Die EU KI Verordnung (AI Act): Was Unternehmer wissen sollten

1. Was ist die KI Verordnung der EU?

Der EU AI Act ist das erste umfassende Gesetz weltweit, das den Umgang mit Künstlicher Intelligenz in der Europäischen Union einheitlich regelt. Die KI Verordnung wurde 2024 verabschiedet und gilt ab 2026 unmittelbar verbindlich in der EU.

Sie fußt auf einem risikobasierten Ansatz und verfolgt 2 Hauptziele:

1. Schutz der Grundrechte, Gesundheit und Sicherheit der Bürger
2. Förderung von Innovation und Vertrauen in KI-Technologien

Die Verordnung legt konkrete Anforderungen fest – je nachdem, in welchem Bereich und mit welchem Risiko ein KI-System eingesetzt wird.

Das regelt die KI-Verordnung u. a.:

• Verbot besonders riskanter KI-Systeme (z. B. Social Scoring)
• Vorgaben für Hochrisiko-KI (z. B. Dokumentation, Risikomanagement, Menschliche Aufsicht, Qualitätsmanagement, EU-Konformitätserklärung, CE-Kennzeichnung
• Transparenzpflichten bei generativer KI (z. B. Chatbots, Deepfakes)
• Klare Zuständigkeiten für Anbieter, Betreiber und Nutzer von KI

Leitlinien zur KI Verordnung

Die EU-Kommission hat praxisnahe Leitlinien erarbeitet, die Sie als Unternehmen nutzen sollten:

• Definition von KI-Systemen
• Unterstützung bei Risikobewertung und Dokumentation
• Technische Anforderungen und CE-Kennzeichnung
• Hinweise zum Umgang mit Hochrisiko-KI im Arbeitsumfeld

Aktueller Fokus 2025: KI-Kompetenz (Art. 4), Datenschutz, Urheberrecht.

2. Wann tritt die KI Verordnung der EU in Kraft?

Der finale Text der Verordnung wurde im Mai 2024 verabschiedet. Die Einführung erfolgt schrittweise, damit Unternehmen Zeit zur Vorbereitung haben.

Die nächsten Schritte:

• Mitte 2025: Verbotene KI-Systeme gelten sofor
• August 2026: Die meisten Vorschriften für Hochrisiko-KI treten in Kraft
• 2027: Der AI Act gilt vollumfänglich in allen Mitgliedsstaaten

Diese gestaffelte Einführung bietet Unternehmen Planungssicherheit – aber auch Handlungsbedarf.

Weitere wichtige Termine, die Sie im Zusammenhang mit der Umsetzung des EU-AI-Gesetzes beachten müssen, finden Sie im detaillierten Zeitplan.

3. Umsetzung der KI Verordnung in Deutschland

Deutschland arbeitet aktiv an der nationalen Umsetzung. Zuständig sind insbesondere das BMDV, die Datenschutzbehörden und weitere Fachstellen.

Geplante Maßnahmen:

• Aufbau einer zentralen Meldestelle für KI-Systeme
• Nationale Anlaufstellen für KMU und Start-ups
• Leitfäden zur Risikoeinstufung und Schulung

Als Unternehmer sollten Sie bereits jetzt:

• Ihre internen Prozesse analysieren
• Verantwortlichkeiten klären, ggf. ergänzen und die daraus resultierenden Pflichten klären
• Externe Beratung prüfen (z. B. IT-Recht, Datenschutz, KI-Ethik, Infomationssicherheit, arbeitsrechtliche Aspekte, wie z.B. Mitarbeiter Richtlinien im Umgang mit KI-Anwendungen

4. Für wen gilt die KI Verordnung?

Die Verordnung betrifft alle, die mit KI-Systemen wirtschaftlich arbeiten, und zwar:

• Entwickler und Anbieter von KI-Lösungen („KI-as-a-Service“)
• Betreiber von KI-Systemen in Unternehmen (z. B. Personalabteilungen, IT)
• Importeure und Händler, die KI-Produkte in die EU bringen
• Unternehmen außerhalb der EU, wenn ihre KI innerhalb der EU genutzt wird

