EU AI Act (KI-Verordnung, KI-VO): Praxisleitfaden für regulierte Berufe 2026
Compliance

EU AI Act (KI-Verordnung, KI-VO): Praxisleitfaden für regulierte Berufe 2026

Der EU AI Act ist die erste umfassende, risikobasierte gesetzliche Regelung künstlicher Intelligenz in der Europäischen Union. Viele halten das für ein fernes Thema für Konzernjuristen. Für Ärztinnen und Ärzte, Anwältinnen und Anwälte, Steuerberater und die öffentliche Verwaltung ist es das nicht. Sobald Sie KI im Berufsalltag einsetzen, sei es für Textentwürfe, Recherche oder die Kommunikation mit Mandanten und Patientinnen, fallen Sie unter die Verordnung, oft in einer Rolle, die Sie gar nicht erwartet haben.

Dieser Leitfaden erklärt in klarer Sprache, was der EU AI Act ist, welche Fristen wann greifen, wie die Risikoklassen funktionieren und welche Pflichten konkret auf Sie zukommen. Im Mittelpunkt stehen zwei Punkte, die in der Praxis am häufigsten übersehen werden: die Transparenzpflicht nach Artikel 50 und die menschliche Aufsicht nach Artikel 14. Am Ende finden Sie eine kurze Checkliste für den Alltag in Praxis, Kanzlei und Behörde.


Was ist der EU AI Act (KI-Verordnung)?

Der EU AI Act, auf Deutsch KI-Verordnung oder kurz KI-VO, ist die Verordnung (EU) 2024/1689. Als Verordnung gilt sie unmittelbar in allen Mitgliedstaaten, ohne dass ein nationales Umsetzungsgesetz nötig wäre. Sie ist damit die erste umfassende, verbindliche KI-Regulierung dieser Art in Europa.

Das Prägende ist der risikobasierte Ansatz. Statt jede Technologie im Abstrakten zu regeln, fragt die Verordnung nach dem Risiko einer konkreten Anwendung für Menschen. Je höher das Risiko für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Pflichten. Ein Rechtschreibassistent wird anders behandelt als ein System, das über die Kreditwürdigkeit oder eine medizinische Behandlung mitentscheidet. Die Verordnung reguliert also nicht die Technik an sich, sondern den Zweck, für den sie eingesetzt wird.

Wichtig ist die Unterscheidung zweier Rollen. Ein Anbieter entwickelt ein KI-System oder bringt es unter eigenem Namen auf den Markt. Ein Betreiber nutzt ein KI-System in eigener Verantwortung. Die allermeisten Praxen, Kanzleien und Behörden sind Betreiber. Auch Betreiber haben Pflichten, vor allem bei der KI-Kompetenz, der Transparenz und der menschlichen Aufsicht. Genau diese drei Themen betreffen den beruflichen Alltag am unmittelbarsten.


Der Zeitplan in einfacher Sprache

Die KI-VO tritt nicht auf einen Schlag in Kraft, sondern in Stufen. Das ist entscheidend, denn die für regulierte Berufe wichtigste Stufe liegt 2026.

  • Seit 1. August 2024 in Kraft. Die Verordnung gilt, die Fristen laufen.
  • Seit 2. Februar 2025: Die Verbote für KI mit unannehmbarem Risiko greifen. Zugleich gilt die Pflicht zur KI-Kompetenz: Betreiber müssen dafür sorgen, dass ihr Personal KI sachkundig einsetzt.
  • Seit 2. August 2025: Die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (General-Purpose AI, also die großen Sprachmodelle) greifen, dazu die Regeln zu Governance, zu den zuständigen Behörden und zu Sanktionen.
  • Ab 2. August 2026: Der Großteil der Verordnung wird anwendbar, insbesondere die umfangreichen Pflichten für Hochrisiko-Systeme. Das ist der Meilenstein, auf den es für regulierte Berufe jetzt ankommt.
  • Ab 2. August 2027: Die letzten Pflichten greifen, unter anderem für Hochrisiko-KI, die Teil regulierter Produkte ist, sowie Übergangsregeln für Modelle, die schon vor August 2025 am Markt waren.

