KI-Gesetz der EU 2026: Was sich für Unternehmen jetzt ändert
Das KI-Gesetz der EU (AI Act) ist die weltweit erste umfassende Regulierung künstlicher Intelligenz. Nach dem stufenweisen Inkrafttreten seit August 2024 kommen 2026 die entscheidenden Pflichten für Unternehmen. Wer KI-Systeme entwickelt, vertreibt oder einsetzt, muss jetzt handeln. Dieser Leitfaden erklärt Ihnen kompakt und praxisnah, was sich ändert, welche Fristen gelten und wie Sie Ihr Unternehmen rechtssicher aufstellen.
Was ist das KI-Gesetz der EU?
Das KI-Gesetz der EU (Verordnung (EU) 2024/1689), international bekannt als „AI Act", ist eine europäische Verordnung, die den Einsatz künstlicher Intelligenz in der Europäischen Union einheitlich regelt. Sie wurde am 13. Juni 2024 verabschiedet und trat am 1. August 2024 in Kraft. Ziel ist es, das Vertrauen in KI-Systeme zu stärken, Grundrechte zu schützen und gleichzeitig Innovation zu ermöglichen.
Ähnlich wie die DSGVO im Datenschutzbereich setzt der AI Act globale Maßstäbe. Er gilt nicht nur für Unternehmen mit Sitz in der EU, sondern für alle Anbieter und Betreiber, deren KI-Ergebnisse in der EU verwendet werden – der sogenannte extraterritoriale Anwendungsbereich.
Die vier Risikoklassen im Überblick
Das KI-Gesetz verfolgt einen risikobasierten Ansatz. Je höher das Risiko für Grundrechte und Sicherheit, desto strenger die Pflichten:
- Unannehmbares Risiko: Verboten (z. B. Social Scoring, manipulative Systeme, ungezielte Gesichtsdatenbanken).
- Hohes Risiko: Streng reguliert (z. B. KI im Personalwesen, in Bildung, Justiz, kritischer Infrastruktur).
- Begrenztes Risiko: Transparenzpflichten (z. B. Chatbots, Deepfakes).
- Minimales Risiko: Weitgehend unreguliert (z. B. Spamfilter, Videospiele).
Zeitplan: Wann welche Pflichten greifen
Der AI Act tritt gestaffelt in Kraft. Diese Übersicht zeigt, welche Regeln bereits gelten und was noch kommt:
| Datum | Was gilt | Betroffene |
|---|---|---|
| 1. August 2024 | Inkrafttreten der Verordnung | Alle |
| 2. Februar 2025 | Verbote unannehmbarer KI-Praktiken, KI-Kompetenzpflicht | Alle Anbieter und Betreiber |
| 2. August 2025 | Pflichten für GPAI-Modelle (General Purpose AI), Governance-Regeln, Sanktionen | Anbieter großer KI-Modelle |
| 2. August 2026 | Hauptanwendungsdatum: Pflichten für Hochrisiko-KI (Anhang III), Transparenzpflichten | Anbieter und Betreiber |
| 2. August 2027 | Pflichten für Hochrisiko-KI in regulierten Produkten (Anhang I) | Hersteller regulierter Produkte |
Verbotene KI-Praktiken seit Februar 2025
Seit dem 2. Februar 2025 sind bestimmte KI-Anwendungen in der EU vollständig untersagt. Verstöße können mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden.
Zu den verbotenen Anwendungen zählen:
- KI-Systeme mit unterschwelliger oder manipulativer Beeinflussung
- Ausnutzung von Schutzbedürftigkeit (Alter, Behinderung, soziale Lage)
- Social Scoring durch Behörden
- Vorhersage individueller Straftaten allein auf Basis von Profiling
- Ungezielte Auswertung von Gesichtsbildern aus dem Internet oder Videoüberwachung
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit Ausnahmen)
- Biometrische Kategorisierung zur Ableitung sensibler Merkmale
- Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit engen Ausnahmen)
Hochrisiko-KI: Die zentrale Herausforderung
Hochrisiko-KI-Systeme sind das Kernstück des KI-Gesetzes. Sie sind erlaubt, unterliegen aber umfangreichen Pflichten. Ab dem 2. August 2026 gelten diese vollumfänglich für Systeme aus Anhang III der Verordnung.
Welche Systeme gelten als hochriskant?
