Der Gesetzestext Compliance-Check Zusammenfassung KMU-Leitfaden FAQ Blog Newsletter Beratungstermin

Der Gesetzestext

Die Kapitelinhalte auf dieser Seite sind redaktionelle Zusammenfassungen zur Orientierung. Den vollständigen Gesetzestext finden Sie über den PDF-Download.

Verordnung (EU) 2024/1689 · In Kraft seit 1. August 2024 · 13 Kapitel · Artikel 1–113

↓ Gesetzestext als PDF (EUR-Lex)
Kapitel I · Allgemeine Bestimmungen  Art. 1–4

Kapitel I legt den Gegenstand, den Anwendungsbereich sowie die grundlegenden Begriffsbestimmungen der Verordnung fest. Es definiert, was unter einem KI-System zu verstehen ist, für wen die Verordnung gilt und welche Akteure (Anbieter, Betreiber, Importeure, Händler) in den Regelungskreis fallen.

Die Verordnung gilt für das Inverkehrbringen, die Inbetriebnahme und die Nutzung von KI-Systemen in der EU – unabhängig davon, ob der Anbieter in der EU oder einem Drittland ansässig ist, sofern die Ausgabe des Systems in der EU genutzt wird.

Artikel im Überblick

Art. 1Gegenstand der Verordnung
Art. 2Anwendungsbereich – wer und was ist erfasst
Art. 3Begriffsbestimmungen (KI-System, Anbieter, Betreiber, Hochrisiko-KI u.v.m.)
Art. 4KI-Kompetenz (AI Literacy) – Pflicht zur Grundkompetenz im Umgang mit KI

Ausnahmen vom Anwendungsbereich (Art. 2)

Nicht erfasst sind KI-Systeme, die ausschließlich für militärische oder nationale Sicherheitszwecke entwickelt wurden, KI-Systeme ausschließlich für wissenschaftliche Forschung und Entwicklung sowie KI-Komponenten, die ausschließlich aus Open-Source-Gründen veröffentlicht werden (mit Einschränkungen).

Wichtige Definitionen (Art. 3)

KI-System: Ein maschinengestütztes System, das für den Betrieb mit einem unterschiedlichen Grad an Autonomie konzipiert ist, das nach der Implementierung Anpassungsfähigkeit zeigen kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte zu erstellen, die physische oder virtuelle Umgebungen beeinflussen.

Anbieter: Eine natürliche oder juristische Person, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt – gegen Entgelt oder unentgeltlich.

Betreiber: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die ein KI-System unter eigener Verantwortung verwendet, es sei denn, es wird im Rahmen einer persönlichen, nicht beruflichen Tätigkeit verwendet.

KI-Kompetenz (Art. 4)

Anbieter und Betreiber von KI-Systemen müssen Maßnahmen ergreifen, um sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit KI-Systemen umgehen, über ein ausreichendes Maß an KI-Kompetenz (AI Literacy) verfügen.

Kapitel II · Verbotene KI-Praktiken  Art. 5

Kapitel II enthält ausschließlich Artikel 5 und listet KI-Praktiken auf, die als mit den Werten der Europäischen Union unvereinbar gelten und daher vollständig verboten sind. Diese Verbote gelten seit dem 2. Februar 2025.

Verbotene Praktiken im Überblick

a)Unterschwellige Manipulation (Subliminal Techniques), die das Verhalten einer Person ohne deren Wissen beeinflusst
b)Ausnutzung von Schwächen oder Schutzbedürftigkeit bestimmter Personengruppen (Alter, Behinderung)
c)Soziale Bewertungssysteme (Social Scoring) durch öffentliche Behörden
d)Risikoabschätzung für zukünftige Straftaten allein auf Basis von Profiling ohne objektive Anhaltspunkte
e)Erstellung von Gesichtserkennungsdatenbanken durch ungezielte Erfassung aus dem Internet oder CCTV
f)Schlussfolgerungen auf Emotionen von Personen am Arbeitsplatz und in Bildungseinrichtungen
g)Biometrische Kategorisierung zur Ableitung sensibler Merkmale (Rasse, politische Meinung, Religion, Sexualität)
h)Biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen zu Strafverfolgungszwecken (mit engen Ausnahmen)

Ausnahmen für biometrische Echtzeit-Identifizierung (Art. 5 Abs. 2)

Der Einsatz biometrischer Echtzeit-Fernidentifizierung durch Strafverfolgungsbehörden ist ausnahmsweise und unter strengen Bedingungen zulässig, etwa zur gezielten Suche nach vermissten Personen oder zur Abwehr einer konkreten, erheblichen Terrorgefahr. Jeder Einsatz erfordert eine Vorabgenehmigung durch eine Justiz- oder Verwaltungsbehörde sowie eine Grundrechts-Folgenabschätzung.

Kapitel III · Hochrisiko-KI-Systeme  Art. 6–49

Das umfangreichste Kapitel der Verordnung. Es definiert, welche KI-Systeme als Hochrisiko eingestuft werden, und legt detaillierte Anforderungen für Anbieter und Betreiber solcher Systeme fest. Hochrisiko-Pflichten gelten für die meisten Systeme ab dem 2. August 2026, für in Produkte eingebettete Hochrisiko-KI erst ab dem 2. August 2027.

Einstufung als Hochrisiko-KI (Art. 6)

Ein KI-System gilt als hochriskant, wenn es als Sicherheitskomponente in einem nach EU-Recht zertifizierungspflichtigen Produkt eingesetzt wird oder wenn es in einem der in Anhang III aufgelisteten Bereiche eingesetzt wird.

Bereiche mit Hochrisiko-KI-Systemen (Anhang III)

1.Biometrie und biometrische Kategorisierung
2.Kritische Infrastruktur (Energie, Wasser, Verkehr)
3.Allgemeine und berufliche Bildung
4.Beschäftigung, Personalmanagement und Selbständigkeit
5.Zugang zu privaten Dienstleistungen und öffentlichen Leistungen (Kreditvergabe, Sozialleistungen)
6.Strafverfolgung
7.Migration, Asyl und Grenzkontrolle
8.Rechtspflege und demokratische Prozesse

Anforderungen an Hochrisiko-KI-Systeme

Art. 9Risikomanagementsystem – fortlaufend während des gesamten Lebenszyklus
Art. 10Daten und Daten-Governance – Qualität der Trainings-, Validierungs- und Testdaten
Art. 11Technische Dokumentation – vollständige Dokumentation vor Inverkehrbringen
Art. 12Aufzeichnungspflichten (Logging) – automatische Protokollierung des Betriebs
Art. 13Transparenz und Bereitstellung von Informationen für Betreiber
Art. 14Menschliche Aufsicht – geeignete Maßnahmen zur Ermöglichung menschlicher Kontrolle
Art. 15Genauigkeit, Robustheit und Cybersicherheit
Art. 16Pflichten der Anbieter von Hochrisiko-KI-Systemen
Art. 17Qualitätsmanagementsystem
Art. 26Pflichten der Betreiber von Hochrisiko-KI-Systemen
Art. 27Grundrechts-Folgenabschätzung für Betreiber
Art. 43Konformitätsbewertungsverfahren
Art. 47EU-Konformitätserklärung
Art. 48–49CE-Kennzeichnung und EU-Datenbankregistrierung
Kapitel IV · Transparenzpflichten  Art. 50

Kapitel IV regelt besondere Transparenzpflichten für KI-Systeme, die mit natürlichen Personen interagieren, Inhalte erzeugen oder Personen und Objekte erkennen – unabhängig davon, ob es sich um Hochrisiko-Systeme handelt.

Artikel 50 – Transparenzpflichten im Überblick

Chatbots & Konversations-KINutzer müssen informiert werden, dass sie mit einem KI-System interagieren (es sei denn, dies ist offensichtlich)
Deepfakes & KI-generierte InhalteBild-, Audio- und Videoinhalte, die Personen, Orte oder Ereignisse realitätsnah imitieren, müssen als KI-erzeugt gekennzeichnet werden
Emotionserkennung & Biometrische KategorisierungPersonen müssen über den Einsatz solcher Systeme informiert werden
KI-generierte Texte zu öffentlichen ThemenBei KI-generierten Texten zu Wahlen, politischen Themen oder öffentlichem Interesse ist eine Kennzeichnungspflicht vorgesehen

Maschinenlesbare Kennzeichnung

Für KI-generierte Bild-, Audio- und Videoinhalte schreibt die Verordnung die Verwendung maschinenlesbarer Metadaten vor, die den KI-Ursprung des Inhalts kennzeichnen. Anbieter von KI-Systemen, die synthetische Inhalte erzeugen, müssen diese mit einem nicht wahrnehmbaren Wasserzeichen oder einer ähnlichen Technik versehen.

Kapitel V · KI-Modelle mit allgemeinem Verwendungszweck (GPAI)  Art. 51–56

Kapitel V führt spezifische Regeln für sogenannte General-Purpose AI (GPAI)-Modelle ein – also Modelle, die für eine Vielzahl von Aufgaben eingesetzt werden können (z.B. große Sprachmodelle wie GPT oder Gemini). Diese Regelungen sind seit dem 2. August 2025 anwendbar.

Artikel im Überblick

Art. 51Einstufung von GPAI-Modellen mit systemischem Risiko
Art. 52Verfahren zur Einstufung
Art. 53Pflichten für alle GPAI-Anbieter
Art. 54Bevollmächtigte von GPAI-Anbietern aus Drittländern
Art. 55Zusätzliche Pflichten bei systemischem Risiko
Art. 56Verhaltenskodex für GPAI-Modelle

Pflichten für alle GPAI-Anbieter (Art. 53)

Alle Anbieter von GPAI-Modellen müssen technische Dokumentation erstellen und pflegen, nachgelagerten Anbietern Informationen und Dokumentation bereitstellen, eine Urheberrechtsrichtlinie einhalten und eine Zusammenfassung der für das Training verwendeten Inhalte veröffentlichen.

GPAI-Modelle mit systemischem Risiko (Art. 51 & 55)

Modelle, die mit einer kumulierten Rechenleistung von mehr als 10²⁵ FLOP trainiert wurden, gelten als Modelle mit systemischem Risiko und unterliegen strengeren Anforderungen: Modell-Evaluierungen einschließlich adversarialer Tests, Meldung schwerwiegender Vorfälle an die EU-KI-Behörde sowie Maßnahmen zur Cybersicherheit.

Open-Source-Ausnahme

Anbieter, die Modellgewichte unter einer Open-Source-Lizenz öffentlich zugänglich machen, sind von einigen Anforderungen ausgenommen. Ausgenommen hiervon sind jedoch Modelle mit systemischem Risiko.

Kapitel VI · Governance  Art. 57–63

Kapitel VI regelt die institutionellen Strukturen für die Umsetzung und Durchsetzung der KI-Verordnung auf EU- und nationaler Ebene.

Artikel im Überblick

Art. 57KI-Behörde (AI Office) auf EU-Ebene
Art. 58Europäisches Gremium für Künstliche Intelligenz (AI Board)
Art. 59Nationale zuständige Behörden
Art. 60Beratungsforum
Art. 61Wissenschaftliches Gremium unabhängiger Sachverständiger
Art. 62Meldepflichten der Mitgliedstaaten
Art. 63KI-Regulierungssandboxen

Das EU KI-Büro (AI Office)

Das KI-Büro ist eine neue Einrichtung der Europäischen Kommission und die zentrale Behörde für die Beaufsichtigung von GPAI-Modellen. Es überwacht die Anwendung der Verordnung, koordiniert zwischen den nationalen Behörden und kann bei Verstößen durch GPAI-Anbieter eigene Untersuchungen einleiten.

KI-Regulierungssandboxen (Art. 63)

Mitgliedstaaten müssen mindestens eine KI-Regulierungssandbox einrichten, in der Anbieter innovative KI-Systeme unter realen Bedingungen und behördlicher Begleitung erproben können. Für KMU und Startups sind vereinfachte Zugangsbedingungen vorgesehen.

Kapitel VII · EU-Datenbank für Hochrisiko-KI  Art. 64–71

Kapitel VII regelt die Einrichtung und Verwaltung einer EU-weiten Datenbank, in der bestimmte Hochrisiko-KI-Systeme vor ihrer Inbetriebnahme registriert werden müssen.

Artikel im Überblick

Art. 64EU-Datenbank für eigenständige Hochrisiko-KI-Systeme
Art. 65Informationen für die Registrierung
Art. 66Registrierungspflichten für eigenständige Hochrisiko-KI-Systeme
Art. 67Registrierungspflichten für Behörden
Art. 68Öffentliche Zugänglichkeit der Datenbank
Art. 69–70Einheitliche EU-Identifikationsnummern und verwandte Maßnahmen

Registrierungspflichten

Anbieter von eigenständigen Hochrisiko-KI-Systemen (d.h. Systeme gemäß Anhang III, die nicht in regulierte Produkte eingebettet sind) müssen sich und ihre Systeme vor dem Inverkehrbringen in der EU-Datenbank registrieren. Betreiber bestimmter Hochrisiko-Systeme – insbesondere öffentliche Einrichtungen – haben gesonderte Registrierungspflichten.

