EU AI Act: Änderungen 2025 erklärt
Unternehmen investieren in KI-Piloten, oft ohne den sich ändernden Rechtsrahmen zu beachten. Fragen nach Hochrisiko-KI-Systemen oder Meldepflichten für Foundation-Modelle treten erst später auf. Dieser Artikel beleuchtet die Anpassungen des EU AI Act und nationale KI-Pläne, wie den in Australien, um Orientierung zu bieten.
EU AI Act: Grundlagen & Änderungen
Der EU AI Act ist seit 2024 in Kraft und wird bis August 2027 schrittweise wirksam. Er basiert auf einem risikobasierten Modell mit vier Risikostufen und einer zusätzlichen Kategorie für General Purpose AI-Modelle (GPAI), auch Foundation-Modelle genannt. AI Act Service Desk, ECNL
2025 wird dieser Rahmen nachgeschärft. Die EU veröffentlicht Leitlinien und einen Code of Practice für General Purpose AI. Gleichzeitig schlägt sie im Rahmen eines „Digital Omnibus“ eine Verlängerung der Fristen für Hochrisiko-Systeme von August 2026 auf Ende 2027 vor. Digitale Strategie Europa, Digitale Strategie Europa, Reuters, OneTrust
Für Unternehmen bedeutet dies, dass KI-Compliance eine strategische Aufgabe ist, insbesondere in Branchen wie Finanzdienstleistungen, Gesundheit oder öffentlicher Verwaltung, wo viele Anwendungsfälle unter die Kategorie „Hochrisiko-KI-System“ fallen. Künstliche Intelligenz Gesetz EU, AI Act Service Desk
EU AI Act-Änderungen 2025 verstehen
Der EU AI Act regelt KI auf Basis von Risikostufen: unvertretbares, hohes, begrenztes und minimales Risiko, ergänzt um eine eigene Schiene für General Purpose AI-Modelle. ECNL
Die offizielle Umsetzungs-Timeline der EU-Kommission sieht vier zentrale Stufen vor:
- Ab 2. Februar 2025 gelten allgemeine Bestimmungen (Definitionen, AI Literacy) sowie das Verbot „inakzeptabler“ KI-Praktiken, wie bestimmte Formen sozialer Bewertung. AI Act Service Desk
- Ab 2. August 2025 greifen die Regeln für General Purpose AI-Modelle (GPAI) und die Governance-Struktur (AI Board, Scientific Panel etc.) muss stehen. AI Act Service Desk, Digitale Strategie Europa
- Ab 2. August 2026 sollten ursprünglich die meisten Regeln inklusive der Hochrisiko-Anhänge (Annex III) und Transparenzpflichten wirksam werden, gemeinsam mit nationalen AI-Sandboxes und der operativen Aufsicht. AI Act Service Desk
- Ab 2. August 2027 gelten zusätzlich die Regeln für Hochrisiko-KI, die in regulierte Produkte (z.B. Medizinprodukte, Fahrzeuge) eingebettet sind. AI Act Service Desk
2025 verschiebt sich der Fokus auf General Purpose AI und die Frage, wie schnell Hochrisiko-Pflichten tatsächlich umgesetzt werden.

Quelle: mindfoundry.ai
Wichtige Meilensteine und Fristen des EU AI Act, die die schrittweise Einführung der Verordnung bis 2027 illustrieren.
Leitlinien und Code of Practice für General Purpose AI
Im Juli 2025 veröffentlicht die EU-Kommission drei zentrale Instrumente zur Regulierung von Foundation-Modellen: Leitlinien für GPAI-Provider, einen GPAI Code of Practice und weitere Hilfen zur Auslegung. Digitale Strategie Europa
Die GPAI-Leitlinien und offizielle FAQs klären, wann ein Modell als General Purpose AI gilt (breite Aufgaben, großer Trainingsaufwand, vielseitige Einsetzbarkeit) und wann eine Anpassung einen eigenen Provider mit Pflichten begründet. Digitale Strategie Europa
Der GPAI Code of Practice ist ein freiwilliges Instrument, das Anbietern konkrete Empfehlungen zur Organisation von Dokumentation, Transparenz und Copyright-Prozessen gibt, um gesetzliche Anforderungen vorzubereiten. Digitale Strategie Europa
Die Kommission räumt ein, dass der Code of Practice später als geplant fertiggestellt wurde (Ende 2025 statt Mai). Dies verlängerte die Unsicherheit für Anbieter von Foundation-Modellen und war ein Grund für Forderungen großer Tech-Unternehmen nach einer „Pause“ für den AI Act. Reuters, Reuters
Digital Omnibus: vorgeschobene Fristen für Hochrisiko-Systeme
Im November 2025 legt die Kommission ein Paket unter dem Titel „Digital Omnibus“ vor. Ein Kernpunkt ist die Verschiebung der Anwendung der Hochrisiko-Pflichten von August 2026 auf Ende 2027. Reuters, euronews, OneTrust
Betroffen wären Anwendungen wie biometrische Identifikation im öffentlichen Raum, KI für Jobbewerbungen und Prüfungen, KI in Energie- und Verkehrsnetzen, Kreditwürdigkeitsprüfung oder KI-gestützte Entscheidungen im Gesundheitswesen und in der Strafverfolgung. Reuters, AI Act Service Desk
Die vorgeschlagene Verzögerung ist eine Verschiebung, um Standards, Leitlinien und Aufsichtsstrukturen fertigzustellen, nicht ein Zurückdrehen der Regulierung. NGOs und einige Abgeordnete sprechen dennoch von einem „Rollback“ digitaler Schutzmechanismen, da gleichzeitig Lockerungen bei Datenschutz- und Cookie-Regeln diskutiert werden. The Guardian
Unternehmen sollten diesen Zeitraum als Zeitfenster nutzen, um Governance-Strukturen aufzubauen. Dies betonen auch Compliance-Analysen, etwa von Nemko oder Compliance & Risks. digital.nemko.com, complianceandrisks.com
Nationale KI-Pläne
Parallel zur EU verfolgt Australien einen anderen Ansatz: Mit einem National AI Plan werden Investitionen in Rechenzentren, Dateninfrastruktur und Weiterbildung gebündelt. KI soll weitgehend über bestehende Gesetze reguliert werden, flankiert von einem eigenen AI Safety Institute ab 2026. Industrie Seite, ABC, Reuters
Nationaler Künstliche-Intelligenz-Plan Australien: Infrastruktur, Daten, Menschen
Während die EU den EU AI Act verfeinert, setzt Australien mit seinem National AI Plan 2025 einen anderen Schwerpunkt: weniger neue Verbote, dafür ein koordinierter Ausbau von Infrastruktur, Datenzugang und Kompetenzen. Industrie Seite
Der Plan verfolgt drei zentrale Linien:
- Rechenzentren & Infrastruktur: Der Bund unterstützt Investitionen in moderne, GPU-optimierte Rechenzentren und souveräne Datenkapazitäten, um AI-Workloads im Land zu halten. Reuters, Daily Telegraph
- Weiterbildung & Skills: Ein zentrales Ziel ist, Beschäftigte auf allen Ebenen zu befähigen, KI sicher und produktiv einzusetzen – vom öffentlichen Dienst (APS AI Plan) bis zur Industrie. finance.gov.au, go8.edu.au
- Sicherheit & Governance: Ein mit 30 Mio. AUD finanziertes AI Safety Institute soll bis 2026 entstehen und als Kompetenzzentrum für sichere KI-Entwicklung dienen, insbesondere mit Blick auf nationale Sicherheit und Souveränität. News.com.au
Die australische Regierung betont, dass sie sich bei der Regulierung vorerst auf bestehende Gesetze – etwa im Datenschutz, Wettbewerbsrecht und Verbraucherschutz – stützen will, statt einen eigenen AI Act zu schaffen. ABC, The Guardian
Für Unternehmen, die in mehreren Jurisdiktionen aktiv sind, entsteht ein Kontrast: In der EU ist KI-Compliance an einen Spezialrahmen (EU AI Act) gebunden, während Australien stärker mit sektoralen Aufsichtsbehörden und bestehenden Rechtsinstrumenten arbeitet, flankiert von einem nationalen Investitions- und Qualifizierungsprogramm.
KI-Compliance für Unternehmen
Die Debatte läuft auf die Frage hinaus: Wie baue ich eine KI-Compliance-Strategie, die sowohl den EU AI Act als auch nationale KI-Pläne adressiert? Ein pragmatischer Einstieg ist, KI als Erweiterung bestehender Governance-Strukturen zu behandeln, ähnlich Compliance-by-Design-Ansätzen. complianceandrisks.com
Was bedeutet „Hochrisiko-KI-System“ in der EU konkret?
Die zentrale Frage vieler Projekte lautet: „Was bedeutet Hochrisiko-KI-System EU – trifft das auf unser Vorhaben zu?“
Der AI Act definiert Hochrisiko-Systeme über zwei Zugänge: Erstens KI, die Teil oder Sicherheitskomponente eines bereits regulierten Produkts ist (z.B. Medizinprodukte, Fahrzeuge). Zweitens KI-Systeme in bestimmten sensiblen Anwendungsbereichen, die in Annex III gelistet sind. Künstliche Intelligenz Gesetz EU, Künstliche Intelligenz Gesetz EU
Annex III umfasst unter anderem: Biometrie (z.B. Remote-Face-ID in öffentlichen Räumen), kritische Infrastruktur (Energie, Verkehr, Wasser), Bildung (Zulassung, Prüfungsüberwachung), Beschäftigung und HR (Auswahl und Bewertung von Bewerbenden), Zugang zu essentiellen Dienstleistungen (z.B. Kredite, Versicherungen), Strafverfolgung, Migration sowie Justiz. Künstliche Intelligenz Gesetz EU, AI Act Service Desk
Beispiele aus der Praxis:
- Bank: Ein Scoring-Modell, das automatisch Kreditlimits und Konditionen für Privatkunden entscheidet, wird als Hochrisiko eingestuft, da es in finanzielle Chancen eingreift. eyreACT
- Krankenhaus: Ein Triage-System, das Notfallpatienten basierend auf KI-Auswertung von Vitaldaten priorisiert, ist Hochrisiko wegen des Risikos für Gesundheit und Leben. twobirds.com
- Behörde: Eine Arbeitsagentur, die ein Modell nutzt, um die Vermittelbarkeit von Bewerbenden einzuschätzen, fällt wegen des Eingriffs in soziale Rechte typischerweise in Annex III. Stibbe
Rechtlich entscheidend ist, ob ein System ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte erzeugt. Der AI Act erlaubt Ausnahmen für einige Annex-III-Fälle, wenn kein „significant risk“ vorliegt, etwa in begrenzten Fraud-Detection-Szenarien. Al Act, dpo-consulting.com
Für Hochrisiko-KI-Systeme gelten strenge Pflichten: dokumentiertes Risikomanagement, robuste Daten-Governance, technische Dokumentation, Protokollierung, Human-oversight-Konzepte sowie Anforderungen an Genauigkeit, Robustheit und Cybersicherheit. Künstliche Intelligenz Gesetz EU
Unternehmen, die in diesen Bereichen KI einsetzen, sollten frühzeitig analysieren, welche Projekte in die Hochrisiko-Schiene fallen, und mit der Dokumentation beginnen.

Quelle: ctol.digital
Die Risikoklassifizierung von KI-Systemen nach dem EU AI Act, von minimalem bis zu inakzeptablem Risiko.
General Purpose AI-Modelle: neue EU-Richtlinien für Foundation-Modelle
Die zweite große Baustelle sind General Purpose AI-Modelle (GPAI), oft Foundation-Modelle genannt. Der AI Act definiert ein „general-purpose AI model“ als Modell, das mit großen Datenmengen trainiert wurde, breite Generalität zeigt und eine Vielzahl unterschiedlicher Aufgaben kompetent erledigen kann. Künstliche Intelligenz Gesetz EU
Beispiele sind Modelle wie GPT-4, DALL·E oder BERT, die erst durch ihre Integration in konkrete Systeme domänenspezifisch werden. Taylor Wessing
Seit 2. August 2025 gelten spezielle Pflichten für Anbieter solcher General Purpose AI-Modelle:
- Transparenzanforderungen (u.a. technische Dokumentation, Beschreibung der Fähigkeiten, bekannte Einschränkungen, Zusammenfassungen der Trainingsdaten).
- Vorgaben zum Umgang mit Urheberrecht, etwa durch Policies und Mechanismen zur Beachtung von Rechteketten.
- Bei systemisch riskanten Modellen zusätzliche Pflichten wie Modell-Evaluierungen, Risikominderung, adversarielle Tests und Incident Reporting. Digitale Strategie Europa, Digitale Strategie Europa, Reuters
Systemisch riskante Modelle werden u.a. anhand von technischen Schwellenwerten (Trainings-Compute) und ihrer möglichen Auswirkungen eingestuft. Künstliche Intelligenz Gesetz EU, Stibbe
Praktisch relevant ist der GPAI-Rahmen für zwei Gruppen in Unternehmen:
- Model-Provider – Teams, die eigene Foundation-Modelle trainieren und „as-a-service“ oder intern breit bereitstellen.
- Downstream-Anwender, die ein externes Foundation-Modell in ein konkretes System einbauen und dadurch in die Rolle des System-Providers oder Deployers geraten. Eipa, EY
Der vorgeschlagene Aufschub im Digital Omnibus betrifft vor allem die Hochrisiko-Anforderungen, nicht pauschal die GPAI-Verpflichtungen, die ab August 2025 laufen. OneTrust
Wer heute schon mit einem Foundation-Modell interne Entscheidungsprozesse automatisiert, sollte prüfen, ob das eigene Set-up als GPAI-Provider, als Hochrisiko-System oder als Kombination beider Rollen zu verstehen ist.
Drei praktische Beobachtungen für die KI-Compliance-Strategie
- Ohne Inventar keine Strategie: Unternehmen, die frühzeitig eine KI-Landkarte erstellen – welche Systeme wo im Einsatz sind, welche Daten sie nutzen und welche Entscheidungen sie beeinflussen – können schneller erkennen, welche Anwendungsfälle potenziell in Annex III fallen oder Foundation-Modelle beinhalten. eyreACT, dpo-consulting.com
- Risikoklasse + Rolle klären: Die Kombination aus Risikoklasse (High-Risk vs. Limited Risk) und Rolle (Provider vs. Deployer) entscheidet über die Pflichten. Wer z.B. ein US-Foundation-Modell in einem EU-Bankenkontext nutzt, kann gleichzeitig Deployer eines Hochrisiko-Systems und „Downstream-Anwender“ eines GPAI-Modells sein – mit unterschiedlichen, sich überlagernden Pflichten. Künstliche Intelligenz Gesetz EU
- Compliance als Produktfeature denken: Gerade in regulierten Branchen wird KI-Compliance zum Verkaufsargument. Ein Fintech, das ein AI-Risikomanagement nach EU AI Act etabliert hat, tut sich bei B2B-Kunden leichter. Strukturierte Impact-Assessments (z.B. Menschenrechts- oder Fundamental Rights Impact Assessments) machen Risiken sichtbar. arXiv, arXiv
Wer die längere Frist für Hochrisiko-Systeme bis 2027 nutzt, um solche Prozesse zu etablieren, steht besser da, wenn die formale Aufsicht anzieht, und profitiert früher von einem Vertrauensbonus.
Wichtige Definitionen
- EU AI Act: Eine Verordnung der Europäischen Union zur Regulierung von Künstlicher Intelligenz, die einen risikobasierten Ansatz verfolgt.
- General Purpose AI (GPAI) / Foundation-Modelle: KI-Modelle, die mit großen Datenmengen trainiert wurden, breite Generalität zeigen und eine Vielzahl unterschiedlicher Aufgaben erfüllen können.
- Hochrisiko-KI-System: KI-Systeme, die ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte darstellen, entweder als Teil regulierter Produkte oder in spezifischen sensiblen Anwendungsbereichen (Annex III).
- Digital Omnibus: Ein Paket von Vorschlägen der EU-Kommission, das unter anderem eine Verschiebung der Fristen für Hochrisiko-KI-Systeme beinhaltet.
- National AI Plan (Australien): Australiens Strategie zur Förderung von KI durch Investitionen in Infrastruktur, Datenzugang und Weiterbildung, wobei die Regulierung primär über bestehende Gesetze erfolgt.

Quelle: user-added
Ein Diagramm zeigt sieben Prinzipien für den Einsatz von KI, angeordnet in einem Kreis mit Textbeschreibungen.
Ressourcen & Ausblick
Für alle, die sich die Themen lieber erklären lassen, sind einige Videos gut geeignet – immer als Ergänzung zu den Originaltexten:
- Eine kompakte Einführung in Struktur, Risikoklassen und globale Reichweite bietet „EU AI Act Explained 2025“.
- Einen etwas grundsätzlicheren Überblick liefert „The EU’s AI Act Explained“.
- Wer schon an Foundation-Modellen arbeitet, bekommt im Gespräch „Unpacking the EU AI Act Code of Practice with Marietje Schaake“ einen praxisnahen Blick auf den GPAI Code of Practice.
- Für den australischen Kontext lohnt sich ein Blick in Diskussionen zur dortigen KI-Strategie und dem AI-Ökosystem, etwa im Format „Australia’s AI ecosystem growth and opportunities“ des National AI Centre.
Staaten ziehen die KI-Regeln an – aber sie tun es nicht überall gleich. In Europa wird der EU AI Act präzisiert und in Teilen zeitlich gestreckt, ohne seine Grundlogik einer streng risikobasierten Regulierung aufzugeben. In Australien steht ein National AI Plan für Infrastruktur, Skills und Sicherheit, der stärker auf bestehende Gesetze und sektorale Aufsicht setzt. AI Act Service Desk, Industrie Seite
Für Unternehmen heißt das: Nicht zwischen Innovation und Regulierung wählen, sondern die eigene KI-Strategie so aufsetzen, dass sie beides trägt. Wer seine Hochrisiko-KI-Systeme identifiziert, Foundation-Modelle sauber einordnet und KI-Governance als festen Bestandteil von Produkt- und Prozessentwicklung etabliert, nutzt den aktuellen „Regulierungs-Shift“ als Chance.