Update zur KI-Verordnung

Compliance Update vom 30. Juli 2025

Diese Anforderungen gelten ab dem 2. August  

Die Umsetzung der EU-KI-Verordnung schreitet planmäßig voran. Nachdem bereits seit dem 2. Februar 2025 erste Verbote für besonders risikobehaftete KI-Systeme gelten, steht mit dem 2. August 2025 der nächste große Meilenstein an. Mit diesem Datum treten erweiterte Anforderungen insbesondere für sogenannte „GPAI-Modelle“ (KI-Modelle mit allgemeinem Verwendungszweck) in Kraft. Unternehmen, die solche Modelle entwickeln, einsetzen oder integrieren, müssen künftig strenge Vorgaben in Bezug auf Transparenz, Dokumentation und Risikomanagement erfüllen. Zugleich beginnen die zuständigen Aufsichtsbehörden mit ihrer Arbeit. Damit steigt das Risiko für Unternehmen, bei Verstößen gegen bereits geltende Regeln mit Sanktionen belegt zu werden.

Zentrale Pflichten, die ab dem 2. August 2025 gelten:

Kapitel V KI-VO: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck

KI-Modelle mit allgemeinem Verwendungszweck sind besonders vielseitig einsetzbar. Sie können eine Vielzahl unterschiedlicher Aufgaben zuverlässig ausführen und lassen sich flexibel in verschiedenste Anwendungen oder nachgelagerte Systeme integrieren. Ein Beispiel dafür ist GPT-4 von OpenAI: Ein großes Sprachmodell für Textgenerierung, Übersetzung oder Chatbots. Gerade wegen ihrer breiten Einsatzmöglichkeiten stehen solche Modelle im Fokus neuer Regulierungen und unterliegen künftig konkreten Pflichten.

1. Technische Dokumentation
   Anbieter müssen eine umfassende und stets aktuelle technische Dokumentation ihres Modells erstellen (Art. 53 KI-VO).
2. Transparenz gegenüber Dritten
   Wer ein GPAI-Modell anbietet, muss nachgelagerten Anbietern klare Informationen über Funktionsweise, Einsatzgrenzen und Risiken zur Verfügung stellen damit diese die Fähigkeiten und Grenzen des Modells verstehen und es sicher in ihre KI-Systeme integrieren können.
3. Urheberrechtlicher Schutz
   Anbieter haben sicherzustellen, dass beim Training verwendete Daten keine Urheberrechte verletzen. Zudem muss eine Zusammenfassung der Trainingsdaten veröffentlicht werden. Zur Unterstützung bei der Umsetzung kann der von der Europäischen Kommission veröffentlichte Verhaltenskodex für KI mit allgemeinem Verwendungszweck herangezogen werden.

Achtung: KI-Modelle mit allgemeinem Verwendungszweck sind von KI-Systemen abzugrenzen. Ein KI-Modell ist der lernende Kern, ein KI-System die fertige Anwendung, die dieses Modell nutzt.

Aus den Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck können sich jedoch mittelbar auch regulatorische Verpflichtungen für Unternehmen ergeben, die diese Basismodelle in KI-Systemen einsetzen und deren wertvollen Informationen zum Aufbau und Betrieb eigener KI-Lösungen verwenden. Unternehmen sollten sich deshalb frühzeitig mit den Pflichten vertraut machen und gezielt prüfen, welche Informationen die Modellanbieter bereitstellen und ob diese ausreichen, um die eigenen regulatorischen Anforderungen zu erfüllen.

Governance (Kapitel VII KI-VO) und notifizierende Behörden (Kapitel III Abschnitt 4 KI-VO)

Mit dem Stichtag des 02. August übernehmen nach der Aufsichtsstruktur des Kapitel VII KI-VO das Europäische Amt für künstliche Intelligenz (EU-AI Office) und das Europäische Gremium für Künstliche Intelligenz die zentrale Regulierung. Zu diesem Zeitpunkt müssen nach Kapitel III Abschnitt 4 KI-VO die EU-Mitgliedstaaten ihre zuständigen nationalen Behörden zur Überwachung der Vorschriften benannt haben. Dabei müssen drei Arten von Behörden benannt oder eingerichtet werden: eine Marktüberwachungsbehörde, eine notifizierende Behörde und eine nationale öffentliche Behörde. In Deutschland übernimmt voraussichtlich die Bundesnetzagentur diese Rolle. Seit Juli 2025 bietet diese ein KI-Service-Desk mit Selbsteinschätzungstool, Informationen, Kontaktmöglichkeiten und Weiterbildungsangeboten als wichtige Unterstützung für Unternehmen im Umgang mit der neuen Regulierung an.

Sanktionen (Kapitel XII KI-VO, ausgenommen Art. 101 KI-VO)

Ab dem 02. August wird auch das Kapitel XII KI-VO wirksam, welches sich mit den Sanktionen bei Verstößen beschäftigt. Die Pflichten für Anbieter und Betreiber von Hochrisiko-KI-Systemen gem. Art. 6 KI-VO erlangen erst ab dem 2. August 2027 Geltung. Die Sanktionen betreffen daher vorerst nur verbotene KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck.

Die Höhe der Bußgelder orientiert sich an der Schwere des Verstoßes und den möglichen Auswirkungen. Bei Verstößen, die auch personenbezogene Daten betreffen, kann zusätzlich die DSGVO zur Anwendung kommen und die Bußgelder können sich dadurch addieren.

1. Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
     – Für besonders schwere Verstöße, z. B. gegen Verbote (Art. 5 KI-VO)
2. Bis zu 15 Mio. € oder 3 % des Jahresumsatzes
     – Bei Verstößen gegen Pflichten für Hochrisiko-KI-Systeme oder Transparenzanforderungen
3. Bis zu 7,5 Mio. € oder 1 % des Jahresumsatzes
     – Für falsche oder irreführende Angaben gegenüber Aufsichtsbehörden

Sonderregelung: Für KMU und Start-ups gelten jeweils die niedrigeren Beträge oder Prozentsätze.

Wie genau Sanktionen und Durchsetzungsmaßnahmen im Detail ausgestaltet werden, liegt im Ermessen der einzelnen EU-Mitgliedstaaten. In Deutschland ist die konkrete Umsetzung bislang weitgehend offen.

Fazit

Die zum 02. August 2025 in Kraft tretenden Regelungen der EU-KI-VO bringen spürbare Veränderungen für Unternehmen mit sich, die KI entwickeln oder einsetzen. Um rechtliche Risiken zu vermeiden und die eigene Compliance zu sichern, sollten Unternehmen jetzt aktiv werden: Prozesse prüfen, Anpassungsbedarf erkennen und die neuen Anforderungen gezielt integrieren. Wer frühzeitig handelt, stärkt nicht nur die eigene Position, sondern auch das Vertrauen von Kunden, Partnern und Behörden.