top of page
Genossenschaftsverband-der-Länder-e.V.-logo

EU AI Act ab August 2026: Welche Anforderungen für Genossenschaften je nach KI-Anwendung relevant sein können

  • vor einigen Sekunden
  • 5 Min. Lesezeit

Aktualisiert: 30. Apr.

Die KI-Verordnung ist seit August 2024 in Kraft, wird aber erst mit dem Anwendungsdatum 2. August 2026 für den allergrößten Teil ihrer Pflichten praktisch wirksam. Für Genossenschaften ist das kein rein technisches Thema: Scoringmodelle bei Genossenschaftsbanken, Bewerberbewertungen bei Wohnungsgenossenschaften und KI-gestützte Personalprozesse in allen Branchen fallen häufig in die Hochrisikokategorie und lösen einen strukturierten Pflichtenkatalog aus. Der Beitrag ordnet die Risikoklassen ein, zeigt die typischen Betroffenheiten und skizziert den Umsetzungsweg bis zum Stichtag.


Abstract architectural shot of a spiraling modern staircase in white concrete, geometric lines converging upward toward a skylight, cool teal and warm grey tones, editorial photography

Das Wichtigste in Kürze

  • Hochrisiko-KI-Systeme nach Anhang III der KI-Verordnung betreffen insbesondere Kreditwürdigkeitsprüfung, Preisbildung in der Lebens- und Krankenversicherung, Beschäftigtenauswahl und Zugang zu essenziellen Dienstleistungen. Viele Genossenschaften sind in mindestens einem dieser Bereiche tätig.

  • Ab 2. August 2026 gelten für Hochrisiko-Systeme sieben Kernpflichten: Risikomanagement, Daten-Governance, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht und Robustheit nach Artikel 6 bis 15 der KI-Verordnung.

  • Auch ohne Hochrisiko-System bleiben die allgemeine KI-Kompetenzpflicht nach Artikel 4 und Transparenzpflichten bei Chatbots, synthetischen Medien und emotionserkennenden Systemen nach Artikel 50 anwendbar.



Die vier Risikoklassen – wer ist betroffen


Die KI-Verordnung arbeitet risikobasiert. Am strengsten greift Artikel 5 mit einer Liste verbotener Praktiken – Social Scoring, unterschwellige Manipulation, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum, Emotionserkennung am Arbeitsplatz. Diese Systeme dürfen seit dem 2. Februar 2025 nicht mehr entwickelt, vertrieben oder eingesetzt werden. Die zweite Stufe bilden Hochrisiko-Systeme nach Anhang III mit acht Anwendungsbereichen; für Genossenschaften besonders relevant sind Nummer 4 (Beschäftigung), Nummer 5 Buchstabe b (Kreditwürdigkeit) und Nummer 5 Buchstabe c (Risikobewertung in der Lebens- und Krankenversicherung).


Zwei abgestufte Klassen runden das Bild ab. Begrenztes Risiko nach Artikel 50 bedeutet Transparenzpflichten bei Chatbots, Deepfakes, synthetischen Medien und KI-generierten Inhalten – das trifft praktisch jede Genossenschaft, die Online-Serviceportale oder automatisierte Kundenkommunikation einsetzt. Minimales Risiko umfasst alle anderen KI-Systeme ohne spezifische Pflichten; hier greift nur die allgemeine KI-Kompetenzpflicht nach Artikel 4. Allgemeine KI-Modelle (General-Purpose AI) werden in Kapitel V eigenständig reguliert und betreffen Foundation-Anbieter; für Genossenschaften ist die Betreibersicht entscheidend, nicht die Anbieterregulierung.



Betroffenheit nach Genossenschaftstyp


Die Frage, ob eine Genossenschaft Hochrisiko-KI betreibt, entscheidet sich am Geschäftsfeld. Genossenschaftsbanken stehen im Zentrum: Kreditwürdigkeitsprüfung mittels automatisierter Scoringmodelle fällt unter Anhang III Nummer 5 Buchstabe b und ist Hochrisiko. Rein regelbasierte Prüfroutinen ohne Machine Learning können über Artikel 6 Absatz 3 ausgenommen sein – die Ausnahme ist aber eng und dokumentationspflichtig. Wohnungsgenossenschaften treffen die Regeln, sobald KI-gestütztes Mieter-Scoring oder Bewerberbewertung im Einsatz ist; Wohnraum gilt nach Anhang III Nummer 5 Buchstabe a als Zugang zu essenziellen Dienstleistungen.


Agrargenossenschaften sind in der Regel nicht unmittelbar betroffen – außer bei KI-gestützter Mitarbeiterbewertung oder intern genutzten Zulassungs- und Zuteilungssystemen. Energiegenossenschaften nutzen KI meist zur Lastvorhersage oder Quartiersbilanzierung; das ist für sich genommen kein Hochrisiko-System, aber KI-gestützte Entscheidungen über Stromlieferungen an Einzelne können Anhang III Nummer 5 Buchstabe a auslösen. Branchenübergreifend ist ein Risikofeld immer gleich: KI im Recruiting, in der Mitarbeiterleistungsbewertung oder bei der Zuteilung von Schichten und Aufgaben ist Hochrisiko nach Anhang III Nummer 4 – unabhängig vom Geschäftsfeld.



Sieben Kernpflichten für Hochrisiko-Systeme


Wer als Anbieter oder als Betreiber ein Hochrisiko-System einsetzt, muss ab 2. August 2026 einen strukturierten Pflichtenkatalog umsetzen. Den Rahmen bildet ein Risikomanagementsystem nach Artikel 9, das Risiken über den gesamten Lebenszyklus identifiziert, bewertet und mindert. Darauf aufbauend verlangt Artikel 10 eine Daten-Governance: Training-, Validierungs- und Testdaten müssen relevant, repräsentativ, fehlerfrei und vollständig sein, mit besonderer Prüfung auf Bias bei geschützten Merkmalen. Ergänzt wird das durch die technische Dokumentation nach Artikel 11 und Anhang IV – eine umfassende Beschreibung von Architektur, Trainingsdaten, Performance-Metriken und Grenzen.


Operativ folgen vier weitere Säulen. Protokollierung nach Artikel 12 verlangt automatische Aufzeichnung von Ereignissen während des Betriebs, insbesondere für die Nachvollziehbarkeit einzelner Entscheidungen. Transparenz und Benutzerinformation nach Artikel 13 bedeuten eine Gebrauchsanleitung in der Amtssprache des jeweiligen Mitgliedstaats; Nutzer müssen verstehen können, was das System tut und wo seine Grenzen liegen. Menschliche Aufsicht nach Artikel 14 verlangt qualifizierte, eingriffsfähige Personen mit echter Kontrollkompetenz. Genauigkeit, Robustheit und Cybersicherheit nach Artikel 15 schließen den Kreis – Leistungskennzahlen und Fehlerquoten sind offenzulegen. Wer diese sieben Bausteine konsistent dokumentiert, erfüllt den Kern der Verordnung.



Rollen: Anbieter, Betreiber, Importeur


Die KI-Verordnung unterscheidet drei Hauptrollen mit unterschiedlichen Pflichtentiefen. Anbieter nach Artikel 16 entwickeln ein System oder bringen es unter eigenem Namen in Verkehr; sie tragen den vollen Pflichtenkatalog einschließlich Konformitätsbewertung, CE-Kennzeichnung und EU-Konformitätserklärung. Betreiber (Deployer) nach Artikel 26 setzen ein System in eigener Verantwortung ein und haben deutlich schlankere Pflichten: Nutzung gemäß Anbieterinstruktionen, Sicherstellung menschlicher Aufsicht, Protokollierung von Ereignissen und Meldung schwerwiegender Vorfälle. Importeure und Händler nach den Artikeln 23 und 24 tragen primär Prüfpflichten und sind für Genossenschaften selten einschlägig.


Entscheidend ist das Rollenwechsel-Risiko nach Artikel 25. Wer ein System wesentlich modifiziert, unter eigenem Namen vertreibt oder dessen Zweckbestimmung ändert, wird selbst zum Anbieter – ein Fall, der bei tiefer Eigenanpassung von Standardmodellen schneller eintritt als erwartet. Ergänzend verlangt Artikel 27 für öffentliche Einrichtungen und einige private Betreiber von Hochrisiko-Systemen eine Grundrechte-Folgenabschätzung vor Ersteinsatz; Wohnungsgenossenschaften mit öffentlichem Auftrag sollten diese Pflicht im Zweifel ernst nehmen und die Folgenabschätzung wie eine DSGVO-Abwägung strukturiert dokumentieren.



Umsetzung bis 2. August 2026 – praktischer Fahrplan


Der Fahrplan beginnt mit einer vollständigen Inventur: eine Liste aller eingesetzten KI-Systeme einschließlich externer SaaS-Dienste. In der Praxis werden Chatbots, Übersetzungstools und automatisierte Entscheidungen erst bei systematischer Erhebung sichtbar – die Inventur ist deshalb häufig der aufwändigste Einzelschritt. Darauf folgt die Klassifizierung jedes Systems nach Anhang III, mit Dokumentation der Entscheidung – besonders wenn auf die Ausnahme nach Artikel 6 Absatz 3 gestützt wird. Die KI-Kompetenzpflicht nach Artikel 4 wirkt parallel: Schulungen sind seit Februar 2025 Pflicht und Gegenstand erster aufsichtsrechtlicher Prüfungen.


Auf der Vertrags- und Governance-Ebene müssen Anbieterverträge die Anforderungen aus Artikel 25 Absatz 4 und Artikel 26 spiegeln; Informations- und Mitwirkungspflichten des Anbieters gegenüber dem Betreiber gehören ausdrücklich ins Vertragswerk. Organisatorisch lohnt sich die Benennung einer KI-verantwortlichen Stelle, integriert in die bestehende Compliance-Struktur; Dokumentation der menschlichen Aufsicht und der Eskalationswege macht die Rolle prüfbar. Flankierend ist ein Meldeweg für schwerwiegende Vorfälle nach Artikel 73 einzurichten – je nach Schwere gelten Meldefristen von 72 Stunden bis 15 Tagen. Wer diese Roadmap 2026 abarbeitet, erfüllt nicht nur die Pflichten der Verordnung, sondern schafft zugleich eine belastbare Grundlage für spätere KI-Erweiterungen ohne Brüche in der Compliance-Architektur.



Häufige Fragen


Sind rein regelbasierte Software und klassische Statistikverfahren vom AI Act erfasst?

Die Definition eines KI-Systems nach Artikel 3 Nummer 1 setzt ein gewisses Maß an Autonomie und Inferenzfähigkeit voraus. Rein regelbasierte Systeme ohne maschinelles Lernen fallen in der Regel nicht unter die Verordnung. Für klassische statistische Scoringmodelle ist die Einordnung einzelfallabhängig – die Kommission hat Leitlinien zur Abgrenzung angekündigt.


Was bedeutet die KI-Kompetenzpflicht konkret?

Artikel 4 der KI-Verordnung verpflichtet Anbieter und Betreiber, ein ausreichendes Niveau an KI-Kompetenz bei allen Personen sicherzustellen, die mit dem System befasst sind. In der Praxis bedeutet das dokumentierte Schulungen, die auf die konkrete Rolle, das eingesetzte System und die Auswirkungen auf Betroffene eingehen.


Muss die Genossenschaft eine Grundrechte-Folgenabschätzung durchführen?

Artikel 27 der KI-Verordnung verpflichtet öffentliche Stellen und bestimmte Betreiber von Hochrisiko-Systemen zu einer Grundrechte-Folgenabschätzung vor Erstanwendung. Für privatwirtschaftliche Genossenschaften ist dies regelmäßig nicht zwingend, aber als Good-Practice-Instrument zur Risikosteuerung sinnvoll – insbesondere bei Scoring- und Auswahlentscheidungen.


Welche Sanktionen drohen bei Verstößen?

Der Bußgeldrahmen nach Artikel 99 reicht je nach Verstoß bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei verbotenen Praktiken, bis zu 15 Millionen Euro oder 3 Prozent bei Verstößen gegen Hochrisiko-Anforderungen und bis zu 7,5 Millionen Euro oder 1 Prozent bei falschen Informationen gegenüber Behörden.


Wie greifen AI Act, DSGVO und DORA ineinander?

Die Regelwerke stehen nebeneinander. Wer ein Hochrisiko-KI-System betreibt, muss typischerweise alle drei Anforderungen simultan erfüllen: datenschutzrechtliche Rechtsgrundlage und Betroffenenrechte nach DSGVO, IKT-Risikomanagement nach DORA bei Finanzunternehmen und die KI-spezifischen Pflichten nach dem AI Act. Eine gemeinsame Dokumentationsarchitektur spart Ressourcen.


Für eine individuelle Einschätzung oder Unterstützung steht Ihnen der Genossenschaftsverband der Länder e.V. (GVdL) gern zur Verfügung. Kontakt: Kathrin Becher, info@gvdl.de, www.gvdlverband.de.


Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle steuerliche oder rechtliche Beratung.



Quellen



Kommentare

Mit 0 von 5 Sternen bewertet.
Noch keine Ratings
Rating hinzufügen
bottom of page