Nexvyra

EU-KI-Verordnung (AI Act, VO 2024/1689) – Fristen 2026, Hochrisiko-Systeme, Sanktionen

EU-KI-Verordnung (AI Act, VO 2024/1689) – Fristen 2026, Hochrisiko-Systeme, Sanktionen

Kurzantwort

Die Verordnung (EU) 2024/1689 über künstliche Intelligenz („AI Act") ist am 01.08.2024 in Kraft getreten und wird in gestaffelten Fristen anwendbar: seit 02.02.2025 gelten die verbotenen KI-Praktiken (Art. 5) und die Definitions- und Governance-Regeln; seit 02.08.2025 die Vorschriften für General-Purpose-AI-Modelle (GPAI, Art. 51 ff.); ab 02.08.2026 greifen die zentralen Hochrisiko-KI-Pflichten (Art. 6 iVm Anhang III) — Konformitätsbewertung, CE-Kennzeichnung, Risikomanagement, Datenqualität, Protokollierung, Transparenz, menschliche Aufsicht. Volle Anwendung aller Regeln (auch für in Produkten eingebettete Hochrisiko-KI nach Anhang I): 02.08.2027. Sanktionen: bis 35 Mio € oder 7 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist — bei Verstößen gegen die verbotenen Praktiken.

Kernfakten

PunktWert
RechtsgrundlageVerordnung (EU) 2024/1689 vom 13.06.2024 (ABl. L 2024/1689)
Inkrafttreten01.08.2024
Verbotene KI-Praktiken (Art. 5) anwendbar seit02.02.2025
Governance + Definitionen anwendbar seit02.02.2025
GPAI-Modelle (Art. 51 ff.) anwendbar seit02.08.2025
Hochrisiko-KI (Art. 6 Abs. 2, Anhang III) anwendbar ab02.08.2026
Hochrisiko-KI in regulierten Produkten (Anhang I) anwendbar ab02.08.2027
Anwendungsbereich (räumlich)EU + Inverkehrbringen für EU-Markt (extraterritorial)
Betroffene RollenAnbieter, Einführer, Händler, Betreiber, Bevollmächtigte
Sanktion verbotene PraktikenBis 35 Mio € ODER 7 % Weltjahresumsatz (höherer Wert) [Art. 99 Abs. 3]
Sanktion Verstoß Hochrisiko-PflichtenBis 15 Mio € ODER 3 % Weltjahresumsatz [Art. 99 Abs. 4]
Sanktion falsche AngabenBis 7,5 Mio € ODER 1 % Weltjahresumsatz [Art. 99 Abs. 5]
KMU-ErleichterungReduzierte Bußgeldsätze (jeweils niedrigerer Wert)
CE-Kennzeichnung PflichtFür Hochrisiko-KI vor Inverkehrbringen [Art. 48]
KonformitätsbewertungInterne oder benannte Stelle [Art. 43]
GPAI mit systemischem Risiko Schwelle10^25 FLOPs Trainingsrechenleistung [Art. 51 Abs. 2]
Nationale Marktüberwachung DEBundesnetzagentur (Referentenentwurf zum Durchführungsgesetz)
EU-KI-AmtErrichtet bei EU-Kommission (Brüssel)

Geltungsbereich

Die VO gilt extraterritorial: sie erfasst nicht nur EU-ansässige Anbieter, sondern auch Drittstaats-Anbieter, deren KI-System in der EU in Verkehr gebracht oder verwendet wird (Art. 2 Abs. 1). Ausnahmen: nationale Sicherheit, militärische KI, KI ausschließlich für wissenschaftliche Forschung, freie Software vor Inverkehrbringen. Rollen:

Was ist verboten (Art. 5) – seit 02.02.2025

Absolute Verbote in allen Sektoren:

Hochrisiko-KI (Art. 6, Anhang III) – ab 02.08.2026

Acht Bereiche in Anhang III gelten als hochrisikofähig:

  1. Biometrie (Fernidentifizierung, biometrische Kategorisierung, Emotionserkennung außerhalb der Verbote)
  2. Kritische Infrastruktur (Verkehr, Wasser, Gas, Elektrizität, digitale Infrastruktur)
  3. Bildung (Bewertung, Zulassung, Prüfungen)
  4. Beschäftigung, Personalmanagement (Bewerber-Filter, Beförderung, Kündigung, Leistungsbewertung)
  5. Zugang zu essentiellen Diensten (Bonitätsscoring, Sozialleistungen, Notrufsysteme, Krankenversicherung)
  6. Strafverfolgung (Beweismittelbewertung, Rückfallprognose)
  7. Migration, Asyl, Grenzkontrolle (Risikoprofilerstellung, biometrische Prüfung)
  8. Justiz und demokratische Prozesse (Beweiswürdigung, Wahlbeeinflussung)

Kernpflichten für Hochrisiko-KI (Art. 8-27):

GPAI (General-Purpose-AI) – seit 02.08.2025

Regeln für Foundation Models wie GPT-4, Claude, Gemini, Llama, Mistral:

Wer muss was tun – Praxis für Unternehmen

Anbieter eines Hochrisiko-KI-Systems (Art. 16):

  1. Konformitätsbewertung durchführen (intern oder benannte Stelle)
  2. Technische Dokumentation erstellen
  3. Qualitätsmanagementsystem einführen
  4. CE-Kennzeichnung anbringen
  5. In EU-Hochrisiko-KI-Datenbank registrieren
  6. Post-Market-Monitoring + Incident-Reporting

Betreiber (Deployer) eines Hochrisiko-KI-Systems (Art. 26):

  1. System nach Betriebsanleitung nutzen
  2. Menschliche Aufsicht gewährleisten
  3. Logs mindestens 6 Monate aufbewahren
  4. Bei öffentlichen Behörden: Grundrechte-Folgenabschätzung vor Inbetriebnahme (Art. 27)
  5. Betroffene informieren, dass Hochrisiko-KI eingesetzt wird
  6. Beschwerderecht an Marktüberwachungsbehörde ermöglichen

Häufige Fehler

Quellen

Änderungsverlauf

Siehe auch

Stand