EU-KI-Verordnung: Unternehmen ignorieren Compliance-Veränderungen
Aktuelle Herausforderung durch die EU-KI-Verordnung
Eine neue Studie der internationalen Anwaltskanzlei Littler gibt Anlass zur Besorgnis: Die Fristen der EU-KI-Verordnung rücken näher, während viele Unternehmen noch unzureichend vorbereitet sind. Die Untersuchung zeigt eine gefährliche Compliance-Lücke, obgleich seit mehreren Monaten erste Regelungen in Kraft sind und Unternehmen hohe Strafen drohen. Nur 18 Prozent der befragten Arbeitgeber fühlen sich gut auf die anstehenden Herausforderungen vorbereitet, während etwa ein Fünftel angibt, sich überhaupt nicht vorbereitet zu haben. Vor diesem Hintergrund wird es für Unternehmen in der EU zunehmend dringlich, ihre KI-Systeme und internen Abläufe auf den Prüfstand zu stellen.
Die EU-KI-Verordnung trat am 1. August 2024 offiziell in Kraft und folgt einem stufenweisen Zeitplan. Entgegen der Annahme einer längeren Übergangsphase gilt bereits seit dem 2. Februar 2025 ein Verbot für KI-Systeme mit inakzeptablem Risiko, zu denen unter anderem staatlich betriebenes Social Scoring oder manipulative Techniken zählt. Zudem sind Unternehmen verpflichtet, sicherzustellen, dass ihre Mitarbeitenden über die erforderliche KI-Kompetenz verfügen, um die neuen Regelungen einzuhalten.
Fristen und Pflichten: Der Druck steigt
Die nächsten entscheidenden Fristen stehen demnächst an. Am 2. August 2025 treten die Regelungen für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) in Kraft, die auch Governance-Strukturen und strafrechtliche Bestimmungen umfassen. Verstöße gegen bereits gültige Verbote können nun mit hohen Geldbußen geahndet werden, was den Druck auf die Unternehmen weiter erhöht. Ein bedeutender Termin folgt am 2. August 2026, an dem die detaillierten Pflichten, insbesondere für als hochriskant eingestufte KI-Systeme in Bereichen wie kritische Infrastruktur, Personalwesen und Medizintechnik, verbindlich werden. Es bleibt fraglich, ob Unternehmen bis dahin ihre Systeme rechtzeitig anpassen können.
Hohe Strafen: Die Konsequenzen im Vergleich zur DSGVO
Die EU zeigt mit der neuen Verordnung deutlich, dass sie Ernst macht. Die vorgesehenen Bußgelder übertreffen in vielen Fällen die Strafen der Datenschutz-Grundverordnung (DSGVO). Bei Verstößen gegen das Verbot von hochriskanten KI-Praktiken drohen Geldstrafen von bis zu 35 Millionen Euro oder 7 Prozent des weltweit erzielten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Verstöße gegen die Pflichten für Hochrisiko-Systeme können mit bis zu 15 Millionen Euro oder 3 Prozent des globalen Umsatzes geahndet werden, was im Vergleich zu den maximal 4 Prozent bei der DSGVO eine noch höhere Dringlichkeit bei der Einhaltung signalisiert. Es wird klar: KI-Compliance ist inzwischen eine zwingende Notwendigkeit für Unternehmen.
Unklare Zuständigkeiten in Deutschland: Wer hat das Sagen?
Wenn es um die Durchsetzung der neuen Vorgaben geht, besteht in Deutschland noch Unklarheit über die zuständigen Aufsichtsbehörden. Die Bundesregierung hat es versäumt, die nationalen Marktüberwachungsbehörden bis zum 2. August 2025 zu benennen. Dies hat zu Verwirrung geführt, obwohl aktuell eine Lösung in Form eines Gesetzentwurfs in Sicht ist. Demnach soll die Bundesnetzagentur (BNetzA) die zentrale Marktüberwachungs- und Anlaufstelle sein, während bestehende Fachbehörden ihre spezifischen Zuständigkeiten beibehalten. Diese Regelung könnte eine sinnvolle Antwort auf die aktuellen Herausforderungen darstellen, auch wenn sie spät kommt.
Vorbereitung auf die neuen Regelungen: Handlungsbedarf für Unternehmen
Der Zeitpunkt des Abwartens ist vorbei. Unternehmen müssen zügig eine systematische Bestandsaufnahme ihrer verwendeten KI-Systeme durchführen. Jede dieser Anwendungen muss identifiziert und einer bestimmten Risikoklasse gemäß der neuen Verordnung zugeteilt werden. Insbesondere für Hochrisiko-Systeme ist es notwendig, robusten Governance-Strukturen und effiziente Risikomanagement-Prozesse zu implementieren. Dies umfasst die Erstellung einer umfassenden technischen Dokumentation, überwacht durch geeignete Mechanismen, um die Transparenz gegenüber den Nutzenden sicherzustellen. Die EU-Kommission setzt dabei die Konkretisierung weiter fort und plant unter anderem aufgrund der zurückliegenden Fristen Veröffentlichungen für die Meldung schwerwiegender Vorfälle bei GPAI-Modellen bis zum 4. November 2025.
Angesichts der nahenden Fristen im August 2026 und den klar definierten Aufgaben der Bundesnetzagentur als zentrale Aufsichtsbehörde dürfte der Druck auf Unternehmen weiter steigen. Die zentrale Botschaft lautet: Unternehmen, die KI-Technologien einsetzen, sind verpflichtet, sich über die neuen Regelungen zu informieren und deren Einhaltung anzustreben. In der aktuellen Gemengelage sollten sich Unternehmen auf erhebliche Konsequenzen gefasst machen, sollten sie diesen Anforderungen nicht rechtzeitig nachkommen.
Fazit: Handlungsdruck auf Unternehmen wächst
Die neuen Anforderungen im Rahmen der EU-KI-Verordnung bringen für Unternehmen sowohl große Herausforderungen als auch hohe Risiken mit sich. Um empfindliche Strafen und Wettbewerbsnachteile zu vermeiden, ist es unerlässlich, die nächsten Schritte umgehend zu planen und durchzuführen. Nur eine rechtzeitige Anpassung an die gesetzlichen Vorgaben kann die Wettbewerbsfähigkeit sichern und die Integrität der Unternehmensprozesse aufrechterhalten.