KI-Gesetz der EU: Was Sich 2026 Ändert – Der Komplette Leitfaden
Mit dem KI-Gesetz der EU (AI Act) hat die Europäische Union das weltweit erste umfassende Regelwerk für Künstliche Intelligenz verabschiedet. Es verändert grundlegend, wie KI-Systeme in Europa entwickelt, vertrieben und eingesetzt werden dürfen – mit weitreichenden Folgen für Unternehmen, Behörden und Bürger. In diesem Leitfaden erfahren Sie, was sich konkret ändert, welche Fristen gelten und wie Sie sich darauf vorbereiten können.
Was ist das KI-Gesetz der EU?
Das KI-Gesetz der EU (offiziell: Verordnung über Künstliche Intelligenz, EU AI Act) ist eine im Jahr 2024 verabschiedete EU-Verordnung, die den Einsatz von KI-Systemen in der gesamten Europäischen Union einheitlich regelt. Ziel ist es, Innovation zu fördern und gleichzeitig Grundrechte, Sicherheit und demokratische Werte zu schützen.
Die Verordnung verfolgt einen risikobasierten Ansatz: Je höher das potenzielle Risiko eines KI-Systems für Menschen oder Gesellschaft, desto strenger sind die Anforderungen. Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden – damit übertreffen die Strafen sogar die der DSGVO.
Warum braucht Europa ein KI-Gesetz?
Künstliche Intelligenz durchdringt zunehmend alle Lebensbereiche: von medizinischer Diagnostik über Personalentscheidungen bis hin zu generativen Sprachmodellen wie ChatGPT. Ohne klare Regeln drohen Diskriminierung, Manipulation und Verlust der Kontrolle über automatisierte Entscheidungen. Das KI-Gesetz schafft Rechtssicherheit für Unternehmen und stärkt das Vertrauen der Bevölkerung in KI-Technologien.
Die vier Risikoklassen im Überblick
Das Herzstück des KI-Gesetzes ist die Einteilung von KI-Systemen in vier Risikoklassen. Jede Klasse bringt unterschiedliche Pflichten und Verbote mit sich.
| Risikoklasse | Beispiele | Rechtsfolge |
|---|---|---|
| Unannehmbares Risiko | Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung | Vollständig verboten |
| Hohes Risiko | KI in Medizinprodukten, Personalauswahl, Kreditvergabe, kritischer Infrastruktur | Strenge Auflagen, Konformitätsbewertung |
| Begrenztes Risiko | Chatbots, Deepfakes, generative KI | Transparenzpflichten |
| Minimales Risiko | Spam-Filter, KI in Videospielen | Keine besonderen Auflagen |
Verbotene KI-Praktiken
Bestimmte Anwendungen sind seit Februar 2025 vollständig untersagt. Dazu zählen:
- KI-Systeme zur Bewertung des Sozialverhaltens von Bürgern (Social Scoring)
- Manipulative Systeme, die das Verhalten von Personen unterschwellig beeinflussen
- Ausnutzung von Schwächen bestimmter Personengruppen (z. B. Kinder, ältere Menschen)
- Biometrische Echtzeit-Identifizierung im öffentlichen Raum durch Strafverfolgungsbehörden (mit engen Ausnahmen)
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- Predictive Policing auf Basis reiner Persönlichkeitsmerkmale
Hochrisiko-KI: Die strengsten Anforderungen
Hochrisiko-Systeme sind erlaubt, müssen aber zahlreiche Pflichten erfüllen. Anbieter müssen ein Risikomanagementsystem etablieren, qualitativ hochwertige Trainingsdaten verwenden, technische Dokumentation bereitstellen, automatische Protokollierung sicherstellen, menschliche Aufsicht ermöglichen und ein hohes Maß an Genauigkeit, Robustheit und Cybersicherheit garantieren.
Zeitplan: Wann gilt was?
