EU KI-Verordnung: Stichtag 2. August 2026 für Hochrisiko-KI-Systeme
Die EU KI-Verordnung (Verordnung 2024/1689) erreicht am 2. August 2026 ihren entscheidenden Meilenstein: volle Pflichten für Hochrisiko-KI-Systeme. Praxisleitfaden für Anbieter und Betreiber in Deutschland.
Die KI-Verordnung: entscheidender Stichtag am 2. August 2026
Die Verordnung (EU) 2024/1689 — bekannt als "KI-Verordnung" oder "AI Act" — ist am 1. August 2024 in Kraft getreten und wird stufenweise anwendbar. Der nächste große Meilenstein folgt am 2. August 2026: ab diesem Datum gelten die vollständigen Pflichten für Hochrisiko-KI-Systeme nach Anhang III. Dieser Leitfaden erklärt, was sich ändert, wer betroffen ist und welche Schritte Sie bis zum Sommer einleiten sollten.
Warum die KI-Verordnung für deutsche Unternehmen sofort gilt
Die KI-Verordnung ist eine Verordnung, keine Richtlinie. Sie ist in allen 27 Mitgliedstaaten unmittelbar anwendbar — ohne nationales Umsetzungsgesetz. Für deutsche Anbieter und Betreiber bedeutet das: die Pflichten gelten direkt, die Bundesregierung kann sie nicht abschwächen oder verzögern.
Die Verordnung gilt zudem extraterritorial (Art. 2): Wenn Ihr KI-System in der EU genutzt wird oder dessen Ausgabe in der EU verwendet wird, sind Sie auch dann erfasst, wenn Ihr Unternehmen außerhalb der EU ansässig ist.
Der Zeitplan nach Artikel 113
- 2. Februar 2025: Verbote (Art. 5) und KI-Kompetenz (Art. 4, "AI literacy").
- 2. August 2025: Governance, Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), Sanktionsregime.
- 2. August 2026: volle Pflichten für Hochrisiko-Systeme nach Anhang III — Kern dieses Artikels.
- 2. August 2027: Hochrisiko-Systeme, die in bereits regulierte Produkte eingebettet sind (Anhang II, z. B. Medizinprodukte, Maschinen, Spielzeug).
Was sind Hochrisiko-Systeme nach Anhang III?
Anhang III nennt acht Bereiche:
- Biometrie: Fernidentifizierung, biometrische Kategorisierung, Emotionserkennung außerhalb medizinischer/sicherheitstechnischer Zwecke.
- Kritische Infrastrukturen: Verkehrsmanagement, Wasser-, Gas- und Stromversorgung.
- Allgemeine und berufliche Bildung: Zugangsentscheidungen, Bewertung von Prüfungen, Prüfungsbetrugserkennung.
- Beschäftigung und Personalmanagement: Bewerber-Screening, Leistungsbewertung, Aufgabenverteilung.
- Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen: Kreditwürdigkeitsprüfung, Kranken- und Lebensversicherungs-Risikobewertung, Notfall-Priorisierung, Anspruch auf Sozialleistungen.
- Strafverfolgung.
- Migration, Asyl, Grenzkontrolle.
- Justiz und demokratische Prozesse.
Pflichten für Anbieter (Art. 8 bis 22)
- Risikomanagementsystem über den gesamten Lebenszyklus (Art. 9).
- Daten-Governance: Qualität, Repräsentativität, Bias-Minimierung (Art. 10).
- Technische Dokumentation und automatische Protokollierung (Art. 11 und 12).
- Transparenz und klare Betriebsanleitung (Art. 13).
- Wirksame menschliche Aufsicht (Art. 14).
- Genauigkeit, Robustheit, Cybersicherheit (Art. 15).
- Konformitätsbewertung und CE-Kennzeichnung vor Markteinführung.
- Eintragung in die EU-Datenbank für Hochrisiko-KI.
Pflichten für Betreiber (Art. 26)
Setzt Ihr Unternehmen ein Hochrisiko-System eines Drittanbieters ein — etwa ein HR-Tool zur Bewerberauswahl oder ein Kreditscoring-Modell —, werden Sie zum Betreiber. Sie müssen unter anderem:
- Das System gemäß der Betriebsanleitung des Anbieters nutzen.
- Eine wirksame menschliche Aufsicht durch geschultes Personal sicherstellen.
- Die von Ihnen kontrollierten Eingabedaten auf Relevanz und Repräsentativität prüfen.
- Die automatisch erzeugten Protokolle mindestens 6 Monate aufbewahren.
- Betroffene Personen informieren, wenn sie Entscheidungen auf Basis des Systems unterliegen.
- Gegebenenfalls eine Grundrechte-Folgenabschätzung (GFA) nach Art. 27 durchführen — verpflichtend für öffentliche Stellen sowie Banken und Versicherer bei Bonitätsprüfung und Risikotarifierung.
Sanktionen (Art. 99)
- Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen verbotene Praktiken (Art. 5).
- Bis zu 15 Mio. EUR oder 3 % bei anderen Verstößen (Hochrisiko, GPAI, Transparenz).
- Bis zu 7,5 Mio. EUR oder 1 % bei fehlerhaften Auskünften an Behörden.
KMU und Start-ups profitieren nach Art. 99 Abs. 6 von einer Deckelung auf den jeweils niedrigeren Betrag.
Zuständige Behörden in Deutschland
Deutschland muss eine Marktüberwachungsbehörde und — für biometrische, Strafverfolgungs-, Migrations- und Justizanwendungen — eine Grundrechtsbehörde benennen. Erwartet wird eine Rollenverteilung zwischen:
- Bundesnetzagentur (BNetzA) als zentraler Koordinator der Marktüberwachung.
- BfDI und Landesdatenschutzbehörden für datenschutzrechtliche Aspekte und biometrische Systeme.
- Fachaufsichten (BaFin für Kredit-/Versicherungsscoring, Bundesagentur für Arbeit für Beschäftigungs-KI, BSI für Cybersicherheit).
- Auf EU-Ebene übernimmt das AI Office (DG CONNECT) die Aufsicht über General-Purpose-AI-Modelle.
Ein konkretes nationales KI-Ausführungsgesetz befindet sich noch in der Abstimmung. Die materiellen Pflichten aus der Verordnung gelten jedoch unabhängig von dessen Verabschiedung.
Schnittstellen mit der DSGVO
Die KI-Verordnung ersetzt die DSGVO nicht — sie ergänzt sie. Bei Hochrisiko-KI, die personenbezogene Daten verarbeitet, sind beide Regelwerke parallel zu erfüllen:
- Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) und Grundrechte-Folgenabschätzung (Art. 27 KI-VO) sollten integriert durchgeführt werden.
- Informationspflichten (Art. 13/14 DSGVO) und Transparenzpflichten (Art. 26 Abs. 11 KI-VO) überlappen sich und sollten abgestimmt formuliert werden.
- Rechte der Betroffenen (Auskunft, Löschung, Widerspruch) bleiben über die DSGVO durchsetzbar; die KI-VO ergänzt das Recht auf Erläuterung von Einzelfallentscheidungen (Art. 86).
Fokus: der französische Darcos-Gesetzentwurf vom 8. April 2026
Am 8. April 2026 wurde im französischen Senat ein Gesetzesvorschlag von Senator Laurent Darcos eingebracht, der das Urheberrecht und die verwandten Schutzrechte gegenüber generativer KI stärken soll. Geplante Maßnahmen:
- Erweiterte Transparenz über Trainingsdaten.
- Technischer Standard für den in Art. 4 der Richtlinie (EU) 2019/790 vorgesehenen Opt-out.
- Vergütungsansprüche für Urheber und ausübende Künstler.
Für deutsche Anbieter generativer KI ist dies relevant: Art. 53 KI-VO verpflichtet GPAI-Anbieter bereits zu einer "hinreichend detaillierten Zusammenfassung" der Trainingsinhalte und zu einer Urheberrechts-Compliance-Politik. Darcos geht national weiter und könnte Signalwirkung für Deutschland haben — der Koalitionsvertrag erwähnt vergleichbare Überlegungen zu Lizenz- und Vergütungsmodellen.
Praxis-Roadmap bis zum 2. August 2026
Für Anbieter
- Ihre Produkte gegen Anhang III kartieren.
- Risikomanagement, technische Dokumentation, Protokollierung und Daten-Governance finalisieren.
- Konformitätsbewertungsverfahren planen (interne Kontrolle nach Art. 43 oder Drittbewertung).
- Betriebsanleitung und EU-Konformitätserklärung vorbereiten.
Für Betreiber
- Bestehende KI-Anwendungen auditieren (HR, Scoring, Betrugserkennung, Kundenservice-Bots mit konsequentieller Entscheidungsmacht).
- Von jedem Anbieter die EU-Konformitätserklärung, CE-Kennzeichnung, Betriebsanleitung und — je nach Sektor — die Informationen für Ihre GFA (Art. 27) anfordern.
- GFA und DSFA gemeinsam aufsetzen, um Doppelarbeit zu vermeiden.
- Mitarbeitende schulen — "KI-Kompetenz" ist seit 2. Februar 2025 verpflichtend (Art. 4).
Für Kreativschaffende und Rechteinhaber
- Den Opt-out vom Text- und Data-Mining (Art. 4 Richtlinie 2019/790, § 44b UrhG) technisch umsetzen: robots.txt, Metadaten, ai.txt.
- Publikationskanäle dokumentieren.
- Nationale Entwicklungen (Frankreich: Darcos; Deutschland: laufende Beratungen zu § 44b UrhG) beobachten.
Wie DroitAI unterstützt
DroitAI deckt die einschlägigen europäischen und deutschen Vorschriften ab (Verordnung 2024/1689, DSGVO, UrhG, Richtlinie 2019/790). Sie können:
- Prüfen, ob ein konkretes System unter Anhang III fällt.
- Einen KI-Anbietervertrag klauselweise analysieren lassen.
- Ein Opt-out-Schreiben oder eine urheberrechtliche Abmahnung wegen nicht autorisierter Trainingsnutzung formulieren.
Die Zeit bis zum 2. August 2026 ist das Fenster, um aus Grundsätzen konkrete, prüfungsfähige Compliance-Artefakte zu machen.