Verordnung (EU) 2024/1689

EU AI Act

Die Regeln für KI sind bereits in Kraft

Die EU hat das weltweit erste umfassende KI-Gesetz geschrieben. Es reguliert nicht die Technologie: es reguliert, wofür Sie sie einsetzen. Ob Sie KI entwickeln, KI kaufen oder Ihr Team sie einfach nutzen lassen: ein Teil davon betrifft Sie.

Ihr Chatbot muss sagen, dass er ein Bot ist, ab August 2026Lebensläufe mit KI vorsortieren, das ist hohes RisikoSocial Scoring, schlicht verbotenEmotionserkennung am Arbeitsplatz, verbotenDeepfakes müssen gekennzeichnet werden, jeder einzelneBis zu 7 % des weltweiten Umsatzes, die Obergrenze für BußgelderSie müssen keine KI entwickeln, sie zu nutzen genügtKein EU-Unternehmen? Erfasst, wenn Ihre KI die EU erreichtKreditwürdigkeit durch KI, hohes RisikoIhr Personal nutzt KI täglich, das Gesetz erwartet SchulungKI zu kaufen lagert die Verantwortung nicht ausModelle mit allgemeinem Verwendungszweck, reguliert seit 2025Die Verbote gelten, seit Februar 2025Die meiste KI ist kaum betroffen, wenn Sie Ihre Stufe kennen Ihr Chatbot muss sagen, dass er ein Bot ist, ab August 2026Lebensläufe mit KI vorsortieren, das ist hohes RisikoSocial Scoring, schlicht verbotenEmotionserkennung am Arbeitsplatz, verbotenDeepfakes müssen gekennzeichnet werden, jeder einzelneBis zu 7 % des weltweiten Umsatzes, die Obergrenze für BußgelderSie müssen keine KI entwickeln, sie zu nutzen genügtKein EU-Unternehmen? Erfasst, wenn Ihre KI die EU erreichtKreditwürdigkeit durch KI, hohes RisikoIhr Personal nutzt KI täglich, das Gesetz erwartet SchulungKI zu kaufen lagert die Verantwortung nicht ausModelle mit allgemeinem Verwendungszweck, reguliert seit 2025Die Verbote gelten, seit Februar 2025Die meiste KI ist kaum betroffen, wenn Sie Ihre Stufe kennen
KI-Verordnung

(Substantiv, EU-Recht)Verordnung (EU) 2024/1689

Das weltweit erste umfassende Gesetz über künstliche Intelligenz. Es reguliert KI danach, wofür Sie sie einsetzen, nicht danach, wie klug die Technologie ist: je riskanter die Nutzung, desto strenger die Regeln.

Bereits in Kraft, tritt in Wellen ein, und geschrieben für diejenigen, die KI entwickeln, und diejenigen, die sie bloß nutzen.

Gleiche Familie DSGVO, CE-Kennzeichnung, Produktsicherheitsrecht. Gleiche Logik, neuer Gegenstand.

00 / Das Konzept

Ein Gesetz, geordnet nach Risiko

Die meisten Technologiegesetze regulieren die Sache. Die KI-Verordnung reguliert die Situation: dasselbe Modell, das Ihren Newsletter entwirft, unreguliert, wird zum hohen Risiko, sobald es beginnt, Bewerbungen vorzusortieren. Was zählt, ist, wofür das System verwendet wird, bei wem, und was mit diesen Menschen geschieht.

Alles Weitere in der Verordnung folgt aus diesem einen Schritt. Jede Nutzung von KI landet in einer von vier Stufen, und jede Stufe hat ihr eigenes Regelwerk: von gar nichts über eine Pflicht zur Ehrlichkeit und umfangreiche Dokumentation bis zu einem vollständigen Verbot.

Abb. 00 / Vier Stufen, eine Pyramide
Verbotenverboten seit 2. Feb. 2025
Hohes RisikoPersonal · Kredit · Prüfungenstrenge Pflichten, 2027 / 2028
TransparenzChatbots · synthetische Medienoffenlegen, ab 2. Aug. 2026
Minimales RisikoSpamfilter · Spiele · meiste KIkeine neuen Pflichten
Personal · Kredit · Prüfungen Chatbots · synth. Medien Spamfilter · Spiele · meiste KI VERBOTEN verboten seit 2. Feb. 2025 HOHES RISIKO strenge Pflichten, 2027 / 2028 TRANSPARENZ offenlegen, ab 2. Aug. 2026 MINIMALES RISIKO keine neuen Pflichten WENIGER SYSTEME, STRENGERE REGELN
01 / Wen sie erfasst

Sie sind wahrscheinlich erfasst

Die Verordnung ordnet alle, die mit einem KI-System zu tun haben, in Rollen ein. Zwei sind für die meisten Unternehmen wichtig. Der Anbieter entwickelt oder verkauft das System und trägt die schweren Pflichten. Der Betreiber setzt es bei der Arbeit ein und trägt weniger, aber echte: das System wie vorgesehen nutzen, einen Menschen wirksam in der Verantwortung halten, die Personen schulen, die es bedienen.

Und das Gesetz reicht über die Union hinaus: es folgt dem Ergebnis. Ein anderswo entwickeltes Werkzeug, dessen Ergebnisse in Europa verwendet werden, ist erfasst. "Wir sind kein EU-Unternehmen" ist keine Ausnahme. Fragen Sie jeden, der die DSGVO erlebt hat.

Abb. 01 / Zwei Rollen, zwei Regelwerke
SIE ENTWICKELN ODER VERKAUFEN ESANBIETERdas schwere Regelwerk:entwerfen, testen, dokumentieren, registrieren
SIE NUTZEN ES BEI DER ARBEITBETREIBERdas laufende Regelwerk:Aufsicht, Anweisungen, Schulung

ebenfalls erfasst: Einführer und Händler sowie alle, deren System-Ergebnisse in der EU verwendet werden

SIE ENTWICKELN ODER VERKAUFEN ES ANBIETER das schwere Regelwerk: entwerfen, testen, dokumentieren, melden SIE NUTZEN ES BEI DER ARBEIT BETREIBER das laufende Regelwerk: Aufsicht, Anweisungen, Schulung ebenfalls erfasst: Einführer und Händler sowie alle, deren System-Ergebnisse in der EU verwendet werden
02 / Die vier Stufen

Von verboten bis kaum betroffen

Finden Sie Ihren Anwendungsfall in dieser Reihe, und Sie wissen das meiste von dem, was das Gesetz von Ihnen verlangt. Die Stufe folgt der Nutzung, nicht dem Marketing des Anbieters.

verboten

Inakzeptabel

Nutzungen, bei denen die EU entschied, dass keine Schutzmaßnahme sie heilen kann: Social Scoring, schädliche Manipulation, Emotionserkennung am Arbeitsplatz oder in der Schule, das Abgreifen von Gesichtern aus dem Internet.

illegal seit 2. Feb. 2025
strenge Pflichten

Hohes Risiko

KI, die über Leben und Existenzen entscheidet: Einstellung, Kredit, Prüfungen, Medizinprodukte, Infrastruktur. Erlaubt, aber unter dem vollständigen Regelwerk, getestet und dokumentiert.

gilt ab 2. Dez. 2027 / 2. Aug. 2028
offenlegen

Transparenz

KI, die jemand für einen Menschen halten könnte, oder Inhalte, die als echt durchgehen könnten: Chatbots, Deepfakes, synthetische Medien. Die Pflicht ist Ehrlichkeit: sagen Sie es, kennzeichnen Sie es.

gilt ab 2. Aug. 2026
weitermachen

Minimal

Spamfilter, Empfehlungen, KI in Spielen, Ihr Schreibassistent. Die große Mehrheit der Systeme. Keine neuen Pflichten über die Gesetze hinaus, die schon immer galten.

keine Pflichten der KI-Verordnung

Dasselbe Modell kann in derselben Woche in drei Stufen liegen. Es heißt nie "ist diese KI reguliert", immer "ist diese Nutzung reguliert".

03 / Die roten Linien

Acht Praktiken sind schlicht ausgeschlossen

Die Stufe der verbotenen Praktiken ist kurz, konkret und bereits geltendes Recht, seit dem 2. Februar 2025. Keine Konformitätsbewertung, kein Einwilligungshäkchen, keine Vertragsklausel macht diese legal.

Social Scoring schädliche Manipulation und Täuschung Ausnutzung von Alter, Behinderung oder Notlage Straftaten aus Profilen vorhersagen ungezieltes Abgreifen von Gesichtern Emotionserkennung in Arbeit und Schule biometrische Sortierung nach Rasse, Glaube oder Orientierung biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum

ergänzt im Mai 2026, Umsetzung bis 2. Dez. 2026

Generatoren für nicht einvernehmliche intime Bilder und CSAM

Steht die Nutzung auf dieser Liste, stellt sich die Frage nach der Dokumentation gar nicht erst. Sie ist schlicht illegal.

