facebook-pixel

KI-Gesetz der EU 2026: Was sich für Unternehmen jetzt ändert

L
Lunyb Sicherheitsteam
··8 min read

Das KI-Gesetz der EU (AI Act) ist die weltweit erste umfassende Regulierung künstlicher Intelligenz. Nach dem stufenweisen Inkrafttreten seit August 2024 kommen 2026 die entscheidenden Pflichten für Unternehmen. Wer KI-Systeme entwickelt, vertreibt oder einsetzt, muss jetzt handeln. Dieser Leitfaden erklärt Ihnen kompakt und praxisnah, was sich ändert, welche Fristen gelten und wie Sie Ihr Unternehmen rechtssicher aufstellen.

Was ist das KI-Gesetz der EU?

Das KI-Gesetz der EU (Verordnung (EU) 2024/1689), international bekannt als „AI Act", ist eine europäische Verordnung, die den Einsatz künstlicher Intelligenz in der Europäischen Union einheitlich regelt. Sie wurde am 13. Juni 2024 verabschiedet und trat am 1. August 2024 in Kraft. Ziel ist es, das Vertrauen in KI-Systeme zu stärken, Grundrechte zu schützen und gleichzeitig Innovation zu ermöglichen.

Ähnlich wie die DSGVO im Datenschutzbereich setzt der AI Act globale Maßstäbe. Er gilt nicht nur für Unternehmen mit Sitz in der EU, sondern für alle Anbieter und Betreiber, deren KI-Ergebnisse in der EU verwendet werden – der sogenannte extraterritoriale Anwendungsbereich.

Die vier Risikoklassen im Überblick

Das KI-Gesetz verfolgt einen risikobasierten Ansatz. Je höher das Risiko für Grundrechte und Sicherheit, desto strenger die Pflichten:

  1. Unannehmbares Risiko: Verboten (z. B. Social Scoring, manipulative Systeme, ungezielte Gesichtsdatenbanken).
  2. Hohes Risiko: Streng reguliert (z. B. KI im Personalwesen, in Bildung, Justiz, kritischer Infrastruktur).
  3. Begrenztes Risiko: Transparenzpflichten (z. B. Chatbots, Deepfakes).
  4. Minimales Risiko: Weitgehend unreguliert (z. B. Spamfilter, Videospiele).

Zeitplan: Wann welche Pflichten greifen

Der AI Act tritt gestaffelt in Kraft. Diese Übersicht zeigt, welche Regeln bereits gelten und was noch kommt:

DatumWas giltBetroffene
1. August 2024Inkrafttreten der VerordnungAlle
2. Februar 2025Verbote unannehmbarer KI-Praktiken, KI-KompetenzpflichtAlle Anbieter und Betreiber
2. August 2025Pflichten für GPAI-Modelle (General Purpose AI), Governance-Regeln, SanktionenAnbieter großer KI-Modelle
2. August 2026Hauptanwendungsdatum: Pflichten für Hochrisiko-KI (Anhang III), TransparenzpflichtenAnbieter und Betreiber
2. August 2027Pflichten für Hochrisiko-KI in regulierten Produkten (Anhang I)Hersteller regulierter Produkte

Verbotene KI-Praktiken seit Februar 2025

Seit dem 2. Februar 2025 sind bestimmte KI-Anwendungen in der EU vollständig untersagt. Verstöße können mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden.

Zu den verbotenen Anwendungen zählen:

  • KI-Systeme mit unterschwelliger oder manipulativer Beeinflussung
  • Ausnutzung von Schutzbedürftigkeit (Alter, Behinderung, soziale Lage)
  • Social Scoring durch Behörden
  • Vorhersage individueller Straftaten allein auf Basis von Profiling
  • Ungezielte Auswertung von Gesichtsbildern aus dem Internet oder Videoüberwachung
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit Ausnahmen)
  • Biometrische Kategorisierung zur Ableitung sensibler Merkmale
  • Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit engen Ausnahmen)

Hochrisiko-KI: Die zentrale Herausforderung

Hochrisiko-KI-Systeme sind das Kernstück des KI-Gesetzes. Sie sind erlaubt, unterliegen aber umfangreichen Pflichten. Ab dem 2. August 2026 gelten diese vollumfänglich für Systeme aus Anhang III der Verordnung.

Welche Systeme gelten als hochriskant?

  • Biometrie: Fernidentifizierung, biometrische Kategorisierung, Emotionserkennung
  • Kritische Infrastruktur: Verkehr, Wasser, Gas, Strom, digitale Infrastruktur
  • Bildung: Zugangsentscheidungen, Prüfungsbewertung, Verhaltensüberwachung
  • Beschäftigung: Bewerberauswahl, Beförderungen, Arbeitszuweisung, Leistungsbewertung
  • Grundlegende Dienste: Kreditwürdigkeitsprüfung, Risikobewertung bei Versicherungen, Notrufpriorisierung
  • Strafverfolgung, Migration, Justiz und demokratische Prozesse

Pflichten für Anbieter von Hochrisiko-KI

  1. Einrichtung eines Risikomanagementsystems über den gesamten Lebenszyklus
  2. Daten-Governance: Qualitätssicherung von Trainings-, Validierungs- und Testdaten
  3. Technische Dokumentation vor Inverkehrbringen
  4. Automatische Protokollierung (Logging) von Ereignissen
  5. Transparente Informationen für Betreiber
  6. Menschliche Aufsicht (Human Oversight) muss möglich sein
  7. Genauigkeit, Robustheit und Cybersicherheit
  8. Qualitätsmanagementsystem
  9. Konformitätsbewertung und CE-Kennzeichnung
  10. Registrierung in der EU-Datenbank

Pflichten für Betreiber (Deployer)

Auch Unternehmen, die Hochrisiko-KI nur einsetzen, haben Pflichten: Sie müssen die Systeme bestimmungsgemäß nutzen, menschliche Aufsicht sicherstellen, Eingabedaten kontrollieren, Ereignisse protokollieren und in bestimmten Fällen eine Grundrechte-Folgenabschätzung (FRIA) durchführen. Beschäftigte müssen vor dem Einsatz informiert werden.

Transparenzpflichten für alle KI-Systeme

Unabhängig von der Risikoklasse gelten Transparenzregeln, die insbesondere für Chatbots, generative KI und Deepfakes relevant sind:

  • Nutzer müssen erkennen können, dass sie mit einer KI interagieren
  • KI-generierte Inhalte (Text, Bild, Audio, Video) müssen maschinenlesbar gekennzeichnet werden
  • Deepfakes müssen als künstlich erzeugt offengelegt werden
  • KI-generierte Texte zu öffentlichem Interesse müssen als solche markiert sein

Diese Pflichten schaffen mehr Vertrauen – ähnlich wie transparente Datenschutzrichtlinien im Umgang mit Nutzerdaten, wie sie auch die DSGVO in ihrem Praxis-Leitfaden vorsieht.

General Purpose AI (GPAI): Regeln für Basismodelle

Seit dem 2. August 2025 gelten spezifische Pflichten für Anbieter allgemeiner KI-Modelle wie große Sprachmodelle. Sie müssen technische Dokumentation bereitstellen, Informationen für nachgelagerte Anbieter offenlegen, das EU-Urheberrecht respektieren und eine Zusammenfassung der Trainingsdaten veröffentlichen.

Modelle mit „systemischem Risiko" (Trainingsleistung über 10^25 FLOPs) unterliegen zusätzlich Pflichten zur Modellbewertung, Risikominderung, Vorfallmeldung und Cybersicherheit.

KI-Kompetenz: Die neue Pflicht für alle Unternehmen

Seit dem 2. Februar 2025 verpflichtet Artikel 4 des AI Acts sämtliche Anbieter und Betreiber, für ein ausreichendes Maß an KI-Kompetenz („AI Literacy") ihrer Mitarbeitenden zu sorgen. Diese Pflicht gilt unabhängig von Unternehmensgröße oder Branche, sobald KI eingesetzt wird – auch bei ChatGPT, Copilot oder ähnlichen Tools.

Was bedeutet KI-Kompetenz konkret?

  • Grundverständnis der Funktionsweise und Grenzen von KI
  • Kenntnis rechtlicher und ethischer Rahmenbedingungen
  • Bewusstsein für Risiken wie Bias, Halluzinationen, Datenschutz
  • Fähigkeit, KI-Ergebnisse kritisch zu bewerten
  • Wissen über die spezifisch eingesetzten Systeme im Unternehmen

Unternehmen sollten dokumentierte Schulungsprogramme etablieren – Aufsichtsbehörden können diese im Prüfungsfall einsehen.

