BlogNews

Der EU AI Act tritt ab 2. August 2025 in seine nächste Phase

Der EU AI Act wird konkret: Ab 2. August gelten neue Richtlinien – sind Sie bereit?

Der EU AI Act nimmt Ge­ne­ral Purpose AI in die Pflicht – und Unter­neh­men gleich mit. Was Sie ab dem 2. Au­gust wis­sen sollten, um vor­be­rei­tet zu sein.

Hier erfahren Sie alles, was Sie über die neuen EU-AI-Act-Regelungen wissen müssen.

Die nächste Phase der KI-Regulierung beginnt
Während die ersten Bestimmungen des EU-KI-Gesetzes bereits seit Februar 2025 gelten, markiert der 2. August 2025 einen ent­schei­den­den Wen­de­punkt in der euro­pä­ischen KI-Re­gu­lierung. An diesem Tag treten um­fas­sen­de Be­stim­mun­gen für Ge­ne­ral Purpose AI-Mo­delle (GPAI) in Kraft – jene mächtigen KI-Sys­teme, die die Grund­lage für ChatGPT, Claude, Gemini und andere po­pu­läre KI-An­wen­dungen bilden.

Die Europäische Kommission hat bereits klargestellt: Es wird keine Ver­zö­ge­rungen geben.

Trotz Aufrufen der Industrie zu einer Pause bleibt der Zeitplan unverändert. Unter­neh­men müssen sich jetzt also tatsächlich vor­be­reiten.

Was passiert am 2. August 2025?

1. GPAI-Modelle unterliegen strengen Regelungen
Am 2. August werden Kapitel V des AI Act und die damit verbundenen Bestimmungen für General Purpose AI-Modelle vollständig wirk­sam. Dies betrifft sowohl die Anbieter dieser Modelle als auch deren nachgelagerte Nutzer.

2. Governance-Strukturen werden aktiviert
Das Europäische KI-Büro(AI Office) übernimmt die volle Aufsicht über GPAI-Modelle. Gleichzeitig müssen EU-Mit­glied­staaten ihre natio­nalen Aufsichts­be­hör­den benennen, die ab diesem Datum aktiv werden.

3. Sanktionen werden durchsetzbar
Während die Compliance-Pflichten bereits gelten, werden die Sanktionsmechanismen des AI Act erst ab dem 2. August voll­ständig an­wend­bar. Das bedeutet: Verstöße können dann auch tatsächlich bestraft werden.

GPAI-Modelle verstehen: Die Grundlage moderner KI

Was sind General Purpose AI-Modelle?
General Purpose AI (GPAI) Modelle sind laut EU-KI-Gesetz KI-Modelle, die

  • erhebliche Allgemeingültigkeit aufweisen.
  • kompetent eine breite Palette unter­schied­licher Aufgaben aus­führen können.
  • in verschiedene nachgelagerte Systeme oder Anwendungen inte­griert werden können.
  • unabhängig von der Art der Markteinführung funktionieren.

Einfacher ausgedrückt: GPAI-Modelle sind die »Schweizer Taschenmesser« der KI-Welt – vielseitig einsetzbare Systeme, die für un­zäh­lige An­wen­dungen genutzt werden können.

Bekannte Beispiele für GPAI-Modelle

Die bekanntesten GPAI-Modelle stammen von großen Tech-Unternehmen.

Text-basierte Modelle

  • OpenAI: GPT-4, ChatGPT
  • Anthropic: Claude (verschiedene Versionen)
  • Google: Gemini, PaLM
  • Meta: Llama-Familie
  • Mistral AI: Mistral-Modelle

Multimodale Modelle

  • OpenAI: GPT-4V (mit Bild­er­kennung)
  • Google: Gemini Ultra
  • Anthropic: Claude 3 (mit Bild­ver­ständnis)

Spezialisierte GPAI-Modelle

  • Stability AI: Stable Diffusion (Bild­ge­ne­rierung)
  • Runway: Gen-2 (Video­ge­ne­rierung)
  • Cohere: Command-Modelle

Die Unterscheidung: Anbieter vs. Nutzer

Wichtiger Hinweis:
Die meisten Unternehmen sind NICHT GPAI-Anbieter, sondern GPAI-Nutzer. Diese Unter­schei­dung ist ent­schei­dend für die Com­pliance-An­for­de­rungen!

