Alle Beiträge
KI & Recht
7 Min. Lesezeit
20.04.2026

KI-Verordnung für Startups: so setzt Du die neuen Pflichten rechtssicher um

Die KI-Verordnung (KI-VO) ist das erste umfassende Gesetz der EU, das den Einsatz von Künstlicher Intelligenz reguliert. Für Startups und Gründer, die KI in ihre Software integrieren oder ihre Dienstleistungen KI-gestützt erbringen, bedeutet das konkrete Pflichten, insbesondere die Transparenzpflicht aus Art. 50 KI-VO und die Schulungspflicht aus Art. 4 KI-VO.

In diesem Beitrag erkläre ich Dir als Rechtsanwalt für Startups, welche Anforderungen die KI-Verordnung an Dein SaaS-Startup oder Deine KI-gestützte App stellt, was Du in Deine AGB und Datenschutzerklärung schreiben musst und wie Du die Vorgaben pragmatisch umsetzt, ohne Dein Produkt auszubremsen.

Autor
Nils Bremann
Rechtsanwalt und Gründer
Unser Angebot für Dich
Mehr erfahren
Thank you! Your subscription has been received!
Oops! Something went wrong. Please try again.
Teilen über:

Was regelt die EU KI-Verordnung und warum betrifft sie Dein Startup?

Die EU KI-Verordnung (Verordnung (EU) 2024/1689) ist seit dem 1. August 2024 in Kraft und wird stufenweise anwendbar. Sie verfolgt zwei Ziele: den europäischen Binnenmarkt für KI-Anwendungen funktionsfähig zu halten und gleichzeitig Grundrechte zu schützen. Für Dich als Gründer:in ist entscheidend: Die KI-VO unterscheidet zwischen verbotenen KI-Praktiken (Art. 5), Hochrisiko-KI-Systemen (Art. 6 ff.) und sogenannten „einfachen“ KI-Systemen, zu denen die meisten Startup-Produkte gehören.

Die gute Nachricht: Wenn Dein Produkt kein Hochrisiko-System ist, treffen Dich vor allem zwei zentrale Pflichten, die Transparenzpflicht (Art. 50 KI-VO) und die KI-Kompetenzpflicht (Art. 4 KI-VO). Beide sind überschaubar, müssen aber sauber umgesetzt werden. Die KI-Verordnung im Volltext sowie eine Übersicht der Transparenzpflichten der Bundesnetzagentur kannst Du zur Vertiefung nutzen.

Wann tritt die KI-Verordnung in Kraft? Die wichtigsten Fristen

Die KI-VO tritt in mehreren Stufen in Kraft. Die Verbote, also die Entwicklung komplett verbotener KI-Systeme, aus Art. 5 KI-VO, gelten bereits seit Februar 2025.

Die Schulungspflicht aus Art. 4 KI-VO gilt ebenfalls seit Februar 2025.

Die für Startups aber in der Regel wichtigste Vorgabe der KI-Verordnung ist vermutlich die Transparenzpflicht aus Art. 50 KI-VO. Diese gilt ab dem 2. August 2026: Ab dann greifen die Transparenzpflichten aus Art. 50 KI-VO.

Für Hochrisiko-KI-Systeme gelten die vollständigen Anforderungen der Art. 6-49 KI-VO ab August 2026 bzw. August 2027, je nach Produktkategorie.

Die Bußgelder bei Verstößen sind erheblich: Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes - bei verbotenen KI-Praktiken sogar bis zu 35 Mio. EUR oder 7 %.

Hochrisiko-KI-Systeme - betrifft Dich das?

Anbieter und Betreiber von Hochrisiko-KI-Systemen haben deutlich gesteigerte Anforderungen, die die KI-VO vorgibt. Aber: Die meisten SaaS-Startups und App-Anbieter fallen vermutlich nicht unter die Hochrisiko-Kategorie.

Hochrisiko-KI-Systeme sind solche, die in besonders sensiblen Bereichen eingesetzt werden und gleichzeitig eigenen Entscheidungen treffen:

  • etwa im Personalmanagement durch automatisierte Bewerberauswahl,
  • im Bankenwesen durch Entscheidung über die Kreditwürdigkeit
  • oder in der beruflichen Bildung durch automatisierte Prüfungsbewertung.