Das bedeutet für Sie konkret u. a.:

• Als Dienstleister müssen Sie die Konformität Ihrer Systeme nachweisen
• Als Anwender müssen Sie prüfen, ob Ihre Systeme bestimmten Risikostufen unterliegen
• Als Arbeitgeber müssen Sie Mitarbeitende schulen, wenn sie Hochrisiko-KI nutzen

Ein Anwalt kann Ihnen helfen, Ihre Rolle im Sinne der Verordnung (Anbieter, Betreiber, Händler) korrekt zu bestimmen und daraus resultierende Pflichten rechtssicher abzuleiten.

5. Was regelt die KI-Verordnung? – Überblick zu den Risikoklassen

Die KI-Verordnung teilt KI-Systeme in verschiedene Risikokategorien ein. Die Pflichten hängen davon ab, wie stark die KI Menschen gefährden kann:

Diese Klassifizierung ist zentral für Unternehmen, weil sie über Pflichten und Haftungsrisiken entscheidet.

Was regelt die KI-Verordnung konkret?

Die KI-Verordnung enthält eine Vielzahl an technischen, organisatorischen und rechtlichen Vorgaben. Sie unterscheidet klar zwischen den verschiedenen Rollen und verpflichtet Unternehmen zu präzisen Maßnahmen.

Zentrale Inhalte:
•    Artikel 4: KI-Kompetenz
•    Artikel 50: Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme
•    Regelungen zu Risikobewertung, Transparenz, Schulung, Überwachung, Kennzeichnung
️
Für Sie bedeutet das: Jedes KI-System muss geprüft und korrekt eingestuft werden. Die Maßnahmen richten sich danach, in welcher Risikokategorie sich Ihr System befindet.

6. Die wichtigsten Artikel der KI-Verordnung

Die KI-Verordnung der EU ist kein reines Technikgesetz – sie schafft klare rechtliche Vorgaben für den Einsatz von Künstlicher Intelligenz im Unternehmensalltag. Besonders relevant sind dabei Artikel 4 und Artikel 50, die für Unternehmen konkrete Pflichten definieren.

Artikel 4: Allgemeine Anforderungen an KI-Systeme

Artikel 4 der KI Verordnung ist Teil der Allgemeinen Bestimmungen und legt den Grundstein für das gesamte Regelwerk. Er stellt klar, dass alle KI-Systeme – unabhängig von ihrer Risikoklasse – bestimmte Grundpflichten erfüllen müssen.

Artikel 4 legt die grundsätzlichen Verpflichtungen für alle Akteure entlang der KI-Wertschöpfungskette fest – also für Anbieter, Importeure, Händler und Betreiber von KI-Systemen.

Was wichtig ist:

• Artikel 4 gilt immer – unabhängig davon, ob ein KI-System als Hochrisiko eingestuft wird oder nicht.
• Er verpflichtet zu einem sicheren, menschenzentrierten und grundrechtskonformen Umgang mit KI.
• Unternehmen müssen sicherstellen, dass KI-Systeme verlässlich, nachvollziehbar und kontrollierbar sind.
• Der Artikel ist eng verbunden mit anderen Regeln der Verordnung – etwa zu Datenqualität, menschlicher Aufsicht und Risikomanagement.

Kernaussagen aus Artikel 4:

• Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass Systeme so entwickelt und verwendet werden, dass sie sicher und grundrechtskonform sind.
• Bei Hochrisiko-KI-Systemen gelten besondere technische und organisatorische Anforderungen (z. B. Risikomanagement, Protokollierung, Datenqualität).
• Verantwortlichkeiten werden entlang der Wertschöpfungskette zugewiesen (z. B. Entwickler, Händler, Betreiber).

Was bedeutet das konkret?
Auch wenn ein KI-System nicht als Hochrisiko eingestuft wird, gilt: Es darf keine Risiken für Gesundheit, Sicherheit oder Grundrechte darstellen. Anbieter sollten diese Anforderungen dokumentieren – und ihre Nutzer informieren.

Artikel 4 ist das „Dach über allem“ – ohne seine Einhaltung ist keine seriöse Nutzung oder Vermarktung von KI-Systemen in der EU möglich. Wer hier nachlässig ist, riskiert womöglich nicht nur Sanktionen, sondern auch Reputationsverluste.

Schon bei der Entwicklung oder Auswahl eines KI-Systems kann ein Anwalt prüfen, ob die gesetzlichen Anforderungen eingehalten werden – und ob Ihre Dokumentation rechtssicher ist.

Hilfreich ist auch das aktuelle Hinweispapier KI-Kompetenzen nach Artikel 4 KI-Verordnung der Bundesnetzagentur.

Artikel 50: Transparenzpflichten für KI-Systeme

Artikel 50 der KI Verordnung ist für Unternehmen besonders praxisrelevant – vor allem, wenn sie KI in Kundenschnittstellen einsetzen, etwa bei Chatbots, Sprachassistenten oder automatisierten Bewerbungsprozessen.

Artikel 50 schreibt konkrete Informationspflichten gegenüber Nutzern vor – und zwar unabhängig von der technischen Komplexität der KI.

Warum das wichtig ist:

• Viele KI-Anwendungen im B2B- und B2C-Bereich (z. B. Chatbots, Textgeneratoren, Empfehlungssysteme) interagieren direkt mit Menschen – und fallen damit unter Art. 50.
• Es geht nicht nur um Ethik – sondern um rechtlich einklagbare Pflichtinformationen, die nachweislich erbracht werden müssen.
• Auch Inhalte wie synthetisch erzeugte Bilder, Stimmen oder Videos sowie redaktionelle Inhalte, die für die Allgemeinheit/Öffentlichkeit bestimmt sind, müssen gekennzeichnet werden – besonders relevant in Werbung, Medien und HR.
• Fehlende Transparenz kann schnell als Irreführung gewertet werden – mit Konsequenzen im Datenschutz-, Verbraucher- und Wettbewerbsrecht.

Inhalt von Artikel 50:

• Wenn ein KI-System mit Menschen interagiert, muss klar und verständlich darauf hingewiesen werden, dass es sich um eine KI handelt.
• Wenn KI Inhalte generiert (Text, Bild, Ton), muss deutlich erkennbar sein, dass diese künstlich erzeugt wurden – insbesondere bei synthetischen Medien („Deepfakes“).
• Bei Systemen zur Emotionserkennung oder biometrischen Kategorisierung: Es ist vorab eine klare Information an die betroffenen Personen nötig.

Relevanz für Unternehmen:

• Transparenz ist Pflicht, keine Option – schon bei einfachen KI-Anwendungen wie automatisierten Chats oder Bewerberrankings.
• Verstöße gegen Art. 50 können zu Bußgeldern führen.
• Schulungen für Mitarbeiter sind ratsam, um diese Pflicht umzusetzen.

Artikel 50 bringt sichtbare Regeln in die tägliche KI-Nutzung. Gerade Unternehmen, die KI kommerziell einsetzen oder anbieten, sollten diese Transparenzpflichten ernst nehmen – sie sind zentral für Vertrauen, Rechtssicherheit und Compliance.

Es kann sinnvoll sein, Ihre Nutzerinformationen oder Kennzeichnungen juristisch prüfen zu lassen – insbesondere bei automatisierter Kommunikation oder KI-generierten Inhalten.

7. Risikoklassifizierung und Risikoklassen der KI-Verordnung

Die Risikoklassifizierung ist das Herzstück des AI Acts. Je nach Risiko für Grundrechte und Sicherheit gelten unterschiedliche Anforderungen.

Die 4 Risikoklassen:
1.    Verbotene KI (u. a.)

• Verdeckte Beeinflussung (z. B. psychologische Manipulation)
• Sozialbewertungssysteme durch Behörden (Social Scoring)
• Biometrische Überwachung im öffentlichen Raum (weitgehend verboten)

2.    Hochrisiko-KI

• KI in sicherheitsrelevanten Bereichen wie Medizin (z. B. Diagnose-Unterstützung), Justiz (z. B. Urteilsvorschläge), Personalwesen (z. B. Bewerbervorauswahl)
• Pflicht zur Registrierung und Konformitätsprüfung

3.    Begrenztes Risiko

• Transparenzpflicht bei Chatbots, Deepfakes, Generativen Modellen (z. B. GPT, DALL·E)
• Nutzer müssen über den Einsatz der KI informiert werden

4.    Minimales Risiko

• Keine regulatorischen Vorgaben
• Beispiele: Spamfilter, Empfehlungsalgorithmen im E-Commerce

8. KI-Verordnung und Schulungspflicht

Für den sicheren Einsatz von KI verlangt die Verordnung, dass alle Beteiligten ausreichend geschult werden – besonders bei Hochrisiko-KI.

Wer muss geschult werden?

• Anbieter und Betreiber von KI-Systemen
• Mitarbeiter, die direkt mit der KI arbeiten (z. B. HR, IT, Medizin)
• Führungskräfte, die Entscheidungen treffen
• Datenschutz- und Compliance-Verantwortliche

Inhalte einer gesetzeskonformen Schulung:

• Verständnis der KI-Funktion und ihrer Grenzen
• Erkennen von Risiken
• Notfallmaßnahmen
• Umgang mit Fehlentscheidungen und menschlicher Kontrolle
• Transparenzpflichten
• Datenschutzgrundsätze (DSGVO)
• Meldepflichten bei Zwischenfällen

Die Schulung ist als Pflicht in der Verordnung verankert.

Ein Anwalt kann Sie dabei unterstützen, eine gesetzeskonforme Schulung zu entwickeln – und diese gegenüber Behörden nachweisbar zu dokumentieren.

9. Kennzeichnungspflicht und Transparenz

Ein besonders wichtiges Thema ist die Transparenzpflicht, vor allem bei generativer KI.

Was ist kennzeichnungspflichtig?

• Texte, Bilder oder Videos, die mit KI erstellt wurden
• Avatare oder Chatbots, die als menschlich wahrgenommen werden
• Deepfakes jeder Art

Was müssen Sie beachten?

• Inhalte müssen klar als „KI-generiert“ gekennzeichnet werden
• Es dürfen keine falschen Eindrücke entstehen
• Die EU entwickelt hierzu derzeit detaillierte Leitlinien

10. Betreiberpflichten und Handbuch zur KI-Verordnung

Wenn Sie eine Hochrisiko-KI betreiben, tragen Sie besondere Verantwortung. Sie müssen nicht nur technische, sondern auch organisatorische Maßnahmen umsetzen.

Ihre Pflichten laut Kapitel 3 (Art. 6–49 KI-VO):

• Erstellung einer technischen Dokumentation
• Durchführung einer Risiko- und Konformitätsbewertung
• Einrichtung einer Beschwerdestelle für Nutzer
• Registrierung im europäischen KI-Überwachungssystem

Ein offizielles Handbuch zur KI-Verordnung wird Unternehmen helfen, alle Schritte nachzuvollziehen und korrekt umzusetzen

11. Datenschutz & Haftung

Die KI-Verordnung ergänzt bestehende Regelungen wie die DSGVO, stellt aber auch neue Anforderungen an Datensicherheit und Verantwortlichkeit.

Wichtig:

• KI-Systeme dürfen nur mit rechtlicher Grundlage personenbezogene Daten verarbeitenBei Fehlentscheidungen oder Schäden kann eine Haftung entstehen
• Eine ergänzende EU-KI-Haftungsrichtlinie ist geplant
• Als Unternehmer sollten Sie Ihre Datenschutz- und Haftungsstrategie mit Blick auf die KI-Verordnung und die DSGVO frühzeitig anpassen.

12. Wie kann ein Anwalt bei der KI-Verordnung helfen?

Die Anforderungen der EU-KI-Verordnung sind komplex, umfangreich – und in vielen Fällen juristisch anspruchsvoll. Unternehmen stehen vor der Aufgabe, rechtliche, technische und organisatorische Pflichten richtig einzuordnen und umzusetzen. Genau hier kann ein spezialisierter Anwalt wertvolle Unterstützung bieten.

So kann ein Anwalt helfen:

• Rechtssichere Einstufung Ihrer KI-Systeme
  Ein Anwalt kann helfen, Ihre bestehenden oder geplanten KI-Systeme korrekt einer Risikoklasse zuzuordnen – die Basis für alle weiteren Pflichten. So können Sie Fehlentscheidungen vermeiden, die teuer werden können.
• Erstellung und Prüfung der Konformitätsdokumentation
  Gerade bei Hochrisiko-KI müssen umfangreiche Nachweise und technische Dokumente erstellt werden. Ein Anwalt kennt die Vorgaben aus Artikel 4, Artikel 50 und weiteren Regelungen – und kann dafür sorgen, dass alles den rechtlichen Anforderungen entspricht.
• Beratung zu Transparenz- und Informationspflichten
  Verstöße gegen Artikel 50 – z. B. wenn Nutzer nicht ausreichend über den KI-Einsatz informiert werden – können zu Abmahnungen oder Bußgeldern führen. Ein Anwalt kann Sie dabei unterstützen, klare und rechtlich belastbare Formulierungen zu finden.
• Schulungsberatung für Ihre Teams
  Auch bei der Planung und Durchführung gesetzlich geforderter Schulungen (z. B. für Hochrisiko-KI in HR oder IT) kann ein Anwalt helfen – etwa bei der Auswahl der Inhalte oder der Dokumentation der Schulungspflicht.
• Risikomanagement & Haftungsvermeidung
  Ein Anwalt kann prüfen, ob Ihre internen Prozesse so gestaltet sind, dass Sie im Schadensfall nicht haftbar gemacht werden können – z. B. durch klare Verantwortlichkeiten oder Notfallmaßnahmen.
• Anlaufstelle bei Aufsichts- oder Prüfverfahren
  Sollte es zu einer Kontrolle durch eine Marktaufsichtsbehörde kommen, kann ein Anwalt Sie professionell vertreten – und im Vorfeld dafür sorgen, dass alles auditfest dokumentiert ist.

Wann lohnt sich anwaltliche Unterstützung?

Ein Anwalt für KI- und Datenschutzrecht kann Sie besonders unterstützen, wenn Sie:

• eine KI-Lösung anbieten oder entwickeln (inkl. General Purpose AI),
• Hochrisiko-KI im Unternehmen einsetzen (z. B. zur Personalauswahl oder in der Medizin),
• KI-generierte Inhalte nutzen (z. B. Deepfakes, Text- oder Bildgeneratoren),
• internationale Partner oder externe Dienstleister einbinden,
• Bußgelder oder Reputationsrisiken vermeiden möchten.

13. Umsetzung und praktische Empfehlungen für Unternehmen

Damit Sie den AI Act effizient umsetzen, empfehlen sich folgende Schritte:

1. Bestandsaufnahme aller eingesetzten KI-Systeme
2. Risikoklassifizierung gemäß EU-Verordnung
3. Aufbau eines Qualitätsmanagementsystems gemäß Art. 17 KI-Verordnung
4. Erstellung eines internen KI-Compliance-Handbuchs
5. Umsetzung der technischen Dokumentation
6. Erfüllung der CE-Kennzeichnung
7. Schulung Ihrer Mitarbeitenden, insbesondere bei Hochrisiko-KI
8. Regelmäßige Überprüfung der Einhaltung und Anpassung an neue Leitlinien
9. Beratung durch Rechtsexperten und technische Fachleute

Beratung durch einen Anwalt für IT- und Datenschutzrecht kann Ihnen helfen, die Vorgaben aus dem AI Act rechtssicher in Ihre Unternehmenspraxis zu integrieren.

14. KI-Verordnung: Checkliste für Unternehmer

Die KI-Verordnung der EU ist keine Einschränkung, sondern ein verlässlicher Rahmen für Innovation.

Ihre nächsten Schritte:

1. KI-Systeme im Unternehmen identifizieren und einstufen
2. Zuständigkeiten klären und Prozesse definieren
3. Mitarbeitende schulen
4. Dokumentation und technische Standards anpassen
5. Frühzeitig externe Expertise einholen