WWitness
Erste SchritteFunktionenAkademieFree ToolsExperten-ChatPreiseBlog
Anmelden
Zurück zum Blog
26. März 2026

EU-KI-Verordnung: Compliance-Checkliste für 2026

Alles, was Ihr Unternehmen vor dem Stichtag am 2. August 2026 zur EU-KI-Verordnung wissen muss — von der Risikoeinstufung bis zur technischen Dokumentation.

Witness Team·8 Min. Lesezeit·EU-KI-VerordnungCompliance-ChecklisteKI-RegulierungStichtag 2026Hochrisiko-KIAnhang IVRisikomanagement

Aktualisiert am 25. Mai 2026 nach der Digital-Omnibus-Einigung der EU (7. Mai 2026): Die Compliance-Frist für Anhang-III-Hochrisikosysteme verschiebt sich vom 2. August 2026 auf den 2. Dezember 2027 (Anhang I auf den 2. August 2028). Die Transparenzpflichten nach Artikel 50(2) gelten weiterhin ab 2. August 2026. Siehe unser Omnibus-Update für die vollständige Zeitachse.

Was ist die EU-KI-Verordnung?

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Sie wurde im Juni 2024 angenommen, am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und schafft harmonisierte Vorschriften für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen in der gesamten EU.

Anders als freiwillige Rahmenwerke oder Branchenleitlinien hat die EU-KI-Verordnung verbindlichen Rechtscharakter. Sie gilt für jedes Unternehmen, das ein KI-System auf dem EU-Markt in Verkehr bringt oder in der EU in Betrieb nimmt — unabhängig vom Sitz des Unternehmens. Sobald Ihr KI-System Personen in der EU betrifft, ist die Verordnung mit hoher Wahrscheinlichkeit einschlägig.

Der Stichtag 2. August 2026

Die Verordnung ist am 1. August 2024 in Kraft getreten, ihre Pflichten gelten jedoch zeitlich gestaffelt. Die wichtigste Welle — die Anforderungen an Hochrisiko-KI-Systeme — gilt ab dem 2. August 2026. Ab diesem Stichtag müssen Unternehmen, die Hochrisiko-Systeme bereitstellen oder einsetzen, vollständig konform sein: technische Dokumentation, Risikomanagement, menschliche Aufsicht, Daten-Governance und vieles mehr.

Einige Vorschriften gelten bereits. Das Verbot bestimmter KI-Praktiken (Art. 5) und die KI-Kompetenz-Pflichten (Art. 4) gelten seit dem 2. Februar 2025. Die Pflichten für Allzweck-KI-Modelle folgen am 2. August 2025. Für die meisten Unternehmen, die KI bereitstellen oder einsetzen, ist jedoch der 2. August 2026 der entscheidende Stichtag.

Wer muss die Verordnung umsetzen?

Die EU-KI-Verordnung knüpft die Pflichten an die jeweilige Rolle in der KI-Wertschöpfungskette:

  • Anbieter — Unternehmen, die ein KI-System entwickeln oder entwickeln lassen und es unter eigenem Namen oder eigener Marke in Verkehr bringen oder in Betrieb nehmen. Anbieter tragen die umfangreichste Pflichtenlast: technische Dokumentation, Konformitätsbewertung und Beobachtung nach dem Inverkehrbringen.

  • Betreiber — Unternehmen, die ein KI-System unter eigener Verantwortung einsetzen. Betreiber müssen menschliche Aufsicht sicherstellen, den Betrieb überwachen und in bestimmten Fällen eine Grundrechte-Folgenabschätzung (FRIA) durchführen.

  • Einführer und Händler — Akteure in der Lieferkette, die KI-Systeme in den EU-Markt einführen oder bereitstellen. Sie haben Prüf- und Aufzeichnungspflichten.

Mehrere Rollen können gleichzeitig zutreffen — etwa wenn ein Unternehmen ein KI-System intern entwickelt und im eigenen Betrieb einsetzt, ist es Anbieter und Betreiber zugleich.

Schritt 1: Liegt überhaupt ein KI-System vor?

Die erste Frage ist, ob Ihr System überhaupt unter die Verordnung fällt. Artikel 3 Abs. 1 definiert ein KI-System als ein maschinengestütztes System, das mit unterschiedlichem Grad an Autonomie betrieben wird, nach der Inbetriebnahme Anpassungsfähigkeit zeigen kann und aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben — etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen — generiert werden, die physische oder virtuelle Umgebungen beeinflussen können.

Nicht jede Software erfüllt diese Definition. Reine regelbasierte Automatisierung, klassische statistische Methoden oder einfache Datenverarbeitung fallen oft heraus. Maßgeblich sind Autonomie, Anpassungsfähigkeit und Inferenz-basierte Ausgabe.