Wenn Dein KI-System aber keine eigenständigen Entscheidungen trifft, die die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen erheblich beeinträchtigen können, bist Du in der Regel im Bereich der „einfachen“ KI und damit vor allem von Art. 50 und Art. 4 KI-VO betroffen.

Im Zweifel, also wenn Du Dir nicht ganz sicher bist, ob Du ein Hochrisiko-KI-System betreibst, lohnt sich eine kurze rechtliche Prüfung, ob Dein Produkt unter Anhang III der KI-VO fällt.

Transparenzpflicht nach Art. 50 KI-VO: die wichtigste Pflicht für Dein Startup

Die Transparenzpflicht aus Art. 50 KI-VO ist für die meisten Startups die Pflicht mit der größten praktischen Relevanz. Sie gilt ab dem 2. August 2026 und betrifft Dich in zwei Rollen:

  1. Als Anbieter, wenn Du ein KI-System entwickelst oder unter eigenem Namen auf den Markt bringst. Das ist vermutlich eher selten der Fall, denn dies betrifft direkt die Anbieter wie OpenAI mit ChatGPT, Anthropic mit Claude oder Google mit Gemini.
  2. Als Betreiber, wenn Du KI-Systeme von Drittanbietern (z. B. OpenAI, Anthropic, Google) in Dein Produkt integrierst.

Der Kern der Transparenzpflicht liegt darin, dass Deine Nutzer:innen wissen müssen, dass sie mit einer KI interagieren oder dass Inhalte KI-generiert sind. Das klingt vielleicht simpel - aber die Details sind entscheidend.

Art. 50 KI-VO regelt konkret vier Anwendungsfälle:

Erstens: KI-Systeme zur direkten Interaktion mit Menschen (z. B. Chatbots) - hier muss der Nutzer vorab informiert werden, dass er mit einer KI kommuniziert.

Zweitens: Synthetische erstellte Inhalte, also Texte, Bilder, Audio, Video, die von einem KI-System erzeugt oder manipuliert wurden und nicht (oder nicht vollständig) auf einem realen menschlichen Ursprung beruhen - diese müssen maschinenlesbar gekennzeichnet werden.

Drittens: Emotionserkennungs- und biometrische Kategorisierungssysteme - hier müssen betroffene Personen informiert werden, dass sie durch eine KI getrackt werden.

Viertens: Deepfakes und KI-generierte Texte im öffentlichen Interesse - hier besteht eine explizite Offenlegungspflicht.

KI-Kennzeichnungspflicht: was musst Du konkret labeln?

In allen oben genannten Fällen musst Du Deine Kunden und Nutzer informieren, dass hier eine KI am Werk war.

Wenn Dein SaaS-Produkt bspw. einen KI-Chatbot enthält, musst Du Deinen Nutzern vor Beginn der Interaktion klar mitteilen, dass sie mit einer KI kommunizieren. Ein einfacher Hinweis wie „Du sprichst gerade mit unserem KI-Assistenten“ reicht aus.

Bei KI-generierten Bildern, Videos oder Audioausgaben müssen diese als „KI-generiert“ oder „künstlich erzeugt“ gekennzeichnet werden, das betrifft vor allem Deepfakes und täuschend echte Medien.

Bei KI-generierten Texten greift die Kennzeichnungspflicht dann, wenn die Texte veröffentlicht werden, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren. Interne Texte oder Marketingtexte, die redaktionell geprüft und verantwortet werden, können von der Pflicht ausgenommen sein.

Mein Tipp: Kennzeichne lieber einmal mehr als einmal zu wenig, dass ein Bild, Video oder Text KI-generiert ist. Die Kosten für einen kleinen Hinweis direkt im Nutzerinterface sind minimal - die Sanktionen für fehlende Kennzeichnung können deutlich größer ausfallen.

AGB-Klausel zu integrierten KI-Diensten: was gehört in Deine AGB?

Wenn Du KI-Dienste in Dein Produkt integrierst, brauchst Du eine entsprechende Regelung in Deinen AGB, die Deinen Kunden hierüber transparent Kenntnis verschaffen. In meiner Beratungspraxis sehe ich hier die meisten Lücken. Eine saubere AGB-Klausel zu integrierten KI-Diensten sollte folgende Punkte abdecken:

  • Transparenz über den KI-Einsatz: Beschreibe in Deinen AGB, dass und wie Du KI in Dein Produkt integrierst. Benenne die Features, die KI-gestützt arbeiten.

Beispielformulierung:

„Für die Zurverfügungstellung unserer Leistungen greifen wir auf die Dienste Künstlicher Intelligenz zurück (nachfolgend auch ‚Integrierte Dienste‘). Integrierte Dienste nutzen wir unter anderem für die automatisierte Generierung und Erstellung von Texten und Inhalten, zur Optimierung von Prozessen oder die Verbesserung von Angeboten.“
  • Haftungsbeschränkung: Stelle klar, dass die KI-generierten Ergebnisse keine Rechts-, Steuer- oder Fachberatung darstellen und vom Kunden eigenständig geprüft werden müssen. Weise darauf hin, dass Du keine Garantie für die Richtigkeit der KI-Ausgaben übernimmst.
  • Prüfpflicht des Kunden: Verpflichte Deine Nutzer dazu, KI-generierte Ergebnisse eigenständig zu überprüfen und keine sensiblen personenbezogenen Daten in KI-gestützte Features einzugeben.
  • Urheberrecht: Regle, dass der Kunde nur solche Inhalte mit Deinen KI-Diensten verarbeiten darf, an denen er die erforderlichen Nutzungsrechte besitzt, und dass an KI-generierten Ergebnissen urheberrechtliche Positionen Dritter bestehen können.

Übrigens: Mehr zu den KI-Transparenzpflichten findest Du direkt im Gesetz unter Art. 50 KI-VO - Transparenzpflichten.

Meine Einschätzung als Startup-Anwalt

Startups, die von Anfang an transparent mit dem KI-Einsatz in ihrem Produkt umgehen, bauen Vertrauen bei Kunden und Investoren auf. In meiner Beratung sehe ich regelmäßig, dass Gründer:innen das Thema unterschätzen - und dann kurz vor der Finanzierungsrunde feststellen, dass Investoren nach KI-Compliance fragen. Mein Rat: Setz die AGB-Klausel und die Kennzeichnung jetzt auf. Der Aufwand ist überschaubar, der Reputationsgewinn enorm.

Du brauchst rechtssichere AGB mit KI-Klausel, eine DSGVO-konforme Datenschutzerklärung und einen AVV für Deine Kunden?

Mit meinem AGB- & Datenschutz-Paket bekommst Du alle Rechtstexte individuell erstellt - inklusive persönlicher Beratung. Und das alles zum Festpreis.

KI-Schulungspflicht nach Art. 4 KI-VO: Dein Team muss KI-kompetent sein

Eine weitere Pflicht aus der KI-VO, die viele Startups übersehen: Die Schulungspflicht nach Art. 4 KI-VO. Die Schulungspflicht verlangt, dass alle Personen, die in Deinem Unternehmen mit KI-Systemen arbeiten, über ein ausreichendes Maß an KI-Kompetenz verfügen. Das betrifft nicht nur Dein Entwicklerteam, sondern auch den Kundenservice, das Marketing und die Geschäftsführung - also alle, die KI-Systeme bedienen, überwachen oder deren Ergebnisse nutzen.

Diese Schulungspflicht gilt bereits seit dem 2. Februar 2025 und wird oft übersehen, weil sie weniger greifbar erscheint als die übrigen Pflichten aus der KI-VO wie bspw. die Kennzeichnungspflicht.

KI-Kompetenz aufbauen: so setzt Du die Schulungspflicht um

Konkret bedeutet Art. 4 KI-VO: Du musst sicherstellen, dass Dein Team die technischen Grundlagen des eingesetzten KI-Systems versteht, die rechtlichen Anforderungen der KI-VO kennt und in der Lage ist, KI-Ergebnisse kritisch zu bewerten. In der Praxis empfehle ich Startups folgende Schritte:

  1. Führe eine dokumentierte Erstschulung für alle Mitarbeitenden durch, die mit KI-Systemen arbeiten. Nutze dafür E-Learning-Formate oder interne Workshops.
  2. Dokumentiere die Schulungen - das ist wichtig für den Nachweis gegenüber Aufsichtsbehörden.
  3. Plane regelmäßige Auffrischungen ein, mindestens jährlich oder bei wesentlichen Änderungen am KI-System.
  4. Besonders für Startups in der Wachstumsphase gilt: Jeder neue Mitarbeitende, der Zugang zu KI-Features hat, sollte im Onboarding geschult werden.

Eine ausführliche Hilfestellung zur Umsetzung bietet der Bitkom-Umsetzungsleitfaden zur KI-VO.

