KI und die EU-KI-Verordnung: Was Fachkräfte wissen müssen

Am 1. August 2024 ist die EU-KI-Verordnung (Verordnung (EU) 2024/1689) in Kraft getreten — das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Für Fachkräfte in Deutschland bedeutet das: Wer KI-Systeme entwickelt, vertreibt oder auch nur beruflich einsetzt, muss die neuen Regeln kennen und einhalten. Unwissenheit schützt nicht vor Bußgeldern von bis zu 35 Millionen Euro.

Dieser Artikel erklärt Ihnen die Verordnung im Detail — praxisnah, auf Deutsch und mit konkreten Handlungsempfehlungen für Ihren Berufsalltag. Keine juristische Abhandlung, sondern das Wissen, das Sie jetzt brauchen.

Was ist die EU-KI-Verordnung und warum gibt es sie?

Die EU-KI-Verordnung (englisch: EU AI Act) ist eine europäische Verordnung, die einheitliche Regeln für die Entwicklung, den Vertrieb und den Einsatz von KI-Systemen in der gesamten Europäischen Union schafft. Anders als eine Richtlinie gilt sie unmittelbar in allen Mitgliedstaaten — auch in Deutschland — ohne dass ein nationales Umsetzungsgesetz erforderlich wäre.

Die Europäische Kommission hat den Entwurf bereits im April 2021 vorgelegt. Nach mehr als drei Jahren Verhandlungen zwischen Kommission, Europäischem Parlament und dem Rat der EU wurde die endgültige Fassung im März 2024 vom Parlament angenommen und am 12. Juli 2024 im Amtsblatt der EU veröffentlicht.

Die Ziele der Verordnung

Die EU-KI-Verordnung verfolgt drei zentrale Ziele gleichzeitig:

• Schutz der Grundrechte: KI-Systeme dürfen die in der EU-Grundrechtecharta verankerten Rechte nicht aushöhlen — insbesondere das Recht auf Privatsphäre, Nichtdiskriminierung und menschliche Würde.
• Vertrauenswürdige KI: Bürgerinnen und Bürger sowie Unternehmen sollen darauf vertrauen können, dass KI-Systeme auf dem europäischen Markt sicher und transparent funktionieren.
• Innovation ermöglichen: Die Verordnung soll keinen Innovationsstopp bewirken, sondern einen klaren Rechtsrahmen schaffen, der Investitionen und Entwicklung fördert — unter anderem durch regulatorische Sandkästen (Artikel 57-62).

Der entscheidende Punkt für Sie als Fachkraft: Die Verordnung betrifft nicht nur KI-Entwickler oder Tech-Unternehmen. Sie betrifft jeden, der KI-Systeme beruflich einsetzt — und das schließt mittlerweile nahezu alle Branchen ein.

Timeline: Wann gelten welche Regeln?

Die EU-KI-Verordnung tritt nicht auf einen Schlag in Kraft, sondern in mehreren Stufen. Dieser gestaffelte Ansatz soll Unternehmen Zeit geben, sich vorzubereiten — aber die ersten Fristen sind bereits verstrichen oder stehen unmittelbar bevor.

Die Fristen im Überblick

1. 2. Februar 2025 — Verbotene KI-Praktiken: Die Regeln zu verbotenen KI-Anwendungen (Artikel 5) gelten bereits. Wer beispielsweise Social-Scoring-Systeme nach chinesischem Vorbild einsetzt, verstößt seit diesem Datum gegen geltendes EU-Recht.
2. 2. August 2025 — Allgemeinzweck-KI-Modelle (GPAI): Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (z. B. große Sprachmodelle) müssen Transparenzpflichten erfüllen. Für Modelle mit systemischem Risiko gelten zusätzliche Anforderungen.
3. 2. Februar 2026 — KI-Kompetenzpflicht (Artikel 4): Ab diesem Datum müssen alle Unternehmen, die KI-Systeme einsetzen, sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Dies ist die Pflicht, die die meisten Fachkräfte direkt betrifft.
4. 2. August 2026 — Hochrisiko-KI-Systeme: Die vollständigen Anforderungen für hochriskante KI-Systeme (Artikel 6-49) werden durchsetzbar. Dazu gehören Risikomanagement, Datenqualität, Dokumentation, Transparenz und menschliche Aufsicht.
5. 2. August 2027 — Eingebettete hochriskante KI: Für hochriskante KI-Systeme, die als Sicherheitskomponenten in bereits regulierte Produkte eingebettet sind (z. B. Medizingeräte, Maschinen, Aufzüge), gelten die Regeln ab diesem Datum.

