Skip to content
Home

5 August 2025 | 5 min

Neue EU-Vorgaben für KI: Was Unternehmen jetzt beachten müssen

Die Europäische Union läutet mit dem AI Act (Verordnung 2024/1689) eine neue Ära der regulierten Künstlichen Intelligenz ein. Ab dem 2. August 2025 gelten erstmals verpflichtende Regelungen für Anbieter und Nutzer sogenannter General Purpose AI (GPAI)-Modelle. Unternehmen, die KI-Systeme einsetzen oder entwickeln – insbesondere im Bereich Generative AI, Machine Learning, Natural Language Processing oder automatisierter Entscheidungsfindung – müssen ihre Governance-, Risikomanagement- und Compliance-Strukturen anpassen.

Diese Verschärfungen betreffen nicht nur Tech-Unternehmen, sondern alle Branchen: von Finanzdienstleistungen über Industrie bis hin zu Healthcare, Retail und öffentlichem Sektor.

Das Wichtigste in Kürze

  • Stichtag: 2. August 2025 – ab diesem Datum gelten neue Vorschriften für GPAI-Modelle (z. B. ChatGPT, Claude, Gemini, Mistral, LLaMA)
  • Pflichten für Anbieter & Nutzer:
    • Transparenz zu Trainingsdaten & Modellen
    • Risikoanalysen und Konformitätsbewertung
    • Schutz vor Urheberrechtsverstößen
  • Governance-Anforderungen:
    • Interne Zuständigkeiten, Dokumentationspflichten und Prüfprozesse
    • Verpflichtung zur Schulung der Mitarbeitenden (AI Literacy)
  • Strafen bei Verstößen: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes
  • Freiwilliger „Code of Practice“ für GPAI-Anbieter möglich – reduziert rechtliche Risiken

1. Was ist der AI Act?

Der AI Act ist die weltweit erste umfassende Gesetzgebung zur Regulierung von Künstlicher Intelligenz. Er unterscheidet vier Risikoklassen (verboten, hoch, begrenzt, minimal) und legt für jede Klasse spezifische Pflichten fest.

Ab dem 2. August 2025 greifen erstmals verbindliche Vorgaben für sogenannte General Purpose AI – also große KI-Modelle, die vielseitig einsetzbar sind (z. B. für Texte, Bilder, Code, Sprache, Analyse).

Beispiele betroffener Modelle:

  • ChatGPT (OpenAI/Microsoft)
  • Claude (Anthropic)
  • LLaMA (Meta)
  • Mistral
  • Gemini (Google DeepMind)

2. Wer ist betroffen?

Die neuen Vorschriften gelten für:

  • Anbieter von GPAI-Systemen (innerhalb & außerhalb der EU, wenn sie in der EU angeboten werden)
  • Inverkehrbringer von KI-Produkten (Hersteller, Softwareunternehmen, Plattformen)
  • Nutzer und Anwender von GPAI im Unternehmenskontext (z. B. Chatbots, Analysesysteme, Automatisierung, Decision Support)
  • Wiederverwender bzw. Finetuner von Basismodellen für spezielle Anwendungen

Auch Unternehmen, die Tools wie ChatGPT Enterprise, Copilot, Gemini for Workspace oder vergleichbare KI-Software nutzen, unterliegen Anforderungen, wenn sie KI-basierte Entscheidungen treffen oder Daten verarbeiten lassen.

3. Neue Pflichten für Unternehmen ab 2. August 2025

A) Transparenz & Dokumentation

  • Offenlegung der Trainingsdatenquellen
  • Informationen zur Modellarchitektur und Risikobewertung
  • Dokumentation über Datenschutz, Fairness, Bias und Sicherheitsmaßnahmen

B) Urheberrechtsschutz

  • Modelle müssen so entwickelt und betrieben werden, dass geistige Eigentumsrechte Dritter gewahrt bleiben (Copyright-Audit erforderlich)

C) Risikobewertung & Governance

  • Durchführung einer Risikofolgenabschätzung (ähnlich DPIA bei DSGVO)
  • Einrichtung eines internen Kontrollsystems für KI-Governance
  • Auditierbarkeit & Nachvollziehbarkeit aller KI-Ausgaben

D) AI Literacy & Schulungspflicht

  • Mitarbeitende müssen in der Lage sein, die Funktionsweise und Risiken der eingesetzten KI zu verstehen

E) Notified Bodies & Aufsicht

  • Einrichtung und Zusammenarbeit mit benannten Prüfstellen
  • Aufsichtsbehörden können Prüfungen, Modellzugriffe und Nachbesserungen verlangen

4. Was passiert bei Verstößen?

Die EU zieht die Zügel deutlich an:
Verstöße gegen Transparenz- oder Governancepflichten können mit Geldbußen bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist.

5. Der GPAI Code of Practice: Freiwillig, aber empfohlen

Die EU-Kommission hat parallel einen verbindlichen Verhaltenskodex („Code of Practice“) für GPAI-Anbieter veröffentlicht.
Wer diesen Code aktiv umsetzt und dokumentiert, profitiert von:

  • Regulatorischer Erleichterung bei der Nachweispflicht
  • Frühzeitiger Risikominimierung
  • Besserer Positionierung im europäischen Markt

6. Integration in GRC & Risikomanagement-Strukturen

Für Compliance-, Risiko- und IT-Manager bedeutet das:

  • KI-Compliance muss Teil des Governance Frameworks werden
  • Bestehende Prozesse (z. B. ISMS, BCM, IKS) müssen auf KI angepasst werden
  • GRC-Systeme sollten KI-spezifische Risiken, Datenflüsse und Verantwortlichkeiten erfassen
  • Risikobasierte Klassifizierung und laufende Überwachung werden Pflicht

7. Wie das mit GRC zusammenhängt

Die neuen Vorschriften des AI Acts sind kein isoliertes Compliance-Thema – sie gehören unmittelbar in das strategische Zusammenspiel von Governance, Risk und Compliance (GRC). Unternehmen, die bereits über ein strukturiertes GRC-Framework verfügen, sind im Vorteil. Denn:

  • Governance definiert klare Zuständigkeiten, Verantwortlichkeiten und Aufsichtsgremien für den KI-Einsatz.
  • Risikomanagement identifiziert, bewertet und überwacht spezifische Risiken durch KI – z. B. Bias, Reputationsschäden, Modellfehler oder Datenmissbrauch.
  • Compliance sorgt für die Einhaltung der rechtlichen Anforderungen aus dem AI Act – von der Dokumentation bis zur Modellprüfung.

Ein modernes GRC-System erlaubt es, KI-bezogene Risiken mit bestehenden Frameworks wie ISMS, IKS oder ESG zu verknüpfen und in Managementberichte zu integrieren. Unternehmen, die ihre KI-Governance in ein zentrales GRC-System einbetten, erhöhen nicht nur ihre Rechtssicherheit, sondern schaffen Transparenz, Effizienz und Vertrauen – intern wie extern.

Fazit

Der 2. August 2025 ist kein gewöhnlicher Stichtag – er markiert den Start eines neuen Regulierungszeitalters für Künstliche Intelligenz.

Unternehmen, die KI nutzen oder entwickeln, müssen Transparenz, Governance und Risikoabschätzung verbindlich umsetzen – unabhängig davon, ob sie selbst Modelle trainieren oder bestehende Systeme einsetzen.

Proaktives Handeln jetzt reduziert Haftungsrisiken, sichert Compliance und schafft Vertrauen bei Kunden, Investoren und Regulierungsbehörden.

Wenn ihr mehr über den EU AI Act wissen wollt empfehlen wir euch unseren früheren Artikel der den EU AI Act sowie seine Vor und Nachteile erklärt.

FAQ – Neue KI-Vorgaben ab 2. August 2025

Was ist General Purpose AI (GPAI)?
Große, vielseitig einsetzbare KI-Modelle, die für verschiedene Zwecke genutzt werden können – etwa zur Text-, Bild- oder Sprachanalyse. Beispiele: ChatGPT, Gemini, LLaMA.

Gilt der AI Act nur für KI-Anbieter?
Nein. Auch Unternehmen, die solche KI-Modelle im Alltag einsetzen, müssen bestimmte Anforderungen erfüllen – z. B. bei Risikoanalyse, Datenschutz oder Governance.

