU-Produktsicherheitsregeln (z. B. Medizinprodukte) fallen.

Wer überwacht die Einhaltung des KI-Gesetzes in Deutschland?

Auf EU-Ebene koordiniert das neu geschaffene EU AI Office, insbesondere für GPAI. In Deutschland sind voraussichtlich die Bundesnetzagentur als Marktüberwachungsbehörde sowie BfDI und Landesdatenschutzbehörden für datenschutzrelevante Aspekte zuständig. Ein nationales KI-Umsetzungsgesetz konkretisiert die Zuständigkeiten.

Ab wann drohen die ersten Bußgelder?

Bußgelder für verbotene Praktiken können seit dem 2. August 2025 verhängt werden. Sanktionen für Verstöße gegen GPAI-Pflichten folgen ab August 2026, die volle Sanktionsmöglichkeit für Hochrisiko-KI greift ebenfalls ab August 2026. Aufsichtsbehörden bauen aktuell ihre Strukturen auf, sodass mit ersten Verfahren ab 2026 zu rechnen ist.