KI-Recht · An der Schnittstelle Technik & Recht.// AI Act · GPAI · Hochrisiko · Kennzeichnungspflichten
Wir beraten Unternehmen an der Schnittstelle von Technik und
Recht zur EU-KI-Verordnung — von der Risikoklassifizierung über die
Hochrisiko-Architektur bis zur Kennzeichnung KI-generierter Inhalte.
Anwaltlich. Technisch fundiert. Mit Mandaten in Grundsatzverfahren zum
KI-Recht.
Pflichten Art. 4 & 5 aktivHochrisiko ab 02.12.2027GPAI ab 02.08.2025Bußgeld bis 35 Mio. €
RisikoklassifizierungHochrisiko-ComplianceArt. 50 KennzeichnungGPAI & Foundation ModelsGrundrechtefolgenabschätzungKI-Schulungen Art. 4
Fahrplan · 01
Der AI Act gilt gestaffelt — wer jetzt nicht handelt, handelt zu spät.
Mehrere gestaffelte Stichtage trennen die
Verkündung der KI-VO vom voll anwendbaren Recht. Mit der politischen
Einigung zum KI-Omnibus vom 07.05.2026 hat sich der Zeitplan
substantiell verschoben — die wichtigsten Hochrisiko-Pflichten greifen
erst ab 02.12.2027 bzw. 02.08.2028. Wir sortieren, welche Pflichten für
Ihr Unternehmen wann scharfgeschaltet werden, und wo der Aufwand
realistisch zu beziffern ist. Solange die formelle Annahme durch EP und
Rat aussteht und der Omnibus nicht im Amtsblatt veröffentlicht ist,
gelten rechtlich die ursprünglichen Stichtage der KI-VO fort.
01
02.02.2025 · live
Verbote & KI-Kompetenz
Art. 5: verbotene Praktiken (Social Scoring, manipulative KI). Art. 4: Pflicht zur KI-Kompetenz für Anbieter und Betreiber.
Art. 4Art. 5
02
02.08.2025 · live
GPAI & Governance
Pflichten für Anbieter von General-Purpose-AI. Notifizierung. Sanktionsregime der Mitgliedstaaten gilt.
Art. 51 ff.Art. 99
03
02.08.2026 · Transparenz Art. 50 (neue Systeme)
Art. 50 Transparenz
Chatbot-Hinweispflicht (Abs. 1), Deepfake-Kennzeichnung
(Abs. 4), Emotionserkennungs-Hinweis (Abs. 3) bleiben unverändert ab
02.08.2026 anwendbar. Für Watermarking nach Abs. 2 (Bestandssysteme)
gilt eine Übergangsfrist bis 02.12.2026.
Art. 50Art. 113
04
02.12.2026 · neue Stichtage Omnibus
NCIM/CSAM-Verbot & Watermarking
Neues Verbot generativer KI-Systeme für
nicht-einvernehmliche intime Inhalte und kindliche
Missbrauchsdarstellungen (Art. 5). Watermarking-Übergangsfrist für
Bestandssysteme nach Art. 50 Abs. 2 endet.
Art. 5Art. 50 Abs. 2
05
02.12.2027 · Anhang III (nach Omnibus)
Hochrisiko stand-alone
Pflichten für Hochrisiko-KI nach Anhang III (Biometrie,
kritische Infrastruktur, Bildung, Beschäftigung, essentielle Dienste,
Strafverfolgung, Migration, Justiz) werden anwendbar. Verschoben vom
ursprünglich vorgesehenen 02.08.2026.
Art. 6 Abs. 2Anhang III
06
02.08.2028 · Anhang I (nach Omnibus)
Hochrisiko eingebettet
Pflichten für Hochrisiko-KI als Sicherheitskomponente
regulierter Produkte (Medizinprodukte, Spielzeug, Aufzüge, Funkanlagen).
Maschinen unterliegen einem Sonderregime. Verschoben vom 02.08.2027.
