Fast genau ein halbes Jahr ist es her, dass wir Ihnen an dieser Stelle die erste Phase der KI-Verordnung (KI-VO) vorstellten. Nun, im Sommer, genauer am 2. August 2025, startet die zweite Phase.
Kurz zur Erinnerung: Die KI-VO ist bereits in Kraft getreten, gilt grundsätzlich ab dem 2. August 2026 und entfaltet ihre Wirkung bis dahin phasenweise. Das bedeutet, dass manche Regelungen bereits jetzt zu berücksichtigen sind, manche erst ab Sommer 2026, vereinzelte Normen sogar erst ab August 2027.
Was muss beachtet werden?
Wie genau die Regelungen der KI-VO nach und nach „scharf geschaltet“ werden, regelt Art. 113 KI-VO. In der nun bevorstehenden zweiten Phase sind gemäß Art. 113 Abs. 3 lit. b KI-VO fortan folgende Verordnungsinhalte zu beachten:
- Kapitel III Abschnitt 4 (Artt. 28 bis 39 KI-VO) – Notifizierende Behörden und notifizierte Stellen: Die Mitgliedstaaten müssen notifizierende Behörden benennen, die für die Bewertung, Benennung und Überwachung von Konformitätsbewertungsstellen für Hochrisiko-KI-Systeme zuständig sind. Weiter wird u. a. festgelegt, wie sich Stellen als Konformitätsbewertungsstelle bewerben können (Notifizierungsverfahren).
- Kapitel V (Artt. 51 bis 56 KI-VO) – KI-Modelle mit allgemeinem Verwendungszweck („KI-Modelle, die […] eine erhebliche allgemeine Verwendbarkeit aufweisen und in der Lage sind, unabhängig von der Art und Weise ihres Inverkehrbringens ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, und die in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden können […]“, Art. 3 Nr. 63 KI-VO): Hier werden die Kriterien festgelegt, nach denen KI-Modelle für allgemeine Zwecke (auch „General Purpose AI Models“ oder „GPAI Models)“, genutzt werden dürfen, insbesondere mit dem Fokus auf Anbieterpflichten, Transparenzvorgaben, Risikomanagement und die besonderen Anforderungen an KI-Modelle mit systemischem Risiko (Art. 3 Nr. 66 KI-VO).
- Kapitel VII (Artt. 64 bis 70 KI-VO) – Governance: Hier wird normiert, welche Gremien auf Unionsebene (u. a. das Büro für Künstliche Intelligenz der Europäischen Kommission, das KI-Gremium zur Beratung der Europäischen Kommission) eingerichtet werden. Daneben müssen die Mitgliedstaaten nun u. a. festlegen, welche Behörde auf nationaler Ebene als Marktüberwachungsbehörde für die Umsetzung, Überwachung und Durchsetzung der KI-VO zuständig ist.
- Kapitel XII (Artt. 99 bis 101 KI-VO) – Sanktionen: Mit der Benennung zuständiger Aufsichtsbehörden erlangen auch die Regelungen zur Verhängung von Sanktionen Geltung. Vorgesehene Sanktionen, zu denen neben Bußgeldern auch Verwarnungen und nichtmonetäre Maßnahmen gehören können, müssen gemäß Art. 99 Abs. 1 S. 2 f. KI-VO wirksam, verhältnismäßig und abschreckend sein und sollen die Interessen sowie das wirtschaftliche Interesse von kleinen und mittleren Unternehmen (KMU), einschließlich Start-ups, berücksichtigen.
- Art. 78 KI-VO – Vertraulichkeit: Der Verordnungsgeber normiert in Art. 78 KI-VO die Zusage, dass im Zuge der Anwendung und Durchsetzung der KI-VO notwendigerweise verarbeitete Informationen mit der gebotenen Vertraulichkeit behandelt werden, sodass insbesondere der Schutz von sensiblen Informationen wie Geschäftsgeheimnissen oder Sicherheitsinteressen stets gewahrt wird.
Was ist für die Praxis relevant?
Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (z. B. Anbieter bekannter Sprachmodelle aus der GPT- oder Llama-Reihe oder Anbieter von Modellen, die für Bild-, Audio- oder Videogenerierung eingesetzt werden) müssen nunmehr formell die in den Artt. 53, 55 KI-VO normierten Pflichten erfüllen. Vor Kurzem veröffentlichte die Europäische Kommission Leitlinien zum Umfang der Verpflichtungen. Die Leitlinien, die den ebenfalls kürzlich veröffentlichten KI-Verhaltenskodex ergänzen, sind hierbei nicht rechtsverbindlich, sollen aber für mehr Klarheit sorgen, wie die Pflichten aus Sicht der Europäischen Kommission umgesetzt werden sollen.
Für die meisten Unternehmen dürften aber vor allem die Sanktionstatbestände und die entsprechende Verfolgung durch die nunmehr festzulegenden nationalen Aufsichtsbehörden von großem Interesse sein.
In Deutschland zeichnete sich hinsichtlich der Zuständigkeit in der Vergangenheit ein Zweikampf zwischen der Bundesnetzagentur und den datenschutzrechtlichen Aufsichtsbehörden ab. Letztere verweisen auch in Bezug auf die KI-VO u. a. auf ihre Landeskompetenz und logische Schnittmengen zwischen den Datenschutzvorschriften und der KI-VO, sodass aus ihrer Sicht eine Bündelung der Zuständigkeiten in einer (Datenschutz-)Behörde mehr Klarheit und Rechtsicherheit schaffen würde. Erste Stellungnahmen der Bundesregierung aus dem Herbst 2024 lassen jedoch darauf schließen, dass eine Zersplitterung der Aufsichtskompetenz (wie im Datenschutzrecht) vermieden werden soll. Ausführungen im Referentenentwurf eines Durchführungsgesetzes zur KI-VO sehen u. a. deshalb die Bundesnetzagentur als Marktaufsichtsbehörde vor.
Bis dato ist eine finale Entscheidung der neuen Regierung noch nicht veröffentlicht geworden. Es ist damit zu rechnen, dass das entsprechende Gesetzgebungsverfahren auch nicht vor dem 2. August 2025 abgeschlossen werden kann. Grund hierfür ist der vorgezogene Regierungswechsel und die damit verbundene Neubetrachtung des Referentenentwurfs.
Was ist zu tun?
Unternehmen, die jetzt schon auf KI-Systeme setzen, diese z. B. anbieten, sehen sich durch die zusätzlichen neu geltenden Vorschriften weiteren Anforderungen der KI-VO ausgesetzt. Unerlässlich bleibt daher eine umfassende rechtliche Betrachtung des jeweiligen Einsatzes von künstlicher Intelligenz, die nicht nur das KI-System als solches betrifft, sondern auch die eigene Rolle und ggf. bestehende Anschlusspflichten, die an die Rolle anknüpfen. Dass nunmehr auch (bald in Deutschland) festgelegte Aufsichtsbehörden Sanktionen erlassen können, wird die Notwendigkeit eines funktionalen KI-Implementierungs- und Einsatzprozesses zudem deutlich erhöhen. Unternehmen sind gut beraten, aufkommende KI-Themen bereits jetzt sorgfältig zu prüfen und notwendige Maßnahmen abzuleiten.