- Biometrie: Fernidentifizierung, biometrische Kategorisierung, Emotionserkennung
- Kritische Infrastruktur: Verkehr, Wasser, Gas, Strom, digitale Infrastruktur
- Bildung: Zugangsentscheidungen, Prüfungsbewertung, Verhaltensüberwachung
- Beschäftigung: Bewerberauswahl, Beförderungen, Arbeitszuweisung, Leistungsbewertung
- Grundlegende Dienste: Kreditwürdigkeitsprüfung, Risikobewertung bei Versicherungen, Notrufpriorisierung
- Strafverfolgung, Migration, Justiz und demokratische Prozesse
Pflichten für Anbieter von Hochrisiko-KI
- Einrichtung eines Risikomanagementsystems über den gesamten Lebenszyklus
- Daten-Governance: Qualitätssicherung von Trainings-, Validierungs- und Testdaten
- Technische Dokumentation vor Inverkehrbringen
- Automatische Protokollierung (Logging) von Ereignissen
- Transparente Informationen für Betreiber
- Menschliche Aufsicht (Human Oversight) muss möglich sein
- Genauigkeit, Robustheit und Cybersicherheit
- Qualitätsmanagementsystem
- Konformitätsbewertung und CE-Kennzeichnung
- Registrierung in der EU-Datenbank
Pflichten für Betreiber (Deployer)
Auch Unternehmen, die Hochrisiko-KI nur einsetzen, haben Pflichten: Sie müssen die Systeme bestimmungsgemäß nutzen, menschliche Aufsicht sicherstellen, Eingabedaten kontrollieren, Ereignisse protokollieren und in bestimmten Fällen eine Grundrechte-Folgenabschätzung (FRIA) durchführen. Beschäftigte müssen vor dem Einsatz informiert werden.
Transparenzpflichten für alle KI-Systeme
Unabhängig von der Risikoklasse gelten Transparenzregeln, die insbesondere für Chatbots, generative KI und Deepfakes relevant sind:
- Nutzer müssen erkennen können, dass sie mit einer KI interagieren
- KI-generierte Inhalte (Text, Bild, Audio, Video) müssen maschinenlesbar gekennzeichnet werden
- Deepfakes müssen als künstlich erzeugt offengelegt werden
- KI-generierte Texte zu öffentlichem Interesse müssen als solche markiert sein
Diese Pflichten schaffen mehr Vertrauen – ähnlich wie transparente Datenschutzrichtlinien im Umgang mit Nutzerdaten, wie sie auch die DSGVO in ihrem Praxis-Leitfaden vorsieht.
General Purpose AI (GPAI): Regeln für Basismodelle
Seit dem 2. August 2025 gelten spezifische Pflichten für Anbieter allgemeiner KI-Modelle wie große Sprachmodelle. Sie müssen technische Dokumentation bereitstellen, Informationen für nachgelagerte Anbieter offenlegen, das EU-Urheberrecht respektieren und eine Zusammenfassung der Trainingsdaten veröffentlichen.
Modelle mit „systemischem Risiko" (Trainingsleistung über 10^25 FLOPs) unterliegen zusätzlich Pflichten zur Modellbewertung, Risikominderung, Vorfallmeldung und Cybersicherheit.
KI-Kompetenz: Die neue Pflicht für alle Unternehmen
Seit dem 2. Februar 2025 verpflichtet Artikel 4 des AI Acts sämtliche Anbieter und Betreiber, für ein ausreichendes Maß an KI-Kompetenz („AI Literacy") ihrer Mitarbeitenden zu sorgen. Diese Pflicht gilt unabhängig von Unternehmensgröße oder Branche, sobald KI eingesetzt wird – auch bei ChatGPT, Copilot oder ähnlichen Tools.
Was bedeutet KI-Kompetenz konkret?
- Grundverständnis der Funktionsweise und Grenzen von KI
- Kenntnis rechtlicher und ethischer Rahmenbedingungen
- Bewusstsein für Risiken wie Bias, Halluzinationen, Datenschutz
- Fähigkeit, KI-Ergebnisse kritisch zu bewerten
- Wissen über die spezifisch eingesetzten Systeme im Unternehmen
Unternehmen sollten dokumentierte Schulungsprogramme etablieren – Aufsichtsbehörden können diese im Prüfungsfall einsehen.
Bußgelder: Was Verstöße kosten können
Das KI-Gesetz sieht abgestufte, drakonische Sanktionen vor. Wie bei der DSGVO gilt: Es wird der höhere Betrag angesetzt.
| Verstoß | Maximales Bußgeld | Prozent vom Jahresumsatz |
|---|---|---|
| Verbotene KI-Praktiken | 35 Mio. € | 7 % |
| Verstoß gegen Hochrisiko-Pflichten | 15 Mio. € | 3 % |
| Falsche Angaben gegenüber Behörden | 7,5 Mio. € | 1 % |
| GPAI-Verstöße | 15 Mio. € | 3 % |
Für KMU und Start-ups gilt jeweils der niedrigere Betrag. In Deutschland wird voraussichtlich die Bundesnetzagentur zusammen mit sektoralen Behörden und der BfDI die Aufsicht übernehmen.
