KI-Gesetz der EU: Was Sich 2026 für Unternehmen und Bürger Ändert
Das KI-Gesetz der EU (offiziell: Verordnung (EU) 2024/1689, englisch AI Act) ist das weltweit erste umfassende Regelwerk für Künstliche Intelligenz. Es trat am 1. August 2024 in Kraft und entfaltet seine Wirkung schrittweise bis 2027. In diesem Leitfaden erfahren Sie, was sich konkret ändert, welche Pflichten auf Unternehmen zukommen und welche Rechte Bürgerinnen und Bürger erhalten.
Was ist das KI-Gesetz der EU?
Das KI-Gesetz der EU ist eine Verordnung, die einheitliche Regeln für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen innerhalb der Europäischen Union festlegt. Ziel ist es, vertrauenswürdige KI zu fördern und gleichzeitig Grundrechte, Sicherheit und demokratische Werte zu schützen.
Anders als die DSGVO, die personenbezogene Daten regelt, fokussiert das KI-Gesetz auf Risiken durch KI-Systeme – unabhängig davon, ob personenbezogene Daten verarbeitet werden. Es gilt für Anbieter, Betreiber, Importeure und Händler von KI-Systemen, die in der EU eingesetzt werden – auch wenn diese außerhalb der EU sitzen (Marktortprinzip).
Der risikobasierte Ansatz: Vier Kategorien
Das KI-Gesetz unterteilt KI-Systeme in vier Risikoklassen. Je höher das Risiko, desto strenger die Anforderungen.
1. Unannehmbares Risiko (verboten)
Diese KI-Anwendungen sind seit dem 2. Februar 2025 vollständig verboten:
- Social Scoring durch Behörden nach chinesischem Vorbild
- Manipulative KI, die das Verhalten unterbewusst beeinflusst
- Ausnutzung von Schwachstellen bestimmter Personengruppen (Kinder, Behinderte)
- Biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen (mit engen Ausnahmen für Strafverfolgung)
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- Biometrische Kategorisierung nach sensiblen Merkmalen (Religion, Ethnie, sexuelle Orientierung)
- Predictive Policing ausschließlich auf Basis von Profiling
2. Hochrisiko-KI (streng reguliert)
Hochrisiko-Systeme bleiben erlaubt, unterliegen aber umfangreichen Pflichten. Dazu zählen KI in folgenden Bereichen:
- Kritische Infrastrukturen (Energie, Verkehr, Wasser)
- Bildung und berufliche Ausbildung (z. B. Bewertung von Prüfungen)
- Beschäftigung und Personalmanagement (Bewerber-Screening)
- Zugang zu wesentlichen Diensten (Kreditvergabe, Sozialleistungen)
- Strafverfolgung und Justiz
- Migration, Asyl und Grenzkontrolle
- Medizinprodukte und sicherheitsrelevante Komponenten
3. Begrenztes Risiko (Transparenzpflichten)
KI-Systeme mit begrenztem Risiko müssen Nutzer informieren. Beispiele:
- Chatbots müssen kenntlich machen, dass keine menschliche Person antwortet
- Deepfakes müssen als künstlich generiert gekennzeichnet werden
- KI-generierte Inhalte (Texte, Bilder, Audio) benötigen maschinenlesbare Markierungen
4. Minimales Risiko (frei nutzbar)
Die große Mehrheit aller KI-Anwendungen fällt in diese Kategorie – etwa Spamfilter, KI in Videospielen oder Empfehlungssysteme. Hier gelten keine besonderen Pflichten, freiwillige Verhaltenskodizes werden jedoch empfohlen.
Zeitplan: Wann gilt was?
