Gilt die EU-KI-Verordnung für Sie, wenn Ihre Software keine KI enthält?
Vorschriften

Gilt die EU-KI-Verordnung für Sie, wenn Ihre Software keine KI enthält?

Die EU-KI-Verordnung regelt ausschließlich das, was sie als KI-System bezeichnet. Wenn die Software-Werkzeuge, die Ihr Unternehmen einsetzt, dieser Definition nicht entsprechen, erfasst Sie keine ihrer Vorgaben. Der Test ist kurz. Erarbeitet das System seine Antworten selbst, oder folgt es nur Regeln, die ein Mensch geschrieben hat? Beantworten Sie diese eine Frage richtig, und die schweren Pflichten fallen weg.

Das Wichtigste in Kürze

  • Die Verordnung bindet KI-Systeme, nicht jede Software, die ein Unternehmen betreibt.
  • Der Test lautet, ob ein System seine Antworten ableitet, statt feste Regeln abzuarbeiten.
  • Reine regelbasierte Werkzeuge liegen außerhalb des Gesetzes, und Erwägungsgrund 12 sagt das ausdrücklich.
  • KI-Zusatzfunktionen wie Triage, Chatbots oder Übersetzung können Sie wieder hineinziehen.
  • Die zentrale Frist für Hochrisiko-Systeme wurde auf den 2. Dezember 2027 verschoben, doch der Test blieb gleich.

Was die EU-KI-Verordnung tatsächlich regelt

Die EU-KI-Verordnung ist ein Produktsicherheitsgesetz für KI. Sie ordnet KI-Systeme nach Risiko und legt den riskanteren Systemen Pflichten auf. Sie regelt nicht Software im Allgemeinen. Sie regelt auch nicht Daten oder Automatisierung. Sie regelt Systeme, die ihrer eigenen Definition von KI entsprechen, und nur diese. Die erste Frage lautet also nie, was Ihr Werkzeug tut. Sie lautet, ob Ihr Werkzeug überhaupt ein KI-System ist.

Das Gesetz teilt KI in vier Risikostufen ein:

  • Unannehmbares Risiko: eine kurze Liste verbotener Anwendungen wie Social Scoring und die meisten Formen der biometrischen Echtzeit-Fernidentifizierung im öffentlichen Raum.
  • Hohes Risiko: Systeme, die Sicherheit oder Rechte beeinträchtigen können, etwa KI, die zum Einstellen, Entlassen oder Bewerten von Menschen genutzt wird. Diese tragen die schwersten Pflichten.
  • Begrenztes Risiko: Systeme, die lediglich offenlegen müssen, was sie sind, etwa ein Chatbot, der Ihnen mitteilt, dass er ein Bot ist.
  • Minimales Risiko: alles Übrige, wo die meiste KI angesiedelt ist und keine Pflichten gelten.

Der Anwendungsbereich ist weit. Nach Artikel 2 der Verordnung binden die Regeln Anbieter, die ein KI-System auf dem EU-Markt in Verkehr bringen. Sie binden auch Betreiber, die innerhalb der EU eines einsetzen, selbst wenn der Anbieter im Ausland sitzt. Doch jeder dieser Anknüpfungspunkte hängt an denselben Worten: KI-System. Kein KI-System, kein Anbieter oder Betreiber, und die Pflichten beginnen nie.

Was gilt nach dem Gesetz als „KI-System“?

Ein KI-System ist nach den eigenen Worten des Gesetzes eine Maschine, die ihre Antworten selbst erarbeitet. Sie tut mehr, als ein festes Skript abzuarbeiten. Die offizielle Definition hängt an einer einzigen Fähigkeit: Das System muss ableiten. Das ist die Grenze zwischen regulierter KI und gewöhnlicher Software.

„KI-System bezeichnet ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“
Artikel 3 Absatz 1, Verordnung (EU) 2024/1689

Die Erläuterungen zum Gesetz sind unmissverständlich, was dadurch ausgeschlossen wird. Erwägungsgrund 12 besagt, dass die Definition nicht „einfachere herkömmliche Softwaresysteme oder Programmierungsansätze“ erfassen sollte. Sie sollte auch keine Systeme erfassen, die „auf von natürlichen Personen ausschließlich definierten Regeln für das automatische Ausführen von Vorgängen beruhen“. Im Klartext: Wenn ein Mensch jede Regel geschrieben hat und die Software sie nur ausführt, ist sie nach diesem Gesetz keine KI.

Betrachten Sie die Werkzeuge, die ein Compliance-Team tatsächlich nutzt. Ein Webformular, ein Workflow, der einen Fall weiterleitet, ein verschlüsselter Posteingang, eine Datenbankabfrage, ein fester Entscheidungsbaum. Keines davon leitet etwas ab. Sie tun genau das, was ihnen aufgetragen wurde. Sie sind Software, keine KI-Systeme.

Eine Sache legt den Schalter um, und es ist nicht das, was die meisten vermuten. Die Verordnung greift nicht, weil Sie sensible Daten verarbeiten, eine Aufgabe automatisieren oder in der Cloud laufen. Sie greift, weil das System ableitet. Ein Werkzeug kann groß, komplex und geschäftskritisch sein und dennoch außerhalb des Gesetzes liegen, solange es nicht aus Daten lernt oder ein eigenes Modell bildet, um zu einer Antwort zu gelangen.

Illustration, die eine Maschine aus Zahnrädern und Regeln einem KI-System gegenüberstellt, das aus einem Datenstrom ableitet

Regelbasierte Software führt feste Logik aus. Ein KI-System leitet seine eigenen Antworten ab, und das ist die Grenze, die das Gesetz zieht.

Gilt sie also, wenn Ihre Software keine KI enthält?

Für die Teile der Verordnung zu Hochrisiko und Transparenz lautet die Antwort nein. Wenn kein Teil Ihrer Software der Definition aus Artikel 3 Absatz 1 entspricht, sind Sie weder Anbieter noch Betreiber eines KI-Systems. Die Hochrisiko-Pflichten und die Transparenzregeln in Artikel 50 haben nichts, woran sie anknüpfen könnten. Es gibt keine Konformitätsprüfung zu bestehen, keine Risikoakte zu führen und keine KI zu registrieren.

Mit dieser Antwort kommen zwei ehrliche Vorbehalte. Der erste ist, sich zu vergewissern, dass Sie wirklich keine KI haben. Anbieter fügen ständig Funktionen hinzu, und Ableitung kann sich in einer einzigen davon verbergen. Ein Beispiel zeigt, wie das geschieht. Angenommen, Ihr Meldewerkzeug ist reine Software, aber Sie schalten einen KI-Helfer ein, der einschätzt, wie dringend jede Meldung ist. Dieser Helfer leitet ab. Nun setzen Sie ein KI-System ein, obwohl der Rest des Werkzeugs nur Regeln folgt. Ein Chatbot auf Ihrer Kontaktseite, eine KI-Übersetzungsfunktion oder ein KI-Dienst, der im Hintergrund als Unterauftragsverarbeiter läuft, kann dasselbe bewirken.

Der zweite Vorbehalt ist, dass anderes Recht weiterhin gilt. Die Datenschutz-Grundverordnung (DSGVO) regelt Ihre personenbezogenen Daten, ob Sie KI nutzen oder nicht. Und die KI-Kompetenzpflicht der Verordnung, also die Vorgabe, dass Mitarbeitende die KI verstehen müssen, mit der sie arbeiten, betrifft nur Unternehmen, die tatsächlich KI-Systeme betreiben. Lassen Sie die KI weg, und diese Pflicht entfällt mit ihr.

Wo Hinweisgeber- und HR-Werkzeuge erfasst werden

Beschäftigung ist eine der Hochrisiko-Zonen des Gesetzes, und genau dort sind Melde- und HR-Software angesiedelt. Anhang III führt acht Hochrisiko-Bereiche auf. Nummer 4 erfasst KI, die in „Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit“ eingesetzt wird. Sie benennt KI, die Bewerbungen filtert, Bewerber bewertet, Aufgaben nach Verhalten oder Eigenschaften zuteilt oder überwacht, wie Menschen ihre Arbeit erbringen. KI, die Beschäftigte vorauswählt oder bewertet, gilt als hochriskant.

