Verständlicher Leitfaden

Die EU KI-Verordnung: Was KMU wirklich wissen müssen

Kein Juristendeutsch. Keine 200-seitigen PDFs. Nur eine klare Erklärung, was die EU KI-Verordnung ist, wen sie betrifft und was Ihr Unternehmen vor August 2026 tun muss.

Ihr Risikoniveau herausfinden →

Was ist die EU KI-Verordnung?

Die EU KI-Verordnung (Verordnung 2024/1689) ist das weltweit erste umfassende Gesetz, das Künstliche Intelligenz spezifisch reguliert. Sie wurde 2024 von der Europäischen Union verabschiedet und begann 2025 in Kraft zu treten, wobei die Hauptfrist für die meisten Unternehmen der 2. August 2026 ist.

Die Verordnung verfolgt einen risikobasierten Ansatz: Je größer der potenzielle Schaden eines KI-Systems, desto strenger die Anforderungen. Eine Recruiting-KI, die bei Einstellungsentscheidungen hilft, unterliegt mehr Regeln als eine KI, die Ihre nächste Playlist vorschlägt. Das Gesetz gilt für jedes Unternehmen, das in der EU tätig ist oder Dienstleistungen an EU-Kunden erbringt — unabhängig vom Standort des Unternehmens.

Für die meisten kleinen und mittleren Unternehmen ist der praktische Einfluss unkompliziert: Sagen Sie den Menschen, wenn sie mit KI interagieren, führen Sie grundlegende Aufzeichnungen über die von Ihnen verwendete KI und haben Sie eine einfache Richtlinie für deren verantwortungsvollen Einsatz. Für Unternehmen, die KI bei Einstellungen, Kreditentscheidungen oder im Gesundheitswesen einsetzen, gibt es mehr zu tun — aber es ist mit der richtigen Anleitung handhabbar.

Wichtige Fristen

Die EU KI-Verordnung wird stufenweise eingeführt. Hier ist, was wichtig ist und wann.

2. Feb 2025

In Kraft

Verbotene KI-Bestimmungen

Regeln zum Verbot verbotener KI-Systeme traten in Kraft — einschließlich Social Scoring, subliminale Manipulation und die meisten Formen der Echtzeit-Biometrie-Überwachung.

2. Aug 2025

In Kraft

GPAI-Modell-Regeln

Regeln für allgemeine KI-Modelle (GPAI) — wie GPT-4, Gemini, Claude — traten in Kraft. Anbieter dieser Modelle müssen comply; Unternehmen, die sie nutzen, stehen vor neuen Transparenzregeln.

2. Aug 2026

Hauptfrist

Transparenz & Allgemeine Bestimmungen ⭐

DIE Hauptfrist für die meisten Unternehmen. Transparenzpflichten für KI-Systeme (Offenlegung, wenn Kunden mit KI interagieren), allgemeine Governance-Anforderungen und vollständige GPAI-benutzerseitige Regeln.

2. Aug 2027

2027

Hochrisikosysteme (Anhang I)

Erweiterte Compliance-Anforderungen für in Anhang I aufgeführte Hochrisiko-KI-Systeme — abdeckend Sektoren wie Sicherheitskomponenten in Produkten, die durch EU-Recht reguliert werden.

2. Aug 2030

2030

Hochrisikosysteme (Anhang III)

Vollständige Compliance für alle verbleibenden in Anhang III aufgeführten Hochrisiko-KI-Systeme — einschließlich bestehender KI-Systeme, die bereits vor 2024 in Betrieb waren.

Für wen gilt sie?

Die EU KI-Verordnung klassifiziert KI-Nutzung in vier Risikoniveaus. Ihre Pflichten hängen davon ab, wo Ihre KI-Nutzung liegt.

🚫 Verboten

Diese KI-Nutzungen sind vollständig unter der EU KI-Verordnung verboten.

•Social-Scoring-Systeme (Bewertung von Menschen anhand ihres Verhaltens)

•Subliminale Manipulation von Verhalten

•Echtzeit-Biometrie-Überwachung in öffentlichen Räumen (mit engen Ausnahmen)

•KI, die Schwachstellen spezifischer Gruppen ausnutzt

•Emotionserkennung in Arbeitsplätzen und Schulen (in den meisten Fällen)

⚠️ Hohes Risiko

Diese KI-Nutzungen sind erlaubt, erfordern aber erhebliche Compliance-Arbeit vor der Bereitstellung.

•KI in Recruiting und HR-Screening

•KI in Kredit-Scoring und Finanzentscheidungen

•KI in medizinischer Diagnostik

•KI in kritischer Infrastruktur (Energie, Wasser, Transport)

•KI in der Bildung zur Bewertung von Schülern

•Biometrische Identifikationssysteme

⚡ Begrenztes Risiko

Diese KI-Nutzungen sind erlaubt, erfordern aber spezifische Transparenz-Offenlegungen.

•Kundenservice-Chatbots (müssen KI-Interaktion offenlegen)

•KI-generierte Inhalte (müssen als KI-erstellt gekennzeichnet werden)

•Deepfakes und synthetische Medien

•Emotionserkennungssysteme (außerhalb verbotener Zonen)

✅ Minimales Risiko

Die meisten KI-Nutzungen fallen hier rein. Keine spezifischen EU KI-Verordnungsanforderungen — aber gute Praxis gilt trotzdem.