Öffentlich zugängliche Informationen

Teile der Datenbank sind öffentlich einsehbar. Bürger, Unternehmen und Behörden können prüfen, welche Hochrisiko-KI-Systeme in der EU registriert sind und welche Informationen über ihre Funktionsweise und ihren Einsatzbereich vorliegen.

Artikel 71 – Vertraulichkeit

Nationale Behörden, das KI-Büro und alle anderen in der Verordnung genannten Stellen müssen die Vertraulichkeit von Informationen und Daten wahren, die im Rahmen der Aufgaben dieser Verordnung erlangt wurden. Dies gilt insbesondere für Geschäftsgeheimnisse, personenbezogene Daten sowie Informationen, deren Offenlegung nationale Sicherheitsinteressen berühren könnte.

Gleichzeitig sieht die Verordnung Transparenzpflichten gegenüber der Öffentlichkeit vor: Behörden müssen relevante Informationen über KI-Systeme, die ein Risiko darstellen, zugänglich machen, soweit dies mit dem Schutz von Geschäftsgeheimnissen und personenbezogenen Daten vereinbar ist.

Kapitel VIII · Post-Market-Monitoring & Marktüberwachung  Art. 72–94

Kapitel VIII ist das zentrale Durchsetzungskapitel. Es regelt die Beobachtung nach dem Inverkehrbringen, die Meldung schwerwiegender Vorfälle sowie die Marktüberwachung durch nationale und EU-Behörden.

Abschnitt 1 – Beobachtung nach dem Inverkehrbringen (Art. 72)

Anbieter von Hochrisiko-KI-Systemen müssen ein System zur Beobachtung nach dem Inverkehrbringen einrichten. Dieses muss aktiv relevante Daten über die Leistung des KI-Systems während seiner gesamten Lebensdauer sammeln und auswerten.

Abschnitt 2 – Schwerwiegende Vorfälle (Art. 73)

Anbieter von Hochrisiko-KI-Systemen, die in der EU in Verkehr gebracht wurden, müssen schwerwiegende Vorfälle sowie Fehlfunktionen, die gegen die Verordnung verstoßen, den zuständigen nationalen Marktüberwachungsbehörden melden. Die Meldefrist beträgt in der Regel 15 Tage nach Kenntniserlangung, bei unmittelbaren Risiken für Leben und Gesundheit 24 Stunden.

Abschnitt 3 – Marktüberwachung (Art. 74–94)

Art. 74Marktüberwachung und Kontrolle durch nationale Behörden
Art. 75Überwachung von GPAI-Modellen durch das KI-Büro
Art. 76Beaufsichtigung von Tests unter Realbedingungen
Art. 77Befugnisse der Grundrechtsschutzbehörden
Art. 79Nationale Verfahren bei risikobehafteten KI-Systemen
Art. 81EU-weites Schutzklauselverfahren
Art. 85Recht auf Erläuterung einzelner Entscheidungen
Art. 87Meldung von Verstößen und Whistleblowing-Schutz
Art. 88–94Untersuchungsbefugnisse, Zugang zu Dokumenten, Tests und Audits
Kapitel IX · Verhaltenskodizes & Leitlinien  Art. 95–96

Kapitel IX fördert die Ausarbeitung freiwilliger Verhaltenskodizes für KI-Systeme, die nicht als hochriskant eingestuft werden, sowie für bestimmte Aspekte, die über die gesetzlichen Mindestanforderungen hinausgehen.

Artikel 95 – Freiwillige Verhaltenskodizes

Das KI-Büro und die Mitgliedstaaten ermutigen und fördern die Ausarbeitung freiwilliger Verhaltenskodizes für Anbieter und Betreiber von KI-Systemen mit geringem Risiko. Diese Kodizes können Bereiche wie Umweltauswirkungen, Barrierefreiheit, Fairness, Nichtdiskriminierung und die Beteiligung von Interessengruppen abdecken.

Artikel 96 – Leitlinien der Kommission

Die Europäische Kommission gibt Leitlinien zur praktischen Umsetzung der Verordnung heraus, insbesondere zur Einstufung von KI-Systemen als hochriskant und zu den Anforderungen an technische Dokumentation und Konformitätsbewertung.

Kapitel X · Befugnisübertragung & Ausschussverfahren  Art. 97–98

Kapitel X überträgt der Europäischen Kommission die Befugnis, delegierte Rechtsakte und Durchführungsrechtsakte zu erlassen, um die Verordnung an den technologischen Fortschritt anzupassen.

Artikel 97 – Ausübung der übertragenen Befugnisse

Die Kommission erhält eine auf 5 Jahre befristete Befugnis (bis zum 1. August 2029, mit der Möglichkeit der stillschweigenden Verlängerung um jeweils weitere 5 Jahre, sofern das Europäische Parlament oder der Rat nicht widerspricht), delegierte Rechtsakte zu erlassen, um z.B. die Liste der Hochrisiko-Anwendungsbereiche in Anhang III zu aktualisieren, die Definitionen anzupassen oder technische Anforderungen zu präzisieren.

Artikel 98 – Ausschussverfahren

Die Kommission wird durch einen Ausschuss unterstützt, der aus Vertretern der Mitgliedstaaten besteht. Dieser Ausschuss arbeitet nach dem Prüfverfahren gemäß der EU-Komitologieverordnung.

Kapitel XI · Sanktionen  Art. 99–101

Kapitel XI legt die Geldbußen und Sanktionen fest, die bei Verstößen gegen die Verordnung verhängt werden können.

Bußgeldrahmen (Art. 99)

Schwerwiegendste Verstöße Verstöße gegen die verbotenen KI-Praktiken (Art. 5):
Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
Verstöße gegen Hochrisiko-Anforderungen Verstöße gegen Anforderungen für Hochrisiko-KI-Systeme und GPAI-Pflichten:
Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Falsche Angaben gegenüber Behörden Unrichtige, unvollständige oder irreführende Angaben gegenüber Behörden:
Bis zu 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes
KMU & Startups Für KMU und Startups gilt jeweils der niedrigere der beiden Schwellenwerte (Betrag vs. Prozentsatz)

Sanktionen gegen EU-Organe (Art. 100)

Der Europäische Datenschutzbeauftragte kann gegen EU-Organe und -Einrichtungen Geldbußen bis zu 1,5 Mio. € verhängen, wenn diese gegen die Verordnung verstoßen.

Strafmaßnahmen für natürliche Personen (Art. 101)

Mitgliedstaaten legen fest, ob und in welchem Umfang Geldbußen gegen natürliche Personen verhängt werden können, die für juristische Personen handeln.

Kapitel XII · Schluss- und Übergangsbestimmungen  Art. 102–113

Das letzte Kapitel enthält Änderungen anderer EU-Rechtsakte, Übergangsregelungen für bereits im Einsatz befindliche Systeme sowie den Umsetzungszeitplan der Verordnung.

Änderungen anderer Rechtsakte (Art. 102–109)

Die Verordnung ändert u.a. die Verordnungen (EU) 2018/858 (Fahrzeuge), (EU) 2018/1139 (Luftfahrt) und (EU) 2019/2144 (Fahrzeugsicherheit) sowie die Richtlinien 2014/90/EU (Schiffsausrüstung) und (EU) 2016/797 (Eisenbahn). In diesen Sektoren werden bestehende Konformitätsbewertungsverfahren auf die KI-Anforderungen ausgeweitet.

Übergangsregelungen (Art. 110–112)

KI-Systeme, die vor dem Inkrafttreten der Verordnung bereits in Verkehr gebracht wurden (Legacy-Systeme), profitieren von Übergangsfristen. Sie müssen erst dann vollständig konform sein, wenn sie wesentlich verändert werden.

Zeitplan der Anwendbarkeit (Art. 113)

1. Aug. 2024Inkrafttreten der Verordnung
2. Feb. 2025Verbotene KI-Praktiken (Kap. II) + KI-Kompetenzpflicht (Art. 4)
2. Aug. 2025GPAI-Regeln (Kap. V) + Governance (Kap. VI)
2. Aug. 2026Hochrisiko-Regeln für eigenständige KI-Systeme (Anhang III)
2. Aug. 2027Hochrisiko-Regeln für KI eingebettet in regulierte Produkte (Anhang I)