Generative KI im Unternehmen: die konkreten Pflichten für 2026.
Die EU-KI-Verordnung stellt präzise Anforderungen an Unternehmen, die generative KI-Systeme entwickeln oder einsetzen. Mit den GPAI-Pflichten seit August 2025 und der Transparenzpflicht ab November 2026 verschärft sich der Rahmen. Hier ist, was konkret gilt.
2026: das Jahr, in dem KI-Pflichten für Unternehmen Realität werden
Die KI-Verordnung ist kein Text mehr im Werden. Seit August 2025 gelten die ersten substantiellen Pflichten, und November 2026 markiert die nächste kritische Frist.
Die europäische KI-Verordnung (Verordnung EU 2024/1689), die am 1. August 2024 in Kraft getreten ist, staffelt ihre Pflichten über einen Zeitraum von vier Jahren. Für Unternehmen, die generative KI-Systeme nutzen, integrieren oder entwickeln, überlagern sich in den Jahren 2025-2026 drei Regulierungswellen. Die verbotenen Praktiken gelten seit dem 2. Februar 2025. Die Pflichten für Modelle mit allgemeinem Verwendungszweck (GPAI) gelten seit dem 2. August 2025. Die Transparenzpflicht gegenüber Endnutzern tritt am 2. November 2026 in Kraft.
Wer diesen Zeitplan ignoriert, setzt sich erheblichen finanziellen Sanktionen und einem wachsenden Reputationsrisiko aus. Die nationalen Marktüberwachungsbehörden werden in den Mitgliedstaaten designiert und werden ihre Inspektionsbefugnisse ausüben, sobald ihr Mandat formell festgelegt ist.
Anbieter oder Betreiber: eine Unterscheidung, die alles verändert
Die KI-Verordnung strukturiert Verantwortlichkeiten rund um zwei Hauptrollen. Die eigene Rolle zu identifizieren ist der erste Schritt jeder Compliance-Prüfung.
Der Anbieter
Als Anbieter gilt jede Einrichtung, die ein KI-System entwickelt und es auf den Markt bringt oder in Betrieb nimmt, ob kommerziell oder nicht. Wenn Ihr Unternehmen die API eines großen Sprachmodells nutzt, um ein Produkt oder eine Dienstleistung für Dritte zu entwickeln, sind Sie rechtlich ein Anbieter. Sie müssen eine technische Dokumentation erstellen, die Konformität Ihres Systems bewerten und die CE-Kennzeichnung anbringen, wenn Ihr System als Hochrisiko eingestuft wird.
Der Betreiber
Als Betreiber gilt jede juristische Person, die ein KI-System in einem beruflichen Kontext nutzt, ohne es entwickelt zu haben. Wenn Ihre Organisation ein SaaS-Tool mit generativer KI abonniert, sind Sie Betreiber. Ihre Pflichten sind weniger umfangreich, aber sie existieren: Nutzerinformation, menschliche Aufsicht bei wesentlichen Entscheidungen, Einhaltung der Anbieteranweisungen und Mitarbeiterschulung.
GPAI: die seit August 2025 geltenden Anforderungen
Die Artikel 51 bis 56 der KI-Verordnung schaffen ein spezifisches Regime für KI-Modelle mit allgemeinem Verwendungszweck. Diese Regeln gelten für Anbieter, die ein Basismodell auf den Markt bringen: großes Sprachmodell, Bildgenerierungsmodell, multimodales Modell.
Jeder GPAI-Modellanbieter muss vier Grundpflichten erfüllen. Er muss eine technische Dokumentation erstellen und pflegen, die Architektur, Trainingsdaten und Fähigkeiten des Modells beschreibt. Er muss das Urheberrecht während der Trainingsphase einhalten und eine Compliance-Politik veröffentlichen. Er muss eine Zusammenfassung der Trainingsdaten öffentlich zugänglich machen. Und er muss nachgelagerten Betreibern die für ihre eigene Compliance erforderlichen Informationen bereitstellen.
Modelle mit systemischem Risiko
GPAI-Modelle, die mit einer Rechenleistung von über 10^25 FLOPs trainiert wurden, fallen in die Kategorie systemisches Risiko. Für diese Modelle gelten verstärkte Pflichten: adversarielle Evaluierungen nach standardisierten Protokollen, Meldung schwerwiegender Vorfälle an das EU-KI-Amt und Umsetzung von Cybersicherheitsmaßnahmen proportional zu den identifizierten Risiken.
