Einhaltung des EU-KI-Gesetzes: Was Unternehmen im Jahr 2026 wissen müssen

Das EU-Gesetz über künstliche Intelligenz (Verordnung (EU) 2024/1689) trat am 1. August 2024 in Kraft – die weltweit erste umfassende KI-Verordnung, die einen risikobasierten Rahmen für KI-Systeme festlegt, die auf dem EU-Markt eingesetzt werden oder sich auf den EU-Markt auswirken. Mit der schrittweisen Einführung der Verpflichtungen bis 2027 ist 2026 das entscheidende Jahr für die Compliance-Planung von Hochrisiko-KI-Systemen: Anbieter und Betreiber von Hochrisiko-KI müssen vor dem 2. August 2026 über Konformitätsbewertungen, technische Dokumentation und Governance-Rahmen verfügen.

Das EU-KI-Gesetz hat eine mit der DSGVO vergleichbare extraterritoriale Reichweite: Jedes KI-System, das auf den EU-Markt gebracht oder in der EU genutzt wird – unabhängig davon, wo der Anbieter ansässig ist – fällt in den Geltungsbereich. Für KI-Anbieter, Entwickler, Importeure, Händler und Bereitsteller, die EU-Märkte bedienen oder EU-Daten verarbeiten, ist die Einhaltung nicht optional.

Wichtige Erkenntnisse

• Das EU-KI-Gesetz legt vier Risikostufen fest: Inakzeptables Risiko (verboten), hohes Risiko, begrenztes Risiko und minimales Risiko
• Verbotene KI-Systeme müssen bis zum 2. Februar 2025 vom EU-Markt genommen werden
• KI-Systeme mit hohem Risiko unterliegen den anspruchsvollsten Verpflichtungen – Konformitätsbewertung, technische Dokumentation, Folgenabschätzung für Grundrechte, Überwachung nach dem Inverkehrbringen
• GPAI-Modelle (General Purpose AI) (wie GPT-4, Claude, Gemini) unterliegen besonderen Verpflichtungen; GPAI-Modelle für systemische Risiken unterliegen erhöhten Anforderungen
• Das Europäische KI-Büro (gegründet im März 2024) überwacht die GPAI-Modellverpflichtungen; Nationale Marktüberwachungsbehörden überwachen Hochrisiko-KI
• Bußgelder bei Nichteinhaltung: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Verstöße; bis zu 15 Millionen Euro oder 3 % für hochriskante KI-Verstöße
• Benannte Stellen für die Konformitätsbewertung durch Dritte werden benannt; Viele Hochrisikosysteme können sich selbst bewerten
• Verhaltenskodizes und harmonisierte Standards werden entwickelt – Überwachung der EASA und relevanter Gremien

---

Zeitplan und Einführung des EU-KI-Gesetzes

Die Verpflichtungen des KI-Gesetzes werden schrittweise über einen Zeitraum von drei Jahren eingeführt:

---

Risikoklassifizierungsrahmen

Das KI-Gesetz klassifiziert KI-Systeme in vier Risikostufen:

Stufe 1: Inakzeptables Risiko (verbotene KI)

Artikel 5 verbietet ab dem 2. Februar 2025 folgende KI-Systeme in der EU strikt:

