Compliance Update vom 30. Juli 2025
Diese Anforderungen gelten ab dem 2. August
Die Umsetzung der EU-KI-Verordnung schreitet planmäßig voran. Nachdem bereits seit dem 2. Februar 2025 erste Verbote für besonders risikobehaftete KI-Systeme gelten, steht mit dem 2. August 2025 der nächste große Meilenstein an. Mit diesem Datum treten erweiterte Anforderungen insbesondere für sogenannte „GPAI-Modelle“ (KI-Modelle mit allgemeinem Verwendungszweck) in Kraft. Unternehmen, die solche Modelle entwickeln, einsetzen oder integrieren, müssen künftig strenge Vorgaben in Bezug auf Transparenz, Dokumentation und Risikomanagement erfüllen. Zugleich beginnen die zuständigen Aufsichtsbehörden mit ihrer Arbeit. Damit steigt das Risiko für Unternehmen, bei Verstößen gegen bereits geltende Regeln mit Sanktionen belegt zu werden.
Zentrale Pflichten, die ab dem 2. August 2025 gelten:
Kapitel V KI-VO: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck
KI-Modelle mit allgemeinem Verwendungszweck sind besonders vielseitig einsetzbar. Sie können eine Vielzahl unterschiedlicher Aufgaben zuverlässig ausführen und lassen sich flexibel in verschiedenste Anwendungen oder nachgelagerte Systeme integrieren. Ein Beispiel dafür ist GPT-4 von OpenAI: Ein großes Sprachmodell für Textgenerierung, Übersetzung oder Chatbots. Gerade wegen ihrer breiten Einsatzmöglichkeiten stehen solche Modelle im Fokus neuer Regulierungen und unterliegen künftig konkreten Pflichten.
- Technische Dokumentation
Anbieter müssen eine umfassende und stets aktuelle technische Dokumentation ihres Modells erstellen (Art. 53 KI-VO). - Transparenz gegenüber Dritten
Wer ein GPAI-Modell anbietet, muss nachgelagerten Anbietern klare Informationen über Funktionsweise, Einsatzgrenzen und Risiken zur Verfügung stellen damit diese die Fähigkeiten und Grenzen des Modells verstehen und es sicher in ihre KI-Systeme integrieren können. - Urheberrechtlicher Schutz
Anbieter haben sicherzustellen, dass beim Training verwendete Daten keine Urheberrechte verletzen. Zudem muss eine Zusammenfassung der Trainingsdaten veröffentlicht werden. Zur Unterstützung bei der Umsetzung kann der von der Europäischen Kommission veröffentlichte Verhaltenskodex für KI mit allgemeinem Verwendungszweck herangezogen werden.
Achtung: KI-Modelle mit allgemeinem Verwendungszweck sind von KI-Systemen abzugrenzen. Ein KI-Modell ist der lernende Kern, ein KI-System die fertige Anwendung, die dieses Modell nutzt.
Aus den Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck können sich jedoch mittelbar auch regulatorische Verpflichtungen für Unternehmen ergeben, die diese Basismodelle in KI-Systemen einsetzen und deren wertvollen Informationen zum Aufbau und Betrieb eigener KI-Lösungen verwenden. Unternehmen sollten sich deshalb frühzeitig mit den Pflichten vertraut machen und gezielt prüfen, welche Informationen die Modellanbieter bereitstellen und ob diese ausreichen, um die eigenen regulatorischen Anforderungen zu erfüllen.
Governance (Kapitel VII KI-VO) und notifizierende Behörden (Kapitel III Abschnitt 4 KI-VO)
Mit dem Stichtag des 02. August übernehmen nach der Aufsichtsstruktur des Kapitel VII KI-VO das Europäische Amt für künstliche Intelligenz (EU-AI Office) und das Europäische Gremium für Künstliche Intelligenz die zentrale Regulierung. Zu diesem Zeitpunkt müssen nach Kapitel III Abschnitt 4 KI-VO die EU-Mitgliedstaaten ihre zuständigen nationalen Behörden zur Überwachung der Vorschriften benannt haben. Dabei müssen drei Arten von Behörden benannt oder eingerichtet werden: eine Marktüberwachungsbehörde, eine notifizierende Behörde und eine nationale öffentliche Behörde. In Deutschland übernimmt voraussichtlich die Bundesnetzagentur diese Rolle. Seit Juli 2025 bietet diese ein KI-Service-Desk mit Selbsteinschätzungstool, Informationen, Kontaktmöglichkeiten und Weiterbildungsangeboten als wichtige Unterstützung für Unternehmen im Umgang mit der neuen Regulierung an.
Sanktionen (Kapitel XII KI-VO, ausgenommen Art. 101 KI-VO)
Ab dem 02. August wird auch das Kapitel XII KI-VO wirksam, welches sich mit den Sanktionen bei Verstößen beschäftigt. Die Pflichten für Anbieter und Betreiber von Hochrisiko-KI-Systemen gem. Art. 6 KI-VO erlangen erst ab dem 2. August 2027 Geltung. Die Sanktionen betreffen daher vorerst nur verbotene KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck.
Die Höhe der Bußgelder orientiert sich an der Schwere des Verstoßes und den möglichen Auswirkungen. Bei Verstößen, die auch personenbezogene Daten betreffen, kann zusätzlich die DSGVO zur Anwendung kommen und die Bußgelder können sich dadurch addieren.
- Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
– Für besonders schwere Verstöße, z. B. gegen Verbote (Art. 5 KI-VO) - Bis zu 15 Mio. € oder 3 % des Jahresumsatzes
– Bei Verstößen gegen Pflichten für Hochrisiko-KI-Systeme oder Transparenzanforderungen - Bis zu 7,5 Mio. € oder 1 % des Jahresumsatzes
– Für falsche oder irreführende Angaben gegenüber Aufsichtsbehörden
Sonderregelung: Für KMU und Start-ups gelten jeweils die niedrigeren Beträge oder Prozentsätze.
Wie genau Sanktionen und Durchsetzungsmaßnahmen im Detail ausgestaltet werden, liegt im Ermessen der einzelnen EU-Mitgliedstaaten. In Deutschland ist die konkrete Umsetzung bislang weitgehend offen.
Fazit
Die zum 02. August 2025 in Kraft tretenden Regelungen der EU-KI-VO bringen spürbare Veränderungen für Unternehmen mit sich, die KI entwickeln oder einsetzen. Um rechtliche Risiken zu vermeiden und die eigene Compliance zu sichern, sollten Unternehmen jetzt aktiv werden: Prozesse prüfen, Anpassungsbedarf erkennen und die neuen Anforderungen gezielt integrieren. Wer frühzeitig handelt, stärkt nicht nur die eigene Position, sondern auch das Vertrauen von Kunden, Partnern und Behörden.
Der Bundesdigitalminister hat mit dem „KI-Service Desk“ ein neues Beratungsangebot der Bundesnetzagentur vorgestellt. Es richtet sich insbesondere an kleine und mittlere Unternehmen und soll sie dabei unterstützen, die EU-KI-VO rechtssicher umzusetzen. Dazu stellt der Service Desk praxisnahe Informationen bereit, wie etwa zur Einordnung von KI-Systemen in Risikoklassen mithilfe des neuen Tools der Bundesnetzagentur, dem „interaktiven Compliance Kompass“. Dieser hilft Unternehmen, die jeweils geltenden Compliance-Pflichten zu identifizieren, die je nach Risikoklasse und Rolle (ob Entwickler oder Anwender) unterschiedlich ausfallen. Zusätzlich informiert der Service Desk über Schulungsangebote zum Erwerb von KI-Kompetenz gemäß Art. 4 KI-VO.
Die Einrichtung des KI-Service Desk ist ein deutlicher Hinweis darauf, dass die Bundesnetzagentur künftig die zentrale Ansprechpartnerin für die Umsetzung der Verordnung sein wird. Ihre offizielle Benennung zur Marktüberwachungsbehörde muss bis spätestens 2. August 2025 erfolgen. Erste Kontakte sind schon jetzt über den KI-Service Desk möglich.
Die Pflicht zur KI-Kompetenz nach Art. 4 KI-VO
Seit dem 2. Februar gilt Art. 4 KI-VO, der Unternehmen verpflichtet, sicherzustellen, dass alle Personen, die mit dem Betrieb oder der Nutzung von KI-Systemen zu tun haben, mit ausreichender KI-Kompetenz ausgestattet sind. Dies betrifft nicht nur eigene Mitarbeitende, sondern auch externe Dienstleister, Auftragnehmer oder Kunden, sofern sie organisatorisch eingebunden sind.
Die Verordnung selbst legt jedoch nicht genau fest, wie diese Kompetenz in der Praxis vermittelt oder nachgewiesen werden soll. Bisher diente nur die allgemeine Definition aus Art. 3 Nr. 56 KI-VO als Orientierung, wonach KI-Kompetenz das Wissen, die Fähigkeiten und das Verständnis umfasst, KI-Systeme sachkundig zu nutzen und deren Risiken zu erkennen.
Mittlerweile hat die EU-Kommission in einem FAQ-Katalog präzisiert, was unter KI-Kompetenz zu verstehen ist. Ziel von Art. 4 ist demnach, Mitarbeitenden die nötigen Fähigkeiten, Kenntnisse und das Verständnis für die eingesetzten Systeme zu vermitteln – unter Berücksichtigung ihrer Vorerfahrung, Ausbildung und Schulung. Es gibt jedoch keine starren Vorgaben oder verpflichtenden Inhalte. Stattdessen betont die Kommission die Notwendigkeit von Flexibilität angesichts der Vielfalt und Dynamik im KI-Bereich.
Hilfestellung bietet eine veröffentlichte Liste mit Mindestanforderungen, etwa zur Funktionsweise von KI, ihrem Einsatz im Unternehmen, unterschiedlichen Rollen (Anbieter oder Betreiber) sowie einem risikobewussten Umgang mit KI-Systemen – auch bei scheinbar einfachen Anwendungen wie ChatGPT.
Für die Einhaltung von Art. 4 KI-VO ist kein offizielles Zertifikat erforderlich. Unternehmen können Schulungen oder andere Maßnahmen intern dokumentieren.
Was droht bei Nichteinhaltung?
Art. 99 KI-VO enthält gestaffelte Bußgeldsanktionen. Die Durchsetzung der KI-VO erfolgt verhältnismäßig und berücksichtigt Faktoren wie Schwere und Art eines Verstoßes sowie dessen Vorsätzlichkeit oder Fahrlässigkeit. Das lässt sich für Verstöße, die nachweislich auf unzureichende Schulung zurückzuführen sind, wahrscheinlicher bejahen.
Art. 4 KI-VO ist seit dem 2. Februar 2025 in Kraft, wodurch Unternehmen bereits jetzt verpflichtet sind, Maßnahmen zur Förderung der KI-Kompetenz ihrer Mitarbeitenden zu ergreifen. Sanktionen bei Nichteinhaltung sind durch nationale Marktüberwachungsbehörden möglich, doch insbesondere die Konsequenzen eines Verstoßes gegen Art. 4 KI-VO sind vom deutschen Gesetzgeber noch zu klären. Laut EU-Kommission werden die nationalen Marktüberwachungsbehörden erst ab dem 2. August 2026 mit der Überwachung und Durchsetzung der Vorschriften beginnen.
Ausblick
Die EU-Kommission plant eine Anleitung für KI-Kompetenz durch weitere Praxisbeispiele, Webinare und Erläuterungen in ihrem FAQ bereitzustellen. Eine spezielle Webseite der EU-Kommission zu KI-Kompetenzen und -Fähigkeiten ist in Vorbereitung. Weitere Orientierung bietet neben dem FAQ der EU-Kommission auch der KI-Pakt der EU, in dem mehrere Unternehmen auf über 70 Seiten ihre Ansätze zur Umsetzung von Art. 4 KI-VO zusammengetragen haben.
Jeder, der ein KI-System in eigener Verantwortung nutzt, gilt als Betreiber. Somit fallen alle Unternehmen, die KI-Tools oder Software einsetzen, unter den Anwendungsbereich der KI-Verordnung und sind somit bestimmten Pflichten unterworfen. Die ersten Anforderungen der KI-Verordnung treten bereits am 02. Februar 2025 in Kraft.
Diese Anforderungen treten bereits am 2. Februar 2025 in Kraft:
- Kompetenzanforderungen
Der Art. 4 KI-VO legt fest, dass Unternehmen bei allen Mitarbeitenden, die mit KI-Systemen arbeiten, die dafür erforderliche KI-Kompetenz sicherstellen müssen. Das bedeutet im Einzelnen:
-
Schulung und Weiterbildung: Unternehmen sind verpflichtet, ihre Mitarbeitenden regelmäßig zu schulen und weiterzubilden, um sicherzustellen, dass sie die technischen und ethischen Aspekte von KI-Systemen verstehen.
-
Bewusstsein für Risiken: Mitarbeitende sollen die potenziellen Risiken und Auswirkungen von KI-Systemen erkennen und angemessen darauf reagieren können.
- Verbotene Praktiken
Der Art. 5 KI-VO verbietet bestimmte Praktiken im Zusammenhang mit KI-Systemen, die als unvertretbares Risiko gelten. Dazu gehören
- Manipulative Techniken: Der Einsatz von KI-Systemen, die Menschen auf unterschwellige Weise beeinflussen oder manipulieren, um ihr Verhalten zu ändern, ist verboten.
- Ausnutzung von Schwachstellen: KI-Systeme dürfen nicht die Schwächen bestimmter Personengruppen (z. B. Kinder oder Menschen mit Behinderungen) ausnutzen.
- Soziale Bewertung: Die Verwendung von KI-Systemen zur sozialen Bewertung von Personen durch Behörden ist untersagt.
- Biometrische Fernidentifizierung: Der Einsatz von KI zur biometrischen Fernidentifizierung im öffentlichen Raum ist nur unter strengen Bedingungen erlaubt.
Diese Anforderungen treten am 2. August 2025 in Kraft.
- Transparenzpflichten
Art. 50 Abs. 4 KI-VO enthält Transparenzpflichten für Anbieter und Betreiber von bestimmten KI-Systemen. Darunter fallen KI-Systeme, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren bzw. einen Deep Fake darstellen. Das Unternehmen muss in dem Fall offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
Zusammenfassung der Betreiberpflichten
Unternehmen als Betreiber von KI-Systemen müssen nun also sicherstellen, dass sie die Vorgaben der KI-VO einhalten. Dafür sollten alle KI-Anwendungen im Unternehmen erfasst und den entsprechenden Risikokategorien zugeordnet werden. Unternehmen sollten überprüfen, ob ihre Systeme den Anforderungen der KI-VO entsprechen und sicherstellen, dass ihre KI-Systeme keine verbotenen Praktiken anwenden. Mit KI beschäftigte Mitarbeitende sollten hinreichend geschult werden, um die erforderliche KI-Kompetenz zu erhalten. Ebenso sind Transparenzpflichten für bestimmte KI-Systeme zu beachten.
- Zusätzliche Pflichten für Anbieter
Anbieter von KI-Modellen sind darüber hinaus dazu verpflichtet, im gesamten Lebenszyklus ihrer KI-Systeme für Konformität zu sorgen. Gemäß Art. 53 KI-VO ist eine technische Dokumentation zu erstellen und regelmäßig zu aktualisieren. Das umfasst eine kontinuierliche Überwachung der Modelle, regelmäßige Updates und bei wesentlichen Änderungen am KI-System eine erneute Bewertung und Meldung an die zuständigen Behörden. Hinzu kommen umfangreiche Informations- und Warnhinweise für Betreiber oder Endnutzer, damit diese ihrerseits ihren Pflichten nachkommen können.
Fazit
Mit der KI-VO rücken Rechtskonformität, Sicherheit und Vertrauen noch stärker in den Fokus. Unternehmen, die frühzeitig entsprechende Maßnahmen einleiten, sichern sich nicht nur einen Wettbewerbsvorteil, sondern bauen auch eine stabile Basis für nachhaltig verantwortungsvolles Handeln auf. Eine sorgfältige Planung, fortlaufende Risikobewertung sowie die Schulung aller Mitarbeitenden zu den relevanten KI-Pflichten sind dabei essenziell. Nur so lassen sich potenzielle Risiken minimieren und zugleich die vielfältigen Vorteile von KI-Technologien voll ausschöpfen.
Wie wirkt sich das EU-KI-Gesetz auf Ihr KI-System aus? Machen Sie jetzt den EU AI Act Compliance Check
Ziele der KI-Verordnung
Gefördert werden soll insbesondere die Entwicklung vertrauenswürdiger und rechtssicherer Systeme, wobei die EU durch diese Verordnung eine Führungsrolle einnehmen soll. Laut Brando Benifei, dem Ko-Berichterstatter des Binnenmarktausschusses, handele es sich bei der Verordnung um „das weltweit erste verbindliche Gesetz zur künstlichen Intelligenz, um Risiken zu reduzieren, Chancen zu schaffen, Diskriminierung zu bekämpfen und Transparenz zu gewährleisten.“
Die wohl wichtigste Definition der Verordnung ist die des „KI-Systems“. Dies ist gem. Art. 3 Abs. 1 KI-VO „ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie betrieben werden kann, das nach der Einführung Anpassungsfähigkeit zeigen kann und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ergebnisse Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen können“.
Einordnung der Risikostufen
Die Verordnung ordnet KI-Systeme nach ihrem Risiko ein. Es wird zwischen unannehmbaren Risiken, hohen Risiken, begrenzten Risiken und geringen Risiken differenziert:
- Unannehmbare Risiken, etwa manipulative oder täuschende Techniken, sind verboten.
- Für Hochrisikosysteme, wie beispielsweise autonome Fahrzeuge, gelten besonders strenge Anforderungen und Kontrollpflichten im Gegensatz zu Systemen mit begrenztem Risiko, wie zum Beispiel Chatbots.
- Entwickler und Betreiber von KI-Systemen mit begrenztem Risiko müssen beachten, dass der Endnutzer wissen muss, dass er mit KI interagiert.
- KI-Systeme mit geringem Risiko, wie beispielsweise einfache Spamfilter, unterliegen derzeit keinen Anforderungen.
Anwendungsbereich der KI-Verordnung
Die KI-VO richtet sich an verschiedene Adressaten, wobei die meisten Verpflichtungen die „Anbieter“ von KI-Systemen trifft. Anbieter sind Unternehmen, welche entsprechende Systeme entwickeln oder in der EU in den Verkehr bringen. Nutzer meint dagegen nicht den Endnutzer eines KI-Systems, sondern natürliche oder juristische Personen, welche die Systeme beruflich einsetzen.
Inkrafttreten der KI-Verordnung
Die Verordnung wird am 20. Tag nach der Veröffentlichung im Amtsblatt der EU-Inkrafttreten, dies wird voraussichtlich im zweiten Quartal des Jahres 2024 sein, wobei Übergangsfristen für verschiedene Pflichten geregelt sind.
Pflichten für Ihr Unternehmen
Mit der neuen KI-VO können durchaus umfangreiche Pflichten für Unternehmen entstehen, welche KI-Systeme anbieten. Maßgeblich ist dabei insbesondere die Einordnung in die verschiedenen Risikostufen. Gerade produzierende Unternehmen, welche die Nutzung von KI-Systemen nutzen oder dies planen, sollten die neue Verordnung im Blick behalten und gegebenenfalls eine Kategorisierung nach Risiken vornehmen. Darüber hinaus dürfte sich vor allem für den Endnutzer ein Mehrwert ergeben, da der Einsatz von KI in der EU durch die Verordnung künftig rechtssicherer werden wird.
Das könnte Sie auch interessieren
UV-Schutz am Arbeitsplatz – gesetzlich gefordert, praktisch umsetzbar
KI und Datenschutz im Unternehmen
Die neue EU-Verpackungsverordnung
Ihre persönlichen Ansprechpartner
Sie haben Fragen oder möchten einen persönlichen Gesprächstermin vereinbaren? Wir freuen uns auf Ihre Nachricht oder Ihren Anruf.

Legal Compliance Expert

Legal Compliance Expert