EU KI-Verordnung: Alles, was Sie 2026 wissen müssen
Die EU KI-Verordnung (Verordnung 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Sie klassifiziert KI-Systeme in vier Risikostufen — verboten, hochriskant, begrenzt riskant und minimal riskant — und legt Anbieter und Betreibern im EU-Markt obligatorische Pflichten auf. Die vollständige Durchsetzung der Anforderungen für Hochrisiko-KI beginnt am 2. August 2026, mit Bußgeldern von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes bei Verstößen. Laut einer PwC-Umfrage hat Anfang 2026 mehr als 70 % der europäischen Organisationen, die KI einsetzen, die Compliance-Vorbereitung noch nicht abgeschlossen.
Diese Zusammenfassung deckt alles ab, was CTOs, Compliance-Beauftrage und DSBs wissen müssen: für wen die Verordnung gilt, wie die Risikostufen funktionieren, welche Fristen gelten, wie die Strafen aussehen und welche Schritte jetzt zu unternehmen sind.
Nehmen Sie die kostenlose KI-Act-Readiness-Bewertung vor, um den aktuellen Stand Ihrer Organisation zu evaluieren.
Was ist die EU KI-Verordnung?
Die EU KI-Verordnung ist eine Verordnung — keine Richtlinie — das heißt, sie gilt direkt in allen 27 EU-Mitgliedstaaten ohne nationale Umsetzung. Sie wurde am 13. Juni 2024 unterzeichnet, am 12. Juli 2024 im Amtsblatt veröffentlicht und trat am 1. August 2024 in Kraft.
Ihre zentralen Ziele:
- Sicherheit von KI-Systemen auf dem EU-Markt gewährleisten und Grundrechte schützen
- Rechtssicherheit für Investitionen und Innovationen im KI-Bereich schaffen
- Governance und Durchsetzung der KI-Regulierung in der EU verbessern
- Einen Binnenmarkt für legale, sichere und vertrauenswürdige KI fördern
Die Verordnung folgt einem risikobasierten Ansatz: Je höher das Risiko, das ein KI-System für Gesundheit, Sicherheit oder Grundrechte darstellt, desto strenger die Pflichten.
Wichtige Kennzahlen
| Kennzahl | Wert |
|---|---|
| Risikostufen | 4 (verboten, hochriskant, begrenzt, minimal) |
| Hochrisiko-Kategorien (Anhang III) | 8 |
| Maximales Bußgeld | 35 Mio. EUR oder 7 % des globalen Umsatzes |
| Geschätzte Hochrisiko-KI-Systeme in der EU | 15 % aller KI-Systeme |
| Umsetzungszeitraum | 3 Phasen über 24 Monate |
| Abgedeckte EU-Mitgliedstaaten | 27 |
Wer muss sich anpassen?
Die KI-Verordnung gilt für die gesamte KI-Wertschöpfungskette, unabhängig davon, wo Organisationen ihren Sitz haben:
Anbieter (Entwickler)
- Unternehmen, die KI-Systeme für den EU-Markt entwickeln
- Anbieter von KI-Allzweckmodellen (GPAI), einschließlich Foundation-Model-Entwickler
- Nicht-EU-Unternehmen, deren KI-Ausgaben innerhalb der EU genutzt werden
- Produkthersteller, die KI in regulierte Produkte integrieren
- Organisationen, die Drittanbieter-KI-Modelle adaptieren oder feintunen
Betreiber (Nutzer)
- Organisationen, die Hochrisiko-KI-Systeme innerhalb der EU einsetzen
- Finanzinstitute, die KI für Kreditscoring oder Versicherungspreise nutzen
- Arbeitgeber, die KI für Recruiting, Leistungsbewertung oder Workforce-Management einsetzen
- Gesundheitsdienstleister, die KI-Diagnosesysteme verwenden
- Öffentliche Stellen, die KI für Dienstleistungen oder Entscheidungen einsetzen
Universelle Pflichten
Alle Organisationen, die KI in der EU einsetzen, müssen die KI-Kompetenz ihrer Mitarbeiter sicherstellen (Art. 4), unabhängig von der Risikoklassifizierung des KI-Systems. Diese Pflicht gilt seit dem 2. Februar 2025.
Die Europäische Kommission schätzt, dass die KI-Verordnung über 6.000 Anbieter und Zehntausende von Betreibern in der EU betreffen wird.
