EU-KI-Verordnung: Zwei Drittel nutzen KI – nur jeder Dritte kennt die Regeln

Von Tech Desk | Mittwoch, 10. Dezember 2025

BERLIN – Die Nutzung explodiert, das Wissen stagniert: Während zwei Drittel der Menschen in Deutschland regelmäßig KI-Anwendungen verwenden, hat nur jeder Dritte (32 Prozent) überhaupt vom EU-Gesetz zur Künstlichen Intelligenz gehört. Das zeigt eine aktuelle Studie des TÜV-Verbands – ein alarmierendes Signal für Unternehmen, die ab August 2026 mit der vollen Compliance-Pflicht konfrontiert werden.

Die Zahlen offenbaren ein gefährliches Paradox: ChatGPT, Google Gemini und Microsoft Copilot gehören längst zum Alltag, doch die rechtlichen Rahmenbedingungen bleiben für die breite Masse ein Buch mit sieben Siegeln. Experten warnen vor einem „DSGVO-Moment 2.0″ – nur komplexer und mit deutlich höheren Strafen.

Die im Dezember 2025 veröffentlichte „TÜV-KI-Studie” zeichnet ein widersprüchliches Bild der KI-Landschaft. Während 85 Prozent der Befragten ChatGPT verwenden, sieht knapp die Hälfte (49 Prozent) generative KI als Bedrohung für die Demokratie. Noch drastischer: 91 Prozent glauben, dass KI es erschwert, echte von manipulierten Inhalten zu unterscheiden.

„Wir beobachten eine Gesellschaft, die KI täglich nutzt, ihr aber selten vertraut”, fasst Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands, die Situation zusammen. Für Unternehmen bedeutet diese Wissenslücke doppelten Druck: Einerseits unterschätzen viele Betriebe die Dringlichkeit ihrer Compliance-Vorbereitung, andererseits könnte das wachsende Misstrauen der Verbraucher zum Reputationsrisiko werden.

Passend zum Thema Compliance: Die EU‑KI‑Verordnung stellt Unternehmen vor harte Fristen – ab August 2026 müssen Risikoklassen, technische Dokumentation und nachweisbare Risikomanagementsysteme stehen. Unser kostenloser Umsetzungsleitfaden fasst die wichtigsten Pflichten kompakt zusammen, zeigt, wie Sie KI‑Systeme korrekt klassifizieren, Prüfunterlagen erstellen und Konformitätsprozesse dokumentieren, und liefert Checklisten, Vorlagen sowie einen konkreten Fahrplan für KMU. Basierend auf Empfehlungen von TÜV und Bitkom hilft das Heft, Bußgelder und Reputationsschäden zu vermeiden. Jetzt KI‑Umsetzungsleitfaden kostenlos downloaden

Die Zahlen sprechen eine klare Sprache – seit Februar 2025 gelten bereits die Verbote für „inakzeptable Risiken” wie biometrische Kategorisierung und Social Scoring. Doch die Hochrisikoklasse, die unter anderem KI im Personalwesen, in kritischen Infrastrukturen und bei Kreditvergaben umfasst, tritt erst im August 2026 vollständig in Kraft. Bleiben noch gut acht Monate, um technische Dokumentationen, Risikomanagementsysteme und Datengovernanc-Strukturen aufzubauen.

Nationale Umsetzung bremst: Wo bleiben die Behörden?

Der TÜV-Verband übt scharfe Kritik am schleppenden Tempo der deutschen Umsetzung. Obwohl die EU-KI-Verordnung als Regulation unmittelbar gilt, müssen nationale Gesetze die zuständigen Behörden benennen und Bußgeldstrukturen definieren. Das geplante „KI-Durchführungsgesetz” lässt weiter auf sich warten.

„Unternehmen und Prüforganisationen brauchen Planungssicherheit, um ein zuverlässiges KI-Prüfökosystem aufzubauen”, mahnt Bühler. Die fehlende Benennung unabhängiger Bewertungsstellen droht zu einem Flaschenhals zu werden, wenn 2026 die obligatorischen Konformitätsprüfungen für Hochrisiko-KI-Systeme starten.

Der Digitalverband Bitkom bestätigt diese Bedenken: Unternehmen zögern mit Investitionen in teure Compliance-Infrastruktur, solange die finalen Aufsichtsbehörden nicht feststehen. Die Befürchtung: Ein hektischer Last-Minute-Sprint 2026 könnte Tausende EU-Firmen Bußgeldern von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes aussetzen.

Der Compliance-Gap: Klein- und Mittelbetriebe im Hintertreffen

Während Konzerne längst KI-Governance-Boards eingerichtet haben, hinken kleine und mittelständische Unternehmen hinterher. Die TÜV-Studie legt nahe, dass viele KMU die Komplexität unterschätzen: Risikomanagementsysteme, Datengovernanc, lückenlose technische Dokumentation – die Anforderungen sind für viele überwältigend.

„Die Lücke zwischen ‘KI nutzen’ und ‘KI-konform nutzen’ wird größer”, analysieren Rechtsexperten. Ein verbreiteter Irrtum: Firmen glauben, sie seien konform, weil sie selbst keine KI-Modelle entwickeln. Doch als ‘Deployer’ von Hochrisikosystemen tragen auch sie erhebliche rechtliche Verantwortung.

Ein Beispiel verdeutlicht die Dimension: Ein mittelständisches Personalbüro, das KI-gestützte Bewerbungssoftware einsetzt, muss ab August 2026 nachweisen können, dass das System diskriminierungsfrei arbeitet, transparent ist und kontinuierlich überwacht wird. Gelingt das nicht, drohen nicht nur Strafen, sondern auch Reputationsschäden in einem Markt, in dem Vertrauen zur Währung wird.

Der DSGVO-Vergleich: Geschichte wiederholt sich?

Die aktuelle Situation erinnert fatal an die Monate vor dem vollständigen Inkrafttreten der Datenschutz-Grundverordnung 2018. Damals herrschte ebenfalls eine „Abwarten-und-Tee-trinken”-Mentalität, die vielen Unternehmen teuer zu stehen kam. Doch der KI-Rechtsrahmen ist noch komplexer: Während DSGVO-Compliance mit aktualisierten Datenschutzerklärungen und Prozessen erreichbar war, erfordert die KI-Verordnung tiefgreifende technische Sicherheitsbewertungen.

Die geringe öffentliche Aufmerksamkeit (32 Prozent Bekanntheit) ist eine zweischneidige Klinge. Einerseits fehlt kurzfristig der Verbraucherdruck bezüglich KI-Transparenz. Andererseits: Sobald das Bewusstsein wächst – und das wird es durch mediale Skandale und Aufklärungskampagnen –, könnte der Reputationsschaden für nicht-konforme Unternehmen verheerend sein.

Frühe Compliance-Champions könnten davon profitieren: Ein nachweisbares „KI-Act-Siegel” dürfte zum Wettbewerbsvorteil werden, ähnlich wie Bio-Zertifikate im Lebensmittelhandel.

Countdown 2026: Was jetzt auf dem Prüfstand steht

Die nächsten acht Monate werden entscheidend. Branchenbeobachter erwarten, dass die Bundesregierung in den kommenden Wochen den nationalen Umsetzungsrahmen finalisiert, um den Bedenken von TÜV und Bitkom Rechnung zu tragen.

Für Unternehmen steht eine konkrete To-do-Liste an:
– Inventur-Audits: Vollständige Klassifizierung aller derzeit genutzten KI-Systeme nach Risikoklassen
– Gap-Analyse: Abgleich der aktuellen Risikomanagementsysteme mit den harmonisierten Standards (derzeit in Finalisierung durch CEN/CENELEC)
– Schulungspflicht: Artikel 4 der Verordnung verpflichtet seit Februar 2025 zur KI-Kompetenz aller Mitarbeiter – eine Anforderung, die bislang uneinheitlich umgesetzt wird

Die TÜV-Studie bringt es auf den Punkt: Die Ära des „Move fast and break things” ist in Europa endgültig vorbei. Das neue Mandat lautet „Move fast and prove safety” – eine Herausforderung, auf die nach aktuellem Kenntnisstand die meisten noch nicht vorbereitet sind.

Bleibt die Frage: Wird die deutsche Wirtschaft aus den DSGVO-Fehlern lernen, oder steht uns 2026 ein böses Erwachen bevor?

Quellen: Die Daten der TÜV-KI-Studie und Awareness-Statistiken basieren auf Pressemitteilungen des TÜV-Verbands sowie Medienberichten vom 2. bis 10. Dezember 2025. Informationen zu KI-Act-Fristen entsprechen dem aktuellen Regulierungsstand Dezember 2025.

PS: Sie haben nur noch Monate bis zum vollständigen Inkrafttreten – sind Ihre Prozesse und Nachweise geprüft und dokumentiert? Das kompakte E‑Book zur EU‑KI‑Verordnung erklärt Kennzeichnungspflichten, Übergangsfristen und welche technischen Bewertungen jetzt Priorität haben. Es enthält eine konkrete To‑do‑Liste für Geschäftsführer, Datenschutzbeauftragte und Personaler sowie Praxisbeispiele, wie KMU konform werden, ohne ihre IT komplett umzubauen. Schnell, praxisnah und speziell auf kleine und mittlere Unternehmen zugeschnitten. KI‑Act-Guide jetzt kostenlos anfordern