Die KI-Verordnung einfach erklärt: 4 Risikoklassen, alle Fristen, die Bußgelder und was der Mittelstand als Betreiber jetzt wirklich tun muss.

Jannis Gerlinger
Mit KI erstelltDie KI-Verordnung, in Deutschland oft auch EU AI Act genannt, ist das erste umfassende KI-Gesetz der EU. Sie ordnet jedes KI-System einer von vier Risikoklassen zu und knüpft daran abgestufte Pflichten. Die gute Nachricht für den Mittelstand: Wer KI nur nutzt und nicht selbst entwickelt, hat überschaubare Pflichten.
Die Verordnung gilt seit dem 1. August 2024 und wird bis 2027 stufenweise wirksam. Wichtig zu wissen: Die meisten Unternehmen sind Betreiber, nicht Anbieter. Für sie laufen am Ende zwei konkrete Pflichten zusammen, die Mitarbeiterschulung und die Kennzeichnung von KI. Die großen Hochrisiko-Anforderungen treffen nur Spezialfälle.
Dieser Überblick erklärt die vier Risikoklassen mit Beispielen, den genauen Zeitplan, die Bußgelder samt der oft übersehenen KMU-Entlastung und was du jetzt tun solltest. Er bündelt unsere Detailartikel zur Schulungspflicht nach dem EU AI Act und zu den verbotenen KI-Praktiken.
Die KI-Verordnung ist ein risikobasiertes Gesetz. Sie verbietet nicht KI an sich, sondern reguliert sie umso strenger, je größer das Risiko für Menschen und Grundrechte ist. Ein Spam-Filter wird anders behandelt als eine KI, die über Kreditvergaben entscheidet.
Maßgeblich ist die Definition aus Artikel 3 der Verordnung. Ein KI-System ist demnach ein maschinengestütztes System, das mit unterschiedlichem Grad an Autonomie arbeitet, nach der Einführung anpassungsfähig sein kann und aus Eingaben ableitet, wie es Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt. Diese weite Definition erfasst von der Bilderkennung bis zum Sprachmodell praktisch alle modernen KI-Werkzeuge.
Die Verordnung unterscheidet außerdem zwischen Rollen. Der Anbieter entwickelt ein System, der Betreiber setzt es ein. An dieser Unterscheidung hängt, welche Pflichten dich treffen. Mehr dazu weiter unten.
Die KI-Verordnung kennt vier Risikoklassen: 1. unannehmbares Risiko (verboten), 2. hohes Risiko, 3. begrenztes Risiko (Transparenzpflicht), 4. minimales Risiko. Jede Klasse hat eigene Regeln.
| Risikoklasse | Regel | Beispiele |
|---|---|---|
| Unannehmbares Risiko | Verboten seit Februar 2025 | Social Scoring, Emotionserkennung am Arbeitsplatz, manipulative Systeme |
| Hohes Risiko | Strenge Pflichten, Konformitätsprüfung | KI in Personalauswahl, Kreditvergabe, Medizinprodukten |
| Begrenztes Risiko | Transparenzpflicht ab August 2026 | Chatbots, KI-generierte Texte und Bilder (Deepfakes) |
| Minimales Risiko | Frei nutzbar, kaum Auflagen | Spam-Filter, Übersetzer, KI in Videospielen |
Für den Mittelstand ist die Einordnung beruhigend. Der typische Einsatz, ein Chatbot auf der Website, ein KI-Textwerkzeug im Büro oder ein Übersetzer, fällt fast immer unter begrenztes oder minimales Risiko (Bundesnetzagentur, 2026). Hochrisiko wird es nur in klar umrissenen Fällen, vor allem bei KI für die Personalauswahl oder die Bewertung der Kreditwürdigkeit. Wer solche Systeme einsetzt, hat zusätzliche Pflichten, etwa eine echte menschliche Aufsicht.
Die KI-Verordnung wird nicht auf einen Schlag wirksam, sondern in Stufen. Die folgenden Daten sind die geltenden Fristen der Verordnung.
Die Verordnung tritt in Kraft. Noch sind keine Pflichten anwendbar, die Übergangsfristen beginnen zu laufen.
Verbotene Praktiken sind untersagt. Die KI-Kompetenz- und Schulungspflicht nach Artikel 4 gilt für alle Unternehmen, ohne Übergangsfrist.
Regeln für KI mit allgemeinem Verwendungszweck greifen. Die Aufsichtsstrukturen und das Bußgeldregime treten in Kraft.
Der Großteil der Verordnung gilt, inklusive der Transparenzpflicht nach Artikel 50 und der Hochrisiko-Systeme nach Anhang III.
Volle Anwendbarkeit für KI als Sicherheitskomponente in regulierten Produkten wie Maschinen oder Medizinprodukten.
Für die meisten Unternehmen sind zwei Daten relevant. Seit Februar 2025 gilt die Schulungspflicht: Wer KI im Betrieb einsetzt, muss seine Mitarbeiter ausreichend qualifizieren. Und ab August 2026 gilt die Transparenzpflicht: Wer einen Chatbot einsetzt oder KI-generierte Inhalte veröffentlicht, muss das kennzeichnen. Die Details zur Schulungspflicht stehen in unserem Artikel zur KI-Schulungspflicht nach dem EU AI Act.
Mit KI erstellt
Diese Frage entscheidet, wie viel auf dich zukommt. Die Unterscheidung ist einfacher, als das Gesetz klingt.
Ein Anbieter entwickelt ein KI-System oder bringt es unter eigenem Namen auf den Markt. Ein Betreiber setzt ein vorhandenes KI-System im eigenen Unternehmen ein. Wer ChatGPT, einen gekauften Chatbot oder ein KI-Tool nutzt, ist Betreiber. Das ist der typische Mittelständler, und für ihn gilt nur ein Bruchteil der Pflichten.
Als Betreiber treffen dich unabhängig von der Risikoklasse zwei Pflichten: Erstens die KI-Kompetenz nach Artikel 4, also die Schulung deiner Mitarbeiter, die KI nutzen. Diese Pflicht gilt seit Februar 2025, ohne Größenausnahme. Zweitens die Transparenzpflicht nach Artikel 50 ab August 2026, also der Hinweis, wenn Kunden mit einer KI interagieren oder KI-generierte Inhalte sehen.
Zusätzliche Pflichten entstehen nur, wenn du ein Hochrisiko-System betreibst, etwa eine KI für die Bewerberauswahl. Dann musst du die KI gemäß Anleitung nutzen, eine kompetente menschliche Aufsicht sicherstellen und Vorfälle melden. Für den Standardfall im Mittelstand bleibt es bei den zwei genannten Pflichten. Eine durchdachte KI-Strategie plant diese Punkte von Anfang an ein, statt sie nachträglich aufzusetzen.
Mit KI erstellt
Die Bußgelder der KI-Verordnung sind hoch, aber für KMU gibt es eine wichtige Entlastung, die in vielen Berichten fehlt.
Euro oder 7% Umsatz für verbotene Praktiken
Quelle: Art. 99 KI-VO, 2024
Euro oder 3% Umsatz für sonstige Verstöße
Quelle: Art. 99 KI-VO, 2024
Euro oder 1% Umsatz für falsche Angaben
Quelle: Art. 99 KI-VO, 2024
Die genannten Höchstbeträge gelten jeweils als der höhere der beiden Werte, also etwa 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Das klingt bedrohlich, und für Konzerne ist es das auch.
Für KMU und Start-ups dreht die Verordnung diese Logik um: Hier gilt jeweils der niedrigere der beiden Werte (Art. 99 Abs. 6 KI-VO). Diese Sonderregel deckelt das Risiko für kleinere Unternehmen spürbar. Wer also keine verbotenen Praktiken einsetzt und seine zwei Betreiberpflichten erfüllt, muss keine existenzbedrohenden Strafen fürchten.
Die KI-Verordnung lässt sich in überschaubare Schritte übersetzen. Die folgende Checkliste deckt ab, was ein Betreiber im Mittelstand angehen sollte.
Der wichtigste Schritt ist der erste. Aus knapp 20 Jahren Digital-Erfahrung von Gründer Jannis Gerlinger, von UX/UI über E-Commerce bis KI, zeigt sich: Die größte Hürde ist selten das Gesetz selbst, sondern der fehlende Überblick, welche KI im Haus überhaupt läuft. Eine interne Richtlinie schafft hier Klarheit und ist zugleich Teil der Schulungspflicht. Wie du KI insgesamt datenschutzkonform einführst, beschreibt unser Leitfaden zu DSGVO-konformer KI-Nutzung.
Die zentrale Aufsichts- und Marktüberwachungsbehörde für KI in Deutschland ist die Bundesnetzagentur. Deutschland hat ihr diese Rolle mit dem nationalen Durchführungsgesetz zur KI-Verordnung übertragen, soweit keine spezialisierten Fachbehörden zuständig sind.
Für kleinere Unternehmen ist vor allem der KI-Service-Desk der Bundesnetzagentur interessant. Er ist als niedrigschwellige Anlaufstelle gedacht und unterstützt Unternehmen, Behörden und Organisationen bei der Umsetzung der KI-Verordnung. Wer unsicher ist, ob ein System unter eine bestimmte Risikoklasse fällt, findet hier eine erste Orientierung.
Du bist unsicher, welche Pflichten der KI-Verordnung dein Unternehmen treffen? In einer kostenlosen Erstberatung ordnen wir deinen KI-Einsatz ein und benennen die konkreten Schritte, die für dich gelten.
Die KI-Verordnung wirkt auf den ersten Blick mächtig, ist für den Mittelstand aber gut beherrschbar. Wer KI nur nutzt, ist Betreiber und hat zwei reale Pflichten: Mitarbeiter schulen, das gilt bereits, und ab August 2026 KI gegenüber Kunden kennzeichnen. Die hohen Bußgelder sind für KMU durch die Deckelung auf den niedrigeren Wert entschärft.
Verschaffe dir zuerst einen Überblick, welche KI in deinem Haus läuft, ordne sie den Risikoklassen zu und setze die Schulung um. Damit erfüllst du den Großteil der Anforderungen. Die Verordnung ist kein Grund, KI zu meiden, sondern ein Rahmen, sie verantwortungsvoll zu nutzen.
Du willst KI einführen und dabei von Anfang an rechtssicher sein? Wir bauen KI-Systeme für den Mittelstand, DSGVO-konform und auf Wunsch komplett lokal, und denken die Pflichten der KI-Verordnung mit. Buch dir eine kostenlose Erstberatung, in 15 Minuten klären wir deinen Stand.
Jannis Gerlinger ist Geschäftsführer der JANGER GmbH. Seit über 15 Jahren entwickelt er digitale Lösungen, erst im UX/UI Design und E-Commerce, heute mit dem Fokus auf sichere KI-Systeme für den Mittelstand. Mit seiner TÜV-Zertifizierung in Verkaufspsychologie verbindet er technisches Know-how mit einem tiefen Verständnis für Geschäftsprozesse.
Die neuesten Praxis-Tipps zur KI-Einführung direkt in dein Postfach. Kein Spam, jederzeit abbestellbar.
Mit KI erstelltArt. 5 KI-VO verbietet seit Februar 2025 acht KI-Praktiken bei Bußgeldern bis 35 Mio. Euro. Was KMU wirklich betrifft und wie du deine Systeme prüfst.
Weiterlesen
Mit KI erstelltDSGVO-konforme KI für KMU und Mittelstand: So setzt du Corporate LLMs sicher ein, schützt Geschäftsgeheimnisse und vermeidest typische Datenschutz-Fallen.
Weiterlesen
Mit KI erstelltCloud vs. lokal, Auftragsverarbeitung, EU AI Act: Der komplette DSGVO-Guide für datenschutzkonforme KI-Nutzung im Mittelstand mit 7-Schritte-Checkliste.
WeiterlesenIn 15 Minuten findest du heraus, wo KI in deinem Betrieb den größten Hebel hat. Kostenlos, unverbindlich.