
Der Inhalt im Überblick
ToggleWas ist das Ziel der KI-Verordnung?
Die EU-KI-Verordnung (AI Act) soll das Funktionieren des EU-Binnenmarkts verbessern, die Einführung einer menschenzentrierten und vertrauenswürdigen künstlichen Intelligenz (KI) fördern, sowie ein hohes Schutzniveau für Gesundheit, Sicherheit und zentrale Werte einer freien und offenen Gesellschaft schaffen (vgl. Artikel 1 Abs. 1 KI-Verordnung). Der europäische Gesetzgeber hat dafür eine spezifische Verordnung geschaffen, weil KI mit spezifischen Risiken einhergeht, wie u.a. schwer zu erkennende Diskriminierungen aufgrund von schlechter Datenqualität (sog. Bias) oder einem Mangel an Transparenz (sog. „Blackbox-Effekt“).
Ab wann gilt die KI-Verordnung?
Die EU-KI-Verordnung ist am 1. August 2024 in Kraft getreten. Sie wird aber gemäß Artikel 113 KI-Verordnung erst schrittweise anwendbar. Die wichtigsten Fristen sind:
- 2. Februar 2025: Allgemeine Vorschriften wie die Pflicht zur Schaffung von KI-Kompetenz (Artikel 1-4), und Verbote (Artikel 5) werden anwendbar.
- 2. August 2025: Vorgaben zu KI-Modellen mit allgemeinem Verwendungszweck (GPAI-Modell) und Sanktionen werden anwendbar; Deadline für die Einrichtung nationaler Aufsichtsbehörden und des KI-Büros.
- 2. August 2026: Beginn der allgemeinen Anwendbarkeit, u.a. Anwendbarkeit der Vorschriften zu Hochrisiko-KI-Systemen nach Anhang 3; Deadline für Innovationsmaßnahmen wie die Einrichtung mind. eines nationalen KI-Reallabors.
- 2. August 2027: U.a. Vorgaben zu Hochrisiko-KI-Systemen als Sicherheitsbauteile werden anwendbar.

Zudem gibt es Regelungen zum Bestandsschutz nach Art. 111 KI-VO für KI-Systeme/GPAI-Modelle, die vor der Anwendbarkeit der sie betreffenden Regelungen der KI-Verordnung in Verkehr gebracht oder in Betrieb genommen wurden.
Beispiel:
Ein Hochrisiko-KI-System, z.B. zur medizinischen Diagnostik, das bis zum 2. August 2026 in Verkehr gebracht oder in Betrieb genommen wurden, fällt unter die Bestandsschutzregelung des Art. 111 Abs. 2 KI-VO. Ohne wesentliche Änderungen bleibt es von Anforderungen der KI-Verordnung befreit, da es vor der schrittweisen Einführung der der entsprechenden Hochrisikovorschriften der KI-VO auf den Markt kam (vgl. Art. 111 Abs. 2 KI-VO).
Mehr Informationen zur zeitlichen Anwendbarkeit der KI-Verordnung finden Sie in unserem Beitrag: Ab wann ist die EU-KI-Verordnung anwendbar?
Worauf ist die KI-Verordnung anwendbar?
Die EU-KI-Verordnung reguliert KI-Systeme (Art. 3 Nr. 1 KI-VO) und KI-Modelle mit allgemeinem Verwendungszweck, sog. GPAI-Modell (Art. 3 Nr. 63 KI-VO) ab deren Inverkehrbringen oder Inbetriebnahme auf dem EU-Binnenmarkt. Die jedoch einem ganz unterschiedlichem Regelungsregime unterworfen werden. Der Großteil der Vorschriften der KI-VO bezieht sich auf KI-Systeme. Diese sind anwendungsorientierte Systeme, welche auf Grundlage von Eingaben – z.B. Sensordaten oder Prompts – Ergebnisse erzeugen. Im Unterschied hierzu sind KI-Modelle mit allgemeinem Verwendungszweck die Grundlage von oft mehreren KI-Systemen, da sie in der Lage sind, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen.
Nicht reguliert werden Forschungs- und Entwicklungstätigkeiten im Bereich der künstlichen Intelligenz. Außerdem gibt es eine Vielzahl von Bereichsausnahmen.

Ein GPAI-Modell wird vor der Nutzung in ein KI-System eingebettet und übernimmt dort die Rolle als „künstliches Gehirn“ des KI-Systems.
Beispiel zur Veranschaulichung des Verhältnis von KI-System und GPAI-Modell:
Entwicklung eines KI-Chatbot
Der IT-Dienstleister „ChatGenius“ entwickelt Chatbots für den Kundenservice, die Unternehmen oder Behörden auf ihren Webseiten oder Apps nutzen können. Diese Chatbots können entweder unter dem Markennamen „ChatGenius“ oder mit eigenem Namen/Marke betrieben werden. Zur Beantwortung von Anfragen nutzt „ChatGenius“ große Sprachmodelle, die von Microsoft im Rahmen der Azure OpenAI Services bereitgestellt werden. Bei einer Anfrage wird eine API-Abfrage an ein OpenAI-Modell in der Azure Cloud gesendet, das die Antwort generiert und zurück liefert.

Die Azure OpenAI-Modelle sind vielseitig einsetzbare GPAI-Modelle gem. Artikel 3 Nr. 63 KI-Verordnung, die für Aufgaben wie Textgenerierung, Programmierung und Bildgenerierung genutzt werden können (1. „Ein KI‑Modell, das eine erhebliche allgemeine Verwendbarkeit aufweist“). Sie wurden durch selbstüberwachtes Lernen mit großen Datenmengen trainiert (2. „mit einer großen Datenmenge unter umfassender Selbstüberwachung trainiert“) und lassen sich in zahlreiche KI-Anwendungen wie Chatbots oder Spracherkennung integrieren (3. „in der Lage, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, und 4. in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann“).
Ein fertiger Chatbot auf der Website eines Kunden ist ein KI-System gem. Artikel 3 Nr. 1 KI-Verordnung: Er basiert auf Software (1. „maschinengestütztes System“), interagiert autonom mit Nutzern (2. „für einen in wechselndem Maße autonomen Betrieb ausgelegt“), passt sich möglicherweise durch Lernen aus Interaktionen an (3. „nach seiner Einführung anpassungsfähig“) und verarbeitet Eingaben, um relevante Antworten oder Empfehlungen zu geben (4. „aus erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt werden“). Dadurch beeinflusst er die Benutzererfahrung auf der Website durch direkte Kommunikation oder Bereitstellung von Informationen (5. „physische oder virtuelle Umgebung beeinflussen kann“).
An wen richtet sich die KI-Verordnung?
Anders als die DSGVO, die sich nur an den Verantwortlichen und Auftragsverarbeiter richtet (und an einer Stelle an EU-Vertreter) richtet sich die EU-KI-Verordnung an mehrere Akteure:

Nach Art. 2 Abs. 1 KI-Verordnung gehören zu den Adressaten Anbieter, Betreiber, Importeure/Einführer, Händler und (von Anbietern) Bevollmächtigte.
Zudem sind bestimmte Produkthersteller indirekt betroffen, wenn sie ein KI-System in potenziell riskante Produkte wie Maschinen oder Medizingeräte integrieren (Anhang 1 Abschnitt Auflistung der betroffenen Produktkategorien).
Die meisten Pflichten der KI-Verordnung treffen die Anbieter von KI-Systemen/GPAI-Modellen und die Betreiber von KI-Systemen.
Anbieter ist gem. Artikel 3 Nr. 3 KI-Verordnung eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die (1) ein KI‑System oder ein GPAI‑Modell entwickelt oder entwickeln lässt, und (2) es unter eigenem Namen oder Handelsmarke (3) in Verkehr bringt oder in Betrieb nimmt, egal ob dies entgeltlich oder unentgeltlich geschieht.
Betreiber ist gem. Art. 3 Nr. 4 KI-Verordnung eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die (1) ein KI‑System in eigener Verantwortung verwendet, es sei denn, das KI‑System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet (Anm.: sog. Haushaltsausnahme), (2) und in der niedergelassen oder ansässig ist.
Beispiel: Rollen bei der Entwicklung eines KI-Chatbot
Microsoft ist Anbieter des GPAI-Modells, da es die OpenAI-Modelle unter der Marke „Azure OpenAI Services“ bereitstellt. Der IT-Dienstleister ist Anbieter des KI-Systems, da er den fertigen Chatbot unter eigener Marke „ChatGenius“ anbietet. Setzt ein Kunde den Chatbot unverändert ein, ist er Betreiber, da er ihn eigenverantwortlich auf seiner Website nutzt, ohne einen eigenen Namen oder Markenzeichen anzubringen. Wird der Chatbot jedoch unter dem eigenen Markenzeichen des Kunden betrieben, kann der Kunde selbst zum Anbieter werden.
Welche Pflichten bringt die KI-Verordnung mit sich?
Die KI-Verordnung folgt weitgehend einem risikobasierten Ansatz. Die konkreten Pflichten der Adressaten in Bezug auf KI-Systeme hängen daher größtenteils von der Risikostufe des KI-Systems ab. Die Risikostufe wird über den Einsatzzweck eines KI-Systems bestimmt.
Risikostufen
- Verbotene KI-Systeme (Art. 5), z. B. Social Scoring, d.h. die Bewertung von Individuen/Gruppen anhand des sozialen Verhaltens oder ihrer persönlichen Eigenschaften.
- Hochrisiko-KI-Systeme (Art. 6-49), z.B. KI-Systeme zur Bewertung von Bewerbern. Anbieter müssen umfangreiche Compliance-Anforderungen erfüllen. Andere Anbieter haben ebenso Pflichten, insb. Betreiber.
- Geringes/Kein Risiko (nicht reguliert), z.B. KI-Einsatz bei Spamfiltern. Freiwillige Einhaltung von Verhaltenskodizes.

Beispiel: Ein Medizinprodukt zur Erkennung von grauem Star

Ein Anbieter will ein KI-System in ein Medizingerät zur Erkennung von grauem Star integrieren, das von Krankenhäusern oder Arztpraxen zur Entlastung der Ärzte eingesetzt werden soll, um frühzeitig Anzeichen von grauem Star zu erkennen.
Für ein solches KI-System müssen die Vorgaben für Hochrisiko-KI-Systeme erfüllt werden, weil KI-Systeme in Medizinprodukten als hochriskant gelten (vgl. Art. 6 Abs. 1 lit. a KI-VO i.V.m. Anhang 1 Nr. 11). Nach Art. 16 KI-VO ist ein solcher Anbieter u.a. verpflichtet, ein Risikomanagementsystem zu implementieren, die Datenqualität für das Training des KI-Systems sicherzustellen und die menschliche Überwachung des Systems zu ermöglichen. Zusätzlich muss der Anbieter auch alle produktspezifischen Anforderungen erfüllen (vgl. Art. 8 Abs. 2 S. 1 KI-Verordnung). Ein Krankenhaus als Betreiber des Produkts mit dem integrierten KI-System muss nach Art. 26 KI-VO ebenfalls umfangreiche Pflichten erfüllen, wie z.B. die menschliche Aufsicht durch eine kompetente Person sicherstellen.
Risikounabhängige Regulierung
Daneben hat der Gesetzgeber als Reaktion auf das schnelle Aufkommen von großen Sprachmodellen und generativer KI seit Einführung von ChatGPT Ende 2022 eine Regulierung unabhängig vom konkreten Einsatzzweck eingeführt. GPAI-Modelle und generative KI-Systeme wären ansonsten mangels eines eindeutigen Einsatzzwecks unreguliert geblieben. Ein Großteil der Wertschöpfung und Risiken bei KI-Systemen wäre somit nicht erfasst worden. Die KI-Verordnung wäre gewissermaßen ins Leere gelaufen.
Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (Art. 51-55 KI-VO) müssen Informations- und Transparenzpflichten erfüllen (Art. 53). Zudem müssen sie ggf. zusätzliche Pflichten erfüllen, wenn das GPAI-Modell Modelle systemische Risiken mit sich bringt (Art. 51, 55).
Außerdem muss gemäß Art. 50 KI-VO bei bestimmten KI-Systeme unabhängig von dem Risiko des konkreten Anwendungsfalls über den Einsatz von KI informiert werden (Transparenzpflichten). Es handelt sich um Anwendungsfälle mit einem abstraktem Missbrauchsrisiko, entweder aufgrund der Form der Bereitstellung oder der zugrundeliegenden Technik (z.T. werden sie daher auch als Risikoklasse „begrenztes Risiko“ genannt).

Beispiel: Pflichten bei einem KI-Chatbot
Microsoft als Anbieter des GPAI-Modells muss gemäß Artikel 53 der KI-VO verschiedene Informations- und Transparenzpflichten erfüllen. Bei einem großen GPAI-Modell wie GPT-4o könnte auch eine Vermutung systemischer Risiken nach Art. 51 Abs. 2 KI-VO greifen, wodurch zusätzliche Anforderungen, z.B. zur Cybersicherheit, greifen.
Der IT-Dienstleister muss als Anbieter des KI-Systems nach Artikel 50 Abs. 1 KI-VO sicherstellen, dass der Chatbot so konzipiert ist, dass Endnutzer über den Einsatz von KI informiert werden, da es sich um ein KI-System zur direkten Nutzerinteraktion handelt. Eine Ausnahme besteht, wenn der KI-Einsatz offensichtlich ist, etwa durch einen Namen wie „KI-Kundenberater“. Die Anforderungen an diese Offensichtlichkeit sind derzeit jedoch noch unklar. Wenn ein Kunde den Chatbot unverändert übernimmt, müssen sie als Betreiber des KI-Systems keine zusätzlichen Pflichten erfüllen, da die Transparenzpflicht nach Artikel 50 Abs. 1 ausschließlich den Anbieter betrifft. Sollte der Kunde jedoch den Chatbot unter eigenem Namen oder Markenzeichen betreiben, wird er selbst zum Anbieter und muss die gleichen Pflichten erfüllen.
Wo gilt die KI-Verordnung?

Die KI-Verordnung gilt für alle in der EU niedergelassenen Akteure (sog. Niederlassungsprinzip, Art. 2 Abs. 1 lit. b). Sie gilt zudem für Anbieter außerhalb der EU, die ein KI‑System/GPAI-Modell in der EU Verkehr bringen oder ein KI-System in der EU in Betrieb nehmen, unabhängig davon, ob diese Anbieter in der EU oder in einem Drittland niedergelassen sind (sog. Marktortprinzip, Artikel 2 Abs. 1 lit. a). Diese beiden Prinzipien sind jedem, der sich mit der DSGVO beschäftigt hat, bereits gut bekannt.
Darüber hinaus gilt die KI-Verordnung jedoch auch für Anbieter und Betreiber von KI-Systemen außerhalb der EU, wenn die durch ihre KI-Systeme hervorgebrachte Ausgaben (Output) innerhalb der EU verwendet werden (vgl. Art. 2 Abs. 1 lit. c). Die Regelung soll verhindern, dass ein KI-System außerhalb der EU unter weniger reglementierten Umständen erstellt, und wettbewerbsverzerrend in der EU angeboten wird. Sie wirft aber viele Fragen auf.
Beispiel: Anwendbarkeit der KI-VO auf einen KI-Chatbot
Die KI-Verordnung gilt für Microsoft als Anbieter von GPAI-Modellen, unabhängig davon, ob die Azure OpenAI Services von der amerikanischen Muttergesellschaft oder einer EU-Tochtergesellschaft erbracht werden, da Microsoft GPAI-Modelle in der EU in Verkehr bringt. Gleiches gilt für den IT-Dienstleister, der ein KI-System in der EU in Verkehr bringt (Marktortprinzip). Ein Kunde, der den Chatbot unverändert als Betreiber auf seiner Website einsetzt, unterliegt hingegen nur der KI-Verordnung, wenn es in der EU niedergelassen ist (Niederlassungsprinzip). Anders wäre es, wenn er den Chatbot unter eigener Marke oder Namen bereitstellt und ggf. selbst in die Anbieterrolle rutscht.
Welche Sanktionen drohen bei Verstößen
Sanktionen bei Verstößen werden in Kapitel 12 der KI-Verordnung geregelt. Die Bußgelder hängen von der Schwere des Verstoßes ab gemäß Art. 99 Abs. 3-5:
- Bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes für verbotene KI-Systeme.
- Bis zu 15 Mio. EUR oder 3% des Umsatzes für Verstöße gegen die Pflichten für Hochrisiko-Systeme oder die Transparenzpflichten für Anbieter und Betreiber gemäß Artikel 50 KI-Verordnung.
- Bis zu 7,5 Mio. EUR oder 1% des Umsatzes für fehlerhafte Informationen gegenüber Behörden.
Ob sich das Bußgeld an dem festen Geldbetrag orientiert oder an dem Jahresumsatz, hängt davon ab, welcher Betrag höher ist. Bei KMUs und Start-ups gilt jeweils der niedrigere Betrag (vgl. Artikel 99 Abs. 6).
In welchem Maße Bußgelder gegen öffentliche Stellen verhängt werden können, soll auf nationaler Ebene geregelt werden (Artikel 96 Abs. 8), was bisher noch nicht passiert ist. Bei Verstößen gegen die Pflichten für Anbieter von GPAI-Modellen aus Artikel 53 ff. KI-Verordnung oder bei mangelnder Kooperation mit bei Anfragen der EU-Kommission kann gemäß Artikel 101 Abs. 1 KI-Verordnung ebenfalls ein Bußgeld bis zu 15 Mio. EUR oder bis zu 3% des weltweiten Vorjahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist.
Beispiel: Potenzielle Strafen bei einem KI-Chatbot
Microsoft kann bei Verstoß gegen seine Pflichten als Anbieter eines GPAI-Modells mit einem Bußgeld von bis zu 15 Mio. EUR oder bis zu 3% des weltweiten Vorjahresumsatzes bestraft werden. Der IT-Dienstleister kann bei einem Verstoß gegen die Transparenzpflichten nach Artikel 50 Abs. 1 ebenfalls mit einem Bußgeld von bis zu 15 Mio. EUR oder 3% des weltweiten Vorjahresumsatzes bestraft werden. Ebenso dessen Kunden aus der Privatwirtschaft, wenn sie den Chatbot unter eigener Marke oder Namen bereitstellen und selbst als Anbieter handeln. Ist der Kunde eine Behörde, hängt das Bußgeld von einer Regelung auf nationaler Ebene ab. Übernimmt das einsetzende Unternehmen bzw. die Behörde den Chatbot unverändert als der Betreiber hat es keine Pflichten, sodass gegen dieses auch keine Bußgelder verhängt werden können.
Wer überwacht die Einhaltung?
Die Aufsicht/Governance gemäß Kapitel 7 der KI-Verordnung ist im Kern zweigeteilt:
Für die Aufsicht über GPAI-Modelle sieht Artikel 64 die Einrichtung eines KI-Büros vor. Dieses ist gem. Artikel 3 Nr. 47 KI-VO Teil der Kommission. Die sonstige Aufsicht für KI-Systeme verbleibt bei den nationalen Aufsichtsbehörden. Zudem gibt es Mechanismen, um eine möglichst einheitliche Auslegung der EU-KI-Verordnung sicherzustellen.

Nationale Aufsichtsbehörden, sind zu unterscheiden in Marktüberwachungsbehörden für die Aufsicht ab Inbetriebnahme/Inverkehrbringen des KI-Systems und notifizierende Behörden für die Überwachung der notifizierten Stellen (z.B TÜV/Dekra), welche die Konformität von KI-Systemen vor Inbetriebnahme zertifizieren (vgl. Art. 70).
Marktüberwachungsbehörde in Deutschland wird voraussichtlich die Bundesnetzagentur. Es gibt jedoch sektorspezifische Ausnahmen gemäß Art. 74 Abs. 3-8 KI-VO:
- Bei KI-Systemen in regulierten Produkten nach Anhang 1 Abschnitt A sind die nationalen Behörde zuständig, die auch für die Überwachung des Produkts zuständig sind (Abs. 3).
- Für KI-Systeme im Finanzbereich ist die BaFin zuständig (Abs. 6).
- Bei KI-Systemen für die Strafverfolgung, Wahlen, Grenzkontrollen und die Justizverwaltung sind die Datenschutzaufsichtsbehörden die nationalen Marktüberwachungsbehörden (vgl. Art. 74 Abs. 8 KI-VO).
Beispiel:
Am Beispiel der Medizinprodukte-VO 2017/745 wird die dort nach Art. 101 zu benennende Behörde in Deutschland in § 85 des Medizinprodukterecht-Durchführungsgesetzes festgelegt. Dort wird die Zuständigkeit grundsätzlich den Behörden der Bundesländer zugewiesen. In ihrem jeweiligen Bereich, zB der Marktüberwachung von Medizinprodukten, sollen diese Behörden zukünftig auch die Aufgaben nach der KI-VO wahrnehmen.
(Martini/Wendehorst/Hartmann, 1. Aufl. 2024, KI-VO Art. 74 Rn. 12, beck-online)Art. 74 Abs. 12–14 begründen – thematisch abweichend von den übrigen Bestimmungen der Norm – neue Befugnisse der Marktüberwachungsbehörden, Zugriff auf bestimmte Datensätze zu nehmen.
Auf europäischer Ebene werden neben dem KI-Büro (AI Office) für die Aufsicht über Anbieter von GPAI-Modellen (vgl. Art. 64) folgende Strukturen geschaffen:
- Das KI-Gremium/Ausschuss soll die Arbeit der nationalen Aufsichtsbehörden auf EU-Ebene koordinieren (vgl. Art. 65, 66).
- Das Beratungsforum und das wiss. Gremium unabhängiger Sachverständiger soll sowohl das KI-Büro als auch die nationalen Aufsichtsbehörden bei ihren Aufgaben beraten und unterstützen (Art. 67-69).
- Der Europäischer Datenschutzbeauftragte ist die Marktüberwachungsbehörde für Organe, Einrichtungen und sonstige Stellen der EU (Art. 74 Abs. 9).
Hinsichtlich der Durchsetzung der Aufsicht durch die Marktüberwachungsbehörden verweist Art. 74 Abs. 1 KI-VO auf die EU-Verordnung zur Marktüberwachung (MÜ-VO, EU-VO 2019/1020). Art. 74 Abs. 5 MÜ-VO modifiziert die Befugnisse der Marktüberwachungsbehörden, die diesen gem. Art. 14 MÜVO ansonsten zustehen. Die Marktüberwachungsbehörden können bspw. ihre Aufsicht im Rahmen der KI-VO in Abwesenheit per Fernzugriff ausüben. So haben sie die Möglichkeit nach Art. 14 Abs. 4 lit. d MÜVO unangekündigte Inspektionen und Überprüfungen von Produkten durchzuführen.
Art. 79 KI-VO regelt die Zusammenarbeit der nationalen Marktüberwachungsbehörden. Bei Uneinigkeit unter ihnen prüft und entscheidet die Kommission im Rahmen eines sog. Schutzklauselverfahren (Art. 81).
Beispiel: Aufsicht eines KI-Chatbot
Für die Überwachung von Microsoft als Anbieter der Azure OpenAI-Modelle ist das KI-Büro zuständig, weil es sich um GPAI-Modelle handelt. Für den IT-Dienstleister, der den einsatzbereiten Chatbot zur Verfügung stellt sowie für dessen Kunden, ist im Prinzip jede nationale Martküberwachungsbehörde zuständig, in deren Mitgliedsstaat der Chatbot eingesetzt wird. Wie das zu bestimmen ist, ist noch nicht ganz geklärt. Es ist voraussichtlich wie bei der DSGVO auf Maßnahmen zur länderspezifischen Bereitstellung abzustellen, z.B. in der Landessprache eines Mitgliedsstaats. Für den Kunden, der den Chatbot einsetzt ist ebenfalls jede Marktüberwachungsbehörde zuständig, in deren Mitgliedsstaat der Chatbot eingesetzt wird.
Wie kann man die Pflichten der KI-Verordnung umsetzen?
Es gibt aktuell wenig Handreichungen, wie die Pflichten zu erfüllen sind, daher besteht hinsichtlich der meisten Pflichten noch Unklarheit, wie diese umzusetzen sind. Diese Unklarheit eröffnet jedoch auch Gestaltungsfreiheit.
Die Kommission soll die Vorgaben der KI-VO präzisieren, indem sie Leitfäden oder Durchführungsrechtakte zu konkreten Pflichten oder Auslegung von Begriffen erlässt.
In Art. 96 Abs. 1 KI-VO werden (nicht abschließend) Bereichen genannt, für die sie Leitlinien erlassen soll, z.B. für die Auslegung der Verbote nach Art. 5, für die praktische Erfüllung der Hochrisikopflichten nach Art. 8-15 oder der Transparenzpflichten nach Art. 50 KI-VO. Es ist jedoch keine Frist für den Erlass der Leitlinien vorgesehen. Weitere Verpflichtung zum Erlass von Leitlinien finden sich bspw. zur Einstufung von Hochrisiko-KI-Systemen und der Abgrenzung zu nicht hochriskanten KI-Systemen in Art. 6 Abs. 5 KI-VO. Diese hat die Kommission spätestens 18 Monate nach Inkrafttreten der KI-VO bereitzustellen.
Zudem wird an mehreren Stellen der Verordnung der Kommission das Recht eingeräumt, delegierte Rechtsakte zu erlassen, um die dortigen Vorgaben zu konkretisieren oder zu ergänzen. Die Kommission ist bspw. gemäß Artikel 7 Abs. 1 befugt, delegierte Rechtsakte zur Änderung der Liste der Hochrisiko-KI-Systeme nach Anhang 3 zu erlassen. Nach Erwägungsgrund 101 KI-VO ist sie vor dem Hintergrund sich wandelnder technologischer Entwicklungen befugt, die Inhalte abzuändern, die Anbieter von GPAI-Modellen gemäß den Anhängen 11 und 12 angeben müssen. Die Vorgaben zum Erlass der delegierten Rechtsakte finden sich in Art. 97 KI-VO.
Welche Maßnahmen sollte man jetzt ergreifen?
Wir empfehlen jedem potenziell betroffenen Adressaten nach folgenden Schritten eine Compliance zur KI-Verordnung herzustellen:

- Eröffnung des Anwendungsbereichs prüfen: In einem ersten Schritt sollten Sie herausfinden, ob die KI-VO aus Sie anwendbar ist. (sachlich/räumlich/persönlich/Bereichsausnahmen).
- Pflichten identifizieren: In einem zweiten Schritt sollten Sie herausfinden, in welche Risikoklasse Ihre Anwendung fällt oder ob eine risikounabhängige Regulierung erfolgt, und welche Rolle (Anbieter, Betreiber etc.) Sie spielen.
