facebook-pixel

KI-Gesetz der EU: Was Sich 2026 Ändert (Vollständiger Leitfaden)

L
Lunyb Sicherheitsteam
··8 min read

Das KI-Gesetz der EU (offiziell: EU AI Act, Verordnung 2024/1689) ist das weltweit erste umfassende Regelwerk für Künstliche Intelligenz. Seit August 2024 in Kraft, entfalten die zentralen Pflichten zwischen 2025 und 2027 schrittweise ihre Wirkung. Für Unternehmen, Behörden und Entwickler bedeutet das: tiefgreifende Änderungen bei der Entwicklung, Bereitstellung und Nutzung von KI-Systemen.

In diesem Leitfaden erfahren Sie, was sich konkret ändert, welche Risikoklassen gelten, welche Fristen zu beachten sind und wie Sie sich als Unternehmen oder Nutzer optimal vorbereiten.

Was ist das KI-Gesetz der EU?

Das KI-Gesetz der EU ist eine Verordnung des Europäischen Parlaments und des Rates, die harmonisierte Regeln für Künstliche Intelligenz in der Europäischen Union festlegt. Es verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte, Sicherheit und Gesundheit, desto strenger die Anforderungen.

Die Verordnung wurde am 13. Juni 2024 verabschiedet und trat am 1. August 2024 in Kraft. Sie gilt unmittelbar in allen EU-Mitgliedstaaten – ohne dass eine nationale Umsetzung erforderlich wäre – und ergänzt bestehende Regelwerke wie die DSGVO.

Zentrale Ziele des KI-Gesetzes

  • Schutz von Grundrechten, Demokratie und Rechtsstaatlichkeit
  • Förderung vertrauenswürdiger und menschenzentrierter KI
  • Rechtssicherheit für Innovation und Investitionen
  • Verhinderung von Fragmentierung des EU-Binnenmarkts
  • Stärkung der globalen Wettbewerbsfähigkeit europäischer KI

Die vier Risikoklassen des KI-Gesetzes

Der Kern des KI-Gesetzes ist die Klassifikation von KI-Systemen in vier Risikostufen. Jede Stufe zieht unterschiedliche rechtliche Konsequenzen nach sich.

Risikoklasse Beispiele Rechtsfolge
Unannehmbares Risiko Social Scoring, manipulative KI, biometrische Massenüberwachung Verboten
Hohes Risiko KI in Personalauswahl, Kreditvergabe, Strafverfolgung, Medizinprodukten Strenge Auflagen & Konformitätsbewertung
Begrenztes Risiko Chatbots, Deepfakes, emotionserkennende Systeme Transparenzpflichten
Minimales Risiko Spam-Filter, KI in Videospielen, einfache Empfehlungssysteme Keine besonderen Pflichten

Verbotene KI-Praktiken

Seit Februar 2025 sind bestimmte KI-Anwendungen in der EU vollständig untersagt. Dazu zählen:

  1. Systeme, die unterschwellige oder manipulative Techniken einsetzen
  2. Ausnutzung von Schwächen bestimmter Personengruppen (Alter, Behinderung, sozialer Status)
  3. Social Scoring durch öffentliche oder private Akteure
  4. Vorhersage von Straftaten allein auf Basis von Profiling
  5. Ungezieltes Auslesen von Gesichtsbildern aus dem Internet zum Aufbau von Datenbanken
  6. Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
  7. Biometrische Kategorisierung nach sensiblen Merkmalen (Ethnie, politische Meinung, sexuelle Orientierung)
  8. Echtzeit-Fernidentifikation in öffentlich zugänglichen Räumen (mit engen Ausnahmen)

Wichtige Fristen und Übergangsregelungen

Das KI-Gesetz tritt nicht auf einen Schlag in Kraft, sondern in Stufen. Diese zeitliche Staffelung gibt Unternehmen Zeit zur Anpassung.

