Zweite Phase der KI-Verordnung gestartet: Was gilt ab August 2025?

Am 2. August 2025 ist die zweiten Umsetzungsphase der KI-Verordnung in Kraft getreten.
Kategorien:
, , ,
Bild von Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

Mit dem Inkrafttreten der zweiten Umsetzungsphase der KI-Verordnung am 2. August 2025 werden die allgemeinen Vorschriften für Anbieter von General-Purpose AI (GPAI) scharfgeschaltet. Wir geben einen Überblick darüber, welche Unternehmen betroffen sind und welche regulatorischen Anforderungen an sie gestellt werden.

KI-Verordnung: Betroffener Adressatenkreis

Die Pflichten aus Kapitel V der KI-Verordnung betreffen ausschließlich Anbieter sogenannter General-Purpose AI (GPAI). Nach der Legaldefinition in Artikel 3 Nr. 44 KI-VO sind GPAI-Modelle KI-Modelle, die mit einer breiten Datenbasis trainiert wurden, ohne auf einen bestimmten Anwendungszweck hin optimiert zu sein, und die in verschiedenen Kontexten eingesetzt werden können. Sie dienen häufig als Basis für weitere spezialisierte Anwendungen durch Dritte (sogenannte Downstream-Nutzer oder Deployers).

Betroffen sind insbesondere folgende Akteure:

  • Entwickler großer Sprachmodelle (LLMs): Unternehmen wie OpenAI, Google, Mistral oder Anthropic, die Basismodelle wie GPT, Gemini oder Claude entwickeln.
  • Open-Source-Anbieter leistungsstarker Basismodelle: Auch Unternehmen oder Konsortien, die Modelle wie LLaMA oder Falcon entwickeln und verbreiten, unterliegen unter Umständen den GPAI-Pflichten.Insbesondere, wenn das Modell öffentlich zugänglich ist und systemische Risiken erzeugen kann.
  • KMU und Start-ups, sofern sie GPAI-Modelle selbst trainieren oder auf Basis vorhandener Modelle weiterentwickeln und verbreiten, etwa im B2B-Kontext.


Die Pflichten treffen dabei den “Anbieter” im Sinne der KI-Verordnung. Also diejenige natürliche oder juristische Person, die ein GPAI-Modell erstmalig in Verkehr bringt oder in Betrieb nimmt (vgl. Art. 3 Nr. 7 AI Act). Reine Nutzende oder Deployers von GPAI-Systemen sind in dieser Stufe nicht direkt von Kapitel V betroffen, unterliegen aber ggf. anderen Vorschriften (z. B. aus Kapitel III bei Hochrisiko-Anwendungen).

KI-Verordnung bringt neue Pflichten für GPAI-Anbieter

Die Verordnung unterwirft Anbieter solcher GPAI-Systeme ab sofort spezifischen Pflichten, die sich insbesondere aus Kapitel V (Artikel 50 bis 56 KI-VO) ergeben. Die wichtigsten Regelungsbereiche umfassen:

Technische Dokumentation (Art. 53 AI Act):
GPAI-Anbieter müssen eine umfassende technische Dokumentation bereitstellen, die unter anderem Angaben zu:

  • der Modellarchitektur,
  • den Trainingsverfahren,
  • der Zusammensetzung und Herkunft der Trainingsdaten,
  • den Evaluierungsmetriken und deren Ergebnissen,
  • sowie zur Modellleistung in verschiedenen Kontexten enthält. Diese Dokumentation muss so ausgestaltet sein, dass sie eine Bewertung der Konformität durch die zuständigen Aufsichtsbehörden ermöglicht.

Transparenzpflichten und Berichtspflichten (Art. 50 & 56 KI-VO):
GPAI-Anbieter sind verpflichtet, regelmäßig Berichte über die Eigenschaften und Funktionsweisen ihrer Modelle zu veröffentlichen. Dazu zählen insbesondere:

  • Beschreibungen typischer Anwendungsszenarien,
  • die Funktionsgrenzen und Limitationen,
  • bekannte systemische Risiken oder potenzielle Fehlfunktionen,
  • sowie empfohlene Anwendungsgrenzen und Hinweise für Dritte (sog. “Deployers”).

Pflichten in Bezug auf urheberrechtlich geschütztes Material (Art. 52 Abs. 1 lit. c KI-VO):
Anbieter müssen offenlegen, ob urheberrechtlich geschützte Inhalte für das Training der GPAI-Modelle verwendet wurden. Außerdem müssen sie darlegen, welche Maßnahmen sie getroffen haben, um Rechteinhaberinnen die Möglichkeit zu geben, ihre Rechte geltend zu machen (z. B. durch Widerspruchsmöglichkeiten oder Transparenzmechanismen).

Systemische Risiken und leistungsstarke Modelle (Art. 51 AI Act):
Modelle, die aufgrund ihrer Größe und Rechenleistung als potenziell systemrelevant gelten (z. B. mit einer Rechenleistung von mindestens 10^25 FLOPs), unterliegen verschärften Anforderungen:

  • Durchführung von Risikoanalysen zur Ermittlung potenzieller systemischer Effekte,
  • Implementierung geeigneter Risikomanagementmaßnahmen,
  • Einrichtung eines Meldesystems für schwerwiegende Vorfälle und Schwachstellen,
  • Zusammenarbeit mit der zukünftigen KI-Agentur auf EU-Ebene zur Risikoüberwachung.

Anbieter von GPAI stehen ab August 2025 vor erheblichen regulatorischen Anforderungen, die eine tiefgehende Dokumentations- und Berichtsinfrastruktur sowie klare Strategien im Umgang mit Urheberrecht und Risikomanagement erfordern.

Governance und Überwachung

Die Umsetzung und Durchsetzung der KI-Verordnung erfordert ein vielschichtiges Zusammenspiel zwischen nationalen und europäischen Institutionen, unter aktiver Beteiligung der Anbieter und Nutzer von KI-Systemen. Die zentralen Vorkehrungen zur Governance und Aufsicht sind in Kapitel VII KI-Verordnung (Art. 59–69) geregelt und treten ebenfalls sukzessive in Kraft.

Nationale Aufsichtsbehörden (Art. 59, 60 KI-VO)

Jeder Mitgliedstaat ist verpflichtet, eine oder mehrere zuständige nationale Behörden zu benennen, die für die Überwachung der Anwendung der Verordnung zuständig sind. Diese Stellen erhalten u. a. folgende Aufgaben und Befugnisse:

  • Marktaufsicht und Konformitätskontrollen für GPAI und Hochrisiko-KI-Systeme,
  • Durchführung von Audits sowie Zugriff auf technische Dokumentationen,
  • Verhängung von Anordnungen, Untersagungen oder Bußgeldern bei Verstößen,
  • Zusammenarbeit mit Behörden anderer Mitgliedstaaten und der Europäischen Kommission.


Die Aufsichtsbehörden können sowohl reaktiv (z. B. bei Beschwerden) als auch proaktiv (z. B. stichprobenartige Kontrolle) tätig werden.

Einrichtung von KI-Regulierungs-Sandboxen (Art. 61 KI-VO)

Bis spätestens August 2026 müssen die Mitgliedstaaten mindestens eine sogenannte regulatorische Sandbox eingerichtet haben. Diese dienen dem kontrollierten Test innovativer KI-Anwendungen unter Aufsicht der zuständigen Behörde.

Ziel der Sandboxes ist es, Innovation und Compliance in Einklang zu bringen. Sie bieten:

  • Unternehmen einen sicheren Rahmen zur Entwicklung und Erprobung neuartiger KI-Lösungen,
  • gleichzeitige Prüfung auf Rechtskonformität durch Behörden,
  • potenzielle Frühindikatoren für notwendige Anpassungen der Normauslegung oder regulatorischen Praxis.


KMU erhalten bevorzugten Zugang zu diesen Einrichtungen.

Konformitätsbewertung und Benannte Stellen (Art. 43 KI-VO)

Für Hochrisiko-KI-Systeme ist vor Inverkehrbringen oder Inbetriebnahme eine Konformitätsbewertung durchzuführen. Diese kann erfolgen:

  • durch Selbstbewertung anhand technischer Normen (z. B. bei interner Entwicklung unter klaren Vorgaben), oder
  • durch Einschaltung einer benannten Stelle (“notified body”), etwa bei komplexen oder sicherheitskritischen KI-Systemen.


Die Konformitätserklärung muss dokumentiert und der Marktaufsichtsbehörde jederzeit auf Anforderung vorgelegt werden können. GPAI-Modelle unterliegen grundsätzlich keiner formellen Konformitätsbewertung nach Kapitel III, es sei denn, sie werden zu Hochrisiko-Anwendungen weiterverarbeitet.

Sanktionen und Durchsetzung (Art. 99 KI-VO)

Die Verordnung sieht erhebliche Bußgeldrahmen für Verstöße vor. Diese reichen – je nach Schwere und betroffenem Vorschriftenteil – bis zu:

  • 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für schwerwiegende Verstöße (z. B. gegen die Verbote in Art. 5 oder gegen die GPAI-Pflichten in Art. 52–56),
  • 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes für Verstöße gegen andere Vorschriften,
  • 7,5 Millionen Euro oder 1 % des Umsatzes für Falschangaben oder Nichtkooperation.


Die Sanktionen sind im Einzelfall unter Berücksichtigung der Schwere, Wiederholungsgefahr, wirtschaftlichen Verhältnisse und Kooperation zu bemessen.

Bedeutung der freiwilligen Code of Practice (CoP)

Die EU-Kommission hat am 10. Juli 2025 den “General-Purpose AI Code of Practice” veröffentlicht, der Unternehmen konkrete Vorlagen und Best Practices zu Transparenz, Sicherheit und Copyright bietet.

Große Anbieter wie Google und OpenAI haben angekündigt, den Code zu unterzeichnen, um ihre Compliance‑Standards zu demonstrieren. Andere, allen voran Meta und xAI, lehnten Teile oder den gesamten Code ab.

Obwohl der Code rechtlich nicht bindend ist, kann die Unterzeichnung als Indikator für regulatorische Verlässlichkeit gewertet werden, insbesondere bei Audits oder Behördenkontrollen.

Lese-Tipp: General-Purpose AI Code of Practice – EU präsentiert neuen KI-Kodex

Empfehlungen für Unternehmen

Governance & Risikomanagement:

  • Implementieren Sie ein Governance‑Rahmenwerk mit Risiko‑ und Compliance‑Strukturen.
  • Benennen Sie klare Verantwortlichkeiten für Analyse, Dokumentation und Incident‑Management.


Transparenz & Dokumentation:

  • Entwickeln Sie nachvollziehbare technische Unterlagen und Transparenzberichte.
  • Zumutbare Offenlegung für Dritte inklusive Erklärungen zu Modellzweck, Datensätzen und Limitationen.


Daten‑ und Urheberrechts-Compliance:

  • Legen Sie nachprüfbare Daten-Herkünfte inklusive Rechteklärung dar.
  • Implementieren Sie Verfahren zum Umgang mit Beschwerden auf Urheberrechtsverletzungen.

Schulung & Awareness:

  • Fortführung des seit 2. Februar 2025 geltenden Art.‑4‑Schulungsprogramms zur KI‑Kompetenz für Mitarbeitende und externe Beteiligte

Fazit

Mit dem 2. August 2025 beginnt für viele Unternehmen eine operative Phase der KI-Verordnung: insbesondere für Anbieter und Nutzer von General‑Purpose AI. Jetzt gilt es, Transparenzpflichten, technische Dokumentation, Risikomeldungen und Schulungsprogramme rechtskonform umzusetzen, um Bußgelder und Reputationsrisiken zu vermeiden. Die freiwillige Unterzeichnung des EU‑Code of Practice kann als strategische Absicherung dienen und die Compliance‑Kultur stärken. Blicken Sie von jetzt an vorausschauend bis zum nächsten wichtigen Stichtag im August 2026.

Link-Tipp: The General-Purpose AI Code of Practice

Sie stehen vor der Umsetzung der KI-Verordnung?

Wir beraten Sie umfassend zur EU-KI-Verordnung, zum General-Purpose AI Code of Practice und zur praktischen Umsetzung in Ihrem Unternehmen. Ob Dokumentationspflichten, Risikomanagement oder Urheberrechtskonformität – wir unterstützen Sie bei der rechtssicheren und strategischen Integration von KI.

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
, ,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge