KI-Verordnung (EU AI Act): Was sie ist und wie sie funktioniert

Die KI-Verordnung – auf Englisch EU AI Act – ist das erste umfassende Regelwerk der Welt für künstliche Intelligenz. Sie stuft KI-Systeme nach ihrem Risiko ein und knüpft daran abgestufte Pflichten. Formal ist sie die Verordnung (EU) 2024/1689, die am 1. August 2024 in Kraft trat und seitdem gestuft anwendbar wird. Sie gilt unmittelbar in allen EU-Mitgliedstaaten und erfasst auch Anbieter aus Nicht-EU-Ländern, sofern deren KI in der EU genutzt wird.

Hinweis: Dieser Beitrag bietet allgemeine Informationen und keine Rechtsberatung. Der EU AI Act befindet sich in der gestuften Umsetzung; einzelne Fristen wurden 2026 angepasst (siehe unten).

Was ist die KI-Verordnung (EU AI Act)?

Der EU AI Act ist ein produkt­sicherheitsrechtlich geprägter, risikobasierter Rechtsrahmen. Statt einzelne Technologien zu verbieten, betrachtet er den Verwendungszweck eines KI-Systems: Je höher das Risiko für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Pflichten. Ziel ist ein Binnenmarkt für vertrauenswürdige KI – mit harmonisierten Regeln, die Innovation ermöglichen und zugleich Bürgerrechte schützen.

Die Verordnung definiert klare Rollen, vor allem Anbieter (wer ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt) und Betreiber (wer ein KI-System in eigener Verantwortung einsetzt). Wer welche Pflichten trägt, hängt von dieser Rolle und von der Risikoklasse ab.

Die vier Risikoklassen im Überblick

Das Herzstück der KI-Verordnung ist die Einteilung in vier Risikostufen. Jede Stufe löst andere Rechtsfolgen aus.

Was bedeutet „inakzeptables Risiko“?

Bestimmte Praktiken gelten als unvereinbar mit den Werten der EU und sind seit dem 2. Februar 2025 vollständig verboten. Dazu zählen etwa Social Scoring durch staatliche Stellen, das gezielte Ausnutzen von Schwächen schutzbedürftiger Personen und – nach einer 2026 ergänzten Regelung – KI zur Erzeugung nicht einvernehmlicher intimer Darstellungen.

Warum ist die Hochrisiko-Klasse so wichtig?

Hochriskante KI ist erlaubt, aber stark reguliert. Anbieter müssen ein Risikomanagementsystem führen, Trainings- und Eingabedaten kontrollieren, eine technische Dokumentation erstellen, Protokollierung sicherstellen, menschliche Aufsicht ermöglichen und eine Konformitätsbewertung durchlaufen. Hier liegt der größte Compliance-Aufwand für Unternehmen.

Für wen gilt die KI-Verordnung? (Extraterritoriale Geltung)

Der EU AI Act gilt nicht nur für Unternehmen mit Sitz in der EU. Entscheidend ist der Marktbezug, nicht der Standort. Erfasst werden insbesondere:

• Anbieter, die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen – unabhängig davon, ob sie in der EU oder in einem Drittland niedergelassen sind.
• Betreiber mit Sitz in der EU, die ein KI-System einsetzen.
• Anbieter und Betreiber aus Nicht-EU-Ländern, wenn das vom KI-System erzeugte Ergebnis in der EU verwendet wird.

Ein US- oder asiatisches SaaS-Unternehmen, dessen KI-Dienst von Kunden in der EU genutzt wird, fällt damit ebenso unter die Verordnung wie ein europäischer Anbieter. Diese extraterritoriale Reichweite ähnelt jener der DSGVO und macht den AI Act faktisch zu einem globalen Standard.

Der gestufte Zeitplan

Die KI-Verordnung wird nicht auf einen Schlag, sondern in Etappen anwendbar. Der bisherige Verlauf:

• 1. August 2024: Inkrafttreten der Verordnung (EU) 2024/1689.
• 2. Februar 2025: Verbote (inakzeptables Risiko) und Pflichten zur KI-Kompetenz greifen.
• 2. August 2025: Pflichten für General-Purpose-AI (GPAI), Governance-Struktur und Sanktionsregeln werden wirksam; das EU-KI-Büro (AI Office) nimmt seine Arbeit auf.
• 2. August 2026: Transparenzpflichten nach Art. 50 (z. B. Kennzeichnung von Chatbots und KI-Inhalten) werden anwendbar.

Wichtige Änderung 2026: Mit dem sogenannten „Digital Omnibus on AI“ haben sich EU-Parlament, Rat und Kommission Anfang Mai 2026 vorläufig auf eine Vereinfachung und zeitliche Entlastung geeinigt. Die Pflichten für eigenständige Hochrisiko-Systeme (Anhang III) sollen danach erst ab dem 2. Dezember 2027 gelten, jene für KI in regulierten Produkten (Anhang I) ab dem 2. August 2028. Stand Juni 2026 ist diese Verschiebung noch nicht final verabschiedet; die Veröffentlichung im Amtsblatt steht aus. Verlassen Sie sich daher nicht auf ein fixes künftiges Hochrisiko-Datum, sondern prüfen Sie den jeweils aktuellen Stand.

Gesonderte Pflichten für General-Purpose-AI (GPAI)

Große, vielseitig einsetzbare KI-Modelle – etwa generative Sprach- oder Bildmodelle – unterliegen einem eigenen Pflichtenkatalog, der unabhängig von der Risikoklassifizierung greift und seit dem 2. August 2025 anwendbar ist. Anbieter von GPAI-Modellen müssen:

• eine technische Dokumentation des Modells erstellen und pflegen;
• nachgelagerten Anbietern Informationen zur Integration bereitstellen;
• eine Zusammenfassung der für das Training verwendeten Inhalte veröffentlichen;
• das EU-Urheberrecht beachten.

Für Modelle mit systemischem Risiko (sehr leistungsfähige Modelle) gelten zusätzlich verschärfte Pflichten wie Modellbewertungen, Tests gegnerischer Angriffe (Adversarial Testing), Risikominderung und Meldung schwerwiegender Vorfälle. Ein freiwilliger Verhaltenskodex (Code of Practice) hilft Anbietern bei der praktischen Umsetzung.

Sanktionen bei Verstößen

Die KI-Verordnung sieht abgestufte, empfindliche Bußgelder vor – orientiert an der Schwere des Verstoßes:

• Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bei Verstößen gegen die Verbote nach Art. 5.
• Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes bei Verstößen gegen die meisten anderen Pflichten, etwa für Hochrisiko-Systeme.
• Bis zu 7,5 Mio. EUR oder 1 % bei der Erteilung falscher oder irreführender Informationen an Behörden.

Für kleine und mittlere Unternehmen sowie Start-ups gelten jeweils die niedrigeren der prozentualen oder absoluten Obergrenzen. Die Durchsetzung erfolgt über nationale Marktüberwachungsbehörden; für GPAI ist das EU-KI-Büro zuständig.

Verhältnis zur DSGVO

Der EU AI Act ersetzt die DSGVO nicht – beide gelten parallel. Die DSGVO regelt die Verarbeitung personenbezogener Daten; der AI Act regelt das KI-System als Produkt über dessen gesamten Lebenszyklus. Verarbeitet ein KI-System personenbezogene Daten, müssen Unternehmen beide Regelwerke einhalten.

In der Praxis ergänzen sie sich: Eine Datenschutz-Folgenabschätzung nach DSGVO und das Risikomanagement nach AI Act überschneiden sich thematisch und lassen sich verzahnen. Bestehende DSGVO-Governance, Rollenmodelle und Verzeichnisse sind ein wertvoller Ausgangspunkt für die AI-Act-Compliance – ersetzen sie aber nicht.

Häufige Fragen (FAQ)

Ab wann gilt die KI-Verordnung?

Die Verordnung ist seit dem 1. August 2024 in Kraft und wird gestuft anwendbar: Verbote seit Februar 2025, GPAI-Pflichten und Sanktionsregeln seit August 2025, Transparenzpflichten ab August 2026. Die Hochrisiko-Pflichten wurden 2026 voraussichtlich auf Dezember 2027 (Anhang III) bzw. August 2028 (Anhang I) verschoben – die finale Verabschiedung steht jedoch noch aus.

Gilt sie für mein Unternehmen, auch außerhalb der EU?

Wahrscheinlich ja, sobald ein EU-Marktbezug besteht. Die Verordnung erfasst Anbieter und Betreiber aus Nicht-EU-Ländern, wenn ihre KI in der EU in Verkehr gebracht oder genutzt wird oder die Ergebnisse in der EU verwendet werden. Maßgeblich ist der Marktbezug, nicht der Unternehmenssitz.

EU AI Act oder DSGVO – was ist der Unterschied?

Die DSGVO schützt personenbezogene Daten; der EU AI Act reguliert KI-Systeme als Produkt nach Risiko. Beide gelten gleichzeitig. Verarbeitet Ihre KI personenbezogene Daten, müssen Sie beide Regelwerke einhalten – der AI Act tritt zusätzlich zur DSGVO hinzu.

Wie hoch sind die Sanktionen?

Bei verbotenen Praktiken drohen Bußgelder von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes (der höhere Betrag). Für andere Verstöße gelten Obergrenzen von bis zu 15 Mio. EUR / 3 % bzw. 7,5 Mio. EUR / 1 %.

Nächste Schritte

Die KI-Verordnung verlangt von Unternehmen, ihre KI-Systeme zu inventarisieren, nach Risiko einzuordnen und passende Governance aufzubauen. Eine strukturierte EU-AI-Act-Compliance-Checkliste hilft beim Einstieg. Opsio unterstützt nordische und internationale Unternehmen mit Managed-AI-Support und individueller KI-Beratung – ISO-27001-zertifiziert und praxisnah.