Neue KI-Regeln ab August 2025: Wer jetzt nicht handelt, riskiert mehr als nur Bußgelder
Die EU zieht die Zügel an ab August 2025 gelten schärfere Anforderungen für KI mit allgemeinem Verwendungszweck. Unternehmen müssen jetzt reagieren, um Risiken zu minimieren und ihre Innovationsfähigkeit zu sichern.
General Purpose AI: Flexibel, mächtig und bald streng reguliert
Ob Chatbots, Bildgeneratoren oder multimodale Systeme, sogenannte General Purpose AI (GPAI) hat längst Einzug in den Geschäftsalltag gehalten. Doch mit der Vielseitigkeit kommt auch Verantwortung. Die EU-KI-Verordnung bringt ab dem 2. August 2025 neue, verbindliche Vorgaben für GPAI-Modelle, insbesondere für solche mit systemischem Risiko (GPAI+), also besonders mächtigen, potenziell missbrauchsanfälligen KI-Systemen.
Was ist GPAI und warum ist es relevant?
GPAI-Modelle lassen sich mit einem Schweizer Taschenmesser vergleichen: vielseitig, anpassbar, mächtig. Sprachmodelle wie GPT-4 oder Bildgeneratoren wie Stable Diffusion sind typische Beispiele. Die erweiterte Kategorie GPAI+ gleicht hingegen einem Taschenmesser mit Dietrich-Funktion: leistungsstark, aber potenziell gefährlich und deshalb künftig unter strenger Aufsicht.
Was ändert sich ab August 2025?
Die neuen Vorschriften aus der KI-Verordnung bringen unter anderem folgende Pflichten:
1. Transparenz & Kennzeichnung
Anbieter müssen offenlegen, wie ihre KI trainiert wurde, und Betreiber müssen Nutzer über die Funktionsweise informieren. Inhalte, die durch KI erzeugt wurden, müssen als solche erkennbar sein, sog. Labeling von KI generierten Inhalte wie Bilder oder Texte.
2. Governance & Kontrolle
Nationale Behörden prüfen die Umsetzung, das EU-KI-Gremium koordiniert auf europäischer Ebene. Unternehmen müssen ihre internen Prozesse entsprechend anpassen.
3. Prüf- & Zulassungsverfahren
GPAI muss vor dem Marktstart eine Konformitätsbewertung durchlaufen. Dazu gehören Risikoanalysen und technische Dokumentationen.
4. Vertraulichkeit mit Offenlegungspflicht
Geschäftsgeheimnisse bleiben geschützt, aber bei risikoanfälligen Modellen sind gewisse Informationen zwingend offenzulegen.
5. Strafen bei Verstößen
Bei Missachtung drohen Sanktionen von Warnungen bis zu hohen Geldbußen, insbesondere bei verbotenen Anwendungen oder GPAI ohne Zulassung.
Exkurs: Wer ist Anbieter bzw. Betreiber?
Die EU-KI-Verordnung (KI-VO) unterscheidet klar zwischen dem Anbieter und dem Betreiber eines KI-Systems:
- Anbieter (engl. provider) ist die natürliche oder juristische Person, die ein KI-System entwickelt oder in Verkehr bringt, also es auf den Markt bringt oder in Betrieb nimmt – zum Beispiel ein Unternehmen, das eine KI-Anwendung entwickelt und verkauft.
- Betreiber (engl. deployer) ist die natürliche oder juristische Person, die ein KI-System im eigenen Namen nutzt, also in der Praxis anwendet – etwa ein Unternehmen, das eine externe KI-Lösung zur Automatisierung interner Prozesse verwendet.
Wichtig ist: Beide Rollen haben nach der KI-VO unterschiedliche Pflichten – zum Beispiel in Bezug auf Transparenz, Risikobewertung und Dokumentation.
Was Unternehmen jetzt tun müssen
| Bereich | Handlungsempfehlung |
|---|---|
| Einkauf | KI-Produkte auf GPAI/GPAI+ prüfen (Checkliste nutzen) |
| IT & Compliance | Bestehende Software evaluieren, Dokumentation und Governance aufbauen |
| Transparenz | Nutzer transparent informieren, KI-Einsatz sichtbar machen |
| Geschäftsleitung | Strategische Entscheidungen für KI-Compliance vorbereiten |
Wichtig: Die Umsetzung erfordert eine enge Zusammenarbeit von IT, Recht, Datenschutz, Einkauf und Kommunikation.
Früh starten lohnt sich
Wer jetzt handelt, spart später Aufwand und Geld. Frühzeitige Maßnahmen reduzieren das Risiko regulatorischer Sanktionen und schaffen Vertrauen bei Kunden, Partnern und Behörden. Zudem ergeben sich Wettbewerbsvorteile durch verantwortungsvollen KI-Einsatz.
Althammer & Kill unterstützt Unternehmen mit praxisnahen Einstiegspaketen:
Bestandsaufnahme KI
KI-Readiness-Check der Organisation - Sind Sie bereit für KI?
KI-Projekt-Assessment
Für den sicheren Erfolg Ihrer KI-Projekte
Schulungen und Workshops
Der Mensch bleibt auch beim Einsatz von KI ein wichtiger Faktor
Fazit: KI braucht klare Regeln und gute Vorbereitung
Die EU-KI-Verordnung bringt nicht nur Pflichten, sondern auch Struktur. Wer vorbereitet ist, schützt sich vor Reputationsrisiken und Bußgeldern und nutzt KI verantwortungsvoll als Innovationstreiber. Jetzt ist der richtige Zeitpunkt für Compliance mit Weitblick.
Melden Sie sich für unseren Newsletter an.
Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.