Der EU‑AI‑Act ist das weltweit erste umfassende Gesetzespaket zur Regulierung von Künstlicher Intelligenz. Die Verordnung wurde am 1. August 2024 veröffentlicht und tritt schrittweise in Kraft. Die erste Anwendungsphase startete am 2. Februar 2025 mit dem Verbot besonders riskanter Praktiken und der Schulungspflicht für Unternehmen die KI einsetzen. Mit dem EU AI Act ab dem 2. August 2025 (Phase 2) beginnt die zweite und wesentlich umfangreichere Umsetzungsphase. Dieser Beitrag erklärt die neuen Maßnahmen und Gesetze, ordnet sie in den rechtlichen Kontext ein und bietet Tipps für die Praxis.
Hintergrund: Der EU‑AI‑Act und die erste Phase
Die Verordnung verfolgt einen risikobasierten Ansatz. Sie definiert vier Risikostufen: unvertretbar, hoch, begrenzt und minimal. Unvertretbare Systeme, etwa manipulative Systeme, Social‑Scoring oder Echtzeit‑Biometrie für Strafverfolgung, sind ab dem 2. Februar 2025 verboten. High‑Risk‑Systeme wie KI‑Komponenten in kritischer Infrastruktur, Bildungs‑ oder Personalwesen unterliegen strengen Anforderungen an Daten‑Qualität, Risikomanagement, Dokumentation, menschliche Aufsicht und Robustheit.
Die erste Phase am 2. Februar 2025 brachte zwei wichtige Maßnahmen: das Verbot der acht unvertretbaren Praktiken und die Pflicht zur AI‑Literacy (KI Kompetenzpflicht). Letztere verlangt von Anbietern und Anwendern, Schulungen für Personen zu organisieren, die mit KI‑Systemen umgehen; dies soll ein Grundverständnis für Chancen und Risiken schaffen.
Der 2. August 2025: Die zweite Anwendungsphase tritt in Kraft
Ab dem 2. August 2025 gelten zusätzliche Kapitel der EU AI Act Verordnung. Laut dem offiziellen Fahrplan werden gleichzeitig fünf Regelungsbereiche aktiv: Notifizierte Stellen, General‑Purpose‑AI‑Modelle (GPAI), Governance, Vertraulichkeit und Sanktionen. Insgesamt werden damit 28 % aller Artikel wirksam.
1. Notifizierte Stellen und Notifying Authorities (Artikel 28-39)
High‑Risk‑Systeme dürfen nur nach einem Konformitätsnachweis in Verkehr gebracht werden. Im EU AI Act ab dem 2. August 2025 gelten daher die Regeln für Notifizierte Stellen (Artikel 28–39). Notifizierte Stellen sind unabhängige Konformitätsbewertungsstellen, die High‑Risk‑KI‑Systeme vor dem Markteintritt prüfen. Die Anforderungen sind hoch: Sie müssen von einem Mitgliedstaat benannt werden, eine eigene Rechtspersönlichkeit besitzen, über qualifiziertes Personal und ein wirksames Qualitäts‑ und Sicherheitsmanagement verfügen und strenge Cyber‑Sicherheits‑Massnahmen einhalten. Zudem müssen sie eine Haftpflichtversicherung vorweisen und Geheimhaltungspflichten erfüllen. Die Mitgliedstaaten müssen ebenfalls Notifying Authorities bestimmen, die diese Stellen überwachen und notifizieren. Ohne diese Struktur könnte es keine rechtskonforme Zertifizierung geben.
- Praxisstatus Deutschland: In Deutschland existiert Stand August 2025 noch keine formell benannte KI-Aufsichtsbehörde, der Referentenentwurf für das Durchführungsgesetz befindet sich laut Bundesregierung weiterhin in der Ressortabstimmung und wird bis 2. 8. 2025 nicht abgeschlossen werden können. Als Übergangslösung betreibt die Bundesnetzagentur seit Juli 2025 lediglich einen „AI Service Desk“ als zentrale Anlauf- und Informationsstelle zum AI Act.
- Praxisstatus Österreich: In Österreich führt die Übersichtsseite „National Implementation Plans“ den Status der nationalen Behörden als „Austria – Unclear“: Es gibt zwar eine AI Service Desk (RTR), doch Notifying Authority und Marktüberwachungsbehörde sind noch nicht benannt.
2. General‑Purpose‑AI‑Modelle GPAI – (Artikel 51–56)
Der EU AI Act ab dem 2. August 2025 definiert GPAI‑Modelle (Artikel 51–56) als KI‑Modelle, die mit sehr hohem Rechenaufwand trainiert wurden und eine große Bandbreite von Aufgaben beherrschen. Bekannte Beispiele sind große Sprachmodelle. Für diese Modelle sind neue Pflichten vorgesehen:
Technisches Dossier (Anhang XI): Anbieter müssen eine umfangreiche technische Dokumentation erstellen, die das Modell, seine Architektur, Trainingsdatenherkunft und Evaluierungsergebnisse beschreibt. Diese Akte dient der EU‑Kommission und nationalen Behörden zur Überprüfung.
Transparenzpaket für Integratoren (Anhang XII): Wer ein GPAI‑Modell bereitstellt, muss downstream‑Anbietern ein Paket mit technischen Informationen, Gebrauchsanweisungen und Risikohinweisen zur Verfügung stellen.
Öffentliche Zusammenfassung der Trainingsdaten & Copyright‑Politik: Anbieter müssen eine Zusammenfassung der verwendeten Trainingsdaten veröffentlichen und eine Strategie zum Einhalten des EU‑Urheberrechts implementieren. Dies soll sicherstellen, dass geschützte Inhalte nicht ohne Erlaubnis genutzt werden.
EU‑Vertreter: Anbieter aus Drittstaaten müssen einen Vertreter in der EU benennen, der als Anlaufstelle für Behörden dient.
Die Kommission stellt Hilfestellungen bereit. Im Juli 2025 wurden Leitlinien veröffentlicht, die definieren, wann ein Modell als GPAI gilt (Rechenaufwand > 10^23 FLOPs und Generierung von Text, Audio, Bild oder Video) und wer als „Provider“ gilt. Die Leitlinien erläutern auch, unter welchen Bedingungen Open‑Source‑Modelle von bestimmten Pflichten befreit werden können.
Zusätzliche Anforderungen für systemische Risiken (Artikel 55)
GPAI‑Modelle mit systemischem Risiko, das sind Modelle mit enormem Compute‑Aufwand (≥ 10^25 FLOPs) oder solche, die die Kommission wegen ihrer Auswirkungen als risikoreich einstuft (Artikel 55), unterliegen strengen Zusatzpflichten. Anbieter müssen eine umfassende Risikobewertung durchführen, systemische Risiken identifizieren, bewerten und mindern, adversarielle Tests durchführen, ein Risikominderungs‑ und Sicherheitskonzept einreichen und ernsthafte Vorfälle innerhalb von 24 Stunden melden. Zu den genannten Risiken gehören laut Erwägungsgründen unter anderem Missbrauch chemischer, biologischer oder nuklearer Informationen (CBRN), offensive Cyber‑Fähigkeiten, selbst‑replizierende Modelle oder große Desinformationskampagnen. Diese Bestimmungen sind ein Kernelement des EU AI Act ab dem 2. August 2025 und sollen das Vertrauen in fortgeschrittene KI stärken.
3. Governance und Aufsicht – (Kapitel VII)
Neben technischen Pflichten setzt der EU AI Act ab dem 2. August 2025 eine neue Governance‑Struktur in Kraft (Kapitel VII). Herzstück ist das AI Office innerhalb der EU‑Kommission, das die Umsetzung und Aufsicht über GPAI‑Modelle verantwortet. Es arbeitet eng mit nationalen Behörden zusammen, die von jedem Mitgliedstaat bis spätestens zum 2. August 2025 benannt werden müssen. Die wichtigsten Organe sind:
Europäischer AI‑Board: Dieses Gremium aus Vertretern der Mitgliedstaaten ist bereits operativ und unterstützt die einheitliche Umsetzung.
Wissenschaftliches Panel: Unabhängige Experten beraten das AI Office bei der Einstufung von Modellen und Systemen. Die Kommission hat die entsprechenden Regeln verabschiedet und einen Aufruf zur Bewerbung veröffentlicht.
Advisory Forum: Stakeholder aus Wirtschaft, Zivilgesellschaft und Wissenschaft können sich hier einbringen.
Die nationalen Marktüberwachungsbehörden erhalten neue Befugnisse: Sie können Untersuchungen einleiten, Verstöße verfolgen, Strafen verhängen und KI‑Regulatory‑Sandboxes einrichten. Der Aufbau dieser Governance‑Struktur ist eine der wichtigsten Maßnahmen des EU AI Act ab dem 2. August 2025.
4. Vertraulichkeit – (Artikel 78)
Im EU AI Act ab dem 2. August 2025 gelten strenge Vertraulichkeitsregeln (Artikel 78). Alle Behörden, Notified Bodies und sonstige Akteure dürfen nur Informationen anfordern, die für die Risikoprüfung notwendig sind. Sie müssen Geschäftsgeheimnisse, geistiges Eigentum und Quellcode schützen, angemessene Cyber‑Sicherheits‑Massnahmen ergreifen und Daten löschen, sobald diese nicht mehr benötigt werden. Eine Weitergabe an Dritte ist ohne vorherige Zustimmung verboten. Diese Regeln sollen Unternehmen davor schützen, sensible Informationen preiszugeben, und fördern Vertrauen in den Prüfprozess.
5. Sanktionen – (Kapitel XII)
Ein zentrales Element des EU AI Act ab dem 2. August 2025 ist der Sanktionsrahmen (Kapitel XII). Nicht‑konforme Unternehmen müssen mit erheblichen Geldstrafen rechnen. Der Artikel 99 regelt Strafen für private Akteure: Bei verbotenen Praktiken wie den in Artikel 5 genannten unvertretbaren Systemen drohen bis zu 35 Millionen Euro bzw. 7 % des weltweiten Jahresumsatzes. Für andere Verstöße, etwa die Missachtung von GPAI‑Pflichten, sind maximal 15 Millionen Euro bzw. 3 % vorgesehen.
Wer falsche oder irreführende Informationen bereitstellt, muss mit 7,5 Millionen Euro bzw. 1 % rechnen.
Artikel 100 betrifft EU‑Institutionen und Agenturen. Hier liegen die Höchststrafen bei 1,5 Millionen Euro für verbotene Praktiken und 0,75 Millionen Euro für andere Verstöße.
Ausblick auf die Jahre 2026 und 2027
Der EU AI Act ab dem 2. August 2025 markiert einen Zwischenschritt. Die meisten Anforderungen für High‑Risk‑KI‑Systeme gelten erst ab dem 2. August 2026. Dann werden die Kapitel zur Klassifizierung, Risikomanagement, Daten‑Governance, Transparenz, menschlicher Aufsicht und technischem Dokumentationswesen aktiv. Auch die Transparenzpflichten für KI‑Systeme, wie die Kennzeichnung von Deepfakes oder Chatbots, treten im August 2026 in Kraft.
Einige Regeln wurden sogar bis 2. August 2027 verschoben: Artikel 6 Absatz 1 (Klassifizierung von High‑Risk‑Systemen) und bestimmte Produkt‑Sicherheits‑Regeln für eingebettete KI‑Komponenten. Zudem müssen GPAI‑Modelle, die vor dem 2. August 2025 auf den Markt kamen, erst bis zum 2. August 2027 vollständig konform sein.
Fazit: Europas neue KI‑Regeln treten in die operative Phase
Der EU AI Act ab dem 2. August 2025 markiert den Beginn der operativen KI‑Regulierung in Europa. Notifizierte Stellen ermöglichen künftig verlässliche Konformitätsprüfungen, GPAI‑Anbieter müssen Transparenz schaffen, systemische Risiken managen und Urheberrechte respektieren, und eine neue Governance‑Struktur sorgt für koordinierte Aufsicht. Zugleich etabliert der Artikel 78 klare Regeln für den Umgang mit vertraulichen Daten und der Artikel 99 drakonische Strafen für Verstösse.
Für Unternehmen bietet die KI-Verordnung der EU auch Chancen: Durch rechtzeitige Vorbereitung, Kooperation mit Notified Bodies und die Unterzeichnung des GPAI‑Code‑of‑Practice können sie regulatorische Risiken minimieren und Vertrauen aufbauen. Die europäische KI‑Regulierung dient zunehmend als Vorbild für andere Staaten („Brüsseler Effekt“) und wird die globale AI‑Landschaft prägen. Es lohnt sich daher, die Anforderungen des EU AI Act ab dem 2. August 2025 genau zu verstehen und proaktiv umzusetzen.