Kantyra Kantyra

← Alle artikelen

Algemeen

Was verlangt die KI-Verordnung von Ihrer Organisation?

Alain Rees · 11-07-2026 · 12 min leestijd

Die KI-Verordnung, umgangssprachlich der AI Act, ist das erste umfassende europäische Gesetz, das Regeln für die Entwicklung und den Einsatz künstlicher Intelligenz aufstellt. Die Verordnung arbeitet risikobasiert: Je größer das Risiko, das ein KI-System für Menschen und ihre Rechte darstellt, desto strenger die Anforderungen. In diesem Artikel erfahren Sie, was die KI-Verordnung beinhaltet, welche Pflichten zu welcher Risikostufe gehören, welche Rolle Ihre Organisation spielt und wie Sie nachweisbar konform sind, ohne in einem Wildwuchs einzelner Dokumente zu enden.

Kurz gefasst

  • Die KI-Verordnung teilt KI-Systeme in vier Risikostufen ein: unannehmbar, hoch, begrenzt und minimal.
  • Systeme mit einem unannehmbaren Risiko sind verboten, und Systeme mit einem hohen Risiko unterliegen strengen Anforderungen.
  • Anders als eine Richtlinie gilt eine Verordnung unmittelbar, sodass Sie kein nationales Gesetz abwarten müssen.
  • Ihre Pflichten hängen von Ihrer Rolle als Anbieter oder als Betreiber ab.
  • Die Grundlage der Konformität ist zu wissen, welche KI Sie einsetzen: Beginnen Sie daher mit einem Register Ihrer KI-Systeme.
  • Die Konformität deckt sich mit den vier Phasen des Kantyra-Modells: erkennen, bewerten, umsetzen und nachweisen.

Was ist die KI-Verordnung?

Die KI-Verordnung (Verordnung (EU) 2024/1689) ist europäische Gesetzgebung, die gemeinsame Regeln für künstliche Intelligenz in der gesamten Europäischen Union aufstellt. Ihr Ziel ist zweifach. Einerseits schützt das Gesetz die Grundrechte, die Gesundheit und die Sicherheit der Menschen, andererseits lässt es Raum für Innovation und für gleiche Wettbewerbsbedingungen im Binnenmarkt.

Der Kern des Gesetzes ist ein risikobasierter Ansatz. Die Verordnung betrachtet nicht die Technik an sich, sondern das, was ein KI-System in der Praxis tut und welches Risiko dabei entsteht. Dasselbe Modell kennen Sie aus anderen europäischen Rechtsvorschriften. Sie bestimmen zunächst, wie risikoreich etwas ist, und stimmen die Anforderungen anschließend darauf ab.

Eine Verordnung, keine Richtlinie

Dies ist eine wichtige Unterscheidung, die häufig für Verwirrung sorgt. Anders als die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555), die zunächst in nationales Recht umgesetzt werden musste – in Deutschland durch das NIS-2-Umsetzungsgesetz, das das BSIG ändert, und in Österreich durch das NISG –, gilt die KI-Verordnung unmittelbar in allen Mitgliedstaaten. Es wird also kein gesondertes nationales KI-Gesetz geben, das Sie anstelle der Verordnung befolgen. Die Pflichten gelten unmittelbar, und Sie müssen keine nationale Umsetzung abwarten, bevor Sie beginnen.

Was national geregelt wird, ist die Aufsicht. Jeder Mitgliedstaat benennt seine eigenen notifizierenden Behörden und Marktüberwachungsbehörden, und für bestimmte Kategorien von Hochrisiko-KI verweist die Verordnung auf die nationale Datenschutzbehörde. Die genaue Verteilung der Zuständigkeiten und die Aufsichtspraxis nehmen noch Gestalt an, prüfen Sie daher den aktuellen Stand bei den zuständigen Behörden Ihres Landes.

Die vier Risikostufen der KI-Verordnung

Die KI-Verordnung teilt KI-Systeme in vier Stufen ein, jede mit einem eigenen Regime.