Es gibt einige eng gefasste Ausnahmen, überwiegend in den Bereichen Medizin, Sicherheit und streng abgegrenzte Strafverfolgung. Wenn Sie glauben, die Ausnahme zu sein, ist genau das der Moment, einen Anwalt hinzuzuziehen.

04 / Hohes Risiko

Wo das Regelwerk schwer wird

Hohes Risiko bedeutet keine beängstigende Technologie. Es bedeutet folgenreiche Entscheidungen über Menschen: wer den Job, den Kredit, das Diplom, das Visum, die Behandlung bekommt. Die Verordnung führt das Gebiet in zwei Anhängen auf: eigenständige Systeme in sensiblen Bereichen und KI in Produkten, die ohnehin eine CE-Kennzeichnung benötigen.

eigenständige Nutzungen (Anhang III)

Einstellung & Personalführung Kreditwürdigkeitsprüfung Tarifierung in Lebens- & Krankenversicherung Bildung & Prüfungen wesentliche öffentliche Dienste kritische Infrastruktur biometrische Identifizierung Strafverfolgung Migration & Grenzen Justiz & Wahlen

KI in regulierten Produkten (Anhang I)

Medizinprodukte Maschinen Fahrzeuge Spielzeug Aufzüge Luftfahrt

Anbieter dieser Systeme schulden das volle Programm: Risikomanagement, Daten-Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht, Genauigkeit und Cybersicherheit, dann eine Konformitätsbewertung, eine CE-Kennzeichnung und die Registrierung in der EU-Datenbank, bevor das System auf den Markt kommt.

Betreiber schulden eine praktische Fassung: die Betriebsanleitung befolgen, geschulte menschliche Aufsicht zuweisen, das System im Betrieb überwachen und den betroffenen Menschen Bescheid geben. Öffentliche Stellen, Banken und Versicherer ergänzen eine Grundrechte-Folgenabschätzung.

05 / Die Ehrlichkeitsregeln

Ab August 2026 gibt sich KI nicht mehr als Mensch aus

Die Transparenzstufe ist die Frist, die fast alle betrifft, weil fast alle inzwischen einen Chatbot anbieten oder generierte Inhalte veröffentlichen. Ab dem 2. August 2026: Ein Chatbot muss sagen, dass er einer ist. Ein Deepfake muss als synthetisch gekennzeichnet werden. KI-generierte Audio-, Bild- und Videoinhalte müssen eine maschinenlesbare Kennzeichnung tragen, damit Werkzeuge und Plattformen sie erkennen können.

Die Pflicht ist leicht, und das ist der Punkt: nicht weniger KI, nur ehrliche KI.

Wenn jemand es vernünftigerweise für das Echte halten könnte, hat er ein Recht darauf, zu erfahren, dass es das nicht ist.

Systeme, die vor dem 2. August 2026 bereits auf dem Markt sind, erhalten für die maschinenlesbare Kennzeichnung eine Übergangsfrist bis zum 2. Dezember 2026. Die Offenlegungspflichten selbst werden nicht aufgeschoben.

06 / Der Zeitplan

Zwei Wellen sind da. Die nächste kommt in Wochen.

Die Verordnung trat am 1. August 2024 in Kraft und gilt in Stufen. Die Verbote und die Pflicht zur KI-Kompetenz gelten bereits. Die Modellregeln gelten bereits. Die Ehrlichkeitsregeln kommen im August 2026, das Hochrisiko-Programm 2027 und 2028.

Abb. 02 / Die Wellen, und wo Sie stehen
AUG 2024 in Kraft FEB 2025 Verbote + KI-Kompetenz AUG 2025 GPAI-Regeln + Bußgelder SIE SIND HIER JUN 2026 AUG 2026 Ehrlichkeitsregeln DEZ 2026 neues Verbot + Kennz. DEZ 2027 hohes Risiko, Anhang III AUG 2028 hohes Risiko in Produkten

Daten aktualisiert am 7. Mai 2026: Die "Digital-Omnibus"-Einigung der EU verschob die Hochrisiko-Fristen von 2026/2027 auf Dezember 2027 und August 2028 und ergänzte das neue Verbot. Die förmliche Annahme wird vor August 2026 erwartet; die neuen Daten gelten verbindlich, sobald sie im Amtsblatt der EU veröffentlicht sind.