Das KI-Gesetz tritt gestaffelt in Kraft. Die wichtigsten Stichtage im Überblick:
| Datum | Was gilt? |
|---|---|
| 1. August 2024 | Inkrafttreten der Verordnung |
| 2. Februar 2025 | Verbote (Kapitel I & II), KI-Kompetenzpflicht für Personal |
| 2. August 2025 | Regeln für General Purpose AI (GPAI), Bußgeldbestimmungen, Governance-Strukturen |
| 2. August 2026 | Vollständige Anwendung der meisten Hochrisiko-Pflichten |
| 2. August 2027 | Anwendung auf Hochrisiko-KI in regulierten Produkten (Anhang I) |
Pflichten für Unternehmen: Was tun?
Unternehmen, die KI entwickeln oder einsetzen, müssen ihre Compliance-Strategie anpassen. Die folgenden Schritte sind essenziell:
- KI-Inventar erstellen: Erfassen Sie alle eingesetzten KI-Systeme, einschließlich solcher in Drittsoftware.
- Risikoklassifizierung: Ordnen Sie jedes System einer der vier Risikoklassen zu.
- KI-Kompetenz aufbauen: Seit Februar 2025 müssen Mitarbeitende, die mit KI arbeiten, über ausreichende Kompetenzen verfügen (Art. 4).
- Dokumentation: Technische Dokumentation, Datenqualitätsnachweise und Logs müssen vorgehalten werden.
- Risikomanagement-System: Für Hochrisiko-KI verpflichtend, inklusive Folgenabschätzung für Grundrechte (FRIA).
- Menschliche Aufsicht: Hochrisiko-Systeme müssen so gestaltet sein, dass Menschen effektiv eingreifen können.
- Konformitätsbewertung & CE-Kennzeichnung: Bevor Hochrisiko-KI auf den Markt kommt.
- Vorfallmeldung: Schwere Zwischenfälle sind innerhalb kurzer Fristen den Marktüberwachungsbehörden zu melden.
Sonderregelung: General Purpose AI (GPAI)
General Purpose AI Models – also Basismodelle wie GPT, Gemini, Claude oder LLaMA – unterliegen seit August 2025 eigenen Regeln. Anbieter müssen:
- technische Dokumentation und Trainingsdatenzusammenfassungen veröffentlichen,
- Urheberrechte respektieren (insbesondere Text- und Data-Mining-Vorbehalte),
- bei Modellen mit systemischem Risiko (Trainingsaufwand > 10²⁵ FLOPs) zusätzliche Evaluierungen, Cybersicherheitsmaßnahmen und Vorfallmeldungen sicherstellen.
Die EU hat zudem einen freiwilligen Code of Practice für GPAI-Anbieter veröffentlicht, dem sich u. a. OpenAI, Google und Anthropic angeschlossen haben.
Bußgelder: Was kostet ein Verstoß?
Die Sanktionen des KI-Gesetzes übertreffen sogar die der DSGVO. Die Höchstbeträge:
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken (Art. 5) | 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |
| Verstoß gegen Hochrisiko-Pflichten | 15 Mio. € oder 3 % des Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | 7,5 Mio. € oder 1 % des Jahresumsatzes |
| GPAI-Anbieter | 15 Mio. € oder 3 % des Jahresumsatzes |
Es gilt jeweils der höhere Betrag. Für KMU und Start-ups sind die niedrigeren Beträge maßgeblich.
Was ändert sich für Bürgerinnen und Bürger?
Das KI-Gesetz stärkt die Rechte von Privatpersonen erheblich:
- Recht auf Erklärung: Bei Entscheidungen durch Hochrisiko-KI (z. B. Kreditablehnung) haben Sie Anspruch auf eine verständliche Begründung.
- Beschwerderecht: Sie können sich bei nationalen Marktüberwachungsbehörden über KI-Systeme beschweren.
- Transparenz bei KI-Inhalten: Deepfakes und KI-generierte Texte müssen kenntlich gemacht werden.
- Schutz vor Manipulation: Manipulative und ausbeuterische KI ist verboten.
- Schutz am Arbeitsplatz: Emotionserkennungs-KI darf nicht eingesetzt werden, um Mitarbeitende zu überwachen.
Verhältnis zur DSGVO und nationalen Gesetzen
Das KI-Gesetz ergänzt die DSGVO – ersetzt sie aber nicht. Verarbeitet ein KI-System personenbezogene Daten, gelten beide Regelwerke parallel. In Deutschland überwacht die Bundesnetzagentur als zentrale Marktüberwachungsbehörde die Einhaltung, der BfDI bleibt zuständig für datenschutzrechtliche Aspekte.
Wer ohnehin schon DSGVO-konform arbeitet, hat einen Vorsprung: Viele Anforderungen (Risikoanalyse, Dokumentation, Betroffenenrechte) lassen sich auf das KI-Gesetz übertragen. Lesen Sie hierzu auch unseren Beitrag zum Datenschutzgesetz in Österreich, das vergleichbare Strukturen aufweist.
Praxisbeispiele: KI-Gesetz im Alltag
Beispiel 1: HR-Software mit KI
Ein Unternehmen nutzt eine KI zur Vorauswahl von Bewerbungen. Diese Anwendung gilt als Hochrisiko-KI. Das Unternehmen muss eine Konformitätsbewertung durchführen, Bewerber transparent informieren und sicherstellen, dass kein Diskriminierungsbias entsteht.
Beispiel 2: Kunden-Chatbot
Ein Online-Shop setzt einen KI-Chatbot ein. Hier gilt eine Transparenzpflicht: Der Chatbot muss zu Beginn des Gesprächs offenlegen, dass er kein Mensch ist.
Beispiel 3: Marketing-Bilder mit KI
Eine Agentur erstellt Werbegrafiken mit Midjourney oder DALL-E. Diese Inhalte müssen als KI-generiert gekennzeichnet werden, insbesondere wenn sie reale Personen oder Ereignisse darstellen (Deepfake-Pflicht).
Wie Sie sich vorbereiten: Ein 6-Punkte-Plan
- KI-Audit durchführen: Welche KI-Systeme nutzt Ihr Unternehmen – auch versteckt in SaaS-Tools?
- Verantwortlichkeiten klären: Benennen Sie eine KI-Compliance-Verantwortliche oder einen KI-Beauftragten.
- Schulungen organisieren: Investieren Sie in KI-Kompetenz aller Mitarbeitenden, die mit KI arbeiten.
- Verträge prüfen: Aktualisieren Sie Verträge mit KI-Anbietern bezüglich Haftung, Dokumentation und Auditrechten.
- Datenschutz integrieren: Verbinden Sie KI-Compliance mit bestehenden DSGVO-Prozessen.
- Sichere Infrastruktur nutzen: Setzen Sie auf datenschutzfreundliche Tools – etwa beim Teilen von Links über sichere URL-Kürzer wie Lunyb, die ohne unnötiges Tracking auskommen.
Kritik und offene Fragen
Das KI-Gesetz ist nicht unumstritten. Kritiker bemängeln:
- Innovationshemmnis: Start-ups warnen vor hohen Compliance-Kosten gegenüber US- und China-Konkurrenz.
- Unklare Definitionen: Begriffe wie „systemisches Risiko" lassen Auslegungsspielraum.
- Sicherheitsausnahmen: Datenschützer kritisieren die Lücken bei biometrischer Überwachung durch Behörden.
- Doppelregulierung: Überschneidungen mit DSGVO, Produktsicherheitsrecht und Sektorgesetzen erzeugen Komplexität.
Befürworter heben hingegen den Pioniercharakter hervor: Wie schon bei der DSGVO könnte der „Brüssel-Effekt" das EU-KI-Gesetz zum globalen Goldstandard machen.
FAQ: Häufige Fragen zum KI-Gesetz der EU
Gilt das KI-Gesetz auch für Unternehmen außerhalb der EU?
Ja. Sobald ein KI-System in der EU in Verkehr gebracht oder dessen Ergebnisse in der EU genutzt werden, greift das Gesetz – unabhängig vom Sitz des Anbieters (Marktortprinzip, ähnlich der DSGVO).
Muss ich ChatGPT oder Microsoft Copilot besonders kennzeichnen?
Wenn Sie Inhalte aus solchen Tools veröffentlichen, müssen Sie bei Deepfakes und bei Texten zu Themen von öffentlichem Interesse offenlegen, dass sie KI-generiert sind. Im internen Gebrauch reicht die KI-Kompetenzpflicht und ein verantwortungsvoller Umgang.
Wer kontrolliert das KI-Gesetz in Deutschland?
Die Bundesnetzagentur übernimmt die zentrale Marktüberwachungsfunktion. Daneben sind sektorale Behörden (z. B. BaFin im Finanzsektor) und der BfDI für datenschutzrelevante Aspekte zuständig. In Österreich liegt die Zuständigkeit u. a. bei der KI-Servicestelle der RTR.
Wie hoch ist das Risiko von Bußgeldern für KMU?
Für kleine und mittlere Unternehmen sowie Start-ups gelten die niedrigeren Bußgeldvarianten (Festbetrag oder Prozentsatz – je nachdem, was niedriger ist). Trotzdem können Verstöße existenzbedrohend sein. Eine frühzeitige Compliance-Strategie ist daher essenziell.
Was ist der Unterschied zwischen DSGVO und KI-Gesetz?
Die DSGVO regelt die Verarbeitung personenbezogener Daten, das KI-Gesetz reguliert KI-Systeme nach Risiko – auch ohne Personenbezug. Beide Regelwerke gelten parallel und ergänzen sich. Wer Beschwerden zu KI-bezogenen Datenschutzverstößen hat, kann sich z. B. wie in unserer Anleitung zur EDÖB-Beschwerde beschrieben an die zuständige Behörde wenden.
Fazit
Das KI-Gesetz der EU markiert einen Meilenstein in der globalen Technologieregulierung. Für Unternehmen bedeutet es einerseits zusätzlichen Aufwand, andererseits Rechtssicherheit und einen klaren Rahmen für vertrauenswürdige KI. Bürgerinnen und Bürger erhalten neue Rechte und mehr Transparenz. Wer jetzt handelt – mit Inventarisierung, Schulung und Compliance-Strukturen – ist für die schrittweise Anwendung bis 2027 gut gerüstet. Die kommenden Monate werden zeigen, wie das Gesetz in der Praxis ausgelegt wird und ob Europa damit erneut globale Standards setzt.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
EDÖB: So Reichen Sie eine Beschwerde Ein - Anleitung 2026
Sie möchten eine Beschwerde beim Eidgenössischen Datenschutzbeauftragten (EDÖB) einreichen? Dieser umfassende Leitfaden erklärt Schritt für Schritt, wann und wie Sie sich beim EDÖB beschweren können. Mit praktischen Tipps und allen wichtigen Kontaktdaten für 2026.
Datenschutzgesetz Österreich Erklärt: Der Komplette Leitfaden 2026
Das österreichische Datenschutzgesetz (DSG) ergänzt die DSGVO und regelt den Umgang mit personenbezogenen Daten in Österreich. Dieser umfassende Leitfaden erklärt Ihre Rechte, die Pflichten von Unternehmen sowie die wichtigsten Bestimmungen verständlich und praxisnah.
Österreichische Datenschutzbehörde: Beschwerde Einreichen - Schritt-für-Schritt Anleitung 2026
Wenn Ihre Datenschutzrechte verletzt wurden, können Sie bei der Österreichischen Datenschutzbehörde (DSB) eine Beschwerde einreichen. Dieser Leitfaden erklärt Ihnen Schritt für Schritt, wie Sie vorgehen, welche Fristen gelten und welche Erfolgsaussichten bestehen.
DSGVO Einfach Erklärt 2026: Grundlagen, Rechte und Pflichten im Überblick
Die DSGVO regelt seit 2018 den Umgang mit personenbezogenen Daten in Europa. Erfahren Sie alles über Ihre Rechte als Betroffener und die Pflichten von Unternehmen.