EU-KI-Verordnung ab 2. August 2026: Welche Online-Casino-Systeme unter die neuen Vorgaben fallen
Ab dem 2. August 2026 erreicht die EU-KI-Verordnung ihren allgemeinen Geltungsbeginn, doch die praktischen Auswirkungen auf Online-Casinos fallen differenzierter aus, als viele Schlagzeilen vermuten lassen. Die EU verabschiedete im Juni 2026 eine Änderungsverordnung, durch die die wichtigsten Pflichten für eigenständige Hochrisiko-KI-Systeme bis zum 2. Dezember 2027 und für in regulierte Produkte integrierte Hochrisiko-KI bis zum 2. August 2028 verschoben werden. Für Casino-Betreiber liegen die unmittelbaren Prioritäten im Jahr 2026 daher bei Transparenz, der Kontrolle verbotener Anwendungen, der Qualifikation von Mitarbeitenden und einer vollständigen Übersicht über sämtliche KI-Werkzeuge, die im Kontakt mit Spielern oder Beschäftigten eingesetzt werden. Entscheidend ist nicht, wie wichtig eine Software für das Unternehmen ist, sondern welchem Zweck sie dient, wessen Interessen sie beeinflussen kann und ob das Casino als Anbieter oder lediglich als Nutzer eines externen Systems auftritt.
Was sich für Online-Casinos am 2. August 2026 ändert
Die KI-Verordnung kann sowohl für Casino-Unternehmen mit Sitz in der EU als auch für Unternehmen ausserhalb der EU gelten, wenn ein KI-System auf dem Unionsmarkt angeboten oder dessen Ergebnis innerhalb der EU verwendet wird. Ein Casino, das ein fertiges Werkzeug einkauft, gilt in der Regel als Betreiber beziehungsweise Nutzer, während der Entwickler meist als Anbieter eingestuft wird. Diese Unterscheidung ist wichtig, da Anbieter hauptsächlich für Entwicklung, technische Unterlagen und Systemanforderungen verantwortlich sind. Betreiber müssen das System dagegen entsprechend den Vorgaben einsetzen, eine angemessene menschliche Kontrolle gewährleisten und Anwendungen vermeiden, die den ursprünglich vorgesehenen Zweck verändern. Ein Betreiber, der bestimmte Hochrisiko-Systeme unter eigenem Namen anbietet, wesentlich verändert oder für einen neuen Zweck einsetzt, kann selbst die Pflichten eines Anbieters übernehmen. Ein Vertrag mit einem externen Lieferanten beseitigt die regulatorische Verantwortung daher nicht automatisch.
Die sichtbarsten neuen Pflichten im August 2026 betreffen Transparenz. Spieler, die mit einem KI-Chatbot oder einem automatisierten Kundenservice kommunizieren, müssen darüber informiert werden, dass sie mit einem KI-System interagieren, sofern dies für eine vernünftig informierte Person nicht ohnehin eindeutig erkennbar ist. Anbieter von Systemen, die künstlich erzeugte Texte, Bilder, Audioaufnahmen oder Videos erstellen, müssen zudem eine maschinenlesbare Kennzeichnung und eine technische Erkennung solcher Inhalte ermöglichen. Casinos, die künstliche Moderatoren, imitierte Stimmen oder bearbeitete Videos in der Werbung verwenden, können zu einer deutlichen Kennzeichnung verpflichtet sein, wenn die Inhalte als Deepfake gelten. Gewöhnliche Werbetexte müssen nicht automatisch öffentlich gekennzeichnet werden, nur weil KI beim Verfassen geholfen hat. Die rechtliche Bewertung ändert sich jedoch, sobald künstlich erzeugte Medien darüber täuschen könnten, wer etwas gesagt oder getan hat.
Der Stichtag macht nicht jeden Casino-Algorithmus automatisch zu einem Hochrisiko-System. Durch die EU-Änderung von 2026 werden die detaillierten Vorgaben für Hochrisiko-KI auf spätere Termine verschoben. Die meisten Betreiber sollten sich daher zunächst auf eine korrekte Einstufung konzentrieren, anstatt davon auszugehen, dass jede Form der Automatisierung eine Konformitätsbewertung benötigt. Empfehlungssysteme, Betrugswarnungen, Modelle zum Spielerschutz und automatisierte Weiterleitungen im Kundenservice können weiterhin erhebliche rechtliche und verbraucherbezogene Risiken verursachen. Sie gelten jedoch nicht allein deshalb als Hochrisiko-Systeme, weil sie von einem Glücksspielunternehmen genutzt werden. Entscheidend sind der vorgesehene Zweck, die verwendeten Daten, die möglichen Auswirkungen auf betroffene Personen und die Frage, ob das Werkzeug in eine ausdrücklich genannte Kategorie wie Biometrie, Emotionserkennung oder Beschäftigungsmanagement fällt.
Systeme mit unmittelbaren Transparenz- oder Nutzungsbeschränkungen
Spielerorientierte Chatbots gehören zu den deutlichsten Beispielen für Systeme, die ab 2026 betroffen sind. Ein Hinweis muss vor oder spätestens zu Beginn der Kommunikation erscheinen und darf nicht in umfangreichen Geschäftsbedingungen verborgen werden. Dies gilt für automatisierte Assistenten, die Fragen zu Zahlungen beantworten, Bonusbedingungen erklären, bei der Verifizierung helfen oder Informationen zum verantwortungsvollen Spielen bereitstellen. Der Hinweis sollte auch dann verständlich bleiben, wenn ein Gespräch zwischen einem Bot und einem menschlichen Mitarbeiter wechselt. Betreiber müssen ausserdem prüfen, ob der Assistent Bedingungen erfindet, riskante Spielhinweise gibt oder Auszahlungsregeln falsch darstellt. Die Kennzeichnung als KI entschuldigt keine fehlerhaften, irreführenden oder unfairen Aussagen.
Generative Werkzeuge für Werbung und soziale Medien erfordern eine gesonderte Prüfung. Ein Casino kann KI zur Erstellung von Bildern, Sprachaufnahmen, Avataren, Werbevideos oder übersetzten Beiträgen verwenden. Künstlich erzeugte Inhalte, die eine reale Person imitieren, können jedoch eine Kennzeichnung als Deepfake erforderlich machen. Der Anbieter des Erzeugungssystems ist für die technische Markierung verantwortlich, während das Unternehmen, das den Inhalt veröffentlicht, eigene Hinweispflichten haben kann. Eine sinnvolle interne Regelung sollte daher dokumentieren, wie jedes Werbemittel erstellt wurde, ob eine reale Person nachgeahmt wird, ob eine Zustimmung vorliegt und ob ein menschlicher Redakteur die endgültige Fassung geprüft hat. Für Systeme, die bereits vor dem 2. August 2026 auf dem Markt waren, gilt für die technische Kennzeichnung eine Übergangsfrist bis zum 2. Dezember 2026.
Verbotene Praktiken bilden die schwerwiegendste Kategorie. Die KI-Verordnung untersagt schädliche Manipulation oder Täuschung, wenn dadurch das Verhalten einer Person wesentlich beeinflusst wird und erheblicher Schaden entsteht oder mit hinreichender Wahrscheinlichkeit entstehen kann. Ebenfalls eingeschränkt wird die Ausnutzung von Schwächen, die mit Alter, Behinderung oder einer besonderen sozialen beziehungsweise wirtschaftlichen Lage zusammenhängen, sofern auch hier die entsprechende Schadensschwelle erreicht wird. Dadurch wird nicht jedes personalisierte Angebot automatisch rechtswidrig. Besonders problematisch wäre jedoch ein System, das finanziell belastete oder spielsuchtgefährdete Personen erkennt und diese Informationen nutzt, um höhere Einzahlungen zu fördern, die Spieldauer zu verlängern oder Hinweise zum Spielerschutz gezielt auszublenden. Eine solche Gestaltung kann nicht nur gegen die KI-Verordnung, sondern auch gegen Glücksspiel-, Verbraucher- und Datenschutzrecht verstossen.
Welche Casino-Systeme als Hochrisiko-KI eingestuft werden können
Biometrische und emotionsbezogene Anwendungen erfordern besondere Aufmerksamkeit. Biometrische Fernidentifizierung kann unter die Hochrisiko-Kategorie fallen, während Systeme zur Ableitung von Emotionen aus Gesicht, Stimme oder anderen biometrischen Merkmalen grundsätzlich als Hochrisiko gelten können, sofern ihre Nutzung nicht bereits vollständig verboten ist. Ein Casino, das über Webcam oder Mikrofon Frustration, Aufregung oder Stress für Werbung, Risikobewertung oder Kundenservice einschätzt, sollte diese Funktion nicht wie gewöhnliche Datenanalyse behandeln. Eine biometrische Einzelprüfung, die ausschliesslich bestätigt, dass eine Person tatsächlich die behauptete Identität besitzt, fällt dagegen nicht automatisch unter die Kategorie der Fernidentifizierung. Dennoch benötigen Gesichtserkennung, Lebenderkennung und Altersschätzung eine rechtmässige Grundlage, einen verhältnismässigen Umgang mit Daten, wirksame Sicherheitsmassnahmen und eine gesonderte datenschutzrechtliche Bewertung.
Systeme im Beschäftigungsbereich stellen einen weiteren direkten Weg in die Hochrisiko-Kategorie dar. Online-Casino-Gruppen nutzen häufig automatisierte Werkzeuge, um Bewerbungen zu prüfen, Kandidaten zu bewerten, Schichten zu verteilen, die Leistung von Mitarbeitenden zu messen, die Qualität des Kundenservice zu überwachen oder disziplinarische Massnahmen vorzuschlagen. KI für Personalbeschaffung, Auswahl, Beförderung, Kündigung, Aufgabenverteilung oder Leistungsbewertung kann als Hochrisiko gelten, da sie den Zugang zu Beschäftigung und die Arbeitsbedingungen beeinflusst. Emotionserkennung am Arbeitsplatz ist grundsätzlich verboten, ausser in eng begrenzten medizinischen oder sicherheitsbezogenen Fällen. Die Analyse der Stimme eines Servicemitarbeiters, um Stimmung, Motivation oder Loyalität abzuleiten, ist daher besonders problematisch. Diese Vorgaben betreffen auch die Mitarbeitenden hinter dem Casino-Angebot, selbst wenn das eigentliche Spielerprodukt nicht unter eine Hochrisiko-Kategorie fällt.
Risikobewertungen für Spieler, Betrugserkennungsmodelle, Warnungen zur Geldwäscheprävention, Bonusvorschläge und Spielempfehlungen gelten nicht automatisch als Hochrisiko-KI, nur weil sie Auswirkungen auf ein Spielerkonto haben können. Die Hochrisiko-Liste basiert auf klar definierten Verwendungszwecken und nicht auf der allgemeinen Annahme, dass jede finanziell relevante Entscheidung automatisch ein hohes Risiko darstellt. Ein Modell, das problematisches Spielverhalten vorhersagt, benötigt daher eine sorgfältige Kontrolle, fällt aber nicht zwangsläufig unter die Vorgaben von Anhang III. Die Einstufung kann sich ändern, wenn dasselbe Werkzeug Emotionserkennung, verbotene biometrische Kategorisierung oder eine andere ausdrücklich genannte Funktion verwendet. Zusätzlich können Pflichten nach der Datenschutz-Grundverordnung entstehen, wenn eine automatisierte Entscheidung rechtliche oder ähnlich erhebliche Folgen hat, etwa die Schliessung eines Kontos, die Sperrung von Guthaben oder die Ablehnung einer Dienstleistung ohne wirksame menschliche Prüfung.
Warum gängige Casino-Automatisierung ausserhalb der Hochrisiko-Liste bleiben kann
Betrugsprävention und Geldwäschekontrollen sind unverzichtbar, doch ihre Bedeutung bestimmt nicht automatisch die Einstufung nach der KI-Verordnung. Ein Modell, das ungewöhnliche Einzahlungen, verbundene Konten oder verdächtige Transaktionsmuster meldet, kann als System mit begrenztem Risiko gelten, sofern es keine ausdrücklich genannte Hochrisiko-Funktion ausübt. Betreiber müssen dennoch die Genauigkeit überprüfen, diskriminierende Ergebnisse verhindern und geschulten Mitarbeitenden ausreichend Informationen geben, um fehlerhafte Treffer zu hinterfragen. Eine Warnung sollte in der Regel eine Untersuchung unterstützen und nicht als unerklärte endgültige Entscheidung dienen. Ausserdem muss die Bewertung nach der KI-Verordnung von den branchenspezifischen Pflichten getrennt bleiben. Die Verordnung ersetzt weder Kundenprüfungen noch Meldungen verdächtiger Aktivitäten, Sanktionskontrollen oder nationale Anforderungen aus Glücksspielgenehmigungen.
Personalisierungswerkzeuge bleiben in vielen Fällen ebenfalls ausserhalb der Hochrisiko-Liste. Sie können Spiele sortieren, Inhalte auf der Startseite auswählen, den Zeitpunkt von Mitteilungen bestimmen oder Bonusangebote anpassen. Solche Funktionen können Informationen relevanter machen, lassen sich jedoch nur schwer rechtfertigen, wenn das Unternehmen nicht erklären kann, welche Daten die Empfehlung beeinflussen, oder wenn das Modell Personen mit Anzeichen problematischen Spielverhaltens gezielt anspricht. Ein verhältnismässiger Ansatz besteht darin, gesperrte und besonders gefährdete Spieler von Werbemodellen auszuschliessen, sensible Schlussfolgerungen zu begrenzen, schädliche Muster regelmässig zu prüfen und Spielerschutzmassnahmen gegenüber kommerzieller Optimierung zu priorisieren. Ein System kann nach der KI-Verordnung weiterhin als begrenztes Risiko gelten und dennoch gegen andere Rechtsvorschriften verstossen, wenn die Datennutzung oder die Werbewirkung unfair ist.
Spieltechnologie sollte nach ihrer tatsächlichen Funktion und nicht nach ihrer Bezeichnung eingestuft werden. Ein herkömmlicher zertifizierter Zufallszahlengenerator ist nicht automatisch ein KI-System, und die KI-Verordnung ersetzt weder technische Prüfungen zur Spielfairness noch Kontrollen der Auszahlungsquote oder nationale Genehmigungsverfahren. KI kann in Spielempfehlungen, automatisierter Moderation, Betrugserkennung oder anpassbaren Inhalten eingesetzt werden, doch jede Komponente muss einzeln bewertet werden. Betreiber sollten besonders vorsichtig mit Systemen umgehen, die Darstellung, Geschwindigkeit oder Anreize für einzelne Spieler auf Grundlage einer vermuteten Gefährdung verändern. Entscheidend ist nicht, ob ein Produkt moderne Software enthält, sondern ob das System Ergebnisse, Vorhersagen oder Empfehlungen in einer von der Verordnung erfassten Weise ableitet und dadurch ein reguliertes Risiko schafft.

Wie sich Online-Casino-Betreiber im Jahr 2026 vorbereiten sollten
Der erste praktische Schritt ist ein vollständiges KI-Verzeichnis. Darin sollten für jedes System der Name, der Lieferant, der interne Verantwortliche, der vorgesehene Zweck, die betroffenen Personengruppen, die Eingabedaten, die erzeugten Ergebnisse, die unterstützte Entscheidung und die Einsatzländer festgehalten werden. Das Verzeichnis sollte gewöhnliche regelbasierte Software von Systemen unterscheiden, die Empfehlungen, Vorhersagen, Einstufungen oder künstlich erzeugte Inhalte erstellen. Ebenso sollte dokumentiert werden, ob das Casino als Anbieter, Betreiber, Importeur oder Händler auftritt und ob interne Teams das Werkzeug verändert haben. Diese Arbeit ist wesentlich hilfreicher als eine allgemeine Aussage, das Unternehmen nutze KI verantwortungsvoll, weil sie nachweist, dass jeder einzelne Anwendungsfall geprüft wurde.
Anschliessend sollten Betreiber die Kontrollen umsetzen, die bereits jetzt relevant sind. Hinweise bei Chatbots müssen sichtbar sein, Verfahren für künstlich erzeugte Medien müssen technische Kennzeichnungen und öffentliche Hinweise berücksichtigen, und Marketingteams müssen erkennen können, wann ein KI-Inhalt eine reale Person imitiert. Produkt- und Spielerschutzteams sollten manipulative Gestaltung prüfen, während Compliance-Mitarbeitende kontrollieren müssen, ob gefährdete Spieler gezielt angesprochen oder von Schutzinformationen ausgeschlossen werden. Beschäftigte, die mit KI arbeiten, benötigen Schulungen, die zu ihrer jeweiligen Aufgabe passen. Dies reicht von grundlegenden Kenntnissen im Kundenservice bis zu vertieften Vorgaben für Entwickler, Risikoanalysten und Entscheidungsträger. Die Prüfung sollte ausserdem mit Datenschutzhinweisen, Datenschutz-Folgenabschätzungen, Verbraucherrecht und nationalen Glücksspielvorgaben abgestimmt werden.
Die Vorbereitung auf Hochrisiko-Anforderungen sollte fortgesetzt werden, obwohl die wichtigsten Fristen verschoben wurden. Wenn eine Casino-Gruppe Emotionserkennung, biometrische Fernidentifizierung oder KI im Personalbereich verwendet, sollte sie bereits jetzt von Lieferanten Risikounterlagen, Nachweise zur Datenqualität, Angaben zu Genauigkeitsgrenzen, Protokollierungsfunktionen, Anweisungen zur menschlichen Kontrolle und Verfahren für Vorfälle verlangen. Verträge sollten regeln, wer behördliche Anfragen, schwerwiegende Vorfälle, Aktualisierungen und wesentliche Änderungen bearbeitet. Bis Ende 2027 zu warten, wäre riskant, da Einstufung, Beschaffung und technische Anpassungen mehrere Monate beanspruchen können. Ein Werkzeug, das keine Protokolle erstellen, seinen vorgesehenen Zweck nicht erklären oder kein menschliches Eingreifen ermöglichen kann, lässt sich möglicherweise nur durch einen vollständigen Austausch rechtskonform machen.
Wichtige Fristen und Entscheidungen für Casino-Compliance-Teams
Vor dem 2. August 2026 sollte ein Betreiber wissen, welche Abläufe für Spieler und Mitarbeitende KI enthalten, welche Werkzeuge direkt mit Menschen kommunizieren und welche Systeme zur Inhaltserstellung verwendet werden. Hinweise, interne Zuständigkeiten und Eskalationswege müssen bis zu diesem Datum vorbereitet sein. Das Unternehmen sollte ausserdem bestätigen, dass kein System gezielt bekannte Schwächen ausnutzt oder täuschende Methoden verwendet, die mit hinreichender Wahrscheinlichkeit erheblichen Schaden verursachen können. Bereits bestehende Massnahmen zur KI-Kompetenz sollten durch rollenbezogene Schulungen, praktische Arbeitsanweisungen und Nachweise dokumentiert werden, dass Mitarbeitende die Grenzen der von ihnen genutzten Systeme verstehen.
Bis zum 2. Dezember 2026 müssen Anbieter generativer Systeme, die bereits vor dem 2. August auf dem Markt waren, die erforderlichen Schritte zur technischen Kennzeichnung künstlich erzeugter Texte, Audioaufnahmen, Bilder und Videos umsetzen. Casino-Betreiber, die ältere Werkzeuge verwenden, sollten eine schriftliche Bestätigung ihrer Lieferanten einholen, anstatt davon auszugehen, dass alle Vorgaben automatisch erfüllt wurden. Zusätzlich sollten sie prüfen, ob die eigenen Veröffentlichungsprozesse vorhandene Herkunftsinformationen erhalten und dort sichtbare Hinweise ergänzen, wo diese erforderlich sind. Das Entfernen technischer Markierungen bei Bearbeitung, Komprimierung oder Export kann die Schutzmassnahmen des Anbieters beeinträchtigen und unnötige Compliance-Risiken schaffen.
Die späteren Fristen bleiben für Systeme wichtig, die tatsächlich die Kriterien für Hochrisiko-KI erfüllen. Nach dem geänderten Zeitplan von 2026 sollen die detaillierten Regeln für eigenständige Hochrisiko-Systeme aus Anhang III ab dem 2. Dezember 2027 gelten. Für Hochrisiko-KI, die in regulierte Produkte integriert ist, ist der 2. August 2028 vorgesehen. Für die meisten Online-Casinos ist der erste Termin relevanter, da Systeme für Beschäftigung, Biometrie und Emotionserkennung gewöhnlich als eigenständige Unternehmenslösungen eingesetzt werden. Die sinnvollste Reaktion im Jahr 2026 besteht daher weder in Panik noch in einer pauschalen Kennzeichnung sämtlicher Software. Erforderlich sind vielmehr ein dokumentiertes Einstufungsverfahren, sofortige Transparenz bei betroffenen Anwendungen und ein frühzeitiger Verbesserungsplan für die kleinere Gruppe von Systemen, die künftig den strengsten Anforderungen unterliegen.