• Unterschwellige Manipulation: KI-Systeme, die unterschwellige Techniken jenseits des Bewusstseins oder irreführende Techniken einsetzen, um das Verhalten erheblich zu verfälschen, und zwar auf eine Weise, die erheblichen Schaden verursacht oder wahrscheinlich verursachen wird
• Ausnutzung von Schwachstellen: KI, die Schwachstellen bestimmter Gruppen (Alter, Behinderung, soziale/wirtschaftliche Situation) ausnutzt, um das Verhalten erheblich zu verzerren
• Social Scoring durch Behörden: KI-Systeme, die von oder im Auftrag von Behörden verwendet werden, um Personen anhand ihres Sozialverhaltens oder persönlicher Merkmale zu bewerten oder zu klassifizieren, die zu einer nachteiligen Behandlung führen
• Biometrische Echtzeit-Identifizierung in öffentlichen Räumen: Ferngesteuerte biometrische Echtzeit-Identifizierungssysteme, die in öffentlich zugänglichen Räumen für Strafverfolgungszwecke eingesetzt werden (enge Ausnahmen für Terrorismus, schwere Kriminalität, vermisste Kinder)
• Biometrische Kategorisierung basierend auf geschützten Attributen: KI, die Personen basierend auf biometrischen Daten kategorisiert, um daraus Rasse, ethnische Zugehörigkeit, Religion, politische Meinungen, sexuelle Orientierung und Gewerkschaftsmitgliedschaft abzuleiten
• Emotionserkennung am Arbeitsplatz und in der Bildung: KI-Systeme, die auf Emotionen am Arbeitsplatz oder in der Bildung schließen (mit wenigen Ausnahmen)
• Kriminalitätsvorhersage basierend auf Profiling: Prädiktive Polizeiarbeits-KI, die ausschließlich auf Profiling ohne individuelle Bewertung basiert
• Ungezieltes Scraping von Gesichtserkennungsdatenbanken: KI, die Gesichtserkennungsdatenbanken durch ungezieltes Scraping erstellt oder erweitert

Maßnahmen erforderlich: Wenn Ihr KI-System in eine dieser Kategorien fällt, ist ein sofortiger Rückzug vom EU-Markt erforderlich. Wenn Funktionen Ihres KI-Produkts diesen Definitionen nahe kommen, ist eine rechtliche Prüfung unerlässlich.

Stufe 2: Hochrisiko-KI

Für KI-Systeme mit hohem Risiko (Artikel 6 und Anhang III) gelten die umfassendsten Compliance-Verpflichtungen. Der Hochrisikostatus gilt für:

KI als Sicherheitskomponente regulierter Produkte (Anhang I): KI-Systeme, die Sicherheitskomponenten von Produkten sind, die der EU-Harmonisierungsgesetzgebung unterliegen (medizinische Geräte, Maschinen, Luftfahrt, Automobil, Spielzeug, Aufzüge, Druckgeräte, persönliche Schutzausrüstung, Funkgeräte, In-vitro-Diagnostika, Schiffsausrüstung, Seilbahnen, land- und forstwirtschaftliche Fahrzeuge, Schienensysteme, Sportboote, Sprengstoffe)

Eigenständige Hochrisiko-KI-Systeme (Anhang III – 8 Kategorien):

1. Biometrische Identifizierung und Kategorisierung natürlicher Personen: Biometrische Echtzeit- und Post-Remote-Identifizierung; biometrische Verifizierung; biometrische Kategorisierung
2. Kritische Infrastruktur: KI verwaltet oder betreibt kritische digitale Infrastruktur, Straßenverkehr oder Versorgungseinrichtungen (Wasser, Gas, Wärme, Strom)
3. Bildung und Berufsausbildung: KI bestimmt den Zugang zu Bildung, weist Bildungschancen zu und beurteilt Schüler
4. Beschäftigung und Arbeitnehmermanagement: Rekrutierung und Auswahl (Lebenslauffilterung, Beurteilung von Vorstellungsgesprächen), Leistungsbewertung, Beförderungs-/Entlassungsentscheidungen, Aufgabenverteilung in Gig-Economy-Plattformen
5. Zugang zu wesentlichen privaten Dienstleistungen und öffentlichen Dienstleistungen: KI zur Bewertung der Kreditwürdigkeit (außer Bonitätsprüfung für kleine Mengen/Zwecke), Bewertung des Versicherungsrisikos, Krankenversicherung
6. Strafverfolgung: Lügendetektoren, Bewertung der Beweissicherheit, Kriminalitätsrisikoprofilierung, Gesichtserkennung in Aufzeichnungen für strafrechtliche Ermittlungen
7. Migration, Asyl, Grenzkontrolle: KI für die Lügendetektorbeurteilung von Migranten/Asylsuchenden, Risikobewertung illegaler Grenzübertritte, Dokumentenüberprüfung, Unterstützung bei Anträgen
8. Rechtspflege und demokratische Prozesse: KI zur Interpretation von Fakten und Gesetzen bei Gerichtsentscheidungen, Beeinflussung von Wahlen/Wahlverhalten

Stufe 3: KI mit begrenztem Risiko

KI-Systeme mit Transparenzpflichten, aber ohne Konformitätsbewertung:

• Chatbots und KI-Interaktion: Den Benutzern muss offengelegt werden, dass sie mit einem KI-System interagieren (es sei denn, dies ergibt sich aus dem Kontext).
• Emotionserkennung und biometrische Kategorisierung: Offenlegung gegenüber Einzelpersonen, wenn sie diesen Systemen unterliegen
• Deepfakes: KI-generierte Inhalte als künstlich generiert oder manipuliert kennzeichnen (besonders wichtig für Wahl-, Nachrichten- und Bildungsinhalte)

Stufe 4: KI mit minimalem Risiko

KI-Systeme, die ein minimales Risiko darstellen (Spamfilter, KI-gestützte Videospiele, KI in der Qualitätskontrolle in der Fertigung), unterliegen über die allgemeinen produktrechtlichen Anforderungen hinaus keinen besonderen Verpflichtungen nach dem KI-Gesetz. Ermutigt zur freiwilligen Einhaltung von Verhaltenskodizes.

---

Verpflichtungen zu KI-Systemen mit hohem Risiko

Wenn Ihr KI-System als Hochrisiko eingestuft wird, gelten folgende Pflichten (Kapitel 3 und 5):

1. Risikomanagementsystem (Artikel 9)

Richten Sie ein dokumentiertes Risikomanagementsystem ein und pflegen Sie es, das den gesamten Lebenszyklus des KI-Systems abdeckt:

• Identifizierung und Analyse vernünftigerweise vorhersehbarer Risiken für Gesundheit, Sicherheit und Grundrechte
• Einschätzung und Bewertung von Risiken
• Auswertung anhand von Überwachungsdaten nach dem Inverkehrbringen
• Risikomanagementmaßnahmen (Restrisiko akzeptabel, beseitigt oder gemindert)

2. Daten und Datenverwaltung (Artikel 10)

Trainings-, Validierungs- und Testdaten müssen bestimmte Qualitätskriterien erfüllen:

• Relevant, repräsentativ, fehlerfrei und für den beabsichtigten Zweck vollständig
• Untersuchen Sie mögliche Vorurteile und ergreifen Sie geeignete Gegenmaßnahmen
• Bias-Erkennung, insbesondere hinsichtlich geschützter Merkmale (Rasse, Geschlecht, Alter, Behinderung)
• Dokumentation der Datenherkunft

3. Technische Dokumentation (Artikel 11 und Anhang IV)

Bereiten Sie vor dem Inverkehrbringen eine umfassende technische Dokumentation vor:

• Allgemeine Beschreibung des KI-Systems
• Detaillierte Beschreibung der Elemente und des Entwicklungsprozesses
• Überwachung, Funktion und Steuerung des Systems
• Validierungs- und Testverfahren
• Dokumentation des Risikomanagements
• Änderungen im Laufe des Lebenszyklus
• Liste der angewandten harmonisierten Normen
• Kopie der EU-Konformitätserklärung

4. Führung und Protokollierung von Aufzeichnungen (Artikel 12)

Bei KI-Systemen mit hohem Risiko muss die automatische Protokollierung während des gesamten Betriebs aktiviert sein:

• Aufzeichnung von Ereignissen, die für die Beurteilung der Compliance relevant sind
• Betriebsprotokolle zur Identifizierung von Risiken und Vorfällen
• Protokolle werden je nach Anwendungsfall für einen angemessenen Zeitraum aufbewahrt (mindestens 6 Monate für die biometrische Identifizierung; 3 Jahre für Beschäftigungs-KI).

5. Transparenz und Information für Betreiber (Artikel 13)

Hochriskante KI muss transparent genug sein, damit die Entwickler verstehen, was sie tut. Anbieter müssen den Bereitstellern Folgendes zur Verfügung stellen:

• Gebrauchsanweisung (klar, vollständig, richtig, verständlich)
• Informationen über Fähigkeiten und Einschränkungen
• Leistungsmetriken für bestimmte Gruppen
• Eingabedatenspezifikationen
• Informationen, die es den Betreibern ermöglichen, ihrer Pflicht zur Folgenabschätzung bezüglich der Grundrechte nachzukommen

6. Menschliche Aufsicht (Artikel 14)

Hochrisiko-KI muss so konzipiert und entwickelt werden, dass sie eine menschliche Aufsicht ermöglicht:

• Fähigkeit, Fähigkeiten und Grenzen vollständig zu verstehen
• Fähigkeit, den Betrieb zu überwachen und Anomalien zu erkennen
• Möglichkeit, das System außer Kraft zu setzen, zu unterbrechen oder zu stoppen
• Fähigkeit, Ergebnisse zu interpretieren (insbesondere biometrische und Beschäftigungs-KI)
• Bei vollautomatisierten Entscheidungen: risikogerechte Überwachungsmaßnahmen

7. Genauigkeit, Robustheit und Cybersicherheit (Artikel 15)

Hochrisiko-KI muss ein angemessenes Maß an Folgendem erreichen:

• Dem beabsichtigten Zweck entsprechende Genauigkeit
• Robustheit gegenüber Fehlern, Störungen, Inkonsistenzen und gegnerischen Angriffen
• Cybersicherheit während des gesamten Lebenszyklus; gegnerische Robustheitsbewertung

8. Qualitätsmanagementsystem (Artikel 17)

Anbieter müssen ein Qualitätsmanagementsystem implementieren, das Folgendes umfasst:

• Strategie zur Einhaltung gesetzlicher Vorschriften
• Techniken und Prozesse für das KI-Systemdesign
• Systemvalidierungs- und Testverfahren
• Pflege der technischen Dokumentation
• Überwachung nach dem Inverkehrbringen
• Rahmenwerk zur Rechenschaftspflicht und Genehmigung durch die Geschäftsleitung

9. EU-Konformitätserklärung (Artikel 47)

Anbieter müssen vor dem Inverkehrbringen eine schriftliche EU-Konformitätserklärung ausstellen und die CE-Kennzeichnung anbringen.

10. Registrierung in der EU-Datenbank (Artikel 49)

KI-Systeme mit hohem Risiko (Anhang III) müssen vor dem Inverkehrbringen in der EU-Datenbank registriert werden. Die Datenbank zum EU-KI-Gesetz wird vom Europäischen KI-Büro eingerichtet.

---

Pflichten des General Purpose AI (GPAI)-Modells

Kapitel V (Artikel 51–56) befasst sich speziell mit Allzweck-KI-Modellen – großen KI-Modellen, die auf riesigen Datenmengen trainiert werden und ein breites Spektrum an Aufgaben ausführen können (GPT-4, Claude, Gemini, Llama). Die Verpflichtungen gelten für GPAI-Modell-Anbieter, nicht für Bereitsteller.

Alle GPAI-Modellanbieter (Artikel 53)

• Erstellen und pflegen Sie technische Dokumentation für nationale Behörden und das AI-Büro
• Bereitstellung von Informationen und Dokumentation für nachgeschaltete Anbieter, die GPAI in ihre KI-Systeme integrieren
• Einhaltung der Urheberrechtsbestimmungen (Richtlinie 2001/29/EG) – Bereitstellung einer Zusammenfassung der Trainingsdaten
• Veröffentlichen Sie eine Zusammenfassung der für die Schulung verwendeten Inhalte

