Die Europäische Kommission hat klargestellt: Der Zeitplan zur Umsetzung der Verordnung über Künstliche Intelligenz (EU AI Act, KI-VO) bleibt bestehen. Übergangsfristen oder Aufschübe sind nicht vorgesehen. Erste Regelungen sind bereits seit dem 2. Februar 2025 anwendbar. Ab dem 2. August 2025 werden weitere zentrale Pflichten verbindlich. Verstöße gegen die KI-VO können mit erheblichen Sanktionen belegt werden – einschließlich Bußgeldern von bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes.
Die KI-VO markiert den weltweit ersten umfassenden Rechtsrahmen für den Einsatz und die Entwicklung von Künstlicher Intelligenz. Er basiert auf einem risikobasierten Ansatz, der regulatorische Anforderungen an die jeweilige Gefährdungslage eines KI-Systems knüpft. Die praktische Umsetzung stellt Unternehmen, insbesondere im Bereich General-Purpose AI (GPAI), vor strukturelle, technische und governance-bezogene Herausforderungen.
Zentrale Anforderungen und Compliance-Pflichten nach der KI-Verordnung
Im Zentrum der Regulierung stehen risikobehaftete und verbotene KI-Praktiken. Bereits seit dem 2. Februar 2025 sind bestimmte Anwendungen ausdrücklich untersagt. Dazu zählen unter anderem:
- biometrische Kategorisierung auf Basis sensibler Merkmale
- emotionserkennende Systeme am Arbeitsplatz
- manipulative Systeme, die menschliches Verhalten unbemerkt beeinflussen
- Social Scoring
Diese Verbote gelten umfassend – sowohl für die Entwicklung als auch für den bloßen Einsatz entsprechender Systeme. Siehe auch: EU AI Act – Business Implications and Compliance Strategies.
Ab dem 2. August 2025 werden zudem umfassende Sorgfalts-, Transparenz- und Dokumentationspflichten für verschiedene Akteure entlang der KI-Wertschöpfungskette wirksam. Der deutsche Gesetzgeber wird voraussichtlich die Bundesnetzagentur mit der Überwachung betrauen. Diese hat mit dem „KI-Service Desk“ bereits eine zentrale Anlaufstelle geschaffen, die insbesondere kleinen und mittleren Unternehmen als erster Adressat für Fragen rund um die praktische Umsetzung der KI-VO dienen kann. Darüber hinaus sollten Unternehmen die regulatorische Entwicklung sorgfältig beobachten – etwa im Hinblick auf den finalen Code of Practice für GPAI-Modelle, der vergangene Woche veröffentlicht worden ist, und auf die Harmonisierung technischer Standards, die zum „Best Practice“-Maßstab für Compliance werden dürften.
Welche Unternehmen und Akteure sind von der KI-Verordnung betroffen?
Anbieter von General-Purpose AI (GPAI)
Anbieter von GPAI-Modellen – etwa große Sprach- oder Multimodalmodelle – unterliegen ab August 2025 einem eigenen Regime. Sie sind verpflichtet, eine technische Dokumentation zu führen, die Entwicklung, Training und Evaluation des Modells nachvollziehbar macht. Zusätzlich sind Transparenzberichte zu erstellen, die Fähigkeiten, Grenzen, potenzielle Risiken und Hinweise für Integratoren beschreiben.
Auch eine Zusammenfassung der verwendeten Trainingsdaten muss veröffentlicht werden. Dabei sind Datentypen, Quellen und Methoden der Datenaufbereitung darzulegen. Die Nutzung urheberrechtlich geschützter Inhalte muss dokumentiert und rechtlich zulässig sein. Gleichzeitig ist der Schutz vertraulicher Informationen zu gewährleisten.
GPAI mit systemischem Risiko
Für besonders leistungsfähige GPAI-Modelle, die als „systemisch“ eingestuft werden, gelten erweiterte Pflichten. Die Einstufung erfolgt anhand technischer Kriterien wie Rechenleistung, Reichweite oder möglicher Auswirkungen. Anbieter solcher Modelle müssen das System bei der Europäischen Kommission melden, strukturierte Evaluierungs- und Testverfahren durchlaufen und Sicherheitsvorfälle dauerhaft dokumentieren. Zudem gelten erhöhte Anforderungen im Bereich Cybersicherheit und Monitoring.
Downstream Provider und Modifier
Unternehmen, die bestehende GPAI-Modelle wesentlich verändern werden regulatorisch selbst zu Anbietern. Als wesentlich gilt eine Modifikation insbesondere dann, wenn das bestehende GPAI-Modell durch Nachtraining, Fine-Tuning oder sonstige technische Anpassungen so verändert wird, dass sich die Funktionsweise, Leistung oder die Risiken des Modells erheblich ändern und die Modifikation nicht lediglich auf eine bloße Integration oder Nutzung hinausläuft. Damit sind sämtliche Pflichten, die für originäre GPAI-Entwickler gelten, auch auf modifizierte Modelle anzuwenden. In der Praxis sind Feineinstellungen im Rahmen der Geschäftsanwendung daher sorgfältig rechtlich zu prüfen und gegebenenfalls regulatorisch abzusichern.
Nutzer von KI-Systemen
Auch Unternehmen, die KI-Systeme lediglich einsetzen – insbesondere bei Anwendungen mit potenziell hohem Risiko wie etwa in der Personalgewinnung, der Medizin oder kritischen Infrastrukturen – sind verpflichtet, ein vollständiges Inventar der eingesetzten Systeme zu führen. Zudem müssen sie den Einsatz verbotener Anwendungen sicher ausschließen. Für Hochrisiko-KI-Systeme gelten ab August 2026 zusätzliche Pflichten, etwa zur Datenschutz-Folgenabschätzung oder internen Überwachung. Die weitergehenden Transparenzpflichten für Nutzer von KI-Systemen – etwa zur Kennzeichnung von KI-generierten Inhalten – werden erst ab dem 2. August 2026 verbindlich.
Technische und organisatorische Anforderungen
Die Umsetzung der KI-VO erfordert nicht nur juristische, sondern auch strukturelle Maßnahmen. Folgende Schritte sind aus Compliance-Sicht zentral:
- Aufbau eines vollständigen KI-Inventars mit Risikoklassifizierung
- Klarstellung der Unternehmensrolle (Anbieter, Modifier, Nutzer)
- Erstellung der erforderlichen technischen und Transparenzdokumentation
- Umsetzung von Urheberrechts- und Datenschutzvorgaben
- Schulung und Nachweis der KI-Kompetenz bei Mitarbeitenden (einschließlich Externer)
- Anpassung interner Governance-Strukturen, einschließlich der Benennung von Verantwortlichen
Die Kommission und nationale Aufsichtsbehörden haben angekündigt, die Umsetzung engmaschig zu kontrollieren. Unternehmen sollten ihre Compliance-Strategien daher regelmäßig überprüfen und anpassen – insbesondere im Hinblick auf „Codes of Practice“ und künftige technische Standards.
Frühzeitige Vorbereitung schafft Sicherheit
Der 2. August 2025 ist ein verbindlicher Stichtag. Unternehmen, die bereits heute mit der Bestandsaufnahme, Rollenklärung und Systembewertung beginnen, schaffen eine belastbare Grundlage für regulatorische Sicherheit. Besonders GPAI-Anbieter und Modifier sollten sich auf ein erhöhtes Maß an Rechenschaftspflichten einstellen. Aber auch klassische Nutzer sind gefordert, Transparenz und Kontrolle ihrer KI-Anwendungen sicherzustellen.
Frühzeitiges Handeln reduziert nicht nur rechtliche und finanzielle Risiken, sondern unterstreicht die Verantwortung und Zukunftsfähigkeit im Umgang mit Künstlicher Intelligenz.