Seit Samstag, 2. August 2025, ist der zweite Korb von Regelungen der KI-Verordnung (AI Act) anwendbar. Dieser Artikel soll einen Überblick über die Regelungen geben.

Seit diesem Datum gilt Folgendes:

• die Regelungen betreffend die Behörden, die für die Überwachung und Bewertung der Hochrisiko-KI-Systeme zuständig sind, werden anwendbar (Kapitel III Abschnitt 4);
• die KI-Modelle mit allgemeinem Verwendungszweck (General-Purpose AI Models) werden geregelt (Kapitel V);
• die Regelungen zur KI-Governance (Kapitel VII) werden anwendbar;
• die Sanktionen treten in Kraft (Kapitel XII) und
• die Regelungen zur Vertraulichkeit ( 78 KI-VO) werden anwendbar.

Bereits seit dem 2. Februar 2025 gelten die Kapitel I (Gegenstand, Anwendungsbereich. Definitionen, KI-Kompetenz) und Kapitel II (Verbotene Praktiken) der KI-Verordnung.

Behörden für die Überwachung und Bewertung der Hochrisiko-KI-Systeme

In einem Jahr, also ab dem 2. August 2026, werden bestimmte, im Anhang III aufgeführte KI-Systeme als Hochrisiko-KI-Systeme reglementiert. Dazu bedarf es Behörden, die das Verfahren zur Konformitätsbewertung durchführen. Die Regelungen, die hierfür notwendig sind, sind in Kapitel III Abschnitt 4 niedergeschrieben und werden nun anwendbar. Es werden also die nationalen Behördenstrukturen zur Überwachung und Bewertung der Hochrisiko-KI-Systeme geschaffen, genannt „notifizierende Behörden“. Diese Behörden benennen und überwachen die Konformitätsbewertungsstellen, also die Stellen, die bewerten, ob ein Hochrisiko-KI-System mit der KI-Verordnung im Einklang ist.

Die Mitgliedsstaaten mussten bis zum 2. August die Behörden nennen, die zuständig sein werden. In Deutschland verzögert sich das KIMÜG (Gesetz zur Marktüberwachung und Sicherstellung der Konformität von Systemen künstlicher Intelligenz – KI-Marktüberwachungsgesetz) allerdings noch. Als Marktüberwachungsbehörde ist die Bundesnetzagentur vorgesehen, die notifizierende Behörde wird voraussichtlich die Deutsche Akkreditierungsstelle (DAkkS).

Regulierung der KI-Modelle mit allgemeinem Verwendungszweck (General-Purpose AI Models)

Ursprünglich sollten ChatGPT und Co. überhaupt nicht von der KI-Verordnung geregelt werden, sondern nur die verbotenen Praktiken und die Hochrisiko-KI-Systeme. Nachdem allerdings mit der allgemeinen Zugänglichkeit von ChatGPT im November 2022 absehbar wurde, dass auch diese Modelle sehr leistungsfähig sind und damit ein Risiko aufweisen, sah die EU auch hier einen Regulierungsbedarf und nahm diese mit in die KI-Verordnung auf in Kapitel V.

KI-Modelle mit allgemeinem Verwendungsweck

Ein KI-Modell mit allgemeinen verwendungsfähig ist nach Art. 3 Nr. 63 KI-VO

ein KI-Modell – einschließlich der Fälle, in denen ein solches KI-Modell mit einer großen Datenmenge unter umfassender Selbstüberwachung trainiert wird –, das eine erhebliche allgemeine Verwendbarkeit aufweist und in der Lage ist, unabhängig von der Art und Weise seines Inverkehrbringens ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann, ausgenommen KI-Modelle, die vor ihrem Inverkehrbringen für Forschungs- und Entwicklungstätigkeiten oder die Konzipierung von Prototypen eingesetzt werden;

Darunter fallen also ChatGPT, Claude, Copilot, Mistral und ähnliche KI-Systeme. Die Pflichten unterscheiden sich danach, ob ein sogenanntes „systemisches Risiko“ vorliegt oder nicht und betreffen nur die Anbieter von KI-Systemen. Solange man diese also nur nutzt („Betreiber“) und nicht entwickelt oder unter eigenem Namen in Verkehr bringt („Anbieter“), treffen einen keine Pflichten. Ob ein systemisches Risiko vorliegt oder nicht, entscheidet sich danach, wie hoch der Wirkungsgrad des KI-Modells ist. Weist das KI-Modell nach den dort genannten Kriterien ein solches systemisches Risiko auf, sind die Pflichten größer.

Die Regelungen für die Einstufung sowie die Pflichten sind nunmehr anwendbar.

KI-Governance

Mit dem

• Büro für Künstliche Intelligenz (Ziel: Schaffung von Sachkenntnis und Fähigkeiten der EU auf dem Gebiet der KI);
• dem Europäischen Gremium für künstliche Intelligenz („KI-Gremium“, bestehend aus Vertretern der Mitgliedstaaten, welche die EU und die Mitgliedstaaten bei der Anwendung der KI-Verordnung beraten und unterstützen);
• dem Beratungsforum (Beratung des KI-Gremiums und der EU-Kommission mit technischem Fachwissen) und
• dem wissenschaftlichen Gremium

werden Strukturen geschaffen, um die Innovation der EU im Bereich KI zu stärken und die Verordnung anzuwenden.

Sanktionen

Es tritt der Bußgeldkatalog in Kraft für Verstöße gegen die KI-Verordnung. Die höchste Sanktion trifft diejenigen, die ein verbotenes KI-System betreiben. Hier werden Geldbußen von bis zu 35 Millionen Euro oder von bis zu 7% des gesamten weltweiten Jahresumsatzes angedroht. Für Verstöße gegen die sonstigen Pflichten sind Geldbußen von bis zu 15 Millionen Euro oder von bis zu 3% des Jahresumsatzes vorgesehen, bei falschen Informationen an die Behörden betragen die Geldbußen bis zu 7,5 Millionen Euro oder bis zu 1% des Jahresumsatzes.

Die Geldbußen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck werden allerdings explizit noch ausgenommen und sind damit erst ab dem 2. August 2026 anwendbar (Art. 113 Abs. 3 lit. b KI-VO).

Regelungen zur Vertraulichkeit

Mit der Anwendbarkeit von Art. 78 KI-VO werden die EU-Kommission, die Marktüberwachungsbehörden und die notifizierten Stellen sowie alle Personen, die an der Anwendung der KI-VO beteiligt sind, zur Vertraulichkeit verpflichtet. Damit sollen insbesondere Geschäftsgeheimnisse der Anbieter von KI-Systemen geschützt werden, wenn diese im Rahmen der Durchführung der Verordnung solche offenbaren müssen.

Ausblick

In einem Jahr, also dem 2. August 2026, wird die KI-Verordnung generell anwendbar.

Ausgenommen sind dann nur noch die Hochrisiko-KI-Systeme, die aufgrund bestimmter produktrechtlicher Vorschriften als solche eingestuft werden, diese Regelungen gelten dann erst ab dem 2. August 2027. Damit soll dem Umstand Rechnung getragen werden, dass eine Konformitätsbewertung für solche Produkte komplex ist.