Auf der Stufe des unannehmbaren Risikos stehen die verbotenen Praktiken. Denken Sie an Systeme, die Menschen auf schädliche Weise manipulieren, an die Vergabe von Sozialbewertungen durch Behörden und an bestimmte Formen biometrischer Erkennung. Diese Systeme dürfen Sie nicht in Verkehr bringen oder einsetzen.

Auf der Stufe des hohen Risikos stehen die Systeme, die erhebliche Folgen für Menschen haben können. Das sind zum Beispiel KI-Systeme, die bei der Personalgewinnung und -auswahl, beim Zugang zu Bildung, bei wesentlichen Diensten, bei kritischer Infrastruktur oder im Bereich der Strafverfolgung eingesetzt werden. Auch KI, die als Sicherheitskomponente in einem regulierten Produkt steckt, fällt hierunter. Für diese Systeme gelten die strengsten Anforderungen.

Auf der Stufe des begrenzten Risikos gelten vor allem Transparenzpflichten. Nutzen Sie einen Chatbot, dann lassen Sie Ihr System deutlich machen, dass jemand mit einer Maschine spricht. Erzeugen oder bearbeiten Sie Bild, Ton oder Text, dann muss dieser Inhalt als künstlich erzeugt erkennbar sein.

Auf der Stufe des minimalen Risikos fällt der weitaus größte Teil der KI, etwa Spamfilter oder Empfehlungen in einem Onlineshop. Hierfür stellt die Verordnung keine besonderen Pflichten auf, auch wenn ein verantwortungsvoller Umgang natürlich immer sinnvoll ist.

Neben diesen vier Stufen kennt die Verordnung gesonderte Regeln für KI-Modelle mit allgemeinem Verwendungszweck, etwa große Sprachmodelle. Für diese Modelle gelten eigene Pflichten rund um Dokumentation und Transparenz, und für die leistungsfähigsten Modelle kommen zusätzliche Anforderungen hinzu.

Sind Sie Anbieter oder Betreiber?

Ihre Pflichten hängen stark von Ihrer Rolle ab. Die Verordnung unterscheidet mehrere, aber für die meisten Organisationen sind zwei entscheidend.

Ein Anbieter entwickelt ein KI-System oder lässt es unter eigenem Namen in Verkehr bringen. Anbieter von Hochrisikosystemen tragen die meisten Pflichten, etwa den Aufbau eines Risikomanagementsystems, die Erstellung der technischen Dokumentation und die Durchführung einer Konformitätsbewertung.

Ein Betreiber (im Englischen deployer genannt) setzt ein KI-System für eigene Zwecke ein. Die meisten Organisationen fallen in diese Kategorie, etwa wenn Sie ein fertiges System für die Personalgewinnung oder für den Kundenkontakt einkaufen. Auch Betreiber haben Pflichten. Sie müssen das System gemäß den Anweisungen verwenden, eine menschliche Aufsicht organisieren und bei Hochrisikosystemen dessen Betrieb überwachen.

Beachten Sie, dass Sie von einem Betreiber zu einem Anbieter werden können. Ändern Sie ein Hochrisikosystem wesentlich oder bringen Sie es unter Ihrer eigenen Marke in Verkehr, dann gelten plötzlich die strengeren Pflichten eines Anbieters.

Wann gilt die KI-Verordnung?

Die KI-Verordnung ist am 1. August 2024 in Kraft getreten, aber die Pflichten werden schrittweise anwendbar. Die Hauptlinien des gesetzlichen Zeitplans sind die folgenden:

  • Ab dem 2. Februar 2025 gelten die verbotenen Praktiken und die Pflicht zur KI-Kompetenz.
  • Ab dem 2. August 2025 gelten die Regeln für KI-Modelle mit allgemeinem Verwendungszweck sowie die Bestimmungen über Aufsicht und Sanktionen.
  • Ab dem 2. August 2026 gelten die Anforderungen für die meisten Hochrisikosysteme.
  • Ab dem 2. August 2027 gelten die Anforderungen für Hochrisiko-KI, die in regulierten Produkten steckt.

Diese Staffelung ist in der Verordnung festgelegt, aber die genauen Daten und Umsetzungsdetails können durch spätere Änderungen angepasst worden sein. Prüfen Sie daher den aktuellen Stand, bevor Sie sich auf ein bestimmtes Datum verlassen.

Was bedeutet hohes Risiko konkret?

Fällt eines Ihrer Systeme in die Kategorie des hohen Risikos, liegt die Latte hoch. Die wichtigsten Anforderungen, die dazugehören, sind die folgenden:

  • Sie richten ein fortlaufendes Risikomanagementsystem für das KI-System ein.
  • Sie sorgen für gute Datenqualität und Data-Governance, damit das System nicht auf mangelhaften oder verzerrten Daten läuft.
  • Sie führen technische Dokumentation und Ereignisprotokolle.
  • Sie organisieren eine wirksame menschliche Aufsicht, sodass ein Mensch eingreifen kann.
  • Sie gewährleisten Genauigkeit, Robustheit und Sicherheit gegen Missbrauch.
  • Sie durchlaufen eine Konformitätsbewertung und registrieren das System, wo dies erforderlich ist.

Viele dieser Anforderungen ähneln dem, was Sie aus der Informationssicherheit und dem Risikomanagement bereits tun. Genau das ist der Anknüpfungspunkt, um die KI-Verordnung nicht als eigenständiges Vorhaben zu behandeln.

KI-Kompetenz ist seit 2025 Pflicht

Eine Pflicht, die leicht übersehen wird, ist die rund um die KI-Kompetenz. Sowohl Anbieter als auch Betreiber müssen dafür sorgen, dass ihr Personal über ausreichende Kenntnisse von KI verfügt, um die Systeme verantwortungsvoll zu nutzen. Was ausreichend ist, hängt von der Rolle der Mitarbeitenden und vom Risiko des Systems ab. Für viele Organisationen bedeutet dies, Sensibilisierung und gezielte Schulung rund um KI strukturell einzurichten und festzuhalten, wer welche Kenntnisse erworben hat.

Von einzelnen Pflichten zu kohärentem Management

Hier liegt der Schritt, den viele Organisationen überspringen. Sie können die KI-Verordnung nicht erfüllen, wenn Sie nicht wissen, welche KI Sie eigentlich einsetzen. Die Grundlage von allem ist daher ein Register Ihrer KI-Systeme, also eine aktuelle Übersicht über jedes System, das Sie entwickeln oder einsetzen.

Pro System halten Sie fest, was es tut, wer der Anbieter ist, in welcher Rolle Sie auftreten, in welche Risikostufe es fällt und wie die menschliche Aufsicht geregelt ist. Dieses Register ist zugleich Ihr Ausgangspunkt und Ihr Nachweismaterial. Es zeigt, dass Sie die Verordnung nicht nur kennen, sondern auch beherrschen. In Kantyra ist dieses Register der Kern des KI-Moduls: Jedes System hat einen Eigentümer, einen Status und eine Risikokategorie, und Sie verknüpfen es mit dem Lieferanten, dem Asset und, sofern es personenbezogene Daten verarbeitet, mit der Verarbeitung im Verarbeitungsverzeichnis.

Die Risikokategorie bestimmen Sie nicht aus dem Bauch heraus. In Kantyra durchlaufen Sie pro System eine KI-Risikoklassifizierung: einen festen Fragebogen entlang der Verordnung, von Ihrer Rolle und den verbotenen Praktiken über das hohe Risiko bis zu den Transparenzpflichten und der KI-Kompetenz, mit einer Prüfrunde nach dem Vier-Augen-Prinzip. Das Ergebnis übernehmen Sie als Kategorie in das Register. Die Pflichten selbst stehen als Normenrahmen KI-Verordnung im Compliance-Register, mit einem Status, einem Eigentümer und dem Nachweis je Anforderung, neben den Rahmenwerken für NIS2 und die DSGVO. So wächst die KI-Verordnung in Ihren bestehenden Compliance-Prozess hinein, statt zu einem separaten Vorhaben zu werden.

Von diesem Register aus laufen die Linien zu Ihrer bestehenden Steuerung. Die Risikobewertung eines Hochrisikosystems knüpft an Ihre Informationssicherheit und Ihr Risikomanagement (ISMS) an. Die Anforderungen rund um Dokumentation, menschliche Aufsicht und Sicherheit übersetzen Sie in Maßnahmen, die Sie genauso steuern wie Ihre übrigen Sicherheitsmaßnahmen. Inzwischen gibt es auch eine Norm, die dies unterstützt: ISO/IEC 42001, die Norm für ein Managementsystem für künstliche Intelligenz. Sie verhält sich zur KI wie ISO 27001 zur Informationssicherheit. In Kantyra ist ISO/IEC 42001 als Normenrahmen im Compliance-Register enthalten, neben dem Rahmen der KI-Verordnung selbst, sodass Sie die Norm und das Gesetz mit denselben Maßnahmen und demselben Nachweis bedienen.

Wo sitzt die KI-Verordnung im Kantyra-Modell?

Wie Risikomanagement und Compliance-Management lässt sich die Erfüllung der KI-Verordnung nicht in einer einzigen Phase des Kantyra-Modells fassen: Es ist der Zyklus des Modells, angewendet auf KI-Systeme.

Es beginnt mit erkennen: wissen, welche KI Sie einsetzen, neue Systeme und wesentliche Änderungen bemerken und Vorfälle mit KI registrieren. Danach folgt bewerten: pro System die Risikoklassifizierung, von Rolle und verbotenen Praktiken bis zu hohem Risiko und Transparenz. In der Phase umsetzen erfüllen Sie die Pflichten, die sich aus der Kategorie ergeben: menschliche Aufsicht, Transparenz, Dokumentation und KI-Kompetenz. Und in der Phase nachweisen bilden das KI-Register und der Nachweis je Anforderung des Normenrahmens zusammen die Akte für die Aufsichtsbehörde und den Auditor.

Die Erfüllung der KI-Verordnung neben den vier Phasen des Kantyra-Modells: den KI-Einsatz sichtbar machen gehört zum Erkennen, die Risikoklassifizierung zum Bewerten, das Erfüllen der Pflichten zum Umsetzen und das Register mit der Nachweisführung zum Nachweisen

Der Ausgangspunkt ist hier besonders bedeutsam. Bei der Informationssicherheit weiß eine Organisation meist, was läuft; bei KI ist das selten der Fall, weil KI auch über bestehende Software, über Lieferanten und über Mitarbeitende hereinkommt, die selbst Hilfsmittel wählen. Gerade deshalb beginnt die Erfüllung der KI-Verordnung ganz unten im Modell, beim Erkennen.

Arbeiten Sie mit einzelnen Dokumenten oder mit einer GRC-Plattform?

Sie können Ihr KI-Systemregister und die zugehörigen Risikobewertungen in einzelnen Dateien führen, und als Anfang ist das vertretbar. Aber je mehr KI-Systeme hinzukommen und je stärker die Aufsichtsbehörde Nachweisbarkeit verlangt, desto eher stoßen Sie an dieselben Grenzen wie bei jedem anderen Compliance-Vorhaben. Einzelne Dateien geraten aus dem Takt, und Ihnen fehlen die Übersicht und die Historie, die Sie brauchen.

In einer GRC-Plattform verwalten Sie das KI-Systemregister, die Risikoklassifizierung und die Maßnahmen als verknüpfte Übersichten in einer einzigen Umgebung. Jedes System hat einen Eigentümer, einen Status und eine Risikokategorie, und die Verknüpfung mit Ihrer Informationssicherheit verhindert, dass Sie dieselbe Arbeit zweimal machen.

Mit Kantyra verwalten Sie die KI-Verordnung in derselben Umgebung wie Ihr ISMS. Ob Sie die Verordnung nun als eigenständige Pflicht oder als Erweiterung Ihrer bestehenden Steuerung sehen: Ihre KI-Systeme, Ihre Risiken und Ihre Maßnahmen kommen an einem Ort zusammen. So machen Sie die Steuerung Ihrer KI-Systeme genauso nachweisbar wie Ihre Informationssicherheit.

