Es ist offiziell - Der EU AI Act ist da – Wer jetzt handeln sollte

Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz) (im Folgenden der Einfachheit halber „AI Act“ genannt) wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht. Alle Mitgliedstaaten wurden unabhängig von der medialen Berichterstattung über den Inhalt informiert. 20 Tage später ist die Verordnung damit in Kraft getreten. Aufgrund der unterschiedlichen Gegenstände, die der AI Act behandelt, gelten auch unterschiedliche Zeiträume für die endgültige Anwendung, mit dem Inkrafttreten beginnen die Übergangsfristen, siehe Artikel 113.

Im Folgenden werden erst die relevanten Daten für staatliche Stellen genannt und dann die Fristen für Anbieter, Betreiber und Großsysteme von KI-Systemen erklärt. Zuletzt werden allgemein geltende Regeln und Fristen beleuchtet.

Staatliche Stellen sind gefordert

Bevor sich jedoch die ersten Betroffenen auf den AI Act berufen können, müssen eine Reihe von Voraussetzungen geschaffen werden. Auch diese Verfahren unterliegen Fristen, wie sie im AI Act beschrieben sind. Art. 77 Abs. 2 sieht vor, dass alle Mitgliedstaaten der EU bis zum 02.11.2024 Einrichtungen oder Stellen benennen müssen, die für das jeweilige Mitgliedsland den Grundrechtsschutz wahrnehmen.

Die Europäische Kommission hat bis zum 02.05.2025 Zeit, Verhaltenskodizes für die gesamte Union zu erlassen und dabei auch internationale Ansätze zur ordnungsgemäßen Anwendung der Verordnung zu berücksichtigen, heißt es in Artikel 56 Absatz 9 und Erwägungsgrund 179.

Der 02.08.2025 ist ein sehr zentrales Datum. Erstmals müssen alle EU-Mitgliedstaaten der Kommission über den Stand der Umsetzung durch die nationalen Behörden berichten und dies ab diesem Zeitpunkt alle zwei Jahre wiederholen (vgl. Artikel 70 Absatz 6). Mit diesem Bericht ist auch die Veröffentlichung der für die Marktüberwachung und die Notifizierung zuständigen Stellen verbunden (Artikel 70 Absatz 2). In diesem Zuge wurden auch die festgelegten Sanktions- und Bußgeldvorschriften veröffentlicht (vgl. wiederum Erwägungsgrund 179). Ebenfalls erstmals (und danach jährlich wiederkehrend) zum Jahrestag des Inkrafttretens erfolgt die Überprüfung und ggf. Änderung der von den verbotenen Praktiken erfassten Anwendungsfälle ( siehe Art. 112 Abs. 1) durch die Kommission. Schließlich ist eine Regelung für den Fall vorgesehen, dass der Verhaltenskodex bis zu diesem Zeitpunkt nicht fertiggestellt werden konnte (Artikel 56 Absatz 9).

Bis zum 02.02.2026 hat die Europäische Kommission Zeit, Leitlinien für die praktische Umsetzung für Hochrisikoanwendungen vorzulegen, sowie deren Einhaltung nach dem Inverkehrbringen sicherzustellen ( siehe Artikel 6 Absatz 5, Artikel 72 Absatz 3).

Am 02.08.2026 müssen die Mitgliedstaaten nach Artikel 57 Absatz 1 mindestens eine funktionsfähige KI-Sandbox nachweisen.

Im Jahr 2027 gibt es keine weiteren Termine, die für die öffentliche Hand gelten, auch das erste Halbjahr ist in dieser Hinsicht ruhig. Wie 2025 ist aber auch der 02.08.2028 ein wichtiges Datum. Die Kommission wendet sich dem AI Office zu und überprüft dessen Arbeitsweise (siehe Artikel 112 Absatz 5). Auch die Wirksamkeit der freiwilligen Verhaltensregeln wird überprüft (Artikel 112 Absatz 7 und Erwägungsgrund 174). Darüber hinaus erfolgt erstmals (und danach alle vier Jahre) eine Überprüfung im Hinblick auf notwendige Änderungen der Sachgebietsüberschriften in Anhang III ( also welche Branchen oder Anwendungsfälle grundsätzlich in den Hochrisikobereich fallen), der in Artikel 50 festgelegten Liste der KI-Systeme, die zusätzliche Transparenzmaßnahmen erfordern, sowie des gesamten Aufsichts- und Governance-Systems (siehe Artikel 112 Absatz 2 sowie Erwägungsgrund 174). Artikel 112 Absatz 6 und Erwägungsgrund 174 sehen zudem vor, dass die Kommission auch über die Ergebnisse der Normung, insbesondere im Hinblick auf die energieeffiziente Entwicklung von KI-Modellen, Bericht erstattet.

Zum ersten Mal (danach alle vier Jahre) am 02.08.2029 darf die Kommission in kleiner Runde dem Europäischen Parlament und dem Rat über den AI Act berichten und die ihre Einschätzung vorlegen (vgl. Artikel 112 Absatz 3 sowie Erwägungsgrund 174). Zwei Jahre später, am 02.08.2031, erfolgt eine erneute, aktualisierte Evaluierung, in diesem Fall aber nicht nur durch Rat und Parlament, sondern auch durch den Europäischen Wirtschafts- und Sozialausschuss (Artikel 112 Absatz 13).

Ausgelassen in dieser Darstellung sind die Fristen bezüglich Befugnissen beziehungsweise Befugnisübertragungen.

