Dieser Beitrag stammt aus der frühen Einführungsphase der KI-Verordnung. Für die heutige Einordnung ist wichtig: Der Rechtsrahmen gilt inzwischen stufenweise, erste Pflichten laufen bereits, und für die aktuelle rechtliche Vertiefung von KI-Projekten ist die fachnähere Route über Künstliche Intelligenz im Umfeld von IT-Recht & Digitalisierung die passendere Anschlussseite.
Worum es hier geht
Für wen das relevant ist
Für Unternehmen, Produktverantwortliche, Anbieter, Betreiber und Entscheider, die den AI Act einordnen oder bestehende KI-Nutzung rechtlich sauber bewerten müssen.
Welche Frage der Beitrag beantwortet
Der Beitrag erklärt die Grundlogik der KI-Verordnung. Zugleich braucht er aus heutiger Sicht eine klare zeitliche Einordnung, weil seit 2025 bereits erste Pflichten gelten und weitere zentrale Vorgaben im August 2026 folgen.
Was fortgilt
Risikobasierter Ansatz, verbotene Praktiken, Transparenzgedanke und Innovationsförderung sind weiterhin tragende Bausteine des AI Act.
Was Sie mitnehmen
Sie sehen, was vom Altbeitrag weiterhin trägt, wo sich der Rechtsstand inzwischen konkretisiert hat und worauf Unternehmen vor dem nächsten großen Anwendungszeitpunkt achten sollten.
Das Wichtigste in Kürze
- Der Beitrag erklärt die Grundidee der KI-Verordnung im Kern zutreffend, bildet den heutigen Anwendungsstand aber nicht mehr vollständig ab.
- Seit dem 2. Februar 2025 gelten bereits die allgemeinen Vorschriften, die Verbote des Art. 5 KI-VO und die Pflicht zur KI-Kompetenz.
- Seit dem 2. August 2025 gelten die Regeln für General-Purpose-AI-Modelle; weitere zentrale Vorgaben der Verordnung folgen am 2. August 2026.
- Für bestimmte produktbezogene Hochrisiko-Konstellationen nach Art. 6 Abs. 1 KI-VO gilt ein weiterer Übergang bis zum 2. August 2027.
- Der Bußgeldrahmen der finalen Verordnung ist deutlich ausdifferenziert und reicht bei verbotenen Praktiken bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes.
Aktueller Stand
Stand April 2026. Die KI-Verordnung ist seit dem 1. August 2024 in Kraft. Seit dem 2. Februar 2025 gelten bereits die allgemeinen Vorschriften, die Verbote des Art. 5 KI-VO und die Pflicht zur KI-Kompetenz. Seit dem 2. August 2025 greifen außerdem die Regeln für General-Purpose-AI-Modelle und die Governance-Bausteine. Die breite Anwendbarkeit folgt am 2. August 2026; für Art. 6 Abs. 1 KI-VO und die daran anknüpfenden Pflichten gilt ein weiterer Übergang bis zum 2. August 2027.
Für die Praxis ist außerdem wichtig: Die Europäische Kommission hat seit Februar 2025 Leitlinien zu verbotenen Praktiken und zur Definition des KI-Systems veröffentlicht. Für die Pflicht zur KI-Kompetenz existieren inzwischen Q&A und eine europäische Sammlung praktischer Umsetzungsbeispiele. Für Anbieter von General-Purpose-AI-Modellen liegen ergänzende Leitlinien und ein Code of Practice vor.
Was ist wichtig?
Am 21. Mai 2024 haben die 27 EU-Mitgliedsstaaten das erste KI-Gesetz weltweit erlassen, in welchem der Einsatz künstlicher Intelligenz in der Europäischen Union geregelt wird. Diese neuen Regelungen stellen eine Wende im technologischen Sektor dar, indem sie einerseits Innovation und Wettbewerbsfähigkeit innerhalb der EU fördern und gleichzeitig die Grundrechte von Bürgern vor Missbrauch durch Hochrisiko-KI-Systeme schützen.
Was ist Künstliche Intelligenz (KI)?
