KI Telekommunikation Regulierung: EU KI-Verordnung, DSGVO und TKG 2021

Kurzantwort

Telekommunikationsunternehmen in Deutschland unterliegen drei KI-Regulierungsebenen: EU KI-Verordnung mit Hochrisikopflichten ab August 2026, DSGVO für jede KI, die Teilnehmerdaten verarbeitet, und TKG 2021 mit sektorspezifischen Netz- und Datenpflichten.

• EU KI-Verordnung Hochrisikopflichten ab August 2026 — Scoring, Betrugserkennung und kritische Netz-KI im Anwendungsbereich
• DSGVO Art. 22 schränkt automatisierte Profilbildung von Teilnehmern ein — Kunden haben ein Recht auf menschliche Überprüfung
• TKG 2021 fügt sektorspezifische Datensparsamkeit, Netzneutralität und Sicherheitspflichten für KI-Systeme hinzu

Telekommunikationsunternehmen in Deutschland stehen vor einer dreischichtigen KI-Regulierung: der EU KI-Verordnung (Verordnung (EU) 2024/1689) mit verbindlichen Hochrisikopflichten ab August 2026, der DSGVO für jede KI, die personenbezogene Teilnehmerdaten verarbeitet, und dem Telekommunikationsgesetz 2021 (TKG 2021) mit sektorspezifischen Netz- und Datenpflichten. Diese drei Regelwerke wirken parallel und überschneiden sich — Compliance erfordert daher einen integrierten Ansatz, keine drei getrennten Workstreams.

Dieser Leitfaden erklärt, welche KI-Regulierung für Telekommunikationsunternehmen gilt, welche Anwendungsfälle als hochriskant einzustufen sind, wie DSGVO und TKG 2021 mit der EU KI-Verordnung zusammenwirken, und welche konkreten Schritte Betreiber vor der August-2026-Frist einleiten sollten.

EU KI-Verordnung: Welche Telekommunikations-KI ist hochriskant?

Die Telekommunikation gehört zu den KI-intensivsten Branchen der europäischen Wirtschaft. Ob Deutsche Telekom, Vodafone Deutschland, 1&1 oder Telefónica Deutschland — nahezu alle großen Netzbetreiber setzen KI breitflächig ein: in der Netzoptimierung, Betrugserkennung, Kundenbetreuung und im Kreditscoring. Die EU KI-Verordnung differenziert stark nach Funktion und Auswirkung dieser Systeme.

Betrugserkennungssysteme und Netzanomaliedetektion

KI-gestützte Betrugserkennung, die automatisch Konten sperrt, SIM-Karten deaktiviert oder Dienste auf Basis verhaltensbasierter Analysen einschränkt, kann als hochriskant eingestuft werden, wenn sie vollstreckbare Entscheidungen trifft, die den Zugang von Personen zu Telekommunikationsdiensten berühren. Gemäß Anhang III sind KI-Systeme, die bei Kredit- und Zugangsentscheidungen für wesentliche Dienste eingesetzt werden, ausdrücklich als hochriskant klassifiziert.

Wenn Ihr Betrugserkennungssystem Kundenkonten ohne verpflichtende menschliche Überprüfung sperren oder kündigen kann, benötigen Sie eine vollständige Hochrisiko-Compliance: dokumentiertes Risikomanagement, Bias-Tests, Erklärungsmechanismen und Protokollierung jeder automatisierten Entscheidung.

Kreditwürdigkeitsprüfung für Postpaid-Verträge

KI zur Bewertung der Kreditwürdigkeit von Kunden für Postpaid-Verträge, Gerätefinanzierung oder gewerbliche Dienstleistungsverträge ist gemäß Anhang III Nummer 5b der EU KI-Verordnung als hochriskant klassifiziert. Mehr dazu in unserem Leitfaden zu KI-Kreditwürdigkeitsprüfung. Das gilt unabhängig davon, ob Sie ein externes Bonitätsprüfungssystem oder ein unternehmensinternes Scoring-Modell verwenden. Das entscheidende Kriterium ist, ob die KI eine folgenreiche Entscheidung über eine natürliche Person trifft oder maßgeblich beeinflusst.

