Seit 2.8.24 gilt die europäische KI-Verordnung. Bereits seit 1.2.25 sind im ersten Umsetzungsschritt Anbieter und Betreiber von KI-Systemen verpflichtet, dafür zu sorgen, dass ihre Mitarbeitenden sowie alle beauftragten Personen über die nötige Kompetenz im Umgang mit KI-Systemen verfügen. Außerdem definiert die Verordnung verbotene Praktiken, die seitdem nicht mehr angewandt werden dürfen. Anfang August 2025 ist der nächste Umsetzungsschritt erfolgt. AStW informiert, was Unternehmen hierbei zu beachten haben und wie die nächsten Umsetzungsschritte aussehen.
Rechtlicher Hintergrund
Am 2.8.24 ist die europäische KI-Verordnung (VO [EU] 2024/1689 v. 12.7.24) in Kraft getreten. Sie gilt unmittelbar in allen EU-Mitgliedstaaten. Die einzelnen Regelungen der KI-Verordnung treten stufenweise zwischen Februar 2025 und August 2027 in Kraft. Ziele der KI-Verordnung sind die Förderung der Entwicklung und Nutzung vertrauenswürdiger Künstlicher Intelligenz in der EU, aber auch der Schutz im Hinblick auf Gesundheit und Sicherheit.
Die KI-Verordnung schafft klare Regeln für Akteure entlang der KI-Wertschöpfungskette. Sie definiert verbindliche Anforderungen für bestimmte KI-Anwendungen und sorgt für mehr Transparenz und Sicherheit im Umgang mit dieser Technologie.
Die Bundesnetzagentur soll nach bisherigen Plänen eine zentrale Rolle in der Umsetzung der KI-Verordnung in Deutschland übernehmen. Zielgruppe der KI-Verordnung sind alle Unternehmen, Behörden, Organisationen und weitere Akteure, die ein KI-System in der EU einsetzen oder auf den Markt bringen. Entscheidend ist dabei nicht zwingend der Standort des Unternehmens, sondern ob das KI-System in der Union in Verkehr gebracht oder in Betrieb genommen wird, oder ob dessen Ergebnisse Auswirkungen auf Menschen in der EU haben (Art. 2 KI-Verordnung).
| Betroffene Akteure der KI-Verordnung |
|
Anbieter und Hersteller
Betreiber
Einführer (Importeure)
Händler
Bevollmächtigte
|
Quelle: Bundesnetzagentur
Beachten Sie | Nicht von der KI-Verordnung betroffen sind Betreiber, die KI-Systeme nur privat verwenden. Ebenso gelten die Regeln nicht für KI-Systeme, die ausschließlich zu Forschungs- und Entwicklungszielen entwickelt werden, oder für solche, die für militärische und verteidigungspolitische Zwecke konzipiert und eingesetzt werden.
Bisher erfolgte Umsetzungsschritte
Seit Februar 2025 geltende Pflichten
Seit 2.2.25 gilt für Unternehmen nach der EU-Verordnung über künstliche Intelligenz (KI-Verordnung) die Verpflichtung, ihre Mitarbeiter zur sicheren Nutzung von künstlicher Intelligenz (KI) zu schulen (Art. 4 KI-Verordnung). Betroffen sind Anbieter, die eigene KI-Systeme entwickeln und sie auf den Markt bringen, sowie Betreiber, die fremdentwickelte KI-Systeme für betriebliche Zwecke nutzen. Ferner sind nach Art. 2 KI-Verordnung Einführer und Händler von KI-Systemen, sowie Produkthersteller von KI-Systemen betroffen, die diese in Verkehr bringen oder in Betrieb nehmen.
Art. 5 KI-Verordnung verbietet seit 2.2.25 das Inverkehrbringen, die Inbetriebnahme oder die Verwendung bestimmter KI-Systeme für manipulative, ausbeuterische, soziale Kontroll- oder Überwachungspraktiken, die ihrem Wesen nach gegen die Grundrechte und die Werte der Union verstoßen.
Merke | Am 4.2.25 hat die EU-Kommission Leitlinien zu „verbotenen Praktiken der künstlichen Intelligenz gemäß der KI-Verordnung“ veröffentlicht. Die Leitlinien sind bislang nur in englischer Sprache verfügbar. Nach Veröffentlichung der offiziellen deutschen Übersetzung wird die Bundesnetzagentur diese zur Verfügung stellen.
Seit August 2025 geltende Pflichten
Seit 2.8.25 gelten folgende Pflichten nach der KI-Verordnung:
-
Die Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI).
-
Jeder Mitgliedstaat benennt eine nationale Behörde, die für die Durchsetzung der KI-Verordnung zuständig ist. Diese Behörde kann dann die Einhaltung der Regeln überwachen und bei Verstößen Sanktionen aussprechen.
-
Jeder Mitgliedstaat benennt eine oder mehrere Notifizierungsbehörden, die für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen und für deren Überwachung zuständig ist.
-
Eine zentrale Anlaufstelle (Single Point of Contact) für Öffentlichkeit und andere zuständige Marktüberwachungsbehörden muss eingerichtet sein.
-
Die Marktüberwachungsbehörde führt Stichprobenprüfungen von KI-Produkten auf dem Markt durch, überprüft technische Unterlagen, wie Konformitätserklärungen und arbeitet mit anderen nationalen Behörden und der Europäischen Kommission zusammen. Die Marktüberwachungsbehörde nimmt Beschwerden von natürlichen und juristischen Personen, insbesondere Verbrauchern, entgegen und prüft diese. Die Beschwerden fließen in die Marktüberwachungsaktivitäten ein und werden bei der Planung von Überprüfungen und Untersuchungen berücksichtigt. Bei festgestellten Verstößen ordnet sie bestimmte Maßnahmen an.
Beratungshilfe für Unternehmen durch KI-Service Desk der
Bundesnetzagentur
Unternehmen, die beim Einsatz von Künstlicher Intelligenz (KI) die Vorgaben der europäischen KI-Verordnung beachten müssen, können jetzt beim „KI Service Desk“ der Bundesnetzagentur digitale Beratung bei der praktischen Umsetzung erhalten. Hiervon können insbesondere KMU und Start-ups profitieren.
Informationsangebote auf dem KI Service Desk
Der KI-Service Desk der Bundesnetzagentur bietet seit Anfang Juli 2025 Informationen für Unternehmen, Behörden und Organisationen bei Fragen rund um die KI-Verordnung – ganz praxisnah. Dazu zählen Fragen zu Transparenzpflichten, Notifizierung, Normung oder verbotene Praktiken.
Praxistipp
Alle wichtigen Fragen rund um die Umsetzung der KI-Verordnung beantwortet die Bundesnetzagentur in einem FAQ-Katalog, der hier verfügbar ist: www.iww.de/s14263
KI-Compliance-Kompass der Bundesnetzagentur bietet Orientierung
Unternehmen, die KI nutzen oder KI-Systeme anbieten, fragen sich in der Praxis, ob und in welchem Umfang sie die Vorschriften der KI-Verordnung zu beachten haben. Der KI-Compliance-Kompass der Bundesnetzagentur bietet jetzt im Internet insbesondere KMU und Start-ups wichtige erste Orientierung beim Einsatz von KI bei folgenden Fragen clustern:
-
KI-System: Handelt es sich um ein KI-System im Sinne der KI-Verordnung?
-
Verbotene KI-Praktiken: Fällt das System unter die verbotenen KI-Praktiken?
-
Hochrisiko-Systeme: Liegt ein Hochrisiko-KI-System vor?
-
Transparenz: Welche Transparenzverpflichtungen sind zu beachten?
Nächste Umsetzungsschritte der KI-Verordnung
Die weitere Umsetzung der KI-Verordnung erfolgt in den nächsten Jahren bis Ende 2030 in mehreren Schritten wie folgt:
Umsetzungsschritte ab 2.8.26
-
Es gelten Regeln für Hochrisiko-KI-Systeme nach Annex III der KI-Verordnung. Hochrisiko-KI-Systeme, die unter Anhang III der EU-KI-Verordnung fallen, sind KI-Systeme, die als besonders riskant für die Gesundheit, Sicherheit oder Grundrechte von Personen eingestuft werden.
-
Es gelten die Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme.
-
Es muss mindestens ein einsatzbereites KI-Reallabor auf nationaler Ebene eingerichtet sein.
-
Die Mitgliedstaaten müssen Sanktionsregeln umgesetzt haben.
-
Es gelten alle restlichen, nicht explizit aufgelisteten Anforderungen der Verordnung.
Umsetzungsschritte ab 2.8.27
-
Es gelten Regeln für Hochrisiko-KI-Systeme gemäß Anhang I. Anhang I des AI Acts enthält eine Liste von EU-Rechtsvorschriften, die sich mit der Sicherheit von Produkten befassen. Beispiele dafür sind die Maschinenverordnung, die Verordnung über Medizinprodukte oder die Verordnung über Funkanlagen.
-
Es gelten Regeln für KI-Modelle mit allgemeinem Verwendungszweck, die vor August 2025 eingesetzt wurden.
Übergangsvorschriften
Die KI-Verordnung sieht im Rahmen des Umsetzungsprozesses folgende Übergangsregelungen vor:
-
Die Anforderungen der KI-Verordnung müssen bis zum 31.12.30 für KI-Systeme in EU-IT-Großsystemen in den Bereichen Freiheit, Sicherheit und Recht umgesetzt werden, die Teil solcher IT-Systeme sind, die vor dem 2.8.27 eingeführt wurden und auf EU-Recht basieren, wie beispielsweise das Schengener Informationssystem.
-
Betreiber von Hoch-Risiko-KI-Systemen, die vor dem 2.8.26 angeboten oder eingesetzt wurden, müssen die Vorgaben der KI-Verordnung nur dann erfüllen, wenn diese KI-Systeme in ihrem Design wesentlich geändert wurden.
-
Anbieter und Betreiber von Hochrisiko-KI-Systemen, die für den Einsatz durch Behörden bestimmt sind, müssen sicherstellen, dass sie alle Anforderungen und Pflichten der KI-Verordnung bis zum 2.8.30 erfüllen.
Ausblick
Die KI-Verordnung wird künftig auf allen Ebenen der Wertschöpfungskette an Bedeutung zunehmen. Unternehmen sollten sich deshalb umgehend mit der eigenen Betroffenheit und den Anforderungen der KI-Verordnung auseinandersetzen.
Der neue Service der Bundesnetzagentur ist dabei im Rahmen der Umsetzungsschritte gerade aus Sicht von Gründerunternehmen, kleinen und mittleren Unternehmen als Beratungshilfe sehr zu begrüßen, weil die Haftungsfallen der KI-Verordnung groß sind.
Die Ergebnisse der Kompass-Prüfung der Bundesnetzagentur sind allerdings nicht bindend und rein informativer Natur. Sie stellen keine „offizielle Prüfung“ oder Entscheidung der Bundesnetzagentur dar, begründen also auch kein amtliches Testat. Über die verbindliche Auslegung werden nur die nationalen und europäischen Gerichte abschließend entscheiden können. Bis es dazu kommt, wird es noch eine Weile dauern.
fundstellen
-
KI-Servicedesk der Bundesnetzagentur:
-
KI-Compliance-Kompass der Bundesnetzagentur:
-
FAQ-Katalog der Bundesnetzagentur:
-
KI-Verordnung der EU: Verordnung (EU) 2024/1689, ABl. L, 2024/1689, 12.7.24
