KI-Regulierung und Zertifizierungen in Deutschland und Europa: Was Unternehmen 2026 wissen müssen

Der EU AI Act ist das weltweit erste umfassende Rechtsrahmenwerk für künstliche Intelligenz. Er trat am 1. August 2024 in Kraft, und seine Pflichten werden bis 2027 schrittweise umgesetzt. Wenn Ihr Unternehmen KI-Systeme in Europa entwickelt, einsetzt oder nutzt, gilt diese Verordnung für Sie.

Das ist keine Theorie mehr. Die ersten Verbote sind bereits in Kraft. Die Anforderungen an Hochrisiko-KI-Systeme treten vollständig im August 2026 in Kraft. Bußgelder können bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.

Hier erfahren Sie, was die Verordnung tatsächlich besagt, welche Zertifizierungen Sie anstreben sollten und welche praktischen Schritte Sie jetzt unternehmen sollten.

Der EU AI Act: Struktur und Zeitplan

Der EU AI Act verfolgt einen risikobasierten Ansatz. Nicht alle KI-Systeme werden gleich behandelt – je höher das Risiko, das ein System für Gesundheit, Sicherheit oder Grundrechte darstellt, desto strenger die Anforderungen.

Wichtige Termine

Die Frist im August 2026 ist für die meisten Unternehmen die entscheidende. Dann treten die wesentlichen Compliance-Pflichten für Hochrisiko-KI-Systeme in Kraft.

Risikokategorien im Überblick

Der EU AI Act klassifiziert KI-Systeme in vier Risikostufen. Ihre Compliance-Pflichten hängen vollständig davon ab, in welche Kategorie Ihr KI-System fällt.

Unannehmbares Risiko (Verboten)

Diese KI-Praktiken sind seit Februar 2025 ausnahmslos verboten:

• Social Scoring durch Behörden oder private Unternehmen
• Echtzeit-Fernbiometrie-Identifikation im öffentlichen Raum (mit engen Ausnahmen für die Strafverfolgung)
• Unterschwellige Manipulationstechniken, die Schaden verursachen
• Ausnutzung von Schwachstellen bestimmter Gruppen (Alter, Behinderung)
• Predictive Policing ausschließlich auf Basis von Profiling
• Emotionserkennung in Arbeits- und Bildungseinrichtungen
• Ungezieltes Scraping von Gesichtsbildern aus dem Internet oder aus Videoüberwachung zum Datenbankaufbau

Hohes Risiko

KI-Systeme in diesen Bereichen unterliegen den strengsten Anforderungen – Konformitätsbewertungen, Dokumentation, menschliche Aufsicht und laufendes Monitoring:

• Kritische Infrastruktur – Energie, Verkehr, Wasser, Verwaltung digitaler Infrastruktur
• Bildung – Systeme, die den Bildungszugang bestimmen oder Lernende bewerten
• Beschäftigung – Rekrutierungstools, Lebenslauf-Screening, Leistungsbewertung, Beförderungsentscheidungen
• Wesentliche Dienstleistungen – Kreditscoring, Versicherungspreise, Zugang zu öffentlichen Leistungen
• Strafverfolgung – Risikobeurteilungstools, Lügendetektion, Beweisauswertung
• Migration und Grenzkontrolle – Visabearbeitung, Asylverfahren
• Justiz und Demokratie – Systeme zur Unterstützung gerichtlicher Entscheidungen

Begrenztes Risiko (Transparenzpflichten)

KI-Systeme, die direkt mit Menschen interagieren, müssen offenlegen, dass es sich um KI handelt. Dies gilt für Chatbots, KI-generierte Inhalte und Deepfakes. Nutzerinnen und Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren, und KI-generierte oder manipulierte Inhalte müssen entsprechend gekennzeichnet werden.

Minimales Risiko

Die meisten KI-Anwendungen fallen in diese Kategorie – Spamfilter, KI-gestützte Designtools, Empfehlungs-Engines, Bestandsverwaltung. Keine spezifischen Pflichten nach dem EU AI Act, freiwillige Verhaltenskodizes werden jedoch empfohlen.

Was Hochrisiko-Compliance tatsächlich erfordert

Wenn Ihr KI-System als hochriskant eingestuft wird, müssen Sie folgende Punkte vor August 2026 erfüllt haben:

• Risikomanagementsystem – kontinuierliche Identifikation, Analyse und Minderung von Risiken über den gesamten Lebenszyklus des KI-Systems
• Daten-Governance – Trainings-, Validierungs- und Testdatensätze müssen Qualitätskriterien erfüllen. Bias-Erkennung und - Minderung sind verpflichtend
• Technische Dokumentation – detaillierte Aufzeichnungen über Zweck, Architektur, Trainingsprozess, Leistungskennzahlen und bekannte Einschränkungen des Systems
• Aufzeichnung und Protokollierung – automatische Protokollierung des Systembetriebs zur Nachvollziehbarkeit und Analyse nach Vorfällen
• Transparenz – klare Anweisungen für Betreiber, einschließlich Verwendungszweck, Leistungsniveaus und bekannter Risiken
• Menschliche Aufsicht – Mechanismen, die es menschlichen Betreibern ermöglichen, KI-Entscheidungen zu überwachen, einzugreifen und zu übersteuern
• Genauigkeit, Robustheit und Cybersicherheit – Systeme müssen konsistent funktionieren und gegen gegnerische Angriffe sowie Datenmanipulation resistent sein

Für Anbieter, die Hochrisiko-KI-Systeme auf dem EU-Markt bereitstellen, ist vor der Inbetriebnahme eine Konformitätsbewertung erforderlich. Je nach Bereich erfolgt diese entweder als Selbstbewertung oder durch eine notifizierte Stelle (Drittprüfer).

Allgemeine KI-Modelle (GPAI)

Seit August 2025 müssen Anbieter allgemeiner KI-Modelle – einschließlich großer Sprachmodelle – Transparenzanforderungen erfüllen:

• Technische Dokumentation über Modellkapazitäten und - einschränkungen
• Urheberrechtskonformität – eine hinreichend detaillierte Zusammenfassung der Trainingsdaten, im Einklang mit dem EU-Urheberrecht
• Transparenz gegenüber nachgelagerten Nutzern – Bereitstellung von Informationen, die es Betreibern ermöglichen, ihre eigenen Pflichten zu erfüllen

GPAI-Modelle, die als systemisches Risiko eingestuft werden (im Allgemeinen solche, die mit mehr als 10^25 FLOPs trainiert wurden), unterliegen zusätzlichen Pflichten: Adversarial Testing, Meldung von Vorfällen, Cybersicherheitsmaßnahmen und Berichterstattung zum Energieverbrauch.

Deutschlands Rolle und nationale Umsetzung

Als EU-Verordnung gilt der AI Act unmittelbar in allen Mitgliedstaaten, ohne nationale Umsetzung zu erfordern. Jedes Land muss jedoch nationale zuständige Behörden für Marktüberwachung und Durchsetzung benennen.

In Deutschland gestaltet sich die Zuständigkeit wie folgt:

• BNetzA (Bundesnetzagentur) – als primäre KI-Marktüberwachungsbehörde Deutschlands benannt, koordiniert die sektorübergreifende Durchsetzung
• BSI (Bundesamt für Sicherheit in der Informationstechnik) – zuständig für Cybersicherheitsaspekte von KI-Systemen, stellt technische Standards und Leitlinien bereit
• BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) – beteiligt, wenn KI-Systeme personenbezogene Daten verarbeiten, stellt die Übereinstimmung mit der DSGVO sicher
• Sektorspezifische Aufsichtsbehörden – BaFin (Finanzdienstleistungen), BAuA (Arbeitssicherheit) und andere übernehmen die KI-Aufsicht in ihren jeweiligen Bereichen

Die BNetzA hat zudem einen KI-Service-Desk eingerichtet (seit Juli 2025 in Betrieb), der Unternehmen – insbesondere KMU – kostenlose und niedrigschwellige Beratungsleistungen bei der Umsetzung des EU AI Act bietet.

Deutschland ist auch bei der Entwicklung von KI-Standards durch DIN und DKE (den deutschen Normungsgremien) aktiv und trägt zu europäischen harmonisierten Normen bei, die die Compliance-Benchmarks für den AI Act definieren werden. Das BSI hat den QUAIDAL-Rahmen veröffentlicht – 143 Qualitätsmetriken zur Bewertung von KI-Trainingsdaten.

Wichtige Zertifizierungen und Standards

Obwohl der EU AI Act keine spezifischen Zertifizierungen vorschreibt, kristallisieren sich mehrere Standards als praktischer Weg zum Nachweis der Compliance heraus.

ISO/IEC 42001 - KI-Managementsystem

Dieser im Dezember 2023 veröffentlichte Standard ist der erste internationale Standard für KI-Managementsysteme. Er bietet einen strukturierten Rahmen für Organisationen, um KI-Risiken, Governance und verantwortungsvolle Entwicklung zu steuern. Man kann ihn als ISO 27001 für KI betrachten – ein zertifizierbarer Managementsystem-Standard.

• Abdeckung: KI-Richtlinien, Risikobewertung, Rollen und Verantwortlichkeiten, Datenmanagement, Leistungsbewertung, kontinuierliche Verbesserung
• Für wen geeignet: Jede Organisation, die KI-Systeme entwickelt oder einsetzt, insbesondere solche in Hochrisikokategorien nach dem EU AI Act
• Zertifizierung: Erhältlich über akkreditierte Zertifizierungsstellen. Audits folgen derselben Struktur wie ISO 27001 (Stufe 1 und Stufe 2)

Weitere relevante Standards

Die harmonisierten CEN/CENELEC-Normen sind besonders bedeutsam. Nach ihrer Veröffentlichung werden sie eine "Konformitätsvermutung" begründen – das bedeutet: Wenn Ihr KI-System diese Normen erfüllt, wird davon ausgegangen, dass es die entsprechenden Anforderungen des EU AI Act erfüllt. Diese Normen werden im Laufe von 2025 und 2026 erwartet.

Bußgelder bei Nichteinhaltung

Der EU AI Act sieht ein gestaffeltes Bußgeldsystem vor, das sich nach der Schwere des Verstoßes richtet:

Für KMU und Start-ups sind die Bußgelder proportional auf den jeweils niedrigeren dieser Schwellenwerte begrenzt. Der Reputationsschaden bei Nichteinhaltung kann jedoch das größere unternehmerische Risiko darstellen – insbesondere im B2B-Bereich, wo Kunden von ihren Lieferanten zunehmend den Nachweis der KI-Compliance verlangen werden.

DSGVO und AI Act: Wo sie sich überschneiden

Wenn Ihr KI-System personenbezogene Daten verarbeitet – und das tun die meisten –, müssen Sie sowohl die DSGVO als auch den AI Act einhalten. Sie ergänzen sich, statt zu konkurrieren:

• DSGVO regelt, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden – einschließlich Trainingsdaten für KI-Modelle
• AI Act regelt das KI-System selbst – dessen Design, Testing, Einsatz und laufendes Monitoring
• Datenschutz-Folgenabschätzungen (DSFA) nach der DSGVO stimmen eng mit den Risikobewertungen des AI Act für Hochrisiko-Systeme überein
• Automatisierte Entscheidungsfindung nach Artikel 22 DSGVO gibt Betroffenen bereits das Recht, KI-getroffene Entscheidungen anzufechten – der AI Act fügt technische Anforderungen hinzu

Organisationen mit ausgereiften DSGVO-Prozessen haben einen Vorsprung. Die Dokumentations-, Folgenabschätzungs- und Governance-Rahmen überschneiden sich erheblich.

Praktische Schritte: Was Sie jetzt tun sollten

Ob Sie ein Start-up sind, das einen Chatbot betreibt, oder ein Unternehmen, das KI-gestützte Kreditbewertungen durchführt – hier ist ein konkreter Aktionsplan:

1. KI-Systeme inventarisieren

Erfassen Sie alle KI-Systeme, die Ihr Unternehmen entwickelt, einsetzt oder nutzt. Schließen Sie auch Drittanbieter-KI-Tools ein (CRM-Scoring, Recruiting-Plattformen, Analytics). Klassifizieren Sie jedes System anhand der Risikokategorien des EU AI Act.

2. Ihre Rolle bestimmen

Der AI Act unterscheidet zwischen Anbietern (die KI-Systeme entwickeln oder auf den Markt bringen) und Betreibern (die sie nutzen). Ihre Pflichten unterscheiden sich je nach Rolle erheblich. Wenn Sie ein Drittanbieter-KI-Tool verwenden, sind Sie Betreiber – haben aber dennoch Transparenz-, Aufsichts- und Monitoring-Pflichten.

3. Gap-Analyse gegenüber Hochrisiko-Anforderungen

Bewerten Sie für alle Hochrisiko-KI-Systeme Ihren aktuellen Stand gegenüber den sieben Kernanforderungen: Risikomanagement, Daten-Governance, Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht und Robustheit. Identifizieren Sie Lücken und priorisieren Sie Maßnahmen.

4. KI-Governance einführen

Etablieren Sie einen KI-Governance-Rahmen – Richtlinien, Rollen und Prozesse für den verantwortungsvollen Umgang mit KI-Systemen. ISO/IEC 42001 bietet hierfür eine fertige Struktur. Auch ohne Zertifizierung gibt Ihnen der Rahmen eine vertretbare Ausgangsbasis.

5. Konformitätsbewertungen vorbereiten

Wenn Sie Hochrisiko-KI-Systeme anbieten, beginnen Sie jetzt mit der Erstellung Ihrer technischen Dokumentation, Testprotokolle und Qualitätsmanagementsysteme. Der Konformitätsbewertungsprozess erfordert Nachweise der Compliance in allen sieben Anforderungsbereichen.

6. Teams schulen

Der AI Act verlangt ausdrücklich, dass Mitarbeiterinnen und Mitarbeiter, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Das ist keine Empfehlung – Artikel 4 schreibt es vor. Investieren Sie in Schulungen für Entwicklerinnen und Entwickler, Produktmanager, Compliance-Teams und Führungskräfte.

Was das für Ihre Website und digitalen Produkte bedeutet

Wenn Ihre Website KI-gestützte Funktionen nutzt – Chatbots, Personalisierungs-Engines, Empfehlungssysteme, automatisierte Inhaltsgenerierung – fallen Sie mindestens unter die Transparenzanforderungen für begrenztes Risiko.

• KI-Chatbots müssen vor Beginn der Interaktion offenlegen, dass es sich um KI-Systeme handelt
• KI-generierte Inhalte auf Ihrer Website sollten als solche gekennzeichnet werden, wenn sie mit menschlich erstellten Inhalten verwechselt werden könnten
• Personalisierungs- und Profilierungssysteme können je nach Auswirkung auf Nutzerinnen und Nutzer DSGVO- und AI Act-Pflichten auslösen
• KI-gestützte Formulare und Scoring-Systeme (Lead-Scoring, Eignungsprüfungen) müssen hinsichtlich ihrer Risikoeinstufung bewertet werden

Das richtig umzusetzen ist nicht nur eine Compliance-Frage – es schafft Vertrauen. Nutzerinnen und Nutzer erwarten zunehmend Transparenz darüber, wann und wie KI eingesetzt wird. Eine klare KI-Offenlegungsrichtlinie kann ein Wettbewerbsvorteil sein.

Nächste Schritte

Die KI-Regulierung in Europa verlangsamt sich nicht. Der Rahmen steht, die Fristen sind gesetzt und die Durchsetzungsmechanismen werden aufgebaut. Unternehmen, die dies als Problem von 2027 betrachten, werden in Zeitnot geraten – die August-2026-Frist für Hochrisiko-Systeme ist nur noch wenige Monate entfernt.

Bei webvise entwickeln wir digitale Produkte mit Compliance im Blick. Ob Sie die KI-Funktionen Ihrer Website auf EU AI Act-Konformität prüfen lassen möchten, geeignete Offenlegungsmechanismen implementieren oder ein vollständiges technisches Audit Ihrer digitalen Präsenz benötigen – nehmen Sie Kontakt auf und wir helfen Ihnen, die regulatorische Landschaft zu navigieren.