KI-Gesetz der EU: Was Sich 2026 Ändert (Vollständiger Leitfaden)
Das KI-Gesetz der EU (offiziell: EU AI Act, Verordnung 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung künstlicher Intelligenz. Nach dem Inkrafttreten im August 2024 treten 2025 und 2026 die entscheidenden Verpflichtungen für Unternehmen und Behörden in Kraft. Dieser Leitfaden erklärt, was sich konkret ändert, welche KI-Systeme betroffen sind und wie sich Bürger und Organisationen darauf vorbereiten sollten.
Was ist das KI-Gesetz der EU?
Das KI-Gesetz der EU ist eine europäische Verordnung, die den Einsatz künstlicher Intelligenz auf Basis eines risikobasierten Ansatzes reguliert. Sie gilt unmittelbar in allen EU-Mitgliedstaaten und betrifft Anbieter, Betreiber, Importeure und Händler von KI-Systemen – unabhängig davon, ob diese in der EU oder außerhalb ansässig sind, sofern die KI-Ausgabe in der EU verwendet wird.
Die Verordnung wurde am 13. Juni 2024 vom Europäischen Parlament und Rat verabschiedet und am 1. August 2024 im Amtsblatt der EU veröffentlicht. Sie ergänzt bestehende Rahmenwerke wie die DSGVO, die Produkthaftungsrichtlinie und sektorspezifische Regelungen.
Kernziele des Gesetzes
- Sicherheit und Grundrechte schützen – Vermeidung diskriminierender oder gefährlicher KI-Anwendungen
- Rechtssicherheit schaffen – Klare Anforderungen für Entwickler und Anwender
- Innovation fördern – Regulierungssandboxes und Ausnahmen für Forschung
- Einheitlicher Binnenmarkt – Harmonisierte Regeln in allen 27 Mitgliedstaaten
Zeitplan: Wann tritt was in Kraft?
Das KI-Gesetz wird in mehreren Stufen wirksam. Unternehmen sollten die Fristen kennen, um rechtzeitig Compliance-Maßnahmen umzusetzen.
| Datum | Was tritt in Kraft? |
|---|---|
| 1. August 2024 | Inkrafttreten der Verordnung |
| 2. Februar 2025 | Verbot inakzeptabler KI-Praktiken (Social Scoring, manipulative KI) |
| 2. August 2025 | Pflichten für General-Purpose-AI (GPAI) wie GPT-4, Gemini, Claude |
| 2. August 2026 | Vollständige Anwendung für Hochrisiko-KI-Systeme |
| 2. August 2027 | Hochrisiko-Systeme in regulierten Produkten (z. B. Medizinprodukte) |
Die vier Risikoklassen im Überblick
Das Herzstück des KI-Gesetzes ist die Einteilung von KI-Systemen in vier Risikokategorien. Je höher das Risiko, desto strenger die Anforderungen.
1. Inakzeptables Risiko (verboten)
Diese KI-Anwendungen sind seit Februar 2025 in der EU vollständig untersagt:
- Social-Scoring-Systeme durch Behörden
- Manipulative KI, die das Verhalten von Menschen unbewusst beeinflusst
- Ausnutzung von Schwachstellen bestimmter Personengruppen (z. B. Kinder, Behinderte)
- Biometrische Echtzeit-Identifikation im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung)
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- Predictive Policing basierend allein auf Profiling
- Scraping von Gesichtsbildern aus dem Internet zur Erstellung von Erkennungsdatenbanken
2. Hohes Risiko (streng reguliert)
Als Hochrisiko-KI gelten Systeme, die in sensiblen Bereichen eingesetzt werden. Dazu zählen unter anderem:
- Kritische Infrastrukturen (Energie, Verkehr, Wasser)
- Bildungswesen (z. B. automatisierte Prüfungsbewertung)
- Beschäftigung (Recruiting-Software, Leistungsbewertung)
- Zugang zu wesentlichen Dienstleistungen (Kredit-Scoring, Sozialleistungen)
- Strafverfolgung und Justiz
- Migration und Grenzkontrolle
- Biometrische Identifikation (nicht in Echtzeit)
3. Begrenztes Risiko (Transparenzpflichten)
KI-Systeme mit begrenztem Risiko müssen Nutzer klar über den KI-Einsatz informieren. Beispiele:
- Chatbots müssen als KI erkennbar sein
- Deepfakes müssen gekennzeichnet werden
- KI-generierte Inhalte müssen maschinenlesbar markiert sein
4. Minimales Risiko (keine Pflichten)
Die meisten KI-Anwendungen fallen in diese Kategorie: Spamfilter, KI in Videospielen oder einfache Empfehlungsalgorithmen. Für sie gelten keine besonderen Auflagen.
Pflichten für Anbieter von Hochrisiko-KI
Wer Hochrisiko-KI entwickelt oder in Verkehr bringt, muss ab August 2026 umfangreiche Anforderungen erfüllen:
- Risikomanagementsystem über den gesamten Lebenszyklus des Systems
- Data Governance: Trainings-, Validierungs- und Testdaten müssen repräsentativ, fehlerfrei und relevant sein
- Technische Dokumentation vor Inverkehrbringen erstellen und aktuell halten
- Automatische Protokollierung (Logs) während des Betriebs
- Transparenz und Informationspflichten gegenüber Betreibern
- Menschliche Aufsicht muss möglich und wirksam sein
- Genauigkeit, Robustheit und Cybersicherheit gewährleisten
- Konformitätsbewertung und CE-Kennzeichnung
- Registrierung in der EU-Datenbank für Hochrisiko-KI
Regeln für General-Purpose-AI (GPAI)
Große Sprachmodelle wie ChatGPT, Claude oder Gemini fallen unter die Kategorie „General-Purpose-AI". Seit August 2025 gelten für ihre Anbieter besondere Pflichten:
Basispflichten für alle GPAI-Anbieter
- Technische Dokumentation für Behörden bereitstellen
- Informationen für nachgelagerte Anbieter offenlegen
- Urheberrechtliche Regelungen einhalten (Text- und Data-Mining-Vorbehalte respektieren)
- Zusammenfassung der Trainingsdaten veröffentlichen
Zusätzliche Pflichten für „systemische" GPAI
Modelle, die mit mehr als 10^25 FLOPs trainiert wurden (etwa GPT-4-Klasse), gelten als systemisch relevant. Für sie gilt:
- Modellevaluierung und Adversarial Testing
- Bewertung und Minderung systemischer Risiken
- Meldung schwerwiegender Vorfälle an das AI Office
- Angemessene Cybersicherheitsmaßnahmen
Bußgelder und Sanktionen
Das KI-Gesetz sieht empfindliche Strafen vor, die teilweise über den DSGVO-Bußgeldern liegen:
| Verstoß | Maximale Strafe |
|---|---|
| Verbotene KI-Praktiken | 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |
| Verstoß gegen Hochrisiko-Pflichten | 15 Mio. € oder 3 % des weltweiten Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes |
Für KMU und Start-ups gilt jeweils der niedrigere Betrag – für alle anderen Unternehmen der höhere.
Was ändert sich für Bürger?
Auch Endnutzer profitieren spürbar vom KI-Gesetz. Die wichtigsten neuen Rechte:
Recht auf Erklärung
Wenn eine Hochrisiko-KI eine Entscheidung trifft, die Sie betrifft (z. B. Ablehnung eines Kredits oder einer Bewerbung), haben Sie das Recht auf eine klare, verständliche Erklärung.
Kennzeichnungspflicht für KI-Inhalte
Deepfakes, KI-generierte Texte und synthetische Medien müssen erkennbar gemacht werden. Das hilft im Kampf gegen Desinformation und Betrug – ähnlich wie beim QR-Code-Betrug 2026, bei dem Transparenz entscheidend ist.
Beschwerderecht
Sie können sich bei nationalen Marktüberwachungsbehörden über KI-Systeme beschweren. In Deutschland übernimmt diese Rolle voraussichtlich die Bundesnetzagentur in Kooperation mit dem BfDI. In Österreich können Sie sich zusätzlich an die österreichische Datenschutzbehörde wenden.
Verhältnis zur DSGVO
Das KI-Gesetz ersetzt die DSGVO nicht – beide gelten parallel. Wo personenbezogene Daten verarbeitet werden, bleibt die DSGVO uneingeschränkt anwendbar. Das KI-Gesetz ergänzt sie um produktsicherheitsrechtliche Anforderungen.
Praktische Konsequenzen
- KI-basierte Profiling-Systeme benötigen sowohl DSGVO-konforme Rechtsgrundlage als auch KI-Gesetz-Konformität
- Datenschutz-Folgenabschätzung (DSFA) und KI-Konformitätsbewertung können kombiniert werden
- Betroffenenrechte aus Art. 15-22 DSGVO gelten weiterhin
Wer sensible Daten schützen möchte, sollte sich mit modernen Verschlüsselungstechniken vertraut machen – unser Ratgeber zur Ende-zu-Ende-Verschlüsselung bietet dazu eine gute Einführung.
Vor- und Nachteile des KI-Gesetzes
Vorteile
- Weltweit erster umfassender Rechtsrahmen – schafft Standards („Brussels Effect")
- Schutz von Grundrechten und Diskriminierungsverbot
- Rechtssicherheit für Entwickler und Anwender
- Förderung vertrauenswürdiger KI („Trustworthy AI")
- Harmonisierte Regeln im gesamten EU-Binnenmarkt
- Regulierungssandboxes für Innovation
Nachteile und Kritik
- Hoher bürokratischer Aufwand, besonders für KMU
- Unklare Definitionen (z. B. „systemisches Risiko")
- Wettbewerbsnachteil gegenüber US-amerikanischen und chinesischen Anbietern
- Ausnahmen für Strafverfolgung schwächen Grundrechtsschutz
- Umsetzung auf nationaler Ebene noch weitgehend offen
Handlungsempfehlungen für Unternehmen
Unternehmen, die KI einsetzen oder entwickeln, sollten jetzt folgende Schritte umsetzen:
- KI-Inventar erstellen: Erfassen Sie alle im Unternehmen eingesetzten KI-Systeme
- Risikoklassifizierung: Ordnen Sie jedes System einer Risikoklasse zu
- Gap-Analyse: Vergleichen Sie den Ist-Zustand mit den gesetzlichen Anforderungen
- Verantwortlichkeiten definieren: Benennen Sie einen KI-Compliance-Beauftragten
- Dokumentation aufbauen: Technische Dokumentation, Risikomanagement, Logs
- Mitarbeiter schulen: KI-Kompetenz („AI Literacy") ist seit Februar 2025 Pflicht
- Verträge anpassen: Lieferanten- und Kundenverträge um KI-Klauseln erweitern
- Monitoring etablieren: Kontinuierliche Überwachung der KI-Systeme im Betrieb
Gerade beim Umgang mit Nutzerdaten und Links empfiehlt es sich, auf datenschutzfreundliche Werkzeuge zu setzen. Dienste wie Lunyb bieten beispielsweise DSGVO-konforme URL-Kürzung ohne intransparente KI-Tracking-Mechanismen – ein wichtiger Baustein für eine saubere Compliance-Strategie.
Nationale Umsetzung in Deutschland und Österreich
Obwohl das KI-Gesetz eine unmittelbar geltende Verordnung ist, müssen die Mitgliedstaaten Aufsichtsbehörden benennen und ergänzende Regelungen erlassen.
Deutschland
Ein KI-Durchführungsgesetz ist in Vorbereitung. Wahrscheinlich werden Bundesnetzagentur (federführend), BfDI (für Datenschutzaspekte) und BSI (für Cybersicherheit) gemeinsam zuständig sein. Länder-Datenschutzbehörden bleiben für Landeseinrichtungen zuständig.
Österreich
In Österreich soll die KI-Servicestelle bei der RTR (Rundfunk und Telekom Regulierungs-GmbH) die zentrale Anlaufstelle bilden. Ergänzend bleibt die Datenschutzbehörde für DSGVO-Aspekte zuständig.
Schweiz
Die Schweiz ist nicht direkt an das EU-KI-Gesetz gebunden, plant aber eine eigene KI-Regulierung. Details dazu finden Sie in unserem Artikel zur Cybersicherheit in der Schweiz 2026. Unternehmen, die in die EU exportieren, müssen dennoch das KI-Gesetz beachten.
Was Verbraucher jetzt tun können
Auch als Privatperson können Sie Ihre Rechte aktiv wahrnehmen:
- Informieren Sie sich über KI-Systeme, die Sie betreffen
- Fordern Sie bei automatisierten Entscheidungen Erklärungen ein
- Beschweren Sie sich bei Verstößen bei der zuständigen Aufsichtsbehörde
- Lassen Sie persönliche Daten von Datenhändlern entfernen, um KI-Trainings mit Ihren Daten zu vermeiden
- Nutzen Sie datenschutzfreundliche Alternativen zu KI-Diensten
FAQ – Häufige Fragen zum KI-Gesetz der EU
Gilt das KI-Gesetz auch für Unternehmen außerhalb der EU?
Ja. Das KI-Gesetz gilt extraterritorial: Sobald ein KI-System in der EU angeboten wird oder seine Ausgaben in der EU genutzt werden, muss der Anbieter die Vorgaben einhalten – unabhängig vom Firmensitz. Anbieter aus Drittstaaten müssen einen Bevollmächtigten in der EU benennen.
Ist ChatGPT vom KI-Gesetz betroffen?
Ja. ChatGPT gilt als General-Purpose-AI mit systemischem Risiko. OpenAI muss seit August 2025 umfangreiche Transparenz-, Sicherheits- und Meldepflichten erfüllen. Für spezifische Anwendungen (z. B. ChatGPT in einem Bewerbungsprozess) können zusätzlich Hochrisiko-Pflichten greifen.
Was ist AI Literacy und wen betrifft sie?
AI Literacy (KI-Kompetenz) ist die Pflicht für alle Organisationen, die KI einsetzen, ihre Mitarbeiter angemessen zu schulen. Dies gilt seit dem 2. Februar 2025 und betrifft sowohl Anbieter als auch Betreiber – vom Konzern bis zum kleinen Unternehmen, das ChatGPT im Alltag nutzt.
Wie unterscheidet sich das KI-Gesetz von der DSGVO?
Die DSGVO schützt personenbezogene Daten und regelt deren Verarbeitung. Das KI-Gesetz ist ein Produktsicherheitsgesetz, das die Entwicklung und den Einsatz von KI-Systemen als solche reguliert – unabhängig davon, ob personenbezogene Daten verarbeitet werden. Beide Verordnungen gelten parallel und ergänzen sich.
Was passiert, wenn ich gegen das KI-Gesetz verstoße?
Verstöße können mit Bußgeldern von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes geahndet werden. Zusätzlich drohen Marktrücknahmen, Vertriebsverbote und Reputationsschäden. Bei Grundrechtsverletzungen können betroffene Personen zivilrechtliche Schadenersatzansprüche geltend machen.
Fazit
Das KI-Gesetz der EU ist ein historischer Schritt für die Regulierung künstlicher Intelligenz. Es schafft Klarheit, schützt Grundrechte und positioniert Europa als Vorreiter vertrauenswürdiger KI – bringt aber auch erheblichen Anpassungsaufwand für Unternehmen mit sich. Wer jetzt handelt, seine KI-Systeme klassifiziert und Compliance-Prozesse aufbaut, ist bis August 2026 gut vorbereitet. Bürger gewinnen wichtige neue Rechte: von Kennzeichnungspflichten bis zum Recht auf Erklärung automatisierter Entscheidungen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Österreichische Datenschutzbehörde: Beschwerde Einreichen (2026)
Die Österreichische Datenschutzbehörde ist Ihre zentrale Anlaufstelle bei DSGVO-Verstößen. Dieser Ratgeber erklärt Schritt für Schritt, wie Sie eine Beschwerde einreichen, welche Fristen gelten und was Sie realistisch erwarten können.
DSG vs DSGVO: Die Unterschiede Verstehen (Schweiz 2026)
DSG und DSGVO regeln beide den Datenschutz, unterscheiden sich aber in Anwendungsbereich, Rechtsgrundlagen und Sanktionen. Dieser Leitfaden erklärt alle wichtigen Unterschiede zwischen dem Schweizer Datenschutzgesetz und der EU-DSGVO – mit praktischen Compliance-Tipps für Unternehmen.
BfDI Beschwerde Einreichen: Schritt für Schritt Anleitung 2026
Wenn Ihre Datenschutzrechte verletzt wurden, können Sie sich beim Bundesbeauftragten für den Datenschutz (BfDI) beschweren. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, wie Sie eine Beschwerde korrekt einreichen, welche Unterlagen Sie benötigen und was Sie realistisch erwarten können.
DSGVO in Österreich: Ihre Rechte im Überblick 2026
Die DSGVO gibt Ihnen als Bürgerin oder Bürger in Österreich acht zentrale Rechte – von der Auskunft bis zur Löschung. Dieser umfassende Leitfaden erklärt, wie Sie Ihre Rechte praktisch durchsetzen, Musteranträge stellen und sich bei der Datenschutzbehörde beschweren.