EU-KI-Verordnung FAQ: Antworten auf 30+ häufige Fragen

Die EU-KI-Verordnung (Verordnung 2024/1689) ist das umfassendste KI-Gesetz der Welt und wirft für die Unternehmen, die sie einhalten müssen, viele praktische Fragen auf. Diese FAQ sammelt die am häufigsten gestellten Fragen zur Verordnung — vom grundlegenden Anwendungsbereich und Zeitplan bis hin zu spezifischen Pflichten für Anbieter, Betreiber und Entwickler von KI-Modellen mit allgemeinem Verwendungszweck — und liefert kurze, mit Quellenangaben versehene Antworten.

Wenn Sie zu einem Thema tiefer einsteigen möchten, verlinkt jede Antwort auf einen ausführlichen Artikel.

Anwendungsbereich und Geltung

Gilt die EU-KI-Verordnung für mein Unternehmen?

Mit hoher Wahrscheinlichkeit ja, wenn einer der folgenden Punkte zutrifft:

• Sie bringen ein KI-System auf dem EU-Markt in Verkehr, unabhängig vom Sitz (Artikel 2 Absatz 1 Buchstabe a)
• Sie nehmen ein KI-System in der EU in Betrieb (Artikel 2 Absatz 1 Buchstabe a)
• Sie sind Betreiber eines KI-Systems mit Sitz oder Standort in der EU (Artikel 2 Absatz 1 Buchstabe b)
• Sie sind Anbieter oder Betreiber außerhalb der EU, dessen KI-Output in der EU verwendet wird (Artikel 2 Absatz 1 Buchstabe c)
• Sie sind Einführer oder Händler von KI-Systemen, die auf den EU-Markt gelangen (Artikel 2 Absatz 1 Buchstaben d–e)

Der Auslöser „Output in der EU verwendet" ist weit gefasst. Ein US-Unternehmen, das ein KI-Recruiting-Tool betreibt, das Bewerber in Deutschland screent, fällt unter die Verordnung, auch wenn es keine EU-Niederlassung hat.

Gibt es Ausnahmen von der EU-KI-Verordnung?

Artikel 2 listet mehrere spezifische Ausnahmen auf:

• Nationale Sicherheit und Verteidigung: KI-Systeme, die ausschließlich für militärische, Verteidigungs- oder nationale Sicherheitszwecke verwendet werden, sind ausgenommen (Artikel 2 Absatz 3)
• Forschung und Entwicklung: KI-Systeme, die ausschließlich für wissenschaftliche Forschung und Entwicklung entwickelt werden, sind ausgenommen — jedoch nur bis sie in Verkehr gebracht oder in Betrieb genommen werden (Artikel 2 Absatz 6)
• Persönliche, nicht-berufliche Tätigkeiten: KI, die von Einzelpersonen für rein persönliche Aktivitäten genutzt wird, ist ausgenommen (Artikel 2 Absatz 10)
• Freie und quelloffene KI-Komponenten: KI-Komponenten unter Open-Source-Lizenzen sind teilweise ausgenommen, außer wenn sie als Hochrisikosysteme, verbotene Praktiken oder Systeme mit Transparenzpflichten in Verkehr gebracht oder in Betrieb genommen werden (Artikel 2 Absatz 12)

Es gibt keine Ausnahme für kleine Unternehmen. KMU und Start-ups unterliegen vollständig der Verordnung, wobei Artikel 99 Absatz 6 vorsieht, dass für sie der jeweils niedrigere der beiden Bußgeldbeträge (absolut oder prozentual) gilt.

Gilt die EU-KI-Verordnung für KI-Systeme, die bereits vor August 2024 auf dem Markt waren?

Im Wesentlichen ja, allerdings mit Übergangsfristen:

• GPAI-Modelle, die vor dem 2. August 2025 in Verkehr gebracht wurden, haben bis zum 2. August 2027 Zeit zur Anpassung
• Hochrisiko-KI-Systeme, die vor dem 2. August 2026 in Verkehr gebracht wurden, müssen die Verordnung im Allgemeinen nicht einhalten, sofern sie nach diesem Datum keine wesentlichen Änderungen erfahren (Artikel 111)
• Betreiber von Hochrisiko-KI-Systemen öffentlicher Stellen müssen Altsysteme bis zum 2. August 2030 in Konformität bringen (Artikel 111 Absatz 2)

In der Praxis sollten sich Organisationen nicht auf Bestandsschutz verlassen. Die meisten Altsysteme werden so häufig aktualisiert, dass sie irgendwann Compliance-Pflichten auslösen.

Zeitplan und Fristen

Wann gilt die EU-KI-Verordnung?

Die Verordnung folgt einem gestaffelten Zeitplan:

• 1. August 2024: Inkrafttreten
• 2. Februar 2025: Verbote für Praktiken mit unannehmbarem Risiko gelten
• 2. August 2025: GPAI-Pflichten, Governance-Bestimmungen und Sanktionsbestimmungen gelten
• 2. August 2026: Die meisten Bestimmungen gelten, einschließlich aller eigenständigen Hochrisiko-KI-System-Anforderungen nach Anhang III
• 2. August 2027: Vollständige Anwendung, einschließlich Hochrisikosystemen, die Sicherheitskomponenten von Produkten nach Anhang I sind

Wie viel Zeit habe ich noch bis zum August 2026?

Wenn Sie dies im Mai 2026 lesen, haben Sie weniger als drei Monate Zeit, bis der Großteil der Verordnung gilt. Für ein Hochrisiko-KI-System ist dieser Zeitrahmen knapp. Ein minimal lauffähiges Compliance-Programm — Risikomanagement, technische Dokumentation, Daten-Governance, Konzeption der menschlichen Aufsicht, Konformitätsbewertung — braucht in den meisten Organisationen sechs bis zwölf Monate Aufbauzeit.

Wenn Sie noch nicht begonnen haben, priorisieren Sie: (1) Bestandsaufnahme Ihrer KI-Systeme, (2) Klassifizierung jedes Systems, (3) sofortige Beendigung jeder verbotenen Praxis und (4) Aufbau einer Compliance-Roadmap für Hochrisikosysteme. Die Compliance-Checkliste für CTOs und CIOs bietet einen praktischen Ausgangspunkt.

Risikoklassifizierung

Wie erkenne ich, ob mein KI-System ein Hochrisikosystem ist?

Ein System ist ein Hochrisikosystem, wenn es einen von zwei Tests besteht:

1. Anhang-I-Test: Das System ist Sicherheitskomponente eines Produkts (oder ist selbst ein Produkt), das von einer in Anhang I gelisteten Unionsrechtsvorschrift erfasst wird (Medizinprodukte, Maschinen, Spielzeug, Automobile, Luftfahrt, Schifffahrt usw.), und das Produkt unterliegt einer Konformitätsbewertung durch Dritte.

2. Anhang-III-Test: Das System ist ein eigenständiges KI-System, das in einem von acht sensiblen Bereichen verwendet wird: Biometrie; kritische Infrastruktur; Bildung und berufliche Ausbildung; Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit; Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen; Strafverfolgung; Migration, Asyl und Grenzkontrolle; oder Rechtspflege und demokratische Prozesse.

Artikel 6 Absatz 3 hat eine wichtige Ausnahme eingeführt: Auch wenn ein System unter Anhang III fällt, ist es nicht hochriskant, wenn es kein erhebliches Schadensrisiko darstellt — etwa wenn es eine eng umrissene Verfahrensaufgabe erfüllt, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit verbessert oder Entscheidungsmuster erkennt, ohne die menschliche Entscheidungsfindung zu ersetzen. KI-Systeme, die Profiling natürlicher Personen durchführen, sind jedoch stets hochriskant.

Sind Empfehlungssysteme Hochrisikosysteme?

In den meisten Fällen nein. Standardmäßige Empfehlungssysteme für Produkte, Musik oder Inhalte werden typischerweise als minimal- oder begrenzt-riskant eingestuft. Sie werden nur in bestimmten Szenarien hochriskant — etwa wenn sie zur Zuteilung des Zugangs zu wesentlichen Dienstleistungen verwendet werden oder wenn sie in einen Hochrisiko-Anwendungsfall wie Bildung oder Beschäftigung integriert sind.

Beachten Sie, dass sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs) zusätzliche, separate Pflichten nach dem Digital Services Act (DSA) für ihre Empfehlungssysteme haben, einschließlich Transparenz- und Nutzerkontrollanforderungen.

Sind Chatbots Hochrisikosysteme?

Chatbots sind üblicherweise begrenzt-riskant, nicht hochriskant. Artikel 50 Absatz 1 verlangt, dass natürliche Personen, die mit einem Chatbot interagieren, darüber informiert werden, dass sie es mit einer KI zu tun haben, sofern dies nicht aus dem Kontext offensichtlich ist. Ein Chatbot wird nur dann zum Hochrisikosystem, wenn er in einem Hochrisiko-Anwendungsfall eingesetzt wird — beispielsweise würde ein Chatbot, der Bewerbungen vorprüft, unter Anhang III Nummer 4 (Beschäftigung) fallen und der vollen Hochrisikoregelung unterliegen.

Spezifische Pflichten

Welche Dokumentation benötige ich für ein Hochrisiko-KI-System?

Artikel 11 und Anhang IV legen die Anforderungen an die technische Dokumentation fest. Die Dokumentation muss unter anderem Folgendes umfassen:

• Eine allgemeine Beschreibung des KI-Systems, seines Verwendungszwecks und früherer Versionen
• Eine detaillierte Beschreibung der Komponenten des Systems, einschließlich Algorithmen, Datensätzen, Trainingsmethodik und Modellauswahl
• Informationen zu den Daten, einschließlich Herkunft, Umfang und Eigenschaften
• Einen Risikomanagementplan in Einklang mit Artikel 9
• Eine Beschreibung der Maßnahmen zur menschlichen Aufsicht
• Leistungsmetriken und Genauigkeitsangaben
• Cybersicherheitsmaßnahmen
• Eine Kopie der EU-Konformitätserklärung

Die Dokumentation muss über die gesamte Lebensdauer des Systems aktuell gehalten und nationalen zuständigen Behörden mindestens zehn Jahre nach dem Inverkehrbringen auf Anfrage zur Verfügung gestellt werden.

Was ist das Konformitätsbewertungsverfahren?

Die Konformitätsbewertung ist das Verfahren, mit dem ein Anbieter überprüft, ob ein Hochrisiko-KI-System die Anforderungen der Artikel 8–15 erfüllt. Für die meisten Hochrisikosysteme nach Anhang III ist das Verfahren die interne Kontrolle (Anhang VI) — der Anbieter führt die Bewertung selbst durch. Für bestimmte biometrische Systeme und für Hochrisiko-KI-Systeme, die Teil von Produkten gemäß Anhang I sind, ist eine Bewertung durch eine Drittstelle (notifizierte Stelle) erforderlich.

Nach erfolgreicher Konformitätsbewertung erstellt der Anbieter eine EU-Konformitätserklärung, bringt die CE-Kennzeichnung an und (für Anhang-III-Systeme) registriert das System in der EU-Datenbank, bevor es in Verkehr gebracht wird.

Muss ich eine Person für die KI-Compliance benennen?

Die Verordnung verlangt nicht ausdrücklich einen „Chief AI Officer", legt aber eine Reihe von Pflichten fest, die typischerweise eine benannte Verantwortlichkeit erfordern:

• Artikel 4 verlangt von Anbietern und Betreibern, ein ausreichendes Maß an KI-Kompetenz beim Personal sicherzustellen
• Artikel 22 verlangt von Nicht-EU-Anbietern die Benennung eines bevollmächtigten Vertreters in der EU
• Artikel 26 legt Betreiberpflichten fest, die einen klaren Verantwortlichen benötigen
• Artikel 17 verlangt von Anbietern die Einrichtung eines Qualitätsmanagementsystems

In der Praxis schaffen die meisten Organisationen, die unter die KI-Verordnung fallen, eine dedizierte KI-Compliance-Funktion, die häufig mit der bestehenden Funktion des Datenschutzbeauftragten (DSB) nach der DSGVO kombiniert wird.

KI mit allgemeinem Verwendungszweck (GPAI)

Was ist ein KI-Modell mit allgemeinem Verwendungszweck?

Artikel 3 Absatz 63 definiert ein GPAI-Modell als ein Modell, das erhebliche Allgemeinheit aufweist, in der Lage ist, eine breite Palette unterschiedlicher Aufgaben kompetent auszuführen — unabhängig davon, wie es in Verkehr gebracht wird — und in eine Vielzahl von nachgelagerten Systemen integriert werden kann. Große Sprachmodelle, multimodale Modelle und andere Basismodelle fallen unter diese Definition.

Was ist ein GPAI-Modell mit systemischem Risiko?

Artikel 51 Absatz 1 Buchstabe a vermutet ein systemisches Risiko, wenn die kumulative Trainings-Rechenleistung 10^25 Gleitkommaoperationen (FLOPs) überschreitet. Die Kommission kann ein Modell auch auf Grundlage anderer Kriterien — Fähigkeits-Benchmarks, Anzahl der Nutzer, Auswirkungen auf das Ökosystem usw. — als systemisch riskant einstufen (Artikel 51 Absatz 1 Buchstabe b).

Modelle mit systemischem Risiko unterliegen nach Artikel 55 zusätzlichen Pflichten: Modellevaluierung einschließlich adversarialem Testen, Minderung systemischer Risiken, Meldung schwerwiegender Vorfälle an das Büro für Künstliche Intelligenz und Cybersicherheitsmaßnahmen.

Sind Open-Source-GPAI-Modelle von der KI-Verordnung ausgenommen?

Teilweise. Artikel 53 Absatz 2 nimmt Anbieter freier und quelloffener GPAI-Modelle von einigen Transparenzpflichten aus — jedoch nur, wenn das Modell wirklich offen ist (Gewichte, Architektur und Nutzungsinformationen alle öffentlich zugänglich) und nicht entgeltlich in Verkehr gebracht wird. Die Ausnahme erstreckt sich nicht auf GPAI-Modelle mit systemischem Risiko, die unabhängig von den Lizenzbedingungen vollständig reguliert bleiben.

Die Open-Source-Ausnahme ist enger gefasst, als viele Entwickler annehmen; Feintuning, gebührenpflichtiges Hosting oder Bündelung mit kommerziellen Diensten können die Ausnahme allesamt aufheben.

DSGVO und andere Verordnungen

Wie wirkt die EU-KI-Verordnung mit der DSGVO zusammen?

Die beiden Verordnungen gelten parallel. Die DSGVO regelt die rechtmäßige Verarbeitung personenbezogener Daten; die KI-Verordnung regelt Konzeption und Einsatz von KI-Systemen. Wenn ein KI-System personenbezogene Daten verarbeitet — und das tun die meisten — gelten beide Regime gleichzeitig.

Viele Konzepte überschneiden sich, sind aber nicht identisch. Beide verlangen Risikomanagement; beide verlangen Dokumentation; beide legen Transparenzpflichten fest. Das Risikomanagement der KI-Verordnung ist jedoch systemzentriert, während das der DSGVO datenzentriert ist. Die KI-Verordnung fügt zudem Anforderungen hinzu (etwa Daten-Governance nach Artikel 10 und menschliche Aufsicht nach Artikel 14), die über die DSGVO hinausgehen.

Übersteuert die EU-KI-Verordnung die Medizinprodukte-Verordnung?

Nein. Für KI-Systeme, die als Medizinprodukte qualifiziert sind, gelten beide Regime gleichzeitig. Artikel 43 Absatz 3 der KI-Verordnung erlaubt die Integration der Konformitätsbewertung mit der MDR/IVDR-Bewertung, aber die materiellen Anforderungen beider Verordnungen müssen weiterhin erfüllt werden. Das Ergebnis ist in der Praxis ein koordiniertes, aber nicht konsolidiertes Compliance-Programm.

Wie verhält sich die EU-KI-Verordnung zum Digital Services Act (DSA)?

Der DSA legt systemische-Risiko- und Inhaltsmoderationspflichten für Vermittlungsdienste fest. Wenn ein KI-System von einer sehr großen Online-Plattform (VLOP) oder einer sehr großen Online-Suchmaschine (VLOSE) zur Steuerung ihrer Empfehlungssysteme, Inhaltsmoderation oder Werbeauslieferung verwendet wird, können sowohl DSA als auch KI-Verordnung Anwendung finden.

Durchsetzung und Sanktionen

Wer setzt die EU-KI-Verordnung durch?

Die Durchsetzung ist zwischen EU- und nationalen Behörden aufgeteilt:

• Die Europäische Kommission ist über das Büro für Künstliche Intelligenz ausschließlich für GPAI-Modellanbieter zuständig
• Nationale Marktüberwachungsbehörden in jedem Mitgliedstaat setzen die Verordnung gegenüber Anbietern und Betreibern von KI-Systemen in ihrem Hoheitsgebiet durch
• Nationale notifizierende Behörden benennen und beaufsichtigen notifizierte Stellen, die Konformitätsbewertungen durchführen
• Das Europäische Gremium für Künstliche Intelligenz koordiniert die Anwendung in den Mitgliedstaaten

Wie viel haben Unternehmen tatsächlich bisher als Strafe gezahlt?

Informationen zu konkreten Bußgeldern sind begrenzt, da die öffentliche Durchsetzung erst beginnt. Die Artikel-5-Verbote wurden im Februar 2025 anwendbar, die GPAI-Pflichten im August 2025, und die meisten Hochrisiko-Pflichten gelten noch nicht. Mit Stand Mitte 2026 haben mehrere Mitgliedstaaten Leitfäden veröffentlicht und Berichten zufolge Untersuchungen eingeleitet, die Durchsetzung verbleibt aber weitgehend auf Leitfaden- und Verwarnungsstufe. Erhebliche Bußgelder werden ab 2027 erwartet, wenn das Hochrisikoregime voll in Kraft tritt.

Kann ich für dieselbe Handlung sowohl nach der KI-Verordnung als auch nach der DSGVO mit Bußgeld belegt werden?

Grundsätzlich ja — wenn die Handlung gegen beide Verordnungen verstößt. Die beiden Regime schützen unterschiedliche Interessen (KI-Sicherheit vs. Datenschutz) und haben unterschiedliche zuständige Behörden. Mitgliedstaaten und Kommission werden voraussichtlich koordinieren, um Probleme der Doppelbestrafung (ne bis in idem) zu vermeiden, die Verordnung schließt eine parallele Durchsetzung aber nicht aus.

Praktische nächste Schritte

Was sollte ich zuerst tun, wenn mein Unternehmen KI einsetzt?

Ein praktischer Startplan in vier Schritten:

1. Bestandsaufnahme aller KI-Systeme, die Ihre Organisation entwickelt, einsetzt oder nutzt. Erfassen Sie auch Drittanbieter-Tools, in SaaS-Produkten eingebettete KI-Funktionen und interne Modelle.
2. Klassifizieren Sie jedes System gegen den Risikorahmen. Achten Sie besonders auf Systeme, die mit Biometrie, Beschäftigung, Bildung, wesentlichen Dienstleistungen, Strafverfolgung oder kritischer Infrastruktur in Berührung kommen.
3. Beheben Sie verbotene Praktiken sofort. Sie sind seit Februar 2025 durchsetzbar; jedes betroffene System sollte gestoppt, geändert oder ersetzt werden.
4. Bauen Sie eine Compliance-Roadmap für Hochrisiko- und GPAI-Systeme auf, rückwärts vom Stichtag 2. August 2026.

Wer kann mir bei der Einhaltung der EU-KI-Verordnung helfen?

Sie benötigen wahrscheinlich eine Kombination aus juristischer Beratung (für die Auslegung), internen Engineering- und Produktteams (für die technische Umsetzung) und möglicherweise einer Drittplattform, die KI-Governance unterstützt — zum Beispiel, indem revisionssichere Dokumentation, Ausführungsspuren und vertrauensmarkierte Outputs bereitgestellt werden. Die EU fördert zudem Regulierungs-Sandboxes (Artikel 57), die jeder Mitgliedstaat bis August 2026 einrichten muss, um Innovation unter Aufsicht zu unterstützen.

Fazit

Die EU-KI-Verordnung ist weitreichend, technisch und folgenreich — aber sie ist auch navigierbar. Die meisten betroffenen Organisationen können ein praktikables Compliance-Programm aufbauen, indem sie den Risikorahmen verstehen, ihre KI-Systeme dagegen abbilden, verbotene und Hochrisiko-Pflichten priorisieren und eine dauerhafte Governance aufbauen. Die Fragen in dieser FAQ sind jene, die Unternehmen am häufigsten stellen; die verlinkten Tiefenartikel beantworten sie in deutlich größerer Detailtiefe.

Wenn eine bestimmte Frage hier nicht behandelt wird, ist unser vollständiger EU-KI-Verordnung-Überblick der beste Ausgangspunkt für das vollständige regulatorische Bild.