- Priorisierung der Pflichten: Zuletzt sollten Sie priorisieren, je nachdem welche Pflichten zuerst anwendbar sein werden. Bspw. sollte zuerst geprüft werden, ob KI-Anwendungen den Verboten nach Art. 5 KI-VO unterfallen, weil diese bereits ab Februar 2025 gelten.
FAQs
Was ist das Ziel der KI-Verordnung?
Die KI-VO soll die Einführung sicherer und vertrauenswürdiger KI im EU-Binnenmarkt fördern und ein hohes Schutzniveau für Gesundheit und zentrale Werte gewährleisten (vgl. Art. 1 Abs. 1 KI-VO).
Ab wann gilt die KI-Verordnung?
Die KI-VO ist seit dem 1. August 2024 in Kraft, wird jedoch schrittweise angewendet. Allgemeine Vorschriften gelten ab dem 2. Februar 2025, Hochrisiko-Vorgaben ab August 2026 und Vorgaben für KI-Sicherheitsbauteile ab August 2027 (vgl. Art. 113 KI-VO). Zudem gibt es nach Art. 111 KI-VO einen z.T. unbegrenzten Bestandsschutz für „Altsysteme“ vor der Anwendbarkeit der KI-VO.
Worauf ist die KI-VO anwendbar?
Die KI-VO betrifft alle KI-Systeme und GPAI-Modelle, die in Verkehr gebracht oder in Betrieb genommen werden. Forschungs- und Entwicklungsarbeiten sind jedoch ausgenommen (vgl. Art. 2 Abs. 6 und 8 KI-VO).
Was ist ein GPAI-Modell?
GPAI steht für „General Purpose AI“, also KI-Modelle mit allgemeinem Verwendungszweck. Solche Modelle werden in verschiedenen KI-Anwendungen verwendet und unterliegen besonderen Transparenzpflichten (vgl. Art. 51-55 KI-VO).
Wer sind die Adressaten der KI-VO?
Die KI-VO richtet sich an Anbieter, Betreiber, Importeure, Händler und Bevollmächtigte von KI-Systemen sowie Hersteller potenziell riskanter Produkte mit KI-Komponenten (vgl. Art. 2 Abs. 1 KI-VO).
Welche Pflichten gibt es für Hochrisiko-KI-Systeme?
Anbieter müssen u.a. Risikomanagement betreiben, Datenqualität sicherstellen und eine menschliche Überwachung vorsehen. Betreiber haben ebenfalls Überwachungspflichten (vgl. Art. 9-15 KI-VO).
Welche Strafen drohen bei Verstößen?
Bußgelder reichen von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für verbotene Systeme bis hin zu 15 Millionen Euro oder 3% für Verstöße bei Hochrisiko-Systemen und Transparenzpflichten (vgl. Art. 99 Abs. 3 KI-VO).
Wer überwacht die Einhaltung der KI-VO?
Die Überwachung erfolgt national durch Marktüberwachungsbehörden und auf EU-Ebene durch das KI-Büro für GPAI-Modelle. Zudem gibt es Koordinations- und Beratungsstellen auf EU-Ebene (vgl. Art. 74 KI-VO).
Weiterführende Links
Eine gute Grafische Darstellung zur Prüfung der Anwendbarkeit der KI-VO und der einschlägigen Pflichten bietet folgende Übersicht „EU AI Act Compliance Journey“ des appliedAI institutes for europe aus München.
Einen umfassenden Leitfaden mit immerhin 220 Seiten bietet der Bitkom e.V.: Umsetzungsleitfaden zur KI-Verordnung (EU) 2024/1689.
Viele Quellen rund um die KI-Verordnung, ihre Entstehung, eine Zeitleiste der Anwendbarkeit und Pflichten zur Umsetzung der Verordnung bietet der AI Act Explorer (die automatische Übersetzung aus dem Englischen ist aber manchmal gewöhnungsbedürftig).
Autor: Rechtsanwalt Nicolas Kötter
Für Fragen wenden Sie sich gerne an: nicolas.koetter@csw.legal.