15. Januar 2026

KI-Verordnung: Welche Anforderungen und Pflichten gelten für Unternehmen?

Kurzantwort zur KI-Verordnung

Die KI-Verordnung (EU AI Act) ist eine europaweite Regulierung für den Einsatz von Künstlicher Intelligenz. Sie verfolgt einen risikobasierten Ansatz und verpflichtet Unternehmen – sowohl Anbieter als auch Betreiber von KI-Systemen – zu Maßnahmen wie Dokumentation, Transparenz, Risikobewertung und Governance.

Besonders betroffen sind Unternehmen, die KI in sensiblen Bereichen wie Personalentscheidungen, Kundenanalyse, automatisierten Bewertungen oder sicherheitsrelevanten Prozessen einsetzen. Welche Pflichten konkret gelten, hängt von der Rolle des Unternehmens und der Risikoklasse des eingesetzten KI-Systems ab.

Warum die KI-Verordnung fast jedes Unternehmen betrifft

Künstliche Intelligenz ist längst Teil des Unternehmensalltags: Chatbots im Kundenservice, automatisierte Bewerbervorauswahl, Prognosemodelle im Vertrieb oder generative KI für Texte und Bilder. Mit der KI-Verordnung schafft die EU erstmals einen verbindlichen Rechtsrahmen für diese Anwendungen.

Wichtig für die Praxis: Auch Unternehmen, die keine eigene KI entwickeln, sondern lediglich KI-Tools einkaufen oder nutzen, können unter die KI-Verordnung fallen. Entscheidend ist nicht, ob KI entwickelt wird, sondern wie und wofür sie eingesetzt wird.

KI sicher nutzen?

Jetzt KI-Beauftragten von Keyed erhalten.

Anbieter oder Betreiber – Kurzdefinition für die Praxis

Eine der zentralen Fragen für die Umsetzung lautet: Welche Rolle hat Ihr Unternehmen?

Anbieter von KI-Systemen entwickeln KI oder bringen sie unter eigenem Namen in Verkehr (z. B. Verkauf, Bereitstellung, White-Label-Lösungen).
Betreiber setzen KI-Systeme ein, um eigene Geschäftsprozesse zu unterstützen (z. B. HR-Tools, Marketing-Analysen, Chatbots).

Viele Unternehmen sind Betreiber – unterliegen aber dennoch klaren Pflichten nach der KI-Verordnung. Schon kleinere Anpassungen oder Zweckänderungen können dazu führen, dass ein Unternehmen teilweise wie ein Anbieter behandelt wird. Eine saubere Rollenklärung sollte daher immer dokumentiert werden.

Risikoklassen der KI-Verordnung auf einen Blick

Die Einteilung in Risikoklassen ist der Schlüssel zum Verständnis der KI-Verordnung:

Verbotene KI-Praktiken: grundsätzlich unzulässig (z. B. manipulative Systeme).
Hochrisiko-KI: strenge organisatorische und technische Anforderungen.
KI mit begrenztem Risiko: vor allem Transparenzpflichten.
KI mit minimalem Risiko: kaum zusätzliche Anforderungen.

Hochrisiko-KI liegt insbesondere vor bei Anwendungen in sensiblen Bereichen, etwa:

Bewerbervorauswahl und Personalentscheidungen
Kreditwürdigkeitsprüfungen
biometrische Identifikation
sicherheitsrelevante Steuerungs- oder Bewertungssysteme

Für diese Systeme gelten umfassende Pflichten, die jedoch strukturiert und pragmatisch umgesetzt werden können. Hier erfahren Sie mehr zur Risikoklassifizierung im Detail.

Welche Anforderungen stellt die KI-Verordnung an Unternehmen?

Die gute Nachricht: Nicht jedes Unternehmen muss alles umsetzen. Die Pflichten ergeben sich aus Rolle und Risikoklasse. Dennoch gibt es grundlegende Anforderungen, die für fast alle Unternehmen relevant sind.

Grundanforderungen für viele Unternehmen

KI-Inventar erstellen: Welche KI-Systeme nutzen wir? Für welchen Zweck? Mit welchen Daten?
Lieferanten prüfen: Welche Informationen und Dokumentationen stellt der Anbieter bereit?
KI-Kompetenz aufbauen: Mitarbeitende müssen Risiken erkennen und Systeme angemessen nutzen können.
Transparenz sicherstellen: Nutzer müssen erkennen können, wenn sie mit KI interagieren oder KI-generierte Inhalte erhalten.

Zusätzliche Pflichten bei Hochrisiko-KI

Bei Hochrisiko-KI steigen die Anforderungen deutlich:

Risikomanagement über den gesamten Lebenszyklus
Daten-Governance und Datenqualität
Technische Dokumentation
Protokollierung und Nachvollziehbarkeit
Human Oversight (menschliche Aufsicht)
Robustheit, Genauigkeit und Sicherheit

Diese Pflichten lassen sich in bestehende Compliance-, Datenschutz- und Managementsysteme integrieren.

KI-Verordnung und DSGVO – wie beides zusammenspielt

Sobald KI personenbezogene Daten verarbeitet, bleibt die DSGVO vollständig anwendbar. Die KI-Verordnung ersetzt den Datenschutz nicht, sondern ergänzt ihn. Typische Schnittstellen sind:

Transparenz gegenüber Betroffenen
Risiko- und Folgenabschätzungen
Dokumentationspflichten

Unternehmen können hier Synergien nutzen, indem bestehende Datenschutzprozesse mit KI-Risikobewertungen verzahnt werden. Mehr zu der Verzahnung zwischen DSGVO und KI-VO erhalten Sie in diesem Beitrag.

Was müssen Unternehmen jetzt konkret tun?

Unternehmen sollten jetzt:

ihre eingesetzten KI-Systeme vollständig inventarisieren,
ihre Rolle (Anbieter / Betreiber) klar einordnen,
eine erste Risikoklassifizierung vornehmen,
relevante Dokumentations- und Transparenzpflichten vorbereiten,
KI-Kompetenzen im Unternehmen aufbauen und schulen.

Ein schrittweises, strukturiertes Vorgehen ist ausreichend – entscheidend ist, jetzt zu starten.

Praxis-Checkliste zur Umsetzung der KI-Verordnung

KI-Inventar aufbauen
Rolle des Unternehmens klären
Risikoklasse einordnen
Pflichten ableiten und Maßnahmen definieren
KI-Managementsystem etablieren
Schulungen durchführen und regelmäßig überprüfen

Häufige Fragen zur KI-Verordnung

Gilt die KI-Verordnung auch, wenn wir keine KI entwickeln?
Ja. Auch Betreiber von KI-Systemen unterliegen Pflichten.

Muss jedes KI-System geprüft werden?
Ja. Ohne Einordnung der Risikoklasse ist keine rechtskonforme Nutzung möglich.

Ab wann müssen Unternehmen handeln?
Sobald KI eingesetzt wird und ein regulatorisches Risiko besteht.

Drohen Sanktionen bei Verstößen?
Ja. Es drohen erhebliche Bußgelder sowie Reputationsrisiken.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Maya Christian

Frau Maya Christian ist im Team der externen Datenschutzbeauftragten bei Keyed tätig.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy