Die noch relativ neue EU KI-Verordnung (Verordnung 2024/1689) führt ein umfassendes Regelwerk zur Einhaltung von KI-Vorgaben ein, dessen Anforderungen jedoch stufenweise in Kraft treten. Insbesondere das Sanktions- und Durchsetzungsregime gilt ab dem 2. August 2025, während viele inhaltliche Pflichten für Hochrisiko-KI erst später greifen.
Die KI-Verordnung gilt extraterritorial. Laut Artikel 2(1)(c) gilt er nicht nur für Anbieter und Anwender mit Sitz in der EU, sondern auch für Unternehmen außerhalb der EU, die KI-Systeme auf den EU-Markt bringen oder deren Ausgaben in der EU verwendet werden – unabhängig vom Standort des Unternehmens.
Das bedeutet, dass auch nicht-europäische Anbieter, einschließlich Entwickler von KI-Modellen und Softwareanbieter, dem Gesetz unterliegen, wenn ihre Systeme unter diese Definition fallen.
Dieser Artikel erklärt, welche Verpflichtungen und Haftungsrisiken ab dem 2. August 2025 für Betreiber von KI-Systemen („Nutzer“) sowie für sogenannte „AI Wrappers“ (also Unternehmen, die allgemeine KI-Modelle feinjustieren oder Anwendungen darauf aufbauen) gelten.
Zentrale Begriffe: Betreiber („Nutzer“) vs. AI Wrappers
Der AI Act unterscheidet zwischen Anbietern von KI-Systemen (die Modelle entwickeln oder vermarkten) und Betreibern (die KI-Systeme unter ihrer Kontrolle nutzen).
Laut Artikel 3 ist ein „Betreiber“ eine natürliche oder juristische Person, die ein KI-System nutzt (außer in rein persönlichen, nicht beruflichen Kontexten). Praktisch gesehen ist ein Unternehmen, das z. B. ein KI-gestütztes Bewerbungsscreening einsetzt, ein „Betreiber“.
Der Begriff „AI Wrapper“ kommt im Gesetz selbst nicht vor, entspricht aber weitgehend dem, was die KI-Verordnung als „nachgelagerter Anbieter“ bezeichnet. Artikel 3(68) definiert diesen als einen Anbieter eines KI-Systems (auch auf Basis eines allgemeinen Modells), der ein KI-Modell in sein System integriert, unabhängig davon, ob das Modell intern entwickelt oder von Dritten bezogen wurde. Ein „AI Wrapper“ ist in der Regel ein Softwareanbieter, der ein existierendes KI-Modell mit allgemeinem Verwendungszweck (GPAI) nutzt, feinjustiert oder über eine API in seine Anwendung einbettet. Diese Akteure gelten meist als Anbieter des Endsystems, auch wenn sie das zugrunde liegende Modell nicht selbst trainiert haben.
Stufenweises Inkrafttreten (ab 2. August 2025)
Laut Artikel 113 tritt der AI Act in mehreren Phasen in Kraft:
-
Ab 2. August 2025 gelten: Artikel 4: Anforderungen an KI-Kompetenz, Artikel 5: Verbotene KI-Praktiken, Artikel 53: Verpflichtungen für Anbieter allgemeiner KI-Modelle, Kapitel VII: Einrichtung der KI-Behörde und Governance, Kapitel XII: Sanktionsvorschriften
-
Ab 2026/2027 folgen: Großteil der Pflichten für Hochrisiko-KI (Kapitel III, Abschnitte 1–3), Transparenzanforderungen (Kapitel IV), Überwachungs- und Meldepflichten nach der Markteinführung (Kapitel IX–XI)
Aktuelle Verpflichtungen für Betreiber
Ab dem 2. August 2025 gelten für Anwender zwei zentrale Verpflichtungen:
1. Artikel 4 – Anforderungen an KI-Kompetenz
Artikel 4 der KI-Verordnung etabliert „… Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.“
Das bedeutet:
-
Unternehmen, die KI einsetzen, müssen sicherstellen, dass Mitarbeiter, die mit der KI arbeiten – insbesondere bei Hochrisiko-Anwendungen – entsprechend geschult sind und die Systeme rechtmäßig bedienen können.
-
Diese Pflicht ist ab dem 2. August 2025 verbindlich und durchsetzbar.
2. Artikel 5 – Verbotene KI-Praktiken
Anwender dürfen keine KI-Systeme verwenden oder davon profitieren, die verbotene Praktiken anwenden, unter anderem Sozial-Scoring (z. B. Bewertung des sozialen Verhaltens), Subliminale oder manipulative Techniken, Scraping von Gesichtsbildern aus dem Internet. Diese Verbote gelten bereits und sind ab dem 2. August 2025 durchsetzbar.
Verpflichtungen für Anbieter, inkl. Wrappers
1. Anbieter allgemeiner KI-Modelle (GPAI)
Wer ein allgemeines KI-Modell bereitstellt (Artikel 3(63)), unterliegt gemäß Artikel 53 folgenden Pflichten:
-
Technische Dokumentation (Anhang XI)
-
Einhaltung des EU-Urheberrechts (Artikel 53(1)(c))
-
Zusammenfassung der Trainingsdaten (Artikel 53(1)(d))
-
Nutzungsrichtlinien und Informationen für nachgelagerte Anbieter (Anhang XII)
-
Zusammenarbeit mit Behörden (Artikel 53(3))
Die EU-Kommission hat hierzu einen Verhaltenskodex für GPAI veröffentlicht, um die Einhaltung zu unterstützen.
Diese Pflichten gelten ab dem 2. August 2025. Für bereits vermarktete Modelle gilt ein Übergangszeitraum bis 2027.
2. Wrappers / Nachgelagerte Anbieter von KI-Systemen
Unternehmen, die GPAI-Modelle in Anwendungen integrieren, gelten oft als Anbieter im Sinne der Verordnung und könnten künftig auch unter die Pflichten für Hochrisiko-KI (Kapitel III) fallen.
Obwohl diese Pflichten noch nicht in Kraft sind, müssen Wrappers ab August 2025:
-
Artikel 4 einhalten: Schulung und Sensibilisierung des Personals und externer Entwickler im Hinblick auf technische, ethische und rechtliche Aspekte
-
Artikel 5 einhalten: Vermeidung verbotener KI-Praktiken
-
Sich vorbereiten auf kommende Dokumentations- und Risikomanagementpflichten ab 2026
Durchsetzung und Sanktionen ab dem 2. August 2025
Das Kapitel XII ist mit Ausnahme von Artikel 101 in Kraft, welcher ab dem 2. August 2026 anwendbar wird. Verstöße gegen die geltenden Bestimmungen können dann mit Strafen geahndet werden.
Verwaltungsstrafen:
-
Bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes bei verbotenen KI-Praktiken (Art. 5)
-
Bis zu 15 Mio. € oder 3 % des Umsatzes bei anderen Verstößen
-
Bis zu 7,5 Mio. € oder 1,5 % des Umsatzes bei falschen oder irreführenden Angaben gegenüber Behörden
Nationale Behörden sind befugt, Untersuchungen durchzuführen, Verwarnungen auszusprechen und Bußgelder zu verhängen, je nach Schwere des Verstoßes.
Noch nicht anwendbar (Phase 2026–2027)
Noch nicht durchsetzbar sind u. a.:
-
Pflichten für Hochrisiko-KI-Anwendungen (z. B. menschliche Aufsicht, Risikobewertungen, Dokumentationspflichten – Kapitel III)
-
Transparenzanforderungen (Kapitel IV)
-
Registrierung und Klassifizierung von KI-Systemen
-
Marktüberwachung, Informationsaustausch und Berichtspflichten (Kapitel IX–XI)
Fazit: Compliance-Empfehlungen
- Für Betreiber: jetzt schon Artikel 4 (KI-Kompetenz) und Artikel 5 (verbotene Praktiken) einhalten. Interne Schulungen, Governance und Prozesse sollten vorbereitet werden.
- Wrappers / Anbieter: Verpflichtungen aus Artikel 53 (GPAI) bereits verbindlich, Artikel 4 (KI-Kompetenz intern und entlang der Lieferkette), Verbotene Anwendungen vermeiden (Artikel 5), Vorbereitung auf Anbieterpflichten ab 2026 (v. a. bei Hochrisiko-KI)
- Für alle Akteure: Nachweisbare Compliance-Schritte dokumentieren, Verträge mit Anbietern und Kunden überprüfen, Interne Schulungen implementieren (Art. 4 & 5)
Wichtiger Hinweis: Die KI-Verordnung ist nicht die einzige
Zusätzlich zur neuen KI-Verordnung müssen Unternehmen auch weiterhin andere EU-Vorgaben einhalten:
-
Datenschutz-Grundverordnung (DSGVO):
Pflichten zur Datenminimierung, Rechtsgrundlage, Transparenz, automatisierte Entscheidungen usw. -
Digital Services Act (DSA):
Für Plattformen und Vermittler: Moderation, algorithmische Verantwortung, Transparenz, Risikobewertungen -
EU-Urheberrecht:
Rechtmäßiger Umgang mit Trainingsdaten und Ausgaben (sowohl für Anbieter als auch für Anwender relevant)
Diese Vorschriften gelten parallel zum AI Act. Verstöße können mehrfache Sanktionen nach sich ziehen. Eine integrierte Compliance-Strategie ist unerlässlich.
Schlussfolgerung
Der 2. August 2025 markiert den Beginn echter rechtlicher Haftungsrisiken nach dem EU AI Act. Obwohl viele Verpflichtungen noch folgen, gelten bereits jetzt: Artikel 4 (KI-Kompetenz), Artikel 5 (verbotene Anwendungen), Artikel 53 (für GPAI-Anbieter). Verstöße können sanktioniert werden – Behörden haben ab diesem Zeitpunkt umfassende Durchgriffsrechte.
