Blog

KI Verordnung: Alles über neue KI Regulierung

August 12, 2025 metin

Verordnung (EU) 2024/1689 schafft einen einheitlichen Rahmen für künstliche Intelligenz in der EU. Das Gesetz wurde am 12.07.2024 veröffentlicht und ist seit dem 01.08.2024 in Kraft. Bestimmte Verbote nach Art. 5 gelten seit dem 02.02.2025, während viele Vorschriften ab dem 02.08.2026 greifen.

Diese Seite liefert kompakte Informationen zur Zielsetzung, Definition (Art. 3) und Einordnung der Technologie. Wir erklären, welche Systeme als hochriskant gelten (Kapitel 3, Art. 6–49) und wie Modelle mit allgemeinem Verwendungszweck (GPAI, Art. 51–56) reguliert werden.

Der Fokus liegt auf praktischen Schritten: wer betroffen ist, welche Rollen das Regelwerk unterscheidet und welche Compliance‑Prioritäten jetzt wichtig sind. Außerdem nennen wir Pflichten wie die Schulung nach Art. 4 und die zuständigen Stellen auf EU‑ und nationaler Ebene.

Wesentliche Erkenntnisse

EU‑Regelwerk 2024/1689 setzt klare Ziele für eine sichere, menschenzentrierte Einführung.
Art. 3 liefert die zentrale Definition, Art. 5 regelt verbotene Praktiken.
Hochrisiko‑Pflichten gelten umfassend ab 02.08.2026.
Schulungspflicht nach Art. 4 gilt bereits seit 02.02.2025.
Der Beitrag zeigt praktische Compliance‑Schritte für Unternehmen und Behörden.

Was die KI‑Verordnung jetzt bedeutet: Definition, Ziele und zeitlicher Rahmen

Dieser Abschnitt erklärt die rechtliche Grundlage, den Zweck und den Zeitplan, die die Einführung von künstliche Intelligenz in der EU steuern.

Rechtsgrundlage und Definition gemäß Artikel 3

Art. 3 liefert eine technologieoffene Definition. Sie umfasst maschinengestützte Systeme mit unterschiedlichem Autonomiegrad, die Eingaben verarbeiten, um Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu erzeugen.

Solche Systeme können physische oder virtuelle Umgebungen beeinflussen. Die Festlegung bleibt weit genug, um neue Verfahren abzudecken.

Zweck der Verordnung: menschenzentrierte, sichere und innovative KI

Art. 1 legt den Zweck fest: Schutz von Gesundheit, Sicherheit und Grundrechten bei gleichzeitiger Förderung von Innovation.

Die Regelung schafft Vorhersehbarkeit durch klare Pflichten entlang des Lebenszyklus eines Systems.

Schutz für Menschen und Grundrechte.
Förderung sicherer Markteinführung und fairer Wettbewerb.
Transparenzpflichten zur Bewertung des Risikos.

Datum	Meilenstein	Relevanz
01.08.2024	Inkrafttreten (Art.113)	Gilt als Startpunkt für Pflichten
02.02.2025	Verbote gemäß Art. 5	Unzulässige Praktiken sind untersagt
Januar 2025 / April 2025	Interne Planung und Behördenklärung	Vorbereitung auf Pflichten und Zuständigkeiten
August 2026	Breite Anwendung wichtiger Vorschriften	Hochrisiko‑Pflichten und Transparenz treten umfassend in Kraft

Anwendungsbereich und Rollen: Für wen die Verordnung künstliche Intelligenz gilt

Dieser Abschnitt zeigt klar, für welche Akteure die neue Regelung gilt und welche Ausnahmen bestehen.

Geltungsbereich gemäß Art. 2: Die Regelung trifft Anbieter, Betreiber, Einführer, Händler, Produkthersteller und betroffene Personen entlang des gesamten Lebenszyklus von Systemen.

Privatpersonen sind ausgenommen, sofern die Nutzung rein privat bleibt. Ebenfalls ausgenommen sind reine Forschungs‑ und Entwicklungsprojekte sowie militärische und sicherheitsrelevante Anwendungen.

Rollen im Überblick

Art. 16–27 differenziert Pflichten nach Rolle. Anbieter tragen Konformitäts‑ und Dokumentationspflichten sowie CE‑Kennzeichnung und Registrierung. Betreiber überwachen Nutzung, beachten Nutzungsvorgaben und melden Vorfälle.

„Klare Rollenverteilung entlang der Wertschöpfungskette ist zentral für rechtssichere Umsetzung.“

Rolle	Hauptpflicht	Rechtsgrundlage (Art.)	Praxishinweis
Anbieter	Konformität, Techn. Dokumentation	Art. 16–19	CE‑Kennzeichnung, Registrierung
Betreiber	Betrieb, Überwachung, Meldung	Art. 20–22	Interne Einsatzregeln erstellen
Einführer / Händler	Sicherstellung konformer Inverkehrbringung	Art. 23–27	Prüfung Lieferkette

Räumliche Reichweite: Auch außereuropäische Anbieter unterliegen den Regeln, wenn Systeme oder deren Ergebnisse in der EU verwendet werden. Auf nationaler Ebene benennen Mitgliedstaaten zuständige Behörden und zentrale Anlaufstellen (Art. 70). Die Kommission kann die Liste der hochriskanten Anwendungsfälle anpassen.

Risikoansatz und verbotene Praktiken: Rahmen, Definitionen und Liste gemäß Artikel 5

Die Verordnung trennt klare Risikoebenen und benennt eine Liste verbotener Praktiken nach Art. 5. Das Ziel ist, Menschen und Personen vor schwerwiegenden Schäden zu schützen.

Verbotene Praktiken nach Art. 5

Art. 5 untersagt unter anderem kognitive Verhaltensmanipulation, Ausnutzung von Schwächen, Social Scoring und individualisiertes predictive policing gegenüber Einzelpersonen.

Außerdem verbietet die Regel massenhaftes Scraping von Gesichtsbildern zur Datenbankerstellung, Emotionserkennung in Jobs oder Schulen sowie biometrische Kategorisierung auf Basis sensibler Daten.

Risikoklassen und Folgen für Anwendungen

Unvertretbar (verboten): direkte Eingriffe, die Grundrechte verletzen.
Hoch: Systeme mit hohem Schadenpotenzial benötigen strenge Kontrollen.
Begrenzt: z. B. Chatbots — Transparenzpflichten nach Art. 50.
Minimal: geringe Risiken, normale Grundsätze gelten.

Kategorie	Beispiel	Wichtige Folge
Unvertretbar	Social Scoring	vollständiges Verbot (Art. 5)
Hochrisiko	Gesundheitsdiagnose	Risikomanagement, Prüfungen
Begrenzt	Chatbot	Transparenzpflicht (Art. 50)
Minimal	Spam‑Filter	keine speziellen Pflichten

Leitlinien der Kommission konkretisieren die Auslegung. Anbieter und Betreiber sollten Anwendungen regelmäßig prüfen, ob sie in eine andere Kategorie fallen, da dies Pflichten und Kontrollebenen bestimmt.

Hochrisiko‑KI‑Systeme: Anforderungen, Pflichten und Konformität

Bei hochrisiko‑KI‑Systemen gelten strenge technische und organisatorische Vorgaben, die Hersteller und Betreiber beachten müssen.

Risikomanagement und Daten‑Governance sind zentral: gemäß Artikel 8–15 sind Risikomanagement (Art. 9), Datenqualität (Art. 10) und technische Dokumentation (Art. 11) verpflichtend.

Protokollierung (Art. 12) und Informationspflichten gegenüber Betreibern (Art. 13) schaffen Nachvollziehbarkeit.

Pflichten entlang der Wertschöpfungskette

Anbieter müssen ein Qualitätsmanagementsystem (Art. 17) betreiben und Aufbewahrungspflichten erfüllen (Art. 18–19).

Weitere Rollen sind Bevollmächtigte (Art. 22), Einführer und Händler (Art. 23–24) sowie Betreiber (Art. 26). Art. 25 präzisiert Verantwortlichkeiten.

Konformität und Registrierung

Vor der Inverkehrbringung ist eine Konformitätsbewertung (Art. 43) durchzuführen. Es folgen EU‑Konformitätserklärung, CE‑Kennzeichnung (Art. 47–48) und Registrierung in der EU‑Datenbank (Art. 49).

Die Grundrechte‑Folgenabschätzung (Art. 27) ergänzt technische Kontrollen um rechtliche Prüfungen.

Praktische Hinweise: Leitlinien und harmonisierte Normen (Art. 40–41) erleichtern die Durchführung. Beachten Sie, dass zentrale Pflichten ab dem 02.08.2026 gelten; Kernpflichten zur Kompetenz und Verbote liefen bereits seit 02.02.2025.

KI‑Modelle mit allgemeinem Verwendungszweck (GPAI): systemische Risiken, Pflichten und Leitlinien

GPAI‑Modelle verlangen besondere Aufmerksamkeit, weil ihr Effekt auf Märkte und Infrastruktur groß sein kann. Kapitel 5 definiert das Prüfverfahren und die Kriterien zur Einstufung als Modell mit systemischem Risiko (Art. 51–52).

Einstufung als GPAI mit systemischem Risiko und Verfahren

Modelle werden nach Art. 51–52 bewertet. Ein formelles Verfahren legt fest, ob ein Modell systemische Risiken trägt. Danach gelten erweiterte Berichtspflichten und Meldeprozesse.

Pflichten der Anbieter von GPAI‑Modellen und Bevollmächtigte

Anbieter müssen Art. 53 erfüllen: Governance, Transparenz zu Trainingsdaten und robuste Sicherheitsmaßnahmen. Bevollmächtigte nach Art. 54 koordinieren Marktkommunikation und Compliance.

Verhaltenskodex und Praxisleitfäden der Kommission

Art. 56 sieht Praxisleitfäden und einen Verhaltenskodex vor. Diese Dokumente sollen den Rahmen für freiwillige und verpflichtende Maßnahmen klären.

Aktuelle Leitlinien und Entwicklungen 2025 für GPAI

Das AI‑Office veröffentlichte im April 2025 vorläufige Hinweise. Im Juli 2025 folgten Leitlinien‑Entwürfe und ein Code‑of‑Practice. Das gremium unabhängiger Sachverständiger (Art. 68) berät die Kommission bei der Einschätzung systemischer Risiken.

Prüfung von Schnittstellen zu hochrisiko -ki-systeme ist notwendig.
Anbieter ki-modellen sollten Governance und Dokumentation sofort anpassen.

Governance, Aufsicht und Durchsetzung auf EU‑ und nationaler Ebene

Die praktische Umsetzung des Rahmens wird durch mehrere Instanzen koordiniert. Auf EU‑Ebene übernehmen das AI Office (Art. 64) und das Europäische Gremium (Art. 65–69) die Festlegung und die Durchführung zentraler Vorgaben.

EU‑Gremien und wissenschaftliche Beratung

Das Europäische Gremium bündelt Expertise und gibt Leitlinien vor. Ein gremium unabhängiger Sachverständiger (Art. 68) berät insbesondere bei GPAI‑ und systemischen Risikofragen.

Zuständige nationale Behörden, Marktüberwachung und Datenbank

Mitgliedstaaten benennen zuständige behörden und zentrale Anlaufstellen (Art. 70). Die EU‑Datenbank für Hochrisiko‑Systeme (Art. 71) schafft Transparenz über registrierte Systeme.

Marktüberwachungsbehörden erhalten erweiterte Befugnisse (Art. 74–84). Die Aufsicht umfasst auch Tests in realen Umgebungen (Art. 76) und grenzüberschreitende Koordination.

Meldung von Vorfällen, Rechte und Sanktionen

Anbieter müssen strukturiert informationen bereitstellen und schwerwiegende Vorfälle melden (Art. 73). Betroffene personen haben Rechte auf Beschwerde (Art. 85) und individuelle Erläuterung (Art. 86).

Whistleblowing‑Mechanismen (Art. 87) stärken die Durchsetzung. Für GPAI gelten spezielle Instrumente zur Kontrolle und Anordnung (Art. 88–94).

Sanktionen nach Art. 99–101 richten sich nach Schwere und Art der Verstöße. Die Kommission koordiniert Leitlinien; 2024/2025 wurden Aufgabenlisten und Zeitpläne veröffentlicht, während nationale Umsetzungspläne derzeit erarbeitet werden.

Wichtig: Anbieter sollten frühzeitig nationale Meldekanäle und Zuständigkeiten klären, um Fristen bei der Durchführung einzuhalten.

Fazit

, künstliche intelligenz braucht klaren, praktikablen Schutz. Die Verordnung schafft einen Rahmen mit dem Ziel, Innovation und Grundrechte zu verbinden.

Praxisnah sollten anbieter und unternehmen Risiko‑Analysen priorisieren und eine umfassende liste der eingesetzten systeme anlegen. So erkennen Sie früh, welche Anwendungen hochrisiko und welche minimal risiken bergen.

Richten Sie Prozesse für Dokumentation, Tests und menschliche Aufsicht ein. Beachten Sie die Eckdaten: In Kraft seit 01.08.2024, Verbote und Kompetenzpflichten seit 02.02.2025, zentrale Pflichten ab 02.08.2026.

Anbieter ki-modellen sollten die Leitlinien aus April 2025 und die Code‑of‑Practice‑Entwürfe eng verfolgen. Behörden und interne Teams brauchen klare Empfehlungen, Verantwortlichkeiten und Prüfpfade, um Risiken zu steuern.

FAQ

Was ist das Ziel der neuen Regulierung für künstliche Intelligenz?

Ziel ist, menschenzentrierte, sichere und innovative Systeme zu fördern. Die Regeln schützen Grundrechte, reduzieren systemische Risiken und schaffen Rechtssicherheit für Anbieter, Betreiber und Behörden in der EU und dem EWR.

Wer fällt unter die Pflichten der Verordnung auf nationaler Ebene?

Verpflichtet sind Anbieter, Betreiber, Einführer, Händler und Produkthersteller, die KI‑Systeme in Verkehr bringen oder betreiben. Auch außereuropäische Anbieter mit Auswirkungen in der EU müssen Anforderungen erfüllen und sich gegebenenfalls registrieren.

Wie werden Hochrisiko‑Systeme definiert und eingestuft?

Hochrisiko‑Systeme sind Anwendungen, die wesentliche Entscheidungen oder Umgebungen beeinflussen, etwa in Gesundheitswesen, Verkehr oder Justiz. Die Einstufung folgt festgelegten Kriterien, einer Liste und einer Risikoanalyse durch nationale Behörden und die EU.

Welche Pflichten gelten für Hochrisiko‑KI‑Systeme?

Anbieter müssen Risikomanagement, Daten‑Governance, Robustheit, Genauigkeit, Cybersicherheit und technische Dokumentation sicherstellen. Außerdem gelten Konformitätsbewertungen, CE‑Kennzeichnung, Registrierung in der EU‑Datenbank sowie Aufzeichnungs‑ und Überwachungs‑pflichten.

Was ist eine Grundrechte‑Folgenabschätzung und wann ist sie nötig?

Die Folgenabschätzung bewertet, wie ein System die Grundrechte von Personen beeinträchtigen kann. Sie ist verpflichtend für Hochrisiko‑Systeme und unterstützt Entscheider bei Maßnahmen zur Minimierung von Schäden.

Welche Praktiken sind verboten?

Unzulässige Praktiken umfassen Social Scoring, Predictive Policing in diskriminierender Form, biometrische Fernidentifizierung in Echtzeit ohne Rechtsgrundlage und andere Maßnahmen mit intolerablem Risiko.

Wie wird die Konformität von KI‑Systemen geprüft?

Konformitätsbewertung erfolgt intern oder durch benannte Stellen, je nach Risikoklasse. Ergebnis kann CE‑Kennzeichnung und Eintrag in die EU‑Datenbank sein. Technische Dokumentation und Audit‑Spuren sind erforderlich.

Welche Anforderungen gelten für Modelle mit allgemeinem Verwendungszweck (GPAI)?

GPAI‑Anbieter müssen systemische Risiken bewerten, Transparenz‑ und Sicherheitsmaßnahmen implementieren sowie Pflichten gegenüber bevollmächtigten Stellen erfüllen. Die Kommission veröffentlicht Leitlinien und Kodizes zur Umsetzung.

Welche Rolle spielen nationale Behörden und das europäische Gremium?

Nationale Behörden überwachen Marktüberwachung, Durchsetzung und Meldepflichten für schwerwiegende Vorfälle. Ein EU‑Gremium und ein wissenschaftliches Gremium beraten zu Leitlinien, Liste hochriskanter Anwendungen und einheitlicher Auslegung.

Was müssen Unternehmen bei Daten‑Governance beachten?

Unternehmen sollen Datenqualität, Repräsentativität und Datenschutz sicherstellen. Dokumentation über Datenherkunft, Labeling, Tests und Monitoring reduziert Verzerrungen und stärkt Robustheit gegen Manipulation.

Wie sind die zeitlichen Meilensteine für die Umsetzung?

Viele Vorgaben traten in 2025 schrittweise in Kraft; spezifische Anforderungen für GPAI und Listen mit Hochrisiko‑Systemen wurden seither weiterentwickelt. Unternehmen sollten nationalen Zeitplänen und Meldefristen folgen.

Welche Sanktionen drohen bei Verstößen?

Verstöße können zu Geldbußen, Verkaufsverboten, Rückrufen und anderen Durchsetzungsmaßnahmen führen. Schwere oder wiederholte Verstöße gegen Schutzpflichten ziehen höhere Sanktionen nach sich.

Wie können Betriebe die menschliche Aufsicht sicherstellen?

Betriebe müssen klare Verantwortlichkeiten, Schulungen und Eingriffsmöglichkeiten für menschliche Entscheider etablieren. Systeme sollen so gestaltet sein, dass Menschen Fehlentscheidungen erkennen und korrigieren können.

Was ist die EU‑Datenbank und wozu dient sie?

Die EU‑Datenbank erfasst registrierte Hochrisiko‑Systeme und konforme Produkte. Sie dient Transparenz, Marktüberwachung und ermöglicht Behörden sowie Nutzern Einsicht in technische Angaben und Konformitätsnachweise.

Welche Empfehlungen gibt es für kleine und mittlere Unternehmen?

KMU sollten frühzeitig Risikoanalysen durchführen, einfache Dokumentations‑ und Testprozesse einführen und gegebenenfalls externe Beratung nutzen. Modularer Aufbau und Standardisierung reduzieren Aufwand und Kosten.