EU KI-Gesetz Compliance 2026: Was Jedes Unternehmen, das KI Einsetzt, Wissen Muss

Das EU KI-Gesetz — der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz — trat im August 2024 vollständig in Kraft, und seine Bestimmungen werden in einem gestaffelten Zeitplan bis 2026 und 2027 umgesetzt. Wenn Ihr Unternehmen KI in einem kundenbezogenen oder entscheidungsrelevanten Kontext nutzt, sind Sie mit hoher Wahrscheinlichkeit betroffen.

Dieser Beitrag verzichtet auf juristischen Fachjargon und gibt Ihnen, was Sie wirklich brauchen: welche Regeln für Sie gelten, bis wann, und was zu tun ist.

Hinweis: Dies ist ein praktischer Leitfaden, keine Rechtsberatung. Für verbindliche Compliance-Entscheidungen konsultieren Sie einen qualifizierten Rechtsanwalt mit Kenntnissen im EU-KI-Recht.

Der Vier-Stufen-Risikorahmen

Das EU KI-Gesetz klassifiziert KI-Systeme in vier Risikostufen. Ihre Verpflichtungen skalieren mit der Stufe.

Stufe	Beispiele	Verpflichtung
Inakzeptabel	Social Scoring, Biometrische Echtzeit-Überwachung an öffentlichen Orten, unterschwellige Manipulation	Vollständiges Verbot. Bußgelder bis zu 35 Mio. € oder 7 % des globalen Umsatzes.
Hohes Risiko	Lebenslauf-Screening, Kreditbewertung, Medizinprodukte, kritische Infrastruktur, Strafverfolgungswerkzeuge	Pflichtkonformitätsbewertung, Risikomanagement, Daten-Governance, menschliche Aufsicht, Transparenz gegenüber Nutzern.
Begrenztes Risiko	Chatbots, Deepfake-Generatoren, Emotionserkennungstools	Transparenzpflichten — Nutzer müssen wissen, dass sie mit KI interagieren.
Minimales Risiko	KI-gestützte E-Mail-Filter, Empfehlungsmaschinen, die meisten internen Produktivitätswerkzeuge	Keine Pflichtanforderungen; freiwillige Verhaltenskodizes werden gefördert.

Die meisten Unternehmen, die Claude oder ähnliche LLMs für interne Produktivität, Inhaltserstellung oder Kunden-Support-Chatbots verwenden, fallen unter Begrenztes Risiko. Die zentrale Pflicht: Nutzern klar machen, dass sie mit einem KI-System interagieren.

Was Sich 2026 Geändert Hat

Februar 2025 — Verbot verbotener Praktiken in Kraft KI-Systeme mit inakzeptablem Risiko wurden in der gesamten EU illegal. Social Scoring durch Behörden, biometrische Kategorisierung anhand sensibler Merkmale und KI, die psychologische Schwächen ausnutzt, sind nun verboten.

August 2025 — GPAI-Regeln und Governance-Pflichten Regeln für KI-Modelle für allgemeine Zwecke (GPAI) — die Basis-Modelle wie Claude, GPT-4o und Mistral abdecken — wurden anwendbar. Anbieter müssen Modellkarten veröffentlichen, das Urheberrecht einhalten und adversariales Testen durchführen.

2026 (laufend) — Verhaltenskodizes finalisiert Das KI-Büro der EU hat den freiwilligen Verhaltenskodex für GPAI-Anbieter finalisiert. Anthropic, Google und Microsoft gehören zu den Unterzeichnern. Die Einhaltung des Kodex schafft eine Vermutung der Compliance.

August 2026 — Volle Pflichten für Hochrisiko-KI Das volle Hochrisiko-KI-Regime gilt. Lebenslauf-Screening-Tools, Kreditentscheidungssysteme und medizinische KI müssen Konformitätsbewertungen abschließen und sich in der EU-Datenbank registrieren.

GPAI-Modelle: Was Anbieter Wie Anthropic Tun Müssen

KI-Modelle für allgemeine Zwecke mit ausreichender Leistungsfähigkeit (gemessen in FLOPs für das Training, mit der aktuellen Schwelle bei 10²⁵ FLOPs) unterliegen zusätzlichen Pflichten:

Technische Dokumentation — Veröffentlichung einer ausreichend detaillierten Modellkarte zu Trainingsdaten, Architektur und beabsichtigter Nutzung.
Urheberrechts-Compliance — Dokumentation, dass Trainingsdaten das EU-Urheberrecht einhalten, einschließlich der Text- und Data-Mining-Ausnahme.
Adversariales Testen — Red-Teaming vor der Bereitstellung und Teilen der Ergebnisse mit dem EU-KI-Büro auf Anfrage.
Systemrisikomodelle — Modelle über einer höheren Leistungsschwelle stehen vor zusätzlichem adversaralem Testen, Vorfallsberichterstattung und Cybersicherheitspflichten.

Anthropic hat sich mit dem EU-KI-Büro auseinandergesetzt und nimmt am GPAI-Verhaltenskodex-Prozess teil. Claude-Modelle, die über die Anthropic-API genutzt werden, profitieren von Anthropics Compliance-Arbeit auf Anbieterebene — aber Betreiber (das sind Sie) haben noch immer eigene Pflichten.

Was Claude-Betreiber Tun Müssen

Auch wenn Sie nur die Claude-API aufrufen, sind Sie ein Betreiber im Sinne des Gesetzes. Was das in der Praxis bedeutet:

Für Bereitstellungen mit Begrenztem Risiko (Chatbot)

Fügen Sie eine klare Offenlegung hinzu, dass Nutzer vor Beginn des Gesprächs mit einem KI-System interagieren.
Gestalten Sie das System nicht so, dass Nutzer getäuscht werden, sie sprächen mit einem Menschen.
Wenn synthetisches Audio, Video oder Bilder generiert werden, kennzeichnen Sie diese als KI-generiert.

Für Hochrisiko-Bereitstellungen

Führen Sie vor der Bereitstellung eine Folgenabschätzung zu Grundrechten durch.
Implementieren Sie ein Risikomanagementsystem mit dokumentierten menschlichen Aufsichtsverfahren.
Führen Sie Protokolle, die für eine nachträgliche Prüfung ausreichen (mindestens 6 Monate für die meisten Anwendungsfälle).
Benennen Sie eine für die KI-Compliance verantwortliche Person (das Gesetz erfordert keine dedizierte Rolle, aber Verantwortlichkeit muss dokumentiert sein).
Registrieren Sie das System in der EU-Datenbank, bevor Sie es für Endnutzer bereitstellen.
Erstatten Sie innerhalb von 15 Werktagen nach einem schwerwiegenden Vorfall Bericht bei Ihrer nationalen Behörde.

Die Transparenzpflicht in der Praxis

Die unmittelbarste Anforderung für die meisten KMU ist auch die einfachste: Sagen Sie den Leuten, dass sie mit KI sprechen. Ein Satz zu Beginn eines Chat-Widgets — "Dieser Assistent wird von KI betrieben. Bei komplexen Problemen können Sie einen Menschen unter [E-Mail] erreichen." — erfüllt die Kernpflicht.

Was Sie nicht dürfen:

Der KI einen menschlichen Namen und eine Persona geben, ohne offenzulegen, dass sie KI-betrieben ist.
Das System so gestalten, dass es leugnet, eine KI zu sein, wenn es aufrichtig gefragt wird.
Emotionserkennungs-KI bei Mitarbeitern oder Kunden ohne Offenlegung und in vielen Fällen ohne Einwilligung einsetzen.

Praktische Compliance-Checkliste für 2026

Hier ist eine minimale Checkliste für ein KMU, das Claude oder einen ähnlichen LLM in einem kundenbezogenen Kontext nutzt:

Klassifizieren Sie Ihren Anwendungsfall — Ist es Kunden-Support (Begrenztes Risiko)? Lebenslauf-Screening (Hohes Risiko)? Interne Suche (Minimales Risiko)? Kennen Sie Ihre Stufe vor allem anderen.
KI-Offenlegung hinzufügen — Aktualisieren Sie die Willkommensnachricht Ihres Chatbots, die E-Mail-Fußzeile oder die App-Benutzeroberfläche, um die KI-Beteiligung offenzulegen.
Datenpraktiken überprüfen — Stellen Sie sicher, dass die Daten, die Sie in Prompts einspeisen (Kundendaten, Mitarbeiterdaten), im Einklang mit der DSGVO behandelt werden. KI-Gesetz und DSGVO überschneiden sich hier erheblich.
Ihr System dokumentieren — Schreiben Sie eine einseitige Beschreibung, was die KI tut, welche Daten sie verarbeitet und welche menschliche Aufsicht besteht. Dies ist Ihre Basistechnische Dokumentation.
Eskalationspfad etablieren — Hochriskante Entscheidungen (Kredit, Beschäftigung, medizinisch) müssen eine menschliche Überprüfungsoption haben. Dokumentieren Sie sie.
Überwachen und protokollieren — Aktivieren Sie die Protokollierung in Ihren LLM-Aufrufen, die ausreicht, um Beschwerden oder anomale Ausgaben zu untersuchen.
Aktuell bleiben — Das EU-KI-Büro veröffentlicht regelmäßig Leitlinien. Abonnieren Sie deren Newsletter und überprüfen Sie Ihre Compliance-Position alle sechs Monate.

Sanktionen und Durchsetzung

Das Gesetz gibt nationalen Marktüberwachungsbehörden die Befugnis zu untersuchen, Korrekturen anzuordnen und Bußgelder zu verhängen. Die Strafstruktur:

Verbotene Praktiken: bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes (je nachdem, was höher ist).
Hochrisiko-Nichtkonformität: bis zu 15 Mio. € oder 3 % des globalen Umsatzes.
Falsche Informationen an Behörden: bis zu 7,5 Mio. € oder 1,5 % des Umsatzes.
KMU-Verhältnismäßigkeit: Das Gesetz verlangt von Behörden, Unternehmensgröße und finanzielle Kapazität zu berücksichtigen. KMU-spezifische Leitlinien des EU-KI-Büros werden entwickelt.

Die Durchsetzung in 2026 konzentriert sich hauptsächlich auf Hochrisiko- und Verbotspraktiken-Fälle. Das EU-KI-Büro hat signalisiert, dass es systemische GPAI-Modelle priorisieren wird, bevor es sich KMU-Betreibern in niedrigeren Risikostufen zuwendet. Proaktive Compliance ist dennoch weit günstiger als reaktive Sanierung.

Wie Das Ihre KI-Strategie Beeinflusst

Das EU KI-Gesetz ist nicht nur ein Compliance-Kästchen — es verändert, wie Unternehmen KI-Systeme gestalten. Muster, die wir bei Kunden beobachten:

Mensch-in-der-Schleife als Standard — Teams, die agentische KI mit voller Automatisierung entworfen haben, fügen menschliche Prüfgates für folgenreiche Entscheidungen hinzu.
Prüfpfade vom ersten Tag an — Das Protokollieren von Prompt-Eingaben und -Ausgaben ist nun eine Standard-Designanforderung, kein Nachgedanke.
Lieferanten-Due-Diligence — Beschaffungsteams fordern von KI-Anbietern technische Dokumentation und GPAI-Verhaltenskodex-Einhaltung, bevor sie Verträge unterzeichnen.
Datenschutz-KI-Konvergenz — Datenschutzbeauftragte und KI-Compliance-Leiter beginnen zusammenzuarbeiten. DSGVO-Datensparsamkeitsprinzipien gelten direkt für Training- und Fine-Tuning-Pipelines.

Fazit: Für die meisten KMU, die Claude für Produktivität oder Kunden-Support nutzen, ist Compliance in wenigen Tagen erreichbar — hauptsächlich durch Hinzufügen von Transparenzoffenlegungen und Dokumentation des Anwendungsfalls. Hochrisiko-Deployments erfordern mehr nachhaltigen Aufwand, idealerweise beginnend jetzt vor der Frist im August 2026.

Ressourcen

Benötigen Sie Hilfe bei der EU KI-Gesetz-Compliance?

Wir helfen kroatischen und europäischen Unternehmen, ihre KI-Anwendungsfälle zu klassifizieren, Transparenzanforderungen umzusetzen und prüffähige Dokumentation aufzubauen — damit Sie zuversichtlich deployen können, ohne rechtliches Risiko.

Mit einem KI-Compliance-Experten Sprechen