Auch für Anbieter von KI-Systemen gelten Fristen

Bevor die folgenden Fristen betrachtet werden, stellt sich die Frage, wer als Anbieter (Provider) gilt. Der AI Act versteht darunter jede Stelle, die ein KI-System oder -Modell für allgemeine Zwecke ( sogenannte general purpose KI, GPAI) entwickelt, entwerfen lässt oder unter eigenem Namen auf den Markt bringt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht. Während unsere Kunden also eher die Rolle des Bereitstellers (Deployers) einnehmen, dürften beispielsweise unsere Technologiepartner häufig in der Rolle des Anbieters agieren. Die Rolle des Anbieters ist durch das AI Act am stärksten reguliert, die englischen Übersetzungen in Klammern dienen der besseren Einordnung.

Wie auch für die Regierungsstellen ist der 02.08.2025 ein beachtenswertes Datum für Anbieter. Alle GPAI-Modelle, die vor diesem Datum in Verkehr gebracht oder in Betrieb genommen wurden, müssen bis zum 02.08.2027 mit dem AI Act in Einklang sein (Artikel 111 Absatz 3).

Anbieter, aber auch Einsatzkräfte, die im AI Act auf Grund ihrer Anwendungsfälle eine Sonderrolle einnehmen, sind verpflichtet alle Anforderungen und Verpflichtungen der Verordnung bis zum 02.08.2030 umzusetzen (Artikel 111 Absatz 2).

Betreiber und IT-Großsysteme haben ebenfalls einiges zu erfüllen

Auch an dieser Stelle sollen zunächst die beiden Begriffe definiert werden. Der Begriff des Betreibers (Operator) umfasst Anbieter, Produkthersteller, Verteiler, Bevollmächtigter, Importeur oder Händler von KI-Systemen oder KI-Modellen. Es handelt sich also um einen Oberbegriff, der alle anderen in der Verordnung vorgesehenen Rollen und zusätzlich die Produkthersteller umfasst. Große IT-Systeme werden in Anhang X der Verordnung explizit namentlich genannt, wie beispielsweise Eurodac oder das Visa-Informationssystem.

Betreiber von Hochrisiko-KI-Systemen (mit Ausnahme der in Art. 111 Abs. 1 genannten), die vor dem 02.08.2026 in Betrieb genommen wurden, fallen unter die Verordnung, allerdings nur, wenn ab diesem Zeitpunkt wesentliche Änderungen vorgenommen werden (Art. 111 Abs. 2).

IT-Großsysteme (siehe Anhang X), die vor dem 02.08.2027 in Betrieb genommen wurden, müssen bis zum 31.12.2030 konform zum AI Act sein (Artikel 111 Absatz 1).

Allgemeine Fristen existieren ebenso

Für die Verordnung selbst gelten auch für bestimmte Bestandteile unterschiedliche Zeitpunkte, in denen deren Geltung beginnt.

Die KI-Systeme beziehungsweise -Modelle, von denen das größte Risiko ausgeht, sind zuerst betroffen: Für die verbotenen Praktiken (siehe Kapitel 1 und 2) sind die Maßnahmen des KI-Gesetzes ab dem 02.02.2025 anzuwenden (siehe Artikel 113 Buchstabe a sowie Erwägungsgrund 179).

Ab dem 02.08.2025 treten einige Regelungen in Kraft, die sich derzeit zum Teil noch in Vorbereitung befinde (siehe auch die Obligationen die Mitgliedsstaaten betreffend). Dazu gehören die Einrichtung beziehungsweise das Existenz der benannten Stellen (vgl. Kapitel III, Abschnitt 4), alle Regelungen rund um die Governance, worunter die Stellen auf Unionsebene und auf nationaler Ebene fallen (Kapitel VII), die Regelungen zur Vertraulichkeit (Artikel 78) und zu den Sanktionen (Artikel 99 und 100). Am wichtigsten ist jedoch, dass zu diesem Zeitpunkt auch die in Artikel V festgelegten Regelungen rund um die IPA-Modelle voll wirksam werden (siehe Artikel 113 Buchstabe b).

Der größte Teil des AI Act wird ab dem 02.08.2026 Anwendung finden. Damit sind alle übrigen Bestimmungen gemeint, die nicht in Artikel 6 Absatz 1 (KI als Sicherheitsbauteil eines Produktes oder in Anhang I aufgeführt) definiert sind. Diese exkludierten Teile treten allerdings bereits ein Jahr später, zum 02.08.2027, in Kraft, so dass ab diesem Zeitpunkt alle Teile des AI Acts vollumfänglich gelten (beides Artikel 113).

Fazit

Mit Blick auf die sehr unterschiedlichen Betroffenen wird aus meiner Sicht sehr schnell deutlich, dass die einfache Frage „Wann gilt jetzt was im AI Act?“ zumindest noch der Ergänzungen „Für wen?“ und „Für was?“ bedarf.

Viel entscheidender finde ich aber die vielen vorbereitenden Aufgaben, die auf Ebene der Staaten und der Union noch zu erledigen sind. Und machen wir uns nichts vor: Eine Meldestelle zu benennen ist das eine, aber zu wissen, welche Informationen diese Stelle über das eigene KI-System erwartet, das andere. Und auch die national unterschiedlichen Sanktionen und Bußgelder dürften es vielen Unternehmen schwer machen, die Risiken abzuschätzen und Kosten und Nutzen für die Umsetzung von Maßnahmen abzuwägen.

Nicht zuletzt bleibt die Unsicherheit der zukünftigen juristischen Auslegung der zahlreichen, nicht überschneidungsfreien Definitionen des AI Acts, die eine Bewertung auf Heller und Pfennig unmöglich machen wird. Aber ähnlich wie bei der Einführung der DSGVO, nur beim AI Act viel stärker, weil die Regelungen und Anforderungen viel höher sind, ist es jetzt an der Zeit, sich trotz der unklaren Situation vorzubereiten.

.