Zurück zur Startseite
    Leitfaden12 Min. Lesezeit

    Compliance-Checkliste zur EU-KI-Verordnung für 2025

    Die EU-KI-Verordnung (Verordnung 2024/1689) ist der weltweit erste umfassende rechtliche Rahmen für künstliche Intelligenz. Sie trat am 1. August 2024 in Kraft, mit einem gestaffelten Umsetzungszeitplan. Dieser Leitfaden gliedert jede Pflicht nach Rolle, Risikostufe und Frist auf.

    Wichtige Fristen

    DatumWas gilt
    2. Feb. 2025Verbotene KI-Praktiken (Artikel 5) und KI-Kompetenz (Artikel 4)
    2. Aug. 2025GPAI-Modellpflichten, Governance-Struktur, Vertraulichkeitsregeln, Sanktionsrahmen
    2. Aug. 2026Volle Anwendung — alle Pflichten für hochriskante KI-Systeme, Konformitätsbewertung, CE-Kennzeichnung, Registrierung, Betreiberpflichten
    2. Aug. 2027Pflichten nach Artikel 6(1) — hochriskante KI-Systeme, die Sicherheitskomponenten von Produkten unter EU-Harmonisierungsrechtsetzung sind
    31. Dez. 2030Legacy-KI-Systeme in großflächigen EU-IT-Systemen (Anhang X) müssen konformitätsgerecht gemacht werden

    Verbotene KI-Praktiken (Artikel 5)

    Die folgenden KI-Praktiken sind ausnahmslos verboten, mit Geldbußen bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes:

    • Unterschwellige Manipulation oder täuschende Techniken, die erheblichen Schaden verursachen
    • Ausnutzung von Schwachstellen aufgrund von Alter, Behinderung oder sozialer/wirtschaftlicher Lage
    • Social Scoring durch öffentliche Behörden, das zu nachteiliger Behandlung führt
    • Echtzeit-Fernidentifikation biometrischer Daten in öffentlichen Räumen zur Strafverfolgung (mit eng begrenzten Ausnahmen)
    • Ungezieltes Sammeln von Gesichtsbildern aus dem Internet oder Videoüberwachung für Gesichtserkennungsdatenbanken
    • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit eng begrenzten Ausnahmen)
    • Biometrische Kategorisierung zur Ableitung von Rasse, politischen Meinungen, Gewerkschaftszugehörigkeit, religiösen Überzeugungen oder sexueller Orientierung
    • Individuelle Predictive Policing ausschließlich auf Basis von Profiling

    Anbieterpflichten (Artikel 16)

    Anbieter hochriskanter KI-Systeme tragen die größte Compliance-Last. Vor dem Inverkehrbringen oder der Inbetriebnahme eines Systems müssen Anbieter:

    1. Risikomanagementsystem (Art. 9) — Einen kontinuierlichen, iterativen Prozess über den gesamten Lebenszyklus des KI-Systems einrichten
    2. Data Governance (Art. 10) — Sicherstellen, dass Trainings-, Validierungs- und Testdatensätze Qualitätskriterien mit angemessenen statistischen Eigenschaften erfüllen
    3. Technische Dokumentation (Art. 11, Anhang IV) — Umfassende Dokumentation für alle 9 erforderlichen Abschnitte vor dem Inverkehrbringen erstellen
    4. Aufzeichnungen (Art. 12) — Automatische Protokollierungsfunktionen einbauen, die der Zweckbestimmung des Systems angemessen sind
    5. Transparenz (Art. 13) — Das System so gestalten, dass Betreiber die Ausgabe interpretieren und das System angemessen einsetzen können
    6. Menschliche Aufsicht (Art. 14) — Maßnahmen umsetzen, die eine wirksame menschliche Aufsicht während der Nutzung ermöglichen
    7. Genauigkeit, Robustheit & Cybersicherheit (Art. 15) — Über den gesamten Lebenszyklus angemessene Niveaus erreichen
    8. Qualitätsmanagementsystem (Art. 17) — Richtlinien und Verfahren dokumentieren, die fortlaufende Compliance sicherstellen
    9. Konformitätsbewertung (Art. 43) — Das geeignete Bewertungsverfahren vor dem Inverkehrbringen abschließen
    10. EU-Konformitätserklärung (Art. 47) — Für jedes hochriskante KI-System erstellen und aktuell halten
    11. CE-Kennzeichnung (Art. 48) — Sichtbar, lesbar und unauslöschlich am System anbringen
    12. EU-Datenbank-Registrierung (Art. 49) — System und Anbieter vor dem Inverkehrbringen in der EU-Datenbank registrieren