Datum Ereignis
1. August 2024 Inkrafttreten der Verordnung
2. Februar 2025 Verbote und Pflicht zur KI-Kompetenz gelten
2. August 2025 Regeln für General Purpose AI (GPAI) und Governance-Strukturen
2. August 2026 Hauptteil der Verordnung, insbesondere Hochrisiko-Pflichten (Anhang III)
2. August 2027 Vollständige Anwendung für Hochrisiko-KI in regulierten Produkten (Anhang I)

Pflichten für Hochrisiko-KI-Systeme

Hochrisiko-Systeme unterliegen den strengsten Anforderungen. Anbieter müssen umfangreiche Vorkehrungen treffen, bevor solche Systeme auf den EU-Markt kommen.

Kernanforderungen an Anbieter

  1. Risikomanagementsystem: Kontinuierlicher Prozess über den gesamten Lebenszyklus
  2. Datenqualität: Trainings-, Validierungs- und Testdaten müssen repräsentativ, fehlerfrei und vollständig sein
  3. Technische Dokumentation: Detaillierte Nachweise vor Inverkehrbringen
  4. Protokollierung: Automatische Aufzeichnung von Ereignissen (Logs)
  5. Transparenz: Klare Informationen für Betreiber
  6. Menschliche Aufsicht: Systeme müssen so gestaltet sein, dass natürliche Personen sie überwachen können
  7. Genauigkeit, Robustheit und Cybersicherheit: Angemessenes Niveau über den gesamten Lebenszyklus
  8. Konformitätsbewertung: Prüfung vor Markteintritt, CE-Kennzeichnung

Pflichten für Betreiber (Nutzer im Unternehmen)

  • Nutzung gemäß Gebrauchsanweisung des Anbieters
  • Sicherstellung menschlicher Aufsicht durch qualifiziertes Personal
  • Überwachung des Betriebs und Meldung schwerwiegender Vorfälle
  • Aufbewahrung der Logs für mindestens sechs Monate
  • Durchführung einer Grundrechte-Folgenabschätzung (bei bestimmten öffentlichen und privaten Akteuren)
  • Information von betroffenen Arbeitnehmern vor dem Einsatz

Regeln für General Purpose AI (GPAI)

Große Sprachmodelle wie GPT-4, Claude, Gemini oder Llama fallen unter die Kategorie „General Purpose AI" – KI-Modelle mit allgemeinem Verwendungszweck. Ab August 2025 gelten für Anbieter dieser Modelle spezifische Pflichten.

Basispflichten für alle GPAI-Anbieter

  • Technische Dokumentation des Modells
  • Information nachgelagerter Anbieter
  • Einhaltung des EU-Urheberrechts
  • Veröffentlichung einer Zusammenfassung der Trainingsdaten

Zusätzliche Pflichten für GPAI mit systemischem Risiko

Wenn ein Modell mit mehr als 10^25 FLOPs trainiert wurde (Grenzwert für „systemisches Risiko"), kommen weitere Anforderungen hinzu:

  • Modellbewertungen einschließlich Adversarial Testing
  • Risikoanalyse und -minderung auf EU-Ebene
  • Meldung schwerwiegender Vorfälle an das AI Office
  • Sicherstellung eines angemessenen Cybersicherheitsniveaus

Transparenzpflichten für begrenztes Risiko

Für KI-Systeme mit begrenztem Risiko gilt das Prinzip: Nutzer sollen wissen, wenn sie mit einer KI interagieren. Die wichtigsten Transparenzpflichten sind:

  1. Chatbots & Konversations-KI: Nutzer müssen informiert werden, dass sie mit einer Maschine interagieren
  2. Deepfakes: Künstlich erzeugte oder manipulierte Bild-, Audio- und Videoinhalte müssen als solche gekennzeichnet werden
  3. Emotionserkennung & biometrische Kategorisierung: Betroffene müssen aktiv informiert werden
  4. KI-generierte Texte: Bei Veröffentlichung zu Themen von öffentlichem Interesse ist eine Kennzeichnung erforderlich

Diese Kennzeichnungspflichten sind auch für die Bekämpfung von Betrug relevant – Deepfakes werden zunehmend für Phishing eingesetzt. Ein verwandtes Thema ist der Schutz vor QR-Code-Betrug und Quishing, bei dem KI-generierte Inhalte ebenfalls eine wachsende Rolle spielen.

Sanktionen und Bußgelder

Das KI-Gesetz sieht empfindliche Strafen vor. Die Höhe orientiert sich – ähnlich wie bei der DSGVO – am weltweiten Jahresumsatz und ist teils sogar höher.

Verstoß Maximales Bußgeld
Verbotene KI-Praktiken Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Verstöße gegen sonstige Pflichten Bis zu 15 Mio. € oder 3 % des Jahresumsatzes
Falsche Angaben gegenüber Behörden Bis zu 7,5 Mio. € oder 1 % des Jahresumsatzes
GPAI-spezifische Verstöße Bis zu 15 Mio. € oder 3 % des Jahresumsatzes

Für kleine und mittelständische Unternehmen (KMU) und Start-ups gelten die jeweils niedrigeren Beträge, um deren Existenz nicht zu gefährden.

Aufsichtsstrukturen in Deutschland und der EU

Auf EU-Ebene überwacht das neu geschaffene AI Office (Teil der Europäischen Kommission) die Einhaltung – insbesondere bei GPAI-Modellen. In Deutschland wird die Aufsicht auf mehrere Behörden verteilt:

  • Bundesnetzagentur: Voraussichtlich zentrale Marktüberwachungsbehörde
  • BfDI (Bundesbeauftragter für Datenschutz und Informationsfreiheit): Zuständig für datenschutzrelevante KI-Anwendungen
  • BSI: Cybersicherheitsaspekte
  • Sektorspezifische Behörden: BaFin (Finanzen), BfArM (Medizinprodukte)

Die genaue Behördenstruktur wird durch das nationale KI-Durchführungsgesetz konkretisiert, das voraussichtlich 2026 verabschiedet wird.

Was Unternehmen jetzt tun sollten

Auch wenn viele Pflichten erst 2026 oder 2027 greifen, sollten Unternehmen frühzeitig handeln. Compliance im KI-Bereich ist komplex und lässt sich nicht kurzfristig herstellen.

Empfohlene Schritte (2025–2026)

  1. KI-Inventar erstellen: Erfassen Sie alle KI-Systeme, die entwickelt, eingekauft oder eingesetzt werden
  2. Risikoklassifizierung: Ordnen Sie jedes System einer Risikoklasse zu
  3. Gap-Analyse: Identifizieren Sie Lücken zwischen Ist-Zustand und Anforderungen
  4. KI-Kompetenz aufbauen: Seit Februar 2025 ist Schulung des Personals verpflichtend
  5. Governance-Strukturen etablieren: Benennen Sie Verantwortliche, definieren Sie Prozesse
  6. Dokumentationssysteme aufbauen: Technische Dokumentation, Logs, Risikomanagement
  7. Verträge mit Anbietern prüfen: Klären Sie Verantwortlichkeiten und Informationspflichten
  8. Datenschutz-Folgenabschätzungen aktualisieren: Verzahnung mit DSGVO

Datenschutz und Cybersicherheit im KI-Zeitalter

Das KI-Gesetz greift nur, wenn es durch andere Schutzmaßnahmen flankiert wird. Zu einer soliden Compliance-Strategie gehören daher auch:

Auswirkungen auf verschiedene Branchen

Finanzdienstleistungen

KI zur Kreditwürdigkeitsprüfung oder Risikobewertung bei Lebens- und Krankenversicherungen gilt als Hochrisiko. Banken müssen umfangreiche Konformitätsbewertungen durchführen und mit BaFin-Anforderungen abstimmen.

Personalwesen (HR)

KI im Recruiting, für Beförderungsentscheidungen oder Leistungsbewertungen fällt unter Hochrisiko. Betriebsräte sind einzubinden, Grundrechte-Folgenabschätzungen können erforderlich sein.

Gesundheitswesen

KI-basierte Medizinprodukte unterliegen doppelter Regulierung: Medizinprodukteverordnung (MDR) und KI-Gesetz. Die Übergangsfristen reichen hier bis August 2027.

Marketing und Vertrieb

Personalisierung, Chatbots und generative KI sind meist begrenzt riskant. Transparenzpflichten (Kennzeichnung von KI-Chatbots und KI-generierten Inhalten) stehen im Vordergrund.

Öffentlicher Sektor

Behörden sind besonders betroffen: KI in Bildung, Migration, Justiz und Strafverfolgung ist regelmäßig Hochrisiko. Zusätzlich gilt für sie die Pflicht zur Grundrechte-Folgenabschätzung.

Kritik und offene Fragen

Das KI-Gesetz stößt nicht überall auf Zustimmung. Zentrale Kritikpunkte:

  • Innovationshemmnis: Start-ups befürchten hohe Compliance-Kosten und Wettbewerbsnachteile gegenüber US- und China-Anbietern
  • Auslegungsunsicherheit: Viele Begriffe (z. B. „manipulative Techniken") sind unbestimmt
  • Überschneidungen mit anderen Regelwerken: DSGVO, Produkthaftungsrichtlinie, Digital Services Act
  • Enforcement-Kapazitäten: Behörden müssen erst KI-Expertise aufbauen
  • Grundrechtsschutz vs. Sicherheit: Ausnahmen für Strafverfolgung werden von Bürgerrechtlern kritisiert

Fazit

Das KI-Gesetz der EU markiert einen Paradigmenwechsel: Zum ersten Mal weltweit wird KI umfassend und branchenübergreifend reguliert. Für Unternehmen bedeutet das erheblichen Anpassungsbedarf – aber auch Rechtssicherheit und einen Vertrauensvorsprung im internationalen Wettbewerb.

Wer jetzt beginnt, KI-Systeme zu inventarisieren, Risiken zu bewerten und Governance-Strukturen aufzubauen, wird 2026 und 2027 nicht überrascht. Wer wartet, riskiert nicht nur empfindliche Bußgelder, sondern auch Reputationsschäden. Das KI-Gesetz ist keine Wahl – es ist geltendes Recht.

Häufig gestellte Fragen (FAQ)

Wann gilt das KI-Gesetz der EU vollständig?

Das KI-Gesetz trat am 1. August 2024 in Kraft. Verbote gelten seit Februar 2025, GPAI-Regeln seit August 2025. Der Hauptteil einschließlich der Hochrisiko-Anforderungen wird ab August 2026 wirksam. Für bestimmte Hochrisiko-KI in regulierten Produkten (z. B. Medizinprodukte) gilt eine verlängerte Frist bis August 2027.

Welche KI-Systeme sind in der EU verboten?

Seit Februar 2025 sind unter anderem verboten: Social Scoring, manipulative KI, ungezieltes Sammeln von Gesichtsbildern aus dem Internet, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, biometrische Kategorisierung nach sensiblen Merkmalen sowie – mit engen Ausnahmen – biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen.

Wie hoch sind die Bußgelder bei Verstößen?

Die Höchststrafen betragen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken. Für sonstige Verstöße drohen bis zu 15 Millionen Euro oder 3 % des Umsatzes. Es gilt jeweils der höhere Betrag. Für KMU und Start-ups gelten die jeweils niedrigeren Beträge.

Gilt das KI-Gesetz auch für Unternehmen außerhalb der EU?

Ja. Ähnlich wie die DSGVO hat das KI-Gesetz extraterritoriale Wirkung. Es gilt für alle Anbieter, die KI-Systeme in der EU auf den Markt bringen oder in Betrieb nehmen – unabhängig vom Sitz des Unternehmens. Auch wenn nur der Output eines KI-Systems in der EU verwendet wird, greift die Verordnung.

Was ist die Pflicht zur KI-Kompetenz?

Artikel 4 des KI-Gesetzes verpflichtet Anbieter und Betreiber seit Februar 2025 dazu, ein „ausreichendes Maß an KI-Kompetenz" ihres Personals sicherzustellen. Konkret bedeutet das: Mitarbeitende, die mit KI-Systemen arbeiten, müssen entsprechend ihres Kontexts geschult werden – zu Chancen, Risiken und rechtlichen Rahmenbedingungen von KI.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles