Gilt die EU-KI-Verordnung für mein Unternehmen?
Klärt in fünf Fragen, ob Ihr Unternehmen unter die EU-KI-Verordnung fällt: Geltungsbereich, Ausnahmen und der extraterritoriale Anwendungsbereich.
Aktualisiert am 25. Mai 2026 nach der Digital-Omnibus-Einigung der EU (7. Mai 2026): Die Compliance-Frist für Anhang-III-Hochrisikosysteme verschiebt sich vom 2. August 2026 auf den 2. Dezember 2027 (Anhang I auf den 2. August 2028). Die Transparenzpflichten nach Artikel 50(2) gelten weiterhin ab 2. August 2026. Siehe unser Omnibus-Update für die vollständige Zeitachse.
Die kurze Antwort
Wenn Ihr Unternehmen ein KI-System entwickelt, vertreibt oder einsetzt, das Personen in der Europäischen Union betrifft, gilt die EU-KI-Verordnung mit hoher Wahrscheinlichkeit auch für Sie. Es gibt weder eine Umsatz- noch eine Mitarbeiterzahl-Schwelle und keine generelle Ausnahme für kleine Unternehmen.
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten. Die wichtigsten Pflichten — jene für Hochrisiko-KI-Systeme — gelten ab dem 2. August 2026. Der erste Schritt zur Compliance besteht darin, zu klären, ob und wie die Verordnung Ihr Unternehmen erfasst.
Wen die Verordnung erfasst
Artikel 2 definiert den Anwendungsbereich. Die Verordnung gilt für vier Akteursgruppen entlang der KI-Wertschöpfungskette:
Anbieter — Wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt. Darunter fallen SaaS-Anbieter, Produktunternehmen mit KI-Funktionen und Unternehmen, die KI-Tools für interne Zwecke unter eigenem Namen entwickeln.
Betreiber — Wer ein KI-System in eigener Verantwortung im beruflichen Kontext einsetzt. Wenn Ihr Unternehmen ein KI-gestütztes Bewerber-Screening, einen Chatbot oder ein KI-Modell zur Bonitätsbewertung nutzt, sind Sie Betreiber.
Einführer — Akteure, die KI-Systeme aus Drittstaaten in den EU-Markt einführen.
Händler — Akteure, die KI-Systeme auf dem EU-Markt bereitstellen, ohne Anbieter oder Einführer zu sein.
Diese Rollen schließen einander nicht aus. Ein Unternehmen, das ein KI-Tool für den Eigenbedarf entwickelt, ist gleichzeitig Anbieter und Betreiber.
Der geografische Anwendungsbereich
An dieser Stelle werden viele Unternehmen außerhalb der EU überrascht. Die KI-Verordnung gilt für:
- Unternehmen mit Sitz in der EU, die KI-Systeme bereitstellen oder einsetzen
- Unternehmen außerhalb der EU, deren KI-Ausgabe in der EU verwendet wird (Art. 2 Abs. 1 Buchst. c)
- Unternehmen außerhalb der EU, die KI-Systeme auf dem EU-Markt in Verkehr bringen
Eine US-amerikanische SaaS-Firma, deren KI-Funktionen von europäischen Kunden genutzt werden, fällt unter die Verordnung. Ein chinesischer Hersteller, dessen KI-fähiges Produkt in Europa verkauft wird, fällt unter die Verordnung. Der geografische Anwendungsbereich folgt dem aus der DSGVO bekannten Marktortprinzip: Treten die Wirkungen in der EU auf, gilt das Recht. Die Überschneidungen mit der DSGVO haben wir für Datenschutz-Teams im Detail aufbereitet.
Wer ausgenommen ist
Die Verordnung kennt klar abgegrenzte Ausnahmen. Artikel 2 Abs. 3 bis 12 nimmt mehrere Bereiche aus:
- Militär und nationale Sicherheit — KI-Systeme, die ausschließlich für militärische Zwecke entwickelt oder eingesetzt werden, liegen außerhalb des Anwendungsbereichs
- Wissenschaftliche Forschung und Entwicklung — KI-Systeme, die ausschließlich Forschungszwecken dienen und nicht in Verkehr gebracht werden, sind ausgenommen
- Persönliche, nicht-berufliche Nutzung — Eine Privatperson, die ein KI-Tool privat nutzt, ist kein Betreiber im Sinne der Verordnung
- Open Source — Freie und quelloffene KI-Komponenten sind weitgehend ausgenommen, sofern sie nicht Teil eines Hochrisiko-Systems oder einer verbotenen Praktik sind
- Behörden in Drittstaaten — KI-Systeme, die von Behörden in Nicht-EU-Staaten im Rahmen internationaler Übereinkünfte zur Strafverfolgung oder justiziellen Zusammenarbeit eingesetzt werden
Eine wichtige Klarstellung zu Open Source: Wer ein quelloffenes Modell in ein eigenes Produkt integriert und dieses Produkt verkauft oder beruflich einsetzt, fällt mit dem fertigen Produkt unter die Verordnung. Die Open-Source-Ausnahme erfasst die Komponente, nicht das damit gebaute System.
Der 5-Fragen-Entscheidungsbaum
Beantworten Sie diese fünf Fragen der Reihe nach, um zu klären, ob die EU-KI-Verordnung für Ihr Unternehmen gilt:
1. Entwickelt oder nutzt Ihr Unternehmen ein System, das die KI-Definition erfüllt?
Artikel 3 Abs. 1 definiert ein KI-System als ein maschinengestütztes System, das mit unterschiedlichem Grad an Autonomie betrieben wird, nach der Inbetriebnahme Anpassungsfähigkeit zeigen kann und aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben — etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen — generiert werden. Reine regelbasierte Automatisierung oder einfache Datenverarbeitung erfüllt diese Definition in der Regel nicht.
Wenn nein → Die Verordnung gilt nicht. Ende.
Wenn ja → Weiter mit Frage 2.
2. Wird das KI-System ausschließlich für militärische, Forschungs- oder private Zwecke genutzt?
Wenn das System ausschließlich Zwecken der nationalen Sicherheit dient, nur in einem Forschungskontext vor dem Inverkehrbringen verwendet wird oder ausschließlich privat eingesetzt wird, fällt es nicht in den Anwendungsbereich.
Wenn ja → Die Verordnung gilt nicht.
Wenn nein → Weiter mit Frage 3.
3. Betrifft das KI-System Personen in der EU?
Erfasst sind Systeme, die in der EU in Verkehr gebracht oder in Betrieb genommen werden, sowie Systeme, deren Ausgabe in der EU verwendet wird — unabhängig vom Sitz Ihres Unternehmens.
Wenn nein → Die Verordnung gilt nicht.
Wenn ja → Weiter mit Frage 4.
4. Sind Sie Anbieter, Betreiber, Einführer oder Händler dieses Systems?
Wenn Sie das System entwickeln, im eigenen Unternehmen einsetzen, in die EU einführen oder auf dem EU-Markt bereitstellen, nehmen Sie mindestens eine dieser Rollen ein.
Wenn nein → Die Verordnung gilt nicht für Sie (kann aber andere Akteure entlang der Wertschöpfungskette treffen).
Wenn ja → Die EU-KI-Verordnung gilt für Ihr Unternehmen. Weiter mit Frage 5.
5. Welche Risikostufe trifft auf Ihr System zu?
Die konkreten Pflichten hängen davon ab, ob Ihr KI-System als minimal, begrenzt, hochriskant oder verboten einzustufen ist. Daraus ergibt sich, ob Sie ohne Pflichten arbeiten, lediglich Transparenzpflichten erfüllen, das volle Pflichtenprogramm durchlaufen oder das System gar nicht einsetzen dürfen. Der kostenlose Witness-Klassifikator arbeitet den Entscheidungsbaum aus Art. 5, Anhang III und Art. 6 Abs. 3 frageweise ab — ohne Registrierung, in rund drei Minuten.
Häufige Missverständnisse
„Wir sind ein kleines Unternehmen, also gilt das nicht für uns." Falsch. Die EU-KI-Verordnung enthält keine Größenausnahme. Ein Start-up mit fünf Personen, das ein Hochrisiko-KI-System einsetzt, hat dieselben Kernpflichten wie ein Konzern — die Praxisanleitung für KMU bricht das Schritt für Schritt herunter. KMU profitieren von reduzierten Bußgeldobergrenzen (Art. 99 Abs. 6) und vereinfachten Dokumentationsoptionen (Art. 11 Abs. 2), die Verordnung selbst gilt aber gleichermaßen. Wer wissen will, wie sich diese Obergrenze für den eigenen Umsatz konkret ausrechnet, prüft das im Bußgeld-Rechner in wenigen Sekunden.
„Wir sitzen außerhalb der EU, das ist für uns irrelevant." Falsch. Wenn die Ausgabe Ihres KI-Systems in der EU verwendet wird, sind Sie im Anwendungsbereich. Das ergibt sich ausdrücklich aus Art. 2 Abs. 1 Buchst. c.
„Wir nutzen nur ChatGPT — wir sind kein KI-Unternehmen." Wer ein Drittanbieter-KI-Tool im beruflichen Kontext einsetzt, ist Betreiber. Die Pflichten richten sich nach dem Einsatzzweck und der Risikoklasse des Anwendungsfalls. Wer ein KI-System für Personalentscheidungen nutzt, betreibt ein Hochrisiko-System — unabhängig davon, wer es entwickelt hat.
„Unser System ist regelbasiert, kein Machine Learning." Die KI-Definition in Art. 3 Abs. 1 ist breiter als Machine Learning. Wenn Ihr System aus Eingaben Ausgaben ableitet und mit gewisser Autonomie arbeitet, kann es erfasst sein. Reine If/Else-Automatisierung ohne Inferenz fällt typischerweise nicht unter die Definition.
„Damit befassen wir uns nach August 2026." Einige Vorschriften gelten bereits. Das Verbot bestimmter KI-Praktiken (Art. 5) und die KI-Kompetenz-Pflichten (Art. 4) sind seit dem 2. Februar 2025 anwendbar. Verstöße können schon heute mit Bußgeldern von bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes geahndet werden.
Nächste Schritte
Die Anwendbarkeitsprüfung ist Schritt eins. Schritt zwei ist die Risikoeinstufung Ihres KI-Systems, denn daraus ergeben sich die konkreten Pflichten. Der Witness-Klassifikator führt Sie in etwa drei Minuten durch diesen Prozess — ohne Registrierung.
Prüfen Sie, ob die EU-KI-Verordnung für Sie gilt
Kostenlose Klassifizierung in 3 Minuten. Keine Anmeldung erforderlich.
Jetzt starten