EU-KI-Verordnung: Was Unternehmen über die neuen KI-Regeln wissen müssen
- von Ilona K.

Inhaltsverzeichnis
Mit der zunehmenden Verbreitung künstlicher Intelligenz (KI) entstehen neue Vorschriften, die festlegen, wie Unternehmen KI-Technologien entwickeln und nutzen dürfen. Eines der zentralen Dokumente ist die EU-KI-Verordnung (ein Gesetz der Europäischen Union zur Regulierung der Entwicklung und Nutzung von KI-Systemen, das in bestimmten Fällen auch für Unternehmen außerhalb der EU gilt). Sehen wir uns an, was sie regelt, für wen sie gilt und wie sich Unternehmen darauf vorbereiten können.
Was ist die EU-KI-Verordnung?
Die EU-KI-Verordnung ist das erste umfassende Gesetz der Europäischen Union zur Regulierung des Einsatzes künstlicher Intelligenz.
Ihr Ziel ist es, einheitliche Regeln für die Entwicklung und Nutzung von KI zu schaffen, zugleich den technologischen Fortschritt zu unterstützen und mögliche Risiken für die Gesellschaft zu mindern. Die Verordnung ist nur ein Bestandteil einer umfassenderen EU-Strategie zur Entwicklung vertrauenswürdiger und menschenzentrierter künstlicher Intelligenz. Dazu gehören der AI Continental Action Plan, das KI-Innovationspaket und der Aufbau von KI-Fabriken (Infrastruktur für die Entwicklung und Einführung künstlicher Intelligenz). Zusammen sollen diese Initiativen nicht nur Sicherheit gewährleisten und Grundrechte schützen, sondern auch Investitionen, Innovationen und die breitere Einführung von KI in der EU fördern.
Die Verordnung beruht auf einem risikobasierten Ansatz. Das bedeutet: Je höher die Wahrscheinlichkeit ist, dass ein KI-System die Sicherheit, Rechte oder Interessen von Einzelpersonen beeinträchtigt, desto strenger sind die Anforderungen, die an dieses System gestellt werden. Daher legt die KI-Verordnung keine einheitlichen Regeln für alle KI-Systeme fest. Stattdessen werden sie in vier Risikokategorien eingeteilt, für die jeweils eigene Anforderungen gelten:

1. Inakzeptables Risiko
Diese Kategorie umfasst KI-Systeme, deren Einsatz verboten ist, weil sie eine Gefahr für die Sicherheit oder grundlegende Menschenrechte darstellen. Dazu zählen etwa Systeme zur sozialen Bewertung, Technologien, die KI nutzen, um menschliches Verhalten zu manipulieren oder Schwachstellen von Menschen auszunutzen, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie bestimmte Arten biometrischer Identifizierung im öffentlichen Raum. Das Verbot solcher Praktiken trat im Februar 2025 in Kraft.
2. Hohes Risiko
Diese Kategorie umfasst KI-Systeme, die das Leben von Menschen erheblich beeinflussen können, etwa Lösungen in den Bereichen Bildung, Gesundheitswesen, Beschäftigung, kritische Infrastruktur, Strafverfolgung, Migration und Kreditwürdigkeitsprüfung.
Für solche Systeme legt die KI-Verordnung die strengsten Anforderungen fest. Dazu gehören Risikomanagement, die Verwendung hochwertiger Daten, die Führung technischer Dokumentation, die Gewährleistung menschlicher Aufsicht sowie die Erfüllung von Anforderungen an Zuverlässigkeit, Genauigkeit und Cybersicherheit.

3. Begrenztes Risiko
In dieser Kategorie steht die Transparenz beim Einsatz von KI im Mittelpunkt. Nutzer sollten beispielsweise erkennen können, wenn sie mit einem KI-System wie einem Chatbot interagieren. Außerdem müssen bestimmte mithilfe von KI erstellte Inhalte, darunter Deepfakes, entsprechend gekennzeichnet werden. Die meisten Transparenzanforderungen gelten ab August 2026.
