Mit dem Inkrafttreten zentraler Vorschriften des EU AI Act am 2. August 2025 beginnt für viele Unternehmen und KI-Anbieter eine neue Ära der Regulierung. Die Europäische Union schreibt damit weltweit erstmals umfassende und verbindliche Regeln für den Einsatz von Künstlicher Intelligenz fest – insbesondere für sogenannte General Purpose AI (GPAI). Das betrifft Modelle wie ChatGPT von OpenAI, Claude von Anthropic, Gemini von Google oder Meta’s LLaMA, die vielseitig einsetzbar sind und immer häufiger in Produkten, Dienstleistungen und internen Unternehmensprozessen zum Einsatz kommen.
Transparenzpflichten für große KI-Modelle
Zentraler Baustein der neuen Regelung ist die Transparenzpflicht für Anbieter von GPAI-Modellen. Diese müssen ab August offenlegen, wie ihre Modelle trainiert wurden, welche Datensätze zum Einsatz kamen und ob urheberrechtlich geschützte Inhalte genutzt wurden – etwa aus Textarchiven, Code-Repositorien oder journalistischen Quellen. Auch eine technische Dokumentation der Modellarchitektur und der Trainingsmethoden ist verpflichtend. Dabei genügt keine allgemeine Beschreibung: Die EU verlangt nachvollziehbare und überprüfbare Angaben, die es Behörden ermöglichen, das Modell hinsichtlich Transparenz, Sicherheit und möglicher Risiken zu bewerten.
Zudem müssen alle Anbieter nachweisen, dass sie Strategien entwickelt haben, um Urheberrechte zu respektieren. Das betrifft nicht nur Texte, sondern auch Bild- und Audiomaterial – auch wenn die eigenständige Plattform DALL·E in dieser Form nicht mehr aktiv vermarktet wird, leben multimodale Funktionen in anderen Produkten fort, etwa in GPT-4o oder Gemini 1.5 Pro.
Sicherheitsauflagen für risikobehaftete Systeme
Für GPAI-Modelle mit sogenanntem systemischen Risiko – also besonders weitreichender Reichweite, Integrationsfähigkeit und Einfluss auf Gesellschaft oder kritische Infrastruktur – greifen zusätzliche Vorgaben. Hierzu zählen unter anderem verpflichtende Risikoanalysen, gezieltes adversariales Testen (also Simulation potenzieller Missbrauchsszenarien) sowie strikte Meldepflichten bei sicherheitsrelevanten Vorfällen. Damit will die EU verhindern, dass sich gefährliche Verhaltensweisen, unerkannte Schwachstellen oder schädliche Inhalte unkontrolliert verbreiten.
Institutioneller Rahmen: Das neue AI Office
Ebenfalls ab August 2025 nimmt das sogenannte „AI Office“ auf EU-Ebene offiziell seine Arbeit auf. Es koordiniert die Zusammenarbeit zwischen den nationalen Aufsichtsbehörden, entwickelt technische Leitlinien und sorgt für eine einheitliche Auslegung des AI Acts. Alle Mitgliedstaaten sind verpflichtet, ihre zuständigen Behörden zu benennen, zentrale Ansprechpartner zu benennen und den Informationsfluss gegenüber Unternehmen und der Öffentlichkeit zu gewährleisten.
Parallel treten auch Vertraulichkeitsregelungen in Kraft: Alle Informationen, die im Rahmen von Prüfungen, Auditierungen oder Zertifizierungsverfahren erhoben werden, unterliegen künftig einem verbindlichen Datenschutzrahmen. Das gilt für staatliche Behörden ebenso wie für die Europäische Kommission.
Sanktionen bei Verstößen
Ebenfalls mit Wirkung zum 2. August 2025 müssen alle Mitgliedstaaten ihre Sanktionsregelungen für Verstöße gegen den AI Act verbindlich umgesetzt haben. Wer gegen die Transparenz-, Dokumentations- oder Sicherheitsanforderungen verstößt, riskiert erhebliche Geldbußen: Je nach Schwere des Vergehens drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – jeweils der höhere Wert ist maßgeblich. Dies soll sicherstellen, dass auch große Technologiekonzerne die Regelungen ernst nehmen und Verstöße nicht einfach als betriebliche Nebenkosten verbuchen.
Wer ist betroffen – und wer (noch) nicht?
Die Vorgaben gelten in erster Linie für Anbieter von GPAI-Modellen sowie für Unternehmen, die solche Systeme in großem Maßstab in eigene Produkte oder Dienstleistungen integrieren. Endnutzer – also Verbraucher oder kleine Unternehmen, die KI lediglich anwenden – sind vorerst nicht direkt betroffen, sollten aber auf Transparenz und Rechtskonformität der eingesetzten Tools achten. Auch Plattformanbieter, die Dritt-KI integrieren, sind in der Pflicht, den Ursprung und die Konformität der Modelle zu überprüfen.
Für Hochrisiko-KI-Systeme – etwa in Bereichen wie Biometrie, Strafverfolgung, kritische Infrastrukturen oder Arbeitsvermittlung – greifen weitere Auflagen erst ab August 2026. Hier bleibt den Anbietern mehr Zeit, sich auf die neuen Anforderungen vorzubereiten.
Was kommt noch?
Nicht alle Elemente des AI Acts treten bereits 2025 in Kraft. So folgen spezifische Regelungen zur Kennzeichnung von KI-generierten Inhalten – etwa bei Texten, Bildern oder synthetischen Stimmen – erst ein Jahr später. Auch die Registrierungspflicht für besonders leistungsfähige Modelle in einem EU-weiten GPAI-Katalog ist erst ab 2026 vollständig bindend. Einige technische Standards, etwa zu Transparenzindikatoren, Sicherheitstestverfahren oder Modellklassifizierung, befinden sich noch in der Entwicklung – teilweise in Abstimmung mit internationalen Gremien wie der OECD oder dem G7 AI Code.
Fazit: Der AI Act verändert den Rahmen für KI in Europa
Ab August 2025 endet für viele Anbieter die Phase der freiwilligen Orientierung. Der AI Act schafft ein neues, rechtsverbindliches Fundament für den Umgang mit Künstlicher Intelligenz in Europa – mit weitreichenden Konsequenzen für die Produktentwicklung, das Datenmanagement und die unternehmerische Verantwortung. Während viele Details noch in Bewegung sind, ist der Grundkurs gesetzt: KI-Systeme müssen künftig überprüfbar, transparent, sicher und rechtlich einwandfrei sein – andernfalls drohen nicht nur Sanktionen, sondern auch ein erheblicher Vertrauensverlust in einem zunehmend sensiblen Markt. Unternehmen, die heute noch zögern, sollten die verbleibenden Wochen nutzen, um Strukturen, Prozesse und Dokumentationen in Einklang mit den neuen Vorschriften zu bringen. Die Übergangsfrist läuft – aber nicht ewig.
