Home | KI-Verordnung 2025: Worauf Unternehmen bei der Nutzung von Künstlicher Intelligenz jetzt achten müssen

KI-Verordnung 2025: Worauf Unternehmen bei der Nutzung von Künstlicher Intelligenz jetzt achten müssen

KI Verordnung für Unternehmen 2025

Das Wichtigste in Kürze

  • Die KI Verordnung für Unternehmen gilt schrittweise: wichtige Verbote ab 2. Februar 2025, Vorgaben für allgemein einsetzbare Grundmodelle ab 2. August 2025, der Großteil der Regeln ab 2. August 2026; einzelne Produktvorgaben bis 2. August 2027.
  • Die meisten Firmen sind Nutzer bzw. Betreiber von KI. Sie brauchen Transparenz, menschliche Aufsicht, Protokollierung, klare Abläufe und Nachweise.
  • Alles beginnt mit der Risikoklasse: verboten, hoch, begrenzt, gering. Daran richten sich Ihre Pflichten aus.
  • Bei Basismodellen (allgemein einsetzbare Grundmodelle) sind zusätzliche Informationen vom Anbieter nötig. Künstlich erzeugte Inhalte müssen gegebenenfalls gekennzeichnet werden.
  • Pragmatischer Start: Bestandsaufnahme, Rollen klären, Anwendungsfälle einstufen, Mindestnachweise festlegen, 90-Tage-Fahrplan umsetzen.

Inhaltsverzeichnis

  1. Einleitung
  2. Was regelt die EU-KI-Verordnung?
  3. Wer ist betroffen? Rollen im Überblick
  4. Zeitplan 2025–2027
  5. So stufen Sie Ihre KI richtig ein
  6. Pflichten für Nutzer/Betreiber
  7. Transparenz und Kennzeichnung
  8. Allgemein einsetzbare Grundmodelle (Basismodelle)
  9. Steuerung und Verantwortlichkeiten
  10. Einkauf und externe Anbieter
  11. Sanktionen und Aufsicht
  12. Ihr 60–90-Tage-Fahrplan
  13. FAQ
  14. Glossar und Quellen

Einleitung

Die KI Verordnung für Unternehmen sorgt für klare Regeln beim Einsatz von Künstlicher Intelligenz. Grundidee: Je höher das Risiko für Menschen und Gesellschaft, desto strenger die Pflichten. Für Sie heißt das: Anwendungsfälle ordnen, Nachweise aufbauen, Zuständigkeiten klären. Dieser Leitfaden erklärt in einfacher Sprache, was jetzt zählt.

Was regelt die EU-KI-Verordnung?

  • EU-weit einheitliche Regeln für Entwicklung, Bereitstellung und Nutzung von KI-Systemen.
  • Einstufung in vier Risikoklassen: verboten, hoch, begrenzt, gering.
  • Pflichten je nach Rolle: Anbieter, Bevollmächtigter, Importeur, Händler, Nutzer/Betreiber.
  • Besondere Vorgaben für Basismodelle (allgemein einsetzbare Grundmodelle).
  • Staatliche Aufsicht, Marktüberwachung und Bußgelder sichern die Einhaltung.
BegriffKurz erklärtWarum es Sie betrifft
KI-SystemSoftware, die Inhalte, Prognosen oder Entscheidungen erzeugtMuss eingestuft, beaufsichtigt und dokumentiert werden
Nutzer/BetreiberUnternehmen, das ein KI-System in eigener Verantwortung einsetztTrägt Pflichten im Betrieb (Transparenz, Protokollierung, Aufsicht)
BasismodellAllgemein einsetzbares Grundmodell (z. B. Text- oder Bild-Erzeugung)Beim Einkauf sind zusätzliche Informationen und Nachweise nötig

Wer ist betroffen? Rollen im Überblick

Fast jedes Unternehmen nutzt heute KI – oftmals als Cloud-Dienst oder als Funktion in einer Fachanwendung. In den meisten Fällen sind Sie Nutzer bzw. Betreiber. Damit tragen Sie die Verantwortung für einen sicheren, nachvollziehbaren Einsatz.

