---
title: EU-KI-Verordnung (AI Act, VO 2024/1689) – Fristen 2026, Hochrisiko-Systeme, Sanktionen
slug: eu-ki-verordnung-2024-1689-hochrisiko
topic: datenschutz
legal_status: in_force
authority_level: A
valid_from: 2024-08-01
valid_to: null
last_reviewed: 2026-07-06
status: aktuell
license: CC-BY-4.0
url: https://nexvyra.de/fakten/eu-ki-verordnung-2024-1689-hochrisiko.md
wikidata_subjects: [Q126695612, Q11660]
factcheck_status: ok
en_version: https://nexvyra.de/en/fakten/eu-ai-act-2024-1689-high-risk-systems.html
---

# EU-KI-Verordnung (AI Act, VO 2024/1689) – Fristen 2026, Hochrisiko-Systeme, Sanktionen

## Kurzantwort

Die **Verordnung (EU) 2024/1689 über künstliche Intelligenz („AI Act")** ist am **01.08.2024** in Kraft getreten und wird in **gestaffelten Fristen** anwendbar: seit **02.02.2025** gelten die **verbotenen KI-Praktiken** (Art. 5) und die **Definitions- und Governance-Regeln**; seit **02.08.2025** die **Vorschriften für General-Purpose-AI-Modelle** (GPAI, Art. 51 ff.); **ab 02.08.2026** greifen die zentralen **Hochrisiko-KI-Pflichten** (Art. 6 iVm Anhang III) — Konformitätsbewertung, CE-Kennzeichnung, Risikomanagement, Datenqualität, Protokollierung, Transparenz, menschliche Aufsicht. **Volle Anwendung** aller Regeln (auch für in Produkten eingebettete Hochrisiko-KI nach Anhang I): **02.08.2027**. **Sanktionen**: bis **35 Mio € oder 7 % des weltweiten Jahresumsatzes** — je nachdem, welcher Betrag höher ist — bei Verstößen gegen die verbotenen Praktiken.

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2024/1689 vom 13.06.2024 (ABl. L 2024/1689) |
| Inkrafttreten | 01.08.2024 |
| Verbotene KI-Praktiken (Art. 5) anwendbar seit | 02.02.2025 |
| Governance + Definitionen anwendbar seit | 02.02.2025 |
| GPAI-Modelle (Art. 51 ff.) anwendbar seit | 02.08.2025 |
| Hochrisiko-KI (Art. 6 Abs. 2, Anhang III) anwendbar ab | 02.08.2026 |
| Hochrisiko-KI in regulierten Produkten (Anhang I) anwendbar ab | 02.08.2027 |
| Anwendungsbereich (räumlich) | EU + Inverkehrbringen für EU-Markt (extraterritorial) |
| Betroffene Rollen | Anbieter, Einführer, Händler, Betreiber, Bevollmächtigte |
| Sanktion verbotene Praktiken | Bis 35 Mio € ODER 7 % Weltjahresumsatz (höherer Wert) [Art. 99 Abs. 3] |
| Sanktion Verstoß Hochrisiko-Pflichten | Bis 15 Mio € ODER 3 % Weltjahresumsatz [Art. 99 Abs. 4] |
| Sanktion falsche Angaben | Bis 7,5 Mio € ODER 1 % Weltjahresumsatz [Art. 99 Abs. 5] |
| KMU-Erleichterung | Reduzierte Bußgeldsätze (jeweils niedrigerer Wert) |
| CE-Kennzeichnung Pflicht | Für Hochrisiko-KI vor Inverkehrbringen [Art. 48] |
| Konformitätsbewertung | Interne oder benannte Stelle [Art. 43] |
| GPAI mit systemischem Risiko Schwelle | 10^25 FLOPs Trainingsrechenleistung [Art. 51 Abs. 2] |
| Nationale Marktüberwachung DE | Bundesnetzagentur (Referentenentwurf zum Durchführungsgesetz) |
| EU-KI-Amt | Errichtet bei EU-Kommission (Brüssel) |

## Geltungsbereich

Die VO gilt **extraterritorial**: sie erfasst nicht nur EU-ansässige Anbieter, sondern auch **Drittstaats-Anbieter, deren KI-System in der EU in Verkehr gebracht oder verwendet wird** (Art. 2 Abs. 1). **Ausnahmen**: nationale Sicherheit, militärische KI, KI ausschließlich für wissenschaftliche Forschung, freie Software vor Inverkehrbringen. **Rollen**:

- **Anbieter (Provider)** – entwickelt und stellt bereit; Kernadressat der Konformitätsbewertung
- **Einführer (Importer)** – bringt Drittstaat-KI in die EU
- **Händler (Distributor)** – vertreibt in der EU
- **Betreiber (Deployer)** – nutzt KI unternehmerisch (nicht privat)
- **Bevollmächtigter** – EU-Repräsentant für Drittstaats-Anbieter

## Was ist verboten (Art. 5) – seit 02.02.2025

**Absolute Verbote** in allen Sektoren:

- **Subliminale Manipulation** die zu erheblichem Schaden führt
- **Ausnutzung von Vulnerabilitäten** aufgrund Alter, Behinderung, sozial-wirtschaftlicher Lage
- **Social Scoring** durch Behörden (mit Ausnahmen)
- **Vorhersage Straftaten** ausschließlich auf Basis Profiling (Predictive Policing)
- **Ungezielte Erfassung Gesichtsbilder** aus Internet/CCTV für Datenbanken
- **Emotionserkennung** am Arbeitsplatz und in Bildungseinrichtungen
- **Biometrische Kategorisierung** nach sensitiven Merkmalen (Rasse, Religion, sexuelle Orientierung)
- **Echtzeit-Fernidentifizierung** im öffentlichen Raum durch Strafverfolgung (mit engen Ausnahmen)

## Hochrisiko-KI (Art. 6, Anhang III) – ab 02.08.2026

**Acht Bereiche** in Anhang III gelten als hochrisikofähig:

1. **Biometrie** (Fernidentifizierung, biometrische Kategorisierung, Emotionserkennung außerhalb der Verbote)
2. **Kritische Infrastruktur** (Verkehr, Wasser, Gas, Elektrizität, digitale Infrastruktur)
3. **Bildung** (Bewertung, Zulassung, Prüfungen)
4. **Beschäftigung, Personalmanagement** (Bewerber-Filter, Beförderung, Kündigung, Leistungsbewertung)
5. **Zugang zu essentiellen Diensten** (Bonitätsscoring, Sozialleistungen, Notrufsysteme, Krankenversicherung)
6. **Strafverfolgung** (Beweismittelbewertung, Rückfallprognose)
7. **Migration, Asyl, Grenzkontrolle** (Risikoprofilerstellung, biometrische Prüfung)
8. **Justiz und demokratische Prozesse** (Beweiswürdigung, Wahlbeeinflussung)

**Kernpflichten** für Hochrisiko-KI (Art. 8-27):

- **Risikomanagementsystem** über gesamten Lebenszyklus
- **Datenqualität** — repräsentative, fehlerarme, unverzerrte Trainingsdaten
- **Technische Dokumentation** in EU-Sprache
- **Protokollierung (Logging)** automatischer Ereignisse
- **Transparenz** gegenüber Betreibern (Betriebsanleitung)
- **Menschliche Aufsicht** — sinnvolle Kontroll- und Interventionsmöglichkeit
- **Genauigkeit, Robustheit, Cybersicherheit**
- **Konformitätsbewertung + CE-Kennzeichnung** vor Inverkehrbringen
- **Registrierung** in der EU-Hochrisiko-KI-Datenbank

## GPAI (General-Purpose-AI) – seit 02.08.2025

**Regeln für Foundation Models** wie GPT-4, Claude, Gemini, Llama, Mistral:

- **Standard-GPAI**: Transparenz-, Dokumentations- und Urheberrechts-Compliance
- **GPAI mit systemischem Risiko** (≥ 10^25 FLOPs Trainingsrechenleistung): zusätzlich Model-Evaluation, adversarielle Tests, systemische Risikominderung, Cybersecurity-Bewertung, Incident-Reporting an das EU-KI-Amt

