EU KI-Gesetz an einem Scheideweg: GPAI-Regeln, KI-Kompetenzrichtlinien und mögliche Verzögerungen
Das EU KI-Gesetz (KI-Gesetz), das seit Februar 2025 in Kraft ist, führt einen risikobasierten Regulierungsrahmen für KI-Systeme und ein paralleles Regime für generative KI (GPAI) Modelle ein. Es legt Pflichten für verschiedene Akteure fest, darunter Anbieter, Nutzer, Importeure und Hersteller, und verlangt, dass Organisationen ein angemessenes Maß an KI-Kompetenz unter den Mitarbeitern sicherstellen. Das KI-Gesetz verbietet außerdem die Nutzung von KI in Fällen mit „unvertretbarem Risiko“ und stellt strenge Anforderungen an „hochriskante“ Systeme.
Aktueller Stand der Umsetzung
Mit Stand Mitte 2025 entwickelt sich die Umsetzungslandschaft weiter. Dieses Update gibt einen Überblick über:
- Neue Richtlinien zu den Anforderungen an die KI-Kompetenz für Anbieter und Nutzer;
- Den Status der Entwicklung eines Kodex für generative KI und dessen Auswirkungen;
- Die Aussicht auf verzögerte Durchsetzung einiger wesentlicher Bestimmungen des KI-Gesetzes.
KI-Kompetenzanforderungen
Gemäß Artikel 4 des KI-Gesetzes müssen Anbieter (d.h. Entitäten, die KI-Systeme für den EU-Markt unter ihrem eigenen Namen entwickeln) und Nutzer von KI-Systemen (d.h. diejenigen, die KI-Systeme unter ihrer Autorität verwenden) ab dem 2. Februar 2025 ein „ausreichendes Maß an KI-Kompetenz“ unter dem Personal sicherstellen. Diese Anforderung gilt für alle KI-Systeme (nicht nur für hochriskante KI-Systeme).
Am 7. Mai 2025 veröffentlichte die Europäische Kommission detaillierte FAQs, die den Umfang dieser Verpflichtung klären. Laut den Richtlinien umfasst die KI-Kompetenz nicht nur ein allgemeines Verständnis der Fähigkeiten und Grenzen von KI, sondern auch die Fähigkeit, rechtliche und ethische Implikationen zu bewerten, Ausgaben kritisch zu interpretieren und angemessene Aufsicht anzuwenden. Besonders relevant für alle Arten von Unternehmen ist die Richtlinie, dass Organisationen, die generative KI für Geschäftsprozesse (z.B. Marketingtexte, Übersetzungen) nutzen, sicherstellen müssen, dass die Nutzer über die damit verbundenen Risiken, wie z.B. Halluzinationen, geschult werden.
Die Verpflichtung gilt für alle Mitarbeiter, die mit KI-Systemen interagieren (d.h. nicht nur für Angestellte), einschließlich Auftragnehmer und Dienstleister. Während das KI-Gesetz keinen spezifischen Lehrplan vorschreibt, schlägt die Europäische Kommission vor, dass Initiativen zur KI-Kompetenz die Rolle der Organisation (z.B. Anbieter oder Nutzer), die Art und das Risikoprofil der beteiligten KI-Systeme sowie die technischen Kompetenzen des Personals widerspiegeln sollten. Sich lediglich auf Benutzeranweisungen oder passive Dokumentationen zu verlassen, wird allgemein nicht als ausreichend betrachtet, und maßgeschneiderte Richtlinien, Verfahren und Schulungen können erforderlich sein.
GPAI-Modelle und Kodex für Praktiken
Das KI-Gesetz definiert ein GPAI-Modell in Bezug auf „signifikante Allgemeinheit“ in seinen Fähigkeiten und die Kompetenz, „eine breite Palette von verschiedenen Aufgaben unabhängig davon zu erfüllen, wie das Modell auf den Markt gebracht wird“ – was große Sprachmodelle wie GPT-4, Gemini 2.5 Pro, DeepSeek-VL usw. erfasst. Am 12. Juni 2025 veröffentlichte die Europäische Kommission eine Reihe von hilfreichen FAQs zur Definition von GPAI-Modellen und den Verpflichtungen des KI-Gesetzes in Bezug auf solche Modelle.
