EU KI-Verordnung

Erst verstehen, dann compliant.

Die EU-Verordnung 2024/1689 ist die erste umfassende KI-Regulierung weltweit. Sie betrifft jedes Unternehmen, das KI entwickelt, bereitstellt oder nutzt — auch wenn das „nur“ Microsoft 365 Copilot ist. Hier eine Einordnung für den Mittelstand: was die Verordnung verlangt, welche Fristen wann greifen, und was Sie jetzt konkret tun sollten.

Die vier Risikoklassen

Die Verordnung folgt einem risikobasierten Ansatz: Je höher das Risiko, desto strenger die Pflichten. Die meisten Mittelstands-Anwendungen landen in den unteren beiden Klassen — das macht den Aufwand überschaubar.

01

Inakzeptables Risiko

Verbotene KI-Praktiken.

Systeme, die eine klare Bedrohung für Sicherheit, Lebensgrundlagen und Grundrechte darstellen. Diese KI-Praktiken sind in der EU vollständig verboten.

Beispiele: Social Scoring, Emotionserkennung am Arbeitsplatz, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum, manipulative oder ausnutzende KI.

In Kraft seit 2. Februar 2025

02

Hohes Risiko

KI mit umfangreichen Pflichten.

Systeme mit schwerwiegenden Risiken für Gesundheit, Sicherheit oder Grundrechte. Sie sind erlaubt, aber strengen Anforderungen unterworfen — Risikobewertung, hochqualitative Trainingsdaten, Aktivitätsprotokollierung, technische Dokumentation, menschliche Aufsicht, Robustheit und Cybersicherheit.

Beispiele: KI für Einstellungs- und Beförderungs-Entscheidungen, Kreditwürdigkeitsprüfung, kritische Infrastruktur, Bildungsbewertung, biometrische Identifizierung.

Anwendbar ab 2. Dezember 2027 (Anhang III) bzw. 2. August 2028 (in regulierte Produkte integrierte Systeme)

03

Begrenztes Risiko

Transparenzpflichten.

Systeme mit Transparenzrisiken — Nutzer müssen wissen, dass sie es mit einer KI zu tun haben. KI-generierte Inhalte müssen erkennbar sein, Deepfakes und öffentlichkeitsrelevante Texte deutlich gekennzeichnet werden.

Beispiele: Chatbots, KI-generierte Bilder/Videos/Texte, Deepfakes.

Anwendbar ab 2. August 2026

04

Minimales oder kein Risiko

Keine regulatorischen Vorgaben.

Die übergroße Mehrheit aller heutigen KI-Anwendungen fällt hierunter. Keine Pflichten — außer der allgemeinen Schulungspflicht nach Artikel 4 (siehe unten).

Beispiele: KI in Videospielen, Spamfilter, Empfehlungssysteme im Web-Shop.

Keine Frist relevant

Fristen im Überblick

Die Anwendungsfristen sind bewusst gestaffelt, damit Unternehmen Zeit zur Umsetzung haben. Manche Verpflichtungen gelten aber schon — insbesondere die Schulungspflicht aus Artikel 4 wird in Diskussionen oft übersehen.

2. Februar 2025

Verbotene KI-Praktiken in Kraft

Die acht inakzeptablen KI-Praktiken (Social Scoring, manipulative KI, biometrische Echtzeit-Identifizierung etc.) dürfen nicht mehr eingesetzt werden.

2. Februar 2025

Artikel 4 — KI-Kompetenzpflicht für alle

Alle Unternehmen, die KI entwickeln, bereitstellen oder nutzen, müssen sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Gilt auch für Standard-Tools wie Microsoft 365 Copilot oder ähnliche.

2. August 2025

Allgemeine KI-Modelle (GPAI)

Anbieter universeller KI-Modelle (wie GPT, Claude, Gemini) sind seither verpflichtet zu Transparenz, Urheberrechtsbestimmungen und Risikobeurteilung systemischer Risiken.

2. August 2026

Transparenzpflichten + Governance

Pflichten für KI mit begrenztem Risiko greifen — Kennzeichnung von Chatbots, Deepfakes und KI-generierten Inhalten. Nationale Aufsichtsbehörden sind eingerichtet.

2. Dezember 2027

Hochrisiko-KI nach Anhang III

Vollständige Konformitätspflichten für Hochrisiko-Systeme in Bereichen wie HR-Screening, Kreditwürdigkeit, Bildung, kritische Infrastruktur. Ursprünglich für August 2026 geplant, wurde die Frist 2026 verschoben.

2. August 2028

Hochrisiko-KI in regulierten Produkten

KI als Sicherheitskomponente in regulierten Produkten (Medizinprodukte, Maschinen, Spielzeug etc.) muss vollständig konform sein.

Was Sie jetzt tun sollten

Drei pragmatische Schritte. Keine 200-Seiten-Compliance-Strategie — sondern ein klarer Anfang, der die wichtigsten offenen Punkte adressiert.

01

Audit Ihrer Tool-Landschaft

Listen Sie alle Software auf, die Ihr Team einsetzt — auch die „klassischen" Tools wie Microsoft 365, Google Workspace, CRM- oder Recruiting-Software. Viele haben KI-Funktionen, die in Updates stillschweigend hinzukommen. Identifizieren Sie, wo Sie de facto bereits KI nutzen.

02

Risikoklassifizierung

Ordnen Sie jedes identifizierte KI-System einer der vier Risikoklassen zu. Für die meisten Mittelstands-Anwendungen ist das „minimal" oder „begrenzt" — wichtig ist, das nachvollziehbar zu dokumentieren, falls eine Aufsichtsbehörde nachfragt.

03

KI-Kompetenz aufbauen (Artikel 4)

Auch wenn Sie keine Hochrisiko-KI einsetzen: die Schulungspflicht aus Artikel 4 gilt seit Februar 2025 für alle. Dokumentieren Sie, dass Ihre Mitarbeitenden mit den eingesetzten KI-Tools sicher umgehen können.

Vertiefung

Warum die Artikel-4-Schulungspflicht praktisch jedes Unternehmen betrifft — und welche „versteckte KI“ in Standard-Tools oft übersehen wird — lesen Sie in unserem Blog-Beitrag: Muss ich Schulungen nach KI-VO Artikel 4 machen?

Compliance als Wettbewerbsvorteil.

An einem Tag verstehen Sie, was die EU KI-Verordnung für Ihr Unternehmen konkret bedeutet, klassifizieren Ihre Systeme und entwickeln einen priorisierten Maßnahmenplan — pragmatisch, ohne Compliance-Angst.

Quellen

Diese Einordnung ersetzt keine Rechtsberatung. Konkrete Compliance-Pflichten hängen von Ihrer Branche, Ihren KI-Systemen und der individuellen Risikoklassifizierung ab.

EU KI-Verordnung: Fristen und Pflichten | souveraign