KI-Gesetz der EU: Was Sich 2026 Ändert (Vollständiger Leitfaden)
Das KI-Gesetz der EU (offiziell: EU AI Act, Verordnung 2024/1689) ist das weltweit erste umfassende Regelwerk für Künstliche Intelligenz. Seit August 2024 in Kraft, entfalten die zentralen Pflichten zwischen 2025 und 2027 schrittweise ihre Wirkung. Für Unternehmen, Behörden und Entwickler bedeutet das: tiefgreifende Änderungen bei der Entwicklung, Bereitstellung und Nutzung von KI-Systemen.
In diesem Leitfaden erfahren Sie, was sich konkret ändert, welche Risikoklassen gelten, welche Fristen zu beachten sind und wie Sie sich als Unternehmen oder Nutzer optimal vorbereiten.
Was ist das KI-Gesetz der EU?
Das KI-Gesetz der EU ist eine Verordnung des Europäischen Parlaments und des Rates, die harmonisierte Regeln für Künstliche Intelligenz in der Europäischen Union festlegt. Es verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte, Sicherheit und Gesundheit, desto strenger die Anforderungen.
Die Verordnung wurde am 13. Juni 2024 verabschiedet und trat am 1. August 2024 in Kraft. Sie gilt unmittelbar in allen EU-Mitgliedstaaten – ohne dass eine nationale Umsetzung erforderlich wäre – und ergänzt bestehende Regelwerke wie die DSGVO.
Zentrale Ziele des KI-Gesetzes
- Schutz von Grundrechten, Demokratie und Rechtsstaatlichkeit
- Förderung vertrauenswürdiger und menschenzentrierter KI
- Rechtssicherheit für Innovation und Investitionen
- Verhinderung von Fragmentierung des EU-Binnenmarkts
- Stärkung der globalen Wettbewerbsfähigkeit europäischer KI
Die vier Risikoklassen des KI-Gesetzes
Der Kern des KI-Gesetzes ist die Klassifikation von KI-Systemen in vier Risikostufen. Jede Stufe zieht unterschiedliche rechtliche Konsequenzen nach sich.
| Risikoklasse | Beispiele | Rechtsfolge |
|---|---|---|
| Unannehmbares Risiko | Social Scoring, manipulative KI, biometrische Massenüberwachung | Verboten |
| Hohes Risiko | KI in Personalauswahl, Kreditvergabe, Strafverfolgung, Medizinprodukten | Strenge Auflagen & Konformitätsbewertung |
| Begrenztes Risiko | Chatbots, Deepfakes, emotionserkennende Systeme | Transparenzpflichten |
| Minimales Risiko | Spam-Filter, KI in Videospielen, einfache Empfehlungssysteme | Keine besonderen Pflichten |
Verbotene KI-Praktiken
Seit Februar 2025 sind bestimmte KI-Anwendungen in der EU vollständig untersagt. Dazu zählen:
- Systeme, die unterschwellige oder manipulative Techniken einsetzen
- Ausnutzung von Schwächen bestimmter Personengruppen (Alter, Behinderung, sozialer Status)
- Social Scoring durch öffentliche oder private Akteure
- Vorhersage von Straftaten allein auf Basis von Profiling
- Ungezieltes Auslesen von Gesichtsbildern aus dem Internet zum Aufbau von Datenbanken
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- Biometrische Kategorisierung nach sensiblen Merkmalen (Ethnie, politische Meinung, sexuelle Orientierung)
- Echtzeit-Fernidentifikation in öffentlich zugänglichen Räumen (mit engen Ausnahmen)
Wichtige Fristen und Übergangsregelungen
Das KI-Gesetz tritt nicht auf einen Schlag in Kraft, sondern in Stufen. Diese zeitliche Staffelung gibt Unternehmen Zeit zur Anpassung.
| Datum | Ereignis |
|---|---|
| 1. August 2024 | Inkrafttreten der Verordnung |
| 2. Februar 2025 | Verbote und Pflicht zur KI-Kompetenz gelten |
| 2. August 2025 | Regeln für General Purpose AI (GPAI) und Governance-Strukturen |
| 2. August 2026 | Hauptteil der Verordnung, insbesondere Hochrisiko-Pflichten (Anhang III) |
| 2. August 2027 | Vollständige Anwendung für Hochrisiko-KI in regulierten Produkten (Anhang I) |
Pflichten für Hochrisiko-KI-Systeme
Hochrisiko-Systeme unterliegen den strengsten Anforderungen. Anbieter müssen umfangreiche Vorkehrungen treffen, bevor solche Systeme auf den EU-Markt kommen.
