Wer eine Hochrisiko-KI in der EU auf den Markt bringt, kommt um die Vorgabe Art. 49 KI-VO EU Datenbank Registrierung nicht herum. Die Vorschrift macht aus einem zentralen Compliance-Schritt einen öffentlich sichtbaren Eintrag: Vor dem Inverkehrbringen oder der Inbetriebnahme muss das System in einer von der EU-Kommission geführten Datenbank registriert sein. Für Sie als Anbieter, Behörde oder mittelständischen Auftraggeber bedeutet das eine neue Form von Markttransparenz, die Sie sowohl betrifft als auch nutzen können.
Auf einen Blick: Art. 49 EU AI Act verpflichtet Anbieter von Hochrisiko-KI nach Anhang III, ihr System vor Inverkehrbringen oder Inbetriebnahme in einer EU-Datenbank zu registrieren. Behörden, die Hochrisiko-KI einsetzen, müssen sich ebenfalls registrieren. Die Datenbank wird von der EU-Kommission betrieben und ist größtenteils öffentlich. Inhalt sind die Eckdaten aus Anhang VIII zur KI-VO. Die Pflicht wird mit dem Geltungsbeginn der Hochrisiko-Pflichten am 02.12.2027 wirksam.
Was Art. 49 KI-VO regelt
Art. 49 KI-VO ist die Norm, die der EU-Datenbank für Hochrisiko-KI ihre rechtliche Grundlage gibt. Die Vorschrift verlangt nicht nur, dass ein System überhaupt existiert und konform ist. Sie verlangt, dass dieser Konformitätsstatus aktenkundig und öffentlich nachvollziehbar dokumentiert wird.
Die Datenbank ist ein Transparenzinstrument. Sie soll der Marktaufsicht helfen, Hochrisiko-KI in der EU zu überblicken. Und sie soll Bürgern, Auftraggebern und Wettbewerbern ermöglichen, sich ein Bild davon zu machen, welche Hochrisiko-Systeme im Markt zirkulieren.
Die technische Plattform betreibt die EU-Kommission. Die Verantwortung für die Befüllung tragen die Anbieter und in bestimmten Fällen die Betreiber selbst. Wer die Registrierung versäumt, riskiert ein Bußgeld nach Art. 99 Abs. 4 KI-VO von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes, wobei für KMU der niedrigere Wert gilt.
Das ist die Logik des Gesetzgebers: Wer Hochrisiko-KI in den Verkehr bringt, soll dies nicht im Verborgenen tun.
Wer registrieren muss und wer nicht
Die Norm unterscheidet sehr genau zwischen verschiedenen Akteursrollen. Nicht jeder, der mit Hochrisiko-KI zu tun hat, muss in die Datenbank eingetragen werden. Die folgende Übersicht ordnet die Rollen den jeweiligen Pflichten zu.
| Rolle | Pflicht nach Art. 49 KI-VO | Registrierung erforderlich? |
|---|---|---|
| Anbieter Hochrisiko-KI nach Anhang III | Abs. 1 | Ja, vor Inverkehrbringen oder Inbetriebnahme |
| Anbieter mit Selbsteinstufung nach Art. 6 Abs. 3 (System ist aus Sicht des Anbieters NICHT Hochrisiko) | Abs. 2 | Ja, Eintrag im EU-Register als dokumentierte Einstufung |
| Behörden, Agenturen, EU-Einrichtungen als Betreiber | Abs. 3 und 4 | Ja, vor erstem Einsatz |
| Anbieter Hochrisiko-KI nach Anhang I (Spielzeug, Aufzüge, Maschinen, Medizinprodukte) | Anhang-I-Systeme haben eigene Konformitätsverfahren | Nein, nicht über Art. 49 |
| Privater Betreiber als Unternehmen | Keine Pflicht nach Art. 49 | Nein, nur Anbieter und öffentliche Betreiber |
Diese Differenzierung ist wichtig. Wenn Sie ein mittelständisches Unternehmen sind und eine Recruiting-KI von einem externen Anbieter einsetzen, müssen Sie selbst nicht in die EU-Datenbank. Ihr Anbieter muss. Sie können aber prüfen, ob Ihr Anbieter dieser Pflicht nachgekommen ist. Das ist der Kern der praktischen Wirkung von Art. 49.
Eine Sonderrolle haben die Anbieter, die nach der sogenannten Selbsteinstufung gemäß Art. 6 Abs. 3 zu dem Ergebnis kommen, dass ihr System trotz Anhang-III-Treffer ausnahmsweise kein Hochrisiko ist. Auch sie müssen sich registrieren. Die Datenbank dokumentiert dann die Einstufungsentscheidung. So bleibt nachvollziehbar, welche Systeme der Anbieter aus dem Hochrisiko-Bereich herausnimmt und mit welcher Begründung.
Welche Daten in die EU-Datenbank kommen
Die Inhaltsangabe für die Registrierung steht in Anhang VIII zur KI-VO. Anhang VIII ist in mehrere Abschnitte gegliedert, die unterschiedliche Akteure betreffen.
Daten zum Anbieter und zum System (Abschnitte A und B):
- Name, Anschrift und Kontaktdaten des Anbieters
- Gegebenenfalls Bevollmächtigter in der EU
- Handelsname und eindeutige Referenznummer des KI-Systems
- Beschreibung des Verwendungszwecks und der Funktionsweise
- Beschreibung der Komponenten und der verarbeiteten Daten
- Status des Systems (in Verkehr, außer Verkehr genommen, zurückgerufen)
- Mitgliedstaaten, in denen das System angeboten oder eingesetzt wird
- Inhalt der Konformitätserklärung
- Referenz auf die CE-Kennzeichnung
- Bezeichnung der notifizierten Stelle, falls eine externe Konformitätsbewertung nach Anhang VII durchgeführt wurde
- Verweis auf die elektronische Gebrauchsanweisung
Daten zum Betreiber bei öffentlichen Stellen (Abschnitt C):
- Kontaktdaten der Behörde oder Agentur
- Verweis auf den Eintrag des Systems in der Datenbank
- Zusammenfassung der durchgeführten Grundrechte-Folgenabschätzung nach Art. 27 KI-VO
Personenbezogene Daten werden nur insoweit verarbeitet, wie sie für die Identifikation der verantwortlichen Stelle nötig sind. Das betrifft typischerweise die Kontaktperson, die rechtsgeschäftlich für Anbieter oder Betreiber handelt.
Die Pflicht ist dynamisch. Wenn Sie als Anbieter ein System aus dem Verkehr nehmen oder eine wesentliche Änderung vornehmen, müssen Sie die Datenbank aktualisieren.
Öffentlichkeit und Vertraulichkeit
Die Datenbank ist im Grundsatz öffentlich zugänglich. Wer wissen will, welche Hochrisiko-KI im EU-Markt zirkuliert, kann das nachsehen. Das ist eine bewusste Entscheidung des Gesetzgebers.
Es gibt aber Ausnahmen. Vier Schutzgüter rechtfertigen die Beschränkung der Öffentlichkeit:
- Strafverfolgung und Sicherheit der Mitgliedstaaten
- Migration, Asyl und Grenzkontrolle
- Schutz vertraulicher Geschäftsdaten der Anbieter
- Schutz geistigen Eigentums
Für die ersten beiden Bereiche existiert ein gesicherter, nicht-öffentlicher Teil der Datenbank. Zugriff haben dort nur die EU-Kommission und besonders autorisierte nationale Behörden. Hochrisiko-KI im Bereich Strafverfolgung oder Grenzschutz wird also registriert, aber nicht für jedermann einsehbar.
Für die letzten beiden Bereiche gilt eine zurückhaltendere Darstellung. Geschäftsgeheimnisse und Algorithmen müssen Sie als Anbieter nicht offenlegen. Es geht um Eckdaten zur Identifizierung und Zuordnung, nicht um die technische Architektur Ihres Systems.
Diese Balance war im Gesetzgebungsverfahren umstritten. Bürgerrechtsorganisationen forderten mehr Transparenz, Wirtschaftsverbände weniger. Der Kompromiss steht jetzt im Verordnungstext und in den Vertraulichkeitsklauseln.
Zeitliche Geltung und Omnibus-Verschiebung
Der ursprüngliche Geltungsbeginn für die Hochrisiko-Pflichten lag bei 02.08.2026. Am 07.05.2026 haben sich Rat und Parlament im Trilog im Rahmen der Digital-Omnibus-Initiative auf eine Verschiebung geeinigt.
Die neuen Termine im Überblick:
- Hochrisiko-KI nach Anhang III (eigenständige Systeme wie Recruiting-KI, Kredit-Scoring, Bildungssoftware): Geltungsbeginn 02.12.2027
- Hochrisiko-KI nach Anhang I (in regulierte Produkte eingebettete Systeme wie Medizinprodukte, Maschinen): Geltungsbeginn 02.08.2028
- Bereits bestehende Behördensysteme: Übergangsfrist bis 02.08.2030
Damit verschiebt sich auch die Registrierungspflicht aus Art. 49 KI-VO. Praktisch wirksam wird sie für Anhang-III-Systeme erst zum 02.12.2027. Bis dahin baut die EU-Kommission die technische Plattform fertig auf, und die Standardisierungsorganisationen entwickeln die harmonisierten Normen, die für die Konformitätsbewertung nötig sind.
Die Verschiebung ändert nichts am Inhalt der Pflicht. Sie ändert nur den Zeitpunkt. Wer jetzt mit der Vorbereitung wartet, verliert nichts. Wer jetzt schon plant, gewinnt Vorlauf.
Wichtig: Die Pflicht aus Art. 4 KI-Kompetenzpflicht gilt unabhängig davon seit 02.02.2025. Die Schulungspflicht ist nicht verschoben worden. Wer das verwechselt, läuft Gefahr, eine andere Compliance-Lücke aufzureißen.
Was die Datenbank für KMU als Auftraggeber bedeutet
Aus unserer Beratungspraxis sehen wir einen Effekt, der in der juristischen Debatte oft untergeht: Die Datenbank ist nicht nur eine Last für Anbieter. Sie ist ein praktisches Werkzeug für mittelständische Auftraggeber.
Wenn Sie als KMU eine Recruiting-Software, eine Bonitätsprüfung oder eine HR-Analytik einkaufen, bewegen Sie sich potenziell im Hochrisiko-Bereich nach Anhang III. Sie als Betreiber haben dann eigene Pflichten aus Art. 26 KI-VO Betreiberpflichten. Eine dieser Pflichten lautet, sich vor dem Einsatz darüber zu vergewissern, dass der Anbieter seine Verpflichtungen erfüllt hat.
Die EU-Datenbank macht das prüfbar. Ein einziger Blick in die Datenbank zeigt Ihnen:
- Hat der Anbieter sein System registriert?
- Welche Konformitätserklärung liegt zugrunde?
- Welche notifizierte Stelle hat die Bewertung durchgeführt?
- Ist das System noch im Verkehr oder wurde es zurückgerufen?
Das ist eine Form von Sorgfalt, die vor dem AI Act schlicht nicht möglich war. Wer früher eine HR-Software einkaufte, hatte als Mittelständler kaum Chancen, deren Konformitätsstatus zu überprüfen. Mit der Datenbank wird das ein Vorgang, der wenige Minuten dauert.
Daraus folgt eine pragmatische Empfehlung: Bauen Sie die Prüfung der EU-Datenbank in Ihren KI-Beschaffungsprozess ein. Idealerweise als verbindlichen Schritt vor jeder Vertragsunterzeichnung. Das schützt Sie als Betreiber doppelt: Sie erfüllen Ihre Sorgfaltspflicht, und Sie filtern Anbieter heraus, die ihre Hausaufgaben nicht gemacht haben.
Praxis-Beispiel: Recruiting-KI aus Bayreuth
Stellen wir uns einen mittelständischen Software-Anbieter aus Oberfranken vor, der eine KI-gestützte Bewerber-Vorauswahl entwickelt. Das System sortiert eingehende Lebensläufe nach Eignung für offene Stellen. Mit Anhang III Nummer 4 Buchstabe a fällt es in die Hochrisiko-Kategorie, weil es im Bereich Beschäftigung über Zugang zu Arbeitsverhältnissen mitentscheidet.
Der Anbieter durchläuft die Konformitätsbewertung nach Anhang VI oder Anhang VII, lässt seine technische Dokumentation prüfen und bringt eine CE-Kennzeichnung an. Bevor das System auf den Markt kommt, registriert er es in der EU-Datenbank. Eingetragen werden Firmenname, Sitz, Produktbezeichnung, Verwendungszweck, Konformitätsstatus.
Ein Personaldienstleister aus München zieht in Erwägung, dieses System zu lizenzieren. Vor der Vertragsunterzeichnung prüft die Compliance-Abteilung den Datenbankeintrag. Sie findet den Anbieter, kann die CE-Kennzeichnung nachvollziehen, sieht den Verwendungszweck und den Status "in Verkehr". Die Sorgfaltspflicht aus Art. 26 KI-VO ist damit dokumentiert.
Würde der Eintrag fehlen, wäre das ein Warnsignal. Entweder ist das System nicht als Hochrisiko klassifiziert worden, obwohl es das eigentlich wäre. Oder der Anbieter hat seine Pflicht aus Art. 49 versäumt. In beiden Fällen sollte der Personaldienstleister vor dem Einsatz Klärung verlangen.
Dieses Beispiel zeigt, wie die abstrakte Vorschrift im operativen Beschaffungsprozess wirkt. Sie macht aus Compliance ein nachprüfbares Faktum.
Häufige Fragen
Muss ich als Betreiber registrieren, wenn ich Hochrisiko-KI nur einsetze?
Im Grundsatz nein. Die Registrierungspflicht aus Art. 49 trifft Anbieter und öffentliche Betreiber. Private Unternehmen, die ein registriertes System einsetzen, haben keine eigene Datenbankpflicht. Sie haben aber Sorgfaltspflichten aus Art. 26, zu denen die Prüfung des Anbieter-Eintrags gehört.
Was kostet die Registrierung?
Die EU-Kommission erhebt nach derzeitigem Stand keine Gebühr für die Eintragung selbst. Kosten entstehen durch die Vorarbeit, die Konformitätsbewertung, die technische Dokumentation und gegebenenfalls die Inanspruchnahme einer notifizierten Stelle. Die eigentliche Datenbankeintragung ist ein administrativer Schritt am Ende dieses Prozesses.
Wo finde ich die EU-Datenbank?
Die Plattform wird von der EU-Kommission unter ihrer Domain digital-strategy.ec.europa.eu beziehungsweise einer dedizierten Subdomain bereitgestellt. Der genaue Link wird mit dem Geltungsbeginn am 02.12.2027 final veröffentlicht. Bis dahin laufen Tests und der schrittweise Aufbau der Plattform.
Was passiert bei Nicht-Registrierung?
Die Nichterfüllung der Registrierungspflicht ist eine bußgeldbewehrte Pflichtverletzung. Nach Art. 99 Abs. 4 KI-VO drohen bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes, wobei für KMU der niedrigere Wert gilt. Zusätzlich kann die nationale Marktaufsicht das Inverkehrbringen untersagen, bis die Registrierung nachgeholt wird.
Was ist mit Behörden, die bereits Hochrisiko-KI einsetzen?
Für bestehende Behördensysteme gilt eine lange Übergangsfrist bis 02.08.2030. Behörden müssen ihre Altsysteme also nicht sofort registrieren, sondern haben einige Jahre Zeit, um die Pflicht umzusetzen. Bei Neueinführungen ab 02.12.2027 gilt die Registrierungspflicht von Anfang an.
Wer sich mit Art. 49 KI-VO beschäftigt, kommt schnell zu der Erkenntnis, dass die Norm nur in Kombination mit den Begriffen aus Art. 3 KI-VO Begriffsbestimmungen und den Betreiberpflichten aus Art. 26 vollständig zu verstehen ist. Das sind die drei Säulen, auf denen die operative Compliance bei Hochrisiko-KI ruht. Wenn Sie diese Zusammenhänge in Ihrem Team aufbauen wollen, lohnt sich ein Blick auf unsere Weiterbildung zum Digitalisierungsmanager. Sie behandelt die KI-Verordnung als praktisches Compliance-Thema und nicht als juristisches Abstraktum.
Über den Autor
Dr. Jens Aichinger ist Inhaber von SkillSprinters in Bayreuth, einem DEKRA-zertifizierten Bildungsträger für KI-gestützte Aufstiegsfortbildung. Er begleitet mittelständische Unternehmen in Bayern bei der Umsetzung der EU-KI-Verordnung und der Qualifizierung ihrer Mitarbeiter im Bereich KI-Compliance.
Zuletzt geprüft am 30.05.2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.