City and hands using tablet with sun light

Die Rolle der EU-KI-Verordnung in der AI-Governance

Authors

3 minute read 25 Feb. 2026
Related topics
Rechtsberatung

Die EU-KI-Verordnung treibt die AI-Governance – und wird gleichzeitig durch eine solche Governance umgesetzt.

Überblick

  • Die EU-KI-Verordnung (KI-VO) schafft einen verbindlichen Rahmen für sicheren, transparenten und rechtmäßigen KI-Einsatz – mit Fokus auf Gesundheit, Sicherheit und Grundrechte. Sie folgt einem risikobasierten Ansatz mit vier Risikoklassen, die unterschiedliche regulatorische Vorgaben auslösen.
  • Die Governance ist der Schlüssel zur erfolgreichen Umsetzung der KI-VO: Unternehmen müssen Prozesse, Rollen, Inventarisierung und Risikoklassifizierung für KI-Systeme etablieren. Eine übergreifende Governance ermöglicht strategische Entscheidungen, klare Verantwortlichkeiten und effiziente Compliance.
  • Die KI-VO wirkt entlang des gesamten KI-Lebenszyklus und adressiert verschiedene Stakeholder – insbesondere Anbieter und Betreiber. Je nach Rolle und Risiko eines KI-Systems sind umfangreiche Anforderungen zu erfüllen (z. B. Risikomanagement, Data Governance, Transparenz, menschliche Kontrolle und Cybersecurity).

Künstliche Intelligenz (KI) entwickelt sich rasant weiter, insbesondere durch neue Modelle wie Chat GPT 5.3, Claude Opus 4.6 und Gemini 3. KI ist mittlerweile fest in unserem Alltag verankert – von Chatbots wie ChatGPT über Suchmaschinen und Haushaltsgeräte bis hin zu Fahrzeugen. Maschinen übernehmen zunehmend Aufgaben, die traditionell menschlicher Intelligenz vorbehalten waren, und verändern dadurch grundlegend, wie wir arbeiten und leben. Während zunächst Chatbots im Mittelpunkt standen, rücken nun immer mehr autonome KI-Agenten in den Fokus, die eigenständig Handlungen ausführen können, etwa das Buchen von Reisen. Dieser technologische Quantensprung, vergleichbar mit der industriellen Revolution im 19. Jahrhundert, eröffnet Unternehmen neue Möglichkeiten für Effizienz und Innovation. Die damit verbundenen Risiken für Fairness, Gesundheit und Sicherheit werden durch die EU KI-Verordnung (KI-VO) reguliert.

So unterstützen wir Sie

  • Digital Law

    Die Digitalisierung transformiert nicht nur die Welt der Arbeit, Freizeit und Mobilität, sondern birgt auch immense rechtliche Herausforderungen. Mit unserer Practice Group Digital Law beraten wir unsere Mandanten dabei, die digitale Transformation rechtssicher zu gestalten.

    Mehr lesen

Stand der EU-KI-Verordnung und Bedeutung der AI Governance

Auch wenn das vollständige Inkrafttreten der EU KI-Verordnung (KI-VO) zum 2. August 2026 durch eine geplante Digital-Omnibus-Verordnung für KI möglicherweise bis Dezember 2027 verschoben wird, etwa bis die Standards zum KI-Risikomanagement finalisiert sind, wird sie früher oder später wirksam. Dies ist Anlass, die KI-VO und ihre Umsetzung durch die sogenannte AI Governance detaillierter zu betrachten. Governance beschreibt grundsätzlich, wie Organisationen, Systeme oder Gesellschaften gesteuert, gelenkt und kontrolliert werden. AI Governance umfasst dabei den Rahmen aus Regeln, Prozessen, Rollen und technischen Maßnahmen, mit denen ein verantwortungsvoller, sicherer, transparenter und rechtmäßiger Einsatz von KI gewährleistet wird. Es empfiehlt sich, die KI-VO in bestehende AI-Governance-Strukturen zu integrieren und die Implementierung der KI-VO als Treiber für eine umfassende AI Governance zu nutzen.

 

A. Die EU-KI-Verordnung und ihre Regulierungsziele

Der Einsatz von KI bietet beeindruckende Möglichkeiten, birgt aber auch Risiken für öffentliche und private Interessen sowie für die Gesundheit und Sicherheit von Menschen. Beispiele wie das KI-gestützte „Social Scoring“ in China zeigen, wie durch KI-Systeme erhebliche Risiken entstehen können. Um solchen Gefahren vorzubeugen, wurde die EU KI-Verordnung erlassen. Ihr Ziel ist es, ein hohes Schutzniveau für Gesundheit, Sicherheit und Grundrechte mit dem Einsatz von KI in Einklang zu bringen und gleichzeitig Investitionen und Innovationen im KI-Bereich in der EU zu fördern (Art. 1 Abs. 1 KI-VO). Die KI-VO ist Teil des „New Legislation Framework“ (NLF), das seit 2008 den EU-Binnenmarkt für Waren stärken und die Bedingungen für das Inverkehrbringen von Produkten verbessern soll. Dazu gehören Maßnahmen zur Optimierung der Marktüberwachung, zur Steigerung der Qualität von Konformitätsbewertungen und zur Präzisierung der CE-Kennzeichnung.

