Zum Inhalt springen
⚖️ Compliance Hub

KI Compliance: Alle Gesetze & Fristen

Von EU AI Act über DSGVO bis KI-MIG — der komplette Überblick über alle Compliance-Anforderungen für KI-Systeme in Deutschland. Mit Fristen, Pflichten und praktischen Handlungsempfehlungen.

Im Slack diskutieren EU AI Act Guide
🛡️ DSGVO-konform
⚖️ EU AI Act Ready
🇩🇪 Hosted in Germany
🔒 ISO 27001
🏛️ BSI C5

KI-Regulierung in Deutschland: Der große Überblick

KI-Compliance ist 2026 keine Option mehr, sondern Pflicht. Mit dem EU AI Act, der verschärften DSGVO-Auslegung für KI-Systeme, dem deutschen KI-MIG und der neuen EU-Omnibus-Richtlinie müssen Unternehmen ein komplexes Geflecht aus Vorschriften navigieren. Dieser Guide gibt Ihnen die Orientierung, die Sie brauchen.

Die gute Nachricht: Wer auf On-Premise LLM setzt, hat viele Compliance-Herausforderungen bereits gelöst. Datensouveränität, Audit-Logging und technische Dokumentation — alles unter Ihrer Kontrolle.

Die vier Säulen der KI-Compliance

Die Regulierung von KI in der EU und Deutschland basiert auf vier zentralen Regelwerken, die sich gegenseitig ergänzen:

🇪🇺 Ab Aug 2026

EU AI Act

Die zentrale europäische KI-Verordnung (EU) 2024/1689. Risikobasierter Ansatz mit vier Risikoklassen, Transparenzpflichten, GPAI-Regeln und strengen Anforderungen für Hochrisiko-KI-Systeme.

  • Risikoklassifizierung (verboten, hoch, begrenzt, minimal)
  • Transparenzpflicht für Chatbots und generative KI
  • GPAI-Regeln für Foundation Models
  • Bußgelder bis 35 Mio. € / 7 % Umsatz
Zum EU AI Act Guide →
🛡️ Gilt bereits

DSGVO & KI

Die Datenschutz-Grundverordnung gilt uneingeschränkt für KI-Systeme, die personenbezogene Daten verarbeiten. Rechtsgrundlage, Betroffenenrechte und automatisierte Entscheidungsfindung (Art. 22) sind zentrale Themen.

  • Rechtsgrundlage für KI-Verarbeitung (Art. 6)
  • Besondere Kategorien / Gesundheitsdaten (Art. 9)
  • Automatisierte Einzelentscheidungen (Art. 22)
  • Drittlandtransfer bei Cloud-KI (Schrems II)
Zum DSGVO-Guide →
📋 Neu 2025/2026

EU-Omnibus-Richtlinie

Die Omnibus-Richtlinie modifiziert bestehende EU-Regelwerke und betrifft auch KI-Compliance: Anpassungen bei der Nachhaltigkeitsberichterstattung (CSRD/CSDDD), neue Schwellenwerte und KMU-Erleichterungen.

  • Geänderte CSRD-Schwellenwerte (>1.000 MA)
  • Aufgeschobene CSDDD-Fristen
  • KMU-Erleichterungen bei Berichtspflichten
  • Relevanz für KI-Nachhaltigkeitsberichte
Zur Omnibus-Richtlinie →
🇩🇪 In Vorbereitung

KI-MIG (Deutschland)

Das KI-Maßnahmen-Implementierungsgesetz ist das deutsche Durchführungsgesetz zum EU AI Act. Es bestimmt nationale Zuständigkeiten, Sanktionsmechanismen und Experimentierklauseln.

  • BNetzA als federführende nationale KI-Behörde
  • Nationale Bußgeld-Regelungen
  • Regulatory Sandboxes für Innovation
  • Koordination Bund/Länder
Guide in Vorbereitung

Compliance-Fragen? Wir helfen.

In unserer Slack-Community diskutieren Juristen, DSBs und IT-Leiter täglich über KI-Compliance-Themen — praxisnah und aktuell.

