Alexis Brudermann - Italien und Deutschland - Zwei Rechtsräume. Eine Kanzlei. Ihr Vorteil.

Rechtsanwalt KI-Verordnung: Compliance, Schulungspflicht und Dokumentation Speyer

Dienstleistung im IT-Recht: rechtssichere Beratung für digitale Geschäftsmodelle

KI-Verordnung: Einhaltung, Schulungsverpflichtung und Dokumentationsanforderungen

Die KI-Verordnung der Europäischen Union (Verordnung 2024/1689) stellt das erste weitreichende Rechtsrahmenwerk für den Bereich künstliche Intelligenz dar. Sie richtet sich nicht ausschließlich an Entwickler von KI-Systemen, sondern erfasst ebenso Unternehmen, die solche Systeme lediglich verwenden. Bereits die gewöhnliche Nutzung von Sprachmodellen, Bewerbungssoftware oder Bildgeneratoren führt zu neuen Verpflichtungen, die in zahlreichen Unternehmen bislang nicht planmäßig erfüllt werden.

Unzulässige Praktiken sind seit dem 2. Februar 2025 verboten. Seit diesem Datum besteht zudem die Verpflichtung zur hinreichenden KI-Kompetenz der Mitarbeiter. Für Modelle mit allgemeinem Verwendungszweck sind Pflichten seit dem 2. August 2025 anwendbar. Die zentralen Verpflichtungen für Hochrisiko-KI treten ab dem 2. August 2026 in Kraft. Zuwiderhandlungen können mit Geldbußen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Konzernumsatzes sanktioniert werden.

Diese Seite bietet einen praxisorientierten Überblick zur KI-Verordnung. Wir erläutern, welche Akteure von der Verordnung erfasst werden, welche Risikoklassen sie vorsieht, welche konkreten Verpflichtungen hinsichtlich Schulung und Dokumentation bestehen, welche Sanktionen drohen und wie Unternehmen eine belastbare KI-Governance etablieren. Das Ziel ist nicht übertriebene Zurückhaltung, sondern die rechtskonforme Erschließung der wirtschaftlichen Potenziale von KI.

Geltungsbereich der KI-Verordnung: Anbieter, Betreiber und Importeure

Die KI-Verordnung richtet sich an verschiedene Akteure innerhalb der KI-Wertschöpfungskette. Im Mittelpunkt stehen die Anbieter, die ein KI-System entwickeln oder unter ihrem eigenen Namen auf den Markt bringen, sowie die Betreiber, die ein KI-System in eigener Verantwortung verwenden. Ergänzt werden diese durch Einführer, Händler und Bevollmächtigte. Die Mehrzahl der Unternehmen, die KI verwenden, ohne diese selbst zu entwickeln, unterliegt den Pflichten für Betreiber.

Die Verordnung wirkt extraterritorial. Sie erstreckt sich auch auf Anbieter und Betreiber außerhalb der Europäischen Union, wenn die Ergebnisse des KI-Systems in der Union genutzt werden. Für Konzerne mit Tochtergesellschaften in verschiedenen Ländern folgt daraus, dass sich die Pflichten nicht durch eine strategische Standortwahl vermeiden lassen.

Bestimmte Anwendungen sind vom Anwendungsbereich ausgenommen, insbesondere KI ausschließlich für militärische Zwecke, reine Forschungsaktivitäten und KI im Rahmen rein persönlicher Tätigkeiten. Wer jedoch KI im geschäftlichen Umfeld nutzt, ob für Texterstellung, Bewerbermanagement, Bildbearbeitung oder Kundenservice, gilt grundsätzlich als Betreiber im Sinne der Verordnung und muss die einschlägigen Pflichten erfüllen.

Lassen Sie prüfen, in welchen Rollen Ihr Unternehmen unter die KI-Verordnung fällt, bevor einzelne KI-Anwendungen pauschal als unkritisch eingestuft werden.

Risikoklassen der KI-Verordnung: unzulässige KI, Hochrisiko-KI und Transparenzanforderungen

Die KI-Verordnung verfolgt einen risikoorientierten Ansatz. Sie gliedert sich in vier Hauptkategorien: unzulässige Praktiken, Hochrisiko-KI, KI mit Transparenzverpflichtungen sowie Modelle mit allgemeinem Verwendungszweck (GPAI). Die rechtlichen Vorgaben variieren deutlich, weshalb die zutreffende Kategorisierung der verwendeten Systeme den zentralen ersten Schritt jeder KI-Compliance darstellt.

Die wesentlichen Kategorien im Überblick:

Unzulässige Praktiken: hierzu zählen Social Scoring durch Behörden, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, ungezielte biometrische Datenbanken sowie bestimmte Formen biometrischer Echtzeit-Fernüberwachung im öffentlichen Raum.
Hochrisiko-KI: Systeme in sensiblen Bereichen wie Personalauswahl, Bonitätsprüfung, Bildungsbewertung, kritische Infrastruktur, Strafverfolgung oder Sicherheitskomponenten. Für diese bestehen umfassende Verpflichtungen zu Risikomanagement, Datenqualität und Konformitätsbewertung.
Transparenzverpflichtungen: für Chatbots, Deepfakes und KI-generierte Inhalte. Nutzer:innen müssen erkennen können, dass sie mit einem KI-System interagieren oder dass Inhalte künstlich erzeugt wurden.
GPAI-Modelle: Modelle mit allgemeinem Verwendungszweck wie große Sprachmodelle. Für Anbieter bestehen besondere Verpflichtungen zu Dokumentation, Urheberrecht und Sicherheit, für besonders leistungsfähige Modelle in verschärfter Form.

Die Zuordnung ist nicht immer eindeutig. Ein generisches Sprachmodell kann durch eine konkrete Anwendung im Personalbereich zur Hochrisiko-KI werden. Die Verpflichtung zur zutreffenden Klassifizierung trifft sowohl Anbieter als auch Betreiber.

Lassen Sie sämtliche eingesetzten KI-Systeme einer fundierten Risikoklassifizierung unterziehen, bevor fehlerhafte Einschätzungen zu unterlassener Compliance führen.

KI-Kompetenz und Schulungspflicht gemäß Artikel 4 KI-VO

Gemäß Artikel 4 der KI-Verordnung sind Anbieter und Betreiber von KI-Systemen dazu verpflichtet, bei ihren eigenen Mitarbeitenden sowie bei allen Personen, die in ihrem Auftrag mit KI-Systemen umgehen, ein angemessenes Niveau an KI-Kompetenz zu gewährleisten. Diese Verpflichtung besteht seit dem 2. Februar 2025 und erfasst im Grunde jedes Unternehmen, das KI in seinem Arbeitsalltag nutzt, ungeachtet der Risikoklasse der eingesetzten Systeme.

Der konkrete Umfang ausreichender KI-Kompetenz richtet sich nach dem jeweiligen Einsatzkontext. Mindestens erforderlich sind ein grundlegendes Verständnis für die Funktionsweise und die Grenzen der genutzten Systeme, ein Bewusstsein für typische Gefahren wie Halluzinationen, Verzerrungen und datenschutzrechtliche Implikationen sowie Kenntnis der unternehmensinternen Regelungen. Bei Mitarbeitenden mit erhöhter Verantwortung, beispielsweise im Personalwesen oder im Risikomanagement, sind die Anforderungen entsprechend zu erhöhen.

Die Schulungsverpflichtung lässt sich nicht durch eine einmalige Unterweisung erfüllen. Inhalte, Umfang und Zielgruppen sind zu dokumentieren und fortlaufend zu aktualisieren, da sich sowohl die eingesetzten KI-Systeme als auch die rechtlichen Anforderungen stetig weiterentwickeln. Eine schriftliche Schulungskonzeption, eine Dokumentation der Teilnehmenden und konkret formulierte Lernziele bilden im Aufsichtsfall die wesentlichen Nachweise.

Lassen Sie ein maßgeschneidertes KI-Schulungskonzept anwaltlich entwickeln, bevor allgemeine E-Learnings ohne Bezug zum tatsächlichen KI-Einsatz als Compliance-Nachweis vorgelegt werden.

