EU AI Act Implementierung: Neue Verpflichtungen für allgemeine KI-Systeme treten in Kraft
Die Europäische Union hat mit dem Artificial Intelligence Act (AI Act) den weltweit ersten umfassenden rechtlichen Rahmen für künstliche Intelligenz (KI) geschaffen. Dieses Gesetz zielt darauf ab, die mit KI verbundenen Risiken zu adressieren und gleichzeitig vertrauenswürdige Innovationen in Europa zu fördern. Der AI Act legt risikobasierte Regeln für KI fest und hat weitreichende Konsequenzen für Unternehmen, die KI in der EU entwickeln, bereitstellen oder nutzen – unabhängig davon, ob sie in der EU ansässig sind oder nicht.
Hintergrund
Die Bestimmungen des AI Act treten schrittweise über mehrere Jahre in Kraft. Der zweite wichtige Implementierungszeitraum wurde nun erreicht.
Phase 1: Verbotene KI-Systeme und Schulungen
Seit dem 2. Februar 2025 sind bestimmte KI-Systeme, die als inakzeptable Risiken gelten, verboten, was bedeutet, dass sie nicht auf den EU-Markt gebracht, in Betrieb genommen oder in der EU verwendet werden dürfen. Darüber hinaus müssen Anbieter und Anwender von KI-Systemen Maßnahmen ergreifen, um die KI-Kompetenz ihrer Mitarbeiter nachzuweisen.
Phase 2: GPAI-Modelle
Seit dem 2. August 2025 gelten Verpflichtungen in Bezug auf General Purpose AI (GPAI)-Modelle für KI-Modelle, die am Markt platziert werden. GPAI-Modelle, die vor diesem Datum auf den Markt gebracht wurden, haben zwei Jahre Zeit, bis zum 2. August 2027, um den Anforderungen des AI Act zu entsprechen.
Ein GPAI-Modell bezieht sich auf KI-Modelle, die mit einer großen Menge an Daten trainiert wurden und eine signifikante funktionale Allgemeinheit aufweisen. Dazu gehören große Sprachmodelle wie GPT-4, Google Gemini und Llama 3.1. Die Richtlinien des AI Act unterscheiden zwischen GPAI-Modellen, die systemische Risiken darstellen und denen, die dies nicht tun.
Organisationen, die GPAI-Modelle bereitstellen oder entwickeln, müssen nun ihre Modelle klassifizieren und Anforderungen an technische Dokumentationen, Transparenz und Zusammenarbeit mit den zuständigen Behörden erfüllen. Für Modelle mit systemischen Risiken gelten zusätzliche Anforderungen an die Meldung von Vorfällen, Modellbewertungen und Cybersicherheit.
Neue Richtlinien und Verhaltenskodex
Am 18. Juli 2025 veröffentlichte die Kommission Entwurfshinweise, die wichtige Bestimmungen des AI Act für GPAI-Modelle klären. Diese Richtlinien sollen Organisationen bei ihren Compliance-Bemühungen unterstützen, indem sie Einblicke in die Auslegung der Bestimmungen bieten. Zudem wurde ein General-Purpose AI Code of Practice veröffentlicht, der als freiwilliges Instrument für Anbieter von GPAI-Modellen dient, um ihre Konformität mit dem AI Act zu demonstrieren.
Strategische Empfehlungen
Angesichts der bevorstehenden Anwendung der umfassenderen Bestimmungen des AI Act ab dem 2. August 2026 sollten Organisationen zwei kritische Vorbereitungsmaßnahmen priorisieren: eine umfassende Kartierung ihrer KI-Systeme und eine präzise Rollendefinition im Rahmen des AI Act. Die Unterscheidung zwischen Anbietern, Anwendern und Vertreibern von KI-Systemen hat tiefgreifende Compliance-Auswirkungen, da jede Rolle unterschiedliche Verpflichtungen und Haftungsaussetzungen mit sich bringt.
Frühe Vorbereitungen in Bereichen wie Dokumentation, Transparenz und Urheberrecht sind entscheidend, um Risiken von Durchsetzungsmaßnahmen und Geschäftsunterbrechungen zu vermeiden.
