Spezialkanzlei · KI-Recht & AI Act

KI-Recht · An der Schnittstelle Technik & Recht.// AI Act · GPAI · Hochrisiko · Kennzeichnungspflichten

Wir beraten Unternehmen an der Schnittstelle von Technik und Recht zur EU-KI-Verordnung — von der Risikoklassifizierung über die Hochrisiko-Architektur bis zur Kennzeichnung KI-generierter Inhalte. Anwaltlich. Technisch fundiert. Mit Mandaten in Grundsatzverfahren zum KI-Recht.

Pflichten Art. 4 & 5 aktiv Hochrisiko ab 02.12.2027 GPAI ab 02.08.2025 Bußgeld bis 35 Mio. €
Risikoklassifizierung Hochrisiko-Compliance Art. 50 Kennzeichnung GPAI & Foundation Models Grundrechtefolgenabschätzung KI-Schulungen Art. 4
Fahrplan · 01

Der AI Act gilt gestaffelt — wer jetzt nicht handelt, handelt zu spät.

Mehrere gestaffelte Stichtage trennen die Verkündung der KI-VO vom voll anwendbaren Recht. Mit der politischen Einigung zum KI-Omnibus vom 07.05.2026 hat sich der Zeitplan substantiell verschoben — die wichtigsten Hochrisiko-Pflichten greifen erst ab 02.12.2027 bzw. 02.08.2028. Wir sortieren, welche Pflichten für Ihr Unternehmen wann scharfgeschaltet werden, und wo der Aufwand realistisch zu beziffern ist. Solange die formelle Annahme durch EP und Rat aussteht und der Omnibus nicht im Amtsblatt veröffentlicht ist, gelten rechtlich die ursprünglichen Stichtage der KI-VO fort.

01
02.02.2025 · live

Verbote & KI-Kompetenz

Art. 5: verbotene Praktiken (Social Scoring, manipulative KI). Art. 4: Pflicht zur KI-Kompetenz für Anbieter und Betreiber.

Art. 4Art. 5
02
02.08.2025 · live

GPAI & Governance

Pflichten für Anbieter von General-Purpose-AI. Notifizierung. Sanktionsregime der Mitgliedstaaten gilt.

Art. 51 ff.Art. 99
03
02.08.2026 · Transparenz Art. 50 (neue Systeme)

Art. 50 Transparenz

Chatbot-Hinweispflicht (Abs. 1), Deepfake-Kennzeichnung (Abs. 4), Emotionserkennungs-Hinweis (Abs. 3) bleiben unverändert ab 02.08.2026 anwendbar. Für Watermarking nach Abs. 2 (Bestandssysteme) gilt eine Übergangsfrist bis 02.12.2026.

Art. 50Art. 113
04
02.12.2026 · neue Stichtage Omnibus

NCIM/CSAM-Verbot & Watermarking

Neues Verbot generativer KI-Systeme für nicht-einvernehmliche intime Inhalte und kindliche Missbrauchsdarstellungen (Art. 5). Watermarking-Übergangsfrist für Bestandssysteme nach Art. 50 Abs. 2 endet.

Art. 5Art. 50 Abs. 2
05
02.12.2027 · Anhang III (nach Omnibus)

Hochrisiko stand-alone

Pflichten für Hochrisiko-KI nach Anhang III (Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, essentielle Dienste, Strafverfolgung, Migration, Justiz) werden anwendbar. Verschoben vom ursprünglich vorgesehenen 02.08.2026.

Art. 6 Abs. 2Anhang III
06
02.08.2028 · Anhang I (nach Omnibus)

Hochrisiko eingebettet

Pflichten für Hochrisiko-KI als Sicherheitskomponente regulierter Produkte (Medizinprodukte, Spielzeug, Aufzüge, Funkanlagen). Maschinen unterliegen einem Sonderregime. Verschoben vom 02.08.2027.

Art. 6 Abs. 1Anhang I
07
02.08.2030 · 31.12.2030

Altsysteme öffentl. Sektor & EU

Hochrisiko-KI-Bestandssysteme öffentlicher Stellen bis 02.08.2030 (Art. 111 Abs. 3 KI-VO) anzupassen; in Anhang X genannte EU-Großsysteme erst zum 31.12.2030 (Art. 111 Abs. 1). Vom Omnibus nicht erkennbar erfasst.

Art. 111 Abs. 1Art. 111 Abs. 3
2025 / 2026
// heute · 20.06.2026
2027 / 2028
2030
Leistungen · 02

Beratung entlang des AI-Act-Lebenszyklus.

Vom AI-Inventar über die Risikoklassifizierung bis zur laufenden Compliance — anwaltlich verantwortet, mit technischer Tiefe.

01 / 08

Risikoklassifizierung & AI-Inventar

Systematische Einordnung Ihrer KI-Systeme in die vier Risikoklassen des AI Act. Wir kartieren Ihre Anwendungslandschaft, prüfen Hochrisiko-Tatbestände nach Art. 6 i.V.m. Anhang III und liefern eine belastbare Klassifizierungs-Matrix als Grundlage für alle weiteren Compliance-Schritte.

Art. 3 · Art. 6 · Anhang III
Klassifikation anfragen
02 / 08

Hochrisiko-Compliance

Risikomanagement (Art. 9), technische Dokumentation (Art. 11), Daten-Governance (Art. 10), menschliche Aufsicht (Art. 14) — operationalisiert für Ihre konkrete Architektur.

Art. 9 – 17 · Anhang IV
Compliance-Konzept
03 / 08

Art. 50 Kennzeichnung

Transparenz für Chatbots, synthetische Inhalte und Deepfakes — maschinenlesbar und nutzbar.

Mehr
04 / 08

Grundrechte­folgen­abschätzung

FRIA nach Art. 27 KI-VO für Einrichtungen des öffentlichen Rechts, für private Stellen, die öffentliche Dienste erbringen, sowie für Betreiber von Hochrisiko-KI nach Anhang III Nr. 5 lit. b und c (Kreditwürdigkeit; Lebens- und Krankenversicherung).

FRIA
05 / 08

GPAI & Foundation Models

Pflichten für Anbieter und Integratoren von General-Purpose-AI nach Art. 51 ff.

GPAI
06 / 08

KI-Richtlinien & Verträge

Interne KI-Policies, Betriebsvereinbarungen, AV- und Lizenzverträge mit KI-Anbietern, Trainingsdaten-Architektur.

UrhG · Art. 53 KI-VO · Art. 88 DSGVO / § 26 BDSG
Vertragsberatung
07 / 08

KI-Kompetenz nach Art. 4

Praxisnahe Schulungen für Geschäftsführung, IT, HR und Fachbereiche.

Schulung
08 / 08

Behördenkommunikation & Vertretung

Vertretung gegenüber der noch zu benennenden nationalen AI-Aufsicht, dem AI Office und in Bußgeldverfahren — durch die Mutterkanzlei mit fachanwaltlicher Erfahrung im IT-Recht und in Grundsatzverfahren zum KI-Recht.

Art. 74 ff. · Art. 99 ff.
Mandat anfragen
Risikoklassen · 03

Vier Stufen — eine entscheidet, ob Sie gerade ein neues Geschäftsfeld oder ein Risiko bauen.

Der AI Act folgt einem risikobasierten Ansatz. Welche Klasse für Ihre KI-Anwendung greift, entscheidet Pflichtenkatalog, Aufwand und Time-to-Market.

Tier 01
Verbotene KI-Praktiken
Art. 5 AI Act
Social Scoring, unterschwellige Manipulation, Echtzeit-Biometrie im öffentlichen Raum (mit engen Ausnahmen).
02.02.2025· anwendbar
Tier 02
Hochrisiko-KI
Art. 6 · Anhang III
HR & Recruiting, Bildung, Strafverfolgung, kritische Infrastruktur, Kreditwürdigkeit, Migration, Justiz.
02.12.2027· nach Omnibus
Tier 03
Begrenztes Risiko · Transparenz
Art. 50 AI Act
Chatbots, synthetische Inhalte, Deepfakes, Emotionserkennung — Kennzeichnungs- und Hinweispflichten.
02.08.2026· anwendbar
Tier 04
Minimales Risiko
Art. 95 KI-VO (freiwillige Codes)
Spam-Filter, Sortier-Algorithmen, einfache Empfehlungssysteme — keine spezifischen Pflichten der KI-VO; freiwillige Verhaltenskodizes nach Art. 95 KI-VO möglich (vgl. ErwGr. 165).
· keine Frist
Schnellcheck · 04

In fünf Schritten zur Erst­einschätzung.

Eine kompakte Triage Ihrer KI-Anwendung gegen die Risikologik des AI Act. Ersetzt keine Rechtsberatung — taugt als belastbare Vorbereitung des Erstgesprächs.

// 01 / 05 — rolle()
Welche Rolle übernimmt Ihr Unternehmen?
Art. 3 Nr. 3 / 4 AI Act — Anbieter, Betreiber oder beides.
Anbieter — wir entwickeln oder vertreiben ein KI-System unter eigenem Namen.
Betreiber — wir setzen ein KI-System eines Drittanbieters ein.
Beides — Eigenentwicklung und produktiver Einsatz.
// 02 / 05 — domain()
In welchem Bereich setzen Sie KI ein?
Anhang III definiert die Hochrisiko-Bereiche abschließend.
Personalwesen, Recruiting, Bewertung, Beförderung
Kritische Infrastruktur, Bildung, Strafverfolgung, Migration, Justiz
Generative Inhalte (Text/Bild/Audio/Video) oder Chatbot
Sonstige (Marketing, Kundenservice, Analyse, Logistik)
// 03 / 05 — autonomy()
Trifft das KI-System eigenständige Entscheidungen über natürliche Personen?
Z. B. Kreditvergabe, Bewerbervorauswahl, Scoring, automatisierte Klassifizierung.
Ja — automatisierte Einzelentscheidung ohne menschliches Veto.
Vorbereitend — die KI entscheidet vor, ein Mensch entscheidet final.
Nein — die KI dient ausschließlich der Unterstützung.
// 04 / 05 — generates()
Erzeugt das System Inhalte, die als menschen­gemacht wahrgenommen werden könnten?
Texte, Bilder, Audio, Video, Chatbot-Dialoge — relevant für Art. 50.
Ja — synthetische Inhalte oder Chatbots im Außenkontakt.
Ja, ausschließlich für interne Zwecke.
Nein — keine generativen Funktionen.
// 05 / 05 — productSafety()
Ist das KI-System Bestandteil eines bereits regulierten Produkts?
Anhang I — z. B. Medizinprodukt, Maschine, Spielzeug, Fahrzeug.
Ja — Sicherheitskomponente eines regulierten Produkts.
Nein.
Unklar — bitte rechtlich einordnen.
// result · matched()

Erst­einschätzung

Auf Basis Ihrer Angaben empfehlen wir folgende Schritte.

    Erstberatung anfragen

    Hinweis · Der Schnellcheck ersetzt keine Rechtsberatung. Er dient der Orientierung.

    Art. 50 · 05

    Kennzeichnung KI-generierter Inhalte.

    Art. 50 etabliert Transparenzpflichten für Anbieter und Betreiber, ab dem 2. August 2026 verbindlich. Wir prüfen, was kennzeichnungspflichtig ist und wie das Hinweissystem rechtskonform und nutzbar implementiert wird. Der finale Code of Practice vom 10. Juni 2026 konkretisiert die Anforderungen.

    01
    Art. 50 Abs. 1

    Interaktion mit KI-Systemen

    Anbieter müssen KI-Systeme, die für die direkte Interaktion mit natürlichen Personen bestimmt sind, so konzipieren und entwickeln, dass die betreffenden Personen darüber informiert werden, dass sie mit einem KI-System interagieren — sofern dies nicht aus den Umständen offensichtlich ist.

    02
    Art. 50 Abs. 2 · Abs. 4

    Synthetische Inhalte & Deepfakes

    Anbieter müssen synthetische Audio-, Bild-, Video- und Textinhalte maschinenlesbar als künstlich erzeugt markieren. Der Code of Practice sieht hierfür zwei Markierungsebenen vor, digital signierte Metadaten und ein unsichtbares Wasserzeichen. Betreiber müssen die KI-Erzeugung gegenüber dem Publikum offenlegen, etwa über das frei verfügbare EU-Icon.

    03
    Art. 50 Abs. 3

    Emotionserkennung & Biometrie

    Wer Emotionserkennungs- oder biometrische Kategorisierungssysteme einsetzt, muss betroffene Personen ausdrücklich informieren — und die DSGVO einhalten.

    04
    Art. 50 Abs. 2 a.E. · Abs. 4

    Ausnahmen

    Reine Bearbeitungs- und Hilfsfunktionen sind privilegiert. Ausnahmen bestehen für Strafverfolgung sowie künstlerische und satirische Werke unter Wahrung der Persönlichkeitsrechte.

    05
    Stand der Technik

    Technische Umsetzung

    Kennzeichnung muss nach dem Stand der Technik erfolgen und maschinenlesbar sein. Harmonisierte Normen und ergänzende Leitlinien der Kommission präzisieren dies fortlaufend. Eine interoperable Erkennungslösung sieht der Code of Practice bis zum 2. Februar 2027 vor.

    06
    Heidrich · Implementierung

    Unsere Beratung

    Wir prüfen Ihren Content-Stack auf Kennzeichnungspflichten, definieren Hinweistexte und Trigger-Logiken und begleiten die Integration in Redaktions-, App- und Produktworkflows.

    Praxisleitfaden · Code of Practice

    Was der Code of Practice vom 10. Juni 2026 für Sie bedeutet.

    Der finale Code of Practice on Transparency of AI-Generated Content konkretisiert die Pflichten des Art. 50 KI-VO. Er ist freiwillig, seine Befolgung gilt ausdrücklich nicht als abschließender Konformitätsnachweis. Die Pflichten des Art. 50 KI-VO gelten unabhängig von einer Unterzeichnung ab dem 2. August 2026.

    Abschnitt 1 richtet sich an Anbieter generativer KI-Systeme und verlangt eine maschinenlesbare Markierung sowie eine zugehörige Erkennungslösung. Abschnitt 2 richtet sich an Betreiber und regelt die sichtbare Kennzeichnung von Deepfakes und veröffentlichten Texten über ein frei verfügbares EU-Icon. Unternehmen, die den Kodex zeichnen wollen, reichen das Formular für die Erstunterzeichnerliste bis zum 22. Juli 2026 ein. Ergänzende Leitlinien der Kommission zur Auslegung des Art. 50 KI-VO werden erwartet.

    Veröffentlicht
    10. Juni 2026
    Pflichten ab
    2. August 2026
    Rechtscharakter
    Freiwillig
    Interoperable Erkennung
    bis 2. Februar 2027
    Art. 99 · Sanktionsregime

    Bußgelder — abgestuft, aber empfindlich.

    Der AI Act verzichtet bewusst auf einen Pauschalrahmen. Die Höhe richtet sich nach Verstoß und Unternehmensgröße — und liegt im Ernstfall in DSGVO-Größenordnung. Für KMU und Start-ups gilt der jeweils niedrigere Wert.

    35 Mio. €
    Verbotene KI-Praktiken
    Art. 5 AI Act
    7 % Umsatz
    15 Mio. €
    Hochrisiko-Pflichtverstöße
    Art. 16 ff. AI Act
    3 % Umsatz
    7,5 Mio. €
    Falsche / irreführende Auskünfte
    Art. 99 Abs. 5
    1 % Umsatz
    Die Kanzlei · 06

    Heidrich Rechtsanwälte — Beratung an der Schnittstelle Technik / Recht.

    Heidrich Rechtsanwälte in Hannover ist seit über zwei Jahrzehnten auf IT-Recht spezialisiert und berät seit Beginn der europäischen KI-Regulierung schwerpunktmäßig zum KI-Recht.

    Wir verstehen uns als Dolmetscher zwischen den unterschiedlichen Sprachen und Denkweisen der Technik und des Rechts. Die KI-Regulierung ist genau dieser Schnittpunkt: ohne technisches Verständnis bleibt sie Buchstabe, ohne juristische Tiefe wird sie zum Risiko.

    Unsere Erfahrung umfasst die prozessuale Vertretung in Grundsatzverfahren zum KI-Recht (Kneschke ./. LAION e.V., LG Hamburg, OLG Hamburg, derzeit BGH I ZR 281/25), die Erstellung von KI-Compliance-Konzepten für Mittelstand und Konzerne sowie Fachpublikationen und Vorträge für c't, heise online und Konferenzen wie IT Defense, KI Forum Nord und data2day.

    Mit dem Buch „Rechtsleitfaden KI im Unternehmen" (Rheinwerk) und dem Podcast „Auslegungssache" übersetzen wir AI-Act-Praxis in operationalisierbares Wissen.

    FAQ · 08

    Häufig gestellte Fragen.

    Kompakte Antworten zu den Fragen, mit denen Mandanten in den ersten Gesprächen am häufigsten kommen.

    Gilt der AI Act auch für mein Unternehmen?

    Die Verordnung (EU) 2024/1689 verfolgt einen weiten Anwendungsbereich. Erfasst sind alle Unternehmen, die KI-Systeme in der EU anbieten, in Betrieb nehmen oder deren Output in der EU verwenden — unabhängig vom Sitz. Die Verordnung unterscheidet zwischen Anbietern (Art. 3 Nr. 3) und Betreibern (Art. 3 Nr. 4).

    Auch wer lediglich Tools von OpenAI, Google oder Microsoft einsetzt, unterliegt als Betreiber den einschlägigen Pflichten — von der KI-Kompetenz nach Art. 4 über Transparenz nach Art. 50 bis zu den Hochrisiko-Pflichten nach Art. 26. Eng definierte Ausnahmen sieht die Verordnung in Art. 2 Abs. 3 KI-VO (militärische, Verteidigungs- und nationale Sicherheitszwecke) und Art. 2 Abs. 10 KI-VO (rein persönliche, nicht-berufliche Nutzung durch natürliche Personen) vor; daneben sind nach Art. 2 Abs. 6 und 8 KI-VO ausschließliche Forschungs- und Entwicklungstätigkeiten privilegiert.

    Ist ChatGPT ein Hochrisiko-KI-System?

    ChatGPT ist als General-Purpose-AI (GPAI) nicht automatisch Hochrisiko. Für das Modell selbst greifen die GPAI-Pflichten nach Art. 53 KI-VO (technische Dokumentation, Informationen für nachgelagerte Anbieter, urheberrechtliche Compliance-Strategie, Zusammenfassung der Trainingsdaten) — bei systemischem Risiko i.S.d. Art. 51 KI-VO zusätzlich Modellbewertungen, Vorfallmeldepflichten und Cybersicherheitsanforderungen nach Art. 55 Abs. 1 KI-VO.

    Entscheidend ist der Einsatzkontext beim Betreiber: ChatGPT in der Bewerbervorauswahl (Anhang III Nr. 4) oder in der Kreditwürdigkeitsprüfung (Anhang III Nr. 5 lit. b) löst die vollen Hochrisiko-Pflichten aus. Eine sorgfältige Einzelfallprüfung ist unverzichtbar.

    Was passiert bei Fristverstößen?

    Das Sanktionsregime gehört zu den schärfsten im Unionsrecht: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken (Art. 5), bis 15 Mio. € / 3 % bei Hochrisiko-Verstößen, bis 7,5 Mio. € / 1 % bei falschen Auskünften an Behörden. Für KMU gilt jeweils der niedrigere Wert.

    Bei Verstößen drohen darüber hinaus Markttätigkeits-Untersagungen, Rückrufe und Reputationsschäden — und Anschluss-Verfahren wegen DSGVO- oder UWG-Verstößen.

    Muss ich KI-generierte Texte auf meiner Website kennzeichnen?

    Nach Art. 50 Abs. 4 müssen Betreiber offenlegen, wenn der Öffentlichkeit veröffentlichte Inhalte mittels KI erzeugt oder manipuliert wurden. Die Pflicht entfällt, wenn die Inhalte einer menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und eine natürliche oder juristische Person die redaktionelle Verantwortung trägt. Die Abgrenzung im Einzelfall ist streitig.

    Der Code of Practice vom 10. Juni 2026 empfiehlt für die Kennzeichnung das frei verfügbare EU-Icon (Varianten AI, AI GENERATED und AI MODIFIED), platziert etwa nahe der Überschrift oder im Kolophon des Textes. Wir definieren mit Ihnen praxistaugliche Hinweistexte, Schwellen und Trigger-Logiken und integrieren sie in CMS und Redaktionsprozesse.

    Was ist der Code of Practice zur Kennzeichnung KI-generierter Inhalte?

    Der am 10. Juni 2026 final veröffentlichte Code of Practice on Transparency of AI-Generated Content konkretisiert die Transparenzpflichten des Art. 50 KI-VO. Er ist freiwillig, seine Befolgung gilt ausdrücklich nicht als abschließender Konformitätsnachweis.

    Abschnitt 1 betrifft Anbieter (maschinenlesbare Markierung und Erkennung nach Art. 50 Abs. 2), Abschnitt 2 betrifft Betreiber (Kennzeichnung von Deepfakes und veröffentlichten Texten nach Art. 50 Abs. 4) und stellt ein frei verfügbares EU-Icon bereit. Die Pflichten des Art. 50 KI-VO gelten unabhängig von einer Unterzeichnung ab dem 2. August 2026.

    Was bedeutet die KI-Kompetenzpflicht nach Art. 4?

    Art. 4 verpflichtet Anbieter und Betreiber, die KI-Kompetenz ihres Personals und der mit KI-Aufgaben betrauten Dienstleister sicherzustellen. Die Pflicht gilt seit dem 02.02.2025 — risikostufenunabhängig, also auch außerhalb des Hochrisiko-Bereichs.

    Wir liefern modulare Schulungen für Geschäftsführung, IT, HR und Fachbereiche — dokumentiert und auditfest.

    Wie schneidet sich der AI Act mit der DSGVO?

    AI Act und DSGVO stehen nebeneinander: Datenschutzrechtliche Anforderungen bleiben unberührt. In der Praxis verschränken sich beide Regime — Rechtsgrundlage für Trainingsdaten, DSFA für Hochrisiko-KI, Art. 22 DSGVO bei automatisierten Entscheidungen, Art. 27 AI Act für die Grundrechtefolgenabschätzung.

    Wir führen beide Stränge zusammen — und greifen, wo nötig, auf unsere Datenschutz-Tochtergesellschaft zurück.

    Wer ist die zuständige Aufsicht in Deutschland?

    Die nationale Marktüberwachungsstruktur ist in Deutschland Gegenstand des Gesetzgebungsverfahrens zum KI-Marktüberwachungs- und Innovationsförderungsgesetz. Vorgesehen ist, dass Bundesnetzagentur (mit angegliederter KI-Servicestelle) und die Datenschutzaufsichten tragende Rollen übernehmen, ergänzt um sektorale Aufsichten (BaFin, BSI, BfArM). Auf Unionsebene koordiniert das AI Office bei der EU-Kommission.

    Kontakt · 09

    Sprechen Sie uns an.

    Unverbindliches Erstgespräch in der Regel innerhalb eines Werktages. Keine Pauschalangebote — wir melden uns nach kurzer Sichtung Ihrer Anfrage.

    Heidrich Rechtsanwälte PartG mbB

    Adresse
    Prinzenstr. 3
    30159 Hannover
    Öffnungszeiten
    Mo–Do 08:30–17:30
    Fr 08:30–15:30

    AI-Act-Beratung anfragen

    Wir melden uns in der Regel innerhalb eines Werktages zurück.

    Pflichtfelder sind mit * markiert. Ihre Angaben werden ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet.