29.08.2025 | KI-Recht

KI-VO: Was gilt es beim Einsatz von KI zu beachten?

Künstliche Intelligenz ist längst der Innovationstreiber in Wirtschaft, Gesundheit, Verwaltung und Alltagsleben. Die Europäische Union hat auf diese rasante Entwicklung reagiert und mit der KI-Verordnung (KI-VO, EU-Verordnung 2024/1689) erstmals weltweit ein verbindliches Regelwerk geschaffen, das Standards und Pflichten für die Entwicklung, Vermarktung und Nutzung von KI setzt. Unternehmen stehen damit vor grundlegenden Änderungen und sollten frühzeitig ihre Prozesse umstellen, um rechtskonforme KI-Lösungen sicherzustellen. Als Experte für das KI-Recht zeigen wir auf, worum es geht.

Was regelt die KI-Verordnung konkret?

Die KI-VO dient in erster Linie dazu, Innovation zu ermöglichen und zugleich Grundrechte, Sicherheit und Wettbewerbsfähigkeit zu schützen. Sie gilt als EU-Verordnung seit der Veröffentlichung unmittelbar. Ein nationales Umsetzungsgesetz ist nicht erforderlich. Im Zentrum steht ein risikobasierter Ansatz, der KI-Systeme je nach Gefahrenpotenzial unterschiedlich reguliert.

Ab wann und für wen gilt die KI-VO?

Die Verordnung ist seit 1. August 2024 in Kraft und wird in drei Stufen bis 2027 in vollem Umfang verbindlich. Die Pflichten greifen je nach Stufe. Bereits seit Februar 2025 gelten erste Verbote und Anforderungen, seit Anfang August 2025 erweitern sich die Pflichten auf generalistische KI-Modelle, bis August 2027 gilt das volle Regime, unter anderem mit Registrierungspflichten und verschärften Standards für Hochrisiko-Systeme.

Wichtig: Entscheidend ist nicht, wo ein Anbieter seinen Sitz hat, sondern ob das KI-System im EU-Binnenmarkt eingesetzt, angeboten oder genutzt wird. Das betrifft auch außereuropäische Unternehmen, solange sie ihre KI-Lösungen in der EU bereitstellen.

Wann sind Unternehmen von der KI-VO betroffen?

Die KI-VO richtet sich an eine breite Gruppe:

• Anbieter (z.  Entwickler, Hersteller, Importeure)
• Betreiber (Unternehmen, die KI-Systeme intern verwenden, etwa für HR, Produktion, Kundenservice)
• Händler und Einführer (Bereitsteller, Vertreiber am europäischen Markt)
• Produkthersteller, die KI-Elemente in ihren Waren einsetzen

Nicht erfasst sind Privatpersonen oder Einrichtungen, die KI ausschließlich zu privaten oder reinen Forschungszwecken einsetzen. Auch militärische Anwendungsbereiche und bestimmte Open-Source-Projekte sind teils ausgenommen, sofern sie kein Hochrisiko darstellen.

Wie definiert die KI-VO KI-Systeme und KI-Modelle?

KI-Systeme werden als maschinengestützte Software beschrieben, die auf Basis von Dateneingaben eigenständig Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen generiert. Bekannt sind Sprachassistenten, automatisierte Übersetzungstools, Chatbots und Scoring-Anwendungen.

Unter KI-Modellen versteht man die mathematischen und programmiertechnischen Grundstrukturen, auf denen KI-Systeme basieren (etwa ein Machine-Learning-Algorithmus). Ein Modell wird durch Training an großen Datenmengen angepasst und für verschiedene Aufgaben nutzbar gemacht.

Was sind „KI-Modelle mit allgemeinem Verwendungszweck“?

Generative KI wie ChatGPT, DALL-E oder große Sprachmodelle (z. B. GPT-4) gelten als Systeme mit breiter Anwendung. Sie können nicht nur übersetzen oder Texte generieren, sondern vielfältig integriert und für verschiedenste Aufgaben eingesetzt werden – von kreativen Projekten bis zu komplexer Automatisierung in der Produktion. Die KI-VO betont, dass solche Modelle besonders beobachtet und ggf. strenger reguliert werden, falls sie systemische Risiken aufweisen.

Wie funktioniert das Risikosystem der KI-Verordnung?

Die KI-VO teilt Anwendungen in vier Stufen ein:

• Verbotene KI-Praktiken: Hierzu zählen etwa Social Scoring, Manipulation schutzbedürftiger Personen, nicht einwilligungsbasierte biometrische Überwachung oder vorausschauende Strafverfolgung. Beispiel: Eine KI, die Menschen ohne Wissen auf ihre politische Meinung scannt, ist nicht zulässig.
• Hochrisiko-KI-Systeme: Dazu gehören Anwendungen in sensiblen Bereichen: Biometrie (Gesichtserkennung), kritische Infrastruktur (Stromnetze), Personalmanagement (Einstellung/Entlassung), Bildungswesen (automatische Prüfungsbewertung), Gesundheitswesen (Diagnoseunterstützung), Finanzbranche (Kreditvergabe), Justiz, Migration oder Verwaltung. Hier gelten strengste Anforderungen. Risikomanagement, laufende Überwachung, technische Dokumentation, menschliche Überprüfbarkeit, Protokollführung, Meldepflichten und regelmäßige Kontrolle auf Diskriminierung. Beispiel: Ein Unternehmen nutzt KI zur automatisierten Vorauswahl von Bewerbern – es muss das Risiko fehlerhafter oder diskriminierender Entscheidungen bewerten und nachweisbar reduzieren.
• KI-Systeme mit begrenztem Risiko: Hier treffen Transparenzpflichten zu – Nutzer müssen aktiv informiert werden, wenn sie mit einer KI (z.  Chatbot) interagieren oder wenn KI-generierte Inhalte (Deepfakes) genutzt werden.
• Systeme mit geringem oder keinem Risiko: Für Systeme wie Spamfilter oder automatische Rechtschreibprüfung gilt keine besondere Regulierung. Unternehmen können freiwillige Verhaltenskodizes einführen.

Welche Pflichten entstehen je nach Rolle?

Die Pflichten richten sich nach der eigenen Position im Markt (Anbieter, Betreiber, Händler). Leitfäden, die Unternehmen bei Einordnung und Umsetzung helfen, erscheinen regelmäßig auf EU-Ebene. Zu den wichtigsten Pflichten und Chancen:

Für Anbieter und Entwickler:

• Durchführung des Konformitätsbewertungsverfahrens vor Markteinführung (insbesondere für Hochrisiko-KI). Das umfasst Qualitätsmanagement, Risikoanalyse (z.  bei Einsatz im Finanzbereich: Test auf Diskriminierung von Kreditbewerbern), technische Dokumentation, Protokollierung aller relevanten Systemereignisse und Maßnahmen bei erkannten Mängeln.
• Laufende technische Updates und Anpassungen, Nachweise und Bereithalten aller relevanten Dokumente für zuständige Behörden (Frist: 10 Jahre).
• Registrierung von Hochrisiko-Systemen in der EU-Datenbank.
• Einführung und Begleitung von Beobachtungsplänen zur Qualitäts- und Funktionsüberwachung über den gesamten Produktlebenszyklus.

Für Betreiber:

• Sicherstellung technischer und organisatorischer Maßnahmen nach Vorgaben des Anbieters (z.  Umsetzung von Updates, Überprüfung der Dateneingabe auf Repräsentativität und Fairness).
• Schulung des Personals im Umgang mit KI, Installation von Prozessen zur menschlichen Überwachung. Beispiel: In der medizinischen Diagnostik muss ein qualifizierter Arzt die durch KI erstellte Diagnose nachvollziehen und freigeben.
• Informationspflichten: Beschäftigte oder Kunden sind darüber zu unterrichten, wenn eine Entscheidung durch ein KI-System getroffen oder beeinflusst wird (z.  automatisierte Ablehnung eines Kreditantrags).
• Bei Verdacht auf Risiken oder Fehler: Sofortige Benachrichtigung des Anbieters, Pause der Anwendung, Zusammenarbeit mit Marktaufsichtsbehörden.
• Aufbewahrung von Systemprotokollen (Mindestfrist: 6 Monate).
• Bei Hochrisiko-Anwendungsfeldern: Durchführung von Grundrechte-Folgenabschätzungen, etwa im Finanz- oder Gesundheitssektor.