Schritt 2: Risikostufe bestimmen

Wer den Schritt direkt machen möchte: Der Witness-KI-System-Klassifikator erledigt die Einstufung in rund drei Minuten. Im Detail folgt die Verordnung einem risikobasierten Ansatz mit vier Stufen:

Inakzeptables Risiko (verboten) — Bestimmte KI-Praktiken sind nach Artikel 5 ausnahmslos verboten. Dazu zählen Social Scoring durch Behörden, Echtzeit-Fernidentifizierung biometrischer Daten in öffentlich zugänglichen Räumen (mit eng begrenzten Ausnahmen), Manipulation durch unterschwellige Techniken und die Ausnutzung von Schwächen bestimmter Personengruppen. Solche Systeme dürfen in der EU nicht eingesetzt werden.

Hohes Risiko — KI-Systeme, die in Anhang III genannt sind oder als Sicherheitsbauteil eines Produkts der EU-Harmonisierungsrechtsvorschriften gelten, sind hochriskant. Anhang III erfasst unter anderem Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, den Zugang zu wesentlichen Diensten (einschließlich Bonitätsbewertung und Versicherungen), Strafverfolgung, Migration und Justiz. Hochrisiko-Systeme unterliegen den umfangreichsten Pflichten — der vollständige Leitfaden zu Hochrisiko-KI-Systemen beschreibt alle acht Anhang-III-Kategorien und die Ausnahme nach Art. 6 Abs. 3 im Detail.

Begrenztes Risiko — Systeme, die mit Personen interagieren (Chatbots), synthetische Inhalte erzeugen (Deepfakes) oder Emotionserkennung bzw. biometrische Kategorisierung durchführen, müssen die Transparenzpflichten nach Artikel 50 erfüllen. Nutzerinnen und Nutzer müssen erkennen können, dass sie mit einer KI interagieren oder KI-generierte Inhalte sehen.

Minimales Risiko — KI-Systeme außerhalb der genannten Kategorien unterliegen nur einer minimalen Regulierung. Die EU empfiehlt freiwillige Verhaltenskodizes, schreibt aber außer der allgemeinen KI-Kompetenz-Pflicht keine weiteren Anforderungen vor.

Schritt 3: Eigene Rolle bestimmen

Ob Sie Anbieter, Betreiber oder beides sind, entscheidet darüber, welche konkreten Pflichten Sie treffen. Artikel 25 enthält zudem die Regel des Rollenwechsels: Wer als Betreiber ein Hochrisiko-KI-System wesentlich verändert oder unter eigenem Namen in Verkehr bringt, wird selbst zum Anbieter und übernimmt die Anbieterpflichten.

Stellen Sie sich folgende Fragen:

  • Haben Sie das KI-System selbst entwickelt oder die Entwicklung beauftragt?
  • Bringen Sie es unter eigenem Namen oder eigener Marke in Verkehr?
  • Setzen Sie ein KI-System ein, das von einem anderen Unternehmen entwickelt wurde?
  • Haben Sie ein erworbenes System wesentlich verändert?

Schritt 4: Technische Dokumentation erstellen

Für Hochrisiko-KI-Systeme schreibt Anhang IV der Verordnung detaillierte Anforderungen an die technische Dokumentation vor. Diese Dokumentation muss vor dem Inverkehrbringen vorliegen und über den gesamten Lebenszyklus des Systems aktuell gehalten werden.

Zentrale Bestandteile sind:

  • Allgemeine Beschreibung des KI-Systems und seiner Zweckbestimmung
  • Detaillierte Beschreibung der Systemkomponenten und des Entwicklungsprozesses
  • Angaben zu Trainings-, Validierungs- und Testdaten
  • Leistungskennzahlen und Genauigkeitsniveaus
  • Beschreibung des Risikomanagementsystems
  • Änderungen über den Lebenszyklus des Systems hinweg
  • Anwendbare harmonisierte Normen oder gemeinsame Spezifikationen
  • EU-Konformitätserklärung

Dieser Schritt ist häufig der zeitaufwendigste. Wer bereits über interne Produktdokumentation, Risikoanalysen oder Daten-Governance-Vorgaben verfügt, ist meist weiter, als er denkt. Die kostenlose Anhang-IV-Vorlage liefert die zehn Abschnitte mit feldweisen Artikelverweisen — bereit zum Ausfüllen.

Schritt 5: Risikomanagementsystem einrichten

Artikel 9 verpflichtet Anbieter von Hochrisiko-KI-Systemen, ein Risikomanagementsystem einzurichten, umzusetzen, zu dokumentieren und aufrechtzuerhalten. Das ist keine einmalige Übung, sondern ein kontinuierlicher, iterativer Prozess über den gesamten Lebenszyklus des Systems.

