Phase 2: In Kraft seit 2. August 2025
Die Phase-2-Verpflichtungen des EU AI Act sind am 2. August 2025 in Kraft getreten und schaffen erhebliche Compliance-Anforderungen für europäische KMU, die KI-Systeme nutzen. Die meisten KMU sind sich dieser Anforderungen noch nicht bewusst.
Kritische Warnung
Organisationen, die ChatGPT, Copilot, Claude oder Gemini nutzen, drohen Strafen von €35 Millionen oder 7% des globalen Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Zwei primäre Anforderungen
1. Transparenzverpflichtungen für GPAI-Anbieter
- Technische Dokumentation zu Trainingsprozessen und Modelleinschränkungen
- Offenlegung von Trainingsdaten-Zusammenfassungen zur Identifizierung potenzieller Verzerrungen
- Dokumentation der Copyright-Compliance-Verfahren
- Veröffentlichung von Kontaktinformationen für regulatorische Anfragen
2. Melde- und Risikopflichten
Organisationen, die KI-Modelle mit systemischem Risiko einsetzen, müssen EU-Behörden benachrichtigen.
Drei praktische Szenarien
Szenario 1: Kundenservice-Chatbots
Erfordert Offenlegung gegenüber Kunden, Dokumentationspraktiken und Governance-Strukturen mit menschlichen Aufsichtsprotokollen.
Szenario 2: Recruiting-KI (Hochrisiko)
Erfordert Risikobewertungen, obligatorische menschliche Überprüfung von Entscheidungen, Kandidatentransparenz und detaillierte Audit-Trails mit Entscheidungsbegründungen.
Szenario 3: Business Analytics (geringeres Risiko)
Erfordert Systemdokumentation, Verständnis der Trainingsdaten und menschliche Verifizierung vor der Implementierung.
Compliance-Zeitplan
- Bis Dezember 2025: Inventar aller KI-Systeme inkl. Nutzer, Anwendungen und Risikoklassifizierungen
- Bis Februar 2026: Governance-Struktur etablieren, KI-Verantwortlichen benennen, Nutzungsrichtlinien entwickeln
- Bis März 2026: Team-Schulungen durchführen, Dokumentation erstellen
- Fortlaufend: Alle Systeme dokumentieren, Risiken identifizieren, Compliance-Maßnahmen aufzeichnen
Strafstruktur
- Verbotene Praktiken: €35 Millionen oder 7% des globalen Jahresumsatzes
- Hochrisiko-Systeme Non-Compliance: €15 Millionen oder 3% des Jahresumsatzes
- Transparenzverstöße: €7,5 Millionen oder 1% des Jahresumsatzes
Beispiel: Ein KMU mit €10 Millionen Umsatz riskiert €100.000 Mindeststrafen bei 1%-Verstößen.
Fazit
Die Verordnung fördert transparente, sichere und ethische KI-Implementierung. Verantwortungsvolle KMU, die ihre Praktiken angemessen dokumentieren, werden minimale Compliance-Herausforderungen haben. Nichteinhaltung resultiert aus dem Versäumnis, Systeme zu dokumentieren und inhärente Risiken wie Diskriminierung oder Datenschutzverletzungen anzugehen.