So bereiten Sie Ihr Unternehmen vor: 8-Schritte-Checkliste
- KI-Inventar erstellen: Erfassen Sie alle eingesetzten und geplanten KI-Systeme systematisch.
- Risikoklassifizierung: Ordnen Sie jedes System einer der vier Risikoklassen zu.
- Rollen bestimmen: Sind Sie Anbieter, Betreiber, Importeur oder Händler? Die Rolle bestimmt die Pflichten.
- KI-Governance einführen: Benennen Sie Verantwortliche, etablieren Sie interne Richtlinien und Freigabeprozesse.
- Schulungsprogramm starten: Erfüllen Sie die KI-Kompetenzpflicht dokumentiert.
- Dokumentation aufbauen: Technische Doku, Risikoanalysen, FRIA und Konformitätsnachweise vorbereiten.
- Verträge prüfen: Verträge mit KI-Anbietern und Dienstleistern auf Compliance-Klauseln aktualisieren.
- DSGVO-Schnittstellen prüfen: KI-Systeme verarbeiten meist personenbezogene Daten – DPIA und Rechtsgrundlagen prüfen.
Zusammenspiel mit DSGVO und weiteren Regelwerken
Der AI Act ersetzt keine bestehenden Vorschriften – er ergänzt sie. Besonders wichtig ist das Zusammenspiel mit der DSGVO, dem Data Act, dem Digital Services Act (DSA) sowie sektoralen Vorschriften (z. B. Medizinprodukte, Finanzdienstleistungen). Wer bereits DSGVO-konform arbeitet, hat einen Vorsprung – viele Prozesse (Datenschutz-Folgenabschätzung, Dokumentation, Betroffenenrechte) lassen sich auf den AI Act erweitern.
Auch bei der Auswahl von Software-Dienstleistern sollten Unternehmen 2026 verstärkt auf europäische, datenschutzkonforme Anbieter setzen. Beispielsweise achten immer mehr Marketingteams bei der Wahl von Tools wie einem URL-Verkürzer auf DSGVO-Konformität – ein Vergleich der besten Bitly-Alternativen 2026 zeigt, worauf zu achten ist. Dienste wie Lunyb bieten hier eine europäische, datenschutzfreundliche Lösung mit transparenter Datenverarbeitung.
Praktische Auswirkungen auf einzelne Branchen
Personalwesen und Recruiting
KI-gestützte Bewerberauswahl, CV-Screening und Leistungsbewertung gelten als Hochrisiko-KI. Unternehmen müssen Bias-Tests durchführen, menschliche Aufsicht garantieren und Bewerber transparent informieren. Betriebsräte sind einzubinden.
Marketing und Kundenkommunikation
Chatbots und generative KI unterliegen Transparenzpflichten. Deepfakes in der Werbung müssen gekennzeichnet werden. Personalisierte Werbung darf keine manipulativen Muster nutzen.
Gesundheitswesen
Medizinische KI-Systeme sind meist Hochrisiko-KI und zusätzlich als Medizinprodukt reguliert. Die Anforderungen laufen parallel – Konformitätsbewertung nach beiden Regelwerken ist erforderlich.
Finanzdienstleistungen
Kreditwürdigkeitsbewertung und Versicherungs-Risikobewertung gelten als Hochrisiko-KI. Aufsichtsbehörden werden BaFin und Bundesbank sein.
Zusätzliche Sicherheitsaspekte beim KI-Einsatz
Neben der Regulatorik sollten Unternehmen auch die operative Sicherheit im Blick behalten. KI-Systeme sind Angriffsflächen: Prompt Injection, Datenlecks über Chatbots oder manipulierte Trainingsdaten sind reale Risiken. Empfehlungen:
- Setzen Sie auf datenschutzfreundliche Browser beim Zugriff auf Cloud-KI
- Sensibilisieren Sie Mitarbeitende für neue Betrugsmaschen wie Quishing, die zunehmend KI-generiert sind
- Etablieren Sie Data-Loss-Prevention-Regeln für den KI-Zugriff
- Nutzen Sie verschlüsselte DNS und netzwerkbasierte Schutzmaßnahmen
Fazit: Jetzt handeln, nicht abwarten
Das KI-Gesetz der EU ist kein Zukunftsthema mehr – Verbote und Kompetenzpflichten gelten bereits, die Hauptpflichten kommen im August 2026. Unternehmen, die jetzt ein KI-Inventar aufbauen, Schulungen etablieren und Governance-Strukturen schaffen, sind rechtssicher aufgestellt und können KI wettbewerbsvorteilhaft nutzen. Wer wartet, riskiert nicht nur empfindliche Bußgelder, sondern verliert auch den Anschluss an eine datengetriebene, aber regulierte Zukunft.
