Sechs Monate. Mehr Zeit bleibt nicht.
Das EU-KI-Gesetz wird am 2. August 2026 vollständig durchgesetzt. Ab diesem Datum gelten alle Pflichten für Hochrisiko-KI-Systeme. Die Strafen sind empfindlich: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Die meisten Softwareteams haben noch nicht mit der Vorbereitung begonnen. Über die Hälfte aller Organisationen hat nicht einmal eine grundlegende Inventur der KI-Systeme in ihrer Umgebung. Sie können keine Risiken klassifizieren, wenn Sie Ihre eigenen Systeme nicht kennen.
Das ist kein Zukunftsproblem. Verbotene KI-Praktiken sind seit Februar 2025 illegal. Social Scoring, biometrische Echtzeit-Überwachung im öffentlichen Raum, Ausnutzung von Schwachstellen bestimmter Gruppen: alles bereits verboten.
Was die Verordnung tatsächlich verlangt, wen sie betrifft und was Sie jetzt tun sollten.
Der Zeitplan: Was bereits gilt und was kommt
Das KI-Gesetz wird in Phasen eingeführt. Einige sind bereits aktiv.
2. Februar 2025: Verbotene KI-Praktiken wurden illegal. Kein Social Scoring. Keine ungezielten Gesichtserkennungsdatenbanken. Keine KI, die Verhalten manipuliert, um Schaden zu verursachen.
2. August 2025: Governance-Strukturen und Verhaltenskodizes etabliert. Das EU AI Office begann mit der Veröffentlichung von Leitlinien und Vorlagen.
2. August 2026: Der große Stichtag. Vollständige Anwendung aller Regeln. Hochrisiko-KI-Systeme müssen jede Anforderung erfüllen: Konformitätsbewertungen, technische Dokumentation, menschliche Aufsicht, Transparenzpflichten, EU-Datenbankregistrierung.
2. August 2027: Zusätzliche Pflichten für Hochrisiko-KI-Systeme, die in regulierte Produkte eingebettet sind (Medizinprodukte, Maschinen, Fahrzeuge).
Was als “KI-System” gilt: Breiter als gedacht
Das Gesetz definiert ein KI-System als “ein maschinenbasiertes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie arbeitet, nach der Bereitstellung Anpassungsfähigkeit aufweisen kann und aus den erhaltenen Eingaben ableitet, wie es Ausgaben erzeugt.”
Das ist breit. Es erfasst große Sprachmodelle und Computer Vision. Aber auch traditionelle Machine-Learning-Modelle, bestimmte regelbasierte Systeme und fortgeschrittene Analysetools, die Vorhersagen oder Empfehlungen generieren.
Nutzt Ihr Produkt irgendeine Form automatischer Inferenz, die Entscheidungen beeinflusst? Dann ist es wahrscheinlich erfasst.
Die vier Risikokategorien
Unannehmbares Risiko: verboten
Social Scoring. Biometrische Echtzeit-Identifizierung im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung). KI, die Alter, Behinderung oder wirtschaftliche Verwundbarkeit ausnutzt. Ungezieltes Scraping zum Aufbau von Gesichtserkennungsdatenbanken.
Seit Februar 2025 illegal. Nicht erst ab August 2026.
Hohes Risiko: umfangreiche Pflichten
Hier steckt der Großteil der Compliance-Arbeit. Hochrisiko-KI-Systeme umfassen solche, die eingesetzt werden in:
- Biometrischer Identifizierung und Kategorisierung
- Verwaltung kritischer Infrastruktur (Energie, Transport, Wasser)
- Bildung und Berufsausbildung (Zulassungen, Bewertungen)
- Beschäftigung (Rekrutierung, Leistungsbewertung, Aufgabenzuweisung)
- Zugang zu wesentlichen Dienstleistungen (Kreditwürdigkeitsprüfung, Versicherungspreisgestaltung)
- Strafverfolgung und Migration
Für diese Systeme brauchen Sie: ein Qualitätsmanagementsystem, formales Risikomanagement, technische Dokumentation, Daten-Governance, Protokollierung und Rückverfolgbarkeit, menschliche Aufsichtsmechanismen, Konformitätsbewertungen und Registrierung in der EU-KI-Datenbank.
Begrenztes Risiko: Transparenz erforderlich
KI-Systeme, die mit Menschen interagieren, Inhalte generieren oder Emotionen erkennen. Chatbots müssen klar offenlegen, dass sie KI sind. Deepfake-Inhalte brauchen maschinenlesbare Wasserzeichen. Emotionserkennungssysteme müssen Nutzer vorab informieren.
Minimales Risiko: keine besonderen Pflichten
Die meisten Geschäftsanwendungen. Spam-Filter, Bestandsoptimierung, Empfehlungssysteme für unkritische Anwendungen. Freiwillige Verhaltenskodizes werden empfohlen, sind aber nicht verpflichtend.
Anbieter vs. Betreiber: Ihre Rolle ist entscheidend
Das Gesetz unterscheidet zwischen Anbietern (die KI-Systeme entwickeln) und Betreibern (die KI-Systeme in ihrem Betrieb einsetzen).
Die meisten KMU sind Betreiber. Sie nutzen GPT-4, Claude oder ein Open-Source-Modell innerhalb ihres Produkts. Sie haben das Basismodell nicht gebaut.
Die Betreiberpflichten sind leichter, aber real. Sie müssen das System gemäß den Anweisungen des Anbieters nutzen. Menschliche Aufsicht bei Hochrisikosystemen gewährleisten. Risiken im Betrieb überwachen. Transparenz gegenüber Nutzern wahren.
Wenn Sie ein Modell feintunen oder wesentlich modifizieren, könnten Sie als Anbieter eingestuft werden. Das ist eine erhebliche Haftungsverschiebung. Kennen Sie Ihre Rolle.
KI-Kompetenz: Nicht optional
Artikel 4 verlangt, dass Organisationen sicherstellen, dass ihre Mitarbeitenden über “ausreichende KI-Kompetenz” verfügen, um KI-Systeme sachkundig zu bedienen.
Was bedeutet “ausreichend”? Das Gesetz schreibt keine Stunden oder Zertifizierungen vor. Es bedeutet: Ihr Team versteht, wie die eingesetzten KI-Systeme funktionieren, wo ihre Grenzen liegen und wie menschliche Aufsicht aufrechterhalten wird.
Für Entwicklungsteams: Verständnis von Modellverhalten, Bias-Erkennung und Fehlermodi. Für Fachanwender: Wissen, wann man KI-Ergebnissen vertraut und wann man eingreift.
Bauen Sie das in Ihr Onboarding und Ihre laufende Weiterbildung ein. Dokumentieren Sie es.
Praktische Compliance-Schritte
Schritt 1: KI inventarisieren. Jedes Modell, jedes automatisierte Entscheidungssystem, jedes KI-gestützte Feature. Erfassen Sie alles.
Schritt 2: Risiko klassifizieren. Für jedes KI-System die Risikokategorie bestimmen. Die meisten fallen unter minimales oder begrenztes Risiko. Die anderen brauchen sofortige Aufmerksamkeit.
Schritt 3: Rolle bestimmen. Sind Sie Anbieter oder Betreiber? Das bestimmt Ihre spezifischen Pflichten.
Schritt 4: Gap-Analyse. Für Hochrisikosysteme: aktuelle Dokumentation, Aufsichtsmechanismen und Protokollierung mit den Anforderungen vergleichen.
Schritt 5: Dokumentation erstellen. Technische Dokumentation muss umfassen: Zweckbestimmung, Designspezifikationen, Trainingsdaten und -methodik, Leistungskennzahlen, bekannte Einschränkungen, Anweisungen zur menschlichen Aufsicht.
Schritt 6: Aufsicht implementieren. Human-in-the-Loop oder Human-on-the-Loop für Hochrisikosysteme. Kein Häkchen auf einer Checkliste. Ein echter Mechanismus, bei dem ein Mensch verstehen, eingreifen und überstimmen kann.
Schritt 7: Protokollierung einrichten. Hochrisiko-KI-Systeme müssen automatische Logs führen. Eingaben, Ausgaben, Konfidenzwerte, Modellversion, Zeitstempel. Unveränderliche Speicherung.
Architekturmuster für Compliance
KI-Gesetz-Compliance in Ihre technische Architektur einzubauen erfordert keinen kompletten Neuaufbau. Aber gezieltes Design.
Audit-Logging-Schicht für jede KI-Inferenz. Erklärungsfähigkeiten für Hochrisikosysteme. Modell-Versionierung zur Nachverfolgung. Kill Switches für menschliches Eingreifen.
Den breiteren Compliance-Kontext finden Sie in unserem Pillar-Guide zur EU-Compliance für Softwareteams. Wenn Sie DSGVO-konforme KI-Systeme bauen, behandelt unser Architektur-Leitfaden die Datenschutzschicht.
Was passiert bei Nichteinhaltung
Die Bußgeldstruktur ist gestaffelt.
Verbotene KI-Praktiken: bis zu 35 Millionen Euro oder 7 % des globalen Umsatzes. Verstöße gegen Hochrisiko-Pflichten: bis zu 15 Millionen Euro oder 3 %. Falsche Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro oder 1 %.
Für ein KMU mit 5 Millionen Euro Jahresumsatz bedeuten 7 % stolze 350.000 Euro. Die Verordnung ist darauf ausgelegt, auf jeder Skala zu wirken.
In Deutschland werden voraussichtlich der BfDI (Bundesbeauftragte für den Datenschutz) und branchenspezifische Regulierungsbehörden durchsetzen. Sie bauen gerade Kapazitäten auf.
Warten Sie nicht auf August
Die Unternehmen, die im Juli 2026 in Panik geraten, zahlen Beraterprämien für Eilbewertungen und flicken Systeme unter Druck. Die Unternehmen, die jetzt anfangen, bauen Compliance in ihre Architektur ein, schulen ihre Teams schrittweise und begegnen der Durchsetzung mit Zuversicht.
Starten Sie mit der Inventur. Alles andere folgt daraus.
Bauen Sie mit KI? Lassen Sie uns sicherstellen, dass es von Anfang an konform ist. Wir entwerfen KI-Systeme mit den Anforderungen des EU-KI-Gesetzes direkt in der Architektur.