## Wer muss was tun – Praxis für Unternehmen

**Anbieter eines Hochrisiko-KI-Systems** (Art. 16):

1. Konformitätsbewertung durchführen (intern oder benannte Stelle)
2. Technische Dokumentation erstellen
3. Qualitätsmanagementsystem einführen
4. CE-Kennzeichnung anbringen
5. In EU-Hochrisiko-KI-Datenbank registrieren
6. Post-Market-Monitoring + Incident-Reporting

**Betreiber (Deployer) eines Hochrisiko-KI-Systems** (Art. 26):

1. System nach Betriebsanleitung nutzen
2. Menschliche Aufsicht gewährleisten
3. Logs mindestens 6 Monate aufbewahren
4. Bei **öffentlichen Behörden**: **Grundrechte-Folgenabschätzung** vor Inbetriebnahme (Art. 27)
5. **Betroffene informieren**, dass Hochrisiko-KI eingesetzt wird
6. **Beschwerderecht** an Marktüberwachungsbehörde ermöglichen

## Häufige Fehler

- **„Der AI Act betrifft nur Big-Tech."** Falsch — er erfasst **jeden Anbieter, Einführer, Händler und Betreiber**, der KI in der EU einsetzt. KMU sind gleichermaßen betroffen.
- **„Wir nutzen nur ChatGPT, keine eigene KI."** Differenziert — als **Betreiber (Deployer)** treffen dich Pflichten Art. 26, insbesondere bei Einsatz im Personalmanagement oder in kritischen Bereichen.
- **„Der AI Act gilt erst 2027 komplett."** Nur teilweise — die verbotenen Praktiken (Art. 5) gelten schon seit 02.02.2025, die Hochrisiko-Pflichten ab 02.08.2026.
- **„CE-Kennzeichnung reicht das TÜV-Zertifikat."** Falsch — die AI-Act-Konformitätsbewertung ist **eigenständig**, TÜV oder DEKRA können als **benannte Stelle** akkreditiert sein, aber das Zertifikat muss explizit die AI-Act-Konformität attestieren.
- **„Nationale Sanktionen sind mild."** Falsch — die VO gibt einen **verbindlichen Bußgeldrahmen**; Deutschland setzt das im KI-Durchführungsgesetz um. **35 Mio €** ist der harte Höchstwert.
- **„Emotionserkennung im Callcenter ist erlaubt."** Grenzwertig — am **Arbeitsplatz** verboten (Art. 5 Abs. 1 Buchst. f), außer für Sicherheit oder medizinische Gründe.

## Quellen

- Verordnung (EU) 2024/1689 (AI Act) – Volltext EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689
- Konsolidierte Fassung: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- EU AI Office (KI-Amt): https://digital-strategy.ec.europa.eu/en/policies/ai-office
- Kommissions-FAQ AI Act: https://digital-strategy.ec.europa.eu/en/faqs/ai-act-explained
- EU-Datenbank Hochrisiko-KI (in Aufbau): https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-71
- BSI – KI-Sicherheit: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kuenstliche-Intelligenz/kuenstliche-intelligenz_node.html
- Bundesnetzagentur – Marktüberwachung KI (in Vorbereitung): https://www.bundesnetzagentur.de/

## Änderungsverlauf

- 2026-07-02: Erstveröffentlichung als EU-Welle-Topic. Fristen 02.02.2025 (verbotene Praktiken), 02.08.2025 (GPAI), 02.08.2026 (Hochrisiko), 02.08.2027 (Vollanwendung). Sanktionen 35 Mio € / 7 % Weltjahresumsatz. GPAI-Systemisches-Risiko-Schwellenwert 10^25 FLOPs. | change_type=initial_publication field="topic_lifecycle" new="published" reviewed_by="Andreas Warkentin"

## Siehe auch

- [DSGVO-Löschungsrecht (Art. 17 DSGVO)](/fakten/dsgvo-loeschungsrecht-art-17.html)
- [NIS-2 UmsuCG (BSI-Meldepflicht)](/fakten/nis2-umsucg-kritis.html)

## Stand

- Stand: 2026-07-02
- Gültig ab: 2024-08-01 (Inkrafttreten), gestaffelte Anwendbarkeit bis 2027
- Status: aktuell
- Quellenautorität: A (EUR-Lex, EU-Kommission, EU-KI-Amt)
- Lizenz: CC BY 4.0