 

B. Implementierung der EU KI-Verordnung und AI-Governance

Die Umsetzung der Anforderungen der EU KI-Verordnung stellt Unternehmen vor vielfältige organisatorische, technische und rechtliche Herausforderungen. Der systembezogene und risikobasierte Ansatz der Regulierung bedeutet, dass es keinen universellen „Blaupausenansatz“ für alle KI-Anwendungsfälle gibt. Vielmehr müssen Unternehmen individuelle Lösungen entwickeln, die den spezifischen Anforderungen und Risiken ihrer KI-Systeme gerecht werden. Im Sinne einer umfassenden KI-Compliance und zur Vermeidung von Schatten-IT sollte ein System zur Inventarisierung und Risikoklassifizierung sämtlicher KI-Systeme etabliert werden.

 

Darüber hinaus empfiehlt es sich, eine übergeordnete AI-Governance als „Enabler“ für erfolgreiche KI-Anwendungsfälle zu definieren und zu etablieren. Diese Governance dient als Rahmen, um verschiedene Use Cases systematisch zu steuern und zu kontrollieren. Im ersten Schritt ist eine strategische Entscheidung erforderlich, wie einzelne KI-Anwendungsfälle praktisch umgesetzt werden sollen. Eine sinnvolle Unterscheidung besteht zwischen internen und externen Use Cases. Beispielsweise können unternehmensinterne KI-Anwendungen wie im HR-Bereich so eingeordnet werden, dass sie nicht als Hochrisiko-KI-Systeme gelten, sondern durch organisatorische und rechtliche Argumentation (vgl. Artikel 6 Absatz 3 KI-VO) von strengen Auflagen ausgenommen werden. Dies reduziert den Umsetzungsaufwand für Risikomanagement und Konformität, speziell wenn das KI-System nur als vorbereitender Prozessschritt und nicht als finale Entscheidungsinstanz genutzt wird. Für nicht strategisch mitigierbare Anwendungsfälle – beispielsweise bei sicherheitsrelevanten Produkten – sind die detaillierten Anforderungen an Hochrisiko-KI-Systeme einzuhalten.

 

Auf Basis dieser Entscheidungen sind für interne wie externe, produkt- oder servicebezogene KI-Anwendungsfälle die entsprechenden Vorgaben, Rollen und Verantwortlichkeiten festzulegen. Anschließend muss diese Governance im Unternehmen kommuniziert und geschult werden – idealerweise verknüpft mit Anforderungen zur KI-Kompetenz (vgl. Artikel 4 KI-VO). Eine risikobasierte, pragmatische Governance und effiziente Rechtsanwendung können je nach Stakeholder-Rolle dazu beitragen, KI-Initiativen sicher, regelkonform und skalierbar umzusetzen.

 

C. Anwendungsbereich der KI-VO und risikobasierter Ansatz

Im Zentrum des sachlichen Anwendungsbereichs stehen das „KI-System“ (Art. 3 Nr. 1 KI-VO) und die „KI-Modelle mit allgemeinem Verwendungszweck“ (Art. 3 Nr. 63 KI-VO). Ein KI-System ist ein maschinengestütztes System, das für einen mehr oder weniger autonomen Betrieb ausgelegt ist, nach der Einführung anpassungsfähig bleibt und aus Eingaben für bestimmte Ziele Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen ableitet, die Umgebungen beeinflussen können. Normale Software ist nicht umfasst; entscheidend sind Autonomie sowie die Ableitung von Ergebnissen und Entscheidungen.

 

KI-Modelle mit allgemeinem Verwendungszweck (GPAI) sind noch keine KI-Systeme, sondern Modelle, die für eine Vielzahl von Aufgaben in nachgelagerten Systemen eingesetzt werden können und regelmäßig den autonomen Teil des KI-Systems darstellen.

Die KI-VO verfolgt einen risikobasierten Ansatz mit vier Risikokategorien, aus denen sich die konkreten rechtlichen Anforderungen ableiten. Die AI-Governance sollte einen Prozess zur Identifizierung und Risiko-Klassifizierung von KI-Systemen schaffen:

Einordnung nach den Risikoklassen

Beschreibung

Anforderungen

Möglicher Einsatzbereich

Beispiele Anwendungsfälle

Inakzeptables Risiko

Unannehmbares Risiko für Sicherheit, Rechte und Existenzgrundlagen von Einzelpersonen

verboten

Kritische Infrastruktur, Öffentlicher Dienst, Strafverfolgung, Migration

Social Scoring, Emotionserkennung, „Predictive Policing“

Hochrisiko-KI-Systeme

Können erheblichen Schaden verursachen oder Grundrechte beeinträchtigen

Weitreichende, einschränkende Vorgaben

Beschäftigung, Bildung, Zugang zu öffentlichen Diensten, Strafverfolgung

KI-basierte HR-IT, Systeme zur Notenvergabe, Bonitätsprüfung, Gesichtserkennung, Sicherheitskomponenten von Produkten

Nicht-Hochrisiko-KI-Systeme

Potenzielle Risiken für Rechte oder Sicherheit, aber in geringerem Maße

Transparenz- und Informationspflichten

Nichtkritischer öffentlicher Dienst, privater Sektor

Chatbots

Systeme mit minimalem oder keinem Risiko

Fallen in keine der oben genannten Kategorien

Keine Anforderungen

-

-

D. Räumlicher Anwendungsbereich und Stakeholder der KI-VO

Die KI-VO wirkt über die EU-Grenzen hinaus: Auch Unternehmen aus Drittstaaten, die KI-Systeme in Europa in Verkehr bringen, müssen die Vorgaben erfüllen. Hauptverantwortlich sind Anbieter und Betreiber, mit Ausnahmen für private Nutzung. Die Verordnung adressiert unterschiedlichste Anforderungen sowohl an einzelne KI-Systeme als auch an die Stakeholder entlang des KI-Lebenszyklus. Wichtige Definitionen:

  • Anbieter (Art. 3 Nr. 3 KI-VO): Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System oder ein GPAI-Modell entwickeln oder entwickeln lassen und unter eigenem Namen oder Marke auf den Markt bringen oder betreiben, unabhängig von einer Gebühr.
  • Betreiber (Art. 3 Nr. 4 KI-VO): Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System eigenverantwortlich nutzen – ausgenommen die persönliche und nichtberufliche Nutzung.

Nicht umfasst sind das Forschen, Testen und Entwickeln von KI-Systemen vor deren Inverkehrbringen sowie kostenlose und Open-Source-Software, sofern diese nicht als verbotene oder Hochrisiko-KI-Systeme eingestuft werden. Die AI-Governance sollte einen Prozessschritt enthalten, der die räumliche Betroffenheit sowie die Einordnung als Stakeholder abbildet.

E. Maßgebliche Anforderungen der KI-VO

Je nach „Lebensphase“ des KI-Systems sind unterschiedliche Anforderungen entlang des gesamten Lebenszyklus und der Wertschöpfungskette zu erfüllen. Dazu gehören umfangreiche Verpflichtungen vor und nach dem Inverkehrbringen, einschließlich Konformitätsbewertungen (selbst oder durch Dritte). Es bestehen Informations- und Meldepflichten zwischen Stakeholdern, etwa dass Betreiber identifizierte Risiken an Hersteller melden. Die AI-Governance sollte Prozesse enthalten, die insbesondere für Anbieter von Hochrisiko-KI-Systemen die Umsetzung der Vorgaben aus Art. 9 ff. KI-VO sicherstellen – insbesondere hinsichtlich Risikomanagement, Data Governance, Transparenz, menschlicher Kontrolle sowie Cybersecurity und Resilienz (vertiefend hierzu https://www.ey.com/de_de/insights/tax-law-magazine/die-eu-grenzen-der-kuenstlichen-intelligenz).

Fazit

AI Governance kann die Implementierung der  KI-VO sehr konkret und wirksam unterstützen, weil sie die regulatorischen Anforderungen in klare Strukturen, Prozesse und Verantwortlichkeiten übersetzt. Man kann sich AI Governance als das Betriebsmodell vorstellen, mit dem der KI-VO im Alltag umgesetzt und dauerhaft eingehalten wird.

Über diesen Artikel

Authors

Related topics
Rechtsberatung

Related Topics

Der digitale „Omnibus“ soll Daten nutzbar machen – und nimmt die DSGVO an Bord

Die EU-Kommission plant mit ihrem Entwurf für den „digitalen Omnibus“, das seit Längerem bestehende Spannungsverhältnis innerhalb der Regulierung der Datenwirtschaft aufzulösen. Dabei sollen bestehende Datengesetze konsolidiert und gleichzeitig eine KI-freundlichere Gesetzeslandschaft geschaffen werden. Im Fokus steht dabei die Datenschutz-Grundverordnung (DSGVO). Wird es hier eine tiefgreifende Reform und damit auch eine gewisse Abkehr vom bisher hohen Schutzniveau geben?

Alexandra Quarch

Künstliche Intelligenz revolutioniert auch die Aufsichtsratsarbeit

Die Regierungskommission Deutscher Corporate Governance Kodex (DCGK) hat mit ihrem aktuellen Praxis-Impuls zum Thema „Künstliche Intelligenz im Aufsichtsrat" einen wichtigen Beitrag zur Weiterentwicklung der Governance-Praxis in deutschen Unternehmen geleistet. Lesen Sie hier unsere Einordnung, auf welche zentralen Fragen er eingeht und wie er die Rolle des Aufsichtsrats als Kontrollorgan und Sparringspartner des Vorstands im Umgang mit KI präzisiert.

Dr. Peter Katko

AI-Agenten in der Rechtsabteilung

Die Einführung autonomer AI-Agenten markiert die nächste Stufe der digitalen Transformation von Rechtsabteilungen.

Christian B. König, LL.M. (George Washington University) + 2

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.