Artikel 56 des KI-Gesetzes sieht die Veröffentlichung eines Kodex für generative KI durch das Europäische KI-Büro vor, einschließlich allgemeiner Richtlinien für Anbieter von GPAI-Modellen (und weiterer Richtlinien für Modelle, die ein „systemisches Risiko“ darstellen) zur Einhaltung der Verpflichtungen des KI-Gesetzes. Dieser GPAI-Kodex, obwohl freiwillig, wird schließlich die Grundlage für die Bewertung der Einhaltung des KI-Gesetzes durch das Europäische KI-Büro bilden. Der GPAI-Kodex umfasst Transparenz- und urheberrechtliche Vorschriften, die für alle Anbieter von GPAI-Modellen gelten (außer für solche unter einer Open-Source-Lizenz), sowie spezifische technische und governance-relevante Anforderungen für Anbieter von GPAI-Modellen mit „systemischem Risiko“.
Wir haben zuvor einige der Schlüsselpunkte des ersten Entwurfs des Kodex in einem früheren Blogbeitrag kommentiert. Zweite und dritte Entwürfe des GPAI-Kodex wurden seitdem von der Europäischen Kommission veröffentlicht. Der dritte Entwurf, der am 11. März 2025 veröffentlicht wurde, entfernte bemerkenswerterweise die Verwendung von Leistungskennzahlen als Benchmark, die im zweiten Entwurf eingeführt wurde, und führte verschiedene Straffungen und Umstrukturierungen durch. Der jüngste Entwurf betont auch die Notwendigkeit für das Europäische KI-Büro, den GPAI-Kodex im Laufe der Zeit zu überprüfen und zu aktualisieren, während sich die Technologie weiterentwickelt. Dieser Entwurf wird voraussichtlich der endgültige Entwurf sein, zu dem noch Rückmeldungen eingereicht werden können, und wird die Grundlage für den endgültigen GPAI-Kodex bilden. Die Finalisierung des GPAI-Kodex wurde jedoch von der ursprünglichen Frist vom 2. Mai 2025 auf nunmehr August 2025 verschoben, was Bedenken über regulatorische Unsicherheiten und ungleiche Vorbereitungen zur Einhaltung aufwirft.
Mögliche Verzögerungen bei der Umsetzung
Während die ersten Bestimmungen des KI-Gesetzes im Februar 2025 in Kraft traten, treten andere Verpflichtungen, wie die für Anbieter von GPAI-Modellen, gemäß den aktuellen Zeitplänen erst am 2. August 2025 in Kraft, wobei weitere Umsetzungen in Phasen bis zum Sommer 2027 erfolgen. Die jüngste Verzögerung des GPAI-Kodex bis August hat zu Spekulationen geführt, dass auch bestimmte wesentliche Bestimmungen des KI-Gesetzes verzögert werden könnten. Es wurde im Mai berichtet, dass die Europäische Kommission eine Verzögerung der Durchsetzung der GPAI-Verpflichtungen gemäß dem KI-Gesetz in Betracht zog, um einige der Regeln „zu vereinfachen“. Diese Motivation steht im Einklang mit anderen aktuellen Vereinfachungsbemühungen der Europäischen Kommission, die im Gange sind, während Unternehmen aufgefordert werden, die regulatorische Belastung beim Geschäft in der EU zu reduzieren. Obwohl die Verzögerung von offiziellen EU-Quellen noch nicht öffentlich bestätigt wurde, haben verschiedene einflussreiche Persönlichkeiten aus den Mitgliedstaaten, darunter der schwedische Ministerpräsident, ihre Unterstützung für eine Verzögerung der Umsetzung geäußert, in einigen Fällen für bis zu zwei Jahre.
Wichtige Erkenntnisse
Organisationen, die KI-Systeme innerhalb der EU entwickeln oder einsetzen, müssen diese sich entwickelnden Anforderungen sorgfältig navigieren. Die möglichen Verzögerungen bei der Durchsetzung bieten ein Zeitfenster, um die Compliance-Strategien zu stärken, bringen jedoch auch Unsicherheit mit sich. Die Sicherstellung der KI-Kompetenz unter den Mitarbeitern ist nun eine gesetzliche Verpflichtung, die die Entwicklung maßgeschneiderter Schulungsprogramme erfordert. Für Anbieter von GPAI-Modellen ist es entscheidend, die bevorstehenden Verpflichtungen zu verstehen und sich darauf vorzubereiten, auch wenn die endgültigen Richtlinien noch ausstehen.
Organisationen, die unter diese Regelungen fallen, sollten:
- KI-Kompetenz verbessern: Schulungsprogramme entwickeln und umsetzen, um die Anforderungen an die KI-Kompetenz gemäß Artikel 4 zu erfüllen.
- Regulatorische Updates überwachen: Über Veränderungen bei den Durchsetzungszeitplänen und die Finalisierung des GPAI-Kodex informiert bleiben.
- Auf GPAI-Verpflichtungen vorbereiten: Selbst in Abwesenheit endgültiger Richtlinien sollte die aktuelle Praxis gegen die erwarteten Anforderungen für GPAI-Modelle bewertet werden.