Das erfasst eine Funktion, mit der viele Compliance-Werkzeuge inzwischen werben. Immer mehr Hinweisgeber- und Fallmanagement-Plattformen ergänzen KI, um Meldungen zu sortieren, ihre Schwere zu bewerten, Ergebnisse vorherzusagen oder Eingaben in Echtzeit zu übersetzen. In dem Moment, in dem diese KI mitentscheidet, wie die Meldung eines Beschäftigten bearbeitet wird, kann der Kunde, der sie nutzt, zum Betreiber eines Hochrisiko-Systems werden. Das bringt Dokumentationspflichten, menschliche Aufsicht und Protokollierungspflichten mit sich. Ein KI-Chatbot, der die erste Meldung entgegennimmt, fügt eine Pflicht aus Artikel 50 hinzu, den Menschen mitzuteilen, dass sie mit einer Maschine sprechen.

Diese Betreiberpflichten sind nicht leicht, und sie treffen Sie, den Käufer, nicht nur den Anbieter. Sie müssen bei Entscheidungen, die die KI prägt, einen Menschen einbinden. Sie müssen das System über die Zeit überwachen und seine Protokolle speichern. Sie müssen betroffene Beschäftigte informieren, wenn eine KI beteiligt war. Für einen sensiblen Vorgang wie eine Hinweisgebermeldung, bei der Vertrauen das Entscheidende ist, ist das eine schwere Last für eine bloße Komfortfunktion.

Ein Werkzeug ohne KI in diesem Ablauf umgeht die ganze Frage. Eine Hinweisgeberplattform wie WeMoral, die Ableitung aus der Meldungsannahme und Triage heraushält, bleibt in den Augen des Gesetzes gewöhnliche Software. Ihre Kunden erben nie die Hochrisiko-Last eines Betreibers. Der Gegensatz ist scharf, sobald man beide nebeneinanderstellt:

Frage Werkzeug ohne KI KI-erweitertes Werkzeug
Ist es ein KI-System? Nein, es führt nur feste Regeln aus Ja, eine Funktion leitet Ausgaben ab
Im Hochrisiko-Regime? Nein Wahrscheinlich, nach Anhang III Nummer 4
Ihre Rolle nach der Verordnung Keine Betreiber, mitunter Anbieter
Was Sie tun müssen Nichts nach der KI-Verordnung Aufsicht, Protokollierung, Offenlegung, Aufzeichnungen

Eine einschränkende Regel ist wissenswert. Ein System nach Anhang III kann dem Hochrisiko-Etikett entgehen, wenn es kein erhebliches Schadensrisiko birgt, etwa wenn es nur eine eng umrissene Verwaltungsaufgabe erledigt. Doch das ist eine enge Ausnahme, und der Anbieter muss diese Bewertung dokumentieren. Bei allem, was Menschen vorauswählt oder prägt, wie ihre Meldungen behandelt werden, ist die sichere Annahme: hochriskant.

Eine Risikoanzeige, die von ruhigem Grün bis zu alarmierendem Rot reicht und für die vier Risikostufen der EU-KI-Verordnung steht

Das Gesetz ordnet KI nach Risiko, vom minimalen am einen Ende bis zu wenigen verbotenen Anwendungen am anderen.

Was ändert sich am 2. August 2026, und was wurde gerade aufgeschoben?

Der allgemeine Geltungsbeginn der Verordnung ist der 2. August 2026. Dann treten die meisten Regeln in Kraft und die nationale Durchsetzung beginnt. Doch die Termine haben sich verschoben. Ein Vereinfachungspaket, bekannt als Digital Omnibus, das vom Europäischen Parlament am 16. Juni 2026 unterstützt wurde und noch die letzten Schritte bis zum Gesetz durchläuft, schiebt die schwersten Fristen nach hinten.

Nach diesem Paket verschieben sich die eigenständigen Hochrisiko-Pflichten auf den 2. Dezember 2027. Hochrisiko-KI, die in regulierte Produkte eingebaut ist, verschiebt sich auf den 2. August 2028. Die Kennzeichnung KI-generierter Medien erhält ebenfalls eine kurze Verlängerung. Manches verschiebt sich nicht. Die verbotenen Anwendungen gelten bereits seit Februar 2025. Die zentralen Transparenzpflichten greifen weiterhin zum Termin 2026, und dann beginnt die breite Durchsetzung. Den aktuellen Stand können Sie auf der Seite der Europäischen Kommission zur KI-Verordnung verfolgen. Behandeln Sie die Omnibus-Termine als nahezu endgültig, bis sie vollständig veröffentlicht sind.

Ein Beamter im Comic-Stil, der einen Compliance-Fristmarker von 2026 in Richtung 2027 schiebt

Der Digital Omnibus schiebt die schwersten Fristen von 2026 in das späte Jahr 2027.

Die Sanktionen zeigen, warum die Termine so viel Aufmerksamkeit auf sich ziehen. Die Verordnung erlaubt Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene Anwendungen. Die meisten anderen Verstöße reichen bis zu 15 Millionen Euro oder 3 %. Irreführende Angaben gegenüber Behörden reichen bis zu 7,5 Millionen Euro oder 1 %. Diese Obergrenzen sind groß genug, dass der Anwendungsbereich keine Formsache ist. Für ein Werkzeug ohne KI ändern die verschobenen Fristen nichts. Der Test bleibt gleich. Keine KI heißt nichts zu tun, an keinem dieser Termine.

So prüfen Sie, ob Sie in den Anwendungsbereich fallen

Sie können Ihre eigene Betroffenheit mit einer einzigen Frage klären, gestellt zu jeder Funktion. Leitet sie ab, oder folgt sie Regeln, die ein Mensch geschrieben hat? Arbeiten Sie Ihren Software-Bestand der Reihe nach durch, und die Antwort wird meist klar.

  1. Listen Sie jede Funktion auf, die einstuft, bewertet, vorhersagt, sortiert, empfiehlt oder Inhalte schreibt.
  2. Fragen Sie bei jeder, ob sie aus Daten lernt oder nur feste Logik ausführt.
  3. Suchen Sie nach versteckter KI: Chatbots, Übersetzung, Suchranking und jede KI, die ein Anbieter im Hintergrund betreibt.
  4. Entscheiden Sie bei allem, was tatsächlich ableitet, Ihre Rolle. Haben Sie es gebaut oder mit Ihrem Namen versehen, oder nutzen Sie es nur?
  5. Wenn eine Funktion ableitet und die Arbeit, Rechte oder Meldungen von Menschen berührt, behandeln Sie sie als möglicherweise hochriskant und holen Sie Rat ein.

Stellen Sie Ihren Softwareanbietern dieselbe Frage schriftlich. Eine klare Antwort darauf, ob und wo eine Funktion ableitet, sagt Ihnen mehr über Ihre Betroffenheit durch die KI-Verordnung als jede Broschüre über „smarte“ oder „intelligente“ Automatisierung. Bewahren Sie diese Antwort auf, damit Sie sie vorlegen können, falls eine Behörde oder ein Kunde je danach fragt.

Das Gesetz belohnt es, genau zu wissen, was Ihre Software tut. Ein Werkzeug ohne KI bietet einer Behörde eine kleinere Angriffsfläche zur Prüfung und lässt Ihnen ein Regime weniger zu verwalten. Ihre Aufgabe ist es, zu belegen, dass nichts in Ihrem Bestand ableitet, und Werkzeuge zu wählen, die das so halten.

Aktualisiert am
Marek Tekieli

Compliance-Spezialist mit Fokus auf Richtlinien-Umsetzung und internem Informationsfluss. Schreibt über EU-Regulierung, bekannte Fälle und Meldesysteme.

Starten Sie Ihren Hinweisgeberkanal in weniger als 5 Minuten!

Fertige Meldestelle konform zum Hinweisgeberschutzgesetz (HinSchG). Sie richten sie ohne Entwickler ein.

Eine Demo buchen Kostenlos testen