EU-KI-Verordnung (AI Act, VO 2024/1689) – Fristen 2026, Hochrisiko-Systeme, Sanktionen
EU-KI-Verordnung (AI Act, VO 2024/1689) – Fristen 2026, Hochrisiko-Systeme, Sanktionen
Kurzantwort
Die Verordnung (EU) 2024/1689 über künstliche Intelligenz („AI Act") ist am 01.08.2024 in Kraft getreten und wird in gestaffelten Fristen anwendbar: seit 02.02.2025 gelten die verbotenen KI-Praktiken (Art. 5) und die Definitions- und Governance-Regeln; seit 02.08.2025 die Vorschriften für General-Purpose-AI-Modelle (GPAI, Art. 51 ff.); ab 02.08.2026 greifen die zentralen Hochrisiko-KI-Pflichten (Art. 6 iVm Anhang III) — Konformitätsbewertung, CE-Kennzeichnung, Risikomanagement, Datenqualität, Protokollierung, Transparenz, menschliche Aufsicht. Volle Anwendung aller Regeln (auch für in Produkten eingebettete Hochrisiko-KI nach Anhang I): 02.08.2027. Sanktionen: bis 35 Mio € oder 7 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist — bei Verstößen gegen die verbotenen Praktiken.
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2024/1689 vom 13.06.2024 (ABl. L 2024/1689) |
| Inkrafttreten | 01.08.2024 |
| Verbotene KI-Praktiken (Art. 5) anwendbar seit | 02.02.2025 |
| Governance + Definitionen anwendbar seit | 02.02.2025 |
| GPAI-Modelle (Art. 51 ff.) anwendbar seit | 02.08.2025 |
| Hochrisiko-KI (Art. 6 Abs. 2, Anhang III) anwendbar ab | 02.08.2026 |
| Hochrisiko-KI in regulierten Produkten (Anhang I) anwendbar ab | 02.08.2027 |
| Anwendungsbereich (räumlich) | EU + Inverkehrbringen für EU-Markt (extraterritorial) |
| Betroffene Rollen | Anbieter, Einführer, Händler, Betreiber, Bevollmächtigte |
| Sanktion verbotene Praktiken | Bis 35 Mio € ODER 7 % Weltjahresumsatz (höherer Wert) [Art. 99 Abs. 3] |
| Sanktion Verstoß Hochrisiko-Pflichten | Bis 15 Mio € ODER 3 % Weltjahresumsatz [Art. 99 Abs. 4] |
| Sanktion falsche Angaben | Bis 7,5 Mio € ODER 1 % Weltjahresumsatz [Art. 99 Abs. 5] |
| KMU-Erleichterung | Reduzierte Bußgeldsätze (jeweils niedrigerer Wert) |
| CE-Kennzeichnung Pflicht | Für Hochrisiko-KI vor Inverkehrbringen [Art. 48] |
| Konformitätsbewertung | Interne oder benannte Stelle [Art. 43] |
| GPAI mit systemischem Risiko Schwelle | 10^25 FLOPs Trainingsrechenleistung [Art. 51 Abs. 2] |
| Nationale Marktüberwachung DE | Bundesnetzagentur (Referentenentwurf zum Durchführungsgesetz) |
| EU-KI-Amt | Errichtet bei EU-Kommission (Brüssel) |
Geltungsbereich
Die VO gilt extraterritorial: sie erfasst nicht nur EU-ansässige Anbieter, sondern auch Drittstaats-Anbieter, deren KI-System in der EU in Verkehr gebracht oder verwendet wird (Art. 2 Abs. 1). Ausnahmen: nationale Sicherheit, militärische KI, KI ausschließlich für wissenschaftliche Forschung, freie Software vor Inverkehrbringen. Rollen:
- Anbieter (Provider) – entwickelt und stellt bereit; Kernadressat der Konformitätsbewertung
- Einführer (Importer) – bringt Drittstaat-KI in die EU
- Händler (Distributor) – vertreibt in der EU
- Betreiber (Deployer) – nutzt KI unternehmerisch (nicht privat)
- Bevollmächtigter – EU-Repräsentant für Drittstaats-Anbieter
Was ist verboten (Art. 5) – seit 02.02.2025
Absolute Verbote in allen Sektoren:
- Subliminale Manipulation die zu erheblichem Schaden führt
- Ausnutzung von Vulnerabilitäten aufgrund Alter, Behinderung, sozial-wirtschaftlicher Lage
- Social Scoring durch Behörden (mit Ausnahmen)
- Vorhersage Straftaten ausschließlich auf Basis Profiling (Predictive Policing)
- Ungezielte Erfassung Gesichtsbilder aus Internet/CCTV für Datenbanken
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- Biometrische Kategorisierung nach sensitiven Merkmalen (Rasse, Religion, sexuelle Orientierung)
- Echtzeit-Fernidentifizierung im öffentlichen Raum durch Strafverfolgung (mit engen Ausnahmen)
Hochrisiko-KI (Art. 6, Anhang III) – ab 02.08.2026
Acht Bereiche in Anhang III gelten als hochrisikofähig:
- Biometrie (Fernidentifizierung, biometrische Kategorisierung, Emotionserkennung außerhalb der Verbote)
- Kritische Infrastruktur (Verkehr, Wasser, Gas, Elektrizität, digitale Infrastruktur)
- Bildung (Bewertung, Zulassung, Prüfungen)
- Beschäftigung, Personalmanagement (Bewerber-Filter, Beförderung, Kündigung, Leistungsbewertung)
- Zugang zu essentiellen Diensten (Bonitätsscoring, Sozialleistungen, Notrufsysteme, Krankenversicherung)
- Strafverfolgung (Beweismittelbewertung, Rückfallprognose)
- Migration, Asyl, Grenzkontrolle (Risikoprofilerstellung, biometrische Prüfung)
- Justiz und demokratische Prozesse (Beweiswürdigung, Wahlbeeinflussung)
Kernpflichten für Hochrisiko-KI (Art. 8-27):
- Risikomanagementsystem über gesamten Lebenszyklus
- Datenqualität — repräsentative, fehlerarme, unverzerrte Trainingsdaten
- Technische Dokumentation in EU-Sprache
- Protokollierung (Logging) automatischer Ereignisse
- Transparenz gegenüber Betreibern (Betriebsanleitung)
- Menschliche Aufsicht — sinnvolle Kontroll- und Interventionsmöglichkeit
- Genauigkeit, Robustheit, Cybersicherheit
- Konformitätsbewertung + CE-Kennzeichnung vor Inverkehrbringen
- Registrierung in der EU-Hochrisiko-KI-Datenbank
GPAI (General-Purpose-AI) – seit 02.08.2025
Regeln für Foundation Models wie GPT-4, Claude, Gemini, Llama, Mistral:
- Standard-GPAI: Transparenz-, Dokumentations- und Urheberrechts-Compliance
- GPAI mit systemischem Risiko (≥ 10^25 FLOPs Trainingsrechenleistung): zusätzlich Model-Evaluation, adversarielle Tests, systemische Risikominderung, Cybersecurity-Bewertung, Incident-Reporting an das EU-KI-Amt
Wer muss was tun – Praxis für Unternehmen
Anbieter eines Hochrisiko-KI-Systems (Art. 16):
- Konformitätsbewertung durchführen (intern oder benannte Stelle)
- Technische Dokumentation erstellen
- Qualitätsmanagementsystem einführen
- CE-Kennzeichnung anbringen
- In EU-Hochrisiko-KI-Datenbank registrieren
- Post-Market-Monitoring + Incident-Reporting
Betreiber (Deployer) eines Hochrisiko-KI-Systems (Art. 26):
- System nach Betriebsanleitung nutzen
- Menschliche Aufsicht gewährleisten
- Logs mindestens 6 Monate aufbewahren
- Bei öffentlichen Behörden: Grundrechte-Folgenabschätzung vor Inbetriebnahme (Art. 27)
- Betroffene informieren, dass Hochrisiko-KI eingesetzt wird
- Beschwerderecht an Marktüberwachungsbehörde ermöglichen
Häufige Fehler
- „Der AI Act betrifft nur Big-Tech." Falsch — er erfasst jeden Anbieter, Einführer, Händler und Betreiber, der KI in der EU einsetzt. KMU sind gleichermaßen betroffen.
- „Wir nutzen nur ChatGPT, keine eigene KI." Differenziert — als Betreiber (Deployer) treffen dich Pflichten Art. 26, insbesondere bei Einsatz im Personalmanagement oder in kritischen Bereichen.
- „Der AI Act gilt erst 2027 komplett." Nur teilweise — die verbotenen Praktiken (Art. 5) gelten schon seit 02.02.2025, die Hochrisiko-Pflichten ab 02.08.2026.
- „CE-Kennzeichnung reicht das TÜV-Zertifikat." Falsch — die AI-Act-Konformitätsbewertung ist eigenständig, TÜV oder DEKRA können als benannte Stelle akkreditiert sein, aber das Zertifikat muss explizit die AI-Act-Konformität attestieren.
- „Nationale Sanktionen sind mild." Falsch — die VO gibt einen verbindlichen Bußgeldrahmen; Deutschland setzt das im KI-Durchführungsgesetz um. 35 Mio € ist der harte Höchstwert.
- „Emotionserkennung im Callcenter ist erlaubt." Grenzwertig — am Arbeitsplatz verboten (Art. 5 Abs. 1 Buchst. f), außer für Sicherheit oder medizinische Gründe.
Quellen
- Verordnung (EU) 2024/1689 (AI Act) – Volltext EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689
- Konsolidierte Fassung: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- EU AI Office (KI-Amt): https://digital-strategy.ec.europa.eu/en/policies/ai-office
- Kommissions-FAQ AI Act: https://digital-strategy.ec.europa.eu/en/faqs/ai-act-explained
- EU-Datenbank Hochrisiko-KI (in Aufbau): https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-71
- BSI – KI-Sicherheit: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kuenstliche-Intelligenz/kuenstliche-intelligenz_node.html
- Bundesnetzagentur – Marktüberwachung KI (in Vorbereitung): https://www.bundesnetzagentur.de/
Änderungsverlauf
- 2026-07-02: Erstveröffentlichung als EU-Welle-Topic. Fristen 02.02.2025 (verbotene Praktiken), 02.08.2025 (GPAI), 02.08.2026 (Hochrisiko), 02.08.2027 (Vollanwendung). Sanktionen 35 Mio € / 7 % Weltjahresumsatz. GPAI-Systemisches-Risiko-Schwellenwert 10^25 FLOPs. | change_type=initial_publication field="topic_lifecycle" new="published" reviewed_by="Andreas Warkentin"
Siehe auch
Stand
- Stand: 2026-07-02
- Gültig ab: 2024-08-01 (Inkrafttreten), gestaffelte Anwendbarkeit bis 2027
- Status: aktuell
- Quellenautorität: A (EUR-Lex, EU-Kommission, EU-KI-Amt)
- Lizenz: CC BY 4.0