Systemrisiko-GPAI-Modelle (Artikel 55)

GPAI-Modelle mit systemischem Risiko – definiert als Modelle, die mit einer Gesamtrechenleistung von mehr als 10^25 FLOPs trainiert wurden – unterliegen erhöhten Verpflichtungen:

• Gegnerisches Testen (Red-Teaming) gemäß modernsten Protokollen
• Meldung schwerwiegender Vorfälle und Korrekturmaßnahmen an AI Office
• Cybersicherheitsschutz für Modellgewichte, Architektur und Trainingsdaten
• Energieeffizienzberichterstattung

Das European AI Office führt eine Liste von GPAI-Modellen für systemische Risiken. Zu den aktuell ausgewiesenen Modellen gehören GPT-4 und vergleichbare Grenzmodelle. Wenn die Rechenkosten sinken, kann dieser Schwellenwert im Laufe der Zeit mehr Modelle erfassen.

---

Konformitätsbewertungsprozess

Bei der Konformitätsbewertung wird vor der Markteinführung festgestellt, ob ein Hochrisiko-KI-System den Anforderungen des KI-Gesetzes entspricht.

Selbstbewertung (Interne Kontrolle – Anhang VI): Für die meisten Anhang-III-KI-Systeme mit hohem Risiko (mit Ausnahme der biometrischen Identifizierung) können Anbieter die Konformität selbst bewerten. Dazu gehört, dass der Anbieter die vollständige Bewertung aller geltenden Anforderungen durchführt und dokumentiert, die Konformitätserklärung unterzeichnet und die technische Dokumentation verwaltet.

Bewertung durch Dritte (benannte Stelle): Erforderlich für biometrische Identifikationssysteme (Anhang III, Punkt 1) und Sicherheitskomponenten-KI in Produkten nach Anhang I, wenn die relevanten Harmonisierungsvorschriften eine Bewertung durch Dritte erfordern.

Benannte Stellen: Von EU-Mitgliedstaaten benannt und in der NANDO-Datenbank veröffentlicht. Die Benennung benannter Stellen für das KI-Gesetz ist im Gange – Organisationen sollten angesichts wahrscheinlicher Kapazitätsengpässe frühzeitig benannte Stellen beauftragen.

---

Anforderungen an das AI Governance Framework

Die Artikel 26 und 57–63 legen Governance-Anforderungen für Organisationen fest, die hochriskante KI einsetzen (nicht nur bereitstellen):

Verpflichtungen des Anbieters:

• Weisen Sie einen menschlichen Prüfer zu, der befugt ist, KI-Entscheidungen in Anwendungsfällen mit hohem Risiko außer Kraft zu setzen
• Stellen Sie sicher, dass das Personal, das Hochrisiko-KI bedient, geschult und kompetent ist
• Durchführung von Folgenabschätzungen zu Grundrechten (FRIAs) für bestimmte Hochrisiko-KI, die von öffentlichen Stellen oder in bestimmten Kontexten des privaten Sektors eingesetzt werden
• Überwachung des Betriebs von KI-Systemen; Vorfälle den Anbietern melden
• Bewahren Sie Betriebsprotokolle für einen Mindestaufbewahrungszeitraum auf

Allgemeine KI-Kenntnisse: Gemäß Artikel 4 müssen Anbieter und Betreiber sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kenntnisse verfügen – Verständnis der für ihre Rolle relevanten KI-Fähigkeiten, -Einschränkungen und -Risiken.

