EU AI Act2026-04-177 min Lesezeit

KI-Verordnung erklärt: Was der EU AI Act für Ihr Unternehmen bedeutet (2026)

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 01KI-Verordnung auf einen Blick
  2. 021. Warum die KI-Verordnung?
  3. 032. Für wen gilt die KI-Verordnung?
  4. 043. Die vier Risikoklassen
  5. 054. Die kritischen Fristen
  6. 065. Die Pflicht zur KI-Kompetenz (Art. 4)
  7. 076. General-Purpose AI (GPAI): ChatGPT, Claude, Gemini
  8. 087. Bußgelder – höher als DSGVO
  9. 098. KI-Verordnung im Unternehmen umsetzen
  10. 109. KI-Verordnung vs. DSGVO: was ist der Unterschied?
  11. 1110. Häufige Fehler
  12. 12Fazit

KI-Verordnung erklärt: Was der EU AI Act für Ihr Unternehmen bedeutet

Die KI-Verordnung (EU AI Act, Verordnung 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Seit dem 1. August 2024 in Kraft, gilt sie unmittelbar in allen EU-Mitgliedstaaten – ohne nationales Umsetzungsgesetz. Jedes Unternehmen, das in Europa KI einsetzt oder anbietet, fällt unter die Verordnung. Das betrifft praktisch die gesamte Wirtschaft, weit über Tech-Konzerne hinaus.

Dieser Leitfaden erklärt die KI-Verordnung in klarer Sprache: Welche Risikoklassen gibt es? Welche Fristen gelten? Wer trägt welche Pflichten? Und wie setzen Unternehmen in Deutschland die Anforderungen praktisch um?

KI-Verordnung auf einen Blick

Merkmal Detail
Rechtsform EU-Verordnung 2024/1689 (unmittelbar anwendbar)
Inkrafttreten 1. August 2024
Verbotene Praktiken und KI-Kompetenz ab 2. Februar 2025
GPAI-Pflichten ab 2. August 2025
Hochrisiko-Pflichten (Anhang III) ab 2. August 2026
Hochrisiko-KI in regulierten Produkten ab 2. August 2027
Zuständige Behörde in Deutschland BNetzA als nationale Marktüberwachungsbehörde
Maximale Strafe bis 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes

1. Warum die KI-Verordnung?

KI-Systeme entscheiden heute über Kreditanträge, Bewerbungen, medizinische Diagnosen, Versicherungsprämien und Sozialleistungen. Die Entscheidungen sind oft intransparent, diskriminierend oder schlicht falsch – mit Konsequenzen, die rechtlich kaum überprüfbar sind. Die KI-Verordnung soll das ändern.

Sie ist kein Innovationsverbot, sondern ein risikobasiertes Regelwerk: Je höher die Auswirkungen eines KI-Systems auf Gesundheit, Sicherheit oder Grundrechte, desto strenger die Pflichten. Systeme mit minimalem Risiko – etwa Spamfilter oder Rechtschreibprüfung – bleiben praktisch unreguliert. Systeme mit Auswirkung auf grundrechtsrelevante Entscheidungen werden streng reguliert.

2. Für wen gilt die KI-Verordnung?

Die Verordnung unterscheidet vier Rollen:

  • Anbieter (Provider): wer ein KI-System entwickelt, herstellt oder in Verkehr bringt
  • Betreiber (Deployer): wer ein KI-System im Rahmen seiner beruflichen Tätigkeit einsetzt (die meisten Unternehmen)
  • Einführer (Importer): wer KI-Systeme aus Drittstaaten in die EU importiert
  • Händler (Distributor): wer KI-Systeme in der Lieferkette weitergibt

Die Pflichten unterscheiden sich je nach Rolle. Ein deutsches Unternehmen, das ChatGPT für Kundensupport einsetzt, ist Betreiber eines GPAI-Systems. Ein Unternehmen, das eine eigene KI für Bewerber-Screening entwickelt, ist Anbieter eines Hochrisiko-Systems und trägt deutlich weitreichendere Pflichten.

Wichtig: Die Verordnung gilt auch für Unternehmen außerhalb der EU, sobald ihre KI-Systeme in der EU in Verkehr gebracht oder eingesetzt werden oder wenn die Ausgaben in der EU genutzt werden – eine extraterritoriale Reichweite wie unter der DSGVO.

3. Die vier Risikoklassen

Die KI-Verordnung klassifiziert Systeme in vier Risikoklassen:

Verbotene KI (Art. 5)

Vollständig untersagt. Beispiele:

  • Social Scoring durch Behörden
  • Manipulative KI, die Menschen zu schädlichem Verhalten verleitet
  • Ungezielte Bilderkennung und Gesichtsbilddatenbanken (Scraping)
  • Echtzeit-Biometrie im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung)
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit Ausnahmen)

Verstöße kosten bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes.

Hochrisiko-KI (Anhang III)

Erlaubt, aber streng reguliert. Anhang III listet konkrete Einsatzbereiche:

  1. Biometrische Identifizierung und Kategorisierung
  2. Kritische Infrastrukturen (Verkehr, Wasser, Gas, Strom)
  3. Allgemeine und berufliche Bildung (Bewertung, Zulassung)
  4. Beschäftigung und Personalmanagement (Recruiting, Leistungsbewertung, Entlassungen)
  5. Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen (Kredit, Versicherung, Sozialleistungen)
  6. Strafverfolgung
  7. Migration, Asyl und Grenzkontrolle
  8. Justiz und demokratische Prozesse

Für Hochrisiko-KI gelten umfassende Pflichten: Risikomanagementsystem, Daten-Governance, technische Dokumentation nach Anhang IV, Aufzeichnungspflichten, Transparenz, menschliche Aufsicht, Robustheit und Cybersicherheit.

Transparenz-KI (Art. 50)

Systeme mit Offenlegungspflichten, aber ohne harte Einschränkungen:

  • Chatbots müssen als solche kennzeichnet werden
  • Deepfakes müssen als synthetische Inhalte gekennzeichnet werden
  • Emotionsklassifizierende Systeme müssen Betroffene informieren
  • Biometrische Kategorisierung muss offen gelegt werden

Minimales Risiko

Kein spezifischer Regulierungsbedarf. Spamfilter, KI-gestützte Rechtschreibprüfung, Produktempfehlungen. Die überwältigende Mehrheit der KI-Systeme fällt in diese Klasse.

4. Die kritischen Fristen

Die KI-Verordnung tritt gestaffelt in Kraft:

  • 2. Februar 2025: Verbot bestimmter Praktiken (Art. 5) + KI-Kompetenzpflicht (Art. 4)
  • 2. August 2025: Verpflichtungen für General-Purpose AI-Modelle (GPAI) + Benennung nationaler Behörden
  • 2. August 2026: volle Anwendung aller Hochrisiko-Pflichten aus Anhang III
  • 2. August 2027: Hochrisiko-KI, die Sicherheitskomponenten regulierter Produkte ist (z.B. Medizintechnik)

Unternehmen haben damit de facto vier Jahre Übergang. Praktisch heißt das: Wer 2026 noch kein KI-Inventar hat, ist bereits im Verzug.

5. Die Pflicht zur KI-Kompetenz (Art. 4)

Oft übersehen, aber seit Februar 2025 wirksam: Jeder, der in Ihrem Unternehmen ein KI-System bedient, muss nachweislich geschult sein. Die Pflicht gilt unabhängig von der Risikoklasse – also auch für Mitarbeitende, die „nur" ChatGPT für E-Mails nutzen.

Der Umfang der Schulung muss dem Kontext angemessen sein: technisches Verständnis, Risiken, Grenzen, Umgang mit Ausgaben, Datenschutz. Die Dokumentation der Schulung ist Teil der Betreiberpflichten und wird bei Audits geprüft.

6. General-Purpose AI (GPAI): ChatGPT, Claude, Gemini

GPAI-Modelle sind KI-Modelle mit allgemeinem Verwendungszweck – GPT-4, Claude, Gemini, Llama, Mistral. Die Verordnung unterteilt sie in zwei Stufen:

Basis-GPAI (alle großen Sprachmodelle)

Anbieter müssen veröffentlichen:

  • Modellkarten mit technischen Spezifikationen
  • Zusammenfassung der Trainingsdaten
  • Copyright-Richtlinie
  • EU-Konformitätserklärung

GPAI mit systemischem Risiko

Modelle mit mehr als 10^25 FLOPs Trainingsrechenleistung – aktuell GPT-4, Gemini 1.5, Claude 3 Opus – unterliegen zusätzlichen Pflichten: Modellevaluierung, adversariales Testen, Incident-Meldung, Cybersicherheit. Diese Schwelle wird mit dem Fortschritt der Technologie nach unten angepasst.

Für Unternehmen als Betreiber bedeutet GPAI: Wer diese Modelle einsetzt, muss im Rahmen der Nutzungsrichtlinien des Anbieters agieren und die eigene Compliance (KI-Inventar, Schulung, Dokumentation) pflegen.

7. Bußgelder – höher als DSGVO

Die KI-Verordnung hat das höchste Sanktionsregime aller EU-Digitalverordnungen:

  • Verbotene Praktiken: bis 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
  • Hochrisiko-Pflichten: bis 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
  • Falsche oder irreführende Informationen: bis 7,5 Mio. EUR oder 1,5 %
  • GPAI-Pflichten: eigene Sanktionen nach Art. 101

Zum Vergleich: Die DSGVO-Höchststrafe liegt bei 4 % des weltweiten Jahresumsatzes.

8. KI-Verordnung im Unternehmen umsetzen

Der praktische 7-Schritte-Plan für Betreiber:

  1. KI-Inventar erstellen – Welche KI-Systeme sind im Einsatz? OpenAI API, Azure OpenAI, eigene Modelle, SaaS-Tools mit KI-Komponenten.
  2. Risikoklassifizierung – Jedes System den vier Risikoklassen zuordnen. Bei Unsicherheit: konservativ einstufen.
  3. Betreiberpflichten etablieren (Art. 26) – Gebrauchsanweisung befolgen, menschliche Aufsicht definieren, Protokollierung einrichten.
  4. KI-Kompetenz sicherstellen – Schulungsprogramm für alle KI-Anwender, Pflichtnachweise.
  5. Grundrechte-Folgenabschätzung – bei öffentlichen Akteuren und spezifischen Bereichen Pflicht.
  6. Dokumentation und Nachweise – Jede Entscheidung mit KI-Bezug muss nachvollziehbar sein.
  7. Integration in ISMS / GRC – Die KI-Verordnung überlappt stark mit DSGVO, NIS2 und ISO 27001. Ein Multi-Framework-GRC-Tool vermeidet parallele Strukturen.

Eine dedizierte EU-AI-Act-Plattform wie Matproof bildet den kompletten Katalog ab, automatisiert KI-Inventar-Erfassung über native Integrationen und trackt GPAI-Nutzung automatisch.

9. KI-Verordnung vs. DSGVO: was ist der Unterschied?

Die beiden Verordnungen regeln unterschiedliche Aspekte desselben Phänomens:

  • Die DSGVO schützt personenbezogene Daten – das Was der Datenverarbeitung
  • Die KI-Verordnung reguliert KI-Systeme – das Wie und Wofür, unabhängig davon, ob personenbezogene Daten verarbeitet werden

In der Praxis überlappen beide häufig. Ein KI-Recruiting-System fällt sowohl unter DSGVO Art. 22 (automatisierte Entscheidungsfindung) als auch unter die KI-Verordnung Anhang III Nr. 4 (Beschäftigung). Unternehmen müssen beide Anforderungen parallel erfüllen. Eine moderne GRC-Plattform mit Cross-Framework-Mapping erspart die doppelte Dokumentation.

10. Häufige Fehler

  1. „Das betrifft nur KI-Unternehmen" – falsch. Jedes Unternehmen, das KI einsetzt, ist Betreiber.
  2. „Wir nutzen nur ChatGPT, das geht uns nichts an" – falsch. Schulungspflicht, Inventar, Protokollierung.
  3. „Wir warten bis August 2026" – falsch. Verbote und KI-Kompetenz sind seit Februar 2025 wirksam.
  4. „DSGVO reicht" – falsch. KI-Verordnung ergänzt DSGVO, ersetzt sie nicht.
  5. „Unsere IT macht das schon" – falsch. Die KI-Verordnung fordert Prozesse, Richtlinien und Management-Verantwortung, nicht nur technische Maßnahmen.

Fazit

Die KI-Verordnung ist die konsequente Weiterentwicklung der europäischen Digitalregulierung. Sie ist strenger als die DSGVO, betrifft mehr Unternehmen und hat höhere Strafen. Gleichzeitig ist sie kein Innovationsverbot: 95 Prozent der heute eingesetzten KI-Systeme fallen in die Klasse „minimales Risiko" und bleiben praktisch unreguliert.

Für Unternehmen entscheidend ist das systematische Vorgehen: KI-Inventar, Klassifizierung, Schulung, Dokumentation – und die Integration in bestehende Compliance-Strukturen. Wer die KI-Verordnung als isoliertes Projekt begreift, duplizieren Aufwand. Wer sie als Teil einer Multi-Framework-GRC-Strategie umsetzt, spart 60 bis 80 Prozent gegenüber dem Silo-Ansatz.

Weiterführende Leitfäden:

KI VerordnungKI Verordnung erklärtEU AI ActKI Verordnung UmsetzungAI Act DeutschlandHochrisiko KIGPAI

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern