Ab dem 2. August 2026 gelten europaweit neue Kennzeichnungspflichten für KI-generierte Inhalte. Unternehmen, Agenturen und sonstige Anbieter, die künstliche Intelligenz zur Erstellung oder Manipulation von Texten, Bildern, Videos oder Audioinhalten einsetzen und diese öffentlich verbreiten, müssen künftig klar und eindeutig darauf hinweisen.
Ziel der Regelung ist es, Verbraucherinnen und Verbraucher davor zu schützen, KI-Inhalte mit echten, von Menschen erzeugten Informationen zu verwechseln.
Im folgenden Beitrag erläutern wir Ihnen, wann Sie von der KI-Verordnung betroffen sind und wie Sie sich vor Sanktionen schützen.
Welche Unternehmen sind von der KI-Verordnung betroffen?
Die EU-KI-Verordnung (KI-VO) betrifft grundsätzlich alle Unternehmen, die künstliche Intelligenz entwickeln, bereitstellen oder einsetzen, sofern die KI-Systeme in der EU genutzt werden oder deren Ergebnisse Personen innerhalb der EU beeinflussen. Betroffen sind damit nicht nur IT-Unternehmen, sondern auch Betriebe, die KI etwa für Marketing, Personalplanung, Kundenkommunikation oder Content-Erstellung verwenden.
Die KI-VO unterscheidet zwischen verschiedenen rechtlichen Rollen, aus denen sich jeweils spezifische Pflichten ergeben. Diese Rollen können sich je nach Art der Nutzung ändern. Wird beispielsweise eine importierte KI-Komponente in eine eigene Software integriert und unter eigenem Namen vertrieben, gilt das Unternehmen rechtlich als Anbieter.
Anbieter entwickeln KI-Systeme selbst oder lassen sie entwickeln und bringen diese unter eigenem Namen in den Verkehr. Sie müssen unter anderem die Konformität mit der KI-VO sicherstellen, Risikobewertungen durchführen und technische Dokumentationen bereitstellen.
Betreiber nutzen KI-Systeme im Rahmen ihrer Geschäftstätigkeit. Für sie bestehen insbesondere Kennzeichnungs- und Transparenzpflichten, etwa bei KI-generierten Inhalten oder Deepfakes.
Importeure und Händler treffen ebenfalls Prüf-, Informations- und Sorgfaltspflichten.
Wichtig: Es gibt keine generelle Ausnahme für KMU. Ausgenommen ist lediglich die rein private, nicht-berufliche Nutzung sowie besondere Bereiche nach Art. 2 KI-VO.
Risikogruppen der KI-Verordnung: Welche KI-Anwendungen besonders reguliert sind
Die EU-KI-Verordnung (KI-VO) ordnet KI-Systeme sogenannten Risikogruppen zu. Maßgeblich ist dabei, welches Gefährdungspotenzial für Gesundheit, Sicherheit und Grundrechte von einer KI-Anwendung ausgeht. Je höher das Risiko, desto strenger sind die rechtlichen Anforderungen für Anbieter und Betreiber.
KI-Systeme mit unvertretbarem Risiko
Zu den unzulässigen KI-Systemen zählen insbesondere Anwendungen, die mit den Grundrechten der Europäischen Union nicht vereinbar sind. Hierzu gehören etwa Social-Scoring-Modelle, Systeme zur gezielten kognitiven oder verhaltensbezogenen Manipulation von Personen sowie Verfahren zur Emotionserkennung am Arbeitsplatz. Der Einsatz solcher KI-Anwendungen ist unionsrechtlich untersagt und seit dem 2. Februar 2025 vollständig verboten.
Hochrisiko-KI-Systeme
Als Hochrisiko-KI gelten Systeme, die einen erheblichen Einfluss auf die Gesundheit, die Sicherheit oder die Grundrechte von Personen haben. Dies betrifft insbesondere KI-Anwendungen in sensiblen Bereichen wie der Medizin, dem Verkehr, dem Personalmanagement, dem Bildungswesen oder dem Finanzsektor. Beispiele hierfür sind KI-Systeme zur Auswertung von MRT-Bildern oder zur Analyse und Bewertung von Kreditvergaben. Für den Einsatz solcher Hochrisiko-KI gelten strenge rechtliche Anforderungen, insbesondere die Durchführung umfassender Risikobewertungen, die Sicherstellung von Transparenz, eine hohe technische Robustheit sowie eine wirksame menschliche Aufsicht.
KI-Systeme mit begrenztem Risiko
Diese KI-Systeme interagieren unmittelbar mit Menschen und bergen dabei ein überschaubares Risiko. Typische Anwendungsfälle sind etwa Chatbots im Kundenservice. Für solche Systeme gelten insbesondere Transparenzpflichten: Nutzerinnen und Nutzer müssen klar und unmissverständlich darüber informiert werden, dass sie mit einer KI und nicht mit einem Menschen kommunizieren.
KI-Systeme mit minimalem Risiko
Zu dieser Kategorie zählen alltägliche KI-Anwendungen ohne relevantes Gefährdungspotenzial. Dazu gehören beispielsweise Rechtschreib- und Grammatikprüfungen, Spamfilter oder KI-gestützte Spiele. Für solche Systeme bestehen keine zusätzlichen rechtlichen Verpflichtungen; empfohlen wird lediglich die freiwillige Einhaltung von Verhaltenskodizes.
Nutzung und Integration von Basismodellen (GPAI-Systemen) nach der KI-Verordnung
Die EU-KI-Verordnung (KI-VO) enthält spezielle Regelungen für sogenannte GPAI-Systeme (General Purpose Artificial Intelligence), auch als Basismodelle bezeichnet. Dabei handelt es sich um KI-Systeme mit allgemeinem Verwendungszweck, die mit großen Datenmengen trainiert werden und sich flexibel für unterschiedliche Aufgaben einsetzen lassen. GPAI-Systeme können zudem in andere KI-Anwendungen integriert werden und dort je nach Einsatzgebiet unterschiedlichen Risikokategorien unterfallen. Ein bekanntes Beispiel für ein GPAI-System ist ChatGPT.
Die KI-VO unterscheidet zwischen GPAI ohne systemisches Risiko und GPAI mit systemischem Risiko. Letztere liegen vor, wenn ein KI-System besonders leistungsfähig ist, weit verbreitet eingesetzt wird und erhebliche Auswirkungen auf Wirtschaft, Gesellschaft oder Sicherheit haben kann. In diesen Fällen gelten erweiterte regulatorische Anforderungen.
Diese Differenzierung betrifft in erster Linie die Anbieter von GPAI-Systemen, die zusätzlichen Dokumentations-, Transparenz- und Risikominderungspflichten unterliegen können. Für Betreiber bzw. Nutzer von GPAI-Systemen – also Unternehmen, die solche KI-Modelle einsetzen oder integrieren – sieht die KI-VO keine eigenständigen Sonderpflichten vor. Maßgeblich bleiben hier die allgemeinen Rollen- und Nutzungspflichten nach der KI-VO.
Aufsicht und Sanktionen nach der KI-Verordnung
Die EU-KI-Verordnung (KI-VO) sieht eine staatliche Aufsicht über den Einsatz von KI-Systemen vor. Jeder EU-Mitgliedstaat ist verpflichtet, zuständige Aufsichtsbehörden zu benennen, bei denen mögliche Verstöße gegen die KI-VO gemeldet und verfolgt werden können.
Unternehmen müssen daher künftig mit einer behördlichen Kontrolle ihrer KI-Anwendungen rechnen. Bei Verstößen drohen empfindliche Sanktionen: Die Geldbußen können bis zu 35 Millionen Euro oder bis zu 7 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Eine frühzeitige rechtliche Prüfung des KI-Einsatzes ist daher dringend zu empfehlen.
Geltungsbeginn der KI-Verordnung und relevante Übergangsfristen
Die EU-Verordnung über Künstliche Intelligenz (KI-VO) ist seit dem 1. August 2024 formell in Kraft. Ihre praktische Anwendung erfolgt jedoch schrittweise über mehrere Jahre, um Unternehmen die notwendige Zeit zur Anpassung interner Prozesse, Systeme und Compliance-Strukturen zu geben. Maßgeblich sind dabei die folgenden Stichtage:
Ab dem 2. Februar 2025 ist der Einsatz von KI-Systemen mit unzulässigem Risiko untersagt. Dies betrifft insbesondere Anwendungen, die mit den Grundrechten der Europäischen Union unvereinbar sind. Zugleich sind Unternehmen verpflichtet sicherzustellen, dass beim Einsatz von KI-Systemen eine ausreichende Fach- und Anwendungskompetenz der beteiligten Personen vorhanden ist.
Zum 2. August 2026 treten erstmals die speziellen Regelungen für KI-Systeme mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) in Kraft. Hierunter fallen insbesondere sogenannte Basismodelle, wie sie etwa bei großen Sprachmodellen eingesetzt werden. Gleichzeitig markiert dieses Datum den Zeitpunkt, ab dem die KI-Verordnung grundsätzlich vollumfänglich anwendbar ist.
Für bestimmte Hochrisiko-KI-Systeme sieht der Gesetzgeber jedoch eine verlängerte Übergangsphase vor. Die entsprechenden Pflichten gelten in diesen Fällen erst ab dem 2. August 2027.
Eine frühzeitige rechtliche Einordnung ist empfehlenswert, um Umsetzungs- und Haftungsrisiken zu minimieren.
Was ist bei der Nutzung von KI zusätzlich zu beachten?
Neben der EU-KI-Verordnung (KI-VO) müssen Unternehmen beim Einsatz von künstlicher Intelligenz weitere rechtliche Vorgaben beachten. Besonders relevant sind das Arbeitsrecht, der Datenschutz sowie der gewerbliche Rechtsschutz (Urheber- und Markenrecht).
Im Arbeitsrecht bietet KI zahlreiche Einsatzmöglichkeiten, insbesondere im Recruiting und in der Personalverwaltung, etwa bei der Erstellung von Stellenanzeigen, der Bewerbervorauswahl oder der internen Kommunikation. Gleichzeitig bestehen Risiken nach dem Allgemeinen Gleichbehandlungsgesetz (AGG), da KI-Systeme diskriminierende Muster aus ihren Trainingsdaten übernehmen können. Eine menschliche Kontrolle der Ergebnisse ist daher unerlässlich.
Zudem begrenzt Art. 22 DSGVO den Einsatz vollständig automatisierter Entscheidungen: Personalentscheidungen dürfen nicht ausschließlich durch KI getroffen werden.
Auch Mitbestimmungsrechte des Betriebsrats können betroffen sein, etwa nach § 87 Abs. 1 Nr. 6 BetrVG, insbesondere wenn KI zur Leistungs- oder Verhaltenskontrolle eingesetzt wird.
Im Urheberrecht gilt: Rein KI-generierte Inhalte sind grundsätzlich nicht geschützt. Schutz kann jedoch entstehen, wenn KI nur unterstützend eingesetzt wird. Zusätzlich sind Nutzungsbedingungen der KI-Tools sowie mögliche Markenrechtsverletzungen zu prüfen.
Schließlich bestehen Kennzeichnungspflichten, primär bei Deepfakes oder KI-Inhalten mit Irreführungspotenzial. Eine rechtliche Prüfung ist daher empfehlenswert.
Handlungsempfehlungen für Unternehmen zum Einsatz von KI
Unternehmen sollten frühzeitig organisatorische und rechtliche Maßnahmen ergreifen, um den Anforderungen der EU-KI-Verordnung (KI-VO) gerecht zu werden. Zentrale Voraussetzung ist, dass Mitarbeitende, die KI-Systeme einsetzen oder überwachen, über ein angemessenes KI-Verständnis verfügen. Ergänzend empfiehlt sich die Einführung einer unternehmensinternen KI-Richtlinie, die insbesondere Nutzungsgrenzen, Verantwortlichkeiten und rechtliche Vorgaben klar regelt. Dabei sind bestehende Mitbestimmungsrechte des Betriebsrats zu berücksichtigen. Hier die wichtigsten Handlungsempfehlungen:
Unternehmen sollten zunächst eine umfassende Bestandsaufnahme aller eingesetzten KI-Systeme durchführen und diese den jeweiligen Risikoklassen sowie den eigenen Rollen nach der KI-Verordnung zuordnen. Darauf aufbauend ist die Umsetzung der gesetzlichen Anforderungen sicherzustellen. Insbesondere beim Einsatz von Hochrisiko-KI-Systemen bestehen umfangreiche Pflichten, etwa in Bezug auf Risikobewertungen, wirksame Kontrollmechanismen und detaillierte Dokumentationsvorgaben.
Darüber hinaus ist auf eine hohe Transparenz und eine belastbare Nachweisführung zu achten. Eine nachvollziehbare Dokumentation ist erforderlich, um die Konformität mit der KI-Verordnung im Rahmen behördlicher Prüfungen belegen zu können. Ergänzend dazu sollten Unternehmen regelmäßig Schulungen und Sensibilisierungsmaßnahmen durchführen, damit Mitarbeitende die rechtlichen und praktischen Anforderungen kennen und diese im Arbeitsalltag korrekt umsetzen.
Die KI-VO verfolgt das Ziel eines verantwortungsvollen und sicheren KI-Einsatzes. Unternehmen, die sich frühzeitig vorbereiten, reduzieren nicht nur Haftungs- und Bußgeldrisiken, sondern stärken zugleich das Vertrauen von Kunden und Geschäftspartnern.
Lassen Sie Ihren KI-Einsatz rechtlich prüfen. Gerne unterstützen wir Sie bei der Einordnung Ihrer KI-Systeme, der Erstellung einer KI-Richtlinie sowie der praxisnahen Umsetzung der KI-Verordnung. Vereinbaren Sie jetzt ein unverbindliches Beratungsgespräch.