4. Minimales oder kein Risiko
Die meisten KI-Anwendungen fallen in diese Kategorie. Dazu gehören Spamfilter, KI in Videospielen und viele andere alltägliche Werkzeuge. Für diese Anwendungen legt die KI-Verordnung keine zusätzlichen verpflichtenden Anforderungen fest.
Dieser Ansatz ermöglicht eine ungehinderte Entwicklung von Technologien dort, wo die potenziellen Risiken minimal sind, und schafft gleichzeitig strengere Anforderungen für KI-Anwendungsfälle, die die Sicherheit oder grundlegende Menschenrechte beeinträchtigen könnten.
Für wen gilt die EU-KI-Verordnung?

Die Anforderungen der KI-Verordnung gelten nicht ausschließlich für Unternehmen, die LLMs oder andere KI-Systeme entwickeln. In der Praxis kann das Gesetz einen deutlich größeren Kreis von Organisationen betreffen, da KI bereits Bestandteil vieler digitaler Produkte und Geschäftsprozesse ist.
Unternehmen können KI sowohl intern als auch über Lösungen von Drittanbietern nutzen, die in Websites, Produkte oder interne Systeme integriert sind. Dazu kann ein Chatbot im Kundendienst gehören, der Kundenfragen beantwortet, ein Empfehlungssystem, das Nutzern hilft, das passende Produkt oder die passende Dienstleistung zu finden, ein Werkzeug zur Inhaltserstellung oder eine Lösung zur Analyse verdächtiger Aktivitäten.
Die bloße Nutzung von KI bedeutet nicht automatisch, dass ein Unternehmen allen Anforderungen der EU-KI-Verordnung unterliegt. Die Pflichten hängen davon ab, welche Rolle die Organisation beim Einsatz von KI spielt, welches konkrete Werkzeug verwendet wird und ob es in Kategorien fällt, die durch das Gesetz reguliert werden.
Warum das für internationale Unternehmen wichtig ist
Ein zentrales Merkmal der EU-KI-Verordnung ist ihre extraterritoriale Anwendung.
Wenn eine Organisation Nutzern in der Europäischen Union Waren oder Dienstleistungen anbietet oder die Ergebnisse ihrer KI-Systeme in der EU verwendet werden, können bestimmte Bestimmungen des Gesetzes für dieses Unternehmen gelten – unabhängig davon, in welchem Land es gegründet wurde.
Deshalb stößt die KI-Verordnung bereits weit über den europäischen Markt hinaus auf Interesse.
Ein internationales Unternehmen kann KI einsetzen, um den Kundendienst zu automatisieren, Kundenanfragen zu bearbeiten oder Dienstleistungen zu personalisieren. Wenn Kunden in EU-Ländern diese Funktionen nutzen, sollte das Unternehmen prüfen, welche gesetzlichen Anforderungen speziell für diese KI-Anwendungsfälle gelten können.
Das bedeutet nicht, dass jedes Unternehmen, das mit europäischen Kunden arbeitet, automatisch alle Bestimmungen der KI-Verordnung erfüllen muss. Das neue Gesetz allein deshalb zu ignorieren, weil das Unternehmen außerhalb der Europäischen Union registriert ist, ist jedoch keine Option mehr.
Warum das für die Domainbranche wichtig ist
Auch die Domainbranche setzt KI aktiv ein.
Heute hilft KI Nutzern dabei, verfügbare Domainnamen zu finden, schlägt auf Grundlage von Schlüsselwörtern oder Projektbeschreibungen Alternativen vor, automatisiert den Kundendienst und analysiert Kundenanfragen.
Künstliche Intelligenz wird auch eingesetzt, um die Sicherheit zu verbessern. Algorithmen können verdächtige Registrierungen erkennen, atypische Aktivitäten analysieren oder dabei helfen, Domains zu identifizieren, die möglicherweise für Phishing und sonstigen Missbrauch genutzt werden.