Wer heute KI einführt, sollte sich also nicht am Datum des Inkrafttretens orientieren, sondern an der Stufe, die den eigenen Anwendungsfall betrifft. Für die meisten regulierten Berufe ist das August 2026. Bis dahin gilt: Die Verbote und die Pflicht zur KI-Kompetenz sind bereits scharf gestellt, hier besteht kein Aufschub.


Die vier Risikoklassen

Das Herzstück der Verordnung ist die Einteilung in vier Risikoklassen. Von ihr hängt ab, welche Pflichten überhaupt gelten.

Unannehmbares Risiko (verboten)

Bestimmte Praktiken sind seit Februar 2025 schlicht verboten. Dazu zählen Social Scoring durch Behörden, manipulative Systeme, die Menschen unterschwellig steuern, das ungezielte Abgreifen von Gesichtsbildern aus dem Internet, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie, mit engen Ausnahmen, die biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum. Solche Systeme dürfen in der EU nicht eingesetzt werden.

Hohes Risiko

Hier liegt der Schwerpunkt der Verordnung. Als Hochrisiko gelten Systeme, die in sensiblen Bereichen über Menschen mitentscheiden: kritische Infrastruktur, Bildung und Beschäftigung, Zugang zu wesentlichen Leistungen wie Kredit oder Versicherung, Strafverfolgung, Migration, Justiz sowie Sicherheitskomponenten in Produkten, etwa in Medizinprodukten. Für diese Systeme verlangt die KI-VO ein ganzes Bündel an Pflichten: ein Risikomanagementsystem, saubere Datenqualität und Data Governance, technische Dokumentation, Protokollierung, wirksame menschliche Aufsicht sowie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit. Viele Systeme müssen zudem registriert und einer Konformitätsbewertung unterzogen werden.

Begrenztes Risiko (Transparenzpflichten)

Hierunter fallen die allermeisten alltäglichen KI-Assistenten und Chatbots. Sie unterliegen vor allem Transparenzpflichten: Menschen müssen erkennen können, dass sie mit einer KI sprechen und dass Inhalte künstlich erzeugt wurden. Dazu gleich mehr.

Minimales Risiko

Der weitaus größte Teil der KI-Anwendungen fällt hierunter: Spamfilter, Vorschlagssysteme, KI in Videospielen. Hier stellt die Verordnung keine besonderen Pflichten auf. Freiwillige Verhaltenskodizes sind möglich, aber nicht vorgeschrieben.


In welche Klasse fällt Ihr Beruf?

Für die meisten regulierten Berufe ist die Antwort beruhigend. Wer einen allgemeinen KI-Assistenten für Recherche, Textentwürfe oder die Organisation des Arbeitstags nutzt, betreibt in aller Regel ein System mit begrenztem oder minimalem Risiko. Der bloße Einsatz eines Sprachmodells macht aus einer Kanzlei oder Praxis kein Hochrisiko-System.

Die Nuance liegt im Zweck. Setzen Sie KI so ein, dass sie eigenständig über Menschen entscheidet, etwa über eine Diagnose oder über den Zugang zu einer Leistung, kann derselbe technische Baustein in die Hochrisiko-Klasse rutschen. Entscheidend ist nicht das Modell, sondern wofür Sie es verwenden. Solange die KI zuarbeitet und ein Mensch entscheidet, bleiben Sie im begrenzten Risiko. Genau deshalb sind die beiden folgenden Pflichten so wichtig.


Die Transparenzpflicht nach Artikel 50: der übersehene Punkt

Artikel 50 der KI-VO regelt die Transparenz gegenüber Menschen, und er ist der Punkt, den Betreiber am häufigsten übersehen. Die Grundidee: Menschen sollen wissen, wann sie es mit KI zu tun haben.

  • Chatbots und KI-Assistenten. Kommuniziert ein Mensch mit einem Chatbot, muss er darüber informiert werden, dass er mit einer Maschine spricht, sofern das nicht ohnehin offensichtlich ist. Der KI-Chat auf Ihrer Praxis- oder Kanzleiwebsite, der Patientinnen oder Mandanten Fragen beantwortet, muss sich also als KI zu erkennen geben.
  • Künstlich erzeugte Inhalte. KI-generierte Texte, Bilder, Audio- und Videoinhalte müssen als künstlich erzeugt gekennzeichnet werden, technisch maschinenlesbar und, wo sie an Menschen gehen, auch erkennbar.
  • Deepfakes. Wer KI-generierte oder manipulierte Bild-, Ton- oder Videoinhalte verbreitet, die realen Personen oder Ereignissen täuschend ähneln, muss offenlegen, dass der Inhalt künstlich ist.
  • Texte von öffentlichem Interesse. Werden KI-erzeugte Texte veröffentlicht, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, ist das offenzulegen. Die wichtige Nuance: Diese Pflicht entfällt, wenn ein Mensch den Text redaktionell prüft und die Verantwortung dafür übernimmt.

