Die europäische KI-Verordnung stellt Unternehmen vor komplexe regulatorische Herausforderungen – von der Risikoklassifizierung über Hochrisiko-Anforderungen bis zur Kennzeichnung KI-generierter Inhalte. Wir beraten Sie umfassend.
Wir begleiten Sie bei der Umsetzung der KI-Verordnung – von der Bestandsaufnahme bis zur vollständigen Compliance.
Systematische Einordnung Ihrer KI-Systeme in die Risikostufen des AI Act. Wir prüfen, ob Ihre Anwendungen als Hochrisiko-KI nach Art. 6 i.V.m. Anhang III einzustufen sind.
Mehr erfahren →Beratung zu den Transparenz- und Kennzeichnungspflichten nach Art. 50 AI Act – insbesondere zur Kennzeichnung von KI-generierten Texten, Bildern, Audio- und Videoinhalten.
Mehr erfahren →Maßgeschneiderte Compliance-Konzepte: technische Dokumentation nach Art. 11, Risikomanagement nach Art. 9, menschliche Aufsicht nach Art. 14.
Beratung anfragen →Durchführung der Grundrechtefolgenabschätzung nach Art. 27 AI Act für Betreiber von Hochrisiko-KI-Systemen im öffentlichen und privaten Bereich.
Beratung anfragen →Art. 4 AI Act verpflichtet zur Sicherstellung der KI-Kompetenz des Personals. Wir bieten praxisnahe Workshops für Mitarbeiter und Führungskräfte.
Schulung buchen →Erstellung unternehmensinterner KI-Richtlinien, Betriebsvereinbarungen sowie Prüfung und Gestaltung von Verträgen mit KI-Anbietern.
Beratung anfragen →Die zentrale Frage für die meisten Unternehmen lautet: Fällt mein KI-System in die Kategorie der Hochrisiko-KI nach Art. 6 AI Act? Die Antwort entscheidet über den regulatorischen Aufwand – von umfangreichen Dokumentationspflichten bis hin zu Konformitätsbewertungsverfahren.
Hochrisiko-KI-Systeme nach Anhang III umfassen u.a. Systeme in den Bereichen biometrische Identifizierung, Bildung, Beschäftigung, Strafverfolgung, Migration und kritische Infrastruktur. Daneben sind nach Art. 6 Abs. 1 auch KI-Systeme erfasst, die als Sicherheitskomponente eines bereits regulierten Produkts dienen.
Für Betreiber und Anbieter gelten unterschiedliche Pflichtenkataloge. Wir analysieren Ihre konkreten KI-Anwendungen und erarbeiten einen klaren Fahrplan zur Compliance.
Risikoeinordnung anfragen →Finden Sie in wenigen Schritten heraus, welche Pflichten des AI Act für Ihr Unternehmen relevant sein könnten.
Hinweis: Dieser Schnellcheck ersetzt keine individuelle Rechtsberatung. Er dient lediglich einer ersten Orientierung.
Art. 50 AI Act etabliert umfassende Transparenzpflichten für Anbieter und Betreiber von KI-Systemen.
Betreiber müssen nach Art. 50 Abs. 1 sicherstellen, dass natürliche Personen darüber informiert werden, dass sie mit einem KI-System interagieren – sofern dies nicht offensichtlich ist.
Anbieter von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen diese maschinenlesbar kennzeichnen (Art. 50 Abs. 2). Betreiber müssen die KI-Erzeugung offenlegen (Art. 50 Abs. 4).
Betreiber von Emotionserkennungssystemen und biometrischer Kategorisierung müssen betroffene Personen über den Einsatz informieren und die DSGVO einhalten (Art. 50 Abs. 3).
Die Kennzeichnungspflicht entfällt bei KI-Inhalten, die lediglich unterstützende Funktion haben, das Ergebnis nicht wesentlich verändern oder gesetzlich zur Aufdeckung von Straftaten autorisiert sind (Art. 50 Abs. 4 UAbs. 2).
Die Kennzeichnung muss nach dem aktuellen Stand der Technik erfolgen und maschinenlesbar sein. Für die Details verweist die Verordnung auf harmonisierte Normen und Durchführungsrechtsakte des AI Office.
Wir prüfen Ihre KI-Anwendungen auf Kennzeichnungspflichten, erstellen Umsetzungskonzepte und begleiten Sie bei der Integration rechtskonformer Transparenzhinweise.
Heidrich Rechtsanwälte gehören zu den führenden Kanzleien im Bereich KI-Recht in Deutschland. Seit über 40 Jahren beraten wir Unternehmen an der Schnittstelle von IT, Datenschutz und Recht – und seit Inkrafttreten der KI-Verordnung mit einem dezidierten Schwerpunkt auf der Umsetzung des AI Act.