Kernanforderungen an Anbieter
- Risikomanagementsystem: Kontinuierlicher Prozess über den gesamten Lebenszyklus
- Datenqualität: Trainings-, Validierungs- und Testdaten müssen repräsentativ, fehlerfrei und vollständig sein
- Technische Dokumentation: Detaillierte Nachweise vor Inverkehrbringen
- Protokollierung: Automatische Aufzeichnung von Ereignissen (Logs)
- Transparenz: Klare Informationen für Betreiber
- Menschliche Aufsicht: Systeme müssen so gestaltet sein, dass natürliche Personen sie überwachen können
- Genauigkeit, Robustheit und Cybersicherheit: Angemessenes Niveau über den gesamten Lebenszyklus
- Konformitätsbewertung: Prüfung vor Markteintritt, CE-Kennzeichnung
Pflichten für Betreiber (Nutzer im Unternehmen)
- Nutzung gemäß Gebrauchsanweisung des Anbieters
- Sicherstellung menschlicher Aufsicht durch qualifiziertes Personal
- Überwachung des Betriebs und Meldung schwerwiegender Vorfälle
- Aufbewahrung der Logs für mindestens sechs Monate
- Durchführung einer Grundrechte-Folgenabschätzung (bei bestimmten öffentlichen und privaten Akteuren)
- Information von betroffenen Arbeitnehmern vor dem Einsatz
Regeln für General Purpose AI (GPAI)
Große Sprachmodelle wie GPT-4, Claude, Gemini oder Llama fallen unter die Kategorie „General Purpose AI" – KI-Modelle mit allgemeinem Verwendungszweck. Ab August 2025 gelten für Anbieter dieser Modelle spezifische Pflichten.
Basispflichten für alle GPAI-Anbieter
- Technische Dokumentation des Modells
- Information nachgelagerter Anbieter
- Einhaltung des EU-Urheberrechts
- Veröffentlichung einer Zusammenfassung der Trainingsdaten
Zusätzliche Pflichten für GPAI mit systemischem Risiko
Wenn ein Modell mit mehr als 10^25 FLOPs trainiert wurde (Grenzwert für „systemisches Risiko"), kommen weitere Anforderungen hinzu:
- Modellbewertungen einschließlich Adversarial Testing
- Risikoanalyse und -minderung auf EU-Ebene
- Meldung schwerwiegender Vorfälle an das AI Office
- Sicherstellung eines angemessenen Cybersicherheitsniveaus
Transparenzpflichten für begrenztes Risiko
Für KI-Systeme mit begrenztem Risiko gilt das Prinzip: Nutzer sollen wissen, wenn sie mit einer KI interagieren. Die wichtigsten Transparenzpflichten sind:
- Chatbots & Konversations-KI: Nutzer müssen informiert werden, dass sie mit einer Maschine interagieren
- Deepfakes: Künstlich erzeugte oder manipulierte Bild-, Audio- und Videoinhalte müssen als solche gekennzeichnet werden
- Emotionserkennung & biometrische Kategorisierung: Betroffene müssen aktiv informiert werden
- KI-generierte Texte: Bei Veröffentlichung zu Themen von öffentlichem Interesse ist eine Kennzeichnung erforderlich
Diese Kennzeichnungspflichten sind auch für die Bekämpfung von Betrug relevant – Deepfakes werden zunehmend für Phishing eingesetzt. Ein verwandtes Thema ist der Schutz vor QR-Code-Betrug und Quishing, bei dem KI-generierte Inhalte ebenfalls eine wachsende Rolle spielen.
Sanktionen und Bußgelder
Das KI-Gesetz sieht empfindliche Strafen vor. Die Höhe orientiert sich – ähnlich wie bei der DSGVO – am weltweiten Jahresumsatz und ist teils sogar höher.
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken | Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |
| Verstöße gegen sonstige Pflichten | Bis zu 15 Mio. € oder 3 % des Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | Bis zu 7,5 Mio. € oder 1 % des Jahresumsatzes |
| GPAI-spezifische Verstöße | Bis zu 15 Mio. € oder 3 % des Jahresumsatzes |
Für kleine und mittelständische Unternehmen (KMU) und Start-ups gelten die jeweils niedrigeren Beträge, um deren Existenz nicht zu gefährden.
