Ab dem 2. August 2025 gelten in der Europäischen Union erstmals verbindliche Vorgaben für sogenannte General Purpose AI (GPAI)-Modelle. Auch kleine und mittlere Unternehmen, die generative KI nutzen oder integrieren, müssen künftig technische Dokumentationen, Transparenzberichte und Risikobewertungen erstellen. Ziel ist es, Nachvollziehbarkeit, Sicherheit und Rechtsklarheit bei KI-Systemen zu stärken. Die Übergangsfrist endet damit – und Verstöße können künftig teuer werden.
Stichtag 2. August: Beginn der Verpflichtungen
Mit diesem Datum tritt ein zentraler Abschnitt des EU AI Act in Kraft. Die neuen Vorschriften betreffen KI-Systeme mit allgemeinem Einsatzgebiet, darunter große Sprach- und Bildmodelle. Anbieter solcher Modelle müssen detaillierte Informationen über Trainingsdaten, Datennutzungsrechte und Sicherheitsmechanismen dokumentieren. Auch eine öffentliche Modellzusammenfassung und eine Bewertung potenzieller Verzerrungen („Bias“) werden vorgeschrieben.
Für die Aufsicht sind die Mitgliedstaaten verantwortlich. Jede nationale Behörde soll befugt sein, Prüfungen und Sanktionen durchzuführen. Bei Verstößen drohen empfindliche Bußgelder – bis zu 7 Prozent des weltweiten Jahresumsatzes oder 35 Millionen Euro.
Auswirkungen auf kleine und mittlere Unternehmen
Viele KMU dürften erstmals direkt oder indirekt betroffen sein. Wer eigene KI-Lösungen entwickelt oder Modelle trainiert, muss technische Nachweise führen und Risiken bewerten. Selbst Unternehmen, die lediglich generative KI-Dienste wie ChatGPT, Claude oder Gemini in bestehende Abläufe integrieren, könnten Transparenzpflichten treffen – etwa die Kennzeichnung KI-generierter Inhalte.
Die Bundesnetzagentur bietet mit dem „KI-Compliance-Kompass“ ein Tool zur ersten Selbsteinschätzung an. Auch die EU stellt einen „AI Act Compliance Checker“ bereit, mit dem sich mögliche Lücken frühzeitig identifizieren lassen. Unternehmen wird geraten, bestehende Systeme zu prüfen, Verantwortlichkeiten festzulegen und Dokumentationsprozesse einzuführen.
Anbieter oder Benutzer – eine entscheidende Unterscheidung
Der AI Act unterscheidet klar zwischen Anbietern und Nutzern von KI-Systemen. Anbieter sind jene, die eigene Modelle entwickeln oder bereitstellen; Nutzer sind diejenigen, die diese Modelle einsetzen. Für Anbieter gelten umfassende Nachweispflichten, während Nutzer vor allem auf Transparenz achten müssen.
Eine Ausnahme besteht, wenn KI-generierte Inhalte redaktionell überprüft und bewusst freigegeben werden. In diesem Fall entfällt laut Erwägungsgrund 134 der Verordnung (EU) 2024/1689 die Pflicht zur Kennzeichnung, da eine redaktionelle Verantwortung übernommen wird.
Ausblick
Mit den neuen Vorschriften wird Europa zum ersten Wirtschaftsraum, der verbindliche Anforderungen für Basismodelle und generative KI festlegt. Für Unternehmen bedeutet das zusätzlichen Aufwand – zugleich aber die Chance, durch klare Standards Vertrauen und Wettbewerbsfähigkeit zu gewinnen. Wer sich früh vorbereitet, kann die neuen Regelungen nicht nur erfüllen, sondern auch strategisch nutzen.
Weiterführende Links:
EU AI Act – Volltext (EUR-Lex)
Bundesnetzagentur – KI-Compliance-Kompass
