Die EU-KI-Verordnung trat im August 2024 in Kraft und bringt einen schrittweisen Umsetzungszeitplan für Unternehmen, die KI-Produkte entwickeln, verwenden oder importieren. Je nach Risikostufe und Rolle in der Lieferkette gelten unterschiedliche Fristen für die Einhaltung der Vorschriften. Hier finden Sie eine Aufschlüsselung der wichtigsten Daten.

Wer hat im Zeitplan für die EU-KI-Verordnung welche Frist zur Erfüllung der Vorschriften?

Die EU-KI-Verordnung hat einen gestaffelten Umsetzungszeitplan. Einige Unternehmen haben noch bis 2027 Zeit, um die neuen Anforderungen umzusetzen. Andere müssen schon 2026 compliant sein, während neue KI-Entwickler die Auswirkungen bereits im August 2025 spüren werden. 

Um zu wissen, welche Frist für Sie gilt, sollten Sie drei Faktoren berücksichtigen: 

  • Die Rolle Ihres Unternehmens in der KI-Lieferkette (sind Sie ein Anbieter, ein Bereitsteller oder eine andere Art von Betreiber) 
  • Das Risikoniveau Ihres KI-Systems 
  • Für Anbieter: Ist Ihr KI-System bereits auf dem Markt verfügbar oder wird es erst nach August 2025 verfügbar sein?

Welche Rolle spielen Sie in der KI-Lieferkette? 

Unternehmen haben unterschiedliche Verantwortlichkeiten und Fristen, je nachdem, ob sie ein KI-System entwickeln, nutzen oder importieren. Der Sammelbegriff für jeden an der Lieferkette Beteiligten ist "Akteur”. Aufgeschlüsselt in spezifischere Rollen können die Akteure unterteilt werden in: 

Anbieter 

Anbieter entwickeln das KI-System. Stellen Sie sich für diesen Fall zum Beispiel ein Unternehmen vor, das KI entwickelt, um große Teile der Transaktionsüberwachung einer Bank zu automatisieren und vorausschauende Analysen anzubieten. 

Betreiber 

Betreiber nutzen KI-Systeme. In Anlehnung an das vorherige Beispiel wäre eine Bank oder ein anderes Finanzinstitut, das die KI kauft und nutzt, ein Betreiber.  

Einführer 

Einführer bringen ein KI-System unter dem Namen oder der Marke eines anderen Unternehmens mit Sitz außerhalb der Europäischen Union in die EU ein. 

Händler 

KI-Vertriebspartner sind keine Anbieter oder Importeure, spielen aber dennoch eine Rolle bei der Bereitstellung von KI-Systemen auf dem Markt. 

Welches Risiko ist mit der KI verbunden? 

Die EU-KI-Verordnung ordnet die verschiedenen Arten von KI nach einem vierstufigen Risikosystem: 

  • Minimales Risiko: KI-Systeme, die ein geringes bis gar kein Risiko bergen, die Rechte des Einzelnen zu verletzen, z. B. Chatbots oder Inhaltsempfehlungen. 
  • Begrenztes Risiko: In diese Kategorie fallen General Purpose AI (GPAI)-Systeme. Für Akteure in dieser Risikokategorie gelten geringere Transparenzanforderungen, wenn ihre KI nicht das Potenzial hat, die öffentliche Gesundheit, die Grundrechte oder die Gesellschaft negativ zu beeinflussen. 
  • Hohes Risiko: Diese KI-Systeme werden am strengsten geprüft, bevor sie auf dem Markt zugelassen werden. Bei unsachgemäßem Einsatz können sie erhebliche Folgen für den Einzelnen haben. 
  • Unvertretbares Risiko: Ab Februar 2025 verbietet die EU-KI-Verordnung KI-Systeme, die die Sicherheit von Menschen gefährden könnten. 

Ist die KI bereits auf dem Markt? 

Wenn ein KI-System bereits auf dem Markt ist, haben die Betreiber mindestens bis 2026 Zeit, die EU-KI-Verordnung einzuhalten. Alle GPAI-Produkte, die nicht vor August 2025 auf den Markt kommen, müssen die neue Verordnung ab August 2025 einhalten. 

 

Welche wichtigsten Termine im Zeitplan für die EU-KI-Verordnung gelten für Ihr Unternehmen?

Unter Berücksichtigung dieser verschiedenen Faktoren gibt es drei Fristen, die für Sie gelten könnten: 

  • August 2025: Für Anbieter, deren GPAI-System noch nicht auf dem Markt ist 
  • August 2026: Für Akteure von KI-Systemen mit hohem Risiko
  • August 2027: Für Akteure von GPAI-Systemen, die bereits auf dem Markt sind 

Szenario #1: Anbieter von neuen GPAI-Systemen 

Haupttermin: August 2025 

KI-Systeme für allgemeine Zwecke, die nach dem 2. August 2025 auf den Markt kommen, müssen den Bestimmungen des Gesetzes entsprechen. 

Zum Zeitpunkt der Erstellung dieses Artikels arbeitet das neu eingerichtete KI-Büro für Künstliche Intelligenz an einem Verhaltenskodex für GPAI, der zusätzliche Orientierungshilfe bieten soll. 

Darüber hinaus sollten die Mitgliedstaaten ab dem 2. August 2025 festgelegt haben, welche Behörden zu benachrichtigen sind. Wenn Ihr Unternehmen ein Betreiber von GPAI ist, der bereits auf dem Markt ist, läuft die Frist bis 2027. 

Szenario #2: Akteure von KI-Systemen mit hohem Risiko 

Haupttermin: August 2026 

Ab August 2026 müssen Betreiber von KI-Systemen, die das Potenzial haben, erhebliche Folgen für Einzelpersonen mit sich zu bringen, die EU-KI-Verordnung einhalten. 

So werden beispielsweise Modelle, die in Bereichen wie Biometrie, kritische Infrastrukturen, Bildung, Beschäftigung oder öffentliche Dienste eingesetzt werden, genauer unter die Lupe genommen. 

Diese Kategorie kann sehr weit gefasst sein, weshalb sich die Europäische Kommission vorgenommen hat, bis Februar 2026 detailliertere Leitlinien und Beispiele zu liefern. 

Szenario #3: GPAI-Akteure, deren KI-System bereits auf dem Markt ist 

Haupttermin: August 2027 

Ab dem 2. August 2027 wird die EU-KI-Verordnung für alle anwendbar. Die einzige Ausnahme wären größere IT-Systeme, die in den Bereichen Freiheit, Sicherheit und Recht innerhalb der EU eine Rolle spielen. 

Dies ist auch die letzte Frist für Betreiber von KI-Modellen für allgemeine Zwecke, die bereits vor August 2025 im Einsatz waren. 

Für wen gelten welche Pflichten und Stichtage in der EU-KI-Verordnung?

Verpflichtungen für Anbieter 

Ähnlich wie die Risikostufe eines KI-Systems die endgültigen Fristen für die Einhaltung der Vorschriften bestimmt, legt sie auch fest, welche Schritte die Anbieter unternehmen müssen. 

Anbieter von GPAI-Systemen müssen für technische Dokumentation, Transparenz, menschliche Aufsicht, Überwachung nach dem Inverkehrbringen und die Minderung systemischer Risiken sorgen. 

Bei Systemen mit hohem Risiko sind die Verpflichtungen weitaus umfangreicher, worauf unsere Compliance-Experten in diesem Artikel eingehen.

Verpflichtungen für Betreiber 

Während die Anbieter eine große Verantwortung für die Sicherheit von KI-Systemen tragen, spielen auch die Betreiber eine Rolle bei der ordnungsgemäßen Implementierung und Beaufsichtigung der Systeme. 

Sie sind zwar nicht der KI-Anbieter, aber sie sind trotzdem dafür verantwortlich, wie das System genutzt wird. Die Betreiber müssen unter anderem die Datenqualität im Auge behalten, ihre Mitarbeitenden im richtigen Umgang mit der KI schulen und überwachen, ob alles wie vorgesehen funktioniert. 

