EU AI Act: Wichtige Compliance-Überlegungen vor August 2025
Die Europäische Kommission hat klargestellt: Der Zeitplan für die Umsetzung des Künstliche Intelligenz-Gesetzes (EU AI Act) bleibt unverändert. Es sind keine Übergangsfristen oder Verschiebungen geplant. Die ersten Vorschriften sind seit dem 2. Februar 2025 in Kraft, während weitere wesentliche Verpflichtungen am 2. August in Kraft treten werden. Verstöße gegen den AI Act können mit erheblichen Strafen geahndet werden, darunter Bußgelder von bis zu 35 Millionen EUR oder 7% des weltweiten Jahresumsatzes.
Der AI Act markiert den ersten umfassenden rechtlichen Rahmen für die Nutzung und Entwicklung von Künstlicher Intelligenz. Er verfolgt einen risikobasierten Ansatz, der die regulatorischen Anforderungen an das spezifische Risiko eines KI-Systems bindet. Die Umsetzung kann strukturelle, technische und governance-bezogene Herausforderungen für Unternehmen mit sich bringen, insbesondere im Bereich der General-Purpose AI (GPAI).
Wesentliche Anforderungen und Compliance-Verpflichtungen gemäß dem EU AI Act
Der AI Act konzentriert sich auf riskante und verbotene KI-Praktiken. Bestimmte Anwendungen wurden seit dem 2. Februar 2025 ausdrücklich verboten, darunter:
- biometrische Kategorisierung basierend auf sensiblen Merkmalen;
- Emotionserkennungssysteme am Arbeitsplatz;
- manipulative Systeme, die das menschliche Verhalten unbemerkt beeinflussen;
- Soziale Bewertungssysteme.
Diese Verbote gelten umfassend – sowohl für die Entwicklung als auch für die bloße Nutzung solcher Systeme.
Am 2. August 2025 treten umfassende Sorgfaltspflichten, Transparenz- und Dokumentationsanforderungen für verschiedene Akteure entlang der KI-Wertschöpfungskette in Kraft.
Der Deutsche Bundestag wird voraussichtlich die Bundesnetzagentur mit der regulatorischen Aufsicht betrauen. Die Behörde hat bereits einen zentralen Ansprechpartner, das „AI Service Desk“, eingerichtet, um kleinen und mittelständischen Unternehmen insbesondere bei Fragen zur praktischen Umsetzung des AI Acts zu helfen. Unternehmen sollten zudem die regulatorischen Entwicklungen, beispielsweise bezüglich des finalen Code of Practice für GPAI-Modelle, genau beobachten.
Wer ist vom EU AI Act betroffen?
Provider von General-Purpose AI (GPAI)
Provider von GPAI-Modellen – wie große Sprach- oder multimodale Modelle – unterliegen ab August 2025 einem spezifischen Regulierungsregime. Sie müssen technische Dokumentationen führen, die die Entwicklung, das Training und die Bewertung des Modells nachvollziehbar machen. Zudem müssen Transparenzberichte erstellt werden, die die Fähigkeiten, Einschränkungen, potenziellen Risiken und Anleitungen für Integratoren beschreiben.
Eine Zusammenfassung der verwendeten Trainingsdaten muss ebenfalls veröffentlicht werden. Diese muss Datenarten, -quellen und -vorverarbeitungsmethoden umfassen. Die Verwendung urheberrechtlich geschützten Inhalts muss dokumentiert und rechtlich zulässig sein. Gleichzeitig müssen die Anbieter den Schutz vertraulicher Informationen gewährleisten.
GPAIs mit systemischem Risiko
Erweiterte Verpflichtungen gelten für besonders leistungsstarke GPAI-Modelle, die als „systemisch“ eingestuft werden. Die Einstufung erfolgt anhand technischer Kriterien wie Rechenleistung, Reichweite oder potenzieller Auswirkungen. Anbieter solcher Modelle müssen das System der Europäischen Kommission melden, strukturierte Evaluierungs- und Testverfahren durchlaufen und Sicherheitsvorfälle dauerhaft dokumentieren. Darüber hinaus gelten erhöhte Anforderungen im Bereich der Cybersicherheit und Überwachung.
Nachgelagerte Anbieter und Modifizierer
Unternehmen, die bestehende GPAI-Modelle erheblich modifizieren, werden aus regulatorischer Sicht selbst zu Anbietern. Eine Modifikation gilt als erheblich, wenn das bestehende GPAI-Modell durch Retraining, Feinabstimmung oder andere technische Anpassungen so verändert wird, dass Funktionalität, Leistung oder Risiken des Modells signifikant verändert werden. Dies bedeutet, dass alle Verpflichtungen, die für ursprüngliche GPAI-Entwickler gelten, auch für modifizierte Modelle Anwendung finden. In der Praxis muss die Feinabstimmung im Kontext von Geschäftsanwendungen daher aus rechtlicher Sicht sorgfältig überprüft und gegebenenfalls durch regulatorische Maßnahmen abgesichert werden.
Benutzer von KI-Systemen
Unternehmen, die KI-Systeme lediglich nutzen – insbesondere in Anwendungen mit potenziell hohen Risiken, wie in der Rekrutierung, Medizin oder kritischer Infrastruktur – sind ebenfalls verpflichtet, ein vollständiges Inventar der verwendeten Systeme zu führen. Darüber hinaus müssen sie sicherstellen, dass verbotene Anwendungen nicht genutzt werden. Ab August 2026 gelten für Hochrisiko-KI-Systeme zusätzliche Verpflichtungen, wie Datenschutz-Folgenabschätzungen und interne Überwachung. Die umfangreicheren Transparenzpflichten für KI-Systembenutzer – wie die Kennzeichnung von KI-generierten Inhalten – werden erst am 2. August 2026 verbindlich.
Technische und organisatorische Anforderungen
Die Umsetzung des AI Acts erfordert nicht nur rechtliche, sondern auch strukturelle Maßnahmen. Unternehmen sollten Folgendes in Betracht ziehen, um die Compliance zu erhöhen:
- Ein vollständiges KI-Inventar mit Risikoklassifizierung einzurichten;
- Die Rolle des Unternehmens (Lieferant, Modifizierer oder Bereitsteller) zu klären;
- Die erforderliche technische und Transparenzdokumentation vorzubereiten;
- Urheberrechts- und Datenschutzanforderungen umzusetzen;
- Die KI-Kompetenz der Mitarbeiter (einschließlich externem Personal) zu schulen und zu überprüfen;
- Interne Governance-Strukturen anzupassen, einschließlich der Ernennung verantwortlicher Personen.
Die Kommission und nationale Aufsichtsbehörden haben angekündigt, die Umsetzung genau zu überwachen. Unternehmen sollten ihre Compliance-Strategien regelmäßig überprüfen und anpassen, insbesondere in Bezug auf die Codes of Practice und zukünftige technische Standards.
Frühe Vorbereitung auf die Compliance mit dem EU AI Act und Risikominderung
Der 2. August 2025 ist eine bindende Frist. Eine Bestandsaufnahme, die Klärung von Rollen und die Evaluierung von Systemen können helfen, eine solide Grundlage für regulatorische Sicherheit zu schaffen. Insbesondere GPAI-Anbieter und Modifizierer sollten sich auf ein höheres Maß an Verantwortlichkeit vorbereiten. Aber auch traditionelle Bereitsteller sind gefordert, Transparenz und Kontrolle über ihre KI-Anwendungen sicherzustellen.
Frühzeitiges Handeln kann rechtliche und finanzielle Risiken mindern sowie Verantwortung und zukünftige Lebensfähigkeit im Umgang mit künstlicher Intelligenz unterstreichen.