---

Checkliste zur Einhaltung des EU-KI-Gesetzes

• Bestandsaufnahme der KI-Systeme abgeschlossen – Bewertung aller genutzten, bereitgestellten oder eingesetzten KI-Systeme
• Risikoklassifizierung für jedes KI-System festgelegt (verboten, hohes Risiko, begrenztes Risiko, minimales Risiko)
• Verbotene KI-Systeme (Anhang I) bis Februar 2025 zurückgezogen oder geändert
• GPAI-Modellverpflichtungen werden bewertet, wenn LLMs oder Basismodelle bereitgestellt werden
• KI-Systeme mit hohem Risiko identifiziert – Konformitätsbewertungsansatz festgelegt (selbst oder benannte Stelle)
• Technische Dokumentation für jedes Hochrisiko-KI-System erstellt
• Risikomanagementsystem dokumentiert
• Data-Governance-Verfahren für Trainings-/Validierungs-/Testdaten dokumentiert
• Automatische Protokollierung in KI-Systemen mit hohem Risiko implementiert
• Menschliche Aufsichtsmechanismen für Hochrisiko-KI implementiert
• EU-Konformitätserklärung erstellt und CE-Kennzeichnung angebracht
• KI-Systeme mit hohem Risiko in der EU-Datenbank registriert
• Qualitätsmanagementsystem für die KI-Entwicklung etabliert
• Gebrauchsanweisungen für Bereitsteller erstellt
• Plan zur Überwachung nach dem Inverkehrbringen erstellt
• KI-Kompetenzprogramm für relevantes Personal implementiert
• FRIA-Prozess für anwendbare Deployer-Kontexte eingerichtet

---

Häufig gestellte Fragen

Gilt das EU-KI-Gesetz für KI-Tools, die wir intern verwenden und nicht extern verkaufen?

Ja, wenn diese Tools in die Hochrisikokategorien fallen. Das KI-Gesetz gilt sowohl für Anbieter (die KI entwickeln und auf den Markt bringen) als auch für Betreiber (die KI-Systeme im beruflichen Kontext nutzen). Eine Organisation, die ein hochriskantes KI-System eines Drittanbieters (z. B. ein KI-gestütztes Rekrutierungsscreening-Tool) einsetzt, unterliegt den Pflichten des Betreibers, einschließlich menschlicher Aufsicht, Personalschulung und Folgenabschätzungen für Grundrechte. Der Anbieter dieses Tools hat Anbieterpflichten, einschließlich Konformitätsbewertung und technischer Dokumentation.

Wir verwenden die API von OpenAI, um eine KI-Funktion zu erstellen – sind wir der Anbieter oder der Bereitsteller?

Sie sind wahrscheinlich ein Anbieter eines Hochrisiko-KI-Systems, wenn das gesamte von Ihnen eingesetzte KI-System in eine Hochrisikokategorie fällt (Anhang III). OpenAI ist ein GPAI-Modellanbieter mit eigenen Verpflichtungen gemäß Kapitel V. Wenn Sie ein GPAI-Modell in eine bestimmte KI-Anwendung für einen regulierten Anwendungsfall integrieren (z. B. Lebenslaufprüfung, Bonitätsbeurteilung), werden Sie zum Anbieter dieses spezifischen KI-Systems und tragen die Hochrisikopflichten gemäß Anhang III. OpenAI (als GPAI-Modellanbieter) muss Ihnen technische Dokumentation und Informationen zur Verfügung stellen, um Ihre Compliance zu ermöglichen.

Was ist eine Folgenabschätzung für Grundrechte (FRIA) und wann ist sie erforderlich?

Bei einer FRIA handelt es sich um eine dokumentierte Bewertung der möglichen Auswirkungen eines Hochrisiko-KI-Systems auf Grundrechte – Privatsphäre, Nichtdiskriminierung, freie Meinungsäußerung, Zugang zur Justiz usw. Gemäß Artikel 27 müssen Betreiber von Hochrisiko-KI-Systemen, bei denen es sich um öffentliche Einrichtungen oder private Betreiber handelt, die wesentliche Dienstleistungen erbringen (Bankwesen, Bildung, Gesundheitswesen), vor der Einführung des Systems eine FRIA durchführen. Bei der Bewertung wird berücksichtigt: Welche Rechte könnten beeinträchtigt sein, welche Risiken entstehen, wie können Risiken gemindert werden, wer ist verantwortlich? Der FRIA muss bei der zuständigen Marktüberwachungsbehörde registriert sein.

Wie interagiert das EU-KI-Gesetz mit der DSGVO?

Die beiden Verordnungen ergänzen sich. Die DSGVO gilt, wenn KI-Systeme personenbezogene Daten verarbeiten. Das KI-Gesetz gilt für KI-Systeme unabhängig davon, ob sie personenbezogene Daten verarbeiten – es deckt die Gestaltung, den Einsatz und die Überwachung von KI-Systemen ab. Beides gilt gleichzeitig, wenn Hochrisiko-KI personenbezogene Daten verarbeitet: Für die Datenverarbeitung gelten die DSGVO-Anforderungen an Rechtsgrundlage, Datenminimierung und DSFA-Anforderungen; Für das KI-System gelten die Anforderungen des KI-Gesetzes an Risikomanagement, Protokollierung, menschliche Aufsicht und Konformitätsbewertung. Wo das KI-Gesetz und die DSGVO sich überschneidende Anforderungen haben (z. B. Transparenz, automatisierte Entscheidungsfindung), muss die Einhaltung beider erreicht werden.

Welche Strafen drohen bei Verstößen gegen das AI Act?

Die Bußgelder sind nach der Schwere des Verstoßes gestaffelt: (1) Verbotene KI-Verstöße (Artikel 5): bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist; (2) Andere Verstöße gegen KI-Verpflichtungen mit hohem Risiko: bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes; (3) Bereitstellung falscher, unvollständiger oder irreführender Informationen an Behörden: bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes. Für KMU und Startups gelten geringere Höchstbeträge für Verpflichtungen nach den Absätzen (2) und (3). Das Europäische KI-Büro hat die Durchsetzungsbefugnis für GPAI-Modelle. Die nationalen Marktüberwachungsbehörden setzen dies in ihrem Hoheitsgebiet durch.

Wann müssen wir unser KI-System in der EU-Datenbank registrieren?

Hochrisiko-KI-Systeme, die unter Anhang III fallen, müssen registriert werden, bevor sie auf den EU-Markt gebracht oder in Betrieb genommen werden. Die Datenbank zum EU-KI-Gesetz wird vom Europäischen KI-Büro eingerichtet. Mit Ablauf der Frist vom 2. August 2026 gelten die Registrierungspflichten vollständig für eigenständige Hochrisiko-KI (Anhang III). Für die Registrierung sind Folgendes erforderlich: Angaben zum Anbieter, Name und Version des KI-Systems, Verwendungszweck, Benutzerkategorien, Hochrisikokategorie, Angaben zur Konformitätsbewertung und Referenz zur Konformitätserklärung.

---

Nächste Schritte

Das EU-KI-Gesetz stellt einen grundlegenden Wandel in der Art und Weise dar, wie KI-Systeme auf dem EU-Markt entwickelt, bewertet und eingesetzt werden müssen. Für Technologieunternehmen, die KI-Produkte entwickeln – ob interne Tools oder kundenorientierte Anwendungen – erfordert Compliance die Integration der KI-Governance in Ihren Produktentwicklungslebenszyklus vom Design über die Bereitstellung bis hin zur Überwachung nach der Markteinführung.

Die OpenClaw-KI-Plattformdienste von ECOSIRE sind auf die Einhaltung des EU-KI-Gesetzes ausgelegt. Unser Team unterstützt Unternehmen bei der Bewertung ihrer KI-Systeme im Rahmen des Risikorahmens des Gesetzes, bei der Implementierung erforderlicher Governance-Kontrollen und bei der Vorbereitung auf die Konformitätsbewertung.

Entdecken Sie KI-Compliance-Dienste: ECOSIRE OpenClaw Services

Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Leitlinien zur Umsetzung des EU-KI-Gesetzes, harmonisierte Standards und Verhaltenskodizes befinden sich noch in der Entwicklung. Wenden Sie sich an einen qualifizierten EU-Rechtsberater, um spezifische Ratschläge zu Ihren KI-Systemen zu erhalten.