Der 2. August 2025 markiert ein weiteres wichtiges Datum für Künstliche Intelligenz in Europa. Während bereits seit dem 2. Februar 2025 erste Bestimmungen zu verbotenen KI-Praktiken und zur Pflicht zum Aufbau von KI-Kompetenz gelten, gelten nun im Rahmen eines kaskadierten Geltungsbeginns weitere zentrale Bestimmungen.
Im Fokus stehen die Anbieter von sog. General Purpose AI-Models (GPAI-Models). Zudem ist die Anwendbarkeit umfassender Bußgeldvorschriften sowie die Operationalisierung der Überwachungsstrukturen besonders beachtenswert.
Mehrschichtiges Überwachungssystem
Das neu etablierte EU AI Office erhält umfassende Kompetenzen für die Überwachung von General-Purpose AI-Modellen und fungiert als zentrale Koordinierungsstelle für die europaweite Durchsetzung. Parallel dazu übernehmen nationale Marktüberwachungsbehörden die Kontrolle sektorspezifischer KI-Anwendungen.
Deutsche Umsetzung stockt: Kritik zu Recht
In Deutschland wird wohl die Bundesnetzagentur in Koordination mit branchenspezifischen Aufsichtsbehörden diese Rolle übernehmen. Allerdings hat die Bundesregierung die bis zum 2. August 2025 geltende Frist zur Benennung zuständiger Marktüberwachungsbehörden verstreichen lassen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) machte in einer Pressemitteilung vom 31. Juli 2025 auf dieses Versäumnis aufmerksam und appellierte an die Bundesregierung, die erforderlichen Behörden nun zügig zu benennen. Diese Kritik verdient Zustimmung, da Unternehmen verbindliche Ansprechpartner für KI-Verordnungsfragen fehlen.
Während die KI-Verordnung bereits definiert, dass Datenschutzaufsichtsbehörden für Hochrisiko-KI-Systeme in grundrechtssensiblen Bereichen wie Strafverfolgung und Migration zuständig sind, bleiben andere Zuständigkeiten ungeklärt. Diese unklare Situation schafft für bundesweit tätige Unternehmen erhebliche zusätzliche Komplexität bei der Compliance-Umsetzung.
Umfassende Regelungen für General-Purpose AI-Modelle
Anbieter von KI-Modellen mit allgemeinem Verwendungszweck stehen vor grundlegend neuen Compliance-Verpflichtungen. Die Regelungen erfassen vor allem die bekannten Large Language Models (LLM) der großen Technologiekonzerne, die Systemen wie ChatGPT, Claude.ai oder Gemini zugrunde liegen.
Zentrale Pflichten umfassen die Erstellung umfassender technischer Dokumentationen, die kontinuierliche Aktualisierung von Transparenzberichten sowie die Implementierung spezieller Sicherheitsmaßnahmen. Besonders kritisch sind dabei urheberrechtliche Aspekte, da Anbieter nachweisen können müssen, dass ihre Trainingsdaten rechtmäßig erworben wurden und technische Schutzmaßnahmen respektiert haben. Dies könnte eine Chance für deutsche bzw. europäische KI-Startups sein, die von Beginn diese Anforderungen bei der Entwicklung mitberücksichtigen.
Für Modelle mit systemischem Risiko – solche, die besonders hohe Rechenleistung erfordern – gelten erweiterte Pflichten, einschließlich Meldepflichten an die EU-Kommission und strukturierte Sicherheitsevaluierungen.
Verhaltenskodex für GPAI-Modell-Anbieter
Die EU-Kommission hat einen detaillierten Verhaltenskodex für GPAI-Anbieter entwickelt, der zwar formal freiwillig ist, faktisch aber erheblichen Compliance-Druck erzeugt. Unternehmen, die den Kodex unterzeichnen, profitieren von reduzierten Verwaltungslasten und erhöhter Rechtssicherheit. Wer sich gegen eine Unterzeichnung entscheidet, muss alternative Compliance-Verfahren entwickeln, die einer gesonderten Prüfung durch die Kommission unterliegen.
Anbieter wie Google, OpenAI und Mistral haben bereits ihre Bereitschaft zur Unterzeichnung signalisiert, während Meta Bedenken hinsichtlich innovationshemmender Auswirkungen äußerte.
Transparenz- und Offenlegungspflichten in der Praxis
Die neuen Transparenzbestimmungen treffen hingegen eine Vielzahl von Unternehmen unmittelbar in ihren Kundenbeziehungen. Das bedeutet, dass Unternehmen, die als Betreiber KI-gestützte Interaktionssysteme – von Website-Chatbots bis hin zu automatisierten Kundenservice-Lösungen – einsetzen, künftig eindeutig diese KI-Systeme als solche kennzeichnen müssen. Die Offenlegung muss dabei direkt im System erfolgen. Begrüßenswert wäre, wenn sich hierfür Best Practices durchsetzen und nicht weitere Banner beim Besuch der Website eingeblendet werden.
Gleiches gilt für KI-generierte oder manipulierte Inhalte. Sogenannte Deepfakes müssen explizit als künstlich erzeugt gekennzeichnet werden. Diese Pflicht erfasst sowohl kommerzielle als auch private Anwendungen und kann erhebliche Auswirkungen auf Marketing- und Kommunikationsstrategien haben.
Bußgeldrahmen
Die KI-Verordnung etabliert ein differenziertes Sanktionssystem mit drastischen finanziellen Konsequenzen. Verstöße gegen Verbote können Bußgelder von bis zu 7 % des weltweiten Jahresumsatzes nach sich ziehen – eine Sanktionshöhe, die selbst die DSGVO übertrifft. Verstöße gegen spezifische Pflichten wie Dokumentations- oder Transparenzanforderungen können mit bis zu 3 % des Jahresumsatzes geahndet werden.
Selbst die Bereitstellung falscher oder unvollständiger Informationen an Aufsichtsbehörden kann bereits Bußgelder von bis zu 1 % des Jahresumsatzes zur Folge haben. Für mittelständische Unternehmen können bereits die reduzierten Höchstbeträge existenzbedrohend wirken.
Synergetische Compliance-Anforderungen
Die Überschneidung der Regelungsregime (KI-VO und Datenschutzrecht) erfordert KI-Governance-Strukturen, die nahtlos mit bestehenden Datenschutz-Compliance-Mechanismen verzahnt sind. Isolierte Betrachtungen einzelner Rechtsgebiete greifen zu kurz und sind in Anbetracht der vielen Digitalrechtsakte auf Sicht nicht ressourcenschonend. Dabei geht es nicht nur um die Benennung von Verantwortlichen, sondern um die Etablierung systematischer Prozesse für kontinuierliche Compliance-Überwachung und proaktive Risikobewertung.
Erforderlich sind interdisziplinäre Teams, die technische und rechtliche Expertise kombinieren. Die rasante technologische Entwicklung macht dabei regelmäßige Reviews und Anpassungen der internen Prozesse unumgänglich.
Ausblick: Kontinuierliche Transformation der Compliance-Strategien
Die Ereignisse des 2. August 2025 sind nur der Beginn einer mehrjährigen Transformationsphase. Der Großteil der Hochrisiko-KI-Bestimmungen wird erst ab August 2026 vollständig anwendbar, weitere spezifische Regelungen folgen bis 2027. Diese gestaffelte Umsetzung ermöglicht es Unternehmen, ihre Compliance-Strategien zu entwickeln und von den Erfahrungen anderer Marktteilnehmer zu profitieren.
Gleichzeitig zeigt die internationale Beachtung der europäischen Regelungen, dass ähnliche Regulierungsansätze in anderen Jurisdiktionen zu erwarten sind. Unternehmen, die frühzeitig robuste KI-Governance-Strukturen entwickeln, werden nicht nur europäische Compliance-Anforderungen erfüllen, sondern sich auch strategische Vorteile für globale Märkte sichern.
Anwälte mit einem derartigen Beratungsfokus werden neben der KI selbst gute Zukunftsaussichten haben.
![Erbrecht im Gespräch: Kurze[s] Update: #21 Ehegatten: Testament oder Erbvertrag? – mit Dr. Markus Sikora](https://anwaltspraxis-magazin.de/wp-content/uploads/2025/11/Erbrecht-im-Gespraech-21-1024x536.jpeg)