Artikel 50: die Transparenzpflicht tritt am 2. November 2026 in Kraft
Artikel 50 ist die Pflicht, die bis Jahresende die größte Anzahl von Unternehmen betreffen wird. Er verlangt eine klare Information an Nutzer, die mit KI-Systemen interagieren oder von KI generierte Inhalte konsumieren.
Chatbots und Konversationsagenten
Jeder Betreiber eines KI-Systems, das für die direkte Interaktion mit natürlichen Personen bestimmt ist, muss diese in Echtzeit darüber informieren, dass sie mit einer KI interagieren. Diese Pflicht gilt, sofern die Interaktion mit einer KI nicht aus dem Kontext offensichtlich ist. Sie gilt für öffentlich zugängliche Kundensupport-Chatbots, in Anwendungen eingebettete virtuelle Assistenten und KI-Agenten, auf die Dritte Zugriff haben.
Synthetische Inhalte und Deepfakes
Anbieter von Systemen, die synthetische Bilder, Töne, Videos oder Texte erzeugen, müssen diese Inhalte maschinenlesbar kennzeichnen. Betreiber, die solche Inhalte verbreiten, müssen sie ausdrücklich als KI-generiert offenlegen. Begrenzte Ausnahmen bestehen für Satire, Parodie und bestimmte Nutzungen im Bereich der nationalen Sicherheit.
Hochrisiko-KI-Systeme: sind Sie vor 2027 betroffen?
Anhang III der KI-Verordnung listet die Bereiche auf, in denen ein KI-System als Hochrisiko gilt. Der Haupttermin für diese Systeme ist der 2. Dezember 2027, aber vorbereitende Pflichten gelten bereits jetzt für Anbieter, die rechtzeitig bereit sein wollen.
Betroffene Sektoren umfassen das Personalwesen (Lebenslauf-Screening, Leistungsbewertung, Beförderungsentscheidungen), den Zugang zu Bildung, den Zugang zu wesentlichen Diensten (Kredit, Versicherung, Sozialleistungen), die Strafjustiz und demokratische Prozesse. Wenn Ihr generatives KI-Tool in einen dieser Prozesse eingebettet ist, kann es unabhängig von seiner Technologie als Hochrisiko eingestuft werden.
Die Logik der KI-Verordnung ist funktional, nicht technologisch. Dasselbe Sprachmodell, das für Newsletter-Texte eingesetzt wird, gilt als minimales Risiko. Wird es genutzt, um Bewerber zu bewerten, wird es zu Hochrisiko. Der konkrete Anwendungsfall bestimmt die Einstufung, nicht das zugrunde liegende Modell.
Sechs konkrete Pflichten vor November 2026 umzusetzen
Unabhängig von Ihrer Position in der KI-Wertschöpfungskette sind dies die prioritären Maßnahmen zur Sicherstellung Ihrer Compliance vor der nächsten regulatorischen Frist.
- KI-Systeme kartieren: alle in Ihrer Organisation genutzten oder eingesetzten KI-Tools inventarisieren und ihre wahrscheinliche Einstufung ermitteln (minimales Risiko, Hochrisiko, GPAI).
- Rechtliche Rolle qualifizieren: für jedes System bestimmen, ob Sie Anbieter oder Betreiber sind. Ein auf einer Drittanbieter-API aufgebautes Produkt macht Sie zum Anbieter mit substantiellen Pflichten.
- Verbotene Praktiken prüfen: unterschwellige Manipulation, Ausnutzung von Schwachstellen, allgemeines Social Scoring - seit Februar 2025 darf kein System in der Produktion diese Grenzen überschreiten.
- Transparenzhinweise vorbereiten: Nutzerinformationshinweise für Chatbots und generative Systeme verfassen. Die Frist des 2. November 2026 rückt näher.
- Mitarbeiter schulen (Art. 4): die KI-Kompetenzpflicht gilt seit dem 2. Februar 2025. Dokumentierte, auf die tatsächlich genutzten Systeme abgestimmte Schulungen sind das erwartete Minimum.
- Dokumentieren und nachverfolgen: ein Register der Konformitätsbewertungen, Maßnahmen zur menschlichen Aufsicht und Vorfälle führen. Dieses Register wird bei einer Inspektion durch eine Marktüberwachungsbehörde unverzichtbar sein.
Unser kostenloses Diagnosetool hilft Ihnen, in 3 Minuten die für Ihre Organisation geltenden Pflichten zu identifizieren, basierend auf Ihrem Sektor und Ihrer KI-Nutzung.
Rechtsrahmen: die wichtigsten Artikel im Überblick
Ist Ihr Unternehmen für die KI-Pflichten 2026 bereit?
Ermitteln Sie in 3 Minuten die für Ihre Organisation geltenden Pflichten: Anbieter- oder Betreiberstatus, betroffene Systeme, vorrangige Fristen. Die Diagnose ist kostenlos und ohne Registrierung.
Häufige Fragen
Antworten auf die häufigsten Fragen zu KI-Pflichten für Unternehmen im Jahr 2026.
Ein Unternehmen, das ein Drittanbieter-KI-Tool im beruflichen Kontext nutzt, ist im Sinne der KI-Verordnung Betreiber. Es muss die Anweisungen des Anbieters befolgen, Endnutzer über den KI-Einsatz informieren, menschliche Aufsicht bei wesentlichen Entscheidungen sicherstellen und seine Mitarbeiter mit KI-Kompetenz ausstatten (Art. 4, seit Februar 2025 in Kraft). Wenn es ein Produkt auf einer Drittanbieter-API aufbaut, wird es zum Anbieter mit umfangreicheren Pflichten.
Der Anbieter ist die Einrichtung, die ein KI-System entwickelt und auf den Markt bringt. Der Betreiber nutzt es im beruflichen Kontext, ohne es entwickelt zu haben. Der Anbieter trägt die Last der technischen Dokumentation, der CE-Kennzeichnung und der Konformitätsbewertung. Der Betreiber muss die Anbieteranweisungen befolgen, Nutzer informieren und menschliche Aufsicht bei automatisierten Entscheidungen gewährleisten.
Ja, wenn Ihr Chatbot mit natürlichen Personen interagiert und der Kontext die Interaktion mit einer KI nicht offensichtlich macht. Die Pflicht tritt am 2. November 2026 in Kraft. Ein intern genutzter Chatbot, der von allen Nutzern klar als KI erkannt wird, kann von der Kontextausnahme profitieren. Ein öffentlich zugänglicher Kundensupport-Chatbot profitiert nicht von dieser Ausnahme.
Verstöße gegen die Transparenzpflichten aus Artikel 50 können Geldbußen von bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Verstöße gegen verbotene Praktiken (Art. 5) werden schwerer geahndet: bis zu 35 Millionen Euro oder 7% des weltweiten Umsatzes.
Teilweise. Anbieter von Open-Source-GPAI-Modellen profitieren von Ausnahmen bei bestimmten Dokumentationspflichten, sofern die Modellgewichte öffentlich zugänglich sind. Wenn das Modell jedoch systemisches Risiko aufweist (Trainingsrechenleistung über 10^25 FLOPs), gelten diese Ausnahmen nicht: die verstärkten Pflichten sind auch für Open-Source-Modelle verbindlich.
Die Einstufung hängt vom Anwendungsfall ab, nicht vom Modell. Ein generatives KI-Tool wird zu Hochrisiko, wenn es in einem in Anhang III genannten Sektor eingesetzt wird: Personalwesen, Bildung, Kredit, Versicherung, Justiz. Wenn Ihr Tool bei der Bewerbungsauswahl, der Kreditvergabe oder Entscheidungen über den Zugang zu Rechten hilft, ist es wahrscheinlich Hochrisiko.
Ja. Artikel 4 ist am 2. Februar 2025 in Anwendung getreten. Er verpflichtet Anbieter und Betreiber, sicherzustellen, dass ihre im KI-Bereich tätigen Mitarbeiter über ein ausreichendes Maß an KI-Kompetenz verfügen. Dokumentierte Schulungen, die auf die tatsächlich eingesetzten Systeme abgestimmt sind, sind das von den Aufsichtsbehörden erwartete Mindestmaß.