EU-KI-Verordnung: Unternehmen verschlafen die Compliance-Revolution

Eine neue Studie schlägt Alarm: Während die Fristen der EU-KI-Verordnung unaufhaltsam näher rücken, sind die meisten Unternehmen dramatisch unvorbereitet. Die heute veröffentlichte Untersuchung der internationalen Anwaltskanzlei Littler offenbart eine gefährliche Compliance-Lücke – und das, obwohl bereits seit Monaten erste Bestimmungen gelten und empfindliche Strafen drohen.

Die Zahlen sprechen eine deutliche Sprache: Nur 18 Prozent der befragten Arbeitgeber schätzen sich als „sehr vorbereitet” ein. Jedes fünfte Unternehmen gibt offen zu, „überhaupt nicht vorbereitet” zu sein. Für Unternehmen in der gesamten EU wird es höchste Zeit, ihre KI-Systeme und internen Prozesse auf den Prüfstand zu stellen. Doch was genau kommt da eigentlich auf die Wirtschaft zu?

Die KI-Verordnung der EU trat am 1. August 2024 formell in Kraft und folgt einem gestaffelten Zeitplan. Doch wer auf eine lange Übergangsphase gehofft hatte, wird enttäuscht: Bereits seit dem 2. Februar 2025 sind KI-Systeme mit inakzeptablem Risiko EU-weit verboten. Darunter fallen etwa Social Scoring durch staatliche Stellen oder manipulative, unterschwellige Techniken. Gleichzeitig müssen Unternehmen sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen.

Passend zum Thema KI-Compliance: Viele Firmen unterschätzen die konkreten Pflichten und Fristen der EU-KI-Verordnung. Unser kostenloser Umsetzungsleitfaden erklärt, wie Sie Ihre KI-Anwendungen richtig klassifizieren, welche Dokumentationspflichten gelten und welche Meldungen bei schwerwiegenden Vorfällen erforderlich sind. Inklusive praktischer Checklisten und einer Vorlage für Meldungen bei GPAI-Modellen – ideal für Compliance-, IT- und HR-Verantwortliche. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Der nächste Meilenstein folgte am 2. August 2025: Seitdem gelten die Regelungen für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), die Governance-Strukturen sowie die Strafbestimmungen. Verstöße gegen bereits geltende Verbote können nun mit drastischen Bußgeldern geahndet werden.

Der Countdown läuft: Am 2. August 2026 wird der Großteil der detaillierten Pflichten verbindlich – insbesondere für als hochriskant eingestufte KI-Systeme in Bereichen wie kritischer Infrastruktur, Personalwesen oder Medizintechnik. Können Unternehmen diese Frist noch einhalten?

Bußgelder bis 35 Millionen Euro – schärfer als die DSGVO

Die EU meint es ernst. Die vorgesehenen Sanktionen übertreffen teilweise sogar die der gefürchteten Datenschutz-Grundverordnung. Bei Verstößen gegen das Verbot von KI-Praktiken mit inakzeptablem Risiko drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ausfällt.

Andere Verstöße, etwa gegen die Pflichten für Hochrisiko-Systeme, können mit bis zu 15 Millionen Euro oder 3 Prozent des globalen Umsatzes geahndet werden. Zum Vergleich: Die DSGVO sieht maximal 4 Prozent des Umsatzes vor. Die Botschaft ist klar: KI-Compliance ist kein optionales Projekt mehr.

Deutschland im Behörden-Chaos: Wer überwacht eigentlich was?

Während die Strafen klar definiert sind, herrschte in Deutschland lange Unklarheit über die zuständigen Aufsichtsbehörden. Die Bundesregierung verpasste die eigentliche Frist zur Benennung der nationalen Marktüberwachungsbehörden am 2. August 2025. Typisch deutsch, könnte man sagen – oder eher peinlich?

Inzwischen zeichnet sich jedoch eine Lösung ab: Einem aktuellen Gesetzentwurf zufolge soll die Bundesnetzagentur (BNetzA) als zentrale Marktüberwachungs- und Anlaufstelle fungieren. Bestehende Fachbehörden behalten ihre sektorspezifischen Zuständigkeiten: Die BaFin überwacht weiterhin den Finanzsektor, das Kraftfahrt-Bundesamt den Automobilbereich. Eine pragmatische Lösung, um Doppelstrukturen zu vermeiden – wenn auch spät.

Die Realität ist ernüchternd: Ignoranz statt Vorbereitung

Die Littler-Studie ist nicht die einzige, die eine erhebliche Diskrepanz zwischen Anforderungen und Realität aufzeigt. Eine frühere Deloitte-Umfrage ergab, dass sich rund die Hälfte der deutschen Unternehmen noch nicht intensiv mit der Umsetzung beschäftigt hat. Der Digitalverband Bitkom berichtete sogar, dass ein Viertel der Unternehmen noch nie von der Verordnung gehört hatte.

Besonders alarmierend: 70 Prozent der Firmen missachten die seit Februar 2025 bestehende Pflicht zur KI-Schulung ihrer Mitarbeiter. Eine Bitkom-Umfrage vom Sommer 2025 belegte diese erschreckende Ignoranz gegenüber bereits geltenden Regeln. Zwei Drittel der Unternehmen benötigen Hilfe bei der Umsetzung – doch viele holen sich diese offenbar nicht rechtzeitig.

Experten warnen: Dieses Zögern wird nicht nur hohe Bußgelder nach sich ziehen, sondern auch zu erheblichen Wettbewerbsnachteilen führen. Wer sich jetzt nicht bewegt, könnte morgen abgehängt sein.

Was Unternehmen jetzt tun müssen

Die Zeit des Abwartens ist endgültig vorbei. Für Unternehmen ist eine systematische Bestandsaufnahme ihrer eingesetzten KI-Systeme unerlässlich. Jede Anwendung muss identifiziert und einer Risikoklasse gemäß der Verordnung zugeordnet werden.

Insbesondere bei Hochrisiko-Systemen müssen robuste Governance-Strukturen und Risikomanagement-Prozesse implementiert werden. Dazu gehören eine umfassende technische Dokumentation, Überwachungsmechanismen und Transparenz gegenüber den Nutzern. Die EU-Kommission treibt die Konkretisierung weiter voran: Am 4. November 2025 wurde eine Vorlage für die Meldung schwerwiegender Vorfälle bei GPAI-Modellen veröffentlicht.

Mit der bevorstehenden Frist im August 2026 für Hochrisiko-Systeme und der designierten Rolle der Bundesnetzagentur als zentrale Aufsichtsbehörde wird der Druck weiter steigen. Die Botschaft des Gesetzgebers ist unmissverständlich: Wer KI einsetzt, muss die Regeln kennen – und befolgen. Alles andere wird teuer.

PS: Die Fristen der KI-Verordnung rücken schnell näher und Bußgelder können existenzielle Folgen haben – von Governance-Mängeln bis zu fehlenden Schulungsnachweisen. Dieses kostenlose E-Book bietet eine kompakte Checkliste für HR, IT und Compliance, Vorlagen für Dokumentation und praktische Schritte zur Risikoeinstufung Ihrer KI-Systeme. Sofort umsetzbar für Unternehmen jeder Größe. Jetzt kostenlosen KI-Leitfaden für Unternehmen herunterladen