    Betreiberpflichten (Artikel 26)

    Organisationen, die hochriskante KI-Systeme einsetzen (Betreiber), haben eigene Pflichten:

    • Nutzung gemäß Anweisung — Geeignete technische und organisatorische Maßnahmen umsetzen, um das System gemäß der Gebrauchsanweisung des Anbieters einzusetzen
    • Menschliche Aufsicht — Qualifizierte Personen mit der erforderlichen Kompetenz, Schulung, Befugnis und Unterstützung benennen, um den Systembetrieb zu überwachen
    • Eingabedaten-Relevanz — Wenn der Betreiber die Eingabedaten kontrolliert, sicherstellen, dass sie für die Zweckbestimmung relevant und ausreichend repräsentativ sind
    • Überwachung — Den Systembetrieb anhand der Gebrauchsanweisung überwachen und den Anbieter über etwaige Risiken oder schwerwiegende Vorfälle informieren
    • Log-Aufbewahrung — Automatisch erzeugte Logs für mindestens 6 Monate aufbewahren
    • Arbeitnehmerinformation — Arbeitnehmervertreter und betroffene Arbeitnehmer informieren, bevor ein hochriskantes KI-System am Arbeitsplatz eingesetzt wird
    • Grundrechte-Folgenabschätzung — Bestimmte Betreiber (öffentliche Stellen, private Anbieter öffentlicher Dienste) müssen vor der Nutzung eine Bewertung der Auswirkungen auf Grundrechte durchführen

    Pflichten von Importeur & Händler

    Importeure (Artikel 23) müssen überprüfen, dass der Anbieter die Konformitätsbewertung abgeschlossen, technische Dokumentation erstellt, CE-Kennzeichnung angebracht und einen bevollmächtigten Vertreter benannt hat. Ein nicht konformes System dürfen sie nicht in Verkehr bringen.

    Händler (Artikel 24) müssen das Vorhandensein von CE-Kennzeichnung, EU-Konformitätserklärung und Gebrauchsanweisung überprüfen. Sie müssen sicherstellen, dass Lagerungs- und Transportbedingungen die Konformität nicht beeinträchtigen.

    Sanktionsstruktur (Artikel 99)

    VerstoßMaximale Geldbuße
    Verbotene KI-Praktiken (Art. 5)35 Mio. EUR oder 7% des weltweiten Umsatzes
    Pflichten von Anbieter, Betreiber, Importeur, Händler15 Mio. EUR oder 3% des weltweiten Umsatzes
    Unrichtige oder irreführende Angaben gegenüber Behörden7,5 Mio. EUR oder 1% des weltweiten Umsatzes

    Für KMU und Start-ups sind Geldbußen auf den jeweils niedrigeren Wert (Prozentsatz oder Festbetrag) begrenzt. Mildernde Umstände sind etwa Selbstanzeige, Grad der Kooperation und bereits umgesetzte technische Maßnahmen.

    Fazit: Die EU-KI-Verordnung ist nicht optional. Wenn Sie KI-Systeme in der EU entwickeln, einsetzen, importieren oder vertreiben, müssen Sie Ihre Pflichten jetzt erfassen. Die Regeln zu verbotenen Praktiken sind bereits in Kraft, und die vollständigen Pflichten für Hochrisiko-Systeme gelten ab August 2026.

    LandingRed automatisiert all das

    Hör auf, Compliance in Tabellen zu verwalten. Klassifiziere, dokumentiere, bewerte und überwache deine KI-Systeme aus einer Plattform.