Gestaffelte Anwendbarkeit: Seit 2. August 2025 sind weitere Bestimmungen des AI Act anwendbar
Die EU-Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz („KI-Verordnung“ oder „AI Act“) wurde am 12. Juli 2024 offiziell im Amtsblatt der Europäischen Union veröffentlicht und ist mit August 2024 in Kraft getreten (wir berichteten). Die Bestimmungen des AI Act kommen gestaffelt zur Anwendung, wobei nun seit 2. August 2025 unter anderem die Anbieterpflichten von KI-Modellen mit allgemeinem Verwendungszweck und die Sanktionsbestimmungen anwendbar sind.
Die Regelungssystematik des AI Act
Es handelt sich bei dem AI Act um die erste europaweite sektorunabhängige Regulierung von künstlicher Intelligenz (KI), die mit ihrer „multiplen“ Zielsetzung sowohl das Funktionieren des europäischen Binnenmarktes und Innovation im KI-Bereich fördern als auch die Grund- und Menschenrechte, Sicherheit und Gesundheit von Personen durch die Einführung von vertrauenswürdiger und menschenzentrierter KI schützen möchte.
Dazu verfolgt der AI Act einen risikobasierten Ansatz, der KI-Systeme in verschiedene Risikoklassen einteilt, an die wiederum unterschiedliche Verpflichtungen und Rechtsfolgen geknüpft sind. Je nach Risikoeinstufung bzw KI-System sind die Vorschriften des AI Act innerhalb von 6 bis 36 Monaten nach seinem Inkrafttreten anwendbar (Vgl Art 113 AI Act), wobei sich die ersten Vorschriften bereits seit 2. Februar 2025 in Anwendung befinden (bspw Art 4 zur KI-Kompetenz oder Art 5 zu den verbotenen KI-Praktiken).
Seit 2. August anwendbar: Anbieterpflichten zu GPAI
Mit 2. August 2025 wurden nun die nächsten Bestimmungen der Verordnung anwendbar, wobei hier insbesondere die Pflichten für Anbieter von sogenannter „General Purpose AI“ (GPAI) hervorzuheben sind. Darunter sind KI-Modelle mit allgemeinem Verwendungszweck zu verstehen, die durch ihre Flexibilität und Anpassungsfähigkeit in der Lage sind, ein breites Spektrum an unterschiedlichen Aufgaben zu erfüllen und in eine Vielzahl anderer Systeme oder Anwendungen integriert werden können (Vgl Art 3 Z 63 AI Act). Dazu zählen unter anderem große Sprachmodelle („Large Language Models“ – LLMs) wie GPT-4o oder LLaMA.
Anbieter dieser Anwendungen, beispielsweise OpenAI, Meta, Google, Microsoft, allerdings auch alle anderen Unternehmen, die derartige KI entwickeln oder in Verkehr bringen, müssen sich fortan an bestimmte Verpflichtungen halten. Darunter fallen etwa die verpflichtende Bereitstellung von Informationen über die Trainingsdaten ihrer GPAI-Modelle, die Erstellung und Aktualisierung der technischen Dokumentation des Modells und die Zurverfügungstellung der Dokumentation an andere Anbieter, die das GPAI-Modell in ihre eigenen Systeme integrieren wollen (Vgl Art 53 AI Act). Birgt das GPAI-Modell systemische Risiken (Vgl Art 51 AI Act), treffen dessen Anbieter darüber hinausgehende Verpflichtungen, wie beispielsweise erweiterte Risikobewertungs- und -minderungspflichten, die Erstellung einer Modellbewertung oder die Dokumentation von schwerwiegenden Vorfällen und mögliche Abhilfemaßnahmen (Vgl Art 55 AI Act).
Zur Unterstützung der Umsetzung dieser Verpflichtungen hat die Europäische Kommission Leitlinien für Anbieter dieser Modelle und eine Vorlage für die Dokumentation der Trainingsinhalte veröffentlicht. Ebenso wurde ein Verhaltenskodex entwickelt, der den Umgang mit Fragen der Transparenz, des Urheberrechts und der Sicherheit zum Inhalt hat.
Sonstige anwendbare Bestimmungen
Ebenfalls seit 2. August anwendbar sind die Bestimmungen zur Benennung der notifizierenden Behörden auf mitgliedstaatlicher Ebene (Kapitel III Abschnitt 4 AI Act) sowie zu Governance-Themen, worunter beispielsweise die Bestimmungen über das Büro für Künstliche Intelligenz und die Einrichtung eines KI-Gremiums fallen (Kapitel VII AI Act). Darüber hinaus sind von nun an auch die Sanktionsbestimmungen anwendbar (Vgl Art 99 AI Act), die beispielsweise hohe Geldbußen für Verstöße gegen die verbotenen Praktiken nach Art 5 (bis zu €35 Millionen) vorsehen.
Wie geht es weiter?
Der Großteil der Bestimmungen des AI Act wird mit 2. August 2026 anwendbar, beispielsweise die Kapitel über Hochrisiko-KI, Betroffenenrechte und Transparenzbestimmungen. Eine Ausnahme sieht der AI Act für Art 6 Abs 1 zu den sogenannten „eingebetteten“ Hochrisiko-KI-Systemen vor. Darunter sind KI-Systeme zu verstehen, die entweder einen Sicherheitsbauteil eines Produktes bilden, das bereits unter EU-Produktsicherheitsrechts fällt, oder selbst ein solches Produkt darstellen (zB Medizinprodukte). Die entsprechende Bestimmung soll erst in 2 Jahren zur Anwendung gelangen.
Art 111 Abs 2 AI Act enthält außerdem eine sogenannte „grandfathering“-Klausel, nach welcher der AI Act für Betreiber von Hochrisiko-KI-Systemen, die vor dem 2. August 2026 in Verkehr gebracht oder in Betrieb genommen wurden, nur dann gilt, wenn diese Systeme danach erheblich in ihrer Konzeption verändert wurden. Für Anbieter und Betreiber von derartigen Systemen, die bestimmungsgemäß von Behörden verwendet werden sollen, gilt dies jedoch nicht und diese haben ihre Praktiken bis 2. August 2030 mit den Anforderungen des AI Act in Einklang zu bringen.