Netzoptimierung und kritische Infrastruktur-KI

KI zur Steuerung des Netzverkehrs, Bandbreitenzuweisung oder Quality-of-Service-Priorisierung bewegt sich in einem differenzierten Bereich. Wenn die KI kritische Infrastruktur verwaltet — also Systeme, deren Ausfall oder Beeinträchtigung erhebliche Folgen für die öffentliche Sicherheit oder wesentliche Dienste hätte — kann sie gemäß Anhang III Nummer 2 als hochriskant eingestuft werden.

Die entscheidende Frage lautet: Trifft diese KI autonome Entscheidungen, die Dienstausfälle mit Auswirkungen auf wesentliche Dienste verursachen könnten? Falls ja, behandeln Sie das System als potenziell hochriskant. Die Überschneidung mit den KRITIS-Pflichten nach deutschem Recht ist hier besonders relevant.

Automatisierter Kundendienst: Chatbots und IVR

KI-gestützte Chatbots und automatische Sprachdialogsysteme (IVR) werden nicht als hochriskant klassifiziert, unterliegen aber den verpflichtenden Transparenzpflichten nach Artikel 50 der EU KI-Verordnung. Jedes System, das mit Kunden interagiert und dabei wie ein Mensch wirkt, muss seinen KI-Charakter klar und zu Beginn der Interaktion offenlegen.

Für Telekommunikationsunternehmen gilt dies für Kundensupport-Chatbots, KI-Sprachassistenten in Callcentern, automatisierte Beschwerdemanagementsysteme und IVR-Systeme mit KI-generierter Sprache. Mehr dazu in unserem Leitfaden zu KI im Kundenservice.

August-2026-Frist: Was Netzbetreiber jetzt tun müssen

Die EU KI-Verordnung ist am 1. August 2024 in Kraft getreten. Die für Telekommunikationsunternehmen relevantesten Hochrisikopflichten gelten ab dem 2. August 2026 für neue Systeme und ab dem 2. August 2027 für bereits im Betrieb befindliche Systeme. Die August-2026-Frist ist keine ferne Deadline — vollständige Compliance erfordert erheblichen organisatorischen und technischen Vorlauf.

Frist	Anforderung
2. Februar 2025	Verbotene KI-Praktiken müssen eingestellt werden
2. August 2025	Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) gelten
2. August 2026	Hochrisiko-KI-Pflichten vollständig anwendbar (Anhang III)
2. August 2026	EU-KI-Datenbank-Registrierung für neue Hochrisiko-Systeme verpflichtend
2. August 2027	Pflichten gelten auch für bereits in Betrieb befindliche Hochrisiko-Systeme

Hochrisiko-Compliance nach Kapitel III

Bei einem Hochrisiko-KI-System müssen Telekommunikationsunternehmen vor der Inbetriebnahme Kapitel III der EU KI-Verordnung erfüllen. Die Pflichten treffen primär den Betreiber — also das Telekommunikationsunternehmen, nicht den KI-Systemanbieter:

1. Risikomanagementsystem — dokumentierte, fortlaufende Bewertung der Risiken über den gesamten Lebenszyklus
2. Datenverwaltung — Datenqualitätsstandards, Bias-Analyse und Dokumentation von Trainingsdatenquellen
3. Technische Dokumentation — vollständige technische Unterlagen gemäß Anhang IV
4. Aufzeichnungspflichten — automatische Protokollierung von Systemeingaben, Ausgaben und Entscheidungsparametern
5. Transparenz — Informationen für Betreiber und betroffene natürliche Personen
6. Menschliche Aufsicht — wirksame Mechanismen zur Überprüfung, Korrektur und Unterbrechung des KI-Systems
7. Genauigkeit und Robustheit — geprüfte Leistungsbenchmarks und Cybersicherheitsmaßnahmen
8. EU-Registrierung — Eintragung in die EU-KI-Datenbank vor Inbetriebnahme (verpflichtend ab August 2026)

KI-Modelle mit allgemeinem Verwendungszweck (GPAI)

Ab dem 2. August 2025 gelten zusätzliche Pflichten für KI-Modelle mit allgemeinem Verwendungszweck, die in Telekommunikationsprodukten eingebettet sind. Wer ein GPAI-Modell wie GPT-4 oder Gemini in eigenen Produkten einsetzt, muss adversarielle Tests durchführen, technische Dokumentation pflegen und nachgelagerten Nutzern ausreichende Informationen zur eigenen Compliance bereitstellen.

Unsere Übersicht zur EU KI-Verordnung August-2026-Frist gibt eine vollständige Aufstellung aller Compliance-Fristen nach Pflichttyp.