FAQ: Häufige Fragen zum KI-Gesetz der EU
Gilt das KI-Gesetz auch für kleine Unternehmen?
Ja. Das KI-Gesetz gilt unabhängig von der Unternehmensgröße. Es gibt jedoch Erleichterungen für KMU und Start-ups, etwa niedrigere Bußgeldobergrenzen, vereinfachte Dokumentationsanforderungen und Zugang zu regulatorischen Sandboxes zur Erprobung neuer KI-Systeme.
Muss ich ChatGPT im Unternehmen anmelden?
Sie müssen ChatGPT nicht bei einer Behörde anmelden. Sie müssen jedoch für KI-Kompetenz Ihrer Mitarbeitenden sorgen (Art. 4), Transparenz gegenüber Nutzern gewährleisten, wenn Sie KI-generierte Inhalte veröffentlichen, und die datenschutzrechtlichen Anforderungen der DSGVO erfüllen. Bei geschäftskritischem Einsatz empfiehlt sich eine dokumentierte KI-Richtlinie.
Wann tritt das KI-Gesetz vollständig in Kraft?
Der Hauptteil der Pflichten – insbesondere für Hochrisiko-KI aus Anhang III – gilt ab dem 2. August 2026. Die Pflichten für Hochrisiko-KI in regulierten Produkten (Anhang I, z. B. Medizinprodukte, Maschinen) greifen erst am 2. August 2027. Verbote und KI-Kompetenzpflicht gelten bereits seit Februar 2025.
Wer überwacht das KI-Gesetz in Deutschland?
Deutschland hat die zuständigen Behörden noch nicht final benannt, ein Durchführungsgesetz ist in Vorbereitung. Voraussichtlich übernimmt die Bundesnetzagentur die zentrale Marktüberwachung. Die BfDI bleibt für datenschutzrechtliche Aspekte zuständig, sektorale Behörden wie BaFin, BSI und Bundesbank für ihre jeweiligen Bereiche. Auf EU-Ebene koordiniert das AI Office der Europäischen Kommission.
Was ist der Unterschied zwischen Anbieter und Betreiber?
Ein Anbieter (Provider) entwickelt ein KI-System oder lässt es entwickeln und bringt es unter eigenem Namen in Verkehr. Ein Betreiber (Deployer) setzt ein KI-System eigenverantwortlich beruflich ein. Anbieter tragen deutlich mehr Pflichten (Konformitätsbewertung, technische Dokumentation, CE-Kennzeichnung). Betreiber müssen KI-Systeme bestimmungsgemäß nutzen, dokumentieren und in bestimmten Fällen eine Grundrechte-Folgenabschätzung durchführen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
DSGVO Einfach Erklärt 2026: Der Praxis-Leitfaden für Unternehmen
Die DSGVO ist seit 2018 in Kraft – doch 2026 bringt durch KI-Verordnung, Data Act und neue Rechtsprechung erhebliche Änderungen. Dieser Leitfaden erklärt verständlich, was Unternehmen jetzt wissen müssen, welche Pflichten gelten und wie Sie hohe Bußgelder vermeiden.
Österreichische Datenschutzbehörde: Beschwerde Einreichen 2026
Wenn Ihre Datenschutzrechte verletzt wurden, ist die österreichische Datenschutzbehörde (DSB) Ihr Ansprechpartner. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie 2026 eine wirksame Beschwerde einreichen, welche Fristen gelten und welche Ergebnisse Sie erwarten können.
EDÖB Beschwerde Einreichen: So Gehen Sie 2026 Vor
Wenn Ihre Datenschutzrechte in der Schweiz verletzt wurden, können Sie sich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie eine Beschwerde korrekt einreichen und welche Rechte Ihnen zustehen.
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Erfahren Sie Schritt für Schritt, wie Sie eine Beschwerde bei der BfDI einreichen. Vollständige Anleitung mit Fristen, Formularen und praktischen Tipps für eine erfolgreiche Durchsetzung Ihrer Datenschutzrechte nach DSGVO.