KI-Verordnung 2025: Der Praxisleitfaden für deutsche Unternehmen

Als Unternehmerin wissen Sie: Künstliche Intelligenz (KI) ist längst im Tagesgeschäft angekommen – in HR-Prozessen, im Kundenservice, in Medizinprodukten oder in der Produktion. Genau hier setzt die Verordnung über Künstliche Intelligenz (EU-AI Act) an. Die EU hat 2024 die weltweit erste umfassende Regulierung für KI-Systeme beschlossen; erste Pflichten gelten bereits seit 2. Februar 2025, weitere folgen im August 2025 und 2026. Worum es geht? Grundrechte schützen, Risiken minimieren, Innovation ermöglichen – und zwar mit einem risikobasierten Ansatz, der verbotene KI-Praktiken, Hochrisiko-KI-Systeme, Transparenz und Aufsicht klar regelt.

Unternehmen aller Branchen sind adressiert – vom Start-up bis zum Konzern. Wer nicht vorbereitet ist, riskiert empfindliche Bußgelder bis 35 Mio. € oder 7 % des weltweiten Umsatzes.

Für Sie als Unternehmer bedeutet das konkret: Der Einsatz von KI-Systemen muss transparent, sicher und rechtskonform erfolgen. Erste Regelungen wie Verbote gefährlicher KI und eine verpflichtende Schulungspflicht für Mitarbeiter sind bereits aktiv. Weitere umfangreiche Dokumentations- und Transparenzauflagen folgen gestaffelt bis 2026. Bei Verstößen drohen empfindliche Strafen von bis zu 35 Millionen Euro oder 7 Prozent vom Jahresumsatz.

Dieser Leitfaden bietet Ihnen einen faktenbasierten Überblick und praxisnahe Empfehlungen zur KI-Verordnung, damit Ihr Unternehmen KI-Compliance erreicht und gleichzeitig die Chancen von KI-Technologien weiterhin optimal nutzen kann.

Die wichtigsten Erkenntnisse auf einen Blick

• Stufenweiser Zeitplan: Das EU-KI-Gesetz ist am 1. August 2024 in Kraft getreten und wird schrittweise bis August 2026 vollständig wirksam. Erste Pflichten gelten bereits seit dem 2. Februar 2025.
• Risikobasierter Ansatz: KI-Systeme werden in vier Risikostufen eingeteilt – von minimalem Risiko bis zu Hochrisiko-KI (u. a. Risikomanagement, Daten-Governance, CE-Kennzeichnung)– mit jeweils unterschiedlichen Auflagen. Unakzeptable KI-Praktiken wie Social Scoring oder manipulative KI sind seit 2025 EU-weit verboten.
• Pflichten für alle Unternehmen: Jedes Unternehmen, das künstliche Intelligenz entwickelt oder nutzt, muss neue Vorgaben erfüllen. Dazu zählen Transparenzpflichten bei KI-generierten Inhalten, Risikomanagement für Hochrisiko-Anwendungen sowie umfassende technische Dokumentation.
• Schulungspflicht seit Februar 2025: Artikel 4 der KI-Verordnung verpflichtet Arbeitgeber, ein ausreichendes Maß an KI-Kompetenz bei allen beteiligten Personen sicherzustellen. Dennoch haben bislang laut Bitkom-Umfrage 70 Prozent der Beschäftigten bislang keine KI-Schulung erhalten.
• Deutsche Aufsichtsstruktur im Aufbau: Die Bundesnetzagentur soll als zentrale KI-Aufsichtsbehörde fungieren. Bis August 2025 muss in jedem EU-Staat eine Marktüberwachungsstelle benannt sein.

Was ist die KI-Verordnung?

Die EU-KI-Verordnung (Verordnung EU 2024/1689) schafft einen einheitlichen Rechtsrahmen mit dem Ziel, Chancen und Risiken von KI auszubalancieren. Auf der einen Seite soll Innovation gefördert werden, auf der anderen Seite müssen Grundrechte, Sicherheit und Privatsphäre gewahrt bleiben

Zentral ist dabei ein risikobasierter Ansatz: Die Anforderungen richten sich nach dem Gefahrenpotenzial eines KI-Systems.

Das  EU-KI-Gesetz regelt konkret:

• Welche KI-Praktiken grundsätzlich verboten sind
• Welche Pflichten Hersteller und Betreiber von Hochrisiko-KI erfüllen müssen
• Welche Transparenzregeln für bestimmte KI-Systeme gelten
• Die Einrichtung von Aufsichtsbehörden und Meldewegen in den Mitgliedstaaten
• Sanktionen bei Verstößen in einem gestaffelten Bußgeldsystem

Wann tritt die KI-Verordnung in Kraft?

Der Zeitplan: Wichtige Meilensteine von 2024 bis 2026

Das KI-Gesetz wird schrittweise umgesetzt. Ein klarer Überblick über die Fristen hilft Ihnen bei der Compliance-Planung:

1. August 2024 – Inkrafttreten: Die Verordnung tritt 20 Tage nach Veröffentlichung im EU-Amtsblatt formal in Kraft. Die meisten Pflichten werden jedoch erst verzögert anwendbar.

2. Februar 2025 – Erste Kernregelungen:

• Verbotene KI-Praktiken mit inakzeptablem Risiko dürfen nicht mehr betrieben werden
• Die Schulungspflicht für KI-Kompetenz wird wirksam
• Unternehmen müssen Maßnahmen ergreifen, um die KI-Kompetenz ihrer Mitarbeiter sicherzustellen

2. August 2025 – Weitere Compliance-Anforderungen:

• Transparenzpflichten für KI mit begrenztem Risiko (Kennzeichnung von Chatbots und KI-generierten Inhalten)
• Dokumentations- und Sorgfaltspflichten für Anbieter und Betreiber
• Die Bundesnetzagentur sollte bis dahin als zentrale Aufsichtsbehörde benannt sein

2. August 2026 – Vollständige Anwendbarkeit: Sämtliche Anforderungen werden endgültig wirksam, insbesondere alle Vorgaben für Hochrisiko-KI. Bestehende KI-Systeme müssen bis dahin konform gemacht werden.

Bis 2027 – Letzte Übergangsfristen: Bestands-KI-Systeme, die vor August 2026 im Einsatz waren, müssen erst bei wesentlicher Änderung oder spätestens ab August 2027 vollständig compliant sein.

Wer wird durch die KI-Verordnung in die Pflicht genommen?

Die KI-Verordnung der EU erfasst grundsätzlich alle Akteure entlang der KI-Wertschöpfungskette – unabhängig von der Unternehmensgröße. Das betrifft:

• Anbieter von KI-Systemen (Hersteller, Entwickler, Importeure)
• Betreiber von KI-Systemen (Unternehmen, die KI in eigener Verantwortung einsetzen)
• Händler und Vertrieb (die KI-Systeme in Verkehr bringen)
• Nutzer in gewerblichem Kontext

Was gilt als KI-System?

Die KI-Verordnung definiert KI-Systeme sehr breit und technologieneutral. Entscheidend ist nicht die verwendete Technologie, sondern dass ein softwarebasiertes System autonome Entscheidungen treffen kann. Die Europäische Kommission hat im Februar 2025 erläuternde Leitlinien zur KI-Definition veröffentlicht, um Unklarheiten zu reduzieren.

Beispiele für KI-Systeme reichen von ChatGPT über Bildgenerierungs-KI bis hin zu Entscheidungsalgorithmen im Bewerbermanagement oder bei der Kreditprüfung. Selbst kleine Unternehmen und Handwerksbetriebe sind einbezogen, sobald sie KI-Tools einsetzen – etwa eine Buchhaltungssoftware mit KI-Modul.

Die vier Risikostufen der KI-Verordnung

Inakzeptables Risiko: Verbotene KI-Praktiken ab Feb 2025

Seit dem 2. Februar 2025 sind laut AlgorithmWatch acht KI-Praktiken EU-weit verboten:

• Manipulative KI-Systeme, die Menschen unbewusst zu schädlichem Verhalten verleiten
• Social Scoring durch Behörden oder im öffentlichen Bereich
• Biometrische Massenüberwachung in Echtzeit im öffentlichen Raum (mit engen Ausnahmen)
• Anlegen von Gesichtsdatenbanken durch massenhaftes Abgreifen aus dem Internet
• KI-gestützte Vorhersage individueller Straftaten auf Basis von Persönlichkeitsprofilen
• Emotionserkennung am Arbeitsplatz oder in Schulen

Der Betrieb solcher Systeme ist illegal und zieht die höchsten Bußgelder nach sich: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Vorjahresumsatzes.

Hochrisiko-KI: Strenge Auflagen für kritische Anwendungen

KI-Systeme mit signifikanten Risiken für Gesundheit, Sicherheit oder Grundrechte gelten als Hochrisiko-KI. Dazu gehören etwa:

• KI in der Personalverwaltung (automatisierte Bewerberauswahl, Mitarbeiterbeurteilung)
• Kreditvergabe und Finanzbewertung
• Medizinische Diagnostik und KI-gestützte Medizingeräte
• KI in Polizei und Justiz (etwa bei Asylentscheidungen)
• Autonome Fahrzeuge und kritische Infrastruktur

Anbieter solcher Systeme müssen laut IHK München ab August 2025 umfangreiche Maßnahmen umsetzen:

• Risikomanagement-System während der gesamten Entwicklung
• Daten-Governance mit qualitätsgesicherten Trainingsdaten
• Technische Dokumentation zur Konformität
• Automatische Protokollierung von Aktivitäten und Entscheidungen
• Menschliche Aufsicht zur Kontrolle der KI
• CE-Kennzeichnung nach erfolgreicher Konformitätsbewertung

Begrenztes Risiko: Transparenz ist Pflicht

In diese Kategorie fallen KI-Systeme, die mit Menschen interagieren, jedoch keine hohen Schäden erwarten lassen. Beispiele sind Chatbots, virtuelle Assistenten und Deepfake-Generatoren.

Diese müssen nicht vorab zertifiziert werden, aber Transparenzanforderungen einhalten:

• KI muss als KI erkennbar gemacht werden
• Generierte Inhalte müssen gekennzeichnet sein
• Nutzer müssen informiert werden, wenn sie mit KI interagieren

Minimales Risiko: Keine speziellen Auflagen

Viele verbreitete KI-Anwendungen wie Spam-Filter, Rechtschreibkorrekturen oder unkritische Produktempfehlungen gelten als niedriges Risiko. Für sie ordnet die KI-Verordnung keine neuen Pflichten an. Die EU ermutigt jedoch zu freiwilligen Verhaltenskodizes.

Die neue Schulungspflicht für KI-Kompetenz

Eine der wichtigsten Neuerungen für deutsche Arbeitgeber ist die Pflicht zur Förderung der KI-Kompetenz. Artikel 4 der KI-Verordnung verlangt seit dem 2. Februar 2025, dass Unternehmen "die erforderlichen Maßnahmen ergreifen, um ein ausreichendes Maß an KI-Kompetenz bei den beteiligten Personen sicherzustellen".

Wen betrifft die Schulungspflicht?

Die Pflicht erstreckt sich auf alle Personen im Unternehmen, die mit KI-Systemen entwickeln, betreiben oder deren Ergebnisse nutzen:

• Festangestellte Mitarbeiter in relevanten Funktionen
• Führungskräfte, die KI-gestützte Entscheidungen treffen
• IT-Fachleute und Entwickler
• Externes Personal wie Freelancer und Berater
• Auszubildende und Praktikanten in KI-relevanten Bereichen

Selbst der Betriebsrat sollte KI-Grundwissen haben, um seine Beteiligungsrechte wahrnehmen zu können.

Wie sollten Unternehmen die Schulung durchführen?

Die Verordnung gibt keinen starren Lehrplan vor, sondern räumt Gestaltungsspielraum ein:

• Praxisnähe: Inhalte sollten sich an konkreten Aufgaben orientieren
• Angemessenheit: Die Schulungstiefe richtet sich nach Vorbildung und Rolle
• Flexibles Format: Ob eLearning, Workshops oder Präsenzseminare – Sie können das Format frei wählen
• Kontinuierliche Updates: KI-Technologie entwickelt sich ständig, daher sind regelmäßige Auffrischungen sinnvoll

Die EU-Kommission arbeitet an Guidelines zur Schulungspflicht. Diskutiert werden interne KI-Richtlinien, die Ernennung eines KI-Beauftragten und die Einrichtung von KI-Arbeitsgruppen.

Zahlen zeigen erheblichen Nachholbedarf

Laut Bitkom-Umfrage vom Juli 2025 haben 70 Prozent der Berufstätigen in Deutschland noch keine KI-Fortbildung von ihrem Arbeitgeber erhalten. Nur 20 Prozent wurden bereits geschult. Dem Rest wurde eine Schulung in Aussicht gestellt o.ä. Diese Zahlen zeigen einen erheblichen Nachholbedarf – obwohl die Pflicht seit Februar 2025 gilt.

Praktischer Fahrplan: 5 Schritte zur KI-Compliance

1. KI-Inventur durchführen

Erstellen Sie eine Liste aller KI-Anwendungen in Ihrem Unternehmen. Oft läuft KI unbemerkt in CRM- oder Analyse-Tools mit. Notieren Sie für jedes System: Zweck, Hersteller, Einsatzbereich und potenzielle Risikostufe. Bitkom bietet hierfür Checklisten und ein Kategorisierungstool an.

2. Risikobewertung vornehmen

Bewerten Sie jedes KI-System gemäß den vier Risikostufen. Ein Chatbot auf Ihrer Website fällt unter begrenztes Risiko und benötigt Kennzeichnung. Ein Mitarbeiter-Überwachungstool wäre wahrscheinlich Hochrisiko mit umfassenden Anforderungen.

3. Governance und Verantwortlichkeiten festlegen

Identifizieren Sie interne Verantwortliche – etwa einen KI-Compliance-Beauftragten oder erweitern Sie die Rolle des Datenschutzbeauftragten. Größere Firmen richten interdisziplinäre KI-Governance-Teams ein. Legen Sie eine KI-Richtlinie fest, die Freigabeprozesse und ethische Grundsätze definiert.

4. Technische & organisatorische Maßnahmen (TOMs) umsetzen

Je nach Risikostufe:

• Verbotene KI: Sofort abschalten oder ersetzen
• Hochrisiko-KI als Betreiber: CE-Konformität vom Anbieter einfordern, menschliche Überwachung etablieren
• Hochrisiko-KI als Anbieter: Konformitätsbewertung starten, Logging und Dokumentation integrieren
• Begrenztes Risiko: Transparenz-Hinweise implementieren

5. Mitarbeiter schulen und Kultur schaffen

Stellen Sie rollenbasierte Schulungspläne auf. Beginnen Sie mit Awareness-Maßnahmen und bieten Sie dann gezielte Trainings an. Fördern Sie eine Kultur, in der Mitarbeiter Fragen stellen dürfen und Leitlinien leicht zugänglich sind.

Unterstützung und Tools für die Umsetzung

Sie müssen bei der KI-Compliance nicht bei null anfangen:

Branchen-Leitfäden: Bitkom hat einen 220-seitigen Umsetzungsleitfaden veröffentlicht. Auch IHKs bieten Info-Pakete speziell für den Mittelstand.

Checklisten und Selbsttests: Es gibt zahlreiche FAQ und Ratgeber mit Check, ob ein KI-System hochriskant ist. Solche Tools helfen, nichts zu übersehen.

Software-Tools: Es entstehen erste Compliance-Management-Lösungen, die KI-Systeme dokumentieren und überwachen. Für KMU sind derzeit oft noch Excel-Listen das Mittel der Wahl.

Schulungsangebote: Zahlreiche Anbieter von IHK-Akademien bis zu privaten Weiterbildungsträgern bieten KI-Schulungen an. Das Elements-of-AI-Programm wurde ins Deutsche übertragen und kann als kostenloses Basistraining dienen.

Behördliche Beratung: Die Bundesnetzagentur hat einen KI-Service-Desk eingerichtet, an den Unternehmen Fragen zur Anwendung der KI-Verordnung richten können.

Bußgelder und Durchsetzung

Die KI-Verordnung übernimmt das Prinzip hoher Geldbußen aus der DSGVO und staffelt sie nach Schwere des Verstoßes:

• Schwere Verstöße (verbotene KI-Praktiken): bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes
• Sonstige Pflichtenverletzungen (Hochrisiko-KI): bis zu 15 Millionen Euro oder 3 Prozent vom Umsatz
• Formale Verstöße (Dokumentationsmängel): bis zu 7,5 Millionen Euro oder 1 Prozent vom Umsatz

Aufsichtsbehörden in Deutschland

Laut BMDS ist das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) in Vorbereitung. Geplanter "hybrider Ansatz":

• Die Bundesnetzagentur als zentrale KI-Aufsichtsbehörde
• Branchenspezifische Aufseher bleiben in ihren Bereichen zuständig (BfArM für Medizinprodukte, KBA für Fahrzeuge, BaFin für Finanzdienstleistungen)
• Landesbehörden für bestimmte Bereiche wie Hochschulen oder Landespolizei

Schnittstellen zu DSGVO und anderen Gesetzen

Die KI-Verordnung steht nicht allein – sie ergänzt bestehende Regelwerke:

• Datenschutz (DSGVO): KI-Systeme verarbeiten oft personenbezogene Daten. Die DSGVO gilt weiterhin uneingeschränkt neben der KI-Verordnung. Bei Hochrisiko-KI kann die KI-Dokumentation als Input für die Datenschutz-Folgenabschätzung dienen.
• Urheberrecht: KI-generierter Content genießt keinen automatischen Urheberrechtsschutz, da der menschliche Schöpfer fehlt. Wenn KI bestehende Werke "lernt", können urheberrechtliche Probleme auftreten.
• Arbeitsrecht: Der Betriebsrat hat Mitbestimmungsrechte bei KI-Systemen, die Verhalten oder Leistung überwachen. Die KI-Verordnung fordert Transparenz gegenüber Arbeitnehmern, entbindet aber nicht von der Betriebsratsbeteiligung.

Fazit: KI-Compliance als Chance nutzen

Die KI-Verordnung 2025 bringt Herausforderungen, aber auch Gestaltungsmöglichkeiten für deutsche Unternehmen. Wer frühzeitig die Weichen stellt, kann vertrauenswürdige KI zum Wettbewerbsvorteil machen.

Über 63 Prozent der Firmen haben laut CRIF/EY-Studie bislang kaum Maßnahmen ergriffen – hier können Sie positiv herausstechen. Die wichtigsten Schritte: Kennen Sie Ihre KI-Systeme, bewerten Sie deren Risiken und investieren Sie jetzt in Schulung und Dokumentation.

Spätestens ab 2026 werden die Behörden durchgreifen. Sehen Sie KI-Compliance nicht nur als Pflicht, sondern als Teil Ihrer Corporate Digital Responsibility. Wer KI verantwortungsvoll nutzt, stärkt seine Marke und vermeidet teure Pannen.

Jetzt kostenlose Ersteinschätzung sichern

Haben Sie Fragen zur KI-Verordnung oder möchten Sie Ihren Compliance-Fahrplan prüfen lassen? Vereinbaren Sie Ihr Erstgespräch mit ODC Legal – wir bringen Ihre KI-Systeme rechtssicher auf Kurs.

FAQ – Häufige Fragen zur KI-Verordnung

Wann tritt die KI-Verordnung in Kraft?

Die KI-Verordnung ist am 1. August 2024 in Kraft getreten, aber die Pflichten werden gestaffelt wirksam. Erste Vorgaben gelten seit 2. Februar 2025, die meisten weiteren ab 2. August 2025, vollständig anwendbar ist das Gesetz ab August 2026.

Wen betrifft die KI-Verordnung – auch kleine Unternehmen?

Ja, die EU-KI-Verordnung gilt für alle Unternehmen unabhängig von der Größe, sobald KI-Systeme beruflich eingesetzt werden. Auch ein kleiner Handwerksbetrieb mit KI-Chatbot muss die Vorgaben beachten.

Welche KI-Anwendungen sind durch die Verordnung verboten?

Verboten sind KI-Praktiken mit inakzeptablem Risiko wie manipulative KI, Social Scoring, weitreichende biometrische Massenüberwachung und Emotionserkennung am Arbeitsplatz. Diese dürfen seit Februar 2025 EU-weit nicht mehr betrieben werden.

Müssen Unternehmen ihre Mitarbeiter zur KI-Nutzung schulen?

Ja, seit 2. Februar 2025 verlangt Artikel 4 der KI-Verordnung von allen Unternehmen, die KI einsetzen, ihre Beschäftigten im Umgang mit KI-Systemen zu schulen. Mitarbeiter sollen ein ausreichendes Maß an KI-Kompetenz erwerben.

Wer kontrolliert die Einhaltung der KI-VO in Deutschland?

Die Überwachung soll durch die Bundesnetzagentur als zentrale Behörde in Zusammenarbeit mit bestehenden Fachaufsichten erfolgen. Bis August 2025 wird die offizielle Aufsichtsstruktur festgelegt.

‍