GPAI-Anbieter sind

  • Unternehmen, die eigene Grund­modelle entwickeln und bereitstellen.
  • typischerweise große Tech-Konzerne mit erheblichen Res­sourcen.
  • weniger als 100 Unter­neh­men weltweit.

GPAI-Nutzer sind

  • Unternehmen, die fertige KI-Tools in ihre Arbeits­ab­läufe integrieren.
  • die überwiegende Mehrheit aller Unternehmen.
  • alle, die ChatGPT, Claude, Copilot etc. verwenden.

Neue Pflichten für GPAI-Anbieter –
und grund­le­gende Ver­pflich­tungen für alle GPAI-Anbieter

1. Technische Dokumentation

  • Detaillierte Beschreibung des Trainings- und Testprozesses.
  • Evaluationsergebnisse und Leistungsmetriken.
  • Architektur und Modell-Spezifikationen.

2. Informationspflichten

  • Bereitstellung von Nutzungs­an­lei­tungen für nach­ge­la­gerte Anbieter.
  • Erläuterung von Fähigkeiten und Limitationen.
  • Unterstützung für Compliance der Nutzer.

3. Urheberrechts-Compliance

  • Einhaltung der EU-Urheber­rechts­richtlinie.
  • Transparenz über verwendete Trainings­daten.
  • Respektierung von Urheberrechten.

4. Transparenz über Trainingsdaten

  • Veröffentlichung einer detaillierten Zusammenfassung der Trainings­inhalte.
  • Verwendung des von der Kommission bereitgestellten Templates.
  • Regelmäßige Aktualisierung bei Modell-Updates.

Verschärfte Anforderungen für »systemische« GPAI-Modelle
Besonders leistungsstarke GPAI-Modelle, die »systemische Risiken« darstellen, unter­liegen zu­sätz­lichen Ver­pflich­tungen.

Kriterien für systemische Risiken

  • Rechenleistung über 10²⁵ Gleit­komma­ope­ra­tionen (FLOPs) beim Training.
  • Modelle mit »hoch­wirk­samen Fähig­keiten« (nach Ein­schät­zung der Kommission).
  • Weitreichende Nutzung mit poten­ziel­lem gesell­schaft­lichem Einfluss.

Zusätzliche Pflichten

  • Modell-Evaluationen: Strukturierte Bewertung von Risiken und Fähigkeiten.
  • Adversarial Testing: Gezielte Tests auf Schwachstellen und Miss­brauchs­mög­lich­keiten.
  • Incident Reporting: Meldung schwer­wie­gender Vorfälle an das AI Office.
  • Cybersecurity: Angemessene Schutz­maß­nah­men gegen Cy­ber­an­griffe.
  • Risikomanagement: Kontinuierliche Bewertung und Min­de­rung syste­mi­scher Risiken.

Code of Practice: Der Compliance-Leitfaden

Um GPAI-Anbietern bei der Umsetzung zu helfen, hat die Euro­pä­ische Kom­mis­sion einen Code of Practice entwickelt.
Dieser

  • bietet konkrete Anleitungen zur Erfüllung der AI Act-An­for­de­rungen.
  • berücksichtigt internationale Ansätze und Best Practices.
  • wird regelmäßig aktualisiert, um technologische Ent­wick­lungen zu reflektieren.
  • ist freiwillig, aber Ab­wei­chungen müssen begründet werden.

Alternative Compliance
Anbieter können auch eigene Methoden entwickeln, müssen diese aber der Kom­mis­sion zur Genehmigung vorlegen.

KI-Kompetenz: Was »an­ge­mes­sene AI Literacy« wirk­lich bedeutet

Neben den GPAI-spezifischen Regelungen bleibt eine Ver­pflich­tung be­stehen, die bereits seit Februar 2025 gilt, aber oft miss­ver­stan­den wird: die KI-Kom­pe­tenz-Pflicht nach Artikel 4 des AI Act.