•KI-betriebene Spam-Filter

•KI in Spielen und Unterhaltung

•KI für interne Produktivität (Zusammenfassung, E-Mail-Entwürfe)

•Empfehlungsmaschinen (Netflix, Spotify-Stil)

•Marketing-Optimierungstools

Was KMU tun müssen

Nach Aufwandsniveau priorisiert. Beginnen Sie mit den schnellen Gewinnen.

🟢 Geringer Aufwand— Schnelle Gewinne

☐KI-Hinweisnotizen zu Chatbots hinzufügen ('Dieser Chat verwendet KI')
☐KI-generierte Inhalte auf Ihrer Website kennzeichnen
☐Ihr Team über verwendete KI informieren

🟡 Mittlerer Aufwand— Dokumentationsgrundlagen

☐Kurze KI-Richtlinie schreiben (welche KI Sie verwenden, wie und Governance-Regeln)
☐KI-Systemregister erstellen (alle KI-Tools und ihren Zweck auflisten)
☐Datenschutzhinweise überprüfen, um KI-Datenverarbeitung einzuschließen
☐DSGVO-Compliance für jede KI sicherstellen, die personenbezogene Daten verarbeitet

🔴 Hoher Aufwand (nur Hochrisiko)— Hochrisiko-Anforderungen

☐Konformitätsbewertung für jedes Hochrisiko-KI-System durchführen
☐Menschliche Überwachungsprozesse implementieren und dokumentieren
☐Hochrisikosysteme bei nationalen Behörden registrieren
☐Technische Dokumentation gemäß den Anforderungen des Gesetzes führen

Glossar

Schlüsselbegriffe der EU KI-Verordnung, einfach erklärt.

GPAI (Allgemeine KI)

KI-Modelle, die auf großen Datensätzen trainiert wurden und für viele verschiedene Aufgaben verwendet werden können — wie ChatGPT, Claude oder Gemini. Die EU KI-Verordnung hat spezifische Regeln für Unternehmen, die GPAI-Modelle bereitstellen.

Hochrisiko-KI-System

Ein KI-System, das in einem Kontext eingesetzt wird, in dem Fehler Menschen erheblich schaden könnten — wie Einstellungen, Kreditentscheidungen, Gesundheitswesen oder kritische Infrastruktur. Diese erfordern die meiste Compliance-Arbeit.

Konformitätsbewertung

Ein obligatorischer Prozess für Hochrisiko-KI-Systeme, bei dem Sie dokumentieren, wie das System funktioniert, es testen und sicherstellen, dass es die Anforderungen der EU KI-Verordnung erfüllt — vor der Bereitstellung.

Transparenzpflicht

Die Anforderung, Menschen zu informieren, wenn sie mit KI interagieren. Zum Beispiel: Offenlegen, dass ein Chatbot KI ist, oder dass Inhalte KI-generiert wurden. Gilt für die meisten KI-Nutzungen mit begrenztem Risiko.

KI-Systemregister

Ein Dokument, das alle KI-Systeme auflistet, die Ihr Unternehmen verwendet — einschließlich ihrer Funktion, der verarbeiteten Daten und wie Entscheidungen getroffen werden. Für Hochrisikosysteme erforderlich; gute Praxis für alle.

Verbotene KI

KI-Nutzungen, die vollständig unter der EU KI-Verordnung verboten sind, einschließlich Social-Scoring-Systeme, subliminale Manipulation und die meisten Formen der Echtzeit-Biometrie-Überwachung.

DSFA (Datenschutz-Folgenabschätzung)

Eine DSGVO-Anforderung für risikoreiche Datenverarbeitung. Wenn Ihre KI personenbezogene Daten auf eine Weise verarbeitet, die die Rechte der Betroffenen beeinträchtigen könnte, benötigen Sie wahrscheinlich eine DSFA.

Technische Dokumentation

Detaillierte Aufzeichnungen, die für Hochrisiko-KI-Systeme erforderlich sind: was das System tut, wie es trainiert wurde, seine Grenzen, Testergebnisse und wie es Entscheidungen trifft.

Anwender (Deployer)

Gemäß der EU KI-Verordnung ist jedes Unternehmen, das ein KI-System in einem professionellen Kontext einsetzt, ein 'Anwender' — auch wenn es das System nicht gebaut hat. Die meisten KMU sind Anwender.

Anbieter (Provider)

Ein Unternehmen, das ein KI-System baut oder verkauft. Wenn Sie KI selbst entwickelt haben, können Sie sowohl Anbieter als auch Anwender sein, mit zusätzlichen Pflichten.

Finden Sie Ihr Risikoniveau in 5 Minuten heraus

Machen Sie das kostenlose Audit. Beantworten Sie 5 Fragen zu Ihrer KI-Nutzung und erhalten Sie eine personalisierte Risikobewertung und einen Aktionsplan.

Kostenloses Audit starten →

⚠️ Dieser Leitfaden dient nur zu Bildungszwecken — keine Rechtsberatung.