Pflichten von Einführern und Händlern  

Einführer und Händler haben die Aufgabe zu überprüfen, ob das System, das sie auf den EU-Markt bringen, tatsächlich mit der EU-KI-Verordnung konform ist.  

Das bedeutet, dass sie sich vergewissern müssen, ob der Anbieter wichtige Schritte unternommen hat, wie z. B. die Durchführung einer Konformitätsbewertung, die Bereitstellung technischer Unterlagen, den Erwerb der europäischen Konformitätskennzeichnung und vieles mehr.  

Diese Akteure müssen auch sicherstellen, dass die Konformität nicht durch die Lagerung und den Transport des KI-Systems beeinträchtigt wird. Darüber hinaus müssen sie den zuständigen Behörden einschlägige Informationen zur Verfügung stellen und Aufzeichnungen zehn Jahre lang aufbewahren. 

Was sind die nächsten Schritte zur Einhaltung der EU-KI-Verordnung?

Unternehmen müssen sich für die Compliance mit der EU-KI-Verordnung auf mehrere Schlüsselbereiche konzentrieren: Einrichtung eines Risikomanagementsystems, Umsetzung von Data-Governance-Maßnahmen, Erstellung technischer Unterlagen, Pflege von Aufzeichnungen, Erstellung detaillierter Anweisungen und mehr. 

Jeder Fahrplan zur Einhaltung der Vorschriften ist sehr kontextabhängig und wird von Unternehmen zu Unternehmen unterschiedlich aussehen. Machen Sie sich mit den Details vertraut, indem Sie unseren ultimativen Leitfaden zu der EU-KI-Verordnung lesen. 

Häufig gestellte Fragen

Ab wann gilt die EU-KI-Verordnung verbindlich für Unternehmen?

Welche ersten Maßnahmen verlangt die EU-KI-Verordnung von Unternehmen?

Gilt die EU-KI-Verordnung auch für Unternehmen, die KI nur einsetzen und nicht selbst entwickeln?

Wie hängt die EU-KI-Verordnung mit DSGVO und anderen Compliance-Vorgaben zusammen?

🏢 Organization Schema Preview (Development Only)
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "Organization",
      "@id": "www.dataguard.de#organization",
      "name": "DataGuard",
      "legalName": "DataCo GmbH",
      "description": "DataGuard ist der führende europäische Anbieter von Security- und Compliance-Software und wird von über 4.000 Organisationen in mehr als 50 Ländern weltweit geschätzt. Wir helfen Ihnen, Sicherheits- und Compliance-Risiken zu identifizieren und zu managen, Compliance-Anforderungen zu erfüllen und Zertifizierungen schneller zu erreichen. Dabei kombinieren wir maßgeschneiderte Expertenberatung mit KI-gestützter Automatisierung. Unsere speziell entwickelte All-in-One-Plattform basiert auf mehr als 1,5 Millionen Stunden Erfahrung eines Teams zertifizierter Security- und Compliance-Experten.",
      "foundingDate": "2018",
      "taxID": "DE315880213",
      "logo": "https://7759810.fs1.hubspotusercontent-na1.net/hubfs/7759810/DataGuardLogo.svg",
      "url": "www.dataguard.de",
      "email": "info@dataguard.de",
      "telephone": "+49 89 452459 900",
      "address": {
        "@type": "PostalAddress",
        "streetAddress": "Sandstrasse 33",
        "addressLocality": "München",
        "addressRegion": "Bayern",
        "postalCode": "80335",
        "addressCountry": "Deutschland"
      },
      "sameAs": [
        "https://www.linkedin.com/company/dataguard1/",
        "https://www.youtube.com/channel/UCEQzPZ6sCBCj9cAoBvaLL6w",
        "https://x.com/i/flow/login?redirect_after_login=%2FDataGuard_dg"
      ]
    }
  ]
}

✅ Organization schema markup for "DataGuard" has been injected into the document head.