EU AI Act Telekommunikation: Was Netzbetreiber in Deutschland wissen müssen

Der EU AI Act gilt für alle Telekommunikationsunternehmen und Netzbetreiber, die in Deutschland und der EU KI-Systeme einsetzen. Für Hochrisikoanwendungen — insbesondere Kreditscoring, Betrugserkennungssysteme und das Management kritischer Netzinfrastruktur — gelten strenge Konformitätspflichten nach Anhang III der EU KI-Verordnung. Diese umfassen vollständige Konformitätsbewertungen, verpflichtende menschliche Aufsicht und Registrierung in der EU-KI-Datenbank vor Inbetriebnahme. Bei Nichterfüllung drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Dieser Leitfaden erläutert, welche KI-Anwendungsfälle in der Telekommunikation als Hochrisiko gelten, was die Compliance-Anforderungen für Netzbetreiber in der Praxis bedeuten, welche Besonderheiten das deutsche Recht (TKG 2021, BNetzA) schafft und wie Sie ein rechtssicheres KI-Governance-Framework aufbauen.

Welche KI-Systeme sind bei Telekommunikationsunternehmen hochriskant?

Die Telekommunikation gehört zu den KI-intensivsten Branchen der europäischen Wirtschaft. Telekommunikationsunternehmen, MVNOs und gewerbliche Telekommunikationskunden setzen KI in einer Vielzahl von Bereichen ein — und die EU KI-Verordnung behandelt diese Anwendungsfälle sehr unterschiedlich, je nachdem, welche Entscheidungen die KI trifft und wen diese betreffen.

Betrugserkennungssysteme und Netzanomaliedetektion

KI-gestützte Betrugserkennung, die automatisch Konten sperrt, SIM-Karten deaktiviert oder Dienste auf Basis verhaltensbasierter Analysen einschränkt, kann als Telekommunikation Hochrisiko KI eingestuft werden, wenn sie vollstreckbare Entscheidungen trifft, die den Zugang von Personen zu Telekommunikationsdiensten berühren. Gemäß Anhang III sind KI-Systeme, die bei Kredit- und Zugangsentscheidungen für wesentliche Dienste eingesetzt werden, ausdrücklich als hochriskant klassifiziert. Eine Betrugserkennung, die zum Dienstverlust führt, ist funktional einer Zugangsentscheidung gleichzustellen.

Wenn Ihr Betrugserkennungssystem Kundenkonten ohne verpflichtende menschliche Überprüfung sperren oder kündigen kann, benötigen Sie eine vollständige Hochrisiko-Compliance — einschließlich dokumentiertem Risikomanagement, Bias-Tests, Erklärungsmechanismen und Protokollierung jeder automatisierten Entscheidung.

Kreditwürdigkeitsprüfung für Postpaid-Verträge

KI zur Bewertung der Kreditwürdigkeit von Kunden für Postpaid-Verträge, Gerätefinanzierung oder gewerbliche Dienstleistungsverträge ist gemäß Anhang III Nummer 5b der EU KI-Verordnung als hochriskant klassifiziert. Mehr dazu in unserem Leitfaden zu KI-Kreditwürdigkeitsprüfung. Das gilt unabhängig davon, ob Sie ein externes Bonitätsprüfungssystem oder ein unternehmensinternes Scoring-Modell verwenden. Das entscheidende Kriterium ist, ob die KI eine folgenreiche Entscheidung über eine natürliche Person trifft oder maßgeblich beeinflusst.

Anforderungen umfassen: Dokumentation der Datenqualität, Bias-Analysen über demografische Gruppen hinweg, Erklärbarkeit gegenüber Kunden, Mechanismen zur menschlichen Überprüfung und Protokollierung von Entscheidungen für Prüfzwecke. Kunden haben ein Recht auf eine aussagekräftige Erklärung jeder automatisierten Entscheidung — dies überschneidet sich unmittelbar mit den Rechten aus Artikel 22 DSGVO.

Automatisierter Kundendienst (Chatbots und IVR)

KI-gestützte Chatbots und automatische Sprachdialogsysteme (IVR) werden zwar nicht als hochriskant klassifiziert, unterliegen aber den verpflichtenden Transparenzpflichten nach Artikel 50 der EU KI-Verordnung. Jedes System, das mit Kunden interagiert und dabei wie ein Mensch wirkt — oder das Text, Sprache oder Videoinhalte erzeugt — muss seinen KI-Charakter klar und rechtzeitig offenlegen. Mehr dazu in unserem Leitfaden zu KI im Kundenservice.

Für Telekommunikationsunternehmen gilt dies für:

• Kundensupport-Chatbots auf Web- und Mobilplattformen
• KI-Sprachassistenten in Callcentern
• Automatisierte Beschwerdemanagement-Systeme
• IVR-Systeme mit KI-generierter Sprache
• Messaging-Bots für Rechnungsanfragen oder technischen Support

Die Offenlegung muss zu Beginn der Interaktion erfolgen und für einen typischen Verbraucher verständlich sein.

Netzoptimierung und kritische Infrastruktur

KI zur Steuerung des Netzverkehrs, Bandbreitenzuweisung oder Quality-of-Service-Priorisierung bewegt sich in einem differenzierten Bereich. Wenn die KI kritische Infrastruktur verwaltet — also Systeme, deren Ausfall oder Beeinträchtigung erhebliche Folgen für die öffentliche Sicherheit oder wesentliche Dienste hätte — kann sie gemäß Anhang III Nummer 2 als hochriskant eingestuft werden.

Die entscheidende Frage lautet: Trifft diese KI autonome Entscheidungen, die Dienstausfälle mit Auswirkungen auf wesentliche Dienste verursachen könnten? Falls ja, behandeln Sie das System als potenziell hochriskant und holen Sie rechtlichen Rat zur Klassifizierung ein. Die Überschneidung mit den KRITIS-Pflichten nach deutschem Recht ist hier besonders relevant.

Was der EU AI Act von Telekommunikationsanbietern verlangt

Bei einem Hochrisiko-KI-System müssen Telekommunikationsunternehmen vor der Inbetriebnahme Kapitel III der EU KI-Verordnung erfüllen. Die Pflichten liegen dabei beim Betreiber — also dem Telekommunikationsunternehmen, nicht beim Anbieter des KI-Systems:

1. Risikomanagementsystem — dokumentierte, fortlaufende Bewertung der Risiken des KI-Systems über seinen gesamten Lebenszyklus
2. Datenverwaltung — Datenqualitätsstandards, Bias-Analyse und Dokumentation von Trainingsdatenquellen und -zusammensetzung
3. Technische Dokumentation — vollständige technische Unterlagen gemäß Anhang IV, einschließlich Systemarchitektur und Leistungsspezifikationen
4. Aufzeichnungspflichten — automatische Protokollierung von Systemeingaben, Ausgaben und Entscheidungsparametern für nachträgliche Prüfungen
5. Transparenz — Informationen für Betreiber und betroffene natürliche Personen über Funktionsweise und Entscheidungen des Systems
6. Menschliche Aufsicht — wirksame Mechanismen, damit Menschen das KI-System überprüfen, korrigieren oder stoppen können
7. Genauigkeit und Robustheit — geprüfte Leistungsbenchmarks, Cybersicherheitsmaßnahmen und fortlaufendes Monitoring
8. EU-Registrierung — Eintragung in die EU-KI-Datenbank vor Inbetriebnahme (verpflichtend ab 2. August 2026)

Besonderheiten für Deutschland: TKG 2021 und BNetzA-Compliance

Für Telekommunikationsunternehmen in Deutschland schafft das Zusammenspiel von EU AI Act und Telekommunikationsgesetz 2021 (TKG 2021) eine doppelte Compliance-Verpflichtung. Die EU KI-Regulierung gilt als sektorübergreifendes Gesetz — sie ersetzt das TKG 2021 nicht, sondern tritt ergänzend hinzu.

Überschneidungen zwischen TKG 2021 und EU AI Act

Das Telekommunikationsgesetz 2021 regelt die technischen und betrieblichen Anforderungen an Telekommunikationsunternehmen in Deutschland, einschließlich Netzintegrität, Datensicherheit und Verbraucherschutz. KI-Systeme, die in diesen Bereichen eingesetzt werden, müssen beide Regelwerke erfüllen.

Relevante Überschneidungen:

• § 165 TKG 2021 (Datensicherheit): KI-Systeme zur Betrugserkennung und Netzanomaliedetektion müssen datenschutzrechtlich korrekt arbeiten — hier überschneiden sich TKG-Sicherheitspflichten, DSGVO-Anforderungen und die Anforderungen an KI-Trainingsdaten nach dem EU AI Act.
• § 52 TKG 2021 (Netzneutralität): KI-gestütztes Traffic Management darf nicht gegen Netzneutralitätspflichten verstoßen. KI-Systeme zur Quality-of-Service-Steuerung sind doppelt reguliert: durch die Bundesnetzagentur (technische Netzneutralitätsvorgaben) und durch den EU AI Act (Hochrisiko-Klassifizierung bei kritischer Infrastruktur).
• BSI-Gesetz / KRITIS: Betreiber kritischer Telekommunikationsinfrastruktur nach dem BSI-Gesetz unterliegen zusätzlichen Sicherheitsanforderungen. KI-Systeme in KRITIS-klassifizierten Netzen fallen wahrscheinlich unter Anhang III Kategorie 2 des EU AI Act — eine der strengsten Hochrisiko-Kategorien.
• § 149 TKG 2021 (Verbraucherschutz): Automatisierte Entscheidungen über Verträge, Tarife oder Sperrungen betreffen Verbraucherschutznormen des TKG 2021 und parallel die KI-Transparenzpflichten des EU AI Act.

Rolle der Bundesnetzagentur (BNetzA)

Die Bundesnetzagentur (BNetzA) ist die zuständige nationale Regulierungsbehörde für Telekommunikation in Deutschland. Mit dem EU AI Act entsteht eine neue Zuständigkeitsschnittstelle: Während der EU AI Act durch eine eigenständige nationale KI-Marktüberwachungsbehörde durchgesetzt wird, bleibt die BNetzA für sektorspezifische Telekommunikationsregulierung zuständig.

Für die BNetzA KI Compliance in der Praxis bedeutet das:

• KI-Governance-Strukturen müssen so aufgebaut sein, dass sie bei Aufsichtsanfragen der BNetzA auskunftsfähig sind
• Meldepflichten bei Sicherheitsvorfällen nach TKG 2021 können mit KI-Act-Vorkommnismeldungen überschneiden
• BEREC — das europäische Pendant zur BNetzA — erarbeitet branchenspezifische Leitlinien für Telekommunikationsunternehmen, die 2025/2026 erwartet werden
• Die BNetzA koordiniert mit nationalen KI-Aufsichtsbehörden, wenn KI-Vorfälle gleichzeitig Telekommunikationsregulierung betreffen

Telekommunikationsunternehmen sollten sicherstellen, dass ihre EU AI Act Netzbetreiber-Compliance und ihre bestehenden BNetzA-Compliance-Prozesse gemeinsam und nicht isoliert betrachtet werden.

Zeitplan: Wann müssen Telekommunikationsunternehmen compliant sein?

Die EU KI-Verordnung ist am 1. August 2024 in Kraft getreten. Die wichtigsten Compliance-Fristen für Telekommunikationsunternehmen:

Frist	Anforderung
2. Februar 2025	Verbotene KI-Praktiken müssen eingestellt werden
2. August 2025	Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) gelten
2. August 2026	Hochrisiko-KI-Pflichten vollständig anwendbar (Anhang III)
2. August 2026	EU-KI-Datenbank-Registrierung für neue Hochrisiko-Systeme verpflichtend
2. August 2027	Pflichten gelten auch für bereits in Betrieb befindliche Hochrisiko-Systeme

Telekommunikationsunternehmen, die nach August 2026 neue Hochrisiko-KI-Systeme einsetzen, müssen vor der Inbetriebnahme über vollständige Compliance-Dokumentation verfügen. Bereits eingesetzte Systeme haben bis August 2027 Zeit — jedoch nur, wenn sie vor Inkrafttreten der Pflichten bereits in Betrieb waren.

Weitere Informationen zu den Anforderungen in verwandten Sektoren finden Sie in unserem Leitfaden zum EU AI Act für Finanzdienstleistungen.

Compliance-Checkliste für Telekommunikationsunternehmen

Schritt 1: KI-Inventar

• Alle KI-Systeme im Unternehmen erfassen
• Systeme identifizieren, die mit Kunden interagieren oder Entscheidungen über Kunden treffen
• Systeme identifizieren, die Netzinfrastruktur oder -betrieb steuern
• KRITIS-Klassifizierungsstatus für Infrastruktur-KI prüfen
• KI-Drittanbieter und Foundation-Model-Einsatz dokumentieren

Schritt 2: Risikoeinstufung

• Jedes KI-System gegen die Hochrisiko-Kriterien nach Anhang III prüfen
• Systeme mit Transparenzpflichten nach Artikel 50 identifizieren
• KI-Modelle mit allgemeinem Verwendungszweck (GPAI) in Produkten kennzeichnen
• TKG 2021-Überschneidungen für jeden KI-Anwendungsfall dokumentieren

Schritt 3: Hochrisiko-Compliance

• Eine für den EU AI Act verantwortliche Person benennen
• Risikomanagementsystem-Dokumentation für jedes Hochrisiko-System erstellen
• Datenqualitäts- und Bias-Analysen für Trainingsdatensätze beauftragen
• Technische Dokumentation gemäß Anhang IV erstellen
• Protokollierungs- und Aufzeichnungssysteme für automatisierte Entscheidungen implementieren
• Menschliche Aufsichtsprozesse für jedes Hochrisiko-System gestalten

Schritt 4: Transparenz

• Chatbot- und IVR-Schnittstellen um verpflichtende KI-Offenlegung ergänzen
• Kundendienst-Teams zu Offenlegungspflichten und Auskunftsrechten schulen
• Mustererklärungs-Texte für automatisierte Entscheidungen gegenüber Kunden entwickeln
• Datenschutzerklärungen und AGB zur Widerspiegelung des KI-Einsatzes aktualisieren

Schritt 5: Registrierung und Governance

• Hochrisiko-KI-Systeme in der EU-KI-Datenbank registrieren (ab August 2026)
• Interne KI-Governance-Richtlinie etablieren
• EU AI Act-Compliance mit bestehenden DSGVO- und BNetzA-Compliance-Prozessen verknüpfen
• Regelmäßige interne Audits der KI-Systemleistung und Bias-Überprüfung einplanen

So hilft Compound Law Telekommunikationsunternehmen

Compound Law unterstützt Telekommunikationsunternehmen und Netzbetreiber in der gesamten DACH-Region bei der Compliance nach dem EU AI Act — mit gebündelter Expertise in Telekommunikationsrecht, Datenschutzrecht und KI-Governance.

Wir helfen Telekommunikationsunternehmen bei:

• Klassifizierung von KI-Systemen nach Anhang III und Identifizierung der Systeme, die vollständige Hochrisiko-Compliance erfordern
• Erstellung von Compliance-Dokumentation einschließlich Risikomanagementsystemen, technischen Unterlagen nach Anhang IV und Datenverwaltungsrichtlinien
• Integration von EU AI Act-Compliance mit DSGVO- und TKG 2021-Pflichten, um einen kohärenten regulatorischen Ansatz zu gewährleisten
• Gestaltung menschlicher Aufsichtsprozesse, die KI-Act-Anforderungen erfüllen, ohne betriebliche Abläufe zu belasten
• Vorbereitung auf die Aufsicht durch die Bundesnetzagentur (BNetzA) und Koordination zwischen nationaler KI-Regulierung und Telekommunikationsrecht
• Schulung von Compliance- und Technik-Teams zu praktischen KI-Governance-Anforderungen

Kontaktieren Sie Compound Law für eine kostenlose Erstberatung zur EU KI-Verordnung für Ihr Telekommunikationsunternehmen.

---

Häufig gestellte Fragen

Gilt der EU AI Act für alle Telekommunikationsunternehmen?

Ja — der EU AI Act gilt grundsätzlich für alle Unternehmen, die KI-Systeme in der EU einsetzen oder auf dem EU-Markt anbieten, einschließlich sämtlicher Telekommunikationsunternehmen und Netzbetreiber. Allerdings sind nicht alle KI-Systeme gleich reguliert: Nur KI-Systeme, die unter die Hochrisiko-Kategorien nach Anhang III fallen, unterliegen den strengen Konformitätspflichten. Andere Systeme müssen lediglich die Transparenzpflichten und das Verbot verbotener KI-Praktiken einhalten. Entscheidend ist die konkrete Funktion des jeweiligen KI-Systems im Unternehmen.

Welche KI-Systeme gelten als hochriskant im Telekommunikationsbereich?

Im Telekommunikationsbereich gelten folgende KI-Systeme typischerweise als hochriskant nach Anhang III der EU KI-Verordnung: Systeme zur Kreditwürdigkeitsprüfung für Postpaid-Verträge oder Gerätefinanzierung (Kategorie 5b), Betrugserkennungssysteme, die Kunden den Zugang zu Telekommunikationsdiensten verweigern oder einschränken (Kategorie 5), und KI zum Management kritischer Netzinfrastruktur (Kategorie 2). Chatbots, Predictive-Maintenance-Systeme und die meisten operativen Werkzeuge sind in der Regel nicht hochriskant, unterliegen aber Transparenzpflichten.

Was passiert bei Nicht-Einhaltung des EU AI Acts?

Bei Verstößen gegen die Hochrisiko-System-Pflichten — für Telekommunikationsunternehmen am relevantesten — können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, was höher ist. Verstöße gegen verbotene KI-Praktiken können mit bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes geahndet werden. Die Übermittlung unrichtiger Informationen an Aufsichtsbehörden kann mit bis zu 7,5 Millionen Euro oder 1 % des weltweiten Umsatzes bestraft werden. Zusätzlich drohen reputationsbezogene Schäden und zivilrechtliche Haftungsrisiken gegenüber betroffenen Kunden.

Wie verhält sich der EU AI Act zum Telekommunikationsgesetz (TKG 2021)?

Der EU AI Act und das Telekommunikationsgesetz 2021 (TKG 2021) gelten nebeneinander und ergänzen sich. Das TKG 2021 regelt die sektorspezifischen Anforderungen für Telekommunikationsunternehmen in Deutschland — Netzintegrität, Datensicherheit, Verbraucherschutz. Der EU AI Act fügt regulatorische KI-spezifische Pflichten hinzu. Telekommunikationsunternehmen müssen beide Regelwerke einhalten, und bei manchen KI-Anwendungen überschneiden sich die Anforderungen (etwa bei Datensicherheit und Transparenz). Die Bundesnetzagentur bleibt für die TKG-Regulierung zuständig; EU AI Act-Verstöße werden durch nationale KI-Marktüberwachungsbehörden verfolgt.

Müssen Telekommunikationsunternehmen ihre KI-Systeme in der EU-KI-Datenbank registrieren?

Ja — Hochrisiko-KI-Systeme müssen vor der Inbetriebnahme in der EU-KI-Datenbank registriert werden. Diese Pflicht gilt ab dem 2. August 2026 für neue Systeme und ab dem 2. August 2027 für bereits in Betrieb befindliche Hochrisiko-Systeme. Die Registrierung muss technische Dokumentation, den beabsichtigten Verwendungszweck, die Risikoeinstufung und die Ergebnisse der Konformitätsbewertung umfassen. Nicht-Hochrisiko-Systeme wie Chatbots müssen nicht registriert werden.

Was bedeutet der EU AI Act für den Einsatz von Chatbots bei Telekommunikationsanbietern?

Telekommunikations-Chatbots und virtuelle Assistenten unterliegen den Transparenzpflichten nach Artikel 50 der EU KI-Verordnung. Unternehmen müssen Nutzer zu Beginn jeder Interaktion klar darüber informieren, dass sie mit einem KI-System kommunizieren — nicht erst auf Nachfrage. Ein Sprachassistent, der menschlich klingt, erfordert eine ausdrückliche Offenlegung. Chatbots werden nach dem aktuellen Anhang III nicht als hochriskant eingestuft, die Offenlegungspflicht ist jedoch ab August 2026 verpflichtend und durchsetzbar.

Dieser Leitfaden stellt allgemeine rechtliche Informationen bereit und ist keine Rechtsberatung. Konkrete Compliance-Entscheidungen erfordern eine individuelle rechtliche Beratung auf Basis der KI-Systeme und Umstände Ihres Unternehmens. Kontaktieren Sie Compound Law für eine maßgeschneiderte Beratung.