Die rechtliche Definition
Das EU-KI-Gesetz definiert »KI-Kompetenz« als

»Fähigkeiten, Wissen und Verständnis, die es Anbietern, Einsetzern und betroffenen Personen ermöglichen, unter Berücksichtigung ihrer jeweiligen Rechte und Verpflichtungen im Kontext dieser Verordnung, eine informierte Nutzung von KI-Systemen zu gewährleisten sowie Bewusstsein über die Chancen und Risiken der KI und mögliche Schäden zu erlangen.«

Wer ist verpflichtet?
Alle Anbieter und Anwender von KI-Systemen müssen sicherstellen, dass ihre Mitarbeitenden und Auftragnehmer:innen, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen.

Das betrifft praktisch jedes Unternehmen, das

  • ChatGPT, Claude, Copilot oder ähnliche Tools nutzt.
  • KI-gestützte Software einsetzt.
  • Automatisierte Entscheidungssysteme verwendet.
  • KI in Geschäftsprozessen integriert hat.

Die drei Kompetenz-Dimensionen

1. Wissen (Knowledge)

  • Faktisches Verständnis über KI-Technologien
  • Kenntnis der genutzten KI-Systeme
  • Bewusstsein für Funktionsweise und Grenzen

2. Verständnis (Understanding)

  • Comprehension der Zu­sam­men­hänge und Aus­wir­kungen
  • Fähigkeit zur kontextuellen Einordnung
  • Erkennen von Risiken und Chancen

3. Fähigkeiten (Skills)

  • Praktische Anwendungskompetenz
  • Sichere und effektive Nutzung
  • Kritische Bewertung von KI-Ausgaben

Kontextspezifische Anforderungen

Die erforderliche KI-Kompetenz hängt von mehreren Faktoren ab:

Rolle und Verantwortung

  • HR-Mitarbeitende: Müssen Bias-Risiken bei KI-gestützter Per­so­nal­aus­wahl verstehen.
  • Marketing-Teams: Benötigen Kennt­nisse über Urheber­recht bei KI-generierten Inhalten.
  • Führungskräfte: Sollten strategische Implikationen und Governance-Aspekte kennen.
  • IT-Personal: Braucht technisches Verständnis für Implementierung und Sicherheit.

Art der genutzten KI-Systeme

  • Einfache Tools: Grundverständnis ausreichend.
  • Hochrisiko-Systeme: Vertiefte Kennt­nisse erforderlich.
  • Kritische Anwendungen: Spe­zia­li­sierte Schu­lun­gen notwendig.

Betroffene Personengruppen

  • Systeme mit Auswirkungen auf Kundinnen und Kunden erfordern höhere Kompetenz.
  • Interne Tools haben geringere Anforderungen.
  • Öffentlich zugängliche Systeme brauchen besondere Sorgfalt.

Praktische Umsetzung der KI-Kompetenz

Was Unternehmen jetzt tun sollten:

1. Bestandsaufnahme

  • Identifikation aller verwendeten KI-Systeme
  • Mapping der betroffenen Mit­ar­bei­tenden und Rollen
  • Bewertung des aktuellen Kompetenzstands

2. Bedarfsanalyse

  • Ermittlung spezifischer Schulungs­bedarfe
  • Priorisierung nach Risiko und Verantwortung
  • Definition von Lernzielen

3. Schulungsprogramm entwickeln

  • Grundschulung für alle KI-Nutzenden
  • Rollenspezifische Module je nach Funktion
  • Regelmäßige Updates bei technologischen Entwicklungen

4. Dokumentation

  • Nachweis aller Schulungsmaßnahmen
  • Teilnahmebestätigungen und Kompetenznachweise
  • Kontinuierliche Erfolgsmessung

Compliance ohne Überforderung

Die gute Nachricht: Das Gesetz verlangt ver­hält­nis­mä­ßige Maß­nahmen. Kleine Unter­neh­men, die nur einfache KI-Tools nutzen, müssen keine auf­wen­digen Trainings­pro­gramme entwickeln.

Empfohlener Mindeststandard

  • Grundschulung für alle KI-User
  • Aufbaumodule für spezielle Rollen
  • Halbjährliche Updates zu neuen Entwicklungen
  • Dokumentierte Richtlinien für den KI-Einsatz


Auswirkungen auf verschiedene Unter­neh­mens­typen:

Für die meisten Unternehmen (KI-User)

Sofortige Maßnahmen erforderlich

  • Implementierung von KI-Schulungen (seit Februar 2025 verpflichtend)
  • Entwicklung interner KI-Nutzungs­richt­linien
  • Dokumentation aller KI-bezogenen Aktivitäten

Mittelfristige Vorbereitung

  • Beobachtung der GPAI-Ent­wick­lungen
  • Bewertung genutzter KI-Tools auf Compliance
  • Vorbereitung auf weitere AI Act-Phasen (2026 / 2027)

Für Technologie-Unternehmen

Besondere Aufmerksamkeit erforderlich für

  • Unternehmen, die KI-Funk­tio­nen in ihre Produkte integrieren
  • Software-as-a-Service-Anbieter mit KI-Features
  • Unternehmen, die eigene KI-Lö­sun­gen entwickeln

Mögliche Einstufung als GPAI-Anbieter bei

  • Entwicklung von Foundation Models
  • Bereitstellung von KI-APIs für Dritte
  • Wesentlichen Modifikationen be­ste­hender GPAI-Modelle

Für GPAI-Anbieter

Ab 2. August 2025 vollständig compliance-pflichtig

  • Sofortige Implementierung aller GPAI-An­for­de­rungen
  • Registrierung bei den zu­stän­di­gen Behörden
  • Kontinuierliche Überwachung und Be­richt­er­stattung

Sanktionen und Durchsetzung / Strafrahmen des AI Act

Das EU-KI-Gesetz sieht gestaffelte Sanktionen vor:

Für verbotene AI-Praktiken

  • Bis zu 35 Millionen € oder 7 % des welt­wei­ten Jahres­um­satzes.

Für GPAI-Verstöße

  • Bis zu 15 Millionen € oder 3 % des welt­wei­ten Jahres­um­satzes.

Für andere Compliance-Verstöße

  • Bis zu 7,5 Millionen € oder 1,5 % des welt­wei­ten Jahres­um­satzes.

Besonderheit bei KI-Kompetenz

Wichtige Klarstellung: Für Verstöße gegen die KI-Kompetenz-Pflicht (Artikel 4) sind keine direkten Buß­gelder vor­ge­sehen.
Jedoch können sich daraus andere Risiken ergeben:

  • Zivilrechtliche Haftung bei Schäden durch ungeschulte Mit­ar­bei­tende
  • Reputationsschäden bei be­hörd­li­chen Unter­su­chungen
  • Verschärfte Sanktionen bei anderen AI Act-Verstößen

Durchsetzung ab August 2025

Ab dem 2. August 2025 beginnt die aktive be­hörd­liche Durch­set­zung, da zu diesem Zeit­punkt

  • nationale Auf­sichts­be­hörden benannt sein müssen.
  • sanktionsmechanismen vollständig anwendbar werden.
  • das AI Office seine volle Auf­sichts­funktion übernimmt.


Fazit: Jetzt handeln, und nicht mehr abwarten!

Der 2. August 2025 markiert einen Wende­punkt in der glo­ba­len KI-Re­gu­lierung. Während sich die kom­plexes­ten An­for­de­rungen an die großen GPAI-An­bieter richten, sind alle Un­ter­nehmen, die KI nutzen, von den Be­stim­mungen be­troffen.

------------------------------------------

📌 Vielleicht auch interessant:
Wer sich bei Prozessoptimierung, API-Strategien und verantwortungsvoller KI auf hey-i verlässt, wird das Thema Führung nicht aus­klam­mern wollen.

Hier lohnt auch ein Blick auf das, was darüber hinaus wirkt – etwa wenn es um Füh­rungs­fragen im KI-Zeitalter geht. Ob auf Kongressen, als Keynote auf dem Podium oder als Work­shop im Füh­rungs­team – wir schaffen Räume für Pers­pektiv­wech­sel, Klar­heit und kluge Ent­schei­dungen. Denn: Eine starke Füh­rung prägt den Umgang mit KI – und nicht um­ge­kehrt. 😉

Zurück

Sie wollen noch näher am KI Universum sein?
Dann ist unser hey-i Newsletter genau das Richtige für Sie!

Wir geben kuratierten Input, teilen unser Insiderwissen und zeigen die neuesten Anwendungen und die wirklich relevanten Prompts & Tools.

Kostenlos. Inspirierend. Alle 2 Wochen neu.

👉 hey-i Newsletter abonnieren