Eine künstliche Intelligenz ist ein programmiertes System, welches in der Lage ist, menschenähnliches Verhalten, sowie Denkmuster zu kopieren und nachzuahmen. Dadurch ist es möglich, dass Aufgaben, welche normalerweise von Menschen erledigt werden müssen von KI-Systemen übernommen werden. Eine KI ist so beispielsweise in der Lage ihre Umwelt und damit verbundene Probleme wahrzunehmen und eine Lösung vorzuschlagen, sowie ihre alten Handlungen zu analysieren und anzupassen.
Was sind Hochrisiko-Systeme?
Durch die stetige Weiterentwicklung von KI-Systemen und ihre Einbindung in unseren Arbeitsalltag sind sogenannte Hochrisiko-Systeme entstanden. Dies bezeichnet KI-Programme, welche in sensiblen Bereichen genutzt werden und so eine Gefahr für die Umwelt, Sicherheit und Demokratie unseres Rechtsstaats darstellen können. Dazu zählen gemäß Anhang III der EU KI-Verordnung unter anderem KI-Systeme, welche „biometrische Daten nutzen, als Sicherheitskomponenten bei der Verwaltung und dem Betrieb kritischer digitaler Infrastrukturen, im Straßenverkehr oder bei der Wasser-, Gas-Wärme- oder Stromversorgung eingesetzt werden sollen, im Bereich der allgemeinen und beruflichen Bildung eingesetzt werden, sowie KI-Systeme, die dazu bestimmt sind, von oder im Namen von Strafverfolgungsbehörden oder von Organen, Einrichtungen, Ämtern oder Agenturen der Union zur Unterstützung von Strafverfolgungsbehörden oder in deren Namen verwendet zu werden, um das Risiko zu bewerten, dass eine natürliche Person Opfer einer Straftat wird.“
Um diese sensiblen Daten zu schützen, legt die KI-Verordnung der EU bestimmte Regeln fest.
Zunächst müssen Nutzer von KI-Systemen über ein Qualitätsmanagementsystem verfügen, welches eine Strategie für die Einhaltung der Vorschriften vorweist. Außerdem muss ein Risikomanagementsystem eingeführt werden, welches die „Ermittlung und Analyse der bekannten und der vernünftigerweise vorhersehbaren Risiken, die das AI-System mit hohem Risiko für die Gesundheit, die Sicherheit oder die Grundrechte darstellen kann“ (Artikel 9 EU AI-Act).
Ein weiterer, zu beachtender Aspekt, der in Artikel 9 der EU KI-Verordnung dargestellt wird ist die „Abschätzung und Bewertung der Risiken, die entstehen können, wenn das Hochrisiko-KI-System bestimmungsgemäß und unter den Bedingungen einer vernünftigerweise vorhersehbaren Fehlanwendung eingesetzt wird“ (Art. 9 EU KI-Verordnung).
Zusätzlich dazu müssen Hochrisiko-Systeme regelmäßig überwacht und bewertet werden, damit sichergestellt werden kann, dass sie weiterhin den gesetzlichen Anforderungen entsprechen.
Verbotene Anwendungen und Strafen bei Nichteinhaltung
Neben den ungefährlichen Anwendungen und den Hochrisiko-Systemen weist der AI-Act auch auf KI-Anwendungen hin, die komplett verboten sind. Dazu zählen die Programme, welche als unvereinbar mit den Grundwerten und Rechten der Europäischen Union eingestuft werden und eine Gefahr für die Sicherheit und Demokratie in einem Land darstellen.
Darunter versteht man beispielsweise den Gebrauch von sozialen Punkte Systemen durch öffentliche Behörden, bei welchen die Bürger aufgrund ihres Sozialverhaltens und persönlicher Eigenschaften bewertet werden, sowie jegliche Art von manipulativer KI, die „unterschwellige Techniken [nutzt], die sich dem Bewusstsein einer Person entziehen, oder absichtlich manipulative oder täuschende Techniken einsetzt, mit dem Ziel oder der Wirkung, das Verhalten einer Person oder einer Personengruppe dadurch wesentlich zu beeinflussen“ (Art. 5 EU KI-Verordnung).
Der Gebrauch von Biometrischer Echtzeit-Fernüberwachung im öffentlichen Raum ist gem. Artikel 5 EU KI-Verordnung strengstens untersagt und nur unter bestimmten Bedingungen zulässig, wie beispielsweise zur gezielte Suche nach bestimmten Opfern von Entführung, Menschenhandel oder sexueller Ausbeutung von Menschen sowie die Suche nach vermissten Personen.
Um sicherzustellen, dass die Bestimmungen der KI-Verordnung eingehalten werden und die Nutzer die gesetzlichen Vorgaben ernst nehmen, gibt es bei Verstößen gegen das Gesetz erhebliche Strafen in Form von Geldbußen.
Unternehmen, die gegen die Vorschriften verstoßen, können mit Bußgeldern von bis zu 3 % ihres weltweiten Gesamtjahresumsatzes im vorangegangenen Geschäftsjahr oder 15 000 000 EUR verhängen, je nachdem, welcher Betrag höher ist, wenn die Kommission feststellt, dass der Anbieter vorsätzlich oder fahrlässig gehandelt hat.
Transparenzförderungsmaßnahmen und Verpflichtungen
Um die Transparenz von KI-Systemen zu fördern, schreibt die KI-Verordnung verschiedene Maßnahmen vor, welche versichern, dass Nutzer von KI darüber informiert werden, dass sie mit einem KI System interagieren. Außerdem müssen die Anbieter von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, sicherstellen, dass die Ausgaben des KI-Systems in einem maschinenlesbaren Format gekennzeichnet sind und als künstlich erzeugt oder manipuliert erkannt werden können.
Eine Ausnahme von diesen Vorgaben ist dann gegeben, wenn die Verwendung der KI zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten gesetzlich zugelassen ist.
Maßnahmen zur Förderung von Innovation
Die KI-Verordnung enthält auch Maßnahmen zur Förderung von Innovation und Wettbewerbsfähigkeit, sowie zur Erleichterung der Entwicklung von KI-Systemen, sowie der Beschleunigung des Zugangs zum Unionsmarkt für KI-Systeme.
So genannte „KI-sandboxes“ (Regulierungssandkästen) ermöglichen es Unternehmen, KI-Technologien in einem kontrollierten Umfeld zu testen und weiterzuentwickeln, ohne sofort strengen regulatorischen Anforderungen zu unterliegen. Diese Testräume werden bei Bedarf von der Kommission durch „technische Unterstützung, Beratung und Instrumente für die Einrichtung und den Betrieb von KI-Sandkästen“ unterstützt (Artikel 57 EU KI-Verordnung).
Diese Regulierungssandkästen verfolgen unter anderem die Ziele, die Rechtssicherheit in den Mitgliedsstaaten zu verbessern, den Austausch bewährter Verfahren durch Zusammenarbeit mit den an der KI-Sandbox beteiligten Behörden zu unterstützen und einen Beitrag zum faktengestützten Lernen zu leisten.
Die KI-Verordnung der Europäischen Union ist ein bedeutender Schritt zur Schaffung eines sicheren und vertrauenswürdigen Rahmens für die Nutzung von KI-Technologien. Durch diese klaren Vorschriften und strengen Verpflichtungen für Hochrisiko-Systeme, sowie die Förderung von Transparenz und Maßnahmen zur Unterstützung von Innovation stellt die Verordnung sicher, dass die Entwicklung und Nutzung von KI sowohl sicher als auch zukunftsorientiert erfolgt.
Was davon heute fortgilt
Weiterhin tragend
- Der AI Act folgt einem risikobasierten Ansatz.
- Verbotene Praktiken bleiben ein eigener, besonders sensibler Regelungsbereich.
- Transparenzpflichten und organisatorische Vorkehrungen sind zentrale Compliance-Themen.
- Regulierungssandkästen gehören weiterhin zur Innovationslogik der Verordnung.
Heute einordnungsbedürftig
- Die zeitliche Anwendung ist inzwischen gestuft und deutlich konkreter.
- Die Pflicht zur KI-Kompetenz gilt bereits seit Februar 2025.
- Für General-Purpose-AI-Modelle gelten seit August 2025 eigene Vorgaben.
- Der Sanktionsrahmen der finalen Verordnung ist differenzierter als die frühe Kurzfassung des Beitrags.
Für die heutige Rechtsanwendung zählt außerdem nicht nur ein allgemeines Technikverständnis, sondern die Legaldefinition des „KI-Systems“ im Sinne der Verordnung. Genau dafür hat die Kommission ergänzende Leitlinien veröffentlicht.
Worauf es jetzt praktisch ankommt
- Unternehmen sollten eingesetzte und bezogene KI-Systeme strukturiert erfassen und den konkreten Einsatzzweck dokumentieren.
- Die eigene Rolle im AI Act sollte sauber bestimmt werden, etwa als Anbieter, Betreiber, Integrator, Händler oder Beschaffer.
- Die Pflicht zur KI-Kompetenz sollte organisatorisch hinterlegt und nachvollziehbar dokumentiert werden.
- Verbotene Praktiken nach Art. 5 KI-VO sollten vor Einsatz, Beschaffung und Produktfreigabe gezielt ausgeschlossen werden.
- Transparenz-, Dokumentations- und Governance-Fragen sollten vor dem 2. August 2026 priorisiert geprüft werden.
Wer vor allem die breite rechtliche Einordnung von KI-Projekten, Rollen, Haftungsfragen und Schnittstellen zu Datenschutz, Verträgen oder Schutzrechten klären möchte, findet die passende Vertiefung im Bereich Künstliche Intelligenz. Wenn die Frage bereits in Richtung Pflichtenmapping, Nachweise, Rollenverteilung und Umsetzungsdokumentation geht, führt AI Act / KI-Verordnung umsetzen tiefer.
Offizielle Quellen und heutiger Rechtsstand
- Verordnung (EU) 2024/1689 im Volltext: EUR-Lex – amtliche Fassung der KI-Verordnung
- Zeitplan der Anwendung: AI Act Service Desk – Implementation Timeline
- Verbotene Praktiken: Europäische Kommission – Leitlinien zu verbotenen KI-Praktiken
- Definition des KI-Systems: Europäische Kommission – Leitlinien zur KI-System-Definition
- KI-Kompetenz: Europäische Kommission – Q&A zur AI Literacy und Bundesnetzagentur – FAQ zur KI-Verordnung
- Bußgelder: AI Act Service Desk – Artikel 99 Sanktionen
Zuständige Rechtsanwälte bei ITMR
KI-Projekte mit Medien-, Plattform- und IP-Bezug
Partner, Fachanwalt für Informationstechnologierecht und Fachanwalt für Urheber- und Medienrecht. Naheliegend bei KI-Themen mit Produktkommunikation, Inhalten, Plattformbezug, Schutzrechten und Konfliktlagen.
Governance, Beschaffung und Datenschutzschnittstellen
Partner, Fachanwalt für Informationstechnologierecht, zertifizierter KI-Beauftragter und externer Datenschutzbeauftragter. Naheliegend bei Governance-, Beschaffungs-, Dokumentations- und Umsetzungsfragen rund um den AI Act.
FAQ zum heutigen Stand
Ist dieser Beitrag aus Juni 2024 heute noch als Einstieg brauchbar?
Ja. Er erklärt Zielrichtung, Grundstruktur und politische Stoßrichtung des AI Act weiterhin brauchbar. Für Fristen, Rollenfragen, Sanktionsrahmen und konkrete Pflichtenstände reicht der Alttext allein heute jedoch nicht mehr aus.
Was gilt seit dem 2. Februar 2025 bereits?
Seit diesem Datum gelten die allgemeinen Vorschriften der Verordnung, die Verbote nach Art. 5 KI-VO und die Pflicht zur KI-Kompetenz. Unternehmen müssen diese Punkte deshalb schon vor dem 2. August 2026 ernsthaft einordnen und organisatorisch abdecken.
Wann werden Hochrisiko-Pflichten breit relevant?
Im Grundsatz ab dem 2. August 2026. Für Art. 6 Abs. 1 KI-VO und die daran anknüpfenden produktbezogenen Hochrisiko-Konstellationen gilt jedoch ein weiterer Übergang bis zum 2. August 2027.
Weiterführend
- Vertiefung zur aktuellen Gesamtordnung von KI-Projekten: KI-Recht für Unternehmen
- Operative Umsetzung der KI-Verordnung: AI Act / KI-Verordnung umsetzen
- Enger Anschlussbeitrag zur bereits geltenden KI-Kompetenzpflicht: KI-Verordnung (AI Act): Es wird ernst - welche Pflichten treffen Unternehmer?
„KI-Verordnung (AI Act): Was Sie wissen müssen“