Die EU-KI-Verordnung trat im August 2024 in Kraft und bringt einen schrittweisen Umsetzungszeitplan für Unternehmen, die KI-Produkte entwickeln, verwenden oder importieren. Je nach Risikostufe und Rolle in der Lieferkette gelten unterschiedliche Fristen für die Einhaltung der Vorschriften. Hier finden Sie eine Aufschlüsselung der wichtigsten Daten.
Der Zeitplan für die EU-KI-Verordnung: Wer hat welche Frist, um die Vorschriften zu erfüllen?
Die EU-KI-Verordnung hat einen gestaffelten Umsetzungszeitplan. Einige Unternehmen haben noch bis 2027 Zeit, um die neuen Anforderungen umzusetzen. Andere müssen schon 2026 compliant sein, während neue KI-Entwickler die Auswirkungen bereits im August 2025 spüren werden.
Um zu wissen, welche Frist für Sie gilt, sollten Sie drei Faktoren berücksichtigen:
- Die Rolle Ihres Unternehmens in der KI-Lieferkette (sind Sie ein Anbieter, ein Bereitsteller oder eine andere Art von Betreiber)
- Das Risikoniveau Ihres KI-Systems
- Für Anbieter: Ist Ihr KI-System bereits auf dem Markt verfügbar oder wird es erst nach August 2025 verfügbar sein?
Welche Rolle spielen Sie in der KI-Lieferkette?
Unternehmen haben unterschiedliche Verantwortlichkeiten und Fristen, je nachdem, ob sie ein KI-System entwickeln, nutzen oder importieren. Der Sammelbegriff für jeden an der Lieferkette Beteiligten ist "Akteur”. Aufgeschlüsselt in spezifischere Rollen können die Akteure unterteilt werden in:
Anbieter
Anbieter entwickeln das KI-System. Stellen Sie sich für diesen Fall zum Beispiel ein Unternehmen vor, das KI entwickelt, um große Teile der Transaktionsüberwachung einer Bank zu automatisieren und vorausschauende Analysen anzubieten.
Betreiber
Betreiber nutzen KI-Systeme. In Anlehnung an das vorherige Beispiel wäre eine Bank oder ein anderes Finanzinstitut, das die KI kauft und nutzt, ein Betreiber.
Einführer
Einführer bringen ein KI-System unter dem Namen oder der Marke eines anderen Unternehmens mit Sitz außerhalb der Europäischen Union in die EU ein.
Händler
KI-Vertriebspartner sind keine Anbieter oder Importeure, spielen aber dennoch eine Rolle bei der Bereitstellung von KI-Systemen auf dem Markt.
Welches Risiko ist mit der KI verbunden?
Die EU-KI-Verordnung ordnet die verschiedenen Arten von KI nach einem vierstufigen Risikosystem:
- Minimales Risiko: KI-Systeme, die ein geringes bis gar kein Risiko bergen, die Rechte des Einzelnen zu verletzen, z. B. Chatbots oder Inhaltsempfehlungen.
- Begrenztes Risiko: In diese Kategorie fallen General Purpose AI (GPAI)-Systeme. Für Akteure in dieser Risikokategorie gelten geringere Transparenzanforderungen, wenn ihre KI nicht das Potenzial hat, die öffentliche Gesundheit, die Grundrechte oder die Gesellschaft negativ zu beeinflussen.
- Hohes Risiko: Diese KI-Systeme werden am strengsten geprüft, bevor sie auf dem Markt zugelassen werden. Bei unsachgemäßem Einsatz können sie erhebliche Folgen für den Einzelnen haben.
- Unvertretbares Risiko: Ab Februar 2025 verbietet die EU-KI-Verordnung KI-Systeme, die die Sicherheit von Menschen gefährden könnten.
Ist die KI bereits auf dem Markt?
Wenn ein KI-System bereits auf dem Markt ist, haben die Betreiber mindestens bis 2026 Zeit, die EU-KI-Verordnung einzuhalten. Alle GPAI-Produkte, die nicht vor August 2025 auf den Markt kommen, müssen die neue Verordnung ab August 2025 einhalten.
Der Zeitplan für die EU-KI-Verordnung: Welches sind die wichtigsten Termine für Ihr Unternehmen?
Unter Berücksichtigung dieser verschiedenen Faktoren gibt es drei Fristen, die für Sie gelten könnten:
- August 2025: Für Anbieter, deren GPAI-System noch nicht auf dem Markt ist
- August 2026: Für Akteure von KI-Systemen mit hohem Risiko
- August 2027: Für Akteure von GPAI-Systemen, die bereits auf dem Markt sind
Szenario #1: Anbieter von neuen GPAI-Systemen
Haupttermin: August 2025
KI-Systeme für allgemeine Zwecke, die nach dem 2. August 2025 auf den Markt kommen, müssen den Bestimmungen des Gesetzes entsprechen.
Zum Zeitpunkt der Erstellung dieses Artikels arbeitet das neu eingerichtete KI-Büro für Künstliche Intelligenz an einem Verhaltenskodex für GPAI, der zusätzliche Orientierungshilfe bieten soll.
Darüber hinaus sollten die Mitgliedstaaten ab dem 2. August 2025 festgelegt haben, welche Behörden zu benachrichtigen sind. Wenn Ihr Unternehmen ein Betreiber von GPAI ist, der bereits auf dem Markt ist, läuft die Frist bis 2027.
Szenario #2: Akteure von KI-Systemen mit hohem Risiko
Haupttermin: August 2026
Ab August 2026 müssen Betreiber von KI-Systemen, die das Potenzial haben, erhebliche Folgen für Einzelpersonen mit sich zu bringen, die EU-KI-Verordnung einhalten.
So werden beispielsweise Modelle, die in Bereichen wie Biometrie, kritische Infrastrukturen, Bildung, Beschäftigung oder öffentliche Dienste eingesetzt werden, genauer unter die Lupe genommen.
Diese Kategorie kann sehr weit gefasst sein, weshalb sich die Europäische Kommission vorgenommen hat, bis Februar 2026 detailliertere Leitlinien und Beispiele zu liefern.
Szenario #3: GPAI-Akteure, deren KI-System bereits auf dem Markt ist
Haupttermin: August 2027
Ab dem 2. August 2027 wird die EU-KI-Verordnung für alle anwendbar. Die einzige Ausnahme wären größere IT-Systeme, die in den Bereichen Freiheit, Sicherheit und Recht innerhalb der EU eine Rolle spielen.
Dies ist auch die letzte Frist für Betreiber von KI-Modellen für allgemeine Zwecke, die bereits vor August 2025 im Einsatz waren.
Die Zuständigkeiten in der EU-KI-Verordnung: Wer muss was bis zu seinem Stichtag tun?
Verpflichtungen für Anbieter
Ähnlich wie die Risikostufe eines KI-Systems die endgültigen Fristen für die Einhaltung der Vorschriften bestimmt, legt sie auch fest, welche Schritte die Anbieter unternehmen müssen.
Anbieter von GPAI-Systemen müssen für technische Dokumentation, Transparenz, menschliche Aufsicht, Überwachung nach dem Inverkehrbringen und die Minderung systemischer Risiken sorgen.
Bei Systemen mit hohem Risiko sind die Verpflichtungen weitaus umfangreicher, worauf unsere Compliance-Experten in diesem Artikel eingehen.
Verpflichtungen für Betreiber
Während die Anbieter eine große Verantwortung für die Sicherheit von KI-Systemen tragen, spielen auch die Betreiber eine Rolle bei der ordnungsgemäßen Implementierung und Beaufsichtigung der Systeme.
Sie sind zwar nicht der KI-Anbieter, aber sie sind trotzdem dafür verantwortlich, wie das System genutzt wird. Die Betreiber müssen unter anderem die Datenqualität im Auge behalten, ihre Mitarbeitenden im richtigen Umgang mit der KI schulen und überwachen, ob alles wie vorgesehen funktioniert.
Pflichten von Einführern und Händlern
Einführer und Händler haben die Aufgabe zu überprüfen, ob das System, das sie auf den EU-Markt bringen, tatsächlich mit der EU-KI-Verordnung konform ist.
Das bedeutet, dass sie sich vergewissern müssen, ob der Anbieter wichtige Schritte unternommen hat, wie z. B. die Durchführung einer Konformitätsbewertung, die Bereitstellung technischer Unterlagen, den Erwerb der europäischen Konformitätskennzeichnung und vieles mehr.
Diese Akteure müssen auch sicherstellen, dass die Konformität nicht durch die Lagerung und den Transport des KI-Systems beeinträchtigt wird. Darüber hinaus müssen sie den zuständigen Behörden einschlägige Informationen zur Verfügung stellen und Aufzeichnungen zehn Jahre lang aufbewahren.
Die Einhaltung der EU-KI-Verordnung erreichen: Verfolgung der nächsten Schritte
Während die EU-Kommission mit den Mitgliedstaaten zusammenarbeitet, um die Melde- und Überwachungsinfrastruktur der EU-KI-Verordnung bis August 2025 aufzubauen, müssen sich Unternehmen auf mehrere Schlüsselbereiche konzentrieren: Einrichtung eines Risikomanagementsystems, Umsetzung von Data-Governance-Maßnahmen, Erstellung technischer Unterlagen, Pflege von Aufzeichnungen, Erstellung detaillierter Anweisungen und mehr.
Jeder Fahrplan zur Einhaltung der Vorschriften ist sehr kontextabhängig und wird von Unternehmen zu Unternehmen unterschiedlich aussehen. Machen Sie sich mit den Details vertraut, indem Sie unseren ultimativen Leitfaden zu der EU-KI-Verordnung lesen.