Unsere Erfahrung reicht von der prozessualen Vertretung in Grundsatzverfahren zum KI-Recht – wie dem Verfahren Kneschke ./. LAION e.V. vor dem LG und OLG Hamburg – über die Erstellung von KI-Compliance-Konzepten für mittelständische Unternehmen und Konzerne bis hin zu Fachpublikationen und Vorträgen für c't, heise online und auf Konferenzen wie der IT Defense, dem KI Forum Nord und der data2day.
Mit dem Buch „Rechtsleitfaden KI im Unternehmen" (Rheinwerk Verlag) und dem Podcast „Auslegungssache" vermitteln wir praxisnahes Wissen an der Schnittstelle von Technologie und Recht.
AI Act, DSGVO, Urheberrecht. Autor, Dozent und Podcast-Host.
KI-Recht, Datenschutz und Vertragsrecht. Co-Autor Fachpublikationen.
AI Act, Data Act und Urheberrecht. Herausgeber „Rechtsleitfaden KI".
Die wichtigsten Fragen unserer Mandanten zur europäischen KI-Verordnung.
Der AI Act (Verordnung (EU) 2024/1689) verfolgt einen bewusst weiten Anwendungsbereich. Er gilt für alle Unternehmen, die KI-Systeme in der EU anbieten, in Betrieb nehmen oder deren Output in der EU verwenden – und zwar unabhängig davon, ob das Unternehmen seinen Sitz in einem EU-Mitgliedstaat hat. Die Verordnung unterscheidet dabei zwischen Anbietern (Art. 3 Nr. 3), die ein KI-System entwickeln oder unter eigenem Namen auf den Markt bringen, und Betreibern (Art. 3 Nr. 4), die ein KI-System in eigener Verantwortung einsetzen.
In der Praxis bedeutet das: Auch wenn Sie lediglich ein KI-Tool eines US-amerikanischen Anbieters wie OpenAI oder Google in Ihrem Unternehmen nutzen, unterliegen Sie als Betreiber den einschlägigen Pflichten der Verordnung – von der KI-Kompetenzpflicht nach Art. 4 über die Transparenzpflichten nach Art. 50 bis hin zu den umfassenden Betreiberpflichten nach Art. 26, sofern es sich um ein Hochrisiko-System handelt. Lediglich eng definierte Ausnahmen – etwa für rein persönliche, nicht-berufliche Nutzung oder für Zwecke der nationalen Sicherheit – sind vom Anwendungsbereich ausgenommen (Art. 2 Abs. 3, 4).
ChatGPT als allgemeines Sprachmodell (sog. General Purpose AI – GPAI) fällt nicht automatisch unter die Hochrisiko-Kategorie des Art. 6 AI Act. Vielmehr unterliegt das zugrunde liegende Modell den speziellen GPAI-Pflichten der Art. 51 ff. AI Act, die unter anderem Transparenzanforderungen, technische Dokumentation und urheberrechtliche Compliance beim Training umfassen. Für Modelle mit systemischem Risiko (Art. 51 Abs. 2) gelten darüber hinaus verschärfte Anforderungen wie Modellbewertungen und Cybersicherheitspflichten.
Entscheidend für die Hochrisiko-Einordnung ist jedoch nicht das Modell selbst, sondern der konkrete Einsatzkontext. Wird ChatGPT beispielsweise in einem Bewerbungsverfahren zur Vorauswahl von Kandidaten eingesetzt (Anhang III Nr. 4) oder in der Kreditwürdigkeitsprüfung verwendet (Anhang III Nr. 5b), können für den Betreiber die vollständigen Hochrisiko-Pflichten nach Art. 6, 26 AI Act greifen. Die Verantwortung verschiebt sich in diesen Fällen auf den Betreiber, der das GPAI-Modell in einem regulierten Kontext einsetzt. Eine sorgfältige Einzelfallprüfung ist daher unerlässlich.
Die Bußgeldregelungen des AI Act gehören zu den schärfsten im europäischen Regulierungsrecht. Art. 99 sieht ein dreistufiges System vor: Verstöße gegen die verbotenen KI-Praktiken nach Art. 5 können mit bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Bei Verstößen gegen die Hochrisiko-Pflichten der Art. 8–15 oder die Betreiberpflichten nach Art. 26 drohen Bußgelder von bis zu 15 Mio. € oder 3 % des Umsatzes. Falsche oder irreführende Angaben gegenüber Behörden werden mit bis zu 7,5 Mio. € oder 1,5 % des Umsatzes sanktioniert.
Für KMU und Start-ups sieht Art. 99 Abs. 6 reduzierte Obergrenzen vor. Doch jenseits der reinen Bußgelder drohen auch erhebliche mittelbare Konsequenzen: Marktüberwachungsbehörden können die Rücknahme oder den Rückruf nicht-konformer KI-Systeme anordnen (Art. 79 ff.), was zu empfindlichen Betriebsunterbrechungen führen kann. Zudem können Verstöße gegen den AI Act Auswirkungen auf die zivilrechtliche Haftung haben, insbesondere im Zusammenspiel mit der geplanten KI-Haftungsrichtlinie. Unternehmen sollten daher die gestaffelten Fristen – Verbote ab Februar 2025, Hochrisiko-Pflichten ab August 2026 – ernst nehmen und rechtzeitig mit der Umsetzung beginnen.
Die Antwort hängt vom konkreten Einsatzkontext ab. Grundsätzlich sieht Art. 50 Abs. 4 AI Act vor, dass Betreiber, die KI-Systeme zur Erzeugung oder Manipulation von Text-, Bild-, Audio- oder Videoinhalten einsetzen, offenlegen müssen, dass diese Inhalte künstlich erzeugt oder verändert wurden. Die Kennzeichnung muss dabei so gestaltet sein, dass sie für die Empfänger klar erkennbar ist. Für Anbieter gilt nach Art. 50 Abs. 2 zusätzlich die Pflicht, die Outputs maschinenlesbar als KI-generiert zu kennzeichnen.
Allerdings enthält die Verordnung wichtige Ausnahmen: Wenn die KI lediglich eine unterstützende Funktion erfüllt und das Ergebnis nicht wesentlich verändert, entfällt die Kennzeichnungspflicht. Gleiches gilt, wenn der Inhalt einem redaktionellen Prozess unterzogen wurde und eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung trägt (Art. 50 Abs. 4 UAbs. 2). In der Praxis bedeutet das: Wer einen KI-generierten Entwurf umfassend redigiert und inhaltlich verantwortet, ist möglicherweise nicht kennzeichnungspflichtig. Die genaue Grenzziehung – insbesondere die Frage, wann eine Veränderung „wesentlich" ist – wird sich durch die Praxis der Aufsichtsbehörden und die Gerichte konkretisieren müssen.
Die zentrale Pflicht für Chatbot-Betreiber ergibt sich aus Art. 50 Abs. 1 AI Act: Natürliche Personen müssen darüber informiert werden, dass sie mit einem KI-System interagieren – und zwar bevor eine Interaktion stattfindet. Diese Pflicht entfällt nur dann, wenn der KI-Einsatz für eine „angemessen informierte, aufmerksame und verständige" Person unter den konkreten Umständen offensichtlich wäre. In den meisten Fällen wird man bei Chatbots im Kundenservice oder auf Websites davon ausgehen müssen, dass eine ausdrückliche Kennzeichnung erforderlich ist.
Darüber hinaus können je nach Einsatzkontext weitere Pflichten hinzutreten. Erzeugt der Chatbot synthetische Textinhalte, die für Informationszwecke veröffentlicht werden, greifen die Kennzeichnungspflichten nach Art. 50 Abs. 4. Wird der Chatbot in einem der in Anhang III aufgeführten Hochrisiko-Bereiche eingesetzt – etwa in der Gesundheitsberatung, im Versicherungswesen oder bei Behördendienstleistungen – gelten für den Betreiber die umfassenden Pflichten nach Art. 26 AI Act, einschließlich der Pflicht zur menschlichen Aufsicht, zur Überwachung des Systems und zur Durchführung einer Datenschutz-Folgenabschätzung, soweit die DSGVO einschlägig ist. Eine sorgfältige Analyse des konkreten Anwendungsfalls ist daher unerlässlich.
Art. 4 AI Act verpflichtet sowohl Anbieter als auch Betreiber von KI-Systemen, Maßnahmen zu ergreifen, um ein ausreichendes Maß an KI-Kompetenz bei ihrem Personal sicherzustellen. Diese Pflicht gilt risikostufenunabhängig – also nicht nur für Hochrisiko-KI, sondern für alle Unternehmen, die KI-Systeme entwickeln oder einsetzen. Sie ist zudem die erste Pflicht des AI Act, die in Kraft getreten ist: Seit dem 2. Februar 2025 müssen Unternehmen nachweisen können, dass ihre Mitarbeiter, die mit KI-Systemen arbeiten oder darüber Entscheidungen treffen, über angemessene Kenntnisse verfügen.
Der konkrete Umfang der erforderlichen Kompetenz richtet sich nach dem jeweiligen Einsatzkontext, der Komplexität des Systems und den möglichen Auswirkungen auf betroffene Personen. Die Verordnung verlangt dabei keine bestimmte Zertifizierung, sondern stellt auf die tatsächliche Qualifikation ab. In der Praxis empfehlen sich dokumentierte Schulungsprogramme, die sowohl technische Grundlagen als auch rechtliche und ethische Aspekte des KI-Einsatzes abdecken. Wir unterstützen Unternehmen bei der Konzeption und Durchführung solcher Schulungen – von kompakten Führungskräfte-Workshops bis hin zu umfassenden Fortbildungsprogrammen für die gesamte Belegschaft.
Vereinbaren Sie ein unverbindliches Erstgespräch – wir analysieren Ihre KI-Systeme und entwickeln einen individuellen Compliance-Fahrplan.
Jetzt Erstberatung anfragen →Ihre Daten werden nur zweckgebunden zur Bearbeitung Ihrer Kontaktanfrage verarbeitet. Weitere Informationen in unserer Datenschutzerklärung.