Das KI-Gesetz tritt schrittweise in Kraft. Hier die wichtigsten Meilensteine im Überblick:
- 1. August 2024: Inkrafttreten der Verordnung
- 2. Februar 2025: Verbot der unannehmbaren KI-Praktiken; Pflicht zur KI-Kompetenz für Mitarbeitende
- 2. August 2025: Regeln für General-Purpose-KI-Modelle (z. B. GPT, Gemini, Claude); Sanktionen und nationale Behörden werden aktiv
- 2. August 2026: Hauptanwendungsbeginn für die meisten Hochrisiko-Systeme
- 2. August 2027: Übergangsfristen für bestimmte regulierte Produkte (z. B. Medizinprodukte) enden
Pflichten für General-Purpose-KI (GPAI)
Allzweck-KI-Modelle wie GPT-4, Gemini oder Mistral fallen unter eine eigene Kategorie. Anbieter solcher Modelle müssen:
- Technische Dokumentation für nachgelagerte Anbieter bereitstellen
- Eine Richtlinie zur Einhaltung des EU-Urheberrechts implementieren
- Eine ausreichend detaillierte Zusammenfassung der verwendeten Trainingsdaten veröffentlichen
- Bei systemischem Risiko: zusätzliche Modellbewertungen, Adversarial Testing und Meldung schwerwiegender Vorfälle
Als systemisches Risiko gelten Modelle, die mit mehr als 10^25 FLOPs trainiert wurden – ein Schwellenwert, den derzeit nur die größten Frontier-Modelle erreichen.
Was ändert sich für Unternehmen?
Jedes Unternehmen, das KI-Systeme in der EU entwickelt, vertreibt oder einsetzt, ist betroffen – unabhängig vom Firmensitz. Das gilt auch für US-amerikanische oder asiatische Anbieter, deren Produkte den EU-Markt erreichen.
Konkrete Handlungsschritte
- KI-Inventar erstellen: Erfassen Sie alle eingesetzten KI-Systeme im Unternehmen.
- Risikoklassifizierung: Ordnen Sie jedes System einer Risikoklasse zu.
- Lückenanalyse: Vergleichen Sie den Ist-Zustand mit den gesetzlichen Anforderungen.
- KI-Governance etablieren: Benennen Sie Verantwortliche und definieren Sie interne Prozesse.
- Mitarbeiterschulungen: Seit Februar 2025 müssen Mitarbeitende, die mit KI arbeiten, über ausreichende KI-Kompetenz verfügen.
- Dokumentation: Erstellen Sie technische Unterlagen, Risikobewertungen und Konformitätserklärungen.
- Lieferantenmanagement: Prüfen Sie, ob Ihre KI-Anbieter compliant sind.
Pflicht zur KI-Kompetenz
Artikel 4 des KI-Gesetzes verpflichtet alle Anbieter und Betreiber, sicherzustellen, dass ihr Personal über ein ausreichendes Maß an KI-Kompetenz verfügt. Das umfasst technisches Verständnis ebenso wie das Bewusstsein für Risiken und Grenzen von KI-Systemen. Schulungsnachweise sind dringend empfohlen.
Was bedeutet das KI-Gesetz für Bürger?
Für Endnutzer bringt das KI-Gesetz eine deutliche Stärkung der Rechte. Sie haben künftig das Recht zu erfahren, wann Sie mit einer KI interagieren, wann Inhalte KI-generiert sind und in bestimmten Fällen auch das Recht auf eine Erklärung von KI-Entscheidungen, die Sie betreffen.
Transparenz bei Deepfakes und generativer KI
KI-generierte oder -manipulierte Bilder, Videos und Audioinhalte (Deepfakes) müssen klar als solche gekennzeichnet werden. Auch Chatbots müssen sich als KI zu erkennen geben. Texte zu Themen von öffentlichem Interesse, die von KI verfasst wurden, sind ebenfalls kennzeichnungspflichtig.
Beschwerderechte
Betroffene können sich bei der zuständigen nationalen Marktüberwachungsbehörde beschweren, wenn sie einen Verstoß gegen das KI-Gesetz vermuten. In Deutschland ist hierfür voraussichtlich die Bundesnetzagentur zuständig, in enger Abstimmung mit der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) für datenschutzrelevante Aspekte.
Zusammenspiel mit der DSGVO
Das KI-Gesetz ersetzt die DSGVO nicht, sondern ergänzt sie. Wenn ein KI-System personenbezogene Daten verarbeitet, gelten beide Regelwerke parallel. Besonders relevant ist Artikel 22 DSGVO, der bereits automatisierte Einzelentscheidungen regelt. Unternehmen müssen also:
- Eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn KI personenbezogene Daten verarbeitet
- Eine separate Grundrechte-Folgenabschätzung nach dem KI-Gesetz für bestimmte Hochrisiko-Systeme erstellen
- Rechtsgrundlagen für die Datenverarbeitung sicherstellen
- Betroffenenrechte gewährleisten
Wer seine digitalen Spuren minimieren möchte, sollte sich auch mit verwandten Themen befassen. Unser Leitfaden zum Entfernen persönlicher Daten von Datenhändlern zeigt konkrete Schritte. Auch das Datenschutzgesetz Österreich bietet hilfreiche Parallelen für DACH-Unternehmen.
Bußgelder und Sanktionen
Die Strafen des KI-Gesetzes sind erheblich und gestaffelt nach Schwere des Verstoßes:
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken | 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |
| Verstoß gegen Hochrisiko-Pflichten | 15 Mio. € oder 3 % des weltweiten Jahresumsatzes |
| Falsche Informationen an Behörden | 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes |
Für KMU und Start-ups gelten reduzierte Sätze, um Innovation nicht zu ersticken.
Praktische Auswirkungen auf den Alltag
Das KI-Gesetz wird in vielen Lebensbereichen spürbar. Hier einige konkrete Beispiele:
Im Beruf
KI-Tools zur Bewerberauswahl oder Leistungsbeurteilung gelten als Hochrisiko. Arbeitgeber müssen Beschäftigte vor dem Einsatz solcher Systeme informieren und eine menschliche Überprüfung sicherstellen. Emotionserkennung am Arbeitsplatz ist generell verboten.
Bei Online-Diensten
Generative KI-Inhalte müssen gekennzeichnet werden. Plattformen müssen technische Lösungen wie digitale Wasserzeichen implementieren. Wer Marketing-Inhalte mit KI erstellt – etwa für eine Link-in-Bio-Seite – muss dies künftig transparent machen.
Bei Telefon und Kommunikation
KI-gestützte Anrufsysteme, etwa bei Spam-Anrufen, geraten stärker in den Fokus. Praktische Schutzmaßnahmen erfahren Sie in unserem Ratgeber zum Blockieren von Spam-Anrufen 2026.
Bei Linkverkürzern und Tracking
Auch im Bereich der URL-Verkürzung und Linkanalyse können KI-Systeme zum Einsatz kommen – etwa zur Betrugserkennung. Anbieter wie Lunyb setzen auf datenschutzfreundliche Verfahren und transparente Verarbeitung, ohne biometrisches Profiling oder manipulative Mechanismen. Einen detaillierten Vergleich finden Sie in unserem Beitrag Lunyb vs Bitly.
Kritik und Herausforderungen
Trotz vieler Stimmen, die das KI-Gesetz als Meilenstein loben, gibt es auch Kritik. Manche Wirtschaftsverbände befürchten Wettbewerbsnachteile gegenüber den USA und China. Bürgerrechtsorganisationen wiederum bemängeln Ausnahmen für Strafverfolgung und Migrationskontrolle. Zudem ist die praktische Umsetzung komplex: Nationale Behörden müssen erst aufgebaut, harmonisierte Standards entwickelt und Konformitätsbewertungsstellen akkreditiert werden.
Innovationsförderung durch Reallabore
Um Start-ups und KMU zu unterstützen, verpflichtet das KI-Gesetz die Mitgliedstaaten, sogenannte KI-Reallabore (Regulatory Sandboxes) einzurichten. Dort können Unternehmen innovative KI-Anwendungen unter Aufsicht der Behörden testen, bevor sie auf den Markt kommen. In Deutschland werden diese Reallabore voraussichtlich von der Bundesnetzagentur koordiniert.
So bereiten Sie sich richtig vor
Unabhängig davon, ob Sie ein Großunternehmen oder Einzelunternehmer sind: Folgende Schritte helfen Ihnen, compliant zu werden.
- Bewusstsein schaffen: Informieren Sie Geschäftsführung und Mitarbeitende über die Tragweite des Gesetzes.
- Verantwortlichkeit definieren: Benennen Sie eine zuständige Person oder ein Team – idealerweise in Abstimmung mit Datenschutz- und IT-Sicherheitsbeauftragten.
- Bestandsaufnahme: Welche KI-Systeme sind im Einsatz? Welche sind geplant?
- Klassifizierung: Welche Risikoklasse trifft zu? Holen Sie bei Unsicherheit Rechtsrat ein.
- Maßnahmenplan: Welche Pflichten ergeben sich? Welche Fristen sind einzuhalten?
- Dokumentation aufbauen: Erstellen Sie ein zentrales KI-Register mit allen relevanten Informationen.
- Vertragsanpassungen: Überprüfen Sie Verträge mit Anbietern und Auftragsverarbeitern.
- Regelmäßige Überprüfung: KI-Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess.
FAQ – Häufig gestellte Fragen zum KI-Gesetz der EU
Wann tritt das KI-Gesetz vollständig in Kraft?
Das KI-Gesetz ist bereits am 1. August 2024 in Kraft getreten. Die einzelnen Bestimmungen gelten jedoch gestaffelt: Verbote seit Februar 2025, GPAI-Regeln seit August 2025, und der Großteil der Hochrisiko-Pflichten ab August 2026. Vollständige Anwendung ist ab August 2027 erreicht.
Bin ich als kleines Unternehmen auch betroffen?
Ja, das KI-Gesetz gilt grundsätzlich für alle Unternehmen, die KI in der EU einsetzen oder anbieten. Für KMU und Start-ups gibt es allerdings Erleichterungen wie reduzierte Bußgelder, vereinfachte Dokumentationspflichten und kostenlosen Zugang zu Reallaboren.
Was zählt als KI im Sinne des Gesetzes?
Die Definition orientiert sich an der OECD-Definition: Ein KI-System ist ein maschinengestütztes System, das mit unterschiedlicher Autonomie arbeitet, sich anpassen kann und aus Eingaben Ausgaben wie Vorhersagen, Empfehlungen oder Entscheidungen ableitet. Einfache regelbasierte Software fällt in der Regel nicht darunter.
Welche Behörde ist in Deutschland zuständig?
Die Bundesregierung hat die Bundesnetzagentur als zentrale nationale Koordinierungsstelle vorgesehen. Sektorspezifische Behörden (z. B. BaFin für Finanzdienstleistungen, BfArM für Medizinprodukte) behalten ihre Zuständigkeiten. Datenschutzfragen werden weiterhin von der BfDI und den Landesdatenschutzbehörden bearbeitet.
Was passiert mit bereits eingesetzten KI-Systemen?
Für bestehende Hochrisiko-Systeme gibt es Übergangsfristen. Wesentliche Änderungen oder Updates können jedoch dazu führen, dass das System neu bewertet werden muss. Unternehmen sollten ihre Bestandssysteme zeitnah überprüfen und gegebenenfalls anpassen.
Fazit
Das KI-Gesetz der EU ist eine der weitreichendsten Regulierungen unserer Zeit. Es schafft erstmals einen einheitlichen rechtlichen Rahmen für Künstliche Intelligenz und positioniert Europa als globaler Vorreiter beim Schutz von Grundrechten im digitalen Zeitalter. Unternehmen sollten die Übergangsfristen nutzen, um Compliance-Strukturen aufzubauen, während Bürger von neuen Transparenz- und Schutzrechten profitieren. Wer früh beginnt, sich vorzubereiten, kann das KI-Gesetz nicht nur als Pflicht, sondern als Wettbewerbsvorteil verstehen – denn vertrauenswürdige KI wird zum Markenzeichen europäischer Anbieter.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Datenschutzgesetz Österreich Erklärt: Der Vollständige Leitfaden 2026
Das österreichische Datenschutzgesetz regelt gemeinsam mit der DSGVO den Umgang mit personenbezogenen Daten. Erfahren Sie alles über Ihre Rechte, die Pflichten von Unternehmen und die Sanktionen bei Verstößen – mit praktischen Beispielen und Tipps.
DSG: Das Schweizer Datenschutzgesetz einfach erklärt (2026)
Das revidierte Schweizer Datenschutzgesetz (DSG) gilt seit September 2023 und bringt zahlreiche neue Pflichten für Unternehmen. Dieser Leitfaden erklärt verständlich die Grundsätze, Unterschiede zur DSGVO, Bussen und die praktische Umsetzung im Unternehmen.
DSGVO einfach erklärt 2026: Der verständliche Leitfaden
Die DSGVO ist auch 2026 das zentrale Regelwerk für Datenschutz in Europa. Dieser Leitfaden erklärt Grundprinzipien, Ihre Rechte als Betroffener, Pflichten für Unternehmen und aktuelle Entwicklungen verständlich und praxisnah.
EDÖB-Beschwerde einreichen: Ihre Schritt-für-Schritt-Anleitung 2026
Wenn Ihre Datenschutzrechte in der Schweiz verletzt werden, ist eine Beschwerde beim EDÖB der wirksamste aufsichtsrechtliche Weg. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie 2026 eine erfolgreiche Anzeige einreichen, welche Beweise nötig sind und welche Verfahrensschritte folgen.