Ab 2. August 2025 beginnt die nächste Phase des EU AI Act: Sind Sie vorbereitet? 

Abwarten ist keine Option mehr. Für viele Unternehmen wird der EU AI Act schon 2025 zur Realität. Ab dem 2. August treten entscheidende Regelungen in Kraft: neue Governance-Strukturen, Pflichten für General-Purpose-Modelle (GPAI) und ein Großteil der Sanktionsnormen.  

Was das bedeutet? Ab diesem Stichtag sind die Behörden in der Lage, den Markt zu überwachen, Informationen einzufordern und Sanktionen zu verhängen. Unternehmen müssen darauf vorbereitet sein: Sie benötigen nicht nur dokumentierte und geprüfte KI-Systeme, sondern auch geschulte Schlüsselpersonen mit ausreichender KI-Kompetenz, um regulatorische Anforderungen zu erkennen und korrekt umzusetzen. 

Die Regeln, die ab dem 2. August greifen: 
 

Kapitel III Abschnitt 4: Marktüberwachung und Konformität 

Die Behörden sollen künftig zügig handeln können. Meldepflichten, Konformitätsbewertungen und die Arbeit notifizierter Stellen werden jetzt Realität. Unternehmen müssen wissen, wer intern zuständig ist, wie Meldungen ablaufen und wie sie im Ernstfall reagieren. Ein klarer Reaktionsplan spart Zeit und reduziert Risiken, wenn unerwartet eine Anfrage oder ein Audit eintrifft. 

Kapitel V: General-Purpose-Modelle im Fokus 

Anbieter und Nutzer von GPAI-Systemen müssen künftig technische Dokumentationen, Risikoanalysen und Prozesse zum Incident Reporting vorweisen können. Wer Modelle integriert oder weitertrainiert, sollte die Lieferkette jetzt prüfen und sicherstellen, dass alle relevanten Informationen verfügbar sind, falls die Aufsicht danach fragt. 

Kapitel VII: Governance auf EU- und nationaler Ebene 

Das AI Office und das European AI Board nehmen ihre Arbeit auf. Parallel entstehen in jedem Mitgliedstaat Anlaufstellen für Unternehmen. In Deutschland sind das Bundesministerium für Wirtschaft und Klimaschutz sowie das Bundesministerium der Justiz gemeinsam für die Umsetzung des KI-Gesetzes zuständig. Zwar sind die zuständigen Behörden noch nicht per Gesetz festgelegt, doch es deutet sich an, dass die Bundesnetzagentur die Rolle der Marktüberwachungsbehörde und die Bundesakkreditierungsstelle die Funktion der Notifizierungsbehörde übernehmen könnte. Für Unternehmen ist entscheidend, frühzeitig Verantwortlichkeiten zu klären und einen Kommunikationsplan zu entwickeln, um im Kontakt mit den Behörden handlungsfähig zu sein. 

Kapitel XII: Sanktionen (außer Art. 101) 

Ab August 2025 können Verstöße gegen Verbote, Hochrisiko-Pflichten oder GPAI-Transparenz mit bis zu 35 Mio. Euro oder 7 % des weltweiten Umsatzes geahndet werden. Auch fehlende KI-Kompetenz kann dabei indirekt zum Risiko werden, etwa wenn ungeschulte Teams regulatorische Pflichten nicht erfüllen oder auf Behördenanfragen nicht angemessen reagieren können. 

Artikel  78: Vertraulichkeitspflichten 

Geschäftsgeheimnisse bleiben geschützt. Dennoch dürfen Aufsichtsbehörden alle notwendigen Informationen einfordern. Unternehmen sollten klare Prozesse etablieren, um sensible Daten sicher weiterzugeben. 
 

Was bedeutet das praktisch für Sie?