RolleKernaufgabeWas Sie nachweisen sollten
Nutzer/BetreiberSicherer BetriebProzessbeschreibung, Regeln zur menschlichen Aufsicht, Protokolle, Schulungen
AnbieterKonforme Entwicklung und BereitstellungTechnische Unterlagen, Risikomanagementakte, Konformitätserklärung
Importeur/HändlerNur konforme Produkte in den Markt bringenCE-Prüfung, Rückverfolgbarkeit, Informationspflichten

Zeitplan 2025–2027

Planen Sie Ihre Umsetzung entlang dieser festen Termine:

DatumWas giltIhr Schritt
2. Februar 2025Verbote bestimmter KI-Praktiken, erste GrundanforderungenBestandsaufnahme, verbotene Anwendungen beenden
2. August 2025Vorgaben für BasismodelleInformationen/Nachweise der Anbieter einholen, Kennzeichnung planen
2. August 2026Großteil der Verordnung giltUnternehmensregel, Abläufe, Schulungen, Überwachung im Alltag verankern
2. August 2027Ausgewählte Produktvorgaben mit längerer FristSpezielle Konformitätsschritte im Produktumfeld abschließen

So stufen Sie Ihre KI richtig ein

  1. Anwendungsfall beschreiben: Zweck, betroffene Personen, getroffene Entscheidungen, mögliche Folgen.
  2. Risiko prüfen: Berührt der Einsatz Sicherheit, Grundrechte oder besonders schutzwürdige Bereiche? Dann Hochrisiko prüfen.
  3. Interaktion klären: Gibt es direkten Kontakt zu Kunden oder Beschäftigten? Dann gelten Transparenzpflichten.
  4. Entscheidung dokumentieren: Verboten / Hoch / Begrenzt / Gering – mit kurzer Begründung.
  5. Kontrollen festlegen: Passende Nachweise und Abläufe je Risikoklasse zuordnen.

Pflichten für Nutzer/Betreiber

Konzentrieren Sie sich auf fünf Bausteine. Nachweise kurz halten, aber eindeutig.

  • Risikomanagement: Bewertung je Anwendungsfall, Maßnahmenplan, regelmäßige Überprüfung.
  • Datenqualität: Herkunft, Verzerrungsrisiken, Prüfdatensätze, Aktualisierung.
  • Dokumentation und Protokollierung: Zweck, Eingaben/Ausgaben, Eingriffsrechte, Fehlermeldungen, Versionsstände.
  • Menschliche Aufsicht: klare Eingriffspunkte, Eskalationswege, Vier-Augen-Prinzip bei wichtigen Entscheidungen.
  • Fortlaufende Überwachung und Zwischenfälle: Überwachung im Betrieb, Abweichungen erkennen, Meldewege, geordnete Rücknahme bei Problemen.
PflichtKonkreter NachweisWer verantwortet?
RisikomanagementEin Blatt pro Anwendungsfall mit Risiko, Maßnahme, TerminFachbereich und Rechts-/Compliance-Stelle
Menschliche AufsichtArbeitsanweisung mit Stopp-KriterienFachbereich
ProtokollierungProtokollformat und AufbewahrungsdauerIT-Verantwortliche
ÜberwachungMonatliche Auswertung mit KennzahlenIT-Verantwortliche und Prozess-Eigentümer
KI-Verordnung Pflichten für Unternehmen

Transparenz und Kennzeichnung

  • Digitale Assistenten: Deutlicher Hinweis „Sie kommunizieren mit einem KI-System“. Einfache Möglichkeit zum Menschen zu wechseln.
  • Künstlich erzeugte Medien: Täuschend echte Bilder, Videos, Tonaufnahmen und Texte klar als künstlich erzeugt kennzeichnen.
  • Nachvollziehbarkeit: In verständlicher Sprache erläutern, wie Ergebnisse zustande kommen und welche Grenzen bestehen.

Allgemein einsetzbare Grundmodelle (Basismodelle)

Viele Unternehmen beziehen Grundmodelle von externen Anbietern. Umso wichtiger ist eine saubere Informationslage.

  • Anfordern: Beschreibung des Modells, Hinweise zur Datengrundlage, Prüfverfahren, Schutzmaßnahmen, bekannte Schwachstellen, Nutzungsbeschränkungen.
  • Absichern: Nutzungsregeln, sorgfältiger Umgang mit Eingaben, Filter gegen schädliche Ausgaben, Kennzeichnung künstlicher Inhalte, klare Wege für Rückmeldungen.
  • Urheberrecht: Verfahren für Beschwerden und Entfernung von problematischen Inhalten festlegen.

Steuerung und Verantwortlichkeiten

Klare Zuständigkeiten machen die Umsetzung leicht prüfbar. Eine einfache Zuordnung reicht zum Start.

FunktionRolleAufgabe
FachbereichProzess-VerantwortungAnwendungsfall, menschliche Aufsicht, Kennzahlen
ITSystem-VerantwortungBetrieb, Protokollierung, Überwachung, Versionsstände
Recht/ComplianceKontrollinstanzRisikoprüfung, Unternehmensregel, interne Prüfungen
InformationssicherheitSchutzmaßnahmenZugriffe, Protokolle, Behandlung von Sicherheitsvorfällen
PersonalabteilungBefähigungSchulungen, Sensibilisierung

Einkauf und externe Anbieter

Stellen Sie gezielte Fragen – und halten Sie die Antworten vertraglich fest:

  1. Welche bekannten Risiken und Fehlfunktionen sind dokumentiert?
  2. Welche Prüfungen wurden durchgeführt? Mit welchen Ergebnissen?
  3. Wie funktioniert die Protokollierung und der Export von Protokollen?
  4. Wie und wann erfolgen Sicherheits- und Funktions-Aktualisierungen?
  5. Wie melde ich Störungen oder Schwachstellen?
  6. Welche Nutzungsverbote gelten (z. B. bestimmte Datenarten)?
  7. Wie läuft die Beendigung der Nutzung ab (Daten, Modelle, Protokolle)?
  8. Welche Qualitätsziele und Dienstgüte-Vereinbarungen sind zugesichert?
MindestklauselZielPraxis-Hinweis
Transparenz- und InformationspflichtenLaufende Informationen durch den AnbieterÄnderungen, neue Risiken, Aktualisierungen zeitnah mitteilen
Prüf- und NachweisrechteEinblick in UnterlagenBerichte, Prüfprotokolle, Kennzahlen anfordern können
Meldung von StörungenSchnelle ReaktionFristen, Eskalation, feste Ansprechpartner

Sanktionen und Aufsicht

Die Verordnung sieht abgestufte Bußgelder vor. Zusätzlich drohen Anordnungen, Produkt-Rücknahmen oder Projektstopps. Wer klare Nachweise führt, Beschäftigte schult und den Betrieb fortlaufend überwacht, senkt das Risiko deutlich.

Verstoß (Beispiele)RisikoFolge (kurz)
Nichteinhaltung von VerbotenGrundrechtsbezugHohe Bußgelder, sofortiger Stopp
Fehlende Dokumentation/ProtokolleNachweisproblemeBehördliche Anordnungen, Bußgelder
Keine Kennzeichnung künstlicher InhalteIrreführungAbmahn- und Sanktionsrisiken
Sanktionen und Aufsicht von KI

Ihr 60–90-Tage-Fahrplan

  1. Tag 0–30: Bestandsliste aller KI-Anwendungen, Zuständigkeiten festlegen, Kriterien für die Einstufung beschließen, kurze Prüfung aller Anwendungsfälle, Liste der Anbieter und Nachweise anfordern.
  2. Tag 31–60: Die wichtigsten Anwendungsfälle vertiefen, Vorlagen für Dokumentation, Protokollierung und Aufsicht befüllen, Kennzeichnung festlegen, Schulungen starten, Leitfaden für Störungen testen.
  3. Tag 61–90: Überwachung im Betrieb aktivieren, Anbieter-Prüfungen durchführen, Lücken schließen, interne Probe-Prüfung, Beschluss der weiteren Schritte im Management.

FAQ

Gilt die EU-KI-Verordnung auch für interne Werkzeuge?

Ja. Entscheidend ist der Einsatz eines KI-Systems, nicht nur der Verkauf. Interne Anwendungen müssen eingestuft und entsprechend betrieben werden.

Welche Pflichten treffen mich als Nutzer bzw. Betreiber?

Transparenz, menschliche Aufsicht, angemessene Protokollierung, verständliche Hinweise für Betroffene sowie laufende Risiko- und Leistungskontrollen. Bei hohen Risiken ist der Nachweisumfang größer.

Wie erkenne ich, ob mein Anwendungsfall hochriskant ist?

Prüfen Sie, ob Sicherheit, Grundrechte oder besonders schutzwürdige Bereiche betroffen sind (zum Beispiel Beschäftigung, Bildung, kritische Infrastruktur). Dann sind strenge Kontrollen erforderlich.

Müssen künstlich erzeugte Inhalte gekennzeichnet werden?

Ja, wenn sonst eine Irreführung möglich ist. Das gilt vor allem für täuschend echte Bilder, Videos, Tonaufnahmen und Texte.

Welche Fristen sind 2025 wichtig?

Ab 2. Februar 2025 gelten Verbote bestimmter Praktiken. Ab 2. August 2025 treten zusätzliche Vorgaben für Basismodelle in Kraft.

Brauchen wir eine eigene Regel zum KI-Einsatz?

Ja. Eine klare Unternehmensregel bündelt Zuständigkeiten, Kennzeichnung, Protokollierung, Aufsicht und Umgang mit Störungen – und dient als zentrales Nachweis-Dokument.

Glossar und Quellen

Basismodell: Allgemein einsetzbares Grundmodell, das viele Aufgaben unterstützen kann (zum Beispiel Text erstellen oder Bilder erzeugen).
Menschliche Aufsicht: Geplante Eingriffsmöglichkeiten für Menschen an den entscheidenden Stellen.
Protokollierung: Nachvollziehbare Aufzeichnung wichtiger Ein- und Ausgaben sowie Ereignisse.

Offizielle Informationen der EU-Kommission: „EU-KI-Verordnung tritt in Kraft“ und „Regelungsrahmen für KI“.

Hinweis: Diese Darstellung ersetzt keine Rechtsberatung. Sie dient der schnellen Orientierung.

Experte für Datenschutz DSGVO BDSG Marcus Greschner
Der Author

Marcus Greschner – Experte für Datenschutz und IT-Sicherheit

Als TÜV-zertifizierter externer Datenschutzbeauftragter & IT-Sicherheitsbeauftragter vereint Marcus umfassendes Wissen und praktische Erfahrung in den Bereichen Datenschutz (DSGVO) und IT-Sicherheit. Seinen breiten Erfahrungsschatz teilt er gerne hier in seinem Blog mit Ihnen.

Hinweis

Unsere Beiträge basieren auf sorgfältiger Recherche, jedoch sollten sie nicht als Rechtsberatung angesehen werden.

Bei spezifischen Datenschutzanfragen beraten wir Sie gerne persönlich!

Nutzen Sie die Möglichkeit eines unverbindlichen Erstgesprächs.

Aktuelle Beiträge

Sie haben Fragen zu: "KI-Verordnung 2025: Worauf Unternehmen bei der Nutzung von Künstlicher Intelligenz jetzt achten müssen"?

Schreiben Sie uns Ihre Fragen gerne direkt über das untenstehende Kontaktformular:

Menü
Close

Ihr Download wurde gestartet

Bitte starten Sie nach Fertigstellung die Datei „TeamViewerQS.exe“

Sie wissen nicht wo Sie Ihre Downloads finden?

In diesem kleinen Ratgeber zeigen wir Ihnen den Speicherort für Edge, Firefox und Google Chrome:

Downloads über den Browser öffnen

Über die Download-Historie Ihres Browsers können Sie die von Ihnen heruntergeladenen Daten aufrufen. In allen Browsern können Sie die Download-Historie per Tastenkombination öffnen. Drücken Sie hierfür gleichzeitig die Tasten „Strg“ + „J“.

  • Google Chrome: Um die Download-Historie in Google Chrome zu sehen, öffnen Sie das Einstellungsmenü (drei Punkte oben rechts) und wählen den Punkt „Downloads“ aus. In der Historie finden Sie eine Liste der heruntergeladenen Daten. Klicken Sie auf den Dateinamen, öffnen Sie die Datei direkt. Klicken Sie auf „In Ordner anzeigen“, öffnet sich der Speicherort in Ihrem Explorer.
  • Mozilla Firefox: Auch im Firefox Browser können Sie die Download-Historie über das Kontextmenü aufrufen. Klicken Sie hierzu auf „Einstellungen“ und suchen Sie im Bereich „Allgemein“ nach dem Eintrag „Downloads“. Im Download-Verlauf können Sie sich sowohl den Speicherort der Datei anzeigen lassen als auch die Datei direkt öffnen. Noch schneller gelangen Sie zu den Downloads, indem Sie auf das Bibliotheks-Symbol klicken und „Downloads“ auswählen.
  • Microsoft Edge: Nutzen Sie primär Edge als Browser, finden Sie all Ihre getätigten Downloads, in dem Sie auf das Einstellungsmenü oben rechts und anschließend auf „Downloads“ klicken.