EU AI Act: Änderungen 2025 erklärt

Avatar
Lisa Ernst · 02.12.2025 · Technik · 10 min

Unternehmen investieren in KI-Piloten, oft ohne den sich ändernden Rechtsrahmen zu beachten. Fragen nach Hochrisiko-KI-Systemen oder Meldepflichten für Foundation-Modelle treten erst später auf. Dieser Artikel beleuchtet die Anpassungen des EU AI Act und nationale KI-Pläne, wie den in Australien, um Orientierung zu bieten.

EU AI Act: Grundlagen & Änderungen

Der EU AI Act ist seit 2024 in Kraft und wird bis August 2027 schrittweise wirksam. Er basiert auf einem risikobasierten Modell mit vier Risikostufen und einer zusätzlichen Kategorie für General Purpose AI-Modelle (GPAI), auch Foundation-Modelle genannt. AI Act Service Desk, ECNL

2025 wird dieser Rahmen nachgeschärft. Die EU veröffentlicht Leitlinien und einen Code of Practice für General Purpose AI. Gleichzeitig schlägt sie im Rahmen eines „Digital Omnibus“ eine Verlängerung der Fristen für Hochrisiko-Systeme von August 2026 auf Ende 2027 vor. Digitale Strategie Europa, Digitale Strategie Europa, Reuters, OneTrust

Für Unternehmen bedeutet dies, dass KI-Compliance eine strategische Aufgabe ist, insbesondere in Branchen wie Finanzdienstleistungen, Gesundheit oder öffentlicher Verwaltung, wo viele Anwendungsfälle unter die Kategorie „Hochrisiko-KI-System“ fallen. Künstliche Intelligenz Gesetz EU, AI Act Service Desk

EU AI Act-Änderungen 2025 verstehen

Der EU AI Act regelt KI auf Basis von Risikostufen: unvertretbares, hohes, begrenztes und minimales Risiko, ergänzt um eine eigene Schiene für General Purpose AI-Modelle. ECNL

Die offizielle Umsetzungs-Timeline der EU-Kommission sieht vier zentrale Stufen vor:

2025 verschiebt sich der Fokus auf General Purpose AI und die Frage, wie schnell Hochrisiko-Pflichten tatsächlich umgesetzt werden.

Wichtige Meilensteine und Fristen des EU AI Act, die die schrittweise Einführung der Verordnung bis 2027 illustrieren.

Quelle: mindfoundry.ai

Wichtige Meilensteine und Fristen des EU AI Act, die die schrittweise Einführung der Verordnung bis 2027 illustrieren.

Leitlinien und Code of Practice für General Purpose AI

Im Juli 2025 veröffentlicht die EU-Kommission drei zentrale Instrumente zur Regulierung von Foundation-Modellen: Leitlinien für GPAI-Provider, einen GPAI Code of Practice und weitere Hilfen zur Auslegung. Digitale Strategie Europa

Die GPAI-Leitlinien und offizielle FAQs klären, wann ein Modell als General Purpose AI gilt (breite Aufgaben, großer Trainingsaufwand, vielseitige Einsetzbarkeit) und wann eine Anpassung einen eigenen Provider mit Pflichten begründet. Digitale Strategie Europa

Der GPAI Code of Practice ist ein freiwilliges Instrument, das Anbietern konkrete Empfehlungen zur Organisation von Dokumentation, Transparenz und Copyright-Prozessen gibt, um gesetzliche Anforderungen vorzubereiten. Digitale Strategie Europa

Die Kommission räumt ein, dass der Code of Practice später als geplant fertiggestellt wurde (Ende 2025 statt Mai). Dies verlängerte die Unsicherheit für Anbieter von Foundation-Modellen und war ein Grund für Forderungen großer Tech-Unternehmen nach einer „Pause“ für den AI Act. Reuters, Reuters

Digital Omnibus: vorgeschobene Fristen für Hochrisiko-Systeme

Im November 2025 legt die Kommission ein Paket unter dem Titel „Digital Omnibus“ vor. Ein Kernpunkt ist die Verschiebung der Anwendung der Hochrisiko-Pflichten von August 2026 auf Ende 2027. Reuters, euronews, OneTrust

Betroffen wären Anwendungen wie biometrische Identifikation im öffentlichen Raum, KI für Jobbewerbungen und Prüfungen, KI in Energie- und Verkehrsnetzen, Kreditwürdigkeitsprüfung oder KI-gestützte Entscheidungen im Gesundheitswesen und in der Strafverfolgung. Reuters, AI Act Service Desk

Die vorgeschlagene Verzögerung ist eine Verschiebung, um Standards, Leitlinien und Aufsichtsstrukturen fertigzustellen, nicht ein Zurückdrehen der Regulierung. NGOs und einige Abgeordnete sprechen dennoch von einem „Rollback“ digitaler Schutzmechanismen, da gleichzeitig Lockerungen bei Datenschutz- und Cookie-Regeln diskutiert werden. The Guardian

Unternehmen sollten diesen Zeitraum als Zeitfenster nutzen, um Governance-Strukturen aufzubauen. Dies betonen auch Compliance-Analysen, etwa von Nemko oder Compliance & Risks. digital.nemko.com, complianceandrisks.com

Nationale KI-Pläne

Parallel zur EU verfolgt Australien einen anderen Ansatz: Mit einem National AI Plan werden Investitionen in Rechenzentren, Dateninfrastruktur und Weiterbildung gebündelt. KI soll weitgehend über bestehende Gesetze reguliert werden, flankiert von einem eigenen AI Safety Institute ab 2026. Industrie Seite, ABC, Reuters

Nationaler Künstliche-Intelligenz-Plan Australien: Infrastruktur, Daten, Menschen

Während die EU den EU AI Act verfeinert, setzt Australien mit seinem National AI Plan 2025 einen anderen Schwerpunkt: weniger neue Verbote, dafür ein koordinierter Ausbau von Infrastruktur, Datenzugang und Kompetenzen. Industrie Seite

Der Plan verfolgt drei zentrale Linien:

Die australische Regierung betont, dass sie sich bei der Regulierung vorerst auf bestehende Gesetze – etwa im Datenschutz, Wettbewerbsrecht und Verbraucherschutz – stützen will, statt einen eigenen AI Act zu schaffen. ABC, The Guardian

Für Unternehmen, die in mehreren Jurisdiktionen aktiv sind, entsteht ein Kontrast: In der EU ist KI-Compliance an einen Spezialrahmen (EU AI Act) gebunden, während Australien stärker mit sektoralen Aufsichtsbehörden und bestehenden Rechtsinstrumenten arbeitet, flankiert von einem nationalen Investitions- und Qualifizierungsprogramm.

KI-Compliance für Unternehmen

Die Debatte läuft auf die Frage hinaus: Wie baue ich eine KI-Compliance-Strategie, die sowohl den EU AI Act als auch nationale KI-Pläne adressiert? Ein pragmatischer Einstieg ist, KI als Erweiterung bestehender Governance-Strukturen zu behandeln, ähnlich Compliance-by-Design-Ansätzen. complianceandrisks.com

Was bedeutet „Hochrisiko-KI-System“ in der EU konkret?

Die zentrale Frage vieler Projekte lautet: „Was bedeutet Hochrisiko-KI-System EU – trifft das auf unser Vorhaben zu?“

Der AI Act definiert Hochrisiko-Systeme über zwei Zugänge: Erstens KI, die Teil oder Sicherheitskomponente eines bereits regulierten Produkts ist (z.B. Medizinprodukte, Fahrzeuge). Zweitens KI-Systeme in bestimmten sensiblen Anwendungsbereichen, die in Annex III gelistet sind. Künstliche Intelligenz Gesetz EU, Künstliche Intelligenz Gesetz EU

Annex III umfasst unter anderem: Biometrie (z.B. Remote-Face-ID in öffentlichen Räumen), kritische Infrastruktur (Energie, Verkehr, Wasser), Bildung (Zulassung, Prüfungsüberwachung), Beschäftigung und HR (Auswahl und Bewertung von Bewerbenden), Zugang zu essentiellen Dienstleistungen (z.B. Kredite, Versicherungen), Strafverfolgung, Migration sowie Justiz. Künstliche Intelligenz Gesetz EU, AI Act Service Desk

Beispiele aus der Praxis:

Rechtlich entscheidend ist, ob ein System ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte erzeugt. Der AI Act erlaubt Ausnahmen für einige Annex-III-Fälle, wenn kein „significant risk“ vorliegt, etwa in begrenzten Fraud-Detection-Szenarien. Al Act, dpo-consulting.com

Für Hochrisiko-KI-Systeme gelten strenge Pflichten: dokumentiertes Risikomanagement, robuste Daten-Governance, technische Dokumentation, Protokollierung, Human-oversight-Konzepte sowie Anforderungen an Genauigkeit, Robustheit und Cybersicherheit. Künstliche Intelligenz Gesetz EU

Unternehmen, die in diesen Bereichen KI einsetzen, sollten frühzeitig analysieren, welche Projekte in die Hochrisiko-Schiene fallen, und mit der Dokumentation beginnen.

Die Risikoklassifizierung von KI-Systemen nach dem EU AI Act, von minimalem bis zu inakzeptablem Risiko.

Quelle: ctol.digital

Die Risikoklassifizierung von KI-Systemen nach dem EU AI Act, von minimalem bis zu inakzeptablem Risiko.

General Purpose AI-Modelle: neue EU-Richtlinien für Foundation-Modelle

Die zweite große Baustelle sind General Purpose AI-Modelle (GPAI), oft Foundation-Modelle genannt. Der AI Act definiert ein „general-purpose AI model“ als Modell, das mit großen Datenmengen trainiert wurde, breite Generalität zeigt und eine Vielzahl unterschiedlicher Aufgaben kompetent erledigen kann. Künstliche Intelligenz Gesetz EU

Beispiele sind Modelle wie GPT-4, DALL·E oder BERT, die erst durch ihre Integration in konkrete Systeme domänenspezifisch werden. Taylor Wessing

Seit 2. August 2025 gelten spezielle Pflichten für Anbieter solcher General Purpose AI-Modelle:

Systemisch riskante Modelle werden u.a. anhand von technischen Schwellenwerten (Trainings-Compute) und ihrer möglichen Auswirkungen eingestuft. Künstliche Intelligenz Gesetz EU, Stibbe

Praktisch relevant ist der GPAI-Rahmen für zwei Gruppen in Unternehmen:

Der vorgeschlagene Aufschub im Digital Omnibus betrifft vor allem die Hochrisiko-Anforderungen, nicht pauschal die GPAI-Verpflichtungen, die ab August 2025 laufen. OneTrust

Wer heute schon mit einem Foundation-Modell interne Entscheidungsprozesse automatisiert, sollte prüfen, ob das eigene Set-up als GPAI-Provider, als Hochrisiko-System oder als Kombination beider Rollen zu verstehen ist.

Drei praktische Beobachtungen für die KI-Compliance-Strategie

  1. Ohne Inventar keine Strategie: Unternehmen, die frühzeitig eine KI-Landkarte erstellen – welche Systeme wo im Einsatz sind, welche Daten sie nutzen und welche Entscheidungen sie beeinflussen – können schneller erkennen, welche Anwendungsfälle potenziell in Annex III fallen oder Foundation-Modelle beinhalten. eyreACT, dpo-consulting.com
  2. Risikoklasse + Rolle klären: Die Kombination aus Risikoklasse (High-Risk vs. Limited Risk) und Rolle (Provider vs. Deployer) entscheidet über die Pflichten. Wer z.B. ein US-Foundation-Modell in einem EU-Bankenkontext nutzt, kann gleichzeitig Deployer eines Hochrisiko-Systems und „Downstream-Anwender“ eines GPAI-Modells sein – mit unterschiedlichen, sich überlagernden Pflichten. Künstliche Intelligenz Gesetz EU
  3. Compliance als Produktfeature denken: Gerade in regulierten Branchen wird KI-Compliance zum Verkaufsargument. Ein Fintech, das ein AI-Risikomanagement nach EU AI Act etabliert hat, tut sich bei B2B-Kunden leichter. Strukturierte Impact-Assessments (z.B. Menschenrechts- oder Fundamental Rights Impact Assessments) machen Risiken sichtbar. arXiv, arXiv

Wer die längere Frist für Hochrisiko-Systeme bis 2027 nutzt, um solche Prozesse zu etablieren, steht besser da, wenn die formale Aufsicht anzieht, und profitiert früher von einem Vertrauensbonus.

Wichtige Definitionen

Ein Diagramm zeigt sieben Prinzipien für den Einsatz von KI, angeordnet in einem Kreis mit Textbeschreibungen.

Quelle: user-added

Ein Diagramm zeigt sieben Prinzipien für den Einsatz von KI, angeordnet in einem Kreis mit Textbeschreibungen.

Ressourcen & Ausblick

Für alle, die sich die Themen lieber erklären lassen, sind einige Videos gut geeignet – immer als Ergänzung zu den Originaltexten:

Staaten ziehen die KI-Regeln an – aber sie tun es nicht überall gleich. In Europa wird der EU AI Act präzisiert und in Teilen zeitlich gestreckt, ohne seine Grundlogik einer streng risikobasierten Regulierung aufzugeben. In Australien steht ein National AI Plan für Infrastruktur, Skills und Sicherheit, der stärker auf bestehende Gesetze und sektorale Aufsicht setzt. AI Act Service Desk, Industrie Seite

Für Unternehmen heißt das: Nicht zwischen Innovation und Regulierung wählen, sondern die eigene KI-Strategie so aufsetzen, dass sie beides trägt. Wer seine Hochrisiko-KI-Systeme identifiziert, Foundation-Modelle sauber einordnet und KI-Governance als festen Bestandteil von Produkt- und Prozessentwicklung etabliert, nutzt den aktuellen „Regulierungs-Shift“ als Chance.

Teilen Sie doch unseren Beitrag!