Für Händler und Einführer:

• Kontrolle der Systeme auf Einhaltung von CE-Kennzeichnung, Konformitätserklärung und Bedienungsanleitung vor Markteinführung.

Besondere Regelungen für KI-Modelle mit systemischem Risiko

Größere Modelle, die aufgrund ihrer Reichweite oder Vielseitigkeit als „systemisch riskant“ gelten, unterliegen zusätzlichen Prüf-, Melde- und Cybersecurity-Pflichten. Dazu zählen die Dokumentation und Offenlegung der Trainingsdaten, Implementierung von Risikosteuerungsinstrumenten sowie die Meldepflicht bei Vorfällen und Abhilfemaßnahmen an die Europäische Kommission.

Sanktionen und Bußgelder bei Verstößen

Die KI-VO sieht abgestufte Geldbußen vor, die nach Art, Schwere und Folgen des Verstoßes bemessen werden. Beispiele:

• Für verbotene Praktiken: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
• Für Verstöße gegen Dokumentations-, Transparenz- und Betreiberpflichten: bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes.
• Für Mängel in Auskunft und Dokumentation: bis zu 7,5 Millionen Euro oder 1 % des Jahresumsatzes.

Datenschutzrecht bleibt vollumfänglich anwendbar

Neben der KI-Verordnung bleibt die DSGVO maßgeblich. Unternehmen müssen personenbezogene Daten stets nach datenschutzrechtlichen Vorgaben verarbeiten. Bei der Nutzung von KI-Lösungen mit personenbezogenen Daten sind häufig Datenschutz-Folgenabschätzungen und die Anpassung der internen Prozesse Pflicht.

Mehr zu aktuellen KI-Gerichtsentscheidungen.

Praktische Checkliste und empfohlene Maßnahmen für Unternehmen

Um jetzt auf der sicheren Seite zu bleiben, sollten Unternehmen folgende Schritte prüfen und einleiten.

• Überprüfung und Kategorisierung der eingesetzten oder geplanten KI-Systeme (Risiko sowie Anwendungsbereich analysieren)

Jedes KI-Projekt sollte einer Ersteinstufung hinsichtlich eines Verbots, Hochrisiko, begrenztem oder geringem Risiko unterzogen werden. Bestehen Unsicherheiten in der Zuordnung, empfiehlt sich die Abstimmung mit Fachleuten und die Orientierung an den konkreten Listen und Beispielen in der KI-VO und den künftig auf EU-Ebene veröffentlichten Leitlinien.

• Technische und organisatorische Dokumentation aufbauen und pflegen

Für Hochrisiko-KI ist eine vollständige Dokumentation anzulegen. Dazu gehören ein internes Risikomanagementsystem, eine fortlaufende Aufzeichnung und Überwachung von Systemereignissen, eine aktuelle technische Betriebsanleitung und Nachweise über Datenquellen und -qualität.

Praxisbeispiel: Ein Hersteller von Medizinprodukten implementiert neben seiner Konformitätsbewertung auch eine fortlaufende Kontrolle der KI-gestützten Diagnosesoftware, vom ersten Training bis zum laufenden Einsatz im Krankenhaus.

• Personal qualifizieren und klare Zuständigkeiten benennen: Alle Beschäftigten, die mit Entwicklung, dem Betrieb oder der Pflege eines KI-Systems befasst sind, müssen im Umgang mit den neuen gesetzlichen Anforderungen geschult sein. Die KI-VO verlangt nicht nur technisches, sondern auch rechtliches Bewusstsein für Risiken und Auswirkungen, etwa im Hinblick auf Transparenz, Aufklärungspflichten, Datensicherheit und Fairness von Entscheidungen.
• Transparenzmaßnahmen und Informationspflichten erfüllen:

Nutzer und betroffene Personen, wie Kunden, Patienten oder Bewerber, müssen wissen, dass sie mit einer KI interagieren oder Entscheidungsprozesse durch eine KI beeinflusst werden. Die Pflicht zur Kennzeichnung und Erklärung gilt insbesondere bei Chatbots, Deepfakes sowie allen Anwendungen mit Entscheidungswirkung.

Praxisbeispiel: Ein Finanzdienstleister ergänzt sein Online-Kreditportal um einen deutlichen Hinweis: „Ihr Antrag wird im Rahmen eines KI-basierten Entscheidungsverfahrens geprüft.“ Gleichzeitig stellt das System verständliche Erklärungen zur Verfügung, wie die Entscheidung getroffen wurde.

• Prozesse für Überwachung, Protokollierung und Meldewesen einrichten:

Sämtliche für das Verhalten des Systems relevanten Ereignisse müssen im System protokolliert und aufbewahrt werden. Wird ein Risiko entdeckt oder eine Entscheidung angefochten, muss eine schnelle interne Abstimmung und Kommunikation mit Behörden möglich sein. Bei schwerwiegenden Vorfällen (etwa unerwartete Diskriminierung, Systemausfall mit Gesundheitsgefahr) gilt eine Meldepflicht gegenüber der Marktaufsicht.

• Datenschutz und Datengovernance absichern:

Daten, die in Training, Betrieb und Steuerung einer KI einfließen, müssen auf Qualität, Fairness und datenschutzrechtliche Zulässigkeit überprüft und dokumentiert werden. Datenschutz-Folgenabschätzungen, Löschkonzepte und rechtmäßige Einwilligungen sollten regelmäßig geprüft werden.

Praxisbeispiel: Ein Anbieter von Sprachassistenten überprüft die im Training genutzten Audiodateien auf Personenbezug und sorgt für die rechtskonforme Löschung, sobald der Zweck erreicht ist.

• Registration und Konformitätsbewertungsverfahren beachten:

Für Hochrisiko-KI-Systeme muss vor Markteintritt ein Konformitätsbewertungsverfahren abgeschlossen und das Produkt in einer zentralen EU-Datenbank registriert sein. Wer sein System weiterentwickelt oder grundlegend verändert, trägt die Pflicht zur erneuten Prüfung.

Die KI-Verordnung als Wegbegleiter in die Zukunft

Die KI-VO ist kein starres Gesetz, sondern wird durch technische Standards (sog. harmonisierte Normen) und laufende Konkretisierungen der EU weiterentwickelt. Unternehmen tun gut daran, früh die Zuständigkeiten intern zu klären, Kompetenzen aufzubauen und flexibel auf Leitfäden, Aktualisierungen und Best-Practice-Beispiele zu reagieren. Besonders für innovative Start-ups und etablierte Systemanbieter liegt in frühzeitiger Compliance ein echter Wettbewerbsvorteil.

Fazit

Die europäische KI-Verordnung ist ein Meilenstein der Technikregulierung. Sie gibt Unternehmen Planungssicherheit, fordert aber auch aktives Handeln und eine kontinuierliche, prozessorientierte Anpassung. Wer die eigenen KI-Systeme transparent überprüft, rechtliche und technische Anforderungen in Einklang bringt und den Dialog mit Experten sucht, kann sowohl Risiken vermeiden als auch das volle Potenzial moderner KI-Lösungen entfalten.

SBS LEGAL – Kanzlei für KI-Recht

Stehen Sie vor der Frage, wie KI-Systeme in Ihrem Unternehmen rechtssicher eingesetzt werden können? Suchen Sie nach einer Lösung, um Vorschriften aus der KI-Verordnung umzusetzen oder sich vor Bußgeldern zu schützen? Möchten Sie erfahren, welche Pflichten als Anbieter oder Betreiber auf Sie zukommen, oder ob Ihr Geschäftsmodell durch innovative KI-Anwendungen europaweit neue Chancen ergreifen kann?

Haben Sie Fragen zur KI-Verordnung? Benötigen Sie Unterstützung bei der rechtskonformen Nutzung von KI?

Das Team von SBS LEGAL begleitet Unternehmen, Entwickler und Entscheider im Rahem des KI-Recht auf dem Weg zur rechtssicheren Nutzung von Künstlicher Intelligenz. Unsere Beratung umfasst die Einhaltung der europäischen KI-Verordnung, vom Einsatz allgemeiner KI-Modelle bis zu Hochrisiko und der Anwendungen mit besonderen Pflichten. Wir unterstützen Sie bei der Integration der gesetzlichen Vorgaben, der Erstellung technischer Dokumentationen und der Einstufung Ihrer Produkte im Rahmen des risikobasierten Ansatzes der KI-VO. Auch internationale Anbieter betreuen wir bei allen Schritten zur Markteinführung und Compliance.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

Zurück zur Blog-Übersicht