Dokumentations- und Transparenzverpflichtungen gemäß KI-Verordnung

Die KI-Verordnung misst der Dokumentation ein besonders hohes Gewicht bei. Anbieter von Hochrisiko-KI müssen eine technische Dokumentation erstellen, ein Risikomanagementsystem betreiben, die Datenqualität sicherstellen, Aufzeichnungen zur Protokollierung führen und ein Konformitätsbewertungsverfahren durchführen. Auch Betreiber unterliegen Aufzeichnungs-, Überwachungs- und Mitwirkungspflichten gegenüber Anbietern sowie Behörden.

Für sämtliche Unternehmen von besonderer praktischer Bedeutung sind die Transparenzvorgaben. Wer ein KI-System nutzt, das mit Menschen in Interaktion tritt, muss die Nutzer:innen darüber informieren, dass sie mit einer Maschine kommunizieren, sofern dies nicht von selbst ersichtlich ist. KI-erzeugte oder veränderte Bilder, Videos und Audios sind als solche kenntlich zu machen, soweit es sich um Deepfakes oder täuschend echte Medieninhalte handelt. Diese Verpflichtungen wirken sich unmittelbar auf Marketing, Kundenservice und interne Kommunikation aus.

Ergänzend tritt die Folgenabschätzung hinzu. Für bestimmte Hochrisiko-Anwendungen schreibt die Verordnung eine Grundrechte-Folgenabschätzung vor, die Auswirkungen auf Betroffene strukturiert untersucht und Schutzmaßnahmen dokumentiert. Für KI-Systeme, die personenbezogene Daten verarbeiten, kann darüber hinaus eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO erforderlich werden. Beide Prüfungen sollten inhaltlich aufeinander abgestimmt werden.

Lassen Sie ein geeignetes Dokumentations- und Transparenzkonzept erarbeiten, bevor erste Anfragen von Aufsichtsbehörden oder Betroffenen den aktuellen Stand Ihrer Compliance offenlegen.

Fristen und Bußgelder der KI-Verordnung

Die KI-Verordnung trat am 1. August 2024 in Kraft und entfaltet ihre Wirkung schrittweise. Seit dem 2. Februar 2025 sind verbotene Praktiken untersagt und die Verpflichtung zur KI-Kompetenz wirksam. Seit dem 2. August 2025 bestehen Verpflichtungen für Anbieter von Modellen mit allgemeinem Verwendungszweck. Ab dem 2. August 2026 werden die zentralen Verpflichtungen für Hochrisiko-KI verbindlich; für bestimmte in Produkte integrierte Hochrisiko-Systeme tritt diese Verbindlichkeit am 2. August 2027 ein.

Die Geldbußen der KI-Verordnung fallen beträchtlich aus. Bei verbotenen Praktiken können bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Konzernumsatzes verhängt werden. Für Verstöße gegen Verpflichtungen im Bereich Hochrisiko-KI sind bis zu 15 Millionen Euro oder drei Prozent des weltweiten Konzernumsatzes vorgesehen. Unrichtige, lückenhafte oder irreführende Auskünfte gegenüber Behörden können mit bis zu 7,5 Millionen Euro oder einem Prozent des Konzernumsatzes sanktioniert werden.

Weitere Risiken kommen hinzu. Verstöße gegen die KI-Verordnung können wettbewerbsrechtliche Abmahnungen nach sich ziehen, da unzulässige KI-Praktiken gleichzeitig einen Verstoß gegen das UWG darstellen können. Auch arbeitsrechtliche Auseinandersetzungen und Reputationsverluste sind denkbar. Eine rechtzeitige Auseinandersetzung mit dem Thema ist daher wirtschaftlich geboten, ungeachtet des aktuellen Aufsichtsdrucks.

Lassen Sie den für Ihr Unternehmen maßgeblichen Zeitplan und die konkreten Sanktionsrisiken anwaltlich aufbereiten, bevor kommende Anwendungsfristen ohne belastbare Compliance-Struktur eintreten.