Art. 6 Abs. 1Anhang I
07
02.08.2030 · 31.12.2030
Altsysteme öffentl. Sektor & EU
Hochrisiko-KI-Bestandssysteme öffentlicher Stellen bis
02.08.2030 (Art. 111 Abs. 3 KI-VO) anzupassen; in Anhang X genannte
EU-Großsysteme erst zum 31.12.2030 (Art. 111 Abs. 1). Vom Omnibus nicht
erkennbar erfasst.
Art. 111 Abs. 1Art. 111 Abs. 3
2025 / 2026
// heute · 20.06.2026
2027 / 2028
2030
Leistungen · 02
Beratung entlang des AI-Act-Lebenszyklus.
Vom AI-Inventar über die Risikoklassifizierung bis zur laufenden Compliance — anwaltlich verantwortet, mit technischer Tiefe.
01 / 08
Risikoklassifizierung & AI-Inventar
Systematische Einordnung Ihrer KI-Systeme in die vier
Risikoklassen des AI Act. Wir kartieren Ihre Anwendungslandschaft,
prüfen Hochrisiko-Tatbestände nach Art. 6 i.V.m. Anhang III und liefern
eine belastbare Klassifizierungs-Matrix als Grundlage für alle weiteren
Compliance-Schritte.
FRIA nach Art. 27 KI-VO für Einrichtungen des öffentlichen
Rechts, für private Stellen, die öffentliche Dienste erbringen, sowie
für Betreiber von Hochrisiko-KI nach Anhang III Nr. 5 lit. b und c
(Kreditwürdigkeit; Lebens- und Krankenversicherung).
Vertretung gegenüber der noch zu benennenden nationalen
AI-Aufsicht, dem AI Office und in Bußgeldverfahren — durch die
Mutterkanzlei mit fachanwaltlicher Erfahrung im IT-Recht und in
Grundsatzverfahren zum KI-Recht.
Chatbots, synthetische Inhalte, Deepfakes, Emotionserkennung — Kennzeichnungs- und Hinweispflichten.
02.08.2026· anwendbar
Tier 04
Minimales Risiko
Art. 95 KI-VO (freiwillige Codes)
Spam-Filter, Sortier-Algorithmen,
einfache Empfehlungssysteme — keine spezifischen Pflichten der KI-VO;
freiwillige Verhaltenskodizes nach Art. 95 KI-VO möglich (vgl. ErwGr.
165).
—· keine Frist
Schnellcheck · 04
In fünf Schritten zur Ersteinschätzung.
Eine kompakte Triage Ihrer KI-Anwendung
gegen die Risikologik des AI Act. Ersetzt keine Rechtsberatung — taugt
als belastbare Vorbereitung des Erstgesprächs.
// 01 / 05 — rolle()
Welche Rolle übernimmt Ihr Unternehmen?
Art. 3 Nr. 3 / 4 AI Act — Anbieter, Betreiber oder beides.
Anbieter — wir entwickeln oder vertreiben ein KI-System unter eigenem Namen.
Betreiber — wir setzen ein KI-System eines Drittanbieters ein.
Beides — Eigenentwicklung und produktiver Einsatz.
// 02 / 05 — domain()
In welchem Bereich setzen Sie KI ein?
Anhang III definiert die Hochrisiko-Bereiche abschließend.
Hinweis · Der Schnellcheck ersetzt keine Rechtsberatung. Er dient der Orientierung.
Art. 50 · 05
Kennzeichnung KI-generierter Inhalte.
Art. 50 etabliert Transparenzpflichten für Anbieter und Betreiber, ab dem 2. August 2026 verbindlich. Wir prüfen, was kennzeichnungspflichtig ist und wie das Hinweissystem rechtskonform und nutzbar implementiert wird. Der finale Code of Practice vom 10. Juni 2026 konkretisiert die Anforderungen.
01
Art. 50 Abs. 1
Interaktion mit KI-Systemen
Anbieter müssen KI-Systeme, die für die direkte Interaktion
mit natürlichen Personen bestimmt sind, so konzipieren und entwickeln,
dass die betreffenden Personen darüber informiert werden, dass sie mit
einem KI-System interagieren — sofern dies nicht aus den Umständen
offensichtlich ist.
02
Art. 50 Abs. 2 · Abs. 4
Synthetische Inhalte & Deepfakes
Anbieter müssen synthetische Audio-, Bild-, Video- und Textinhalte maschinenlesbar als künstlich erzeugt markieren. Der Code of Practice sieht hierfür zwei Markierungsebenen vor, digital signierte Metadaten und ein unsichtbares Wasserzeichen. Betreiber müssen die KI-Erzeugung gegenüber dem Publikum offenlegen, etwa über das frei verfügbare EU-Icon.
03
Art. 50 Abs. 3
Emotionserkennung & Biometrie
Wer Emotionserkennungs- oder biometrische
Kategorisierungssysteme einsetzt, muss betroffene Personen ausdrücklich
informieren — und die DSGVO einhalten.
04
Art. 50 Abs. 2 a.E. · Abs. 4
Ausnahmen
Reine Bearbeitungs- und Hilfsfunktionen sind privilegiert.
Ausnahmen bestehen für Strafverfolgung sowie künstlerische und
satirische Werke unter Wahrung der Persönlichkeitsrechte.
05
Stand der Technik
Technische Umsetzung
Kennzeichnung muss nach dem Stand der Technik erfolgen und maschinenlesbar sein. Harmonisierte Normen und ergänzende Leitlinien der Kommission präzisieren dies fortlaufend. Eine interoperable Erkennungslösung sieht der Code of Practice bis zum 2. Februar 2027 vor.
06
Heidrich · Implementierung
Unsere Beratung
Wir prüfen Ihren Content-Stack auf Kennzeichnungspflichten,
definieren Hinweistexte und Trigger-Logiken und begleiten die
Integration in Redaktions-, App- und Produktworkflows.
Praxisleitfaden · Code of Practice
Was der Code of Practice vom 10. Juni 2026 für Sie bedeutet.
Der finale Code of Practice on Transparency of AI-Generated Content konkretisiert die Pflichten des Art. 50 KI-VO. Er ist freiwillig, seine Befolgung gilt ausdrücklich nicht als abschließender Konformitätsnachweis. Die Pflichten des Art. 50 KI-VO gelten unabhängig von einer Unterzeichnung ab dem 2. August 2026.
Abschnitt 1 richtet sich an Anbieter generativer KI-Systeme und verlangt eine maschinenlesbare Markierung sowie eine zugehörige Erkennungslösung. Abschnitt 2 richtet sich an Betreiber und regelt die sichtbare Kennzeichnung von Deepfakes und veröffentlichten Texten über ein frei verfügbares EU-Icon. Unternehmen, die den Kodex zeichnen wollen, reichen das Formular für die Erstunterzeichnerliste bis zum 22. Juli 2026 ein. Ergänzende Leitlinien der Kommission zur Auslegung des Art. 50 KI-VO werden erwartet.
Veröffentlicht
10. Juni 2026
Pflichten ab
2. August 2026
Rechtscharakter
Freiwillig
Interoperable Erkennung
bis 2. Februar 2027
Art. 99 · Sanktionsregime
Bußgelder — abgestuft, aber empfindlich.
Der AI Act verzichtet bewusst auf einen Pauschalrahmen. Die
Höhe richtet sich nach Verstoß und Unternehmensgröße — und liegt im
Ernstfall in DSGVO-Größenordnung. Für KMU und Start-ups gilt der jeweils
niedrigere Wert.
35 Mio. €
Verbotene KI-Praktiken Art. 5 AI Act
7 % Umsatz
15 Mio. €
Hochrisiko-Pflichtverstöße Art. 16 ff. AI Act
3 % Umsatz
7,5 Mio. €
Falsche / irreführende Auskünfte Art. 99 Abs. 5
1 % Umsatz
Die Kanzlei · 06
Heidrich Rechtsanwälte — Beratung an der Schnittstelle Technik / Recht.
Heidrich Rechtsanwälte in Hannover ist seit
über zwei Jahrzehnten auf IT-Recht spezialisiert und berät seit Beginn
der europäischen KI-Regulierung schwerpunktmäßig zum KI-Recht.
Wir verstehen uns als Dolmetscher zwischen den unterschiedlichen Sprachen und Denkweisen der Technik und des Rechts.
Die KI-Regulierung ist genau dieser Schnittpunkt: ohne technisches
Verständnis bleibt sie Buchstabe, ohne juristische Tiefe wird sie zum
Risiko.
Unsere Erfahrung umfasst die prozessuale Vertretung in Grundsatzverfahren zum KI-Recht (Kneschke ./. LAION e.V., LG Hamburg, OLG Hamburg, derzeit BGH I ZR 281/25), die Erstellung von KI-Compliance-Konzepten für Mittelstand und Konzerne sowie Fachpublikationen und Vorträge für c't, heise online und Konferenzen wie IT Defense, KI Forum Nord und data2day.
Kompakte Antworten zu den Fragen, mit denen Mandanten in den ersten Gesprächen am häufigsten kommen.
Gilt der AI Act auch für mein Unternehmen?
Die Verordnung (EU) 2024/1689 verfolgt einen weiten Anwendungsbereich. Erfasst sind alle Unternehmen, die KI-Systeme in der EU anbieten, in Betrieb nehmen oder deren Output in der EU verwenden — unabhängig vom Sitz. Die Verordnung unterscheidet zwischen Anbietern (Art. 3 Nr. 3) und Betreibern (Art. 3 Nr. 4).
Auch wer lediglich Tools von OpenAI, Google oder Microsoft
einsetzt, unterliegt als Betreiber den einschlägigen Pflichten — von der
KI-Kompetenz nach Art. 4 über Transparenz nach Art. 50 bis zu den
Hochrisiko-Pflichten nach Art. 26. Eng definierte Ausnahmen sieht die
Verordnung in Art. 2 Abs. 3 KI-VO (militärische, Verteidigungs- und nationale Sicherheitszwecke) und Art. 2 Abs. 10 KI-VO
(rein persönliche, nicht-berufliche Nutzung durch natürliche Personen)
vor; daneben sind nach Art. 2 Abs. 6 und 8 KI-VO ausschließliche
Forschungs- und Entwicklungstätigkeiten privilegiert.
Ist ChatGPT ein Hochrisiko-KI-System?
ChatGPT ist als General-Purpose-AI (GPAI) nicht automatisch Hochrisiko. Für das Modell selbst greifen die GPAI-Pflichten nach Art. 53 KI-VO
(technische Dokumentation, Informationen für nachgelagerte Anbieter,
urheberrechtliche Compliance-Strategie, Zusammenfassung der
Trainingsdaten) — bei systemischem Risiko i.S.d. Art. 51 KI-VO zusätzlich Modellbewertungen, Vorfallmeldepflichten und Cybersicherheitsanforderungen nach Art. 55 Abs. 1 KI-VO.
Entscheidend ist der Einsatzkontext beim Betreiber:
ChatGPT in der Bewerbervorauswahl (Anhang III Nr. 4) oder in der
Kreditwürdigkeitsprüfung (Anhang III Nr. 5 lit. b) löst die vollen
Hochrisiko-Pflichten aus. Eine sorgfältige Einzelfallprüfung ist
unverzichtbar.
Was passiert bei Fristverstößen?
Das Sanktionsregime gehört zu den schärfsten im Unionsrecht: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
bei verbotenen Praktiken (Art. 5), bis 15 Mio. € / 3 % bei
Hochrisiko-Verstößen, bis 7,5 Mio. € / 1 % bei falschen Auskünften an
Behörden. Für KMU gilt jeweils der niedrigere Wert.
Bei Verstößen drohen darüber hinaus Markttätigkeits-Untersagungen, Rückrufe und Reputationsschäden — und Anschluss-Verfahren wegen DSGVO- oder UWG-Verstößen.
Muss ich KI-generierte Texte auf meiner Website kennzeichnen?
Nach Art. 50 Abs. 4 müssen Betreiber offenlegen, wenn der Öffentlichkeit veröffentlichte Inhalte mittels KI erzeugt oder manipuliert wurden. Die Pflicht entfällt, wenn die Inhalte einer menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und eine natürliche oder juristische Person die redaktionelle Verantwortung trägt. Die Abgrenzung im Einzelfall ist streitig.
Der Code of Practice vom 10. Juni 2026 empfiehlt für die Kennzeichnung das frei verfügbare EU-Icon (Varianten AI, AI GENERATED und AI MODIFIED), platziert etwa nahe der Überschrift oder im Kolophon des Textes. Wir definieren mit Ihnen praxistaugliche Hinweistexte, Schwellen und Trigger-Logiken und integrieren sie in CMS und Redaktionsprozesse.
Was ist der Code of Practice zur Kennzeichnung KI-generierter Inhalte?
Der am 10. Juni 2026 final veröffentlichte Code of Practice on Transparency of AI-Generated Content konkretisiert die Transparenzpflichten des Art. 50 KI-VO. Er ist freiwillig, seine Befolgung gilt ausdrücklich nicht als abschließender Konformitätsnachweis.
Abschnitt 1 betrifft Anbieter (maschinenlesbare Markierung und Erkennung nach Art. 50 Abs. 2), Abschnitt 2 betrifft Betreiber (Kennzeichnung von Deepfakes und veröffentlichten Texten nach Art. 50 Abs. 4) und stellt ein frei verfügbares EU-Icon bereit. Die Pflichten des Art. 50 KI-VO gelten unabhängig von einer Unterzeichnung ab dem 2. August 2026.
Was bedeutet die KI-Kompetenzpflicht nach Art. 4?
Art. 4 verpflichtet Anbieter und Betreiber, die KI-Kompetenz
ihres Personals und der mit KI-Aufgaben betrauten Dienstleister
sicherzustellen. Die Pflicht gilt seit dem 02.02.2025 —
risikostufenunabhängig, also auch außerhalb des Hochrisiko-Bereichs.
Wir liefern modulare Schulungen für Geschäftsführung, IT, HR und Fachbereiche — dokumentiert und auditfest.
Wie schneidet sich der AI Act mit der DSGVO?
AI Act und DSGVO stehen nebeneinander:
Datenschutzrechtliche Anforderungen bleiben unberührt. In der Praxis
verschränken sich beide Regime — Rechtsgrundlage für Trainingsdaten,
DSFA für Hochrisiko-KI, Art. 22 DSGVO bei automatisierten
Entscheidungen, Art. 27 AI Act für die Grundrechtefolgenabschätzung.
Wir führen beide Stränge zusammen — und greifen, wo nötig, auf unsere Datenschutz-Tochtergesellschaft zurück.
Wer ist die zuständige Aufsicht in Deutschland?
Die nationale Marktüberwachungsstruktur ist in Deutschland
Gegenstand des Gesetzgebungsverfahrens zum KI-Marktüberwachungs- und
Innovationsförderungsgesetz. Vorgesehen ist, dass Bundesnetzagentur (mit angegliederter KI-Servicestelle) und die Datenschutzaufsichten tragende Rollen übernehmen, ergänzt um sektorale Aufsichten (BaFin, BSI, BfArM). Auf Unionsebene koordiniert das AI Office bei der EU-Kommission.
Kontakt · 09
Sprechen Sie uns an.
Unverbindliches Erstgespräch in der Regel
innerhalb eines Werktages. Keine Pauschalangebote — wir melden uns nach
kurzer Sichtung Ihrer Anfrage.