Community beitreten →
📅 Zeitstrahl

Alle KI-Compliance-Fristen im Überblick

Die Deadlines kommen schneller als gedacht. Diese Timeline zeigt Ihnen alle relevanten Fristen — von bereits geltenden Pflichten bis zu kommenden Anforderungen in 2028.

2025

2. Februar 2025

Verbotene KI-Praktiken (Art. 5)

Verbot von Social Scoring, Dark Patterns, biometrischer Echtzeit-Überwachung und manipulativer KI. Gilt bereits!

✅ In Kraft
2. August 2025

KI-Kompetenz (Art. 4)

Alle Personen, die KI-Systeme betreiben oder beaufsichtigen, müssen angemessen geschult sein.

✅ In Kraft

2026

2. August 2026

Transparenzpflichten & GPAI-Regeln

Chatbot-Kennzeichnungspflicht, Deepfake-Labeling, GPAI-Compliance für Modellanbieter, Transparenzanforderungen nach Art. 50.

⏰ In 2 Monaten
Dezember 2026

Kennzeichnungspflicht für KI-generierte Inhalte

Erweiterte Labeling-Pflichten für synthetische Texte, Bilder, Audio und Video.

📅 Geplant

2027

2. August 2027

Hochrisiko-KI (Annex III)

Volle Anforderungen für Hochrisiko-KI in Bereichen wie Biometrie, Bildung, Beschäftigung, Justiz. Risikomanagement, technische Dokumentation, Konformitätsbewertung.

📅 Geplant

2028

2. August 2028

KI in regulierten Produkten (Annex I)

KI-Systeme in bereits regulierten Produkten (Medizinprodukte, Maschinen, Fahrzeuge) müssen die vollständigen EU-AI-Act-Anforderungen erfüllen.

📅 Geplant
Detaillierte Fristen 2026/2027 mit Handlungsempfehlungen →
✅ Lösung

On-Premise LLM: Der Compliance-Vorteil

On-Premise LLM vereinfacht die Einhaltung aller vier Compliance-Säulen fundamental. Während Cloud-API-Nutzer bei jedem Regelwerk zusätzliche Verträge, Dokumentationen und Risikobewertungen erstellen müssen, profitiert On-Premise von einem entscheidenden Vorteil: Alles bleibt unter Ihrer Kontrolle.

DSGVO-Vorteile

  • Kein Drittlandtransfer — keine Schrems-II-Problematik, kein US CLOUD Act
  • Keine Auftragsverarbeitung — Sie sind alleiniger Verantwortlicher
  • Art. 22 DSGVO — volle Kontrolle über automatisierte Entscheidungen
  • Art. 25 DSGVO — Privacy by Design in Ihrer eigenen Architektur

EU-AI-Act-Vorteile

  • Audit-Logging — jede Anfrage wird lokal protokolliert
  • Technische Dokumentation — Sie kennen Ihr System vollständig
  • Risikomanagement — eigene Risikobewertung und Mitigationsmaßnahmen
  • Menschliche Aufsicht — direkte Kontrolle über KI-Outputs

Branchenspezifische Vorteile

Erfahren Sie mehr über On-Premise LLM als Compliance-Lösung in unserem umfassenden Leitfaden.

📚 Weiterlesen

Alle Compliance-Guides

🇪🇺

EU AI Act — Komplettguide

Risikoklassen, GPAI-Pflichten, Deployer-Anforderungen und On-Premise-Vorteile im Detail.

 📅

AI Act Fristen 2026/2027

Alle Deadlines mit konkreten Handlungsempfehlungen und Checklisten für jede Frist.

 📋

EU-Omnibus-Richtlinie

Was sich ändert: Aufgeschobene Fristen, KMU-Erleichterungen und neue Schwellenwerte.

 🛡️

DSGVO & KI

Rechtsgrundlagen, Betroffenenrechte, automatisierte Entscheidungen und Drittlandtransfer.

 🏢

On-Premise LLM Leitfaden

Hardware, Deployment, Kosten und Compliance-Vorteile lokaler KI-Infrastruktur.

 ☁️

Cloud vs. On-Premise

Detaillierter Compliance-Vergleich: Welche Lösung erfüllt welche Anforderungen?

Häufig gestellte Fragen zur KI-Compliance

Welche Gesetze regulieren KI in Deutschland?

In Deutschland wird KI durch mehrere sich ergänzende Regelwerke reguliert: Den EU AI Act (Verordnung (EU) 2024/1689) als zentrales europäisches KI-Gesetz, die DSGVO für Datenschutz bei KI-Verarbeitung, das KI-MIG als deutsches Durchführungsgesetz zum EU AI Act, die EU-Omnibus-Richtlinie für Anpassungen bei Nachhaltigkeitsberichterstattung und KI, sowie branchenspezifische Regulierungen wie DORA (Finanzsektor) und NIS-2 (KRITIS).

Was ist das KI-MIG (KI-Maßnahmen-Implementierungsgesetz)?

Das KI-MIG ist das deutsche Durchführungsgesetz zum EU AI Act. Es regelt unter anderem: die Bestimmung der zuständigen nationalen Behörde (BNetzA als federführende Behörde), Bußgelder und Sanktionsmechanismen auf nationaler Ebene, Experimentierklauseln (Regulatory Sandboxes) für KI-Innovation sowie die Zusammenarbeit zwischen Bundes- und Landesbehörden bei der KI-Aufsicht.

Bis wann muss mein Unternehmen EU-AI-Act-konform sein?

Die Fristen sind gestaffelt: Seit 2. Februar 2025 gelten die Verbote bestimmter KI-Praktiken (Art. 5). Ab 2. August 2025 greifen die KI-Kompetenzpflichten (Art. 4). Ab 2. August 2026 gelten Transparenzpflichten und GPAI-Regeln. Ab 2. August 2027 folgen die Anforderungen für Hochrisiko-KI-Systeme. Details finden Sie in unserem Fristen-Guide.

Wie hilft On-Premise LLM bei der KI-Compliance?

On-Premise LLM vereinfacht die Compliance auf mehreren Ebenen: DSGVO — kein Drittlandtransfer, keine Auftragsverarbeitung durch Cloud-Anbieter. EU AI Act — volles Audit-Logging, eigene technische Dokumentation, kontrolliertes Risikomanagement. Branchenregulierung — Daten bleiben im eigenen Netzwerk, ideal für § 203 StGB, BaFin, BSI C5. Mehr dazu in unserem On-Premise-LLM-Leitfaden.

Was passiert, wenn ich den EU AI Act nicht einhalte?

Die Sanktionen sind erheblich: Für Verstöße gegen verbotene KI-Praktiken drohen bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes. Für Verstöße gegen Hochrisiko-Anforderungen bis zu 15 Mio. € oder 3 % des Umsatzes. Für falsche Informationen an Behörden bis zu 7,5 Mio. € oder 1 % des Umsatzes. KMU und Start-ups erhalten proportional geringere Obergrenzen.

Brauche ich einen KI-Beauftragten im Unternehmen?

Der EU AI Act schreibt keinen „KI-Beauftragten" vor, aber er verlangt in Art. 4 die sogenannte KI-Kompetenz: Alle Personen, die KI-Systeme betreiben oder beaufsichtigen, müssen angemessen geschult sein. In der Praxis empfiehlt es sich, eine verantwortliche Person oder ein Team für KI-Governance zu benennen — ähnlich dem Datenschutzbeauftragten für die DSGVO.

Gilt der EU AI Act auch für Open-Source-Modelle?

Ja, aber mit Einschränkungen. Open-Source-GPAI-Modelle sind teilweise von den Transparenzpflichten ausgenommen (Art. 53 Abs. 2), es sei denn, sie werden als systemisches Risiko eingestuft (>10^25 FLOPs Trainingsrechenleistung). On-Premise-Deployment eines Open-Source-Modells wie Llama oder Mistral unterliegt dennoch den Pflichten des Deployers — also den Nutzungspflichten gemäß Art. 26.

Compliance-Fragen klären

Tauschen Sie sich mit Juristen, DSBs und IT-Leitern über KI-Compliance aus — praxisnah und kostenlos.

Kostenlos Slack beitreten →