Die vier Risikostufen
1. Verbotene KI-Praktiken (Art. 5) — Vollständiges Verbot
Diese KI-Anwendungen sind in der EU illegal. Verstöße werden mit den höchsten Bußgeldern belegt: 35 Mio. EUR oder 7 % des globalen Umsatzes.
- Social Scoring durch öffentliche Behörden
- Echtzeit-Biometrie im öffentlichen Raum (mit engen Ausnahmen für die Strafverfolgung)
- Unterschwellige Manipulationstechniken, die Schaden verursachen
- Ausnutzung von Schwachstellen auf Basis von Alter, Behinderung oder wirtschaftlicher Lage
- Emotionserkennung an Arbeitsplätzen und Schulen (mit begrenzten Ausnahmen)
- Ungezielte Gesichtsbild-Sammlung aus dem Internet oder per CCTV
- Biometrische Kategorisierung nach sensiblen Attributen (Rasse, Religion, sexuelle Orientierung)
- Vorhersagende Polizeiarbeit ausschließlich auf Basis von Profiling
Durchsetzungsdatum: 2. Februar 2025 (bereits in Kraft)
2. Hochrisiko-KI-Systeme (Art. 6, Anhang III) — Strengste Anforderungen
Hochrisiko-KI-Systeme müssen 14 obligatorische Anforderungen nach Art. 9–15 erfüllen, bevor sie in Verkehr gebracht werden. Anhang III definiert 8 Kategorien:
| Kategorie | Beispiele |
|---|---|
| 1. Biometrische Identifikation | Gesichtserkennung, Fingerabdruckabgleich |
| 2. Kritische Infrastruktur | Stromnetzverwaltung, Wasseraufbereitungs-KI |
| 3. Bildung | Schülerbewertung, Prüfungsaufsicht, Zulassungen |
| 4. Beschäftigung | Lebenslaufprüfung, Interview-Scoring, Leistungsbeurteilung |
| 5. Wesentliche Dienste | Kreditscoring, Versicherungsrisiko, Sozialleistungsberechtigung |
| 6. Strafverfolgung | Tools zur Vorhersage von Straftaten, Beweisanalyse |
| 7. Migration & Grenzkontrolle | Visabearbeitung, Asylantragsbewertung |
| 8. Justiz | Urteilsunterstützung, Rechtsrecherche-KI |
Anbieterpflichten für Hochrisiko-KI umfassen:
- Risikomanagementsystem (Art. 9)
- Datengouvernanz (Art. 10)
- Technische Dokumentation (Art. 11)
- Automatische Ereignisprotokollierung (Art. 12)
- Transparenz gegenüber Betreibern (Art. 13)
- Menschliche Aufsicht (Art. 14)
- Genauigkeit, Robustheit und Cybersicherheit (Art. 15)
- Qualitätsmanagementsystem (Art. 17)
- Konformitätsbewertung (Art. 43)
- EU-Datenbankregistrierung (Art. 49)
Durchsetzungsdatum: 2. August 2026
3. Begrenzt riskante KI (Art. 50) — Transparenzpflichten
Diese KI-Systeme müssen Nutzern gegenüber ihre KI-Natur offenlegen:
- Chatbots müssen Nutzer informieren, dass sie mit KI interagieren
- Deepfakes und KI-generierte Inhalte müssen gekennzeichnet werden
- Emotionserkennungssysteme müssen Betroffene informieren
- Biometrische Kategorisierungssysteme müssen ihre Funktion offenlegen
Durchsetzungsdatum: 2. August 2026
4. Minimal riskante KI — Keine spezifischen Pflichten
Alle anderen KI-Systeme (Spam-Filter, KI-gestützte Spiele, Bestandsverwaltung) unterliegen keinen spezifischen Pflichten außer der universellen KI-Kompetenzsicherung. Die Europäische Kommission schätzt, dass dies rund 85 % aller KI-Systeme in der EU betrifft.
KI-Allzweckmodelle (GPAI)
Die KI-Verordnung führt spezifische Pflichten für GPAI-Modelle (Art. 53–55) ein und erkennt damit die besonderen Herausforderungen an, die Foundation-Modelle wie GPT, Claude und Gemini mit sich bringen:
Alle GPAI-Anbieter müssen:
- Technische Dokumentation vorbereiten und pflegen
- Informationen an nachgelagerte Anbieter bereitstellen, die ihre Modelle integrieren
- Urheberrechtspflichten einhalten
- Eine Zusammenfassung der Trainingsdaten veröffentlichen
GPAI-Modelle mit systemischem Risiko (basierend auf kumulativem Rechenaufwand über 10^25 FLOPs oder Einstufung durch die Kommission) müssen zusätzlich:
- Modellevaluierungen für systemische Risiken durchführen
- Adversarielle Tests (Red-Teaming) durchführen
- Schwerwiegende Vorfälle dem Europäischen KI-Amt melden
- Angemessenen Cyberschutz sicherstellen
Durchsetzungsdatum: 2. August 2025 (bereits in Kraft)
Wichtige Fristen
| Datum | Meilenstein |
|---|---|
| 1. August 2024 | KI-Verordnung tritt in Kraft |
| 2. Februar 2025 | Verbotene KI-Praktiken verboten; KI-Kompetenz erforderlich |
| 2. August 2025 | GPAI-Modellpflichten gelten |
| 2. August 2026 | Vollständige Anwendung: Hochrisiko-KI, Transparenz, Konformitätsbewertung |
| 2. August 2027 | Hochrisiko-KI in Anhang-I-Produkten (bestehende EU-Produktsicherheitsgesetze) |
Strafen
Die KI-Verordnung etabliert eines der umfangreichsten Bußgeldsysteme der EU:
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken (Art. 5) | 35 Mio. EUR oder 7 % des globalen Jahresumsatzes |
| Hochrisiko-KI-Nichteinhaltung (Art. 6–49) | 15 Mio. EUR oder 3 % des globalen Jahresumsatzes |
| Irreführende Informationen an Behörden | 7,5 Mio. EUR oder 1,5 % des globalen Jahresumsatzes |
| KMU-Verhältnismäßigkeit | Der niedrigere Betrag aus Festbetrag oder prozentualer Obergrenze |
Zum Vergleich: Das maximale Bußgeld der DSGVO beträgt 20 Mio. EUR oder 4 % des Umsatzes. Die höchste Stufe der KI-Verordnung (7 %) ist das prozentual höchste Bußgeld in der EU-Digitalregulierung.
Durchsetzungsbehörden:
- Europäisches KI-Amt — beaufsichtigt GPAI-Modellanbieter direkt
- Nationale zuständige Behörden — setzen innerhalb der Mitgliedstaaten durch
- Marktüberwachungsbehörden — untersuchen und verhängen Korrekturmaßnahmen
So bereiten Sie sich vor: 6-Schritte-Compliance-Fahrplan
Schritt 1: KI-System-Inventar
Erstellen Sie ein vollständiges Inventar aller KI-Systeme, die Ihre Organisation entwickelt, einsetzt oder nutzt. Dokumentieren Sie Zweck, Dateneingaben, Einsatzkontext und Entscheidungsumfang jedes Systems. Laut Gartner können 40 % der Organisationen nicht präzise alle KI-Systeme aufführen, die sie betreiben.
Schritt 2: Risikoklassifizierung
Klassifizieren Sie jedes KI-System nach Art. 5 (verboten), Art. 6 und Anhang III (hochriskant) sowie Art. 50 (begrenzt riskant). Wenden Sie bei Grenzfällen die Ausnahmekriterien von Art. 6(3) an. Diese Klassifizierung bestimmt Ihre gesamten Compliance-Pflichten.
Schritt 3: Gap-Analyse
Bewerten Sie für jedes Hochrisikosystem die aktuellen Praktiken gegen die Anforderungen von Art. 9–15. Identifizieren Sie Lücken in Risikomanagement, Datengouvernanz, Dokumentation, Protokollierung, Transparenz, menschlicher Aufsicht sowie Genauigkeit und Robustheit. Priorisieren Sie nach Risiko und Implementierungskomplexität.
Schritt 4: Maßnahmen umsetzen
Beheben Sie identifizierte Lücken: Aufbau von Risikomanagementsystemen (Art. 9), Datengouvernanz (Art. 10), technische Dokumentation (Art. 11), Protokollierung (Art. 12) und Konzeption von Mechanismen zur menschlichen Aufsicht (Art. 14). Eine McKinsey-Analyse schätzt, dass diese Phase für die meisten Organisationen 3–6 Monate dauert.
Schritt 5: Konformitätsbewertung
Bereiten Sie die Konformitätsbewertung nach Art. 43 vor. Die meisten Hochrisikosysteme folgen dem Selbstbewertungsweg (Anhang VI). Biometrische Identifikationssysteme für die Strafverfolgung erfordern eine Drittpartei-Bewertung durch eine Notifizierte Stelle (Anhang VII). Bereiten Sie die EU-Konformitätserklärung (Anhang V) und die CE-Kennzeichnungsdokumentation vor.
Schritt 6: Registrieren und Überwachen
Registrieren Sie Hochrisikosysteme in der EU-Datenbank (Art. 49). Implementieren Sie Post-Market-Monitoring (Art. 72), Meldung schwerwiegender Vorfälle (Art. 73) und fortlaufende Compliance-Prozesse. Integrieren Sie KI-Verordnungspflichten in Ihr bestehendes GRC-Framework.
Matproof automatisiert die Schritte 2–6 mit KI-gestützter Risikoklassifizierung, automatisierter Dokumentationserstellung und kontinuierlichem Compliance-Monitoring — Demo anfordern, um zu sehen, wie es funktioniert.
Häufig gestellte Fragen
Was ist die EU KI-Verordnung in einfachen Worten?
Die EU KI-Verordnung ist ein Gesetz, das regelt, wie KI-Systeme in Europa entwickelt und eingesetzt werden dürfen. Sie kategorisiert KI nach Risikoniveau — manche Anwendungen sind vollständig verboten, Hochrisiko-Anwendungen unterliegen strengen Anforderungen, und die meisten alltäglichen KI-Systeme haben keine spezifischen Pflichten. Denken Sie daran wie an die DSGVO, aber für künstliche Intelligenz.
Gilt die EU KI-Verordnung auch außerhalb der EU?
Ja. Wie die DSGVO hat die KI-Verordnung extraterritoriale Wirkung. Wenn die Ausgabe Ihres KI-Systems innerhalb der EU genutzt wird oder wenn Sie KI-Systeme auf dem EU-Markt platzieren, müssen Sie sich anpassen — unabhängig davon, wo Ihr Unternehmen seinen Sitz hat (Art. 2).
Was ist der Unterschied zwischen EU KI-Verordnung und DSGVO?
Die DSGVO schützt personenbezogene Daten; die KI-Verordnung reguliert KI-Systeme. Sie überschneiden sich, wenn KI personenbezogene Daten verarbeitet (was bei den meisten KI-Systemen der Fall ist). Wesentliche Unterschiede: Die KI-Verordnung verwendet ein risikobasiertes Klassifizierungssystem, erfordert Konformitätsbewertungen für Hochrisiko-KI und hat höhere Bußgeldobergrenzen (7 % vs. 4 % des Umsatzes). Die meisten Organisationen müssen beide einhalten.
Wie viel kostet die Compliance mit der EU KI-Verordnung?
Die Kosten variieren stark je nach Größe der Organisation und KI-Portfolio. Die Europäische Kommission schätzt Compliance-Kosten von 6.000–7.000 EUR für ein KI-Risikomanagementsystem und 3.000–7.500 EUR für die Konformitätsbewertung pro Hochrisikosystem. Organisationen mit vielen KI-Systemen sehen proportional höhere Kosten, obwohl Tools wie Matproof die Kosten durch Automatisierung um 60–80 % reduzieren können.
Ist Open-Source-KI von der EU KI-Verordnung ausgenommen?
Teilweise. Open-Source-KI-Modelle sind von den meisten Anbieterpflichten ausgenommen, müssen jedoch weiterhin Art. 5 (verbotene Praktiken) einhalten und eine Zusammenfassung der Trainingsdaten veröffentlichen. Wenn ein Open-Source-Modell in einer Hochrisiko-Anwendung eingesetzt wird, trägt der Betreiber die Compliance-Pflichten.
Was passiert, wenn ich bis zum 2. August 2026 nicht compliant bin?
Nationale Marktüberwachungsbehörden können Ermittlungen einleiten, Bußgelder verhängen (bis zu 35 Mio. EUR / 7 % des Umsatzes), die Rücknahme von KI-Systemen vom Markt anordnen oder deren Nutzung einschränken. Neben finanziellen Strafen riskiert die Nichteinhaltung Reputationsschäden und den Verlust des Kundenvertrauens.