DSGVO und KI in der Telekommunikation

Nahezu jedes KI-System eines Telekommunikationsunternehmens verarbeitet personenbezogene Daten — Teilnehmerkennungen, Netznutzungsprofile, Verbindungsmetadaten, Standortsignale oder Verhaltensprofile. Damit gilt die EU KI-Verordnung parallel zu bereits bestehenden DSGVO-Pflichten. Die Wechselwirkung ist direkt: Artikel 22 DSGVO zu automatisierten Entscheidungen überschneidet sich unmittelbar mit den Transparenz- und Aufsichtsanforderungen der EU KI-Verordnung.

Verbindungsdaten und Verkehrsdaten als personenbezogene Daten

Verkehrsdaten und Standortdaten, die bei der Kommunikation entstehen, sind personenbezogene Daten nach DSGVO und besonders geschützte Kommunikationsdaten nach TKG 2021. KI-Systeme, die Netzmetadaten für Betrugserkennung, Profilbildung oder Dienstoptimierung analysieren, verarbeiten personenbezogene Daten und müssen DSGVO-Grundsätze zur Datensparsamkeit, Zweckbindung und Speicherbegrenzung einhalten.

Besonders kritisch: KI-Systeme, die langfristige Verhaltensprofile auf Basis aggregierter Nutzungsmuster erstellen. Auch wenn einzelne Transaktionen anonymisiert sind, kann eine Musteranalyse, die Rückschlüsse auf Individuen erlaubt, DSGVO-Pflichten auslösen.

Profilbildung und Artikel 22 DSGVO

Artikel 22 DSGVO gibt Personen das Recht, nicht ausschließlich auf der Grundlage einer automatisierten Verarbeitung — einschließlich Profiling — einer Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Für Telekommunikationsunternehmen betrifft das:

• Automatisierte Ablehnung eines Postpaid-Vertragsantrags
• KI-gesteuerte Entscheidungen zur Diensteaussetzung, -herabstufung oder Kündigung
• Automatisierte Abwanderungsvorhersage (Churn Prediction), die Vertragsinterventionen auslöst
• Kreditrisikoscoring-Entscheidungen, die den Zugang zu Gerätefinanzierung betreffen

Wo Artikel 22 DSGVO greift, müssen Telekommunikationsunternehmen eine Rechtsgrundlage nachweisen (in der Regel ausdrückliche Einwilligung oder Vertragserfüllung), sicherstellen, dass die betroffene Person eine menschliche Überprüfung der automatisierten Entscheidung verlangen kann, und der betroffenen Person ermöglichen, die Entscheidung anzufechten und ihren Standpunkt darzulegen.

Diese Pflichten überschneiden sich direkt mit den Menschlichen-Aufsicht-Anforderungen der EU KI-Verordnung für Hochrisikosysteme. Ein gut strukturiertes Compliance-Framework adressiert beide Regelwerke gleichzeitig.

Marketing-KI: Einwilligung oder berechtigtes Interesse

KI-Systeme für Next-Best-Offer-Empfehlungen, abwanderungsgetriggerte Marketingmaßnahmen und personalisierte Rechnungskommunikation benötigen eine wirksame DSGVO-Rechtsgrundlage. Für Werbezwecke ist in der Regel eine Einwilligung nach ePrivacy-Richtlinie und DSGVO erforderlich — berechtigtes Interesse ist für ungebetene kommerzielle Kommunikation eine schwächere Grundlage.

Komplexer wird es, wenn KI personalisierte Angebote auf Basis von aus dem Netzverhalten oder Drittdaten abgeleiteten Präferenzen erzeugt. Die dabei eingesetzte Profilbildung erfordert transparente Datenschutzerklärungen und bedeutungsvolle Widerspruchsmöglichkeiten.

Auftragsverarbeitungsketten bei KI-Anbietern

Telekommunikationsunternehmen setzen regelmäßig Drittanbieter-KI ein — für Netzintelligenz, Kundenanalytik, Betrugserkennung oder KI-gestützte CRM-Systeme. Jeder dieser Anbieter ist typischerweise Auftragsverarbeiter nach DSGVO. Es müssen valide Auftragsverarbeitungsverträge (AVV) mit jedem KI-Anbieter vorliegen, die verarbeitete Datenkategorien, Löschfristen, Sicherheitsmaßnahmen und Unterauftragnehmer-Beschränkungen regeln.