Was ist der freiwillige GPAI Code of Practice?
Ein europäischer Verhaltenskodex für Anbieter von GPAI-Systemen. Unternehmen, die ihn anwenden, zeigen regulatorische Verantwortung und profitieren von geringerer Prüfintensität.

Welche Strafen drohen?
Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes – abhängig von Schwere und Art des Verstoßes.

Was sollten Unternehmen jetzt tun?

  1. KI-Systeme inventarisieren und klassifizieren
  2. Transparenz und Modell-Dokumentation sicherstellen
  3. KI-Risiken ins Enterprise Risk Management (ERM) integrieren
  4. Mitarbeiterschulungen zu AI Literacy durchführen
  5. Governance-Strukturen und GRC-Systeme erweitern

Share

Related posts

Von der CSRD zur CS3D: Warum die EU Nachhaltigkeits- und Sorgfaltspflichten neu justiert
12 August 2025 | 3 min

Von der CSRD zur CS3D: Warum die EU Nachhaltigkeits- und Sorgfaltspflichten neu justiert

 Die Europäische Union hat im Juni 2025 weitreichende Änderungen an zwei zentralen Nachhaltigkeits- und Sorgfaltspflichten-Regelwerken beschlossen: der Corporate Sustainability Reporting Directive (CSRD) und der Corporate Sustainability Due Diligence Directive (CS3D). Ziel ist es, die Berichtspflichten zu vereinfachen, die Wettbewerbsfähigkeit zu stärken und kleine sowie mittlere Unternehmen (KMU) zu entlasten. Warum es zu den Änderungen kam<a href="https://zazoon.com/de/von-der-csrd-zur-cs3d-warum-die-eu-nachhaltigkeits-und-sorgfaltspflichten-neu-justiert/">Continue reading <span class="sr-only">"Von der CSRD zur CS3D: Warum die EU Nachhaltigkeits- und Sorgfaltspflichten neu justiert"</span></a>
Read more
NIS-2 umgesetzt: Warum deutsche Unternehmen jetzt handeln müssen
18 November 2025 | 5 min

NIS-2 umgesetzt: Warum deutsche Unternehmen jetzt handeln müssen

 Im November 2025 hat der Deutscher Bundestag das Gesetz zur Umsetzung der NIS‑2‑Richtlinie verabschiedet. Damit wurden auf nationaler Ebene neue Regeln für Cybersicherheit und Informationssicherheit eingeführt, die weit über bisherige Vorgaben hinausgehen. Unternehmen, die bislang unter dem Radar waren, müssen nun prüfen, ob sie betroffen sind – und wenn ja, ihre Sicherheitsmassnahmen, Prozesse und Governance-Strukturen<a href="https://zazoon.com/de/nis-2-umgesetzt-warum-deutsche-unternehmen-jetzt-handeln-muessen/">Continue reading <span class="sr-only">"NIS-2 umgesetzt: Warum deutsche Unternehmen jetzt handeln müssen"</span></a>
Read more
EFRAG veröffentlicht Entwürfe für verschlankte ESRS: Was Unternehmen jetzt wissen müssen
19 August 2025 | 3 min

EFRAG veröffentlicht Entwürfe für verschlankte ESRS: Was Unternehmen jetzt wissen müssen

 Die European Financial Reporting Advisory Group (EFRAG) hat im August 2025 überarbeitete Entwürfe für die European Sustainability Reporting Standards (ESRS) vorgelegt. Mit dieser Reform reagiert die EU auf die Kritik vieler Unternehmen, die bei der Umsetzung der CSRD (Corporate Sustainability Reporting Directive) von einem erheblichen administrativen Aufwand betroffen waren. Ziel ist es, die Berichtspflichten schlanker,<a href="https://zazoon.com/de/efrag-veroeffentlicht-entwuerfe-fuer-verschlankte-esrs-was-unternehmen-jetzt-wissen-muessen/">Continue reading <span class="sr-only">"EFRAG veröffentlicht Entwürfe für verschlankte ESRS: Was Unternehmen jetzt wissen müssen"</span></a>
Read more