Seit dem 2. August 2025 gelten neue Regelungen der europäischen KI-Verordnung (KI-VO). Nachdem bereits seit dem 2. Februar 2025 wichtige Bestimmungen, wie das Verbot bestimmter KI-Praktiken und die Verpflichtung zur Sicherstellung von KI-Kompetenz, verbindlich sind, markiert dieser Tag den nächsten Schritt für KI-Compliance im Unternehmen. Die KI-VO wurde geschaffen, um die Entwicklung sicherer und vertrauenswürdiger KI-Systeme zu fördern. Gleichzeitig sollen Grundrechte geschützt und Investitionen sowie Innovationen vorangetrieben werden. Für Unternehmen und Behörden bedeutet dies neue Anforderungen und Pflichten.
Neu seit dem 2. August 2025
Mit dem 2. August 2025 hat die nächste Umsetzungsstufe für zentrale Compliance- und Überwachungsregelungen der KI-VO begonnen. Diese betreffen unter anderem:
- Notifizierende Behörden und notifizierte Stellen: In Kapitel III, Abschnitt 4 wird festgelegt, dass die Mitgliedstaaten notifizierende Behörden benennen müssen. Also Behörden die für die Bewertung, Benennung und Überwachung von Konformitätsbewertungsstellen für Hochrisiko-KI-Systeme zuständig sind. Das Notifizierungsverfahren, also wie sich Stellen als Konformitätsbewertungsstelle bewerben können, wird ebenfalls geregelt.
- KI-Modelle mit allgemeinem Verwendungszweck (GPAI): Das Kapitel V definiert die Kriterien und Anbieterpflichten für die Nutzung von GPAI-Modellen. Besonderer Fokus liegt auf Transparenzvorgaben, dem Risikomanagement und speziellen Anforderungen an Modelle mit systemischem Risiko.
- Governance: In Kapitel VII wird die Einrichtung von Gremien auf Unionsebene normiert, darunter das Büro für Künstliche Intelligenz (AI Office) der Europäischen Kommission und das KI-Gremium zur Beratung der Europäischen Kommission. Zudem müssen die Mitgliedstaaten festlegen, welche Behörde auf nationaler Ebene für die Umsetzung, Überwachung und Durchsetzung der KI-VO als Marktüberwachungsbehörde zuständig ist.
- Sanktionen: Die Regelungen zur Verhängung von Sanktionen (Kapitel XII, Artikel 99 bis 101 KI-VO) erlangen mit der Benennung zuständiger Aufsichtsbehörden Geltung. Zudem tritt Artikel 78 KI-VO zur Vertraulichkeit von Informationen, insbesondere Geschäftsgeheimnissen, in Kraft.
Regelungen für General-Purpose AI
Besonders relevant sind die umfassenden Vorgaben für Künstliche Intelligenz-Modelle mit allgemeinem Verwendungszweck. Das sind sogenannte General-Purpose AI (GPAI) oder Large Language Models (LLMs). Für Anbieter solcher Modelle, die nach diesem Stichtag in Verkehr gebracht werden, treten weitreichende Pflichten in Kraft. Dazu gehören die Erstellung detaillierter Dokumentationen oder die Erklärung zur Einhaltung des EU-Urheberrechts. Darüber hinaus sind Anbieter zur Veröffentlichung einer genauen Zusammenfassung der Trainingsdaten sowie der Bereitstellung von Informationen zur Funktionsweise der Modelle verpflichtet.
Besonders leistungsfähige Modelle mit systemischem Risiko müssen zudem auf Schwachstellen und Risiken getestet und schwerwiegende Sicherheitsvorfälle gemeldet werden. Diese Modelle sind definiert durch einen hohen Rechenaufwand von mehr als 10^25 Floating-Point Operations für ihr Training. Die Europäische Kommission hat hierzu unterstützende Leitlinien und einen freiwilligen General-Purpose AI Code of Practice veröffentlicht. Für GPAI-Modelle, die bereits vor dem 2. August 2025 verfügbar waren, gilt eine Übergangsfrist bis zum 2. August 2027.
Bedeutung für Unternehmen
Für Unternehmen, die KI-Systeme entwickeln, anbieten oder integrieren, ergeben sich aus den neuen Regelungen erhebliche Handlungserfordernisse. Insbesondere Anwender von GPAI-Modellen, die diese in ihre eigenen KI-Systeme integrieren, erfahren eine große Stärkung. Sie können von den Modellanbietern aktiv Informationen einfordern, die für ihre eigene Compliance unerlässlich sind. Dies ermöglicht eine bessere Bewertung der eingesetzten GPAI-Modelle, minimiert Risiken und hilft bei der Erfüllung datenschutzrechtlicher Sorgfaltspflichten. Es ist unerlässlich, den eigenen Einsatz von KI-Systemen umfassend rechtlich zu prüfen und eine klare Strategie für die Implementierung (KI-Strategie) und den verantwortungsvollen Umgang mit KI zu entwickeln.
Ein weiterer, bereits seit dem 2. Februar 2025 bestehender Kernpunkt ist die Verpflichtung zur Sicherstellung von KI-Kompetenz innerhalb des Unternehmens. Dies erfordert gezielte Schulungen und Fortbildungen für alle Mitarbeitenden, die mit KI-Systemen befasst sind, um ein sachkundiges Verständnis der Chancen, Risiken und ethischen Aspekte von KI zu gewährleisten. Organisationen wie der Europäische Datenschutzausschuss (EDSA) stellen hierfür praxisorientierte Leitlinien und Schulungsmaterialien bereit. Die Europäische Kommission bietet zudem mit dem AI Act Service Desk Unterstützung bei der Umsetzung.
Der KINAST „KI-Beauftragte“
Ihre Lösung für rechtssichere KI-Compliance
Sanktionen: Was droht bei Verstößen?
Mit dem 2. August 2025 haben auch die Regelungen zur Verhängung von Sanktionen Gültigkeit erlangt, sobald die zuständigen Aufsichtsbehörden auf nationaler Ebene benannt wurden. Die KI-VO sieht vor, dass diese Sanktionen – zu denen neben Bußgeldern auch Verwarnungen und nicht-monetäre Maßnahmen gehören können – wirksam, verhältnismäßig und abschreckend sein müssen, wobei auch die Interessen kleiner und mittlerer Unternehmen (KMU) berücksichtigt werden sollen.
Bereits seit Februar 2025 gelten die Verbote bestimmter KI-Praktiken, wie die biometrische Echtzeit-Fernüberwachung zu Strafverfolgungszwecken oder das Social Scoring. Diese können mit empfindlichen Geldstrafen von bis zu 35.000.000 Euro oder bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Das bei der Kommission angesiedelte AI Office ist ab August 2025 befugt, Untersuchungen einzuleiten und Korrekturmaßnahmen zu verlangen. Die Befugnis zur Verhängung von Bußgeldern und anderen Sanktionen durch die Kommission greift jedoch erst ein Jahr später, ab dem 2. August 2026. Obwohl für das Fehlen von KI-Kompetenz nach Artikel 4 KI-VO keine direkten Bußgelder vorgesehen sind, könnte eine mangelhafte Kompetenz, die zu Fehlern oder Schäden führt, als Verletzung der allgemeinen Sorgfaltspflicht gewertet werden.
Durchführungsgesetz & Marktüberwachung fehlt
Die nationale Umsetzung der KI-VO in Deutschland stagniert jedoch weiterhin, was zu Kritik führt. Thomas Fuchs, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), hat die Bundesregierung scharf kritisiert, weil sie die Frist zum 2. August 2025 zur Benennung der zuständigen Marktüberwachungsbehörden für die KI-VO verpasst hat. Er betont, dass Unternehmen und Behörden dadurch ein verbindlicher Ansprechpartner für Fragen zur KI-Verordnung fehlen, was einen Nachteil für den KI-Innovationsstandort Deutschland darstellt.
Deutschland verfügt derzeit über kein KI-VO-Durchführungsgesetz. Dies ist problematisch, da die benannten Behörden nicht nur unabhängig sein, sondern auch mit angemessenen technischen, finanziellen und personellen Ressourcen sowie Fachkenntnissen im Bereich KI, Daten- und Produktsicherheitsrecht ausgestattet sein müssen. Obwohl die KI-Verordnung in Artikel 74 Absatz 8 bereits festlegt, dass die Datenschutzaufsichtsbehörden für die Marktüberwachung von Hochrisiko-KI-Systemen in besonders grundrechtssensiblen Bereichen wie Strafverfolgung, Migration und Justiz zuständig sind, bleibt die allgemeine Aufsichtsstruktur in Deutschland unklar. Während die Datenschutzkonferenz (DSK) eine Bündelung der Zuständigkeiten bei den Datenschutzbehörden aufgrund ihrer langjährigen Expertise befürwortet, lassen Entwürfe eines Durchführungsgesetzes die Bundesnetzagentur als allgemeine Marktüberwachungsbehörde erwarten, um eine Zersplitterung der Kompetenzen zu vermeiden. Trotz der fehlenden nationalen Regelung bereitet sich der HmbBfDI proaktiv auf seine neuen Aufgaben vor, indem intern Kompetenzen aufgebaut und Personal für die komplexen Prüfungen von KI-Systemen fortgebildet wird.
Fazit
Der Start der nächsten Stufe der Umsetzung der KI-Verordnung am 2. August 2025 unterstreicht die Notwendigkeit für Unternehmen, sich intensiv mit den neuen rechtlichen Rahmenbedingungen auseinanderzusetzen. Die zusätzlichen Anforderungen an GPAI-Modelle und die nun anwendbaren Sanktionsregelungen erhöhen den Druck, funktionale KI-Implementierungs- und Einsatzprozesse zu etablieren. Trotz der nationalen Verzögerungen bei der Benennung der Aufsichtsbehörden ist proaktives Handeln für Unternehmen unerlässlich, um Compliance sicherzustellen und Risiken zu minimieren.
Unser KINAST „KI-Beauftragter“ hilft Ihrem Unternehmen dabei, diese komplexen Anforderungen zu verstehen und umzusetzen. Von der Implementierung von Risikomanagement-Frameworks über die Schulung Ihrer Mitarbeiter bis hin zur vertraglichen Gestaltung der Zusammenarbeit mit KI-Anbietern. Sprechen Sie uns an, um Ihre Organisation zukunftssicher und rechtssicher aufzustellen.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