Nach der EU KI-Verordnung müssen Telekommunikationsunternehmen zusätzlich bewerten, welche Informationen ihre KI-Anbieter über die eingesetzten Systeme bereitstellen — insbesondere ob die technische Dokumentation des Anbieters ausreichend ist, um die eigenen Hochrisiko-Compliance-Pflichten zu erfüllen. KI-Lieferantenverträge sind zu überprüfen und um DSGVO- und KI-Act-Anforderungen zu ergänzen.

TKG 2021 und KI-Systeme

Für Telekommunikationsunternehmen in Deutschland schafft das Telekommunikationsgesetz 2021 (TKG 2021) sektorspezifische Pflichten, die neben EU KI-Verordnung und DSGVO gelten. Das TKG 2021 adressiert KI nicht unmittelbar, aber mehrere seiner Vorschriften erfassen KI-Systeme im Netzmanagement, in der Teilnehmerdatenverarbeitung und im Kundenkontakt.

Datensparsamkeit für Netz-KI

§ 165 TKG 2021 regelt die Sicherheit von Telekommunikationsnetzen und -diensten. KI-Systeme für Netzwerksicherheit, Betrugserkennung und Anomaliedetektion müssen so gestaltet sein, dass sie nur die für ihre Funktion unbedingt erforderlichen Daten verarbeiten. Verkehrs- und Standortdaten sind zu löschen oder zu anonymisieren, sobald sie für den Übertragungszweck nicht mehr benötigt werden — KI-Systeme, die diese Daten für erweiterte Modelltraining-Zeiträume vorhalten, benötigen eine spezifische Rechtsgrundlage.

§ 52 TKG 2021 regelt die Netzneutralität. KI-Systeme zur Verkehrspriorisierung oder Quality-of-Service-Steuerung dürfen nicht gegen Netzneutralitätspflichten verstoßen. KI-gestütztes Traffic Management unterliegt der Aufsicht der Bundesnetzagentur — eine Pflicht, die von den EU-KI-Verordnungs-Pflichten getrennt und zusätzlich zu ihnen gilt.

Sicherheitsanforderungen und KRITIS

Betreiber kritischer Telekommunikationsinfrastruktur nach BSI-Gesetz und KRITIS-Verordnung unterliegen zusätzlichen Sicherheitsanforderungen, die unmittelbar die KI-Systeme in Netzoperationen betreffen. KI-Systeme in KRITIS-klassifizierten Netzen:

• Müssen BSI-Gesetz-Sicherheitsanforderungen erfüllen
• Fallen wahrscheinlich unter Anhang III Kategorie 2 (kritische Infrastruktur-KI) der EU KI-Verordnung
• Erfordern Sicherheitsvorfallsmeldungen, die sich mit EU-KI-Verordnungs-Vorfallsmeldeobligationen überschneiden können
• Benötigen spezifische Schwachstellenmanagement-Dokumentation

Die Bundesnetzagentur (BNetzA) koordiniert mit nationalen KI-Marktüberwachungsbehörden, wenn KI-bezogene Vorfälle regulierte Telekommunikationsinfrastruktur betreffen. BEREC — das europäische Pendant zur BNetzA — erarbeitet branchenspezifische Leitlinien für Telekommunikationsunternehmen, die 2025/2026 erwartet werden.

Mitarbeiterüberwachung in der Telekommunikation

Telekommunikationsunternehmen setzen KI häufig im Personalmanagement ein: Qualitätsmonitoring in Callcentern, Agentenbewertung, Schichtplanoptimierung und Produktivitätsanalysen. Diese Anwendungen unterliegen DSGVO, § 26 BDSG und dem BetrVG (§ 87 Abs. 1 Nr. 6), das Betriebsräten ein Mitbestimmungsrecht bei technischen Überwachungssystemen einräumt.

KI-Leistungsüberwachungssysteme, die Einstellungs-, Beförderungs- oder Disziplinarentscheidungen beeinflussen, sind nach EU KI-Verordnung Anhang III zu klassifizieren (Beschäftigungs- und Arbeitskräftemanagement-KI). Unser Leitfaden zur KI-Mitarbeiterüberwachung Compliance behandelt diese Pflichten ausführlich.

