Ab dem 2. August 2025 treten verbindliche Regelungen für allgemeine KI-Modelle in Kraft. Kleine und mittlere Unternehmen (KMU), die generative KI nutzen oder integrieren, sind möglicherweise verpflichtet, technische Dokumentationen, Transparenzberichte und Risikobewertungen zu erstellen oder bestehende Systeme anzupassen.
Hintergrund:
Der EU AI Act sieht einen stufenweisen Umsetzungsplan vor. Ein zentraler Meilenstein ist der 2. August 2025: Ab diesem Datum gelten wesentliche Anforderungen für GPAI-Modelle (General Purpose AI). Dazu zählen unter anderem:
- Technische Dokumentation zur Herkunft der Trainingsdaten
- Öffentliche Modellzusammenfassungen
- Sicherheits- und Bias-Bewertungen
- Nachweise über Rechte zur Datennutzung
Zudem müssen nationale Aufsichtsbehörden benannt und in der Lage sein, wirksame Kontrollen durchzuführen. Bei Verstößen drohen empfindliche Sanktionen: Bußgelder von bis zu 7 Prozent des weltweiten Jahresumsatzes oder bis zu 35 Millionen Euro.
Was bedeutet das für KMU?
KMU sollten bestehende KI-Systeme identifizieren, eventuelle Compliance-Lücken analysieren und rechtzeitig Maßnahmen einleiten. Unterstützung bietet unter anderem die Bundesnetzagentur mit ihrem KI-Compliance-Kompass, der eine erste Selbsteinschätzung ermöglicht. Auch die EU stellt einen EU AI Act Compliance Checker zur Verfügung.
Anbieter oder Benutzer?
Der EU AI Act unterscheidet klar zwischen Anbietern und Nutzern von KI-Systemen. Wer beispielsweise ChatGPT in seinem Unternehmen verwendet, aber keine eigenen Modelle anbietet, gilt als Benutzer. In diesem Fall können Transparenzpflichten greifen – etwa die Pflicht, KI-generierte Inhalte entsprechend zu kennzeichnen.
Ausnahme bei redaktioneller Prüfung:
Eine Kennzeichnungspflicht entfällt, wenn alle KI-unterstützten Inhalte vor Veröffentlichung redaktionell geprüft, ggf. überarbeitet und bewusst freigegeben werden. In diesem Fall wird eine sogenannte redaktionelle Verantwortung im Sinne von Erwägungsgrund 134 der Verordnung (EU) 2024/1689 angenommen. Eine gesonderte Kennzeichnung ist dann laut aktueller Rechtslage nicht erforderlich (siehe: Verordnung (EU) 2024/1689 – EUR-Lex).