Solche Szenarien zeigen, wie eng KI bereits in die moderne Domainbranche integriert ist.
Wenn solche Dienste Nutzern in der Europäischen Union zur Verfügung stehen, sollten Unternehmen im Voraus prüfen, ob bestimmte Anforderungen der EU-KI-Verordnung für die von ihnen eingesetzten KI-Werkzeuge gelten.
Was Unternehmen jetzt tun sollten
Unternehmen sollten sorgfältig prüfen, wie sie KI in ihren Abläufen nutzen. Eine solche Analyse kann ihnen helfen zu verstehen, welche gesetzlichen Bestimmungen für ihre Organisation relevant sein können und welche Schritte künftig erforderlich sein könnten:
- Erstellen Sie eine Liste der im Unternehmen verwendeten KI-Werkzeuge, einschließlich integrierter Funktionen von Drittanbieterdiensten, Chatbots, Automatisierungswerkzeugen und Lösungen zur Datenanalyse.
- Bestimmen Sie die Rolle des Unternehmens in Bezug auf jede KI-Lösung, also ob es ein eigenes KI-System entwickelt, ein bestehendes Werkzeug in sein Produkt integriert oder es nur für interne Prozesse nutzt.
- Bewerten Sie den Zweck der eingesetzten KI-Systeme und stellen Sie fest, ob sie in Kategorien fallen, für die die KI-Verordnung zusätzliche Anforderungen festlegt.
- Wenn das Unternehmen unter die KI-Verordnung fällt, prüfen Sie, welche Beschäftigten mit KI-Werkzeugen arbeiten, und stellen Sie sicher, dass sie über das gesetzlich erforderliche Maß an KI-Kompetenz verfügen.
- Beobachten Sie regulatorische Entwicklungen, einschließlich möglicher Änderungen von Fristen und Anforderungen im Rahmen der Initiative „Digital Omnibus“.
Diese erste Bewertung kann dem Unternehmen helfen zu verstehen, welche Bestimmungen der KI-Verordnung für es relevant sein können, und sich auf die künftige Anwendung der gesetzlichen Anforderungen vorzubereiten.
Der Einsatz von KI wird zu einem festen Bestandteil des digitalen Geschäfts. Unternehmen setzen KI ein, um den Kundendienst zu beschleunigen, Routineaufgaben zu automatisieren, die Sicherheit zu verbessern und ihre Dienstleistungen komfortabler zu gestalten.
Gleichzeitig ändern sich auch die Anforderungen an den Einsatz solcher Technologien.
Wann die Anforderungen der EU-KI-Verordnung in Kraft treten

Obwohl die EU-KI-Verordnung offiziell 2024 in Kraft getreten ist, werden ihre Bestimmungen schrittweise umgesetzt. Dadurch sollen Unternehmen Zeit erhalten, sich an die neuen Anforderungen anzupassen. Derzeit lassen sich fünf zentrale Etappen unterscheiden:
Februar 2025: Erste Verbote und Anforderungen an KI-Kompetenz
Die ersten Bestimmungen des Gesetzes traten am 2. Februar 2025 in Kraft.
Erstens trat ein Verbot des Einsatzes von KI-Systemen in Kraft, die als inakzeptables Risiko eingestuft werden. Dazu gehören Systeme zur sozialen Bewertung, Technologien auf Grundlage der Manipulation menschlichen Verhaltens, bestimmte Arten biometrischer Identifizierung im öffentlichen Raum und eine Reihe weiterer Praktiken, die die EU als unvereinbar mit dem Schutz grundlegender Menschenrechte ansieht.
Zweitens sollten Unternehmen, die unter die KI-Verordnung fallen, ein angemessenes Maß an KI-Kompetenz bei Beschäftigten sicherstellen, die mit künstlicher Intelligenz arbeiten. Das bedeutet keine verpflichtende Zertifizierung und keinen einheitlichen Kurs. Organisationen sollten jedoch sicherstellen, dass Beschäftigte die Möglichkeiten und Grenzen der von ihnen genutzten KI-Systeme verstehen, sich der damit verbundenen Risiken bewusst sind und solche Werkzeuge verantwortungsvoll einsetzen können. Bei der Bewertung werden die Rolle der Beschäftigten, die Besonderheiten der eingesetzten KI-Lösungen und der Kontext ihrer Nutzung berücksichtigt.
August 2025: Regeln für KI-Modelle mit allgemeinem Verwendungszweck
Die nächste Etappe begann am 2. August 2025, als Anforderungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) zu gelten begannen, zum Beispiel für große Sprachmodelle (LLMs), die für ein breites Spektrum von Aufgaben eingesetzt werden können.
Für Anbieter solcher Modelle sieht das Gesetz Pflichten zur Erstellung technischer Dokumentation, zur Einhaltung urheberrechtlicher Anforderungen, zur Gewährleistung ausreichender Transparenz und – bei den leistungsfähigsten Modellen – zum Management systemischer Risiken vor.
Für die meisten Unternehmen, die lediglich fertige KI-Dienste nutzen, hat diese Etappe eher mittelbare Bedeutung. Diese Anforderungen gelten jedoch für Entwickler und Anbieter der grundlegenden KI-Modelle, auf denen viele moderne Dienste aufbauen.
August 2026: Zentrale Anforderungen für Unternehmen
Der wichtigste Meilenstein für die meisten Unternehmen wird der 2. August 2026 sein.
An diesem Datum wird ein erheblicher Teil der Bestimmungen der KI-Verordnung anwendbar, darunter Anforderungen an Hochrisiko-KI-Systeme, Pflichten der Marktteilnehmer, Transparenzregeln und Befugnisse der Aufsichtsbehörden.
Konkret treten Anforderungen für Hochrisiko-KI-Systeme in Kraft, darunter:
- Risikomanagement über den gesamten Lebenszyklus des Systems hinweg;
- Sicherstellung der Qualität der Daten, die für das Training und den Betrieb der KI verwendet werden;
- Führung technischer Dokumentation;
- Protokollierung von Ereignissen, um die Nachvollziehbarkeit des Systembetriebs zu gewährleisten;
- menschliche Aufsicht über den KI-Betrieb;
- Einhaltung von Anforderungen an Genauigkeit, Zuverlässigkeit und Cybersicherheit.
In diesem Zeitraum werden auch viele Transparenzanforderungen gelten. So sollten Nutzer etwa informiert werden, wenn sie mit einem KI-System wie einem Chatbot interagieren, und bestimmte KI-generierte Inhalte, darunter Deepfakes, müssen entsprechend gekennzeichnet werden.
August 2027: KI in regulierten Produkten
Die nächste Etappe der Umsetzung der KI-Verordnung beginnt am 2. August 2027. Ab dann gilt das Gesetz für KI-Systeme, die Sicherheitskomponenten von Produkten sind, die bereits durch EU-Recht reguliert werden. Das betrifft beispielsweise Medizinprodukte, Maschinen, Fahrzeuge und andere Produkte, bei denen künstliche Intelligenz die Nutzungssicherheit beeinflusst.
Ende 2030: Ende der Übergangsfrist
Die letzte Etappe der Umsetzung der KI-Verordnung endet am 31. Dezember 2030. Bis zu diesem Datum müssen bestimmte große Informationssysteme der Europäischen Union, die in Anhang X der KI-Verordnung aufgeführt sind (eine Liste bestimmter großer EU-Informationssysteme, für die das Gesetz eine längere Übergangsfrist bis zur vollständigen Einhaltung der Verordnung vorsieht), den gesetzlichen Anforderungen entsprechen.
Für die meisten Unternehmen bringt dieses Datum keine neuen Pflichten mit sich, schließt aber die stufenweise Umsetzung des Gesetzes ab. Die Europäische Kommission erörtert derzeit die Initiative Digital Omnibus (ein Paket gesetzlicher Änderungen, das darauf abzielt, die digitale Regulierung in der EU zu vereinfachen und zu harmonisieren sowie den Verwaltungsaufwand für Unternehmen zu verringern), die vorschlägt, das Inkrafttreten bestimmter Anforderungen für Hochrisiko-KI-Systeme vorläufig bis Ende 2027 zu verschieben.
Diese Änderungen wurden jedoch noch nicht angenommen. Unternehmen wird daher empfohlen, sich am aktuellen Zeitplan zur Umsetzung der KI-Verordnung zu orientieren und die Vorbereitung nicht in Erwartung möglicher Änderungen aufzuschieben.
Sich auf neue Anforderungen vorzubereiten, bedeutet nicht zwingend, schon heute umfassende Änderungen vorzunehmen. Zu verstehen, wo und wie KI im Unternehmen eingesetzt wird, kann jedoch helfen, potenzielle Risiken rechtzeitig einzuschätzen, unerwartete Schwierigkeiten in Zukunft zu vermeiden und sich sicherer an neue Vorschriften anzupassen.
Häufig gestellte Fragen
Gilt die EU-KI-Verordnung für Unternehmen außerhalb der Europäischen Union?
Ja. Die Verordnung hat extraterritoriale Wirkung. In bestimmten Fällen können ihre Anforderungen für Unternehmen gelten, die außerhalb der EU registriert sind, wenn sie Nutzern in der EU Produkte oder Dienstleistungen anbieten oder wenn die Ergebnisse ihrer KI-Systeme innerhalb der EU verwendet werden.
Müssen alle Unternehmen die EU-KI-Verordnung einhalten?
Nein. Die Pflichten hängen davon ab, welche Rolle das Unternehmen beim Einsatz von KI spielt, welche KI-Systeme beteiligt sind und in welche Risikokategorie sie fallen. Die bloße Nutzung von KI führt nicht automatisch dazu, dass alle Anforderungen des Gesetzes gelten.
Welche KI-Systeme werden am strengsten reguliert?
Die strengsten Anforderungen gelten für Hochrisiko-KI-Systeme. Dazu gehören Lösungen, die im Gesundheitswesen, in der Bildung, im Beschäftigungsbereich, in kritischer Infrastruktur, in der Strafverfolgung und bei der Kreditwürdigkeitsprüfung eingesetzt werden. Für solche Systeme legt die KI-Verordnung Anforderungen an Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht und Cybersicherheit fest.
Wann treten die meisten Anforderungen der EU-KI-Verordnung in Kraft?
Obwohl das Gesetz 2024 in Kraft getreten ist, werden seine Bestimmungen stufenweise umgesetzt. Eines der wichtigsten Daten ist der 2. August 2026. Dann tritt ein erheblicher Teil der Anforderungen für Unternehmen in Kraft, darunter Regeln für Hochrisiko-KI-Systeme und Transparenzanforderungen. Bestimmte Bestimmungen gelten jedoch bereits seit Februar und August 2025.
Was sollte ein Unternehmen jetzt tun?
Beginnen Sie mit einer internen Bewertung der KI-Nutzung, etwa indem Sie feststellen, welche KI-Werkzeuge im Unternehmen verwendet werden, wo sie eingesetzt werden, welche Rolle die Organisation in Bezug auf diese Systeme spielt und ob sie unter die KI-Verordnung fallen könnten. Diese Analyse kann helfen, frühzeitig zu verstehen, welche Pflichten mit dem Wirksamwerden des Gesetzes entstehen können.
Möchten Sie über Trends in der Technologiebranche auf dem Laufenden bleiben? Besuchen Sie den Blog von it.com Domains und kontaktieren Sie uns in den sozialen Medien.
Dieser Artikel wurde von einer künstlichen Intelligenz übersetzt und kann Ungenauigkeiten enthalten. Siehe das Original auf Englisch.

Auch lesen



