Ausgabe 01 — Maerz 2026
IT EN DE
Das europaeische Magazin fuer private KI

Leitfaden

KI-Verordnung 2026: was KMU wissen muessen

Vollstaendiger Leitfaden zur EU-KI-Verordnung fuer KMU. Pflichten, Fristen, Sanktionen, italienisches Gesetz 132/2025 und wie Sie sich mit konformen KI-Loesungen wie ORCA vorbereiten.

Die KI-Verordnung im Ueberblick

Die KI-Verordnung (EU-Verordnung 2024/1689) ist die weltweit erste Gesetzgebung, die kuenstliche Intelligenz umfassend reguliert. Vom Europaeischen Parlament im Maerz 2024 verabschiedet, legt sie klare Regeln fuer die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen in der EU fest.

Wichtige Termine:

Frist Pflicht
Februar 2025 Verbot von KI-Systemen mit unannehmbarem Risiko
August 2025 Pflichten fuer KI-Modelle mit allgemeinem Verwendungszweck (GPAI)
August 2026 Pflichten fuer Hochrisiko-KI-Systeme
August 2027 Vollstaendige Anwendung fuer alle Systeme

Was sich fuer KMU aendert

Die KI-Verordnung betrifft nicht nur Big Tech. Jedes Unternehmen, das KI-Systeme in Europa nutzt, entwickelt oder vertreibt, muss seine Position bewerten.

Risikoklassifizierung

Die KI-Verordnung klassifiziert KI-Systeme in vier Stufen:

  1. Unannehmbares Risiko (verboten): Social Scoring, unterschwellige Manipulation, biometrische Massenueberwachung
  2. Hohes Risiko (reguliert): KI im Gesundheitswesen, Finanzbereich, HR, Bildung, kritische Infrastruktur
  3. Begrenztes Risiko (Transparenzpflichten): Chatbots muessen erklaeren, dass sie KI sind
  4. Minimales Risiko (keine besonderen Pflichten): Spamfilter, KI in Videospielen

Was KMU tun muessen

Wenn Ihr Unternehmen einen KI-Chatbot fuer die Kundeninteraktion oder die Analyse sensibler Daten nutzt, koennten Sie in die Kategorien mit begrenztem oder hohem Risiko fallen. In diesem Fall muessen Sie:

  • Das KI-System und seine Funktionsweise dokumentieren
  • Transparenz gewaehrleisten: Nutzer muessen wissen, dass sie mit einer KI interagieren
  • Menschliche Aufsicht implementieren: Ein Bediener muss eingreifen koennen
  • Ein Protokoll der KI-Entscheidungen fuehren
  • Die Auswirkungen auf Grundrechte bewerten

Das Problem mit amerikanischen Cloud-Loesungen

Die Nutzung von ChatGPT, Claude oder Gemini ueber Cloud-APIs wirft spezifische Bedenken im Rahmen der KI-Verordnung auf:

  • Mangelnde Transparenz: Sie wissen nicht, wie das Modell intern funktioniert
  • Keine Kontrolle: Sie koennen nicht in das Verhalten der KI eingreifen
  • Daten ausserhalb der EU: Daten laufen ueber nicht-europaeische Server
  • Einseitige Updates: Der Anbieter kann das Modell ohne Vorankuendigung aendern

Die Loesung: konforme On-Premise-KI

Eine On-Premise-KI-Plattform wie ORCA loest diese Probleme:

  • Open-Source-Modelle: vollstaendige Transparenz ueber die Funktionsweise
  • On-Premise: Daten bleiben in der Unternehmensinfrastruktur
  • Audit Trail: lueckenlose Rueckverfolgbarkeit jeder Interaktion
  • Versionskontrolle: das Unternehmen entscheidet, wann und wie Modelle aktualisiert werden
  • Menschliche Aufsicht: in die Systemarchitektur integriert

HT-X unterstuetzt Unternehmen auf ihrem Weg zur KI-Verordnung-Konformitaet.

Das italienische Gesetz: Gesetz 132/2025

Zusaetzlich zur EU-KI-Verordnung hat Italien ein eigenes nationales KI-Gesetz verabschiedet: das Gesetz Nr. 132 vom 23. September 2025 (“Bestimmungen und Delegationen an die Regierung in Sachen kuenstliche Intelligenz”), in Kraft seit 2025.

Das italienische Gesetz fuehrt keine zusaetzlichen Pflichten ueber die EU-Verordnung 2024/1689 hinaus ein (Art. 3, Abs. 5), setzt aber deren Grundsaetze um und regelt nationale Besonderheiten.

Was es fuer Unternehmen bedeutet

Allgemeine Grundsaetze (Art. 3): KI-Systeme muessen unter Beachtung von Transparenz, Verhaeltnismaessigkeit, Sicherheit, Datenschutz, Nichtdiskriminierung und Nachhaltigkeit entwickelt und genutzt werden. Menschliche Aufsicht und Eingreifen muessen stets gewaehrleistet sein.

Cybersicherheit (Art. 3, Abs. 6): Cybersicherheit ist eine wesentliche Voraussetzung ueber den gesamten Lebenszyklus von KI-Systemen, mit einem verhaeltnismaessigen, risikobasierten Ansatz.

Arbeit (Art. 11): KI am Arbeitsplatz muss sicher, zuverlaessig und transparent sein. Arbeitgeber muessen Arbeitnehmer ueber den KI-Einsatz informieren. Jede Form von Diskriminierung ist verboten.

Freie Berufe (Art. 13): KI ist nur als Unterstuetzung der beruflichen Taetigkeit zulaessig, wobei die intellektuelle Arbeit ueberwiegen muss. Freiberufler muessen ihren Mandanten mitteilen, welche KI-Systeme sie verwenden.

Oeffentliche Verwaltung (Art. 14): Behoerden duerfen KI zur Verbesserung der Effizienz und Dienstleistungen einsetzen, aber der menschliche Entscheidungstraeger bleibt allein verantwortlich. Die Nachvollziehbarkeit des KI-Einsatzes muss gewaehrleistet sein.

Nationale Behoerden (Art. 20)

Das Gesetz benennt zwei nationale KI-Behoerden:

  • AgID (Agentur fuer Digitales Italien): foerdert KI-Innovation und -Entwicklung, verwaltet Konformitaets- und Akkreditierungsverfahren
  • ACN (Nationale Agentur fuer Cybersicherheit): ueberwacht KI-Systeme einschliesslich Inspektionen und Sanktionen und gewaehrleistet die Cybersicherheit

Die beiden Agenturen verwalten gemeinsam regulatorische Sandboxen fuer die Entwicklung konformer KI-Systeme.

Strafrechtliche Sanktionen (Art. 26)

Das Gesetz fuehrt einen Strafverschaerfungsgrund fuer Straftaten ein, die mittels KI-Systemen begangen werden, wenn diese ein hinterlistiges Mittel darstellen oder die Verteidigung behindern. Es schafft zudem den Straftatbestand der rechtswidrigen Verbreitung von KI-generierten oder -veraenderten Inhalten (Deepfakes), der mit 1 bis 5 Jahren Freiheitsstrafe geahndet wird.

Was das fuer KMU bedeutet

Das Gesetz 132/2025 bestaetigt, dass Italiens Rechtsrahmen mit der EU-KI-Verordnung uebereinstimmt. Fuer KMU sind die wichtigsten Punkte:

  1. Informationspflicht: Wenn Sie KI im Umgang mit Kunden, Mitarbeitern oder Patienten einsetzen, muessen Sie dies klar kommunizieren
  2. Obligatorische menschliche Aufsicht: Die endgueltige Entscheidung liegt immer bei einer Person
  3. Cybersicherheit: KI-Systeme muessen ueber ihren gesamten Lebenszyklus sicher sein
  4. Sandboxen verfuegbar: AgID und ACN bieten regulatorische Sandboxen fuer die Entwicklung konformer Loesungen

Eine On-Premise-Loesung wie ORCA erfuellt diese Anforderungen nativ: Transparenz, Rueckverfolgbarkeit, menschliche Aufsicht und Datensicherheit sind in die Architektur integriert.

Jetzt vorbereiten: 5 Schritte

  1. KI-Inventar: Listen Sie alle KI-Systeme auf, die Ihr Unternehmen nutzt oder entwickelt
  2. Risikoklassifizierung: Bestimmen Sie das Risikoniveau fuer jedes System
  3. Lueckenanalyse: Identifizieren Sie, was fuer die Konformitaet fehlt
  4. Migration: Fuehren Sie transparente, kontrollierbare Loesungen ein (wie ORCA)
  5. Schulung: Bereiten Sie Ihr Personal auf Pflichten und Best Practices vor

Haeufig gestellte Fragen

Die KI-Verordnung (EU-Verordnung 2024/1689) ist das weltweit erste Gesetz, das kuenstliche Intelligenz umfassend reguliert. Sie wurde 2024 verabschiedet und die wichtigsten Pflichten fuer Unternehmen treten zwischen 2025 und 2027 schrittweise in Kraft.

Ja. Die KI-Verordnung gilt fuer alle Unternehmen, die KI-Systeme in der Europaeischen Union entwickeln, vertreiben oder nutzen, unabhaengig von der Groesse. KMU haben einige Erleichterungen, sind aber nicht von grundlegenden Pflichten befreit.

Die Sanktionen koennen bis zu 35 Millionen Euro oder 7% des jaehrlichen globalen Umsatzes betragen. Fuer KMU sind die Sanktionen verhaeltnismaessig, bleiben aber erheblich.

Die wichtigsten Schritte sind: 1) Alle genutzten KI-Systeme inventarisieren, 2) Das Risikoniveau jedes Systems klassifizieren, 3) Die erforderliche technische Dokumentation umsetzen, 4) Transparente und rueckverfolgbare KI-Loesungen wie ORCA einfuehren, 5) Personal schulen.

Ja. ORCA ist fuer die Konformitaet mit der KI-Verordnung konzipiert: vollstaendige Transparenz (Open-Source-Modelle), lueckenlose Rueckverfolgbarkeit (Audit Trail), menschliche Aufsicht und technische Dokumentation.

Ja. Das Gesetz Nr. 132 vom 23. September 2025 ist Italiens nationales KI-Gesetz. Es gilt in Uebereinstimmung mit der EU-Verordnung 2024/1689 (KI-Verordnung) und regelt Grundsaetze, branchenspezifische Pflichten (Gesundheit, Arbeit, oeffentliche Verwaltung, Justiz, freie Berufe) und benennt AgID und ACN als nationale KI-Behoerden.

Suchen Sie ein privates ChatGPT fuer Ihr Unternehmen?

ORCA ist die On-Premise-KI-Plattform von HT-X (Human Technology eXcellence): Ihre Daten bleiben bei Ihnen, DSGVO- und KI-Verordnung-konform.

ORCA entdecken