Für den Alltag heißt das konkret: Ein Anschreiben, ein Gutachtenentwurf oder ein Patientenbrief, den die KI vorbereitet, den Sie aber fachlich prüfen und unter Ihrem Namen verantworten, ist unproblematisch. Sie zeichnen redaktionell verantwortlich. Sobald KI dagegen unmittelbar mit Mandanten, Patientinnen oder der Öffentlichkeit kommuniziert, etwa als Chatbot auf der Website oder als automatisch veröffentlichter Beitrag, greift die Kennzeichnungspflicht. Im Zweifel gilt: lieber kennzeichnen als verschweigen. Die Offenlegung schadet dem Vertrauen selten, das Verschweigen schon.


Menschliche Aufsicht: Human-in-the-Loop nach Artikel 14

Der zweite oft übersehene Punkt ist die menschliche Aufsicht. Artikel 14 verlangt sie ausdrücklich für Hochrisiko-Systeme, doch als Grundprinzip verantwortungsvoller KI-Nutzung gehört sie in jeden regulierten Beruf.

Der Gedanke ist einfach: Die KI unterstützt die Arbeit, aber ein Mensch trifft die Entscheidung und bleibt verantwortlich. Menschliche Aufsicht bedeutet, dass eine fachkundige Person die Ausgabe der KI verstehen, hinterfragen, korrigieren und im Zweifel verwerfen kann. Das System darf nicht so gebaut oder genutzt werden, dass der Mensch dem Ergebnis blind folgt.

Für Medizin und Recht ist dieser Punkt zentral. Die KI stellt keine Diagnose, sie liefert Hinweise, die die Ärztin bewertet und einordnet. Die KI spricht kein Urteil und erteilt keinen Rechtsrat, sie liefert einen Entwurf, den der Anwalt prüft und verantwortet. Die berufsrechtliche Verantwortung lässt sich nicht an ein Modell delegieren, und die Haftung bleibt beim Menschen. Wer KI einsetzt, sollte deshalb schriftlich festhalten, an welcher Stelle ein Mensch prüft und freigibt, bevor eine KI-Ausgabe nach außen wirkt. Das ist kein bürokratischer Selbstzweck, sondern der Nachweis, dass die Entscheidung bei Ihnen lag und nicht bei der Maschine.


Praktische Checkliste für Praxis, Kanzlei und Verwaltung

Sie müssen nicht auf einen Prüfbescheid warten. Diese Punkte bringen Sie in eine verteidigungsfähige Position:

  1. KI-Einsatz kennzeichnen, wo es verlangt ist. Chatbots als KI ausweisen, veröffentlichte KI-Texte offenlegen, sofern kein Mensch redaktionell verantwortet.
  2. Den Menschen in der Schleife halten. Für jeden Anwendungsfall festlegen, wer die KI-Ausgabe prüft und freigibt, bevor sie wirkt.
  3. Keine autonomen Entscheidungen zulassen. KI liefert Entwürfe und Hinweise, nicht die endgültige Entscheidung über einen Menschen.
  4. Werkzeuge wählen, die Daten in der EU halten und nicht mit ihnen trainieren. Für jedes Tool klären, wo verarbeitet wird und ob mit Ihren Eingaben trainiert wird.
  5. Einen unterzeichneten AVV vorhalten. Der Auftragsverarbeitungsvertrag ist die vertragliche Grundlage, die die DSGVO verlangt, keine bloße Datenschutzerklärung.
  6. KI-Nutzung und Governance dokumentieren. Festhalten, welche Tools erlaubt sind, welche Daten hineindürfen, wer verantwortet und wie Ihr Personal geschult wurde. Die Pflicht zur KI-Kompetenz gilt bereits.

Diese sechs Punkte sind kein einmaliges Projekt, sondern eine Routine. Wenn ein neues Tool hinzukommt, gehen Sie die Liste erneut durch.


AI Act und DSGVO gehören zusammen

Ein verbreitetes Missverständnis lautet, der EU AI Act ersetze die DSGVO. Das Gegenteil ist der Fall. Beide gelten parallel und ergänzen einander. Die KI-VO regelt, wie ein KI-System beschaffen sein und wie es sich verhalten muss. Die DSGVO regelt, wie personenbezogene Daten verarbeitet werden dürfen. Sobald ein KI-System personenbezogene Daten verarbeitet, und das tut fast jedes im beruflichen Einsatz, greifen beide Regelwerke zugleich. Rechtsgrundlage, Zweckbindung, Datenminimierung, Betroffenenrechte und die Frage der Drittlandübermittlung bleiben vollständig relevant.

Hinzu kommt die berufliche Schweigepflicht nach § 203 StGB. Wenn Sie eine Mandantenakte oder einen Befund in ein KI-System geben, verarbeiten Sie fremde Geheimnisse. Die KI-VO regelt, wie das System funktionieren darf. DSGVO und § 203 StGB regeln, wohin die Daten gehen dürfen und wer sie sehen darf. Genau hier entscheidet sich in der Praxis, ob KI ein Risiko oder ein verteidigungsfähiges Werkzeug ist. Ein Modell, das brillante Antworten liefert, aber Ihre Daten auf Servern außerhalb der EU speichert, damit trainiert und ohne AVV betrieben wird, verstößt vielleicht nicht gegen den AI Act, wohl aber gegen DSGVO und Schweigepflicht.


Wie eine EU-gehostete, DSGVO-konforme KI-Plattform unterstützt

Der schnellste Weg, die datenschutzrechtliche Seite der KI-Nutzung zu klären, ist die Wahl einer Plattform, die für regulierte Arbeit gebaut ist. Vier Merkmale sind entscheidend und decken zugleich mehrere der oben genannten Pflichten ab:

  • Verarbeitung in der EU. Werden Anfragen auf EU-Servern verarbeitet, entfällt die heikle Frage der Drittlandübermittlung weitgehend.
  • Kein Training mit Ihren Daten. Ihre Eingaben fließen nicht in das nächste Modell. Das schützt Mandanten- und Patientengeheimnisse.
  • Unterzeichneter AVV. Die vertragliche Grundlage, die die DSGVO verlangt.
  • Berücksichtigte Schweigepflicht. Wer fremde Geheimnisse verarbeitet, braucht eine Plattform, die § 203 StGB mitdenkt.

Wysor ist ein Beispiel für eine solche Plattform: Verarbeitung auf EU-Servern, kein Training mit Ihren Daten, Schweigepflicht nach § 203 StGB berücksichtigt und ein unterzeichneter AVV. Eine solche Grundlage nimmt Ihnen die Pflichten aus AI Act, DSGVO und Berufsrecht nicht ab. Sie erleichtert die Umsetzung aber erheblich, weil Datenhaltung, Trainingsausschluss und Vertragsgrundlage bereits geklärt sind und Sie sich auf die Kennzeichnung und die menschliche Aufsicht konzentrieren können.


Fazit

Der EU AI Act ist kein fernes Thema mehr. Mit der Stufe im August 2026 landen die wesentlichen Pflichten in der Praxis, und die Pflicht zur KI-Kompetenz gilt bereits. Für die meisten regulierten Berufe ist der eigene KI-Einsatz begrenztes oder minimales Risiko. Doch die Transparenzpflicht nach Artikel 50, die menschliche Aufsicht als Grundprinzip und die DSGVO samt Schweigepflicht gelten trotzdem.

Wer diese Ebenen zusammendenkt, KI kennzeichnet, wo nötig, den Menschen entscheiden lässt und eine Plattform wählt, die in der EU verarbeitet, nicht mit den eigenen Daten trainiert und einen AVV unterzeichnet, hat den größten Teil der Arbeit erledigt, bevor eine Aufsichtsbehörde je fragt.

Fragen zur Umsetzung in Ihrem Beruf? Schreiben Sie an [email protected] oder nutzen Sie das Kontaktformular in der App.

Dieser Leitfaden ist eine allgemeine Orientierung zur KI-Verordnung und ersetzt keine Rechtsberatung im Einzelfall.