Wichtig: Die Frist für die KI-Kompetenzpflicht (Artikel 4) im Februar 2026 mag noch etwas entfernt erscheinen — aber die Schulung und KI-Kurse für alle betroffenen Mitarbeitenden brauchen Vorlauf. Unternehmen, die erst im Januar 2026 damit beginnen, werden es nicht rechtzeitig schaffen.

Der risikobasierte Ansatz: Vier Stufen der KI-Regulierung

Das Herzstück der EU-KI-Verordnung ist der risikobasierte Ansatz. Nicht jedes KI-System wird gleich behandelt — je höher das Risiko für Grundrechte und Sicherheit, desto strenger die Anforderungen. Diese Abstufung ist bewusst gewählt: Ein Spam-Filter unterliegt anderen Regeln als ein KI-System, das über Kreditanträge entscheidet.

Stufe 1: Verbotene KI-Praktiken (unannehmbar hohes Risiko)

Bestimmte KI-Anwendungen sind in der EU vollständig verboten, weil sie mit europäischen Werten unvereinbar sind. Dazu gehören:

• Social Scoring durch Behörden: Die Bewertung von Personen auf Grundlage ihres Sozialverhaltens, die zu ungerechtfertigter Benachteiligung führt.
• Unterschwellige Manipulation: KI-Systeme, die Techniken der unterschwelligen Beeinflussung einsetzen, um das Verhalten von Personen zu steuern und ihnen dadurch Schaden zuzufügen.
• Ausnutzung von Schwächen: KI, die gezielt die Schutzbedürftigkeit bestimmter Personengruppen (z. B. Kinder, Menschen mit Behinderung) ausnutzt.
• Biometrische Echtzeit-Fernidentifizierung: Im öffentlichen Raum durch Strafverfolgungsbehörden — mit eng definierten Ausnahmen (z. B. Terrorismusbekämpfung, Suche nach vermissten Kindern).
• Biometrische Kategorisierung: Systeme, die sensible Merkmale wie Rasse, politische Meinung, Gewerkschaftszugehörigkeit oder sexuelle Orientierung aus biometrischen Daten ableiten.
• Erstellung von Gesichtserkennungsdatenbanken: Durch ungezieltes Auslesen von Gesichtsbildern aus dem Internet oder Überwachungskameras (wie bei Clearview AI).
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen: Systeme, die behaupten, Emotionen von Beschäftigten oder Lernenden erkennen zu können — mit Ausnahmen für Sicherheits- und medizinische Zwecke.
• Predictive Policing auf Basis von Profiling: Die Risikobewertung einzelner Personen hinsichtlich der Begehung von Straftaten, allein auf Grundlage von Profiling oder Persönlichkeitsmerkmalen.

Diese Verbote gelten seit dem 2. Februar 2025. Verstöße werden mit den höchsten Bußgeldern geahndet: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Stufe 2: Hochriskante KI-Systeme

Hochriskante KI-Systeme sind erlaubt, unterliegen aber strengen Anforderungen. Die Verordnung definiert zwei Kategorien:

Kategorie 1: KI als Sicherheitskomponente in bereits regulierten Produkten — Medizingeräte, Spielzeug, Maschinen, Aufzüge, Fahrzeuge, Luftfahrt, Eisenbahnwesen. Hier müssen KI-Systeme die bestehenden Konformitätsbewertungsverfahren durchlaufen.

Kategorie 2: Eigenständige KI-Systeme in sensiblen Bereichen, definiert in Anhang III der Verordnung. Dazu gehören KI-Systeme für:

• Biometrische Identifizierung und Kategorisierung: Fernidentifizierungssysteme, die nicht unter das Verbot fallen.
• Kritische Infrastruktur: KI zur Steuerung von Wasser-, Gas-, Strom- oder Wärmeversorgung sowie Straßenverkehr.
• Bildung und Berufsausbildung: Systeme, die über Zugang zu Bildungseinrichtungen entscheiden, Prüfungen bewerten oder Lernergebnisse bestimmen.
• Beschäftigung und Personalmanagement: KI für Stellenanzeigen, Bewerbungsscreening, Beförderungsentscheidungen oder Kündigungen.
• Zugang zu wesentlichen Dienstleistungen: KI-Systeme zur Bonitätsprüfung, Kreditvergabe oder Bewertung der Anspruchsberechtigung für öffentliche Leistungen.
• Strafverfolgung: Risikobewertung für Opfer, Lügendetektoren, Beweismittelbewertung.
• Migration und Grenzkontrolle: KI zur Prüfung von Asylanträgen oder Risikobewertung an Grenzen.
• Justiz und Demokratie: KI-Systeme zur Unterstützung bei der Auslegung von Tatsachen und Rechtsvorschriften.

Für hochriskante KI-Systeme schreibt die Verordnung unter anderem vor: Risikomanagement-Systeme, Daten-Governance, technische Dokumentation, Aufzeichnungspflichten (Logging), Transparenz gegenüber Nutzern, menschliche Aufsicht, Genauigkeit und Cybersicherheit.

Stufe 3: KI-Systeme mit begrenztem Risiko — Transparenzpflichten

Bestimmte KI-Systeme müssen Transparenzanforderungen erfüllen, auch wenn sie nicht als hochriskant eingestuft werden:

• Chatbots: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren.
• Deepfakes: KI-generierte oder manipulierte Bild-, Audio- oder Videoinhalte müssen als solche gekennzeichnet werden.
• KI-generierte Texte: Wenn KI-Systeme Texte zu Themen von öffentlichem Interesse erstellen (z. B. Nachrichten), muss dies offengelegt werden — es sei denn, der Inhalt wird vor der Veröffentlichung redaktionell geprüft.
• Emotionserkennung und biometrische Kategorisierung: Betroffene Personen müssen über den Einsatz solcher Systeme informiert werden.

Stufe 4: Minimales Risiko

Die große Mehrheit der KI-Systeme — Spam-Filter, KI-gestützte Videospiele, Empfehlungsalgorithmen in Musikdiensten, einfache Textverarbeitungstools — fällt in diese Kategorie. Für sie gelten keine besonderen Pflichten aus der KI-Verordnung, obwohl die freiwillige Einhaltung von Verhaltenskodizes gefördert wird.

Wichtig: Auch bei KI-Systemen mit minimalem Risiko greift die KI-Kompetenzpflicht nach Artikel 4. Dazu gleich mehr.

Hochriskante KI in der Praxis: Konkrete Beispiele für deutsche Unternehmen

Die Theorie klingt abstrakt — aber in der Praxis setzen viele deutsche Unternehmen bereits hochriskante KI-Systeme ein, ohne sich dessen bewusst zu sein. Hier einige typische Szenarien:

Personalwesen

Wenn Ihr Unternehmen ein KI-gestütztes Bewerbermanagementsystem (ATS) verwendet, das automatisch Lebensläufe filtert oder Kandidaten rankt, handelt es sich um ein hochriskantes KI-System im Sinne des Anhangs III, Nummer 4. Das betrifft auch KI-Tools zur automatisierten Leistungsbewertung von Mitarbeitenden oder zur Unterstützung von Beförderungsentscheidungen.

Praxisbeispiel: Ein mittelständisches Unternehmen in München nutzt ein KI-Plugin für sein HR-System, das eingehende Bewerbungen automatisch in die Kategorien A, B und C einteilt. Dieses System fällt unter die Hochrisiko-Vorschriften — auch wenn das Plugin von einem Drittanbieter stammt.

Finanzdienstleistungen

KI-Systeme zur Bonitätsprüfung oder Kreditvergabe sind hochriskant. Das gilt für Banken, Versicherungen, Leasinggesellschaften und FinTechs gleichermaßen. Auch KI-basierte Betrugserkennungssysteme können je nach Einsatzkontext in diese Kategorie fallen.

Kritische Infrastruktur

Stadtwerke, Energieversorger und Verkehrsbetriebe, die KI zur Netzsteuerung, Lastverteilung oder Verkehrsflussoptimierung einsetzen, betreiben hochriskante KI-Systeme. In Deutschland betrifft das eine erhebliche Anzahl kommunaler und privater Infrastrukturbetreiber.

Bildung und Weiterbildung

Hochschulen und Weiterbildungsanbieter, die KI-Systeme für Zulassungsentscheidungen, automatisierte Prüfungsbewertungen oder individualisierte Lernpfade einsetzen, müssen die Hochrisiko-Anforderungen erfüllen. Dies wird in der deutschen Bildungslandschaft, die ohnehin stark reguliert ist, eine erhebliche Herausforderung darstellen.

Artikel 4: Die KI-Kompetenzpflicht — das betrifft jeden

Artikel 4 der EU-KI-Verordnung ist die Vorschrift mit der größten Breitenwirkung — und wird dennoch am häufigsten übersehen. Er lautet in der amtlichen Fassung:

„Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, und die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind."

Was bedeutet das konkret?

Die Pflicht gilt für jedes Unternehmen, das KI-Systeme einsetzt — unabhängig von der Risikostufe des Systems. Selbst wenn Sie nur ChatGPT, Microsoft Copilot oder ein KI-basiertes Übersetzungstool beruflich nutzen, muss Ihr Arbeitgeber sicherstellen, dass Sie die nötigen Kompetenzen dafür haben.

Die KI-Kompetenzpflicht umfasst dabei nach der Definition in Artikel 3, Nummer 56:

• Kenntnisse und Fähigkeiten: Verständnis der eingesetzten KI-Technologie, ihrer Möglichkeiten und Grenzen.
• Erfahrung: Praktische Erfahrung im Umgang mit KI-Systemen im jeweiligen beruflichen Kontext.
• Verständnis der Auswirkungen: Bewusstsein für potenzielle Risiken, ethische Fragen und die Auswirkungen von KI auf betroffene Personen.
• Kontextbezogenheit: Die Kompetenz muss zum konkreten Einsatzzweck und zur Branche passen. Ein Personaler, der KI-gestützte Recruiting-Tools nutzt, braucht andere Kompetenzen als ein Ingenieur, der KI zur Qualitätsprüfung einsetzt.

Ab wann gilt die KI-Kompetenzpflicht?

Die KI-Kompetenzpflicht gilt ab dem 2. Februar 2026. Das klingt nach ausreichend Zeit — ist es aber nicht, wenn Sie bedenken, dass:

• Zunächst eine Bestandsaufnahme aller im Unternehmen eingesetzten KI-Systeme erfolgen muss
• Für verschiedene Rollen unterschiedliche Kompetenzniveaus definiert werden müssen
• Schulungskonzepte entwickelt und umgesetzt werden müssen
• Die Schulungen durchgeführt und dokumentiert werden müssen
• Ein fortlaufendes Kompetenzmanagement etabliert werden muss

Wer sich heute noch nicht damit befasst hat, ist bereits spät dran. Die Entwicklung und Durchführung von KI-Kursen für alle Mitarbeitenden erfordert Monate an Vorbereitung.

Was passiert bei Nichteinhaltung?

Die KI-Kompetenzpflicht wird von der zuständigen nationalen Behörde überwacht. In Deutschland wird diese Rolle voraussichtlich von der Bundesnetzagentur (BNetzA) übernommen, die als nationale Marktüberwachungsbehörde vorgesehen ist. Bei systematischer Nichteinhaltung drohen Bußgelder von bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Auswirkungen auf deutsche Unternehmen

Deutschland ist die größte Volkswirtschaft der EU und zugleich ein führender KI-Standort in Europa. Die EU-KI-Verordnung trifft deutsche Unternehmen daher mit besonderer Wucht — bietet aber auch Chancen.

Der Mittelstand im Fokus

Die rund 3,5 Millionen kleinen und mittleren Unternehmen (KMU) in Deutschland stehen vor einer besonderen Herausforderung. Viele nutzen bereits KI-basierte Tools — von intelligenten CRM-Systemen über KI-gestützte Buchhaltungssoftware bis hin zu ChatGPT für die Kundenkommunikation. Doch die wenigsten haben eine systematische Übersicht über alle eingesetzten KI-Systeme, geschweige denn Schulungsprogramme für ihre Mitarbeitenden.

Die Verordnung enthält zwar Erleichterungen für KMU (Artikel 62 — bevorzugter Zugang zu regulatorischen Sandkästen), aber die Grundpflichten — insbesondere die KI-Kompetenzpflicht — gelten für alle Unternehmensgrößen gleichermaßen.

Großunternehmen und Konzerne

Für DAX-Konzerne und Großunternehmen ist die Compliance-Dimension eine andere: Sie setzen in der Regel Hunderte verschiedener KI-Systeme ein, oft über verschiedene Geschäftsbereiche und Länder hinweg. Die Herausforderung liegt hier weniger im Verständnis der Verordnung als in der systematischen Umsetzung in einer komplexen Organisation.

Viele große deutsche Unternehmen haben bereits mit dem Aufbau von KI-Governance-Strukturen begonnen — KI-Ethikräte, KI-Inventare, Schulungsprogramme. Wer noch nicht begonnen hat, muss jetzt handeln.

Start-ups und KI-Entwickler

Für deutsche KI-Start-ups ist die Verordnung Fluch und Segen zugleich. Einerseits schaffen die regulatorischen Anforderungen zusätzliche Kosten und Aufwand. Andererseits entsteht ein klarer Rechtsrahmen, der Vertrauen bei Investoren und Kunden schafft — und europäische KI-Anbieter von Wettbewerbern aus weniger regulierten Märkten differenziert.

Die regulatorischen Sandkästen, die in jedem Mitgliedstaat eingerichtet werden müssen, bieten Start-ups die Möglichkeit, innovative KI-Systeme unter Aufsicht zu testen, bevor sie die vollen Compliance-Anforderungen erfüllen müssen.

DSGVO und EU-KI-Verordnung: Zwei Regelwerke, ein Ziel

Deutsche Unternehmen kennen die Datenschutz-Grundverordnung (DSGVO) seit 2018. Die EU-KI-Verordnung tritt nun als zweites großes Regelwerk hinzu — und beide überschneiden sich erheblich, insbesondere bei KI-Systemen, die personenbezogene Daten verarbeiten.

Wo sich DSGVO und KI-Verordnung überschneiden

Die meisten KI-Systeme, die mit Menschen interagieren, verarbeiten personenbezogene Daten. Das bedeutet: Für solche Systeme gelten beide Regelwerke gleichzeitig. Die wichtigsten Überschneidungspunkte:

• Automatisierte Einzelentscheidungen: Artikel 22 DSGVO gibt betroffenen Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. Die KI-Verordnung ergänzt dies durch die Pflicht zur menschlichen Aufsicht bei hochriskanten KI-Systemen.
• Datenschutz-Folgenabschätzung: Artikel 35 DSGVO erfordert eine DSFA für bestimmte Verarbeitungen. Artikel 27 der KI-Verordnung verlangt für hochriskante KI-Systeme eine Grundrechte-Folgenabschätzung. In der Praxis werden diese beiden Bewertungen eng verzahnt sein.
• Transparenz: Sowohl die DSGVO (Artikel 13-14) als auch die KI-Verordnung fordern Transparenz gegenüber betroffenen Personen — allerdings mit unterschiedlichem Fokus. Die DSGVO betrifft die Datenverarbeitung, die KI-Verordnung das KI-System als solches.
• Datenqualität: Artikel 5 Abs. 1 lit. d DSGVO fordert Richtigkeit der Daten. Die KI-Verordnung geht weiter und verlangt für hochriskante Systeme ein umfassendes Daten-Governance-System (Artikel 10).

Der Bundesbeauftragte für den Datenschutz (BfDI)

Der BfDI wird bei der Durchsetzung der KI-Verordnung eine wichtige Rolle spielen, insbesondere an der Schnittstelle von Datenschutz und KI-Regulierung. In Erwägungsgrund 10 der KI-Verordnung wird ausdrücklich klargestellt, dass die Verordnung die DSGVO nicht einschränkt. Im Zweifelsfall gilt: Wenn die DSGVO strenger ist, hat sie Vorrang.

Für Unternehmen bedeutet das: Ihre bestehenden DSGVO-Compliance-Strukturen — Datenschutzbeauftragte, Verarbeitungsverzeichnisse, DSFA-Prozesse — sind eine wertvolle Grundlage für die KI-Compliance. Aber sie reichen allein nicht aus.

Praktische Empfehlung: Integrierter Ansatz

Statt zwei separate Compliance-Silos aufzubauen, empfiehlt sich ein integrierter Ansatz:

1. Erweitern Sie Ihr bestehendes Verarbeitungsverzeichnis um ein KI-Inventar.
2. Integrieren Sie die KI-Grundrechte-Folgenabschätzung in Ihren bestehenden DSFA-Prozess.
3. Binden Sie Ihren Datenschutzbeauftragten frühzeitig in die KI-Governance ein.
4. Schulen Sie Ihr Datenschutz-Team in KI-Regulierung — und Ihr KI-Team in Datenschutz.

Was Fachkräfte jetzt tun müssen: Konkrete Handlungsschritte

Die Verordnung wird nicht von allein umgesetzt. Fachkräfte — ob in Führungspositionen, in der IT, im Personalwesen, im Einkauf oder in operativen Rollen — müssen jetzt aktiv werden. Hier sind die wichtigsten Schritte:

1. KI-Kompetenz aufbauen

Der wichtigste und dringendste Schritt. Sie müssen verstehen:

• Was KI ist und was sie nicht ist
• Wie die KI-Systeme funktionieren, die Sie beruflich nutzen
• Welche Risiken und Grenzen diese Systeme haben
• Welche rechtlichen Rahmenbedingungen gelten
• Wie Sie KI verantwortungsvoll und effektiv einsetzen

Ein kostenloser KI-Kurs ist ein guter Einstieg, um die Grundlagen zu verstehen und Ihre KI-Kompetenz systematisch aufzubauen.

2. Bestandsaufnahme machen

Erstellen Sie eine vollständige Liste aller KI-Systeme, die in Ihrem Arbeitsbereich eingesetzt werden. Viele Mitarbeitende wissen nicht, dass sie bereits KI nutzen — Microsoft 365 Copilot, intelligente Suchfunktionen, automatisierte E-Mail-Kategorisierung, KI-basierte Übersetzungen, Chatbots im Kundenservice.

3. Risikoeinstufung vornehmen

Für jedes identifizierte KI-System: In welche Risikokategorie fällt es? Ist es verboten? Hochriskant? Muss es Transparenzpflichten erfüllen? Diese Einstufung ist die Grundlage für alle weiteren Maßnahmen.

4. Verantwortlichkeiten klären

Wer in Ihrem Unternehmen ist für KI-Compliance zuständig? Ist es der Datenschutzbeauftragte? Die IT-Abteilung? Die Geschäftsführung? In den meisten Unternehmen fehlt diese Zuordnung noch. Fordern Sie Klarheit ein.

5. Schulungen planen und dokumentieren

Die KI-Kompetenzpflicht verlangt nachweisbare Schulung. Das bedeutet: dokumentierte Schulungsmaßnahmen mit klaren Lernzielen, angepasst an die jeweilige Rolle. Ein allgemeines Webinar reicht nicht aus. Planen Sie systematische KI-Kurse, die rollenspezifisch und praxisnah sind.

Bußgelder und Durchsetzung: Die Konsequenzen bei Verstößen

Die EU-KI-Verordnung setzt auf eine dreistufige Bußgeldstruktur, die sich am DSGVO-Modell orientiert — aber in den höchsten Stufen noch darüber hinausgeht:

Bußgeldstufen

• Stufe 1 — Verbotene KI-Praktiken: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist).
• Stufe 2 — Verstoß gegen Hochrisiko-Anforderungen und andere wesentliche Pflichten: Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes.
• Stufe 3 — Falsche, unvollständige oder irreführende Angaben gegenüber Behörden: Bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes.

Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge. Für die Organe, Einrichtungen und sonstigen Stellen der Union gelten feste Obergrenzen (z. B. 1,5 Millionen Euro für Stufe 3).

Nationale Durchsetzung in Deutschland

Die Durchsetzung der KI-Verordnung liegt bei den Mitgliedstaaten. Jeder Staat muss mindestens eine Marktüberwachungsbehörde benennen. In Deutschland hat die Bundesregierung die Bundesnetzagentur (BNetzA) als zuständige Behörde vorgesehen. Die BNetzA bringt bereits Erfahrung aus der Plattformregulierung (Digital Services Act) mit.

Zusätzlich werden die Landesdatenschutzbehörden eine Rolle spielen, insbesondere bei der Überwachung von KI-Systemen, die personenbezogene Daten verarbeiten. Die genaue Aufgabenteilung zwischen BNetzA und Datenschutzbehörden wird noch konkretisiert.

Das europäische KI-Büro (AI Office)

Auf EU-Ebene hat die Europäische Kommission das KI-Büro (AI Office) eingerichtet, das die Durchsetzung koordiniert und insbesondere für die Überwachung von Allgemeinzweck-KI-Modellen zuständig ist. Das KI-Büro arbeitet eng mit den nationalen Behörden zusammen und kann selbst Untersuchungen einleiten.

Compliance-Checkliste für deutsche Unternehmen

Nutzen Sie diese Checkliste als Ausgangspunkt für Ihre KI-Compliance. Sie ersetzt keine juristische Beratung, gibt Ihnen aber eine strukturierte Übersicht über die notwendigen Schritte:

Sofortmaßnahmen (jetzt)

• KI-Inventar erstellen: Dokumentieren Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden — auch die, die von Drittanbietern stammen oder in andere Software eingebettet sind.
• Verbotene Praktiken prüfen: Stellen Sie sicher, dass kein eingesetztes System unter die verbotenen KI-Praktiken fällt. Die Frist hierfür ist bereits abgelaufen (seit 2. Februar 2025).
• Verantwortlichkeiten festlegen: Benennen Sie eine Person oder ein Team, das für KI-Compliance zuständig ist.
• Budget einplanen: KI-Compliance kostet Geld — für Schulungen, Beratung, ggf. technische Anpassungen und Dokumentation.

Kurzfristig (bis Sommer 2025)

• Risikoeinstufung abschließen: Klassifizieren Sie jedes KI-System nach den vier Risikostufen der Verordnung.
• Schulungskonzept entwickeln: Definieren Sie für jede Mitarbeitergruppe, welches Kompetenzniveau erforderlich ist, und wählen Sie geeignete Schulungsformate.
• GPAI-Pflichten prüfen: Wenn Sie Allgemeinzweck-KI-Modelle anbieten oder in Ihre Produkte integrieren, müssen die Transparenzpflichten bis August 2025 erfüllt sein.
• DSGVO-Prozesse erweitern: Integrieren Sie KI-spezifische Aspekte in Ihre bestehenden Datenschutzprozesse.

Mittelfristig (bis Februar 2026)

• KI-Kompetenzpflicht erfüllen: Alle Mitarbeitenden, die mit KI-Systemen arbeiten, müssen nachweislich geschult sein.
• Dokumentation aufbauen: Schulungsnachweise, Kompetenzbewertungen und fortlaufende Weiterbildungsmaßnahmen dokumentieren.
• Fortlaufendes Monitoring etablieren: KI-Kompetenz ist keine einmalige Angelegenheit — neue Tools, neue Risiken und neue Regelungen erfordern kontinuierliche Weiterbildung.

Langfristig (bis August 2026 und darüber hinaus)

• Hochrisiko-Compliance vollständig umsetzen: Für alle als hochriskant eingestuften KI-Systeme die Anforderungen der Artikel 6-49 erfüllen.
• Konformitätsbewertung durchführen: Je nach Systemtyp interne Kontrolle oder Bewertung durch benannte Stellen.
• Qualitätsmanagementsystem einrichten: Artikel 17 fordert ein umfassendes QMS für Anbieter hochriskanter KI-Systeme.
• Post-Market-Monitoring: Laufende Überwachung der eingesetzten hochriskanten KI-Systeme nach Markteinführung.

Die deutsche KI-Strategie und ihr Zusammenspiel mit der EU-KI-Verordnung

Deutschland verfolgt seit 2018 eine eigene KI-Strategie, die 2020 fortgeschrieben wurde. Diese Strategie setzt auf drei Säulen: KI-Forschung stärken, KI in die Anwendung bringen und einen verantwortungsvollen Rahmen schaffen. Die EU-KI-Verordnung fügt sich in diese dritte Säule ein.

Förderprogramme und Infrastruktur

Die Bundesregierung hat erhebliche Mittel in die KI-Forschung und -Anwendung investiert. Zu den wichtigsten Initiativen gehören:

• KI-Kompetenzzentren: Sechs nationale Zentren für KI-Forschung — darunter das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) sowie die Berliner, Münchner, Tübinger, Dortmunder und Dresdner KI-Cluster.
• Gaia-X: Die europäische Dateninfrastruktur-Initiative mit starker deutscher Beteiligung, die eine sichere und vertrauenswürdige Datengrundlage für KI schaffen soll.
• Förderprogramme des BMWK und BMBF: Zahlreiche Förderprogramme für KI-Anwendungen in der Wirtschaft, insbesondere für KMU.

Regulatorische Sandkästen

Artikel 57 der KI-Verordnung verpflichtet jeden Mitgliedstaat, mindestens einen regulatorischen Sandkasten einzurichten. In Deutschland wird dies voraussichtlich bei der Bundesnetzagentur angesiedelt sein. Unternehmen können in diesen Sandkästen innovative KI-Systeme unter Aufsicht entwickeln und testen — eine wichtige Möglichkeit, um Compliance-Anforderungen in der Praxis zu erproben.

Schlüsselinstitutionen: Fraunhofer, BSI und BfDI

Drei deutsche Institutionen spielen bei der Umsetzung der KI-Verordnung eine besonders wichtige Rolle:

Fraunhofer-Gesellschaft

Die Fraunhofer-Gesellschaft — Europas größte Organisation für angewandte Forschung — ist ein zentraler Akteur bei der Entwicklung von Prüf- und Testmethoden für KI-Systeme. Insbesondere das Fraunhofer IAIS (Institut für Intelligente Analyse- und Informationssysteme) hat ein umfangreiches Rahmenwerk für vertrauenswürdige KI entwickelt, das bereits vor der Verordnung entstand und nun als Referenz für die praktische Umsetzung dient.

Fraunhofer-Institute bieten zudem Schulungen und Beratung für Unternehmen an, die ihre KI-Systeme an die Anforderungen der Verordnung anpassen müssen. Für KI für Unternehmen sind diese Ressourcen eine wertvolle Ergänzung zu praxisorientierten Kursen.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das BSI ist Deutschlands nationale Cyber-Sicherheitsbehörde. Im Kontext der KI-Verordnung wird das BSI insbesondere bei den Cybersicherheitsanforderungen für hochriskante KI-Systeme (Artikel 15) eine beratende und prüfende Rolle spielen. Das BSI hat bereits einen KI-Sicherheitsleitfaden veröffentlicht und arbeitet an technischen Standards für KI-Sicherheit.

Für Unternehmen, die hochriskante KI-Systeme entwickeln oder einsetzen, sind die BSI-Empfehlungen eine wichtige Orientierungshilfe, um die Cybersicherheitsanforderungen der Verordnung zu erfüllen.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)

Der BfDI ist an der Schnittstelle von Datenschutz und KI-Regulierung ein unverzichtbarer Akteur. Der BfDI überwacht bereits die DSGVO-Compliance von KI-Systemen und wird diese Rolle unter der KI-Verordnung weiter ausbauen. Besonders relevant: Die Zusammenarbeit zwischen BfDI und BNetzA bei der Aufsicht über KI-Systeme, die personenbezogene Daten verarbeiten.

Der BfDI hat wiederholt betont, dass Datenschutz und KI-Innovation kein Widerspruch sein müssen — vorausgesetzt, Unternehmen setzen KI verantwortungsvoll ein und erfüllen ihre Pflichten aus beiden Regelwerken.

Häufige Missverständnisse über die EU-KI-Verordnung

In der Diskussion über die KI-Verordnung kursieren einige hartnäckige Irrtümer, die Sie kennen sollten:

„Das betrifft nur Tech-Unternehmen"

Falsch. Die Verordnung betrifft jeden, der KI-Systeme entwickelt, vertreibt oder einsetzt. Ein Handwerksbetrieb, der ein KI-basiertes Buchhaltungstool nutzt, fällt ebenso unter die KI-Kompetenzpflicht wie ein Softwarekonzern. Und ein Personaldienstleister, der KI-gestütztes Bewerbermanagement anbietet, muss möglicherweise Hochrisiko-Anforderungen erfüllen.

„Wir nutzen ja gar keine KI"

Das glauben viele Unternehmen — und liegen fast immer falsch. KI ist heute in unzähligen Standardsoftware-Produkten eingebettet: E-Mail-Filter, Textverarbeitung, CRM-Systeme, Buchhaltungssoftware, Kundenservice-Tools. Eine gründliche Bestandsaufnahme fördert in den meisten Unternehmen Dutzende KI-Systeme zutage.

„Die KI-Verordnung stoppt Innovation"

Die Verordnung schafft einen klaren Rahmen — gerade das fördert Innovation, weil Unternehmen Rechtssicherheit haben. Zudem enthält die Verordnung explizite Innovationsförderung durch regulatorische Sandkästen (Artikel 57-62) und Erleichterungen für KMU und Start-ups. Und ein KI-System, das europäische Standards erfüllt, hat einen Wettbewerbsvorteil auf einem Markt, der zunehmend Vertrauen und Verantwortung verlangt.

„Wir warten ab, bis es konkretere Vorgaben gibt"

Ein gefährlicher Ansatz. Die Verbote gelten bereits. Die KI-Kompetenzpflicht kommt im Februar 2026, die Hochrisiko-Anforderungen im August 2026. Wer jetzt abwartet, wird die Fristen nicht einhalten können — mit allen bußgeldrechtlichen Konsequenzen.

KI-Verordnung als Wettbewerbsvorteil

Die EU-KI-Verordnung wird oft als Belastung dargestellt. Dabei bietet sie deutschen Unternehmen einen echten strategischen Vorteil — wenn sie die Compliance aktiv angehen:

• Vertrauen als Marktvorteil: Kunden und Geschäftspartner bevorzugen zunehmend Anbieter, die nachweislich verantwortungsvoll mit KI umgehen. „KI-Verordnung-konform" wird zum Qualitätssiegel.
• Risikominimierung: Ein systematisches KI-Risikomanagement reduziert nicht nur Bußgeldrisiken, sondern auch operative Risiken durch fehlerhafte oder verzerrte KI-Systeme.
• Mitarbeiterkompetenz: Unternehmen, deren Belegschaft KI-kompetent ist, setzen KI effektiver ein — und vermeiden gleichzeitig teure Fehler.
• Exportfähigkeit: Die EU-KI-Verordnung wird — ähnlich wie die DSGVO — global Maßstäbe setzen. Wer heute EU-konform ist, ist morgen auch für andere Märkte vorbereitet.

So starten Sie: Ihr nächster Schritt

Die EU-KI-Verordnung ist keine ferne Zukunftsmusik — sie ist geltendes Recht, und die Umsetzungsfristen rücken schnell näher. Als Fachkraft haben Sie die Verantwortung, sich jetzt vorzubereiten.

Der erste Schritt ist der Aufbau Ihrer eigenen KI-Kompetenz. Verstehen Sie, was KI kann, wo ihre Grenzen liegen und wie die regulatorischen Anforderungen Ihre tägliche Arbeit betreffen. Das ist keine optionale Weiterbildung — ab Februar 2026 ist es eine gesetzliche Pflicht.

Wenn Sie einen strukturierten Einstieg suchen, der speziell für Fachkräfte in Europa konzipiert ist: Unser kostenloser KI-Kurs vermittelt Ihnen die Grundlagen der KI-Kompetenz — praxisnah, verständlich und mit direktem Bezug zur EU-KI-Verordnung. Starten Sie heute, damit Sie morgen vorbereitet sind.

Denn eines ist sicher: KI wird Ihren Beruf verändern. Die Frage ist nicht ob, sondern wie — und ob Sie vorbereitet sind, wenn es so weit ist.