KI-VO Wissen · Begriffe erklärt

Verbotene KI-Praktiken nach Art. 5 KI-VO

Was verbotene KI-Praktiken sind, warum Art. 5 seit Februar 2025 relevant ist und was Mitarbeitende dazu wissen sollten.

KI-Schulung ansehenArt. 4 Hub

Kurzdefinition

Art. 5 KI-VO untersagt bestimmte KI-Praktiken mit inakzeptablem Risiko, etwa manipulative, ausbeuterische oder unzulässige biometrische Anwendungen in definierten Kontexten.

Das Wichtigste in Kürze
  • Verbote gelten bereits seit dem 2. Februar 2025.
  • Verstöße sind mit den höchsten Bußgeldern bewehrt: bis 35 Mio. € oder 7 % Umsatz.
  • Neue KI-Ideen mit Personenbezug vor Umsetzung prüfen lassen.

Was Art. 5 grundsätzlich verbietet

Art. 5 markiert die oberste Stufe des risikobasierten Ansatzes: KI-Praktiken mit „unannehmbarem Risiko“. Solche Systeme dürfen in der EU gar nicht eingesetzt werden – es gibt keine Auflage und keinen Nachbesserungsweg, sondern nur die sofortige Unterlassung. Die Verbote schützen vor allem die Grundrechte, die Menschenwürde und besonders schutzbedürftige Gruppen.

Die acht verbotenen Praktiken

Die Verordnung benennt acht Kategorien verbotener KI-Praktiken. Sie reichen von manipulativer KI bis zu unzulässiger Biometrie.

  • manipulative oder täuschende Techniken, die das Verhalten unterschwellig beeinflussen und erheblichen Schaden verursachen
  • Ausnutzen von Schwächen aufgrund von Alter, Behinderung oder sozialer/wirtschaftlicher Lage
  • Social Scoring, das zu ungerechtfertigter oder unverhältnismäßiger Benachteiligung führt
  • Vorhersage von Straftaten allein anhand von Profiling oder Persönlichkeitsmerkmalen
  • ungezieltes Auslesen von Gesichtsbildern aus dem Internet oder von Kameras zum Aufbau von Gesichtserkennungs-Datenbanken
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit engen Ausnahmen)
  • biometrische Kategorisierung zur Ableitung sensibler Merkmale wie ethnische Herkunft, Religion oder sexuelle Orientierung
  • biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken (nur eng begrenzte Ausnahmen)

Seit wann die Verbote gelten

Die Verbote nach Art. 5 gelten seit dem 2. Februar 2025 – ohne Übergangsfrist. Verstöße sind mit dem höchsten Bußgeldrahmen der KI-VO bewehrt: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Damit ist Art. 5 die schärfste Sanktionsnorm der Verordnung.

Leitlinien der EU-Kommission

Zur Auslegung hat die EU-Kommission Anfang 2025 Leitlinien zu den verbotenen Praktiken veröffentlicht. Sie konkretisieren die teils unbestimmten Rechtsbegriffe und grenzen erlaubte von unzulässigen Anwendungen ab. In Deutschland informiert zusätzlich die Bundesnetzagentur über die verbotenen Praktiken.

Was das für normale Unternehmen bedeutet

Die gute Nachricht: Die meisten Unternehmen setzen keine verbotene KI ein. Die Risiken entstehen eher beiläufig – etwa wenn jemand Emotionserkennung im Bewerbungsgespräch erwägt, Mitarbeitende per KI bewertet oder fragwürdige biometrische Funktionen ausprobiert. Genau deshalb müssen Mitarbeitende nicht jede juristische Einzelheit kennen, aber riskante Ideen früh als solche erkennen.

Praktischer Umgang und Eskalation

Neue KI-Anwendungsfälle mit Personenbezug sollten vor der Umsetzung durch Datenschutz, IT, Legal oder eine KI-verantwortliche Stelle geprüft werden. Eine klare Eskalationsregel in der KI-Richtlinie verhindert, dass problematische Ideen unbemerkt in den Produktivbetrieb gelangen. KI-Kompetenz nach Art. 4 schafft das nötige Bewusstsein dafür.

Abgrenzung zu Hochrisiko-KI

Verbotene Praktiken (Art. 5) und Hochrisiko-KI (Art. 6) werden oft verwechselt. Der Unterschied ist grundlegend: Verbotene Praktiken sind generell untersagt, während Hochrisiko-KI erlaubt, aber streng reguliert ist. Eine Bewerber-KI ist also nicht verboten, unterliegt aber als Hochrisiko-Anwendung umfangreichen Pflichten.

Zeitlicher Rahmen

Wann die KI-Verordnung greift

Die Pflichten der KI-Verordnung treten gestaffelt in Kraft. Diese Übersicht zeigt die Stichtage, die für Unternehmen heute relevant sind.

  1. 1. August 2024

    In Kraft

    KI-Verordnung tritt in Kraft

    Die Verordnung (EU) 2024/1689 tritt in Kraft. Die einzelnen Pflichten greifen anschließend gestaffelt.

  2. 2. Februar 2025

    In Kraft

    KI-Kompetenz (Art. 4) & verbotene Praktiken (Art. 5)

    Die Pflicht zur KI-Kompetenz gilt seit diesem Datum für alle Anbieter und Betreiber. Gleichzeitig sind verbotene KI-Praktiken untersagt.

  3. 2. August 2025

    In Kraft

    Pflichten für GPAI-Modelle & Governance

    Transparenz- und Dokumentationspflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) sowie die Governance-Strukturen werden wirksam.

  4. 2. August 2026

    Geplant

    Marktüberwachung, Hochrisiko & Transparenz (Art. 50)

    Die nationale Marktüberwachung und Durchsetzung starten. Pflichten für Hochrisiko-KI nach Annex III und die Transparenzpflichten nach Art. 50 werden anwendbar.

  5. 2. August 2027

    Geplant

    Volle Compliance für Bestands-GPAI & eingebettete Hochrisiko-KI

    GPAI-Modelle, die vor August 2025 in Verkehr gebracht wurden, müssen vollständig konform sein. Weitere Hochrisiko-Fälle folgen.