Bußgelder: Was Verstöße kosten können

Das KI-Gesetz sieht abgestufte, drakonische Sanktionen vor. Wie bei der DSGVO gilt: Es wird der höhere Betrag angesetzt.

VerstoßMaximales BußgeldProzent vom Jahresumsatz
Verbotene KI-Praktiken35 Mio. €7 %
Verstoß gegen Hochrisiko-Pflichten15 Mio. €3 %
Falsche Angaben gegenüber Behörden7,5 Mio. €1 %
GPAI-Verstöße15 Mio. €3 %

Für KMU und Start-ups gilt jeweils der niedrigere Betrag. In Deutschland wird voraussichtlich die Bundesnetzagentur zusammen mit sektoralen Behörden und der BfDI die Aufsicht übernehmen.

So bereiten Sie Ihr Unternehmen vor: 8-Schritte-Checkliste

  1. KI-Inventar erstellen: Erfassen Sie alle eingesetzten und geplanten KI-Systeme systematisch.
  2. Risikoklassifizierung: Ordnen Sie jedes System einer der vier Risikoklassen zu.
  3. Rollen bestimmen: Sind Sie Anbieter, Betreiber, Importeur oder Händler? Die Rolle bestimmt die Pflichten.
  4. KI-Governance einführen: Benennen Sie Verantwortliche, etablieren Sie interne Richtlinien und Freigabeprozesse.
  5. Schulungsprogramm starten: Erfüllen Sie die KI-Kompetenzpflicht dokumentiert.
  6. Dokumentation aufbauen: Technische Doku, Risikoanalysen, FRIA und Konformitätsnachweise vorbereiten.
  7. Verträge prüfen: Verträge mit KI-Anbietern und Dienstleistern auf Compliance-Klauseln aktualisieren.
  8. DSGVO-Schnittstellen prüfen: KI-Systeme verarbeiten meist personenbezogene Daten – DPIA und Rechtsgrundlagen prüfen.

Zusammenspiel mit DSGVO und weiteren Regelwerken

Der AI Act ersetzt keine bestehenden Vorschriften – er ergänzt sie. Besonders wichtig ist das Zusammenspiel mit der DSGVO, dem Data Act, dem Digital Services Act (DSA) sowie sektoralen Vorschriften (z. B. Medizinprodukte, Finanzdienstleistungen). Wer bereits DSGVO-konform arbeitet, hat einen Vorsprung – viele Prozesse (Datenschutz-Folgenabschätzung, Dokumentation, Betroffenenrechte) lassen sich auf den AI Act erweitern.

Auch bei der Auswahl von Software-Dienstleistern sollten Unternehmen 2026 verstärkt auf europäische, datenschutzkonforme Anbieter setzen. Beispielsweise achten immer mehr Marketingteams bei der Wahl von Tools wie einem URL-Verkürzer auf DSGVO-Konformität – ein Vergleich der besten Bitly-Alternativen 2026 zeigt, worauf zu achten ist. Dienste wie Lunyb bieten hier eine europäische, datenschutzfreundliche Lösung mit transparenter Datenverarbeitung.

Praktische Auswirkungen auf einzelne Branchen

Personalwesen und Recruiting

KI-gestützte Bewerberauswahl, CV-Screening und Leistungsbewertung gelten als Hochrisiko-KI. Unternehmen müssen Bias-Tests durchführen, menschliche Aufsicht garantieren und Bewerber transparent informieren. Betriebsräte sind einzubinden.

Marketing und Kundenkommunikation

Chatbots und generative KI unterliegen Transparenzpflichten. Deepfakes in der Werbung müssen gekennzeichnet werden. Personalisierte Werbung darf keine manipulativen Muster nutzen.

Gesundheitswesen

Medizinische KI-Systeme sind meist Hochrisiko-KI und zusätzlich als Medizinprodukt reguliert. Die Anforderungen laufen parallel – Konformitätsbewertung nach beiden Regelwerken ist erforderlich.

Finanzdienstleistungen

Kreditwürdigkeitsbewertung und Versicherungs-Risikobewertung gelten als Hochrisiko-KI. Aufsichtsbehörden werden BaFin und Bundesbank sein.

Zusätzliche Sicherheitsaspekte beim KI-Einsatz

Neben der Regulatorik sollten Unternehmen auch die operative Sicherheit im Blick behalten. KI-Systeme sind Angriffsflächen: Prompt Injection, Datenlecks über Chatbots oder manipulierte Trainingsdaten sind reale Risiken. Empfehlungen:

  • Setzen Sie auf datenschutzfreundliche Browser beim Zugriff auf Cloud-KI
  • Sensibilisieren Sie Mitarbeitende für neue Betrugsmaschen wie Quishing, die zunehmend KI-generiert sind
  • Etablieren Sie Data-Loss-Prevention-Regeln für den KI-Zugriff
  • Nutzen Sie verschlüsselte DNS und netzwerkbasierte Schutzmaßnahmen

Fazit: Jetzt handeln, nicht abwarten

Das KI-Gesetz der EU ist kein Zukunftsthema mehr – Verbote und Kompetenzpflichten gelten bereits, die Hauptpflichten kommen im August 2026. Unternehmen, die jetzt ein KI-Inventar aufbauen, Schulungen etablieren und Governance-Strukturen schaffen, sind rechtssicher aufgestellt und können KI wettbewerbsvorteilhaft nutzen. Wer wartet, riskiert nicht nur empfindliche Bußgelder, sondern verliert auch den Anschluss an eine datengetriebene, aber regulierte Zukunft.

FAQ: Häufige Fragen zum KI-Gesetz der EU

Gilt das KI-Gesetz auch für kleine Unternehmen?

Ja. Das KI-Gesetz gilt unabhängig von der Unternehmensgröße. Es gibt jedoch Erleichterungen für KMU und Start-ups, etwa niedrigere Bußgeldobergrenzen, vereinfachte Dokumentationsanforderungen und Zugang zu regulatorischen Sandboxes zur Erprobung neuer KI-Systeme.

Muss ich ChatGPT im Unternehmen anmelden?

Sie müssen ChatGPT nicht bei einer Behörde anmelden. Sie müssen jedoch für KI-Kompetenz Ihrer Mitarbeitenden sorgen (Art. 4), Transparenz gegenüber Nutzern gewährleisten, wenn Sie KI-generierte Inhalte veröffentlichen, und die datenschutzrechtlichen Anforderungen der DSGVO erfüllen. Bei geschäftskritischem Einsatz empfiehlt sich eine dokumentierte KI-Richtlinie.

Wann tritt das KI-Gesetz vollständig in Kraft?

Der Hauptteil der Pflichten – insbesondere für Hochrisiko-KI aus Anhang III – gilt ab dem 2. August 2026. Die Pflichten für Hochrisiko-KI in regulierten Produkten (Anhang I, z. B. Medizinprodukte, Maschinen) greifen erst am 2. August 2027. Verbote und KI-Kompetenzpflicht gelten bereits seit Februar 2025.

Wer überwacht das KI-Gesetz in Deutschland?

Deutschland hat die zuständigen Behörden noch nicht final benannt, ein Durchführungsgesetz ist in Vorbereitung. Voraussichtlich übernimmt die Bundesnetzagentur die zentrale Marktüberwachung. Die BfDI bleibt für datenschutzrechtliche Aspekte zuständig, sektorale Behörden wie BaFin, BSI und Bundesbank für ihre jeweiligen Bereiche. Auf EU-Ebene koordiniert das AI Office der Europäischen Kommission.

Was ist der Unterschied zwischen Anbieter und Betreiber?

Ein Anbieter (Provider) entwickelt ein KI-System oder lässt es entwickeln und bringt es unter eigenem Namen in Verkehr. Ein Betreiber (Deployer) setzt ein KI-System eigenverantwortlich beruflich ein. Anbieter tragen deutlich mehr Pflichten (Konformitätsbewertung, technische Dokumentation, CE-Kennzeichnung). Betreiber müssen KI-Systeme bestimmungsgemäß nutzen, dokumentieren und in bestimmten Fällen eine Grundrechte-Folgenabschätzung durchführen.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles