Das EU-KI-Gesetz ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz – und wie die DSGVO zuvor wirkt auch seine Reichweite weit über die Grenzen Europas hinaus. Wenn Ihr Unternehmen KI entwickelt, verkauft oder sogar nur nutzt und dabei auf irgendeine Weise den EU-Markt berührt, gilt dieses Gesetz wahrscheinlich auch für Sie. Dieser Leitfaden erläutert es in klaren, praktischen Begriffen.
Dieser Artikel enthält allgemeine Informationen, jedoch keine Rechtsberatung. Für Ihre konkreten Verpflichtungen wenden Sie sich bitte an eine qualifizierte Fachkraft.
Wichtigste Erkenntnisse
- Das EU-KI-Gesetz ist das erste umfassende KI-Gesetz und verfolgt einen risikobasierten Ansatz.
- Vier Risikostufen: unannehmbar (verboten), hochriskant (streng geregelte Anforderungen), begrenztes Risiko (Transparenzvorgaben), minimales Risiko (freie Nutzung).
- Sie gilt außerhalb der EU — auch Unternehmen außerhalb der EU unterliegen ihr, wenn ihre KI den EU-Markt betrifft.
- Sie wird schrittweise eingeführt, wobei verschiedene Verpflichtungen zu unterschiedlichen Zeitpunkten in Kraft treten.
- Die Sanktionen sind streng — hohe Geldbußen, berechnet auf Grundlage des weltweiten Umsatzes.
- Was ist das EU-KI-Gesetz?
- Die vier Risikostufen
- Auf wen gilt das Gesetz?
- Wesentliche Verpflichtungen für KI mit hohem Risiko
- Allgemeine KI
- Zeitplan und Sanktionen
- Was Unternehmen jetzt tun sollten
- Ein schrittweiser Compliance-Fahrplan für die neuen Fristen 2026–2028
- Häufig gestellte Fragen (FAQ)
- Fazit
- Verwandte Artikel
Was ist das EU-KI-Gesetz?
Das EU-KI-Gesetz ist eine Rechtsvorschrift der Europäischen Union, die Regeln für die Entwicklung, den Vertrieb und den Einsatz von KI-Systemen festlegt. Ziel ist es, sicherzustellen, dass KI, die in der EU eingesetzt wird, sicher, transparent und im Einklang mit den Grundrechten steht – ohne dabei Innovationen einzuschränken.
Sein zentrales Merkmal ist ein risikobasierter Ansatz. Statt alle KI-Systeme einheitlich zu regulieren, klassifiziert es sie nach dem Risiko, das sie für Menschen darstellen, und legt strengere Regeln für Anwendungen mit höherem Risiko fest. Ein Spamfilter und ein KI-System zur Vorauswahl von Bewerbern werden also nicht gleich behandelt – und genau darum geht es.
Die vier Risikostufen
Alles im Gesetz leitet sich aus diesen Kategorien ab:
| Risikostufe | Behandlung | Beispiele |
|---|---|---|
| Unannehmbares Risiko | Vollständiges Verbot | Soziale Bewertungssysteme, manipulative oder ausbeuterische KI |
| Hohes Risiko | Strenge Verpflichtungen | KI im Bereich Einstellungswesen, Kreditvergabe, Bildung, kritischer Infrastruktur |
| Begrenztes Risiko | Transparenzpflichten | Chatbots, KI-generierte Inhalte |
| Minimales Risiko | Größtenteils unreguliert | Spamfilter, KI in Spielen, Empfehlungstools |
Unannehmbares Risiko — eine kleine Auswahl an KI-Anwendungen, die als klare Bedrohung für die Rechte der Menschen gelten, ist vollständig verboten.
Hohes Risiko — die für die Compliance entscheidende Kategorie. KI, die in folgenschweren Bereichen eingesetzt wird – etwa bei Entscheidungen über Beschäftigung, Zugang zu Krediten und essentiellen Dienstleistungen, im Bildungswesen oder bei bestimmten kritischen Systemen – unterliegt strengen Anforderungen vor und während ihres Einsatzes.
Begrenztes Risiko — Systeme wie Chatbots und KI-generierte Inhalte unterliegen Transparenzpflichten : Die Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren, bzw. dass Inhalte KI-generiert sind.
Minimales Risiko — die große Mehrheit der KI-Anwendungen fällt in diese Kategorie und unterliegt praktisch keiner neuen Verpflichtung.
Auf wen gilt das Gesetz?
Dies ist der Punkt, den viele Unternehmen übersehen: Das EU-KI-Gesetz gilt außerterritorial. Sie müssen sich nicht in Europa befinden, um unter seine Geltung zu fallen.
Das Gesetz umfasst:
- Anbieter — diejenigen, die KI-Systeme entwickeln oder auf den EU-Markt bringen.
- Anwender — Unternehmen, die nutzen in ihren Geschäftsbetrieb innerhalb der EU einsetzen.
- Unternehmen außerhalb der EU — wenn Ihr KI-System in der EU genutzt wird oder seine Ergebnisse in der EU verwendet werden, kann das Gesetz auf Ihr Unternehmen Anwendung finden – unabhängig davon, wo es seinen Sitz hat.
Ein Unternehmen weltweit, das ein KI-Produkt EU-Kunden anbietet oder KI zur Entscheidungsfindung über Personen in der EU einsetzt, fällt daher möglicherweise unter die Regelung. Dies ist derselbe sogenannte ‚Brüsseler Effekt‘, durch den die DSGVO zum weltweiten Standard wurde.
Wesentliche Verpflichtungen für KI mit hohem Risiko
Falls Ihre KI in die Kategorie „hohes Risiko“ fällt, sind unter anderem folgende Anforderungen zu erfüllen:
- Risikomanagement — ein fortlaufender Prozess zur Identifizierung und Minderung von Risiken.
- Datenverwaltung — Nutzung geeigneter, gut verwalteter Datensätze unter besonderer Berücksichtigung von Verzerrungen (Bias).
- Dokumentation — detaillierte technische Unterlagen, die die Einhaltung nachweisen.
- Transparenz — klare Informationen für diejenigen, die das System einsetzen, sowie für die betroffenen Personen.
- Menschliche Aufsicht — das System muss so konzipiert sein, dass Menschen es wirksam überwachen können.
- Genauigkeit und Robustheit — angemessene Leistung und Sicherheit.
- Dokumentation — Protokollierung, damit der Betrieb des Systems nachvollzogen werden kann.
Für eingeschränktes Risiko Systeme ist die zentrale Verpflichtung einfacher: Offenlegung. Informieren Sie Nutzer darüber, dass sie mit einer KI interagieren, und kennzeichnen Sie KI-generierte Inhalte entsprechend.
Allgemeine KI
Der Gesetzestext regelt zudem auch allgemeine KI — also große Grundlagenmodelle, die vielen Produkten zugrunde liegen. Anbieter solcher Modelle unterliegen eigenen Verpflichtungen, darunter Transparenz- und Dokumentationsanforderungen; für besonders leistungsfähige Modelle, die breitere Risiken bergen könnten, gelten zusätzliche Pflichten.
Zeitplan und Sanktionen
Der EU-KI-Akt tritt nicht vollständig und sofort in Kraft. Stattdessen wird er schrittweise eingeführt, wobei unterschiedliche Verpflichtungen zu verschiedenen Zeitpunkten greifen – Verbote für unzulässige Anwendungen galten bereits zuerst, während Anforderungen für hochriskante Systeme und andere Regelungen nach einem gestaffelten Zeitplan folgten. Da die genauen Termine von der jeweiligen Kategorie abhängen, sollten Unternehmen den aktuellen Zeitplan für die auf sie zutreffenden Verpflichtungen prüfen.
Die Bestrafungen sind bewusst streng ausgelegt – es handelt sich um erhebliche Geldbußen, die als Prozentsatz des weltweiten jährlichen Umsatzes eines Unternehmens berechnet werden; die höchsten Bußgelder gelten für die schwerwiegendsten Verstöße. Wie bei der DSGVO soll durch diese Sanktionsstruktur sichergestellt werden, dass große Unternehmen Compliance nicht einfach als optionale Maßnahme betrachten können.
Was Unternehmen jetzt tun sollten
Eine praktische Checkliste zum Einstieg:
- Bestandsaufnahme Ihrer KI-Systeme. Listen Sie sämtliche KI-Systeme auf, die Sie entwickeln oder nutzen und die in irgendeiner Weise mit dem EU-Raum in Berührung kommen.
- Klassifizieren Sie jedes einzelne System nach Risikostufe. Davon hängt ab, welche Maßnahmen – falls überhaupt – erforderlich sind.
- Konzentrieren Sie sich auf hochriskante Systeme — hier liegt der eigentliche Aufwand für die Einhaltung der Vorschriften.
- Prüfen Sie Ihre Transparenzverpflichtungen — wenn Sie Chatbots einsetzen oder KI-Inhalte generieren, stellen Sie sicher, dass Sie diese offenlegen.
- Benennen Sie eine Verantwortliche Person. Machen Sie KI-Governance zur klar definierten Verantwortung einer Person.
- Holen Sie sich fachkundigen Rat für alle hochriskanten oder unsicheren Fälle.
Für die meisten Unternehmen fällt ein Großteil ihrer KI-Nutzung in die Kategorien mit minimalem oder eingeschränktem Risiko und erfordert daher kaum Maßnahmen. Der Aufwand konzentriert sich auf hochriskante Systeme – die erste Aufgabe besteht daher einfach darin, zu ermitteln, ob und welche Ihrer Systeme dafür infrage kommen.
Ein schrittweiser Compliance-Fahrplan für die neuen Fristen 2026–2028
Der Zeitplan ist nicht mehr ein einziger Stichtag. Im Rahmen des Digital-Omnibus-Vereinfachungspakets, zu dem Rat und Parlament am 7. Mai 2026 eine vorläufige Einigung erzielt haben, wurden die strengsten Verpflichtungen für hochriskante Systeme verschoben: Für eigenständige Systeme gemäß Anhang III (Rekrutierung, Bonitätsbewertung, Bildung und ähnliches) treten diese nun am 2. Dezember 2027in Kraft; für KI, die in regulierte Produkte gemäß Anhang I integriert ist (medizinische Geräte, Maschinen, Fahrzeuge), gilt dies ab dem 2. August 2028. Dies ist zwar Spielraum, aber keine Aufschubfrist. Unzulässige Praktiken sind seit Februar 2025 verboten; die Transparenzregeln gelten erstmals ab diesem Zeitpunkt, und die Verpflichtungen für allgemeine KI (die bereits seit August 2025 in Kraft sind) werden ab dem 2. August 2026mit Bußgeldern durchsetzbar. Beachten Sie, dass diese neuen Termine noch der förmlichen Annahme und Veröffentlichung im Amtsblatt bedürfen. Nutzen Sie die Verlängerung als Zeit, die erforderlichen Maßnahmen ordnungsgemäß umzusetzen – nicht um sie aufzuschieben.
Bearbeiten Sie das Problem in vier Phasen:
- Phase 1 – Bestandsaufnahme (führen Sie dies jetzt durch). Listen Sie sämtliche KI-Systeme auf, die Ihr Unternehmen entwickelt, erwirbt oder integriert. Vermerken Sie für jedes System den Lieferanten, den geschäftlichen Zweck, die verarbeiteten Daten sowie die Personen, die von dessen Ergebnissen betroffen sind. Ohne eine vollständige Inventarisierung können Sie weder Risikoklassen zuweisen noch Budgets planen; insbesondere KI-Funktionen in SaaS-Anwendungen stellen häufig die größte blinde Stelle dar.
- Phase 2 – Klassifizierung und Vorprüfung. Ordnen Sie jedes System einer Risikostufe zu. Systeme, deren Einsatz bereits verboten ist (z. B. Emotionserkennung am Arbeitsplatz oder nicht gezieltes Scraping für Gesichtserkennungsdatenbanken), müssen unverzüglich eingestellt werden – diese Verbote gelten bereits seit Februar 2025. Markieren Sie sämtliche Systeme mit hohem Risiko für eine vertiefte Prüfung.
- Phase 3 – Lücken schließen (2026–2027). Für Systeme mit hohem Risiko müssen Sie die vom Gesetz geforderte technische Dokumentation, den Risikomanagementprozess, das Konzept der menschlichen Aufsicht, Protokollierungsmechanismen sowie Nachweise zur Daten-Governance erstellen. Wenn Sie ein System eines Drittanbieters einsetzen, anstatt es selbst zu entwickeln, sind Ihre Pflichten gemäß Artikel 26 zwar geringer, aber dennoch rechtsverbindlich: Sichern Sie schriftlich die Anweisungen des Anbieters sowie dessen Konformitätsdokumentation ab.
- Phase 4 – Betrieb und Überwachung (laufend). Die Einhaltung der Vorschriften ist keine einmalige Formalität. Benennen Sie verantwortliche Personen, bewahren Sie Protokolle auf, überwachen Sie die Systemleistung kontinuierlich und melden Sie schwere Vorfälle unverzüglich.
Führen Sie parallel ab Tag eins Schulungen zur KI-Kompetenz durch – sie sind kostengünstig, bereits von Anbietern und Anwendern erwartet, und nur eine geschulte Belegschaft gewährleistet den Erfolg aller anderen Phasen. Falls Sie ein KMU oder ein kleineres Mittelstandsunternehmen sind, achten Sie auf die im Omnibus-Paket vorgesehenen Erleichterungen speziell für Sie, darunter reduzierte Dokumentationsanforderungen sowie bevorzugter Zugang zu regulatorischen Sandboxes für praktische Tests.
Häufig gestellte Fragen (FAQ)
Was ist das EU-KI-Gesetz?
Der EU-KI-Akt ist das umfassende Rechtsinstrument der Europäischen Union zur Regulierung künstlicher Intelligenz – das erste seiner Art. Er verfolgt einen risikobasierten Ansatz, ordnet KI-Systeme in vier Risikostufen ein (unannehmbar, hoch, eingeschränkt und minimal) und legt Verpflichtungen fest, die dem jeweiligen Risiko angemessen sind.
Gilt der EU-KI-Akt auch für Unternehmen außerhalb der EU?
Ja. Der Akt gilt extraterritorial. Ein Unternehmen mit Sitz an jedem beliebigen Ort kann unter den Geltungsbereich fallen, wenn sein KI-System auf dem EU-Markt in Verkehr gebracht wird, innerhalb der EU genutzt wird oder dessen Ergebnisse in der EU verwendet werden. Unternehmen weltweit können Verpflichtungen haben, sobald ihre KI den EU-Raum erreicht.
Welche Risikokategorien enthält der EU-KI-Akt?
Vier: unannehmbares Risiko (völliges Verbot), hochriskantes Risiko (strengere Verpflichtungen, etwa bei KI im Bereich Einstellung oder Kreditvergabe), eingeschränktes Risiko (Transparenzpflichten, etwa bei Chatbots, die offenlegen müssen, dass sie KI-basiert sind) sowie minimales Risiko (die meisten KI-Anwendungen, weitgehend unreguliert).
Welche Sanktionen drohen bei Verstößen gegen den EU-KI-Akt?
Die Sanktionen bestehen aus erheblichen Geldbußen, die als Prozentsatz des weltweiten jährlichen Umsatzes eines Unternehmens berechnet werden; die höchsten Bußgelder sind für die schwerwiegendsten Verstöße vorgesehen, etwa für den Einsatz verbotener KI-Systeme. Das Konzept orientiert sich am Vorgehen der DSGVO, um Nichteinhaltung tatsächlich kostspielig zu machen.
Was muss mein Unternehmen tun, um den EU-KI-Akt einzuhalten?
Beginnen Sie mit einer Bestandsaufnahme aller KI-Systeme, die Sie entwickeln oder nutzen und die mit dem EU-Raum in Berührung kommen; klassifizieren Sie anschließend jedes System nach Risikostufe. Die meisten werden als niedrigrisikobehaftet eingestuft und erfordern nur geringfügige Maßnahmen. Konzentrieren Sie Ihren Compliance-Aufwand auf hochriskante Systeme, gewährleisten Sie Transparenz bei Chatbots und KI-Inhalten, benennen Sie eine klare Verantwortliche Person für die KI-Governance und holen Sie rechtlichen Rat ein, wo immer dies erforderlich ist.
Wurden die Regeln für KI-Systeme mit hohem Risiko tatsächlich auf 2027 verschoben?
Ja, für die meisten Fälle. Das Digital-Omnibus-Paket – vorläufig zwischen Rat und Parlament am 7. Mai 2026 vereinbart – verschiebt die Verpflichtungen für eigenständige Systeme aus Anhang III mit hohem Risiko auf den 2. Dezember 2027 und für KI-Systeme mit hohem Risiko, die in regulierte Produkte gemäß Anhang I eingebettet sind, auf den 2. August 2028. Diese Verschiebung steht noch unter dem Vorbehalt der förmlichen Annahme; sie betrifft jedoch weder die bereits seit Februar 2025 geltenden Verbote noch die Transparenz- und Allgemein-KI-Regeln, die am 2. August 2026 in Kraft treten. Planen Sie daher nach den neuen Terminen, behandeln Sie aber die Verbotsliste keinesfalls als optional.
Sind die Geldbußen für Start-ups und kleine Unternehmen niedriger?
Effektiv ja. Die Höchstbeträge sind hoch – bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken sowie 15 Millionen Euro oder 3 % bei Verstößen gegen die Hochrisikovorschriften. Bei den meisten Unternehmen wählt die Aufsichtsbehörde den jeweils höheren Betrag. Artikel 99 Absatz 6 kehrt diese Regelung jedoch für KMUs und Start-ups um: Hier wird die Buße auf den jeweils niedrigeren Betrag begrenzt. Ein kleines Unternehmen haftet daher nur mit einem Prozentsatz seines bescheidenen Umsatzes statt mit einer mehrstelligen Millionensumme.
Haften wir auch dann, wenn wir lediglich ein KI-Tool eines Drittanbieters nutzen, anstatt es selbst zu entwickeln?
Ja, möglicherweise – allerdings sind Ihre Verpflichtungen eingeschränkt. Wenn Sie lediglich ein fremdes KI-System mit hohem Risiko in Ihrem Unternehmen einsetzen, gelten Sie als „Anwender“ („deployer“) und nicht als „Anbieter“ („provider“); damit obliegen die umfangreichen Aufgaben – Konformitätsbewertung, technische Dokumentation, CE-Kennzeichnung sowie Registrierung in der EU – ausschließlich dem Lieferanten. Ihre Pflichten gemäß Artikel 26 bleiben jedoch bestehen: Nutzen Sie das System strikt gemäß den Anweisungen des Anbieters, benennen Sie qualifizierte Personen für die menschliche Aufsicht, bewahren Sie Protokolle mindestens sechs Monate lang auf, überwachen Sie das System kontinuierlich, melden Sie schwere Vorfälle, informieren Sie betroffene Personen und führen Sie bei Bedarf eine Grundrechtefolgenabschätzung durch. Eine wichtige Einschränkung: Falls Sie ein System wesentlich modifizieren oder unter eigenem Namen neu vermarkten, können Sie sämtliche Verpflichtungen eines Anbieters übernehmen.
Fazit
Der EU-KI-Akt ist ein Meilenstein: die erste umfassende Initiative zur Regulierung künstlicher Intelligenz – und dank seiner extraterritorialen Geltung wahrscheinlich ein weltweiter Standard, so wie die DSGVO zum globalen Benchmark für Datenschutz wurde. Sein risikobasierter Ansatz ist vernünftig: KI mit minimalem Risiko bleibt weitgehend unberührt, während KI für folgenschwere Entscheidungen einer echten Prüfung unterzogen wird.
Für die meisten Unternehmen ist die praktische Aufgabe überschaubar. Nehmen Sie Ihre KI-Systeme inventarisch auf, klassifizieren Sie sie nach Risiko – und Sie werden feststellen, dass die umfangreichen Verpflichtungen ausschließlich für hochriskante Anwendungsfälle gelten. Der entscheidende Fehler wäre, anzunehmen, das Gesetz sei nicht anwendbar, nur weil Sie nicht in Europa ansässig sind – erreicht Ihre KI den EU-Markt, dann gilt es sehr wohl.