07 / Was auf dem Spiel steht

Was es kostet, sie zu ignorieren

€35M / 7%verbotene Praktiken
€15M / 3%die meisten anderen Verstöße
€7.5M / 1%Behörden in die Irre führen

Fester Betrag oder Anteil am weltweiten Jahresumsatz, je nachdem, welcher höher ist. Für kleine und mittlere Unternehmen gilt der niedrigere der beiden. Nationale Behörden setzen das meiste davon durch; das KI-Büro der Kommission überwacht die Modelle mit allgemeinem Verwendungszweck. Der Bußgeldrahmen besteht seit August 2025.

Die leisere Kostenfolge kommt früher: Beschaffungsfragebögen, Due-Diligence-Checklisten, Großkunden, die nach Ihrer Stufe fragen. Compliance wird zum Verkaufsdokument.

08 / Was sie für Sie bedeutet

Vier Sätze, die Sie dieses Jahr ablegen sollten

"wir nutzen ja nur ChatGPT"

Auch Nutzer haben Pflichten

KI bei der Arbeit zu nutzen macht Sie zum Betreiber. Ein leichteres Regelwerk als das eines Entwicklers, aber ein Regelwerk: Aufsicht, Anweisungen und Menschen, die wissen, was das Werkzeug kann und was nicht.

"das ist ein Gesetz für Big Tech"

Es ordnet nach Nutzung, nicht nach Größe

Eine Firma mit zehn Personen, die Lebensläufe mit KI vorsortiert, liegt im Hochrisiko-Bereich. Der Spamfilter eines Tech-Giganten liegt im Minimalen. Ihre Größe prägt das Bußgeld, nicht die Pflicht.

"noch gilt nichts"

Zwei Wellen sind bereits da

Die Verbote und die Pflicht zur KI-Kompetenz gelten seit Februar 2025, die Modellregeln seit August 2025. Die Ehrlichkeitsregeln kommen im August 2026.

"wir sind nicht in der EU"

Das Gesetz folgt dem Ergebnis

Wenn Sie nach Europa verkaufen, europäische Nutzer bedienen oder die Ergebnisse Ihres Systems dort verwenden lassen, sind Sie erfasst. Die DSGVO hat allen diese Lektion bereits einmal beigebracht.

09 / Was jetzt zu tun ist

Sechs Schritte, keiner davon dramatisch

Für die meisten Unternehmen ist dies kein Compliance-Notfall. Es ist ein Nachmittag der Ehrlichkeit darüber, wo KI im Unternehmen bereits steckt, und danach die Gewohnheit, dieses Bild aktuell zu halten.

01

Inventarisieren

Listen Sie jedes KI-System im Haus auf: die selbst entwickelten, die gekauften, die in anderen Werkzeugen steckenden und die, die das Personal stillschweigend nutzt.

02

Einordnen

Ordnen Sie jede Nutzung den vier Stufen zu. Die meisten landen im Minimalen. Die, die Einstellung, Geld, Sicherheit oder Studierende berühren, verdienen einen genaueren Blick.

03

Ihre Rolle kennen

Anbieter, Betreiber, Einführer oder Händler, je System. Die Pflichten folgen der Rolle, und ein Unternehmen kann mehrere zugleich innehaben.

04

Ihr Personal schulen

Die Pflicht zur KI-Kompetenz gilt bereits. Wer ein KI-System bedient oder beaufsichtigt, sollte verstehen, was es tut, was es falsch macht und wann man es übersteuert.

05

Ihre Anbieter fragen

Welche Stufe, welche Dokumentation, wer die Anbieterpflichten trägt. KI zu kaufen überträgt nicht den Anteil des Betreibers an der Verantwortung.

06

Es festhalten

Eine KI-Richtlinie, ein benannter Verantwortlicher und eine Aufzeichnung des Obigen. Wenn ein Kunde oder eine Behörde fragt, sollte die Antwort bereits vorliegen.

Diese Seite ist Orientierung, keine Rechtsberatung. Wenn Ihr Inventar Hochrisiko-Bereiche zutage fördert, ziehen Sie rechtlichen Rat hinzu.

eu-ai-act: wo stehen Sie?

eu-ai-act:~$ein zweites Paar Augen auf Ihre KI-Landkarte?

MethodKit hilft Teams, auf einen gemeinsamen Stand darüber zu kommen, wie sie tatsächlich arbeiten, einschließlich der KI, die inzwischen darin verwoben ist. Das Inventar, die Stufen, die Rollen: das ist eine Kartierungsübung, und Kartieren ist das, was wir tun. Hinterlassen Sie unten Ihre E-Mail-Adresse, und das Gespräch beginnt.

lieber per E-Mail? ola@methodkit.com