Compliance-Checkliste für Telekommunikationsunternehmen

Schritt 1: KI-Inventar

• Alle KI-Systeme im Unternehmen erfassen
• Systeme identifizieren, die mit Kunden interagieren oder Entscheidungen über Kunden treffen
• Systeme identifizieren, die Netzinfrastruktur oder -betrieb steuern
• KI-Drittanbieter und Foundation-Model-Einsatz dokumentieren
• KRITIS-Klassifizierungsstatus für Infrastruktur-KI prüfen

Schritt 2: Risikoeinstufung

• Jedes KI-System gegen die Hochrisiko-Kriterien nach Anhang III prüfen
• Systeme mit Transparenzpflichten nach Artikel 50 identifizieren
• GPAI-Modelle in Produkten kennzeichnen
• Artikel 22 DSGVO-Anwendbarkeit für automatisierte Entscheidungssysteme dokumentieren
• TKG 2021-Überschneidungen für jeden KI-Anwendungsfall dokumentieren

Schritt 3: Hochrisiko-Compliance

• Eine für die EU KI-Verordnung verantwortliche Person benennen
• Risikomanagementsystem-Dokumentation für jedes Hochrisiko-System erstellen
• Datenqualitäts- und Bias-Analysen für Trainingsdatensätze beauftragen
• Technische Dokumentation gemäß Anhang IV erstellen
• Protokollierungs- und Aufzeichnungssysteme für automatisierte Entscheidungen implementieren
• Menschliche Aufsichtsprozesse für jedes Hochrisiko-System gestalten
• KI-Lieferantenverträge auf GPAI-Dokumentationspflichten prüfen

Schritt 4: DSGVO und Transparenz

• Chatbot- und IVR-Schnittstellen um verpflichtende KI-Offenlegung ergänzen
• Artikel-22-DSGVO-Überprüfungsprozesse für automatisierte Entscheidungen implementieren
• Datenschutzerklärungen und AGB zur Widerspiegelung des KI-Einsatzes aktualisieren
• Auftragsverarbeitungsverträge mit allen KI-Anbietern prüfen
• Kundendienst-Teams zu Offenlegungspflichten und Auskunftsrechten schulen

Schritt 5: Registrierung und Governance

• Hochrisiko-KI-Systeme in der EU-KI-Datenbank registrieren (ab August 2026)
• Interne KI-Governance-Richtlinie einführen, die EU KI-Verordnung, DSGVO und TKG 2021 integriert
• EU-KI-Verordnungs-Vorfallsmeldungen mit TKG-2021- und BSI-Gesetz-Sicherheitsverfahren verzahnen
• Regelmäßige interne Audits der KI-Systemleistung und Bias-Überprüfung einplanen

So hilft Compound Law Telekommunikationsunternehmen

Compound Law unterstützt Telekommunikationsunternehmen und Netzbetreiber in der gesamten DACH-Region bei der KI-Regulierungs-Compliance — mit gebündelter Expertise in Telekommunikationsrecht, Datenschutzrecht und KI-Governance.

Wir helfen Telekommunikationsunternehmen bei:

• Klassifizierung von KI-Systemen nach Anhang III und Identifizierung der Systeme, die vollständige Hochrisiko-Compliance erfordern
• Erstellung von Compliance-Dokumentation einschließlich Risikomanagementsystemen, technischen Unterlagen nach Anhang IV und Datenverwaltungsrichtlinien
• Integration von EU KI-Verordnung, DSGVO und TKG 2021 in einen kohärenten regulatorischen Gesamtansatz
• Gestaltung menschlicher Aufsichtsprozesse, die EU-KI-Verordnungs- und DSGVO-Artikel-22-Anforderungen erfüllen, ohne betriebliche Abläufe zu belasten
• Prüfung von KI-Lieferantenverträgen auf GPAI-Dokumentationspflichten und AVV-Konformität
• Vorbereitung auf die Aufsicht durch BNetzA und KI-Marktüberwachungsbehörden
• Schulung von Compliance- und Technik-Teams zu praktischen KI-Governance-Anforderungen

Kontaktieren Sie Compound Law für eine kostenlose Erstberatung zur KI-Regulierung für Ihr Telekommunikationsunternehmen.

---

Häufig gestellte Fragen

Welche KI-Regulierung gilt für Telekommunikationsunternehmen in Deutschland?

Telekommunikationsunternehmen in Deutschland unterliegen drei überlappenden KI-Regelwerken: der EU KI-Verordnung (Hochrisikopflichten ab August 2026), der DSGVO für alle KI-Systeme, die personenbezogene Teilnehmerdaten verarbeiten, und dem TKG 2021 mit sektorspezifischen Netz- und Datenpflichten. Diese Regelwerke wirken parallel — insbesondere bei Betrugserkennungssystemen, Teilnehmerprofilbildung und Netzmanagement-KI ist eine koordinierte Compliance erforderlich.

Welche KI-Systeme gelten als hochriskant im Telekommunikationsbereich?

Hochriskant nach Anhang III der EU KI-Verordnung sind typischerweise: Kreditwürdigkeitsprüfungssysteme für Postpaid-Verträge oder Gerätefinanzierung (Kategorie 5b), Betrugserkennungssysteme, die Kunden den Zugang zu Telekommunikationsdiensten verwehren oder einschränken (Kategorie 5), und KI zum Management kritischer Netzinfrastruktur (Kategorie 2). Chatbots, Predictive-Maintenance-Systeme und die meisten operativen Werkzeuge sind nicht hochriskant, unterliegen aber Transparenzpflichten.

Was bedeutet Artikel 22 DSGVO für Telekommunikations-KI?

Artikel 22 DSGVO gibt Teilnehmern das Recht, nicht ausschließlich auf Basis automatisierter Verarbeitung einer Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder erhebliche Beeinträchtigungen verursacht. Für Telekommunikationsunternehmen gilt das bei automatisierten Ablehnungen von Vertragsanträgen, Diensteaussetzungen und Kreditentscheidungen. Wo Artikel 22 greift, müssen Betreiber eine Rechtsgrundlage vorweisen, menschliche Überprüfung ermöglichen und die Anfechtung der Entscheidung erlauben — parallel zu den Menschlichen-Aufsicht-Pflichten der EU KI-Verordnung.

Was fordert das TKG 2021 für KI-Systeme?

Das TKG 2021 reguliert KI nicht unmittelbar, aber § 165 TKG 2021 verlangt Datensparsamkeit und Sicherheitsanforderungen für Netz-KI, § 52 TKG 2021 unterwirft KI-Verkehrsmanagement-Systeme der Netzneutralitätsaufsicht durch die BNetzA, und KRITIS-Betreiber unterliegen zusätzlichen BSI-Gesetz-Anforderungen, die KI-Systeme in kritischen Netzen betreffen.

Wann müssen Telekommunikationsunternehmen die EU KI-Verordnung erfüllen?

Die Hochrisiko-KI-Pflichten nach Kapitel III der EU KI-Verordnung gelten ab dem 2. August 2026 für neue Deployments. Bestehende Hochrisiko-Systeme, die vor diesem Datum bereits in Betrieb sind, haben bis zum 2. August 2027 Zeit. GPAI-Modellpflichten gelten bereits seit dem 2. August 2025. Verbotene KI-Praktiken mussten bis zum 2. Februar 2025 eingestellt werden.

Müssen Telekommunikationsunternehmen ihre KI-Systeme in der EU-KI-Datenbank registrieren?

Ja — Hochrisiko-KI-Systeme müssen vor der Inbetriebnahme in der EU-KI-Datenbank registriert werden. Diese Pflicht gilt ab dem 2. August 2026 für neue Systeme und ab dem 2. August 2027 für bereits in Betrieb befindliche Hochrisiko-Systeme. Die Registrierung muss technische Dokumentation, Verwendungszweck, Risikoeinstufung und Konformitätsbewertungsergebnisse umfassen. Nicht-Hochrisiko-Systeme wie Chatbots sind nicht zu registrieren, müssen aber die Transparenzpflichten nach Artikel 50 erfüllen.

Was droht bei Verstößen gegen die EU KI-Verordnung?

Bei Verstößen gegen Hochrisiko-System-Pflichten können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, was höher ist. Verstöße gegen verbotene KI-Praktiken können mit bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes geahndet werden. Die Übermittlung unrichtiger Informationen an Aufsichtsbehörden kann mit bis zu 7,5 Millionen Euro oder 1 % des weltweiten Umsatzes bestraft werden. Zusätzlich drohen Reputationsschäden und zivilrechtliche Haftungsrisiken.

Dieser Leitfaden stellt allgemeine rechtliche Informationen bereit und ist keine Rechtsberatung. Konkrete Compliance-Entscheidungen erfordern eine individuelle rechtliche Beratung auf Basis der KI-Systeme und Umstände Ihres Unternehmens. Kontaktieren Sie Compound Law für eine maßgeschneiderte Beratung.