Compliance Blog

Update zur KI-Verordnung

Geschrieben von Admin | 02.12.25 10:36

Compliance Update vom 02.12.2025

Rückblick: Die KI-VO 2025

Die KI-VO der EU ist seit dem 1. August 2024 in Kraft, entfaltet ihre Wirkung jedoch stufenweise. Das heißt: Die einzelnen Vorgaben treten zu unterschiedlichen Zeitpunkten in Kraft und gelten nicht sofort vollständig.  Die ersten Pflichten sind bereits am 2. Februar 2025 wirksam geworden, darunter die Anforderungen an KI-Kompetenzen gemäß Art. 4 KI-VO sowie die Regelungen zu verbotenen KI-Praktiken nach Art. 5 KI-VO. Zum 2. August 2025 folgten weitere Verpflichtungen, die vor allem neue GPAI-Systeme, d.h. KI mit allgemeinem Verwendungszweck, betreffen. Seit diesem Zeitpunkt gelten zudem die Governance-Vorgaben aus Kapitel VII sowie die Sanktionsregelungen aus Kapitel XII der KI-VO. 

Die wichtigsten Stichtage auf einen Blick

  • 01.08.2024: Inkrafttreten der KI-VO
  • 02.02.2025: Erste Pflichten für  KI-Kompetenzen gemäß Art. 4 & Regelungen zu verbotenen KI-Praktiken nach Art. 5 KI-VO
  • 02.08.2025: Weitere Pflichten für u. a. neue GPAI-Systeme, Governance- und Sanktionsregeln
  • 02.08.2026: Allgemeine Anwendbarkeit
  • 02.08.2027: Pflichten für GPAI-Modelle, die vor dem 02.08.2025 in Verkehr gebracht wurden
  • 31.12.2030: Sonderfrist für KI-Systeme in IT-Großsystemen (Anhang X)



Die allgemeine Anwendbarkeit im August 2026

Der größte Teil der Pflichten entfaltet seine Geltung nach der 24-monatigen Übergangfrist ab dem 02. August 2026. Das Datum markiert die sogenannte allgemeine Anwendbarkeit der KI-VO. Insbesondere betroffen davon sind KI-Systeme mit Transparenzrisiko nach Art. 50 KI-VO, neue Hochrisiko-KI-Systeme gem. Anhang III KI-VO und bestehende Hoch-Risiko-KI-Systeme nach Anhang III, die nach dem 02. August 2026 wesentlich geändert werden.

Sonderfälle mit längeren Übergangsfristen

  • Ausnahme Anhang I + Drittprüfung
    Ausnahmen gelten für bestimmte Hochrisiko-KI-Systeme, die Teil eines Produkts nach Anhang I sind (oder ein Sicherheitsbauteil davon). Das betrifft insbesondere Fälle, in denen vor dem Inverkehrbringen eine Konformitätsbewertung durch Dritte erforderlich ist – oder wenn das System nach dem 2. August 2026 wesentlich geändert wird.
  • Übergangsfrist für „alte“ GPAI-Modelle
    Für GPAI-Modelle, die vor dem 2. August 2025 in Verkehr gebracht wurden, gilt eine 36-monatige Übergangsfrist. Die entsprechenden Vorschriften greifen daher erst ab dem 2. August 2027.
  • IT-Großsysteme (Anhang X)
    Zur letzten Gruppe zählen KI-Systeme, die Teil eines IT-Großsystems gemäß Anhang X sind und vor dem 2. August 2027 in Verkehr gebracht oder in Betrieb genommen wurden. Für sie greifen die entsprechenden Vorschriften schließlich ab dem 31. Dezember 2030.

What‘s next: Das deutsche Gesetz zur Durchführung der KI-VO

Warum Deutschland ein Durchführungsgesetz braucht
Die KI-VO ist als EU-VO umittelbar anwendbar und in allen EU-Mitgliedstaaten in vollem Umfang verbindlich. Sie benötigt also keine nationale Umsetzungsmaßnahme, um Rechtskraft zu erlangen. Dennoch erfordert die KI-VO ergänzende nationale Durchführungsmaßnahmen, um praktisch anwendbar zu werden. Nach Vorgaben der KI-VO hätte jeder Mitgliedstaat bis zum 2. August 2025 mindestens eine notifizierende Behörde und mindestens eine Marktüberwachungsbehörde einrichten oder benennen sowie nationale Sanktionsvorschriften und Maßnahmen zur Innovationsförderung erlassen müssen. Die Frist konnte vom deutschen Gesetzgeber aufgrund der Regierungsneubildung nicht gehalten werden.

Stand September 2025: Referentenentwurf und nächste Schritte
Im September 2025 hat das Bundesministerium für Digitales nun einen Referentenentwurf zum deutschen Durchführungsgesetz der KI-VO verabschiedet. Aktuell können die Bundesländer, Verbände, Organisationen und Institutionen schriftliche Stellungnahmen abgeben, bevor der Referentenentwurf dann den weiteren Gesetzgebungsprozess hin zum Bundesrat, Bundestag und schlussendlichen Veröffentlichung durchläuft.

Im Entwurf ist eine enge Kooperation zwischen verschiedenen Behörden wie der BNetzA, der BaFin, dem BSI, den Datenschutzbehörden und dem Bundeskartellamt vorgesehen. Dabei wird die BNetzA als zentrale Marktüberwachungsbehörde benannt und soll ein Koordinierungs- und Kompetenzzentrum zur Unterstützung anderer Behörden aufbauen. Daneben erfüllt der deutsche Gesetzgeber auch die geforderten Maßnahmen zur Innovationsförderung und legt eine Bereitstellung von Informations- und Schulungsangeboten durch die BNetzA fest, die v. a. KMU und Start-ups unterstützen sollen. Zusätzlich sollen KI-Reallabore für Tests und Experimente unter Realbedingungen eingerichtet werden und ein Aufbau von Fachwissen, Netzwerken und eine Standardisierung erfolgen.

Digital Omnibus: Die EU überarbeitet die KI-VO

Die schrittweise erfolgende Geltungsentfaltung der KI-VO soll es allen Beteiligten ermöglichen, auf den Erfahrungen aufzubauen – sowohl Anbietern und Betreibern als auch der EU-Kommission. Die bereits in Kraft getretenen Pflichten haben deutlich gezeigt, dass wichtige Standards und Instrumente zur praktischen Umsetzung fehlen. Viele Unternehmen waren mit unklaren Abgrenzungen zwischen dem KI-Gesetz und anderen EU-Rechtsvorschriften konfrontiert, was zu Widersprüchen und aufwendiger Compliance geführt hat. Die EU-Kommission reagiert nun mit dem neuen Digital Omnibus auf Umsetzungsprobleme der KI-VO und veröffentlicht gezielte Anpassungen, um einen einfacheren, konsistenteren und innovationsfreundlicheren Rechtsrahmen zu schaffen.

Blogbeitrag lesen

 

 

 
Vollständigen Beitrag anzeigen