Aufbau einer KI-Governance im Unternehmen in der Praxis

Die Vorgaben der KI-Verordnung können nur dann erfüllt werden, wenn Zuständigkeiten, Abläufe und Instrumente im Unternehmen eindeutig festgelegt sind. KI-Governance bezeichnet die systematische Integration der KI-Compliance in vorhandene Strukturen wie Datenschutz, IT-Sicherheit, Compliance, Personalwesen und Beschaffung. Sie beschränkt sich nicht auf die Rechtsabteilung, sondern erstreckt sich auf nahezu sämtliche Unternehmensbereiche.

Praktisch bewährt hat sich ein gestuftes Vorgehen. Zu Beginn wird eine Bestandsaufnahme sämtlicher verwendeter KI-Systeme erstellt, die auch die jeweiligen Anbieter, Datenströme und Einsatzzwecke erfasst. Darauf aufbauend erfolgt die Zuordnung zu Risikoklassen und die Ableitung konkreter Pflichten. Im Anschluss werden unternehmensinterne Regelungen, Schulungsmaßnahmen und Prüfabläufe erarbeitet, die sich in den laufenden Betrieb einfügen und diesen nicht beeinträchtigen.

Von besonderer Bedeutung ist zudem die Lieferantenkette. Unternehmen, die KI-Lösungen externer Anbieter nutzen, benötigen präzise vertragliche Vereinbarungen zu Verantwortlichkeiten, Trainingsdaten, Sicherheitsvorgaben und Kooperationspflichten. Auch die Abstimmung mit der DSGVO muss strukturiert erfolgen, damit Datenschutz-Folgenabschätzungen, Auftragsverarbeitung und KI-Compliance nicht unkoordiniert und inkonsistent nebeneinander ablaufen.

Als praxistauglich hat sich erwiesen, KI-Compliance in bestehende Strukturen zu integrieren, anstatt sie als eigenständiges Projekt zu behandeln. Vorhandene Prozesse aus Datenschutz, IT-Sicherheit und Lieferantenmanagement lassen sich häufig um KI-spezifische Elemente erweitern. Dies reduziert den Aufwand, fördert die Akzeptanz im Unternehmen und verhindert, dass parallele Strukturen zu Widersprüchen oder Mehrfacharbeiten führen.

Lassen Sie eine KI-Governance entwickeln, die auf Ihr konkretes Einsatzprofil abgestimmt ist, bevor einzelne Fachbereiche KI-Werkzeuge unabhängig und ohne gemeinsamen Rahmen einführen.

Jetzt Anfrage stellen

Wir beraten Sie gerne umfassend und persönlich bei Ihrem Anliegen.

Rechtliche Unterstützung bei der Implementierung der KI-Verordnung

Wir unterstützen Unternehmen bei der rechtskonformen Umsetzung der KI-Verordnung, angefangen bei der Bestandsaufnahme bis hin zum kontinuierlichen Betrieb. Im ersten Beratungsgespräch analysieren wir die strategische Ausgangsposition, das vorhandene KI-Portfolio sowie die Berichtsstrukturen Ihres Unternehmens. Darauf aufbauend erarbeiten wir ein gestuftes Umsetzungskonzept, das wirtschaftliche und rechtliche Anforderungen in Einklang bringt.

Die rechtliche Begleitung umfasst in der Regel die Klassifizierung der eingesetzten KI-Systeme entsprechend den Vorgaben der Verordnung, die Erarbeitung von KI-Richtlinien und Schulungskonzepten, die Prüfung und Verhandlung von Verträgen mit KI-Anbietern, die Begleitung bei Folgenabschätzungen und Konformitätsbewertungen sowie die Vertretung gegenüber Aufsichtsbehörden bei konkreten Anlässen.

Worauf wir besonderen Wert legen:

Praxisnähe: KI-Compliance darf Ihr Geschäft nicht behindern. Wir entwickeln Strukturen, die Rechtssicherheit gewährleisten, ohne Innovationen zu behindern.
Schnittstellen: Datenschutz, IT-Sicherheit, Arbeitsrecht und Urheberrecht müssen berücksichtigt werden. Wir koordinieren die rechtliche und organisatorische Abstimmung.
Skalierbarkeit: Konzepte müssen mit Ihrem KI-Portfolio mitwachsen. Wir entwickeln modulare Strukturen, die nahtlos erweitert werden können.
Dokumentation: Schriftliche Prüfvermerke und transparente Entscheidungen bieten Schutz im Aufsichtsfall und entlasten interne Verantwortungsträger.

Bei laufenden Mandaten halten wir das KI-Compliance-Framework auf dem aktuellen Stand der Verordnung, der delegierten Rechtsakte, der Leitlinien des KI-Büros und der nationalen Vollzugspraxis. So bleiben Sie auch dann handlungssicher, wenn sich die Anforderungen kurzfristig ändern.

Auch in Streitfällen stehen wir Ihnen zur Seite: bei Beanstandungen durch Aufsichtsbehörden, bei Auseinandersetzungen mit Anbietern über Vertragspflichten, bei betriebsverfassungsrechtlichen Konflikten zur Einführung KI-gestützter Systeme oder bei Schadensersatzforderungen Betroffener. Eine frühzeitige rechtliche Einschätzung schafft den Rahmen, innerhalb dessen wirtschaftlich tragfähige Lösungen erreichbar bleiben.

Wenn Sie KI im Unternehmen einsetzen oder einführen möchten, lassen Sie die Anforderungen der KI-Verordnung rechtlich strukturieren, bevor einzelne Pflichten unbemerkt versäumt werden.

FAQ - Häufige Fragen und Antworten

Wer fällt unter die KI-Verordnung?

Die KI-Verordnung richtet sich an Anbieter, Betreiber, Einführer und Händler von KI-Systemen sowie an deren Bevollmächtigte. Erfasst werden nicht ausschließlich Unternehmen, die KI entwickeln, sondern ebenso solche, die KI lediglich anwenden. Die Verordnung entfaltet extraterritoriale Wirkung, sobald die Ergebnisse des Systems in der Europäischen Union zum Einsatz kommen. Ausnahmen greifen nur in eng begrenzten Bereichen wie militärischer KI oder ausschließlich persönlicher Verwendung.

Wann ist die Schulungspflicht gemäß KI-Verordnung in Kraft getreten?

Die Verpflichtung zu angemessener KI-Kompetenz gemäß Artikel 4 ist seit dem 2. Februar 2025 in Kraft. Sie gilt für sämtliche Unternehmen, die KI in ihrem Arbeitsalltag verwenden. Notwendig sind ein fundamentales Verständnis der Arbeitsweise, ein Bewusstsein für charakteristische Risiken sowie Kenntnis der unternehmensspezifischen Regelungen. Die Schulungsmaßnahmen müssen in regelmäßigen Abständen wiederholt und schriftlich dokumentiert werden.

Welche KI-Praktiken untersagt die Verordnung?

Untersagt sind beispielsweise Social Scoring durch staatliche Stellen, der Einsatz von Emotionserkennung im beruflichen Umfeld und in Bildungseinrichtungen, die ungerichtete Erfassung biometrischer Daten zum Aufbau von Datenbanken sowie bestimmte Varianten der biometrischen Echtzeitüberwachung im öffentlichen Raum. Hinzu treten Verfahren, die kognitive Verwundbarkeiten gezielt ausnutzen oder eine unzulässige Beeinflussung von Personen bewirken. Diese Verbote sind seit dem 2. Februar 2025 wirksam.

Was ist Hochrisiko-KI?

Hochrisiko-KI bezeichnet Systeme, die in besonders sensiblen Bereichen zum Einsatz kommen, beispielsweise bei der Personalauswahl, Bonitätsprüfung, Bildungsbewertung, kritischer Infrastruktur, Strafverfolgung oder als Sicherheitskomponenten. Anbieter solcher Systeme sind verpflichtet, ein Risikomanagement durchzuführen, die Datenqualität zu gewährleisten, eine technische Dokumentation zu erstellen und ein Konformitätsbewertungsverfahren zu absolvieren. Auch Betreiber unterliegen besonderen Pflichten.

Welche Pflichten treffen Unternehmen, die ausschließlich KI-Tools nutzen?

Auch Betreiber unterliegen mehreren wesentlichen Verpflichtungen. Hierzu gehören die Überprüfung der Systemeignung, die Gewährleistung einer Überwachung durch qualifizierte Personen, die Verpflichtung zur hinreichenden KI-Kompetenz der Mitarbeitenden, je nach Einsatzbereich Transparenz- und Informationspflichten gegenüber Betroffenen sowie Aufzeichnungspflichten bei Hochrisiko-KI. Die konkrete Ausgestaltung ist abhängig von der Risikoklasse.

Worum handelt es sich bei GPAI-Modellen und welche Verpflichtungen bestehen?

GPAI bezeichnet Modelle mit allgemeinem Verwendungszweck wie beispielsweise große Sprachmodelle. Anbieter dieser Modelle unterliegen seit dem 2. August 2025 besonderen Verpflichtungen hinsichtlich der technischen Dokumentation, der Informationsbereitstellung gegenüber nachgelagerten Anbietern, der Einhaltung urheberrechtlicher Vorgaben sowie der Zusammenfassung verwendeter Trainingsdaten. Bei besonders leistungsstarken Modellen mit systemischem Risiko kommen verschärfte Anforderungen hinzu.

Wann sind die Verpflichtungen für Hochrisiko-KI anzuwenden?

Die zentralen Verpflichtungen für Hochrisiko-KI werden ab dem 2. August 2026 wirksam. Für spezifische Hochrisiko-Systeme, die als Sicherheitskomponenten in regulierte Produkte wie Medizinprodukte oder Maschinen integriert sind, tritt die Anwendbarkeit am 2. August 2027 ein. Mit den Vorbereitungen sollte deutlich im Vorfeld der jeweiligen Fristen begonnen werden, da die Implementierung von Risikomanagement, Datenqualitätssicherung und Konformitätsbewertung beträchtlichen Aufwand erfordert.

Welche Bußgelder drohen bei Verstößen?

Wer gegen verbotene Praktiken verstößt, muss mit Bußgeldern von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes rechnen – es gilt jeweils der höhere Betrag. Verstöße gegen die Anforderungen an Hochrisiko-KI können mit bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes sanktioniert werden. Werden gegenüber Behörden falsche, irreführende oder lückenhafte Auskünfte erteilt, sind Geldbußen von bis zu 7,5 Millionen Euro oder einem Prozent des weltweiten Jahresumsatzes möglich.

Wie verhält sich die KI-Verordnung zur DSGVO?

Die KI-Verordnung besteht unabhängig neben der DSGVO. Sobald KI personenbezogene Daten verarbeitet, sind beide Rechtsrahmen gleichzeitig einzuhalten. Eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO und eine Grundrechte-Folgenabschätzung nach der KI-Verordnung können sich inhaltlich berühren und sollten koordiniert durchgeführt werden. Ebenso bleiben Auftragsverarbeitung, Betroffenenrechte und die Rechtsgrundlagen der Datenverarbeitung verbindlich.

Wann ist anwaltliche Beratung zur KI-Verordnung sinnvoll?

Rechtsanwaltliche Unterstützung zur KI-Verordnung empfiehlt sich stets dann, wenn KI im Unternehmen konzipiert, implementiert oder ausgebaut wird. Hierzu gehören die Auswahl sowie vertragliche Gestaltung mit KI-Anbietern, der Aufbau einer strukturierten KI-Governance, die Entwicklung von Schulungs- und Dokumentationsstrukturen sowie die Kommunikation mit Aufsichtsbehörden, Betriebsräten und betroffenen Personen. Eine zeitnahe rechtliche Befassung vermeidet das unbemerkte Versäumen von Pflichten und eröffnet Gestaltungsspielraum für eine wirtschaftlich belastbare Umsetzung.