Fünf Regelwerke bestimmen, wie Unternehmen in Europa KI einsetzen dürfen. Hier erfahren Sie, was sie bedeuten, wen sie betreffen und ab wann sie gelten.
Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Er definiert Risikostufen, Pflichten für Anbieter und Betreiber und verbietet bestimmte KI-Praktiken.
Alle Unternehmen, die KI-Systeme in der EU anbieten, einführen oder einsetzen — unabhängig vom Firmensitz.
Schrittweise ab 2. Februar 2025. Verbote und KI-Kompetenzpflicht gelten bereits. Vollständige Hochrisiko-Pflichten ab 2. August 2026.
Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.
Entwickelt oder vertreibt ein KI-System unter eigenem Namen
Setzt ein fremdes KI-System im eigenen Geschäftsbetrieb ein
Bringt ein KI-System aus einem Drittland in den EU-Markt
Vertreibt ein KI-System, ohne es wesentlich zu verändern
Social Scoring durch Behörden, manipulative Techniken, Echtzeitbiometrie im öffentlichen Raum (mit engen Ausnahmen), Emotionserkennung am Arbeitsplatz. Diese Systeme sind in der EU verboten.
Systeme in Bereichen wie Personalwesen, Kreditvergabe, Bildung, kritische Infrastruktur, Biometrie, Medizin oder Justiz. Das entscheidende Merkmal ist der Einsatzkontext: Ein allgemeines KI-Modell wird zum Hochrisiko-System, sobald es für diese Zwecke eingesetzt wird.
Chatbots, KI-generierte Inhalte und andere Systeme, bei denen Nutzer wissen müssen, dass sie mit KI interagieren. Kennzeichnungs- und Informationspflichten gelten.
Die meisten KI-Anwendungen fallen in diese Kategorie, solange kein besonderer Risikokontext vorliegt. Spam-Filter, empfehlungsbasierte Funktionen, Produktivitäts-KI ohne kritischen Kontext.
Die DSGVO regelt den Schutz personenbezogener Daten in der EU. Sie gilt seit Mai 2018 und ist das zentrale Datenschutzgesetz.
Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet.
EU AI Act und DSGVO gelten parallel. KI-Systeme, die personenbezogene Daten verarbeiten, müssen beide Regelwerke erfüllen.
Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.
NIS2 verschärft die Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen in der EU.
Unternehmen in kritischen Sektoren ab 50 Mitarbeitern oder 10 Mio. € Umsatz.
KI-Systeme sind Teil der IKT-Infrastruktur. NIS2 verlangt deren Inventarisierung und Risikobewertung.
Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Die BaFin überwacht Banken, Versicherungen und Finanzdienstleister. MaRisk definiert die Mindestanforderungen an das Risikomanagement.
Alle von der BaFin beaufsichtigten Institute in Deutschland.
KI-Einsatz in Finanzinstituten muss zusätzlich die MaRisk-Anforderungen erfüllen, insbesondere bei automatisierten Entscheidungen.
Aufsichtsmaßnahmen, Anordnungen und Beschränkungen durch die BaFin.
DORA vereinheitlicht die Anforderungen an die digitale Betriebsstabilität im Finanzsektor der EU.
Finanzunternehmen und ihre kritischen IKT-Drittdienstleister.
Anwendbar seit Januar 2025.
Bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes — täglich, bis zu 6 Monate.
Von der ersten Idee bis zur vollständigen Umsetzung — alle Meilensteine des EU AI Act.
Alle Pflichten für Hochrisiko-KI-Systeme, Transparenzregeln und Marktüberwachung greifen umfassend.
KI-Kompetenzpflicht und Verbote gelten. GPAI-Pflichten sind aktiv. Die Vorbereitung auf die vollständigen Hochrisiko-Pflichten läuft.
Pflichten für Anbieter von General Purpose AI Modellen greifen.
Verbotene KI-Praktiken (Art. 5) und die KI-Kompetenzpflicht (Art. 4) gelten ab sofort.
Veröffentlichung im Amtsblatt. Die gestaffelte Umsetzung beginnt.
Das EU-Parlament nimmt die KI-Verordnung mit breiter Mehrheit an.
Nicht jede KI ist gleich — und nicht jede Datenverarbeitung ist in Ihrem Interesse. Diese Fragen sind es wert, gestellt zu werden.
Wenn Sie einer KI eine Frage stellen, geht diese Frage irgendwo hin. Bei vielen Diensten werden Eingaben auf Servern gespeichert — manchmal für 30 Tage, manchmal länger, manchmal zur Verbesserung des Modells genutzt. Wissen Sie, welche Regel für Ihre Tools gilt?
Hinter KI-Produkten stehen Unternehmen mit eigenen Datenschutzrichtlinien, Serverstandorten und Geschäftsmodellen. OpenAI, Google, Meta, chinesische Anbieter — die Rechtslage und die Datenschutzstandards unterscheiden sich erheblich.
Lokale Modelle (Ollama, LM Studio, GPT4All) verarbeiten Daten auf Ihrem Gerät — nichts verlässt Ihren Rechner. Cloud-Dienste senden Ihre Anfragen an externe Server. Das ist kein Werturteil, aber ein Unterschied, den Sie kennen sollten.
Diese Seite dient der allgemeinen Orientierung. Die Datenschutzbedingungen der einzelnen KI-Dienste sind in ihren jeweiligen Primärquellen zu finden.
Offizielle Primärquellen zu allen fünf Regelwerken.
Der interaktive Pflichten-Check zeigt Ihnen in drei Fragen, welche Anforderungen für Ihre Situation gelten.
Pflichten-Check starten App kostenlos laden