EU-KI-Verordnung: Der komplette Leitfaden zur Konformität (2026)

Aktualisiert: 17. Juli 2026

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz über künstliche Intelligenz. Sie gilt für jede Organisation, deren KI-System — oder dessen Ausgabe — in der EU verwendet wird, unabhängig vom Sitz des Unternehmens. Dieser Leitfaden erklärt, wie sie funktioniert, was sie verlangt und wie Sie konform werden.

Was ist die EU-KI-Verordnung?

Die KI-Verordnung ist ein risikobasiertes Gesetz. Statt alle KI gleich zu behandeln, teilt sie Systeme in Klassen ein und knüpft Pflichten an das Risiko, das jedes System für Gesundheit, Sicherheit und Grundrechte darstellt. Sie ist extraterritorial: Wenn Menschen in der EU Ihr KI-System nutzen oder dessen Ausgabe in der EU verwendet wird, fallen Sie in den Anwendungsbereich — auch mit Sitz außerhalb der EU.

Die vier Risikoklassen

Jedes KI-System fällt in eine von vier Klassen:

  • Verboten (Art. 5) — untersagte Praktiken wie Social Scoring oder bestimmte manipulative Anwendungen.
  • Hochrisiko (Anhang III) — Systeme in Bereichen wie Beschäftigung, Bildung, wesentliche Dienstleistungen, Strafverfolgung und Biometrie. Sie tragen die schwersten Pflichten.
  • Begrenztes Risiko (Art. 50) — Systeme, die mit Menschen interagieren (Chatbots) oder synthetische Inhalte erzeugen, unterliegen Transparenzpflichten.
  • Minimales Risiko — alles Übrige, ohne verpflichtende Auflagen.

Welche Rolle haben Sie?

Die Pflichten hängen von Ihrer Rolle ab: Anbieter (Art. 16), Betreiber (Art. 26), Einführer (Art. 23) oder Händler (Art. 24). Wer ein Hochrisiko-System unter eigenem Namen vertreibt oder wesentlich verändert, wird zum Anbieter (Art. 25) — mit dem vollen Pflichtenkatalog, einschließlich Konformitätsbewertung.

Pflichten für Hochrisiko-Systeme

Anbieter von Hochrisiko-KI müssen unter anderem sicherstellen:

  • Risikomanagementsystem (Art. 9)
  • Daten-Governance und Prüfung auf Verzerrungen (Art. 10)
  • Technische Dokumentation — Anhang IV (Art. 11)
  • Protokollierung (Art. 12)
  • Menschliche Aufsicht (Art. 14)
  • Genauigkeit, Robustheit und Cybersicherheit (Art. 15)
  • Konformitätsbewertung (Art. 43), CE-Kennzeichnung (Art. 48) und EU-Datenbank-Registrierung (Art. 49)

Die wichtigsten Fristen

Die Verordnung gilt gestaffelt:

  • 2. Februar 2025 — Verbot untersagter Praktiken + KI-Kompetenz (Art. 4)
  • 2. August 2025 — Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI)
  • 2. August 2026 — die meisten Hochrisiko-Pflichten (Anhang III) und Transparenzpflichten (Art. 50)
  • 2. August 2027 — Hochrisiko-Systeme, die Sicherheitsbauteile regulierter Produkte sind

Bußgelder

Die Verordnung sieht gestaffelte Bußgelder vor: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für Verstöße gegen die verbotenen Praktiken (Art. 5), bis zu 15 Mio. € oder 3 % für die meisten anderen Verstöße. Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge.

FAQ

Gilt die EU-KI-Verordnung für Unternehmen außerhalb der EU?

Ja. Die Verordnung ist extraterritorial: Wird Ihr KI-System oder dessen Ausgabe in der EU verwendet, fallen Sie in den Anwendungsbereich — unabhängig vom Unternehmenssitz. Anbieter von Hochrisiko-Systemen außerhalb der EU müssen einen EU-Bevollmächtigten benennen (Art. 22).

Wann gelten die Hochrisiko-Pflichten?

Die meisten Hochrisiko-Pflichten nach Anhang III gelten ab dem 2. August 2026. Für Hochrisiko-Systeme, die Sicherheitsbauteile regulierter Produkte sind, gilt der 2. August 2027.

Wie hoch sind die Bußgelder?

Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für Verstöße gegen Artikel 5, und bis zu 15 Mio. € oder 3 % für die meisten anderen Verstöße.

Sehen Sie, was für Ihr System gilt

Nutzen Sie den kostenlosen 2-Minuten-Check — deterministisch, ohne Anmeldung.

Kostenlosen Check starten

Automatisierte Orientierung — keine Rechtsberatung.