Aufsichtsstrukturen in Deutschland und der EU
Auf EU-Ebene überwacht das neu geschaffene AI Office (Teil der Europäischen Kommission) die Einhaltung – insbesondere bei GPAI-Modellen. In Deutschland wird die Aufsicht auf mehrere Behörden verteilt:
- Bundesnetzagentur: Voraussichtlich zentrale Marktüberwachungsbehörde
- BfDI (Bundesbeauftragter für Datenschutz und Informationsfreiheit): Zuständig für datenschutzrelevante KI-Anwendungen
- BSI: Cybersicherheitsaspekte
- Sektorspezifische Behörden: BaFin (Finanzen), BfArM (Medizinprodukte)
Die genaue Behördenstruktur wird durch das nationale KI-Durchführungsgesetz konkretisiert, das voraussichtlich 2026 verabschiedet wird.
Was Unternehmen jetzt tun sollten
Auch wenn viele Pflichten erst 2026 oder 2027 greifen, sollten Unternehmen frühzeitig handeln. Compliance im KI-Bereich ist komplex und lässt sich nicht kurzfristig herstellen.
Empfohlene Schritte (2025–2026)
- KI-Inventar erstellen: Erfassen Sie alle KI-Systeme, die entwickelt, eingekauft oder eingesetzt werden
- Risikoklassifizierung: Ordnen Sie jedes System einer Risikoklasse zu
- Gap-Analyse: Identifizieren Sie Lücken zwischen Ist-Zustand und Anforderungen
- KI-Kompetenz aufbauen: Seit Februar 2025 ist Schulung des Personals verpflichtend
- Governance-Strukturen etablieren: Benennen Sie Verantwortliche, definieren Sie Prozesse
- Dokumentationssysteme aufbauen: Technische Dokumentation, Logs, Risikomanagement
- Verträge mit Anbietern prüfen: Klären Sie Verantwortlichkeiten und Informationspflichten
- Datenschutz-Folgenabschätzungen aktualisieren: Verzahnung mit DSGVO
Datenschutz und Cybersicherheit im KI-Zeitalter
Das KI-Gesetz greift nur, wenn es durch andere Schutzmaßnahmen flankiert wird. Zu einer soliden Compliance-Strategie gehören daher auch:
- Sichere Authentifizierungslösungen wie professionelle Passwort-Manager
- Ende-zu-Ende-Verschlüsselung für sensible Kommunikation
- Einsatz datenschutzfreundlicher Browser in der Unternehmens-IT
- Datensparsame Tools für alltägliche Aufgaben – etwa der URL-Verkürzer Lunyb, der Links ohne aggressives Tracking bereitstellt und so DSGVO-konformes Marketing unterstützt
Auswirkungen auf verschiedene Branchen
Finanzdienstleistungen
KI zur Kreditwürdigkeitsprüfung oder Risikobewertung bei Lebens- und Krankenversicherungen gilt als Hochrisiko. Banken müssen umfangreiche Konformitätsbewertungen durchführen und mit BaFin-Anforderungen abstimmen.
Personalwesen (HR)
KI im Recruiting, für Beförderungsentscheidungen oder Leistungsbewertungen fällt unter Hochrisiko. Betriebsräte sind einzubinden, Grundrechte-Folgenabschätzungen können erforderlich sein.
Gesundheitswesen
KI-basierte Medizinprodukte unterliegen doppelter Regulierung: Medizinprodukteverordnung (MDR) und KI-Gesetz. Die Übergangsfristen reichen hier bis August 2027.
Marketing und Vertrieb
Personalisierung, Chatbots und generative KI sind meist begrenzt riskant. Transparenzpflichten (Kennzeichnung von KI-Chatbots und KI-generierten Inhalten) stehen im Vordergrund.
Öffentlicher Sektor
Behörden sind besonders betroffen: KI in Bildung, Migration, Justiz und Strafverfolgung ist regelmäßig Hochrisiko. Zusätzlich gilt für sie die Pflicht zur Grundrechte-Folgenabschätzung.
Kritik und offene Fragen
Das KI-Gesetz stößt nicht überall auf Zustimmung. Zentrale Kritikpunkte:
- Innovationshemmnis: Start-ups befürchten hohe Compliance-Kosten und Wettbewerbsnachteile gegenüber US- und China-Anbietern
- Auslegungsunsicherheit: Viele Begriffe (z. B. „manipulative Techniken") sind unbestimmt
- Überschneidungen mit anderen Regelwerken: DSGVO, Produkthaftungsrichtlinie, Digital Services Act
- Enforcement-Kapazitäten: Behörden müssen erst KI-Expertise aufbauen
- Grundrechtsschutz vs. Sicherheit: Ausnahmen für Strafverfolgung werden von Bürgerrechtlern kritisiert
Fazit
Das KI-Gesetz der EU markiert einen Paradigmenwechsel: Zum ersten Mal weltweit wird KI umfassend und branchenübergreifend reguliert. Für Unternehmen bedeutet das erheblichen Anpassungsbedarf – aber auch Rechtssicherheit und einen Vertrauensvorsprung im internationalen Wettbewerb.
Wer jetzt beginnt, KI-Systeme zu inventarisieren, Risiken zu bewerten und Governance-Strukturen aufzubauen, wird 2026 und 2027 nicht überrascht. Wer wartet, riskiert nicht nur empfindliche Bußgelder, sondern auch Reputationsschäden. Das KI-Gesetz ist keine Wahl – es ist geltendes Recht.
Häufig gestellte Fragen (FAQ)
Wann gilt das KI-Gesetz der EU vollständig?
Das KI-Gesetz trat am 1. August 2024 in Kraft. Verbote gelten seit Februar 2025, GPAI-Regeln seit August 2025. Der Hauptteil einschließlich der Hochrisiko-Anforderungen wird ab August 2026 wirksam. Für bestimmte Hochrisiko-KI in regulierten Produkten (z. B. Medizinprodukte) gilt eine verlängerte Frist bis August 2027.
Welche KI-Systeme sind in der EU verboten?
Seit Februar 2025 sind unter anderem verboten: Social Scoring, manipulative KI, ungezieltes Sammeln von Gesichtsbildern aus dem Internet, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, biometrische Kategorisierung nach sensiblen Merkmalen sowie – mit engen Ausnahmen – biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen.
Wie hoch sind die Bußgelder bei Verstößen?
Die Höchststrafen betragen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken. Für sonstige Verstöße drohen bis zu 15 Millionen Euro oder 3 % des Umsatzes. Es gilt jeweils der höhere Betrag. Für KMU und Start-ups gelten die jeweils niedrigeren Beträge.
Gilt das KI-Gesetz auch für Unternehmen außerhalb der EU?
Ja. Ähnlich wie die DSGVO hat das KI-Gesetz extraterritoriale Wirkung. Es gilt für alle Anbieter, die KI-Systeme in der EU auf den Markt bringen oder in Betrieb nehmen – unabhängig vom Sitz des Unternehmens. Auch wenn nur der Output eines KI-Systems in der EU verwendet wird, greift die Verordnung.
Was ist die Pflicht zur KI-Kompetenz?
Artikel 4 des KI-Gesetzes verpflichtet Anbieter und Betreiber seit Februar 2025 dazu, ein „ausreichendes Maß an KI-Kompetenz" ihres Personals sicherzustellen. Konkret bedeutet das: Mitarbeitende, die mit KI-Systemen arbeiten, müssen entsprechend ihres Kontexts geschult werden – zu Chancen, Risiken und rechtlichen Rahmenbedingungen von KI.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
DSG: Das Schweizer Datenschutzgesetz Erklärt (Leitfaden 2026)
Das revidierte Schweizer Datenschutzgesetz (revDSG) gilt seit September 2023 und modernisiert den Datenschutz in der Schweiz grundlegend. Dieser Leitfaden erklärt Pflichten, Rechte, Bussen sowie die zentralen Unterschiede zur DSGVO – praxisnah und verständlich.
Österreichische Datenschutzbehörde: Beschwerde Einreichen 2026
Die österreichische Datenschutzbehörde (DSB) prüft Beschwerden zu DSGVO-Verstößen kostenfrei. Erfahren Sie Schritt für Schritt, wie Sie eine Beschwerde einreichen, welche Fristen gelten und wie Sie Ihre Erfolgsaussichten maximieren.
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Sie möchten eine Datenschutzbeschwerde bei der BfDI einreichen? Unser Schritt-für-Schritt-Leitfaden zeigt Ihnen, welche Voraussetzungen gelten, wie Sie Beweise sammeln und Ihre Beschwerde nach Art. 77 DSGVO wirksam formulieren – inklusive Muster und häufigen Fehlern.
DSG vs DSGVO: Die Unterschiede Verstehen (Leitfaden 2026)
Das revidierte Schweizer DSG und die europäische DSGVO verfolgen ähnliche Ziele, unterscheiden sich aber in Anwendungsbereich, Pflichten und Sanktionen. Dieser Leitfaden erklärt die zentralen Unterschiede und zeigt, welche Regeln für Schweizer Unternehmen wirklich gelten.