KI-VO – neue Übergangsfristen und deutsche Marktaufsicht
Neue Fristen der KI-VO und Rolle der BNetzA bei der Marktaufsicht
Digital Omnibus: neue Fristen für Hochrisiko-KI-Systeme
Mit der Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-VO) hat die EU KI-Systeme sowie KI-Modelle mit allgemeinem Verwendungszweck einer umfassenden Regelung unterworfen.
Bereits seit dem 2. Februar 2025 gelten die ersten Vorschriften zur Herbeiführung von KI-Kompetenz bei Anbietern und gewerblichen Nutzern (Betreibern) aller KI-Systeme (Art. 4 KI-VO) sowie zu verbotenen KI-Praktiken (Art. 5 KI-VO).
Am 19. November 2025 hat die EU-Kommission den Digital Omnibus (Digital omnibus on AI) vorgestellt, mit dem sie verschiedene EU-Digital-Gesetze, darunter die KI-VO, anpassen und vereinfachen will. So soll die nach der KI-VO bereits seit dem 2. Februar 2025 zu beachtende Pflicht von Anbietern und Betreibern zur Vermittlung von KI-Kompetenz bei Personen, die in ihrem Auftrag KI-Systeme nutzen, entfallen. Die Verantwortung für die Sicherstellung der KI-Kompetenz soll stattdessen der EU-Kommission sowie den Mitgliedsstaaten als gesamtpolitische Aufgabe übertragen werden.
Nach der bisher gültigen Fassung der KI-VO werden ab dem Jahr 2026 neben wichtigen Transparenzpflichten für die Anbieter und Betreiber von KI-Systemen mit geringem Risiko insbesondere auch die Vorschriften für Hochrisiko-KI-Systeme Anwendung finden. Nach dem Digital Omnibus soll die Anwendbarkeit dieser Vorschriften zeitlich nach hinten verlegt werden.
Anwendungsbezogene Hochrisiko-KI-Systeme: Verpflichtungen gelten spätestens ab dem 2. Dezember 2027
Von Hochrisiko-KI-Systemen können erhebliche Gefahren für die Grundrechte, die Gesundheit und die Sicherheit von Menschen ausgehen, weshalb die KI-VO umfassende Pflichten für die Anbieter und Betreiber solcher KI-Systeme vorschreibt. Die KI-VO unterscheidet dabei zwischen zwei Kategorien:
- Hochrisiko-KI-Systeme, die selbst Produkte oder Sicherheitskomponenten von Produkten sind, welche den produktsicherheitsrechtlichen Harmonisierungsvorschriften in Anhang I der KI-VO unterfallen;
- Hochrisiko-KI-Systeme, die in bestimmten, in Anhang III der KI-VO aufgeführten anwendungsbezogenen Kontexten verwendet werden, wie beispielsweise in den Bereichen kritische Infrastruktur oder Personalmanagement.
Bisher sieht die KI-VO vor, dass Anbieter und Betreiber der zweiten Kategorie ab dem 2. August 2026 umfassende Vorgaben insbesondere in Bezug auf Daten-Governance, Dokumentation, Transparenz, Robustheit und Cybersicherheit einhalten müssen. Der Digital Omnibus sieht vor, dass die Pflichten für anwendungsbezogene Hochrisiko-KI-Systeme grundsätzlich erst sechs Monate nach dem Erlass einer Entscheidung der EU-Kommission anwendbar sein sollen, die bestätigt, dass adäquate Maßnahmen zum Nachweis der Einhaltung der Vorschriften verfügbar sind (zum Beispiel harmonisierte Normen oder gemeinsame Spezifikationen). Sollten solche Maßnahmen nicht rechtzeitig veröffentlicht werden, sind die genannten Vorschriften spätestens ab dem 2. Dezember 2027 zu beachten.
Die Nichteinhaltung der Vorgaben kann mit Bußgeldern von bis zu EUR 15 Millionen belegt werden.
Transparenzvorschriften für Anbieter und Betreiber von KI-Systemen mit geringem Risiko
Neben den Vorschriften für Hochrisiko-Systeme enthält die KI-VO Regeln für KI-Systeme, von denen begrenzte Risiken ausgehen, wie zum Beispiel KI-basierte Chatbots und KI-Systeme, die kreative Inhalte erstellen.
So müssen beispielsweise Anbieter von generativen KI-Systemen gemäß Art. 50 Abs. 2 KI-VO sicherstellen, dass die mit KI erzeugten Inhalte in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt bzw. manipuliert erkennbar sind.
Während die KI-VO dies bisher bereits ab dem 2. August 2026 vorgibt, sollen nach dem Digital Omnibus Anbieter von generativen KI-Systemen, die bereits vor dem 2. August 2026 auf dem EU-Binnenmarkt verfügbar waren, die Pflichten aus Art. 50 Abs. 2 KI-VO erst ab dem 2. Februar 2027 einhalten müssen. Anbieter von nach dem 2. August 2026 veröffentlichten Systemen müssen die Transparenzpflichten bereits ab diesem Datum erfüllen.
Betreiber von KI-Systemen, die Inhalte herstellen, die darüber täuschen, dass Personen bestimmte Aussagen getätigt oder Handlungen vorgenommen haben (sogenannte Deepfakes), sind ab dem 2. August 2026 grundsätzlich verpflichtet, offenzulegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden. Ferner müssen Betreiber sicherstellen, dass mithilfe von KI erstellte Texte, die die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse informieren (beispielsweise KI-generierte politische Erklärungen eines Unternehmens), eindeutig als KI-generiert gekennzeichnet sind.
Verletzungen der aufgezeigten Transparenzpflichten sind ebenfalls mit Bußgeldern von bis zu EUR 15 Millionen bewehrt.
Marktüberwachung in Deutschland: die künftige Rolle der Bundesnetzagentur
Die Marktüberwachung von KI-Systemen ist nach der KI-VO zweigliedrig ausgestaltet. Die Überwachung von sogenannten KI-Modellen mit allgemeinem Verwendungszweck obliegt dem bei der KI-Kommission angesiedelten AI Office. Hingegen sind die nationalen Marktüberwachungs- und Notifizierungsbehörden zuständig für die Überwachung der Einhaltung von Vorschriften für verbotene KI-Praktiken und KI-Systeme mit hohem und begrenztem Risiko.
Deutschland plant die Marktüberwachung mithilfe des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) umzusetzen, das derzeit als Referentenentwurf vorliegt. Hiernach soll die Bundesnetzagentur (BNetzA) als zentrale Marktüberwachungsbehörde für alle KI-Systeme, die nicht bereits spezialgesetzlich geregelten Fachaufsichten unterliegen, etabliert werden.
Zusammenfassung und Ausblick
Insbesondere für Betreiber von KI-Systemen mit geringem Risiko gelten ab dem 2. August 2026 verbindliche Vorschriften für den Einsatz von KI, vor allem Transparenz-Anforderungen. Für Anbieter von Hochrisiko-KI-Systemen wird die Anwendbarkeit zusätzlicher, aus der KI-VO resultierender Pflichten im Fall der Verabschiedung des Digital Omnibus deutlich aufgeschoben.
In Deutschland wird voraussichtlich die BNetzA die zentrale Rolle bei der Marktüberwachung einnehmen. Sie bietet bereits jetzt Unterstützung für Unternehmen im KI-Bereich. Wer sich frühzeitig vorbereitet, kann Risiken minimieren und sich Wettbewerbsvorteile sichern.