Die Schulungspflicht aus der KI-VO ist übrigens ganz ähnlich gelagert wie die Schulungspflicht aus der DSGVO. Vielleicht kennst Du diese schon und hast hiermit schon erste Erfahrungen gemacht. Auch die DSGVO schreibt vor, dass man sämtliche Teammitglieder, die personenbezogene Daten verarbeiten entsprechend schulen muss.

KI-Compliance als Wettbewerbsvorteil für Startups

KI-Compliance klingt nach Pflicht, ist aber gerade für Startups ein echter Differenzierungsfaktor. Investoren, insbesondere aus dem europäischen VC-Markt, achten zunehmend auf regulatorische Readiness. In Due-Diligence-Prozessen wird regelmäßig gefragt: Seid ihr KI-VO-konform? Habt ihr Eure Transparenzpflichten umgesetzt? Gibt es dokumentierte KI-Schulungen? Wenn Du diese Fragen mit „Ja“ beantworten kannst, stärkst Du Deine Verhandlungsposition.

Auch gegenüber Enterprise-Kunden ist KI-Compliance ein Türöffner: Große Unternehmen prüfen ihre Zulieferer zunehmend auf Einhaltung der KI-VO. Ein Startup, das hier sauber aufgestellt ist, hat einen klaren Wettbewerbsvorteil gegenüber einem, das bei der Compliance improvisiert.

KI und Datenschutz: DSGVO-Pflichten bei KI-Integration

Die Beziehung zwischen der KI-VO und der DSGVO ist oft Gegenstand verschiedener Fragen, die ich in meiner Beratungspraxis gestellt bekomme. Hier löse ich die größten Missverständnisse einmal auf.

Die KI-Verordnung ersetzt nicht die DSGVO - sie kommt dazu. Wenn Dein Startup personenbezogene Daten über KI-Systeme verarbeitet, musst Du beide Regelwerke einhalten. Du musst also sowohl die Anforderungen der DSGVO als auch die Anforderungen der KI-VO umsetzen. Für die meisten Startups, die KI-APIs von Drittanbietern nutzen (OpenAI, Google, Anthropic etc.), heißt das: Du brauchst eine DSGVO-konforme Datenschutzerklärung, die den KI-Einsatz transparent macht, und in der Regel einen Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter.

Datenschutzerklärung bei KI-Einsatz: was gehört rein?

Deine Datenschutzerklärung muss den KI-Einsatz abbilden. Beschreibe konkret, welche KI-Dienste Du integriert hast, welche Daten an diese Dienste übermittelt werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Beispiel: Wenn Dein Produkt einen KI-Chatbot nutzt, der Nutzereingaben an die API von OpenAI übermittelt, muss das in der DSE stehen - inklusive Hinweis auf die Datenübermittlung in Drittländer (USA) und die Schutzmaßnahmen (z. B. EU-Standardvertragsklauseln).

Weise Deine Nutzer außerdem darauf hin, keine sensiblen personenbezogenen Daten (Gesundheitsdaten, politische Überzeugungen etc.) in KI-gestützte Features einzugeben. Das schützt Dich und Deine Nutzer.

Und der wichtigste Punkt: Vereinbare mit den KI-Drittanbietern, dass sie keinerlei Daten zu Trainingszwecken nutzen, die Deine Nutzer mit der KI verarbeiten. Das ist sehr wichtig und ein Fehlen dieser Vereinbarung kann oft dazu führen, dass der Einsatz der KI-Drittanbieter nicht DSGVO-konform abbildbar ist.

Rechtliche Grundlagen hierfür findest Du in Art. 28 DSGVO - Auftragsverarbeitung sowie in der DSK-Orientierungshilfe zu KI-Systemen.

Auftragsverarbeitung und KI-Haftung: wer haftet bei fehlerhafter KI?

Wenn Dein Startup KI-Dienste von Drittanbietern integriert, bist Du in der Regel Verantwortlicher im Sinne der DSGVO und der Drittanbieter ist Auftragsverarbeiter. Du brauchst also einen AVV gemäß Art. 28 DSGVO. Die meisten großen KI-Anbieter bieten standardisierte AVVs an (sog. Data Processing Agreements). Prüfe diese sorgfältig:

  1. Bietet Dein KI-Drittanbieter einen AVV an? Oftmals ist dies erst ab der Business- oder Enterprise-Variante der Fall.
  2. Sind die technisch-organisatorischen Maßnahmen ausreichend? Diese stehen in der Regel direkt hinter dem AVV.
  3. Wird die Datenverarbeitung auf Deine Weisung beschränkt? Denke in jedem Fall daran, dass die Verarbeitung der Daten zu Trainingszwecken ausgeschlossen wird.

Beim Thema Haftung solltest Du wissen: Erste deutsche Gerichte haben entschieden, dass KI-Betreiber, also Unternehmen und Startups, die KI-Dienste von Drittanbietern in ihre eigene Software integrieren, für Schäden haften können, die durch fehlerhafte KI-Ausgaben entstehen, auch wenn die Fehler vom integrierten KI-Dienst verursacht wurden. Das LG Hamburg hat in einem Beschluss klargestellt, dass der Betreiber einer Software, die KI integriert, grundsätzlich auch für Halluzinationen und falsche Ergebnisse der KI haftbar sein kann. Du kannst dieses Risiko durch saubere AGB-Klauseln (Haftungsbeschränkung, Prüfpflicht des Kunden) reduzieren aber nicht vollständig ausschließen. Deshalb ist eine durchdachte Vertragsgestaltung sowie Anwendung der KI-Dienste so wichtig.

Häufige Fragen zur KI-Verordnung für Startups

Wann tritt die KI-Verordnung vollständig in Kraft?

Die KI-VO tritt stufenweise in Kraft. Die Verbote (Art. 5) und die Schulungspflicht (Art. 4) gelten seit Februar 2025. Die Transparenzpflichten (Art. 50) gelten ab dem 2. August 2026. Die vollständigen Pflichten für Hochrisiko-KI-Systeme greifen ab August 2026 bzw. August 2027. Den vollständigen Gesetzestext findest Du hier.

Wie mache ich meine KI-Software rechtssicher?

Drei Schritte: Erstens, prüfe ob Dein System nicht ausnahmsweise als Hochrisiko eingestuft wird (Anhang III KI-VO). Zweitens, setze die Transparenzpflicht um - informiere Nutzer über den KI-Einsatz im Produkt, in den AGB und in der Datenschutzerklärung. Drittens, schule Dein Team gemäß Art. 4 KI-VO und dokumentiere die Schulungen.

Muss ich in meiner Datenschutzerklärung auf KI hinweisen?

Ja. Wenn Du personenbezogene Daten über KI-Dienste verarbeitest, muss Deine Datenschutzerklärung den KI-Einsatz abbilden, inklusive Nennung des Dienstes, Zweck, Rechtsgrundlage und Hinweis auf Drittlandübermittlung.

Wer haftet, wenn die KI in meinem Produkt einen Fehler macht?

Grundsätzlich haftest Du als Betreiber. Erste Gerichtsentscheidungen zeigen, dass sich KI-Betreiber nicht vollständig auf vertragliche Haftungsausschlüsse berufen können. Eine klare AGB-Klausel mit Haftungsbeschränkung und Prüfpflicht des Kunden hilft, reduziert das Risiko aber nicht auf null.

Brauche ich einen AVV mit meinem KI-Anbieter?

In der Regel ja. Wenn der KI-Anbieter personenbezogene Daten in Deinem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO Pflicht. Die meisten großen Anbieter (OpenAI, Google, Anthropic) bieten standardisierte AVVs an.

Du brauchst rechtssichere KI-Dokumente für Dein Startup?

Ich unterstütze Startups und Gründer dabei, die Anforderungen der KI-Verordnung pragmatisch umzusetzen, von der AGB-Klausel über die Datenschutzerklärung bis zum AVV. Alles individuell, verständlich erklärt und zum transparenten Festpreis. Seit 2015 habe ich über 1.000 Gründer:innen beraten und weiß, worauf es in der Praxis ankommt.

Lass uns in einem kurzen Gespräch klären, was Dein Startup braucht.

Da gibt's noch mehr!

Unsere letzten Blogbeiträge für Dich

Datenschutz
12 Min. Lesezeit

Datenschutz für Startups: So setzt Du die DSGVO richtig um

Weiterlesen
AGB & Verträge
8 Min. Lesezeit

Dein Startup geht live - So startest Du rechtssicher!

Weiterlesen
Gründen
12 Min. Lesezeit

Impact Startups - finde die passende Rechtsform

Weiterlesen
Der Anwalt
Der Anwalt
Der Anwalt
Der Anwalt