IT-Recht

Fit für die KI Regulierung?

12. August 2025
Anna von Dietze LL.M. (Sydney)

Fit für die KI Regulierung?

Künstliche Intelligenz (KI) ist in aller Munde, und viele Unternehmen verspüren Druck, durch KI Anwendungen Effizienz und Qualität interner Geschäftsprozesse zu steigern oder innovative Produkte und Dienstleistungen zu entwickeln. Doch das ist einfacher gesagt als getan: es sind nicht nur viele operative Hürden zu überkommen, sondern auch die komplexen rechtlichen Vorgaben der neuen EU-Verordnung über Künstliche Intelligenz (KIVO) zu erfüllen.

In diesem Beitrag erläutern wir Hintergründe der KIVO und teilen Tipps, wie Unternehmen sich effizient und strategisch auf die kommenden Pflichten vorbereiten können.

1. Balanceakt zwischen Innovation und Risikominimierung

Die KIVO verfolgt das Ziel, Vertrauen in KI-Systeme zu schaffen und mit KI einhergehende Risiken zu begrenzen, ohne dabei Innovation zu bremsen. Dabei steht nicht die Technologie an sich im Fokus, sondern ihr jeweiliger konkreter Anwendungszweck: die gesetzlichen Anforderungen variieren, je nachdem, ob ich KI im HR-Bereich, im Controlling oder in der kritischen Infrastruktur einsetze.

2. Vier Risikoklassen

Je höher das von einem KI-System ausgehende Risiko insbesondere für Gesundheit, Sicherheit oder Grundrechte natürlicher Personen, desto strenger sind die einzuhaltenden Vorgaben. Die KIVO unterteilt KI-Systeme in vier Risikoklassen:

a) KI-Systeme, von denen ein unannehmbares Risiko ausgeht, sind schlichtweg verboten.

Beispiele sind Anwendungen zum Social Scoring oder Ableiten von Emotionen am Arbeitsplatz.

b) Hochrisiko KI-Systeme unterliegen sehr strengen Anforderungen.

Beispiele sind KI-Systeme für das Personalwesen, in der Medizin, in der Strafverfolgung oder in kritischer Infrastruktur.

c) KI-Systeme mit begrenztem Risiko unterliegen Kennzeichnungs- bzw. Transparenzpflichten.

Beispiele sind mit Menschen interagierende KI-Systeme wie Chatbots, oder KI- Systeme zur Erzeugung von Text-, Video-, Bild- oder Audioinhalten.

d) KI mit minimalem Risiko sind nicht reguliert.

Beispiele sind Spamfilter oder Bestandsverwaltungssysteme.

Aus rechtlicher Sicht bedürfen insbesondere die Hochrisiko KI-Systeme und die KI-Systeme mit begrenztem Risiko Aufmerksamkeit, da es hier Pflichten zu erfüllen gibt. Seit Juli bietet die Bundesnetzagentur einen KI Service Desk und Compliance Kompass an. Über einen digitalen Fragenkatalog können Unternehmen ermitteln, ob die Verordnung einschlägig ist und ggf. welcher Risikoklasse ihre KI-Anwendungen unterfallen.

3. Hochrisiko KI

Die KIVO unterscheidet zwischen zwei Arten von Hochrisiko KI:

  • Produktbezogene Hochrisiko KI (Art. 6 Abs. 1, Anhang I): Hier lehnt sich die KIVO an bestehende EU-Produktregulierung an. KI wird dann zur Hochrisiko KI, wenn sie als Sicherheitsbauteil eines regulierten Produktes verwendet werden soll oder selbst ein solches Produkt ist, und die Produktregulierung für das Produkt eine Konformitätsbewertung durch Dritte vorschreibt. → Beispiel: KI, die automatisiert CT Scans der Lunge analysiert und dem Arzt Verdachtsdiagnosen vorschlägt oder KI, die die Sicherheit einer Seilbahn überwacht.

  • Einsatzbezogene Hochrisiko KI (Art. 6 Abs. 2, Anhang III): Hier designiert die KIVO KI-Systeme als hochriskant, die in bestimmten Bereichen verwendet werden sollen, wie z.B. in Bildungseinrichtungen, im Personalmanagement oder in der Strafverfolgung. → Beispiel: KI wird eingesetzt, um Jobbewerbungen oder Kreditwürdigkeit zu bewerten.

4. KI mit begrenztem Risiko

KI-Systeme mit begrenztem Risiko sind insbesondere solche, von denen zwar kein hohes Risiko ausgeht, die aber direkt mit Nutzern interagieren (z.B. Chatbots) oder synthetische Inhalte wie Texte, Bilder oder Videos erzeugen. Die KIVO erfordert hier Transparenz. Nutzer müssen darauf hingewiesen werden, dass sie mit KI interagieren oder KI generierte Inhalte sehen, es sei denn, dies ist ohnehin offensichtlich oder das System dient der Strafverfolgung.

5. Wer ist betroffen?

Die KIVO betrifft alle wichtigen Akteure im Lebenszyklus eines KI-Systems: Anbieter (Unternehmen, die KI entwickeln/ entwickeln lassen und unter eigenem Namen vermarkten), Betreiber (Unternehmen, die KI eigenverantwortlich einsetzen), Hersteller regulierter Produkte (wenn KI als Sicherheitsbauteil integriert wird) sowie Importeure und Händler (mit Prüfpflichten, z.B. CE-Kennzeichnung bei Hochrisiko KI). Die bei Weitem strengsten Pflichten liegen bei Anbietern, etwa Risikomanagement, technische Dokumentation und Konformitätsbewertung. Betreiber müssen den sicheren, zweckgemäßen Einsatz und menschliche Aufsicht der KI-Systeme sicherstellen und sollten keine Änderungen an der KI vornehmen, die sie unbeabsichtigt zum strenger regulierten Anbieter machen.

6. Zeitliche Staffelung – was gilt wann?

Die KIVO tritt stufenweise in Kraft; Fristverlängerungen der EU-Mitgliedsstaaten wurden abgelehnt:

  • Seit 2. Februar 2025: Verbot bestimmter KI-Anwendungen.

  • Seit 2. August 2025: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, Sanktionen, Benennung nationaler Behörden (Deutschland im Verzug).

  • Ab 2. August 2026: Pflichten für einsatzbezogene Hochrisiko KI und KI mit begrenztem Risiko (wichtiger Stichtag für viele Unternehmen, erfordert frühzeitige Vorbereitung).

  •  Ab 2. August 2027: Vorschriften für produktbezogene Hochrisiko KI.

7. Was Unternehmen jetzt tun sollten

  • KI-Bestandsaufnahme und Risikoklassifizierung durchführen – Wo wird bereits KI genutzt, was ist geplant? Hier sind insbesondere Hochrisiko-Anwendungen zu identifizieren.

  • Die eigene Rolle für regulierte KI-Anwendungen ermitteln – Welche Rolle hat das Unternehmen für identifizierte Anwendungen inne – Anbieter, Betreiber, andere? Das ist wichtig, um die zu erfüllenden Pflichten zu ermitteln.

  • Compliance Maßnahmen ermitteln, planen und umsetzen – Welche Maßnahmen (Dokumentation, Risikoanalyse, Kennzeichnungen, etc.) sind notwendig, um die regulatorischen Pflichten zu erfüllen?

  • KI-Nutzungsrichtlinie – Die KIVO erfordert diese nicht, aber es empfiehlt sich eine solche zu erstellen und intern zu veröffentlichen. Klare Regelungen zum Umgang mit KI mindern nicht nur Risiken, sondern schaffen auch Vertrauen bei Mitarbeitenden und Kunden.

Unsere Kanzlei begleitet Unternehmen dabei, die KIVO pragmatisch, rechtssicher und wirtschaftlich sinnvoll zu erfüllen. Sprechen Sie uns gern an.

Die Autorin

Anna von Dietze
LL.M. (Sydney)
Counsel
Anna von Dietze

Mehr Artikel zu

Zurück zur Übersicht
IT-RechtComplianceDaten, Digitalisierung & KI

Das könnte sie auch interessieren

Kümmerlein –
15. Januar 2026
Janin Schmidt
IT-Recht

Cloud-Switching: Neue Rechte und Pflichten durch den Data Act

Kümmerlein –
28. November 2025
Anna von Dietze LL.M. (Sydney)
Datenschutz

Der digitale Omnibus – U-Turn oder weiter auf der gleichen Spur?

Kümmerlein –
26. November 2025
Dr. Noëlly Jaspers
Compliance

KI-Grundsatzurteil Gema vs. Open AI: Urheberrechtliche Hürden beim KI-Training