In fünf Schritten mit der KI-Verordnung starten

  1. Erfassen Sie Ihre KI. Erstellen Sie ein Register jedes KI-Systems, das Sie entwickeln oder nutzen.
  2. Bestimmen Sie Ihre Rolle und die Risikostufe. Prüfen Sie, ob Sie Anbieter oder Betreiber sind und in welche Kategorie jedes System fällt.
  3. Nehmen Sie die verbotenen und die Hochrisikosysteme zuerst in Angriff. Stoppen Sie, was nicht erlaubt ist, und bringen Sie die strengen Anforderungen in Ordnung.
  4. Regeln Sie Transparenz und KI-Kompetenz. Machen Sie künstliche Inhalte erkennbar, seien Sie offen bei Chatbots und sorgen Sie dafür, dass Ihr Personal über ausreichende KI-Kenntnisse verfügt.
  5. Verwalten Sie alles im Zusammenhang. Verknüpfen Sie Ihr KI-Systemregister mit Ihrem Risikomanagement und Ihrem ISMS und halten Sie es aktuell.

Häufig gestellte Fragen zur KI-Verordnung

Ist die KI-Verordnung dasselbe wie die DSGVO? Nein. Die DSGVO betrifft den Schutz personenbezogener Daten, während es bei der KI-Verordnung um die Risiken von KI-Systemen geht. Sie ergänzen einander. Ein KI-System, das personenbezogene Daten verarbeitet, muss beide erfüllen.

Muss ich ein nationales KI-Gesetz abwarten? Nein. Die KI-Verordnung gilt unmittelbar in allen Mitgliedstaaten. Anders als die NIS-2-Richtlinie, die in nationales Recht umgesetzt werden musste, kommt kein gesondertes nationales Gesetz, das Sie stattdessen erfüllen.

Wann gilt die KI-Verordnung? Die Verordnung gilt schrittweise. Die verbotenen Praktiken und die KI-Kompetenz gelten seit Februar 2025, während die meisten Anforderungen für Hochrisikosysteme ab August 2026 gelten. Die genauen Daten können durch spätere Änderungen angepasst worden sein, prüfen Sie daher den aktuellen Stand.

Was ist ein Hochrisiko-KI-System? Ein System, das erhebliche Folgen für Menschen haben kann, etwa bei Personalgewinnung und -auswahl, Bildung, wesentlichen Diensten, kritischer Infrastruktur oder Strafverfolgung. Für diese Systeme gelten die strengsten Anforderungen, etwa Risikomanagement, Dokumentation und menschliche Aufsicht.

Bin ich Anbieter oder Betreiber? Sie sind Anbieter, wenn Sie ein KI-System entwickeln oder unter eigenem Namen in Verkehr bringen. Sie sind Betreiber, wenn Sie ein System für eigene Zwecke einsetzen. Die meisten Organisationen sind Betreiber, aber Sie werden zum Anbieter, sobald Sie ein Hochrisikosystem wesentlich ändern.

Mit der KI-Verordnung in Kantyra starten

Möchten Sie die Erfüllung der KI-Verordnung nicht in einzelnen Dateien verwalten, sondern in einer Umgebung, die an Ihre Informationssicherheit anknüpft? Mit dem KI-Modul von Kantyra führen Sie das KI-Register, durchlaufen pro System die Risikoklassifizierung und verwalten die Pflichten der Verordnung sowie von ISO/IEC 42001 als Normenrahmen im Compliance-Register, mit dem Nachweis daran gekoppelt. Fordern Sie eine Demo an und entdecken Sie, wie Sie die KI-Verordnung auf Ihrem bestehenden ISMS aufbauen.


Kantyra ist eine europäische ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement, ihre Kontinuität und ihre KI-Konformität nachweisbar verwalten, im Einklang mit ISO 27001, ISO 22301, ISO/IEC 42001, NIS2 und der KI-Verordnung.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen