Die KI-Verordnung ist kein Zukunftsthema mehr. Seit Februar 2025 sind bestimmte KI-Praktiken verboten, seit August 2025 gelten Regeln für Allzweck-KI-Modelle. Am 2. August 2026 – in wenigen Monaten – treten die Transparenz- und Kennzeichnungspflichten in Kraft, die für viele Unternehmen relevant sind, die generative KI einsetzen. Wer sich erst dann damit beschäftigt, ist zu spät. 

Dieser Beitrag gibt einen Überblick über die wichtigsten Pflichten und zeigt, welche Schritte Unternehmen jetzt einleiten sollten.

Worum geht es?

Die KI-Verordnung (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Sie verfolgt einen risikobasierten Ansatz: KI-Systeme werden nach ihrem Risikopotenzial eingestuft und entsprechend reguliert. Je höher das Risiko, desto strenger die Anforderungen. 

Die Verordnung unterscheidet vier Risikostufen: Verbotene KI-Praktiken (z.B. Social Scoring, biometrische Massenüberwachung), Hochrisiko-KI (z.B. KI im Personalmanagement, Kreditscoring, Strafverfolgung), KI mit begrenztem Risiko (z.B. bestimmte Chatbots, Deepfakes und bestimmte generative KI-Anwendungen) und KI mit minimalem Risiko (z.B. Spamfilter). Letztere bleibt weitgehend unreguliert. Generative KI ist dabei keine eigenständige gesetzliche Risikokategorie; entscheidend ist der konkrete Anwendungsfall. 

Wen betrifft es?

Die KI-Verordnung richtet sich nicht nur an Unternehmen, die KI entwickeln. Sie erfasst die gesamte Wertschöpfungskette – Anbieter (Provider), Betreiber (Deployer), Importeure und Händler. Entscheidend ist: Wer KI-Systeme im beruflichen Kontext einsetzt, ist regelmäßig Betreiber im Sinne der Verordnung. Das gilt unabhängig davon, ob das System selbst entwickelt oder eingekauft wurde. 

Wenn Ihr Unternehmen also zum Beispiel ChatGPT, ein KI-gestütztes Recruiting-Tool, eine automatisierte Bonitätsprüfung oder einen KI-Chatbot im Kundenservice nutzt, fallen Sie unter die KI-Verordnung. Welche konkreten Pflichten daraus folgen, hängt aber von der jeweiligen Rolle, dem Systemtyp und dem konkreten Einsatzfall ab. 

Die Fristen: Was gilt wann?

Die KI-Verordnung tritt stufenweise in Kraft. Nach derzeit geltender Rechtslage gilt folgender Stand; zugleich wird auf EU-Ebene im Rahmen des Digital-Omnibus-Pakets über spätere Fristen für Hochrisiko-KI-Systeme verhandelt: 

Seit dem 2. Februar 2025 sind verbotene KI-Praktiken untersagt. Gleichzeitig gilt die Pflicht zur KI-Kompetenz (Art. 4): Unternehmen müssen sicherstellen, dass Mitarbeiter, die mit KI-Systemen arbeiten, über ausreichende Kenntnisse verfügen. 

Seit dem 2. August 2025 gelten die Regeln für Allzweck-KI-Modelle (GPAI). Dies betrifft vor allem die Anbieter großer Sprachmodelle wie OpenAI, Anthropic oder Google. 

Am 2. August 2026 treten die Transparenz- und Kennzeichnungspflichten nach Art. 50 in Kraft. Das ist die Frist mit der größten Breitenwirkung: Viele Unternehmen, die generative KI einsetzen, müssen dann prüfen, ob und in welchem Umfang Transparenz- und Kennzeichnungspflichten gelten. Wer Nutzer mit einem KI-System interagieren lässt, muss zudem sicherstellen, dass diese Interaktion als solche erkennbar ist, soweit keine Ausnahme greift. 

Aktuell gelten die Pflichten für Hochrisiko-KI-Systeme nach Anhang III ab dem 2. August 2026; für regulierte Produkte nach Anhang I ab dem 2. August 2027. Sollte das Digital-Omnibus-Paket in der derzeit diskutierten Fassung umgesetzt werden, würde sich dies ändern: Nach der derzeit im Gesetzgebungsverfahren diskutierten Lösung gälte für Systeme nach Anhang III dann eine Frist bis Dezember 2027, für regulierte Produkte nach Anhang I bis August 2028.

Was müssen Unternehmen jetzt tun?

Unabhängig davon, ob Sie KI entwickeln oder nur einsetzen, gibt es vier Schritte, die Sie jetzt angehen sollten.

Erstens: Bestandsaufnahme. Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden, auch solche, die auf den ersten Blick unproblematisch erscheinen. Dazu zählen beispielsweise ein Chatbot auf der Website, ein KI-gestütztes CRM-System oder ein automatisiertes Recruiting-Tool. All das sind KI-Systeme im Sinne der Verordnung.

Zweitens: Risikoklassifizierung. Ordnen Sie jedes identifizierte System einer Risikostufe zu. Die Einstufung bestimmt, welche Pflichten gelten. Ein Chatbot im Kundenservice fällt typischerweise unter „begrenztes Risiko” mit Kennzeichnungspflicht. Ein KI-System, das Bewerbungen vorsortiert, ist dagegen Hochrisiko-KI. 

Drittens: Rollenklärung. Sind Sie Anbieter oder Betreiber? Die Antwort bestimmt den Umfang Ihrer Pflichten. Die meisten Unternehmen sind Betreiber, da sie eingekaufte KI-Systeme einsetzen. Aber Vorsicht: Wer ein KI-System wesentlich verändert oder unter eigenem Namen auf den Markt bringt, kann in die Anbieter-Rolle rutschen. Das bedeutet deutlich umfangreichere Pflichten. 

Viertens: Maßnahmen umsetzen. Für die meisten Unternehmen sind die dringendsten Schritte: Mitarbeiter im Umgang mit KI schulen (Art. 4 gilt bereits), Kennzeichnungspflichten für KI-generierte Inhalte vorbereiten (Art. 50, Frist August 2026) und – bei Hochrisiko-KI – ein Risikomanagement, Dokumentation und menschliche Aufsicht etablieren. 

Was passiert bei Verstößen?

Die KI-Verordnung sieht empfindliche Bußgelder vor: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Millionen Euro oder 3 % für Verstöße gegen Hochrisiko-Pflichten. Daneben gibt es weitere Bußgeldstufen, insbesondere für bestimmte Informationsverstöße. Für KMU gelten jeweils die niedrigeren Beträge. Aber auch unterhalb dieser Schwellen können Sanktionen existenzbedrohend sein. 

Handeln Sie jetzt

Die Fristen laufen. Die Transparenzpflichten nach Art. 50 greifen in wenigen Monaten, die Hochrisiko-Pflichten folgen nach derzeitiger Rechtslage 2026/2027. Unternehmen, die jetzt mit der Umsetzung beginnen, haben einen klaren Vorteil gegenüber denen, die abwarten. 

Sie wollen wissen, welche Pflichten konkret für Ihr Unternehmen gelten und wie Sie die KI-Verordnung effizient umsetzen? Nehmen Sie Kontakt auf. Ich unterstütze Sie bei der Bestandsaufnahme, Risikoklassifizierung und Umsetzung.

→ Zum Kontaktformular