Zum Hauptinhalt springen
Alle Beiträge

Neue KI-Gesetze ab 2026: Was die EU-KI-Verordnung für Anbieter, Betreiber und Nutzer bedeutet

15. Juli 2026 · Matthias Tichý

Das Wichtigste in Kürze

Die EU-KI-Verordnung (KI-VO, auch „AI Act“, Verordnung (EU) 2024/1689) ist in Kraft und gilt stufenweise. 2026 ist ein Schlüsseljahr — aber anders als lange geplant: Mit dem „Digital Omnibus on AI“ (final beschlossen im Juni 2026) hat die EU die aufwendigen Hochrisiko-Pflichten auf Dezember 2027 verschoben. Einige Regeln gelten aber bereits heute — vor allem die Verbote bestimmter KI-Praktiken und die Pflicht zur KI-Kompetenz der Mitarbeitenden. Der nächste konkrete Stichtag für viele Unternehmen ist der 2. Dezember 2026 (Transparenz- und Kennzeichnungspflichten). Deutschland hat parallel sein KI-Durchführungsgesetz verabschiedet und die Bundesnetzagentur zur zentralen KI-Aufsicht gemacht. Entscheidend ist Ihre Rolle: Die Verordnung stellt sehr unterschiedliche Anforderungen an Anbieter, Betreiber, Einführer und Händler von KI — und gibt betroffenen Personen Rechte. Dieser Beitrag erklärt, was das jeweils für Sie bedeutet.

Der risikobasierte Ansatz — die vier Stufen

Die KI-Verordnung bewertet KI nicht pauschal, sondern nach Risiko. Je höher das Risiko, desto strenger die Pflichten: Verbotene KI (inakzeptables Risiko): komplett untersagt — z. B. Social Scoring oder manipulative Systeme. Hochrisiko-KI: erlaubt, aber streng reguliert — z. B. KI in Personalauswahl, Kreditvergabe oder kritischer Infrastruktur. KI mit Transparenzpflicht (begrenztes Risiko): erlaubt mit Kennzeichnung — z. B. Chatbots, KI-generierte Texte und Bilder, Deepfakes. Minimales Risiko: der Großteil aller KI (Spamfilter, Empfehlungssysteme, KI in Spielen) — keine besonderen Pflichten. Die meisten Unternehmen bewegen sich in den unteren beiden Stufen — geraten aber schneller in die Hochrisiko-Kategorie, als man denkt (siehe unten).

Wer ist was? Die Rollen der KI-Verordnung

Ihre Pflichten hängen davon ab, in welcher Rolle Sie KI berühren. Die Verordnung kennt im Kern vier Akteure — plus die betroffenen Personen: Anbieter (Provider): Wer ein KI-System entwickelt und unter eigenem Namen in Verkehr bringt oder in Betrieb nimmt. Trägt die meisten Pflichten. Achtung: Wer ein zugekauftes KI-System wesentlich verändert oder unter eigenem Namen anbietet, kann selbst zum Anbieter werden. Betreiber (Deployer): Wer ein KI-System beruflich/gewerblich einsetzt. Das sind die meisten Unternehmen — auch Sie, wenn Sie z. B. ein KI-Tool zur Bewerbervorauswahl oder einen KI-Assistenten nutzen. Einführer (Importeur): Wer ein KI-System aus einem Nicht-EU-Land auf den EU-Markt bringt. Muss prüfen, dass der Anbieter seine Pflichten erfüllt hat. Händler (Distributor): Wer ein KI-System in der Lieferkette bereitstellt, ohne Anbieter oder Einführer zu sein. Muss Konformitätszeichen und Dokumentation kontrollieren. Betroffene Personen: Menschen, über die oder gegenüber denen KI eingesetzt wird — Beschäftigte, Bewerber, Kunden, Bürger. Sie haben Informations- und Transparenzrechte. Merksatz: Die gleiche KI kann für den einen Anbieter- und für den anderen Betreiberpflichten auslösen. Klären Sie Ihre Rolle immer zuerst.

Häufige Frage: Wann bin ich „Betreiber“?

Betreiber sind Sie, sobald Sie ein KI-System in eigener Verantwortung beruflich einsetzen — unabhängig davon, ob Sie es selbst entwickelt haben (Art. 3 Nr. 4 KI-VO). Es geht ums Verwenden, nicht ums Bauen. Drei Merkmale: Sie verwenden ein KI-System, in eigener Verantwortung, und beruflich (nicht rein privat). Typische Beispiele, die Sie zum Betreiber machen: • KI zur Bewerbervorauswahl oder Leistungsbewertung • Kundenservice-Chatbots • KI-Assistenten wie Microsoft 365 Copilot, ChatGPT (geschäftlich), DeepL, Meeting- und Notiz-KI • KI für Texte und Bilder in Marketing und Content • Scoring, Betrugserkennung, Versicherungs-KI • KI-Videoanalyse, vorausschauende Wartung, Transkription Nicht zum Betreiber macht Sie: die rein private Nutzung; wenn Sie nur betroffene Person sind (die KI wird auf Sie angewendet, Sie setzen sie aber nicht ein); oder wenn Sie KI nur weiterverkaufen (dann Händler) bzw. aus einem Nicht-EU-Land einführen (dann Einführer). Wichtig: Betreiber zu sein bedeutet nicht automatisch viel Aufwand. Wie streng Ihre Pflichten sind, hängt von der Risikoklasse des jeweiligen Systems ab — bei den meisten Tools nur KI-Kompetenz (Art. 4) und keine verbotenen Praktiken (Art. 5), bei Chatbots und KI-Inhalten Transparenz (Art. 50), bei Hochrisiko-KI die vollen Betreiberpflichten (Art. 26). Achtung: Sie können ungewollt zum Anbieter werden (Art. 25) — mit strengeren Pflichten —, wenn Sie ein Hochrisiko-System unter eigenem Namen anbieten, es wesentlich verändern oder seinen Zweck so ändern, dass es dadurch zum Hochrisiko-System wird.

Häufige Frage: Produkt mit KI-Werkzeugen gebaut, aber ohne KI im Produkt — bin ich betroffen?

Die KI-Verordnung gilt nur für KI-Systeme. Enthält Ihr fertiges Produkt keine KI (es läuft keine KI darin), liegt es außerhalb des Anwendungsbereichs — Sie sind dafür weder Anbieter noch Betreiber eines KI-Systems. Zwei Fälle sauber getrennt: • Sie nutzen KI nur beim Entwickeln (z. B. Copilot oder ChatGPT zum Coden oder Texten), das Produkt selbst hat aber keine KI: Bezogen auf diese Werkzeuge sind Sie Betreiber — mit minimalem Risiko (nur KI-Kompetenz nach Art. 4, keine verbotenen Praktiken nach Art. 5). Ihr Produkt wird dadurch nicht zum KI-System, und Sie werden nicht zum Anbieter eines KI-Systems. • In Ihrem Produkt steckt tatsächlich KI (auch eine kleine ML-Funktion, ein Chatbot oder ein Empfehlungsmodell): Dann ist dieser Teil ein KI-System — und wenn Sie ihn unter eigenem Namen ausliefern, sind Sie insoweit Anbieter mit den entsprechenden Pflichten. Merksatz: Entscheidend ist, ob im ausgelieferten Produkt KI arbeitet — nicht, ob bei der Herstellung KI geholfen hat. „Mit KI gebaut“ ist nicht dasselbe wie „ist ein KI-System“. Andere Gesetze wie die DSGVO oder das Produktsicherheitsrecht gelten davon unabhängig weiter.

Was bedeutet das für Sie als Betreiber? (der KMU-Regelfall)

Setzen Sie KI beruflich ein, sind Sie in der Regel Betreiber. Bei KI mit geringem Risiko sind Ihre Pflichten überschaubar; bei Hochrisiko-KI greifen dagegen konkrete Betreiberpflichten (Art. 26 KI-VO): • Bestimmungsgemäße Nutzung: KI nur gemäß Gebrauchsanweisung des Anbieters einsetzen. • Menschliche Aufsicht: kompetente Personen benennen, die die KI überwachen und Entscheidungen übersteuern können. • Eingabedaten: soweit Sie diese kontrollieren, für geeignete und repräsentative Daten sorgen. • Überwachung und Meldung: den Betrieb beobachten; bei Risiken oder Vorfällen Anbieter und ggf. Behörde informieren und den Einsatz notfalls aussetzen. • Protokolle aufbewahren: automatisch erzeugte Logs sichern (soweit in Ihrer Kontrolle). • Beschäftigte informieren: Bevor Hochrisiko-KI am Arbeitsplatz eingesetzt wird, müssen Sie die betroffenen Mitarbeitenden bzw. deren Vertretung informieren (Art. 26 Abs. 7). • Betroffene informieren: Trifft oder unterstützt die KI Entscheidungen über Personen, müssen diese informiert werden (Art. 26 Abs. 11). • Datenschutz: In vielen Fällen kommt zusätzlich die DSGVO ins Spiel — bis hin zur Datenschutz-Folgenabschätzung. Wichtig: Diese Hochrisiko-Betreiberpflichten greifen erst ab Dezember 2027 (siehe Fristen). Die Verbote (Art. 5) und die KI-Kompetenz (Art. 4) gelten aber schon jetzt — auch für Betreiber.

Was bedeutet das für Anbieter und Entwickler?

Wenn Sie KI-Systeme entwickeln, unter eigenem Namen anbieten oder ein fremdes System wesentlich verändern, gelten die strengsten Pflichten (Art. 16 KI-VO) — bei Hochrisiko-KI u. a.: • ein dokumentiertes Risikomanagement über den gesamten Lebenszyklus • Daten-Governance und qualitätsgesicherte Trainingsdaten • ausführliche technische Dokumentation und automatische Protokollierung • Vorkehrungen für menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit • ein Qualitätsmanagementsystem • eine Konformitätsbewertung, eine EU-Konformitätserklärung, die CE-Kennzeichnung und die Registrierung in der EU-Datenbank Auch viele kleinere Softwarehäuser können unbemerkt zum Anbieter werden — etwa, wenn sie ein KI-Modell in ein eigenes Produkt integrieren und dieses unter eigenem Namen vertreiben. Prüfen Sie daher früh, ob Sie Anbieter- oder Betreiberpflichten haben.

Was bedeutet das für Ihre Mitarbeiter und Kunden (Nutzer und Betroffene)?

Menschen, die mit KI interagieren oder von KI-Entscheidungen betroffen sind, erhalten Rechte: • Transparenz: Wer mit einem KI-Chatbot kommuniziert, muss das erkennen können. KI-generierte Inhalte und Deepfakes müssen als solche gekennzeichnet sein (Art. 50). • Information am Arbeitsplatz: Beschäftigte müssen informiert werden, bevor Hochrisiko-KI (z. B. zur Leistungsbewertung) auf sie angewendet wird. • Information bei Entscheidungen: Wer von einer KI-gestützten Entscheidung betroffen ist (z. B. bei einer Bewerbung oder Kreditvergabe), hat Anspruch auf Information — und über die DSGVO teils auf eine Erläuterung. • Schutz vor verbotenen Praktiken: Emotionserkennung am Arbeitsplatz, manipulative Systeme oder Social Scoring sind untersagt. Für Sie als Unternehmen heißt das: Klare, ehrliche Kommunikation über KI-Einsatz schafft nicht nur Rechtssicherheit, sondern auch Vertrauen.

Die große Änderung 2026: der „Digital Omnibus“

Ursprünglich sollten die zentralen Pflichten am 2. August 2026 greifen. Nach Kritik an Aufwand und noch unfertigen Standards hat die EU die Fristen im „Digital Omnibus on AI“ entschärft (Zustimmung Europäisches Parlament am 16. Juni 2026, EU-Rat am 29. Juni 2026). Der aktuelle Fahrplan: Verbotene Praktiken (Art. 5): gelten bereits seit 2. Februar 2025. KI-Kompetenz der Mitarbeitenden (Art. 4): gilt bereits seit 2. Februar 2025. Allgemeine KI-Modelle / GPAI (Art. 51–55): gelten bereits seit 2. August 2025 — vom Omnibus nicht verändert. Transparenz- und Kennzeichnungspflichten (Art. 50): jetzt ab 2. Dezember 2026 (verschoben). Hochrisiko-KI nach Anhang III: jetzt ab 2. Dezember 2027 (verschoben, ursprünglich August 2026). Hochrisiko-KI in regulierten Produkten (Anhang I, z. B. Medizinprodukte, Maschinen): jetzt ab 2. August 2028 (verschoben). Kernbotschaft: Für die aufwendige Hochrisiko-Compliance gibt es mehr Zeit — aber „nichts tun“ ist keine Option, denn einiges gilt bereits.

Was schon heute gilt (2025/2026)

1. Verbotene KI-Praktiken (Art. 5) — seit Februar 2025. Untersagt sind u. a.: Social Scoring, manipulative oder unterschwellige Beeinflussung, das Ausnutzen von Schutzbedürftigkeit, das ungezielte Abgreifen von Gesichtsbildern für Datenbanken sowie Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit engen Ausnahmen). Diese Verbote gelten für alle Unternehmen. 2. KI-Kompetenz / „AI Literacy“ (Art. 4) — seit Februar 2025. Wer KI einsetzt, muss für ausreichende KI-Kompetenz der Mitarbeitenden sorgen. Der Digital Omnibus hat die Pflicht abgemildert: Sie müssen Maßnahmen zur Förderung der KI-Kompetenz ergreifen, aber kein bestimmtes Niveau garantieren. In der Praxis: Sensibilisierung, Schulungen und eine klare KI-Nutzungsrichtlinie. 3. Pflichten für allgemeine KI-Modelle (GPAI, Art. 51–55) — seit August 2025. Anbieter großer KI-Modelle müssen technische Dokumentation, eine Urheberrechts-Policy und Transparenzangaben bereitstellen; bei systemischen Risiken kommen weitere Pflichten hinzu. Für KMU vor allem indirekt relevant — über die genutzten KI-Dienste.

Der nächste Stichtag: 2. Dezember 2026 — Transparenz

Ab diesem Datum greifen die Transparenz- und Kennzeichnungspflichten (Art. 50). Für Betreiber besonders relevant: • KI-Chatbots: Nutzer müssen erkennen können, dass sie mit einer Maschine sprechen. • KI-generierte Inhalte: Von KI erzeugte oder bearbeitete Texte, Bilder, Audio und Video müssen maschinenlesbar gekennzeichnet werden. • Deepfakes: müssen als künstlich erzeugt oder manipuliert offengelegt werden. Gut zu wissen: Für KI-Texte, die redaktionell geprüft werden und für die eine natürliche Person die Verantwortung übernimmt, sieht Art. 50 eine Ausnahme von der Offenlegungspflicht vor. Ein transparenter Hinweis wie „mit KI-Unterstützung erstellt und redaktionell geprüft“ ist trotzdem guter Stil — und bereitet auf die neuen Pflichten vor.

Hochrisiko-KI (Anhang III) — jetzt ab Dezember 2027

Als hochriskant gelten KI-Systeme unter anderem in: Personalauswahl und -management (Bewerber-Screening, Leistungsbewertung), Kreditwürdigkeit und Scoring, Versicherungen, kritischer Infrastruktur, Bildung, Strafverfolgung und Migration. Für KMU besonders praxisrelevant: Schon ein zugekauftes KI-Tool zur Bewerbervorauswahl kann Hochrisiko sein — dann treffen Sie als Betreiber die oben beschriebenen Pflichten (Art. 26), und den Hersteller als Anbieter die Pflichten aus Art. 16. Auch wenn die Frist nun Ende 2027 ist: Solche Einsätze sollten Sie frühzeitig identifizieren, denn die Umsetzung braucht Vorlauf.

Deutschland: die Bundesnetzagentur wird KI-Aufsicht

Parallel hat Deutschland das Gesetz zur Durchführung der KI-Verordnung (KI-Durchführungsgesetz) verabschiedet (Bundesrat: 10. Juli 2026). Die Eckpunkte: • Die Bundesnetzagentur (BNetzA) wird zentrale Marktüberwachungsbehörde, soweit nicht Fachbehörden zuständig sind. • Bei der BNetzA entsteht ein Koordinierungs- und Kompetenzzentrum für die KI-Verordnung (KoKIVO) — auch als Anlaufstelle mit Informationen für Unternehmen. • Die zuständigen Behörden können Marktüberwachung betreiben: Unterlagen anfordern, Systeme testen und bei Mängeln Abhilfe verlangen. Für Unternehmen bedeutet das: Es gibt künftig klare Ansprechpartner — und eine Aufsicht mit echten Befugnissen.

Bußgelder (Art. 99)

Die Verordnung sieht empfindliche Sanktionen vor: • bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken, • bis zu 15 Mio. € oder 3 % bei Verstößen gegen sonstige Pflichten, • bis zu 7,5 Mio. € oder 1 % bei falschen oder unvollständigen Auskünften. Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge. Maßgeblich für die Höhe sind Schwere, Dauer und Art des Verstoßes.

Was Sie jetzt konkret tun sollten

1. KI-Inventar erstellen: Welche KI-Tools sind im Einsatz — auch versteckt in Standardsoftware (z. B. Microsoft 365 Copilot)? 2. Rolle je System klären: Sind Sie Anbieter oder Betreiber? Das bestimmt Ihre Pflichten. 3. Verbote prüfen: Fällt ein Einsatz unter Art. 5 (z. B. Emotionserkennung im Team)? Sofort abstellen. 4. KI-Kompetenz aufbauen: Schulungen und eine klare interne KI-Richtlinie — gilt schon heute (Art. 4). 5. Transparenz vorbereiten: Chatbots und KI-Inhalte kennzeichnen (Art. 50, ab 12/2026). 6. Hochrisiko-Einsätze identifizieren: vor allem HR- und Scoring-Tools — Frist 12/2027, Vorbereitung jetzt. 7. Lieferanten und Verträge prüfen: Bei zugekauften KI-Diensten Konformität, Dokumentation und Auftragsverarbeitung (DSGVO) klären. 8. Verantwortlichkeiten festlegen: Wer überwacht KI, wer ist Ansprechpartner für die Aufsicht?

Fazit

Die KI-Verordnung ist da — aber der Gesetzgeber hat 2026 Tempo herausgenommen: Die schwergewichtigen Hochrisiko-Pflichten kommen erst Ende 2027. Diese Atempause sollten Unternehmen nutzen, statt sie zu verschlafen. Wer jetzt sein KI-Inventar aufstellt, die Rollen klärt, Mitarbeitende schult und Transparenz schafft, ist für Dezember 2026 und 2027 gerüstet — und vermeidet teure Nachbesserungen. Gerne unterstützen wir Sie dabei, Ihre eingesetzten KI-Tools einzuordnen, Ihre Rolle je System zu bestimmen und eine pragmatische KI-Richtlinie aufzusetzen. Sprechen Sie uns an.

Rechtlicher Hinweis

Dieser Beitrag ist eine allgemeine Information nach bestem Wissen (Stand: Juli 2026) und ersetzt keine Rechtsberatung. Die Fristen und Details der KI-Verordnung wurden 2026 mehrfach angepasst (u. a. durch den Digital Omnibus). Für die verbindliche Beurteilung Ihres konkreten KI-Einsatzes wenden Sie sich bitte an eine fachkundige Rechtsberatung.

Transparenzhinweis: Die Inhalte dieses Beitrags wurden mit Unterstützung von künstlicher Intelligenz erstellt und von uns redaktionell geprüft.

MT

Matthias Tichý

IT-Berater und Gründer von IT-Service M.Tichý in Berlin-Spandau. Seit 2010 betreut er kleine und mittlere Unternehmen in Berlin und Brandenburg bei Microsoft 365, IT-Sicherheit, Backup und Managed Services.