Das Risikomanagementsystem muss:

  • Bekannte und vernünftigerweise vorhersehbare Risiken identifizieren und analysieren
  • Risiken aus bestimmungsgemäßer Verwendung und vernünftigerweise vorhersehbarer Fehlanwendung schätzen und bewerten
  • Risiken auf Grundlage von Beobachtungsdaten nach dem Inverkehrbringen bewerten
  • Geeignete Risikomanagementmaßnahmen ergreifen
  • Sicherstellen, dass das Restrisiko vertretbar ist

Dokumentieren Sie Ihre Methodik der Risikoidentifikation, Ihre Bewertungskriterien, die ergriffenen Minderungsmaßnahmen und akzeptierte Restrisiken samt Begründung.

Schritt 6: Menschliche Aufsicht sicherstellen

Artikel 14 verlangt, dass Hochrisiko-KI-Systeme so gestaltet sind, dass natürliche Personen sie wirksam beaufsichtigen können. Die konkreten Maßnahmen hängen von Art und Risikoniveau des Systems ab und umfassen typischerweise:

  • Die Fähigkeit, die Funktionsweise und Grenzen des Systems zu verstehen
  • Die Fähigkeit, die Ausgaben des Systems korrekt zu interpretieren
  • Die Möglichkeit, das System nicht zu nutzen, dessen Ausgabe zu ignorieren, zu überschreiben oder rückgängig zu machen
  • Die Möglichkeit, den Betrieb zu unterbrechen oder zu beenden

Halten Sie fest, wer für die Aufsicht verantwortlich ist, welche Schulungen die Aufsichtspersonen erhalten haben und welche Eingriffsmechanismen vorhanden sind.

Schritt 7: Konformitätsbewertung durchführen

Vor dem Inverkehrbringen eines Hochrisiko-KI-Systems müssen Anbieter eine Konformitätsbewertung nach Artikel 43 durchlaufen. Für die meisten Hochrisiko-Systeme nach Anhang III genügt eine interne Bewertung gemäß Anhang VI. Bei biometrischen Systemen nach Anhang III Nr. 1 kann eine Konformitätsbewertung durch eine notifizierte Stelle nach Anhang VII erforderlich sein, soweit harmonisierte Normen oder gemeinsame Spezifikationen die geltenden Anforderungen nicht vollständig abdecken.

Nach erfolgreicher Bewertung muss der Anbieter:

  • Eine EU-Konformitätserklärung ausstellen
  • Die CE-Kennzeichnung am System anbringen
  • Das System in der EU-Datenbank registrieren

Bußgelder bei Nichteinhaltung

Die Bußgeldstruktur ist bewusst spürbar gehalten. Nach Artikel 99 gelten:

  • Verbotene Praktiken: bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
  • Pflichtverletzungen bei Hochrisiko-Systemen: bis zu 15 Millionen € oder 3 % des weltweiten Jahresumsatzes
  • Falsche Auskünfte gegenüber Behörden: bis zu 7,5 Millionen € oder 1 % des weltweiten Jahresumsatzes

Für KMU sieht die Verordnung vor, dass jeweils der niedrigere der beiden Beträge (Festbetrag oder Prozentsatz) gilt — ein gewisses Maß an Verhältnismäßigkeit, aber kein Schutz vor empfindlichen Strafen.

Diese Beträge sind keine theoretischen Größen. Die EU-Behörden haben Technologie-Regulierungen in der Vergangenheit konsequent durchgesetzt — die DSGVO-Bußgelder summieren sich seit 2018 auf über 4 Milliarden €.

Erste Schritte

Bis zum Stichtag bleiben weniger als fünf Monate. Wer jetzt beginnt, hat genug Zeit, die Umsetzung sauber zu erledigen. Wer im Juli anfängt, gerät unter Druck. Wer abwägt, ob die Arbeit intern mit Tooling oder über externe Beratung erledigt werden soll, findet im Beitrag zu internen vs. externen Umsetzungswegen eine ehrliche Gegenüberstellung.

Witness stellt kostenlose Werkzeuge für den Einstieg bereit. Unser KI-System-Klassifikator ermittelt Ihre Risikostufe in etwa drei Minuten, und unser Compliance-Toolkit führt Sie durch jede Dokumentationsanforderung — mit klaren Verweisen auf die jeweiligen Artikel der Verordnung.

Prüfen Sie, ob die EU-KI-Verordnung für Sie gilt

Kostenlose Klassifizierung in 3 Minuten. Keine Anmeldung erforderlich.

Jetzt starten