EU-KI-Verordnung Artikel 5: die acht verbotenen KI-Praktiken erklärt

Artikel 5 der EU-KI-Verordnung verbietet acht spezifische KI-Praktiken vollständig. Anders als Hochrisiko-Pflichten (die Compliance-Arbeit erfordern, den Betrieb des Systems aber erlauben) sind die Verbote des Artikels 5 absolut. Keine Konformitätsbewertung, keine Dokumentation und keine Schutzmaßnahme kann eine verbotene Praktik rechtmäßig machen. Die Höchststrafe beträgt 35 Mio. € oder 7 % des weltweiten Jahresumsatzes – die höchste Sanktion der gesamten Verordnung. Artikel 5 ist seit dem 2. Februar 2025 in Kraft und wird bereits vollzogen.

Die acht Verbote

Artikel 5(1)(a): unterschwellige Techniken, die außerhalb des Bewusstseins einer Person wirken, oder absichtlich manipulative bzw. täuschende Techniken mit dem Ziel oder der Wirkung, das Verhalten wesentlich zu verzerren und erheblichen Schaden zu verursachen oder verursachen zu können.

Artikel 5(1)(b): Ausnutzung von Schwachstellen aufgrund von Alter, Behinderung oder einer bestimmten sozialen oder wirtschaftlichen Situation mit dem Ziel oder der Wirkung, das Verhalten wesentlich zu verzerren und erheblichen Schaden zu verursachen.

Artikel 5(1)(c): biometrische Kategorisierung natürlicher Personen zur Ableitung von Rasse, politischen Meinungen, Gewerkschaftszugehörigkeit, religiösen Überzeugungen, Sexualleben oder sexueller Orientierung.

Artikel 5(1)(d): Social Scoring durch Behörden oder in deren Auftrag, das in nicht damit zusammenhängenden Kontexten zu nachteiligen oder ungünstigen Behandlungen führt oder das ungerechtfertigt oder unverhältnismäßig ist.

Artikel 5(1)(e): Risikobewertung natürlicher Personen zur Vorhersage von Straftaten allein auf der Grundlage von Profiling oder Persönlichkeitsmerkmalen (Predictive Policing ohne weitere Belege).

Artikel 5(1)(f): ungezielte Auslese von Gesichtsbildern aus dem Internet oder aus CCTV-Aufnahmen zur Erstellung oder Erweiterung von Gesichtserkennungsdatenbanken.

Artikel 5(1)(g): Ableitung von Emotionen an Arbeitsplätzen oder in Bildungseinrichtungen, außer aus medizinischen oder sicherheitsbezogenen Gründen.

Artikel 5(1)(h): biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden, außer unter spezifischen, eng gefassten Umständen.

Welche Verbote SaaS betreffen

Die meisten SaaS-Anbieter werden die Artikel 5(1)(d), (e), (f) oder (h) nie auslösen – diese gelten in erster Linie für KI im öffentlichen Sektor. Die Verbote, die kommerzielle SaaS-Produkte erfassen, sind 5(1)(a) (Manipulation), 5(1)(b) (Ausnutzung von Schwachstellen), 5(1)(c) (biometrische Kategorisierung zur Ableitung geschützter Merkmale) und 5(1)(g) (Emotionserkennung am Arbeitsplatz oder in Schulen).

Häufige SaaS-Grenzfälle

Häufige Fälle, die sich in der Nähe der Verbote des Artikels 5 befinden: dynamische Preisgestaltungsmodelle, die Impulskaufsignale erlernen und Dringlichkeitsdruck erzeugen (Bereich des Artikels 5(1)(a)); Ad-Targeting-Algorithmen, die finanzielle Notlagen identifizieren und ausnutzen (Artikel 5(1)(b)); Sprachanalyse-Tools, die Emotionen oder Stimmungen aus Kundendienstgesprächen am Arbeitsplatz ableiten (Artikel 5(1)(g)); HR-Tech-Tools, die Bewerber anhand von Persönlichkeitsdimensionen klassifizieren, die aus biometrischen Merkmalen wie der Stimmlage abgeleitet werden (Überschneidung von Artikel 5(1)(c) und 5(1)(g)). Jeder dieser Fälle erfordert eine sorgfältige Designprüfung.

Vollzug und Sanktionen

Die Verbote des Artikels 5 werden seit dem 2. Februar 2025 vollzogen. Die Höchststrafe gemäß Artikel 99(3) beträgt 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Die KMU-Verhältnismäßigkeit gilt, führt bei wesentlichen Verstößen jedoch selten zu Bußgeldern unter 100.000 €. Nationale Behörden können zudem die sofortige Einstellung der verbotenen Praktik, den Marktrückzug und korrigierende Öffentlichkeitsmaßnahmen anordnen. In einigen Mitgliedstaaten ist bei schwerwiegenden oder wiederholten Verstößen eine strafrechtliche Haftung möglich.

Praktische Compliance

SaaS-Anbieter sollten einmal jährlich sowie nach jeder wesentlichen Produktänderung eine formelle Prüfung gemäß Artikel 5 durchführen. Jede Funktion ist mit einer schriftlichen Begründung gegen jedes Verbot zu dokumentieren. Die Prüfungsdokumentation ist im Compliance-Archiv für Anfragen der Aufsichtsbehörden aufzubewahren. Liegt eine Funktion in der Nähe eines Verbots, sollte sie neu gestaltet oder mit Schutzmaßnahmen versehen werden (ausdrückliches Opt-in, Altersverifikation, Erkennung von Schwachstellen). Lässt sich der Abstand zum Verbot nicht herstellen, sollte eine externe Compliance-Prüfung hinzugezogen werden – das Sanktionsrisiko ist so erheblich, dass ein Rechtsgutachten geboten ist.

Frequently asked questions

Wann ist Artikel 5 in Kraft getreten?

  1. Februar 2025 – Artikel 5 wird bereits vollzogen.

Welche Sanktionen drohen bei Verstößen gegen Artikel 5?

Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Hinzu kommen Anordnungen zur sofortigen Einstellung und ein möglicher Marktrückzug.

Gilt Artikel 5 für kommerzielle SaaS-Produkte?

Ja – insbesondere die Verbote aus Artikel 5(1)(a) Manipulation, 5(1)(b) Ausnutzung von Schwachstellen, 5(1)(c) biometrische Kategorisierung und 5(1)(g) Emotionserkennung am Arbeitsplatz.

Gibt es Ausnahmen von Artikel 5(1)(g)?

Ja – medizinische oder sicherheitsbezogene Gründe sind ausgenommen. Ein System zur Überwachung von Arbeitsstress, das im Rahmen eines betrieblichen Gesundheitsprogramms eingesetzt wird, kann rechtmäßig sein; dasselbe System zur Bewertung der Mitarbeiterleistung ist es nicht.

Kann ich ein Bußgeld abwenden, wenn ich die verbotene Praktik einstelle?

Die Einstellung der Praktik reduziert das fortlaufende Risiko, beseitigt jedoch keine Bußgelder für vergangenes Verhalten. Die nationalen Behörden haben Ermessen, Bußgelder bei Kooperation und zügiger Abhilfe zu reduzieren.

Sources

Last updated: 2026-05-28