Die Umsetzung des AI Act erfolgt gestaffelt und erstreckt sich vom 2. Februar 2025 bis Ende 2027. Diese stufenweise Einführung soll den Wirtschaftsakteuren Zeit zur Anpassung geben und gleichzeitig die dringendsten Schutzmaßnahmen rasch aktivieren.
Die im Kapitel V der Verordnung festgelegten GPAI-Pflichten bilden das Herzstück der Regulierung von foundation models. Jeder Anbieter eines AI-Modells mit allgemeinem Verwendungszweck, das auf dem europäischen Markt bereitgestellt wird - auch im open source mit teilweisen Ausnahmen - muss:
Für systemische Risikomodelle, die durch ein Training mit mehr als 10²⁵ FLOPS oder durch Benennung durch die Kommission identifiziert werden, kommen weitere Pflichten hinzu: kontinuierliche Risikobewertung, standardisierte adversariale Tests (red-teaming), Cybersicherheitsmaßnahmen, Meldung schwerwiegender Vorfälle an das AI-Büro und Veröffentlichung eines Berichts zur Energieeffizienz. Bei Inkrafttreten im August 2025 fielen GPT-4, Gemini Ultra, Claude 3 Opus und Llama 3.1 405B in den Geltungsbereich. Die Schwelle kann von der Kommission angepasst werden, um dem Stand der Technik Rechnung zu tragen.
Um die Einhaltung der Artikel 53 und 55 vor der Verabschiedung harmonisierter Standards zu erleichtern, hat die Europäische Kommission im Juli 2024 die Ausarbeitung eines Verhaltenskodex für AI-Modelle mit allgemeinem Verwendungszweck gestartet. Koordiniert vom AI-Büro und unter Beteiligung von dreizehn unabhängigen Experten sowie rund hundert konsultierten Organisationen, wurde der Kodex in mehreren Zwischenfassungen entwickelt und am 10. Juli 2025 final veröffentlicht.
Der Kodex stützt sich auf drei Säulen: Transparenz (Veröffentlichung technischer Informationen für Anwender und Öffentlichkeit), Urheberrecht (operationale Verfahren zur Beachtung von opt-out) und Sicherheit/Safety bei systemischen Risikomodellen. Die Annahme ist freiwillig, bietet aber eine Vermutungswirkung der Konformität: Ein Anbieter, der den Kodex befolgt, gilt als regelkonform. Die führenden US-amerikanischen und europäischen Labore haben sich - mit Ausnahme von Meta, das im Juli 2025 wegen angeblich inkompatibler Rahmenbedingungen für Llama die Unterzeichnung verweigerte - auf die Bestimmungen verständigt. Google und Anthropic unterzeichneten mit Vorbehalten, während OpenAI, Mistral AI und Microsoft volle Unterstützung zusagten.
Artikel 53 wurde zum Kristallisationspunkt der Debatte über das Zusammenwirken von generativer AI und Kreativwirtschaft. Absatz 1(c) verpflichtet GPAI-Anbieter zur Einführung einer Urheberrechtsschutz-Policy, Absatz 1(d) verlangt die Veröffentlichung einer hinreichend detaillierten Zusammenfassung der Trainingsinhalte nach einem vom AI-Büro vorgegebenen Muster.
In der Praxis basiert der Mechanismus auf dem Zusammenspiel von exception TDM (text and data mining, Artikel 4 der Richtlinie 2019/790) und opt-out machine-readable. Rechteinhaber, die der Nutzung ihrer Werke für AI-Training widersprechen wollen, müssen dies in einem maschinenlesbaren Format erklären - typischerweise per robots.txt-Datei, HTTP-Header oder eingebetteter Metadaten. Verschiedene Initiativen - TDM Reservation Protocol des W3C, ai.txt, C2PA - bieten konkurrierende Standards an, ohne dass sich bis 2026 einer durchgesetzt hätte.
Französische Rechteinhaber bezweifeln die Wirksamkeit des Systems. SACEM, SCAM, SACD und SDRM kritisieren das Informationsungleichgewicht und fehlende Sanktionen bei Missachtung von opt-out. Im Mai 2026 führte die Ablehnung des Gesetzentwurfs Darcos in der Assemblée nationale, der einen umgekehrten Beweismechanismus (Vermutung der Werkverwendung bei fehlender Transparenz) durch Artikel L. 331-4-1 des Code de la propriété intellectuelle einführen wollte, dazu, dass die Rechteinhaber auf die strikte Anwendung von Artikel 53 durch die Europäische Kommission verwiesen wurden.
Der AI Act schafft zwei zentrale europäische Einrichtungen. Das Europäische AI-Büro (European AI Office), im Mai 2024 durch Kommissionsbeschluss eingerichtet und der DG CONNECT zugeordnet, überwacht die Umsetzung der Verordnung für GPAI und systemische Risikomodelle. Es gibt den Verhaltenskodex heraus, überwacht die Anbieter, bearbeitet Beschwerden und kann Sanktionen verhängen. Bei seiner Gründung umfasste es rund hundert Mitarbeitende und wurde von Lucilla Sioli geleitet.
Der Europäische Ausschuss für Künstliche Intelligenz (European AI Board) vereint die Vertreter der nationalen Aufsichtsbehörden der 27 Mitgliedstaaten. Seine erste offizielle Sitzung fand im September 2024 statt. Er koordiniert die Mitgliedstaaten, harmonisiert die Auslegung der Verordnung und berät die Kommission. Ein beratendes Forum, das Industrie, Zivilgesellschaft, Wissenschaft und KMU einbindet, ergänzt das Gremium.
Auf nationaler Ebene benennt jeder Mitgliedstaat eine oder mehrere zuständige Behörden. In Frankreich koordiniert die CNIL die Umsetzung der datenschutzbezogenen Bestimmungen, während DGCCRF und DGE für Produkt- und Binnenmarktaspekte zuständig sind. Eine ressortübergreifende Koordinierungsgruppe wurde 2025 angekündigt, war aber zum Zeitpunkt des Inkrafttretens der GPAI-Regeln noch nicht formalisiert.
Der AI Act sieht eine abgestufte Sanktionsskala je nach Schwere des Verstoßes vor:
Für KMU und Start-ups gilt eine verhältnismäßige Obergrenze: Es kommt stets der niedrigere der beiden Beträge zur Anwendung. Die ersten formellen Verfahren werden nach der Phase der schrittweisen Anpassung voraussichtlich Ende 2026 vom AI-Büro eingeleitet.
Der AI Act hat das europäische AI-Ökosystem grundlegend umgestaltet. Für große Anwenderunternehmen (Banken, Versicherungen, Gesundheit, HR) bedeutet dies, Compliance bereits bei der Systementwicklung zu integrieren - bekannt als compliance by design. Das umfasst die Mapping von AI-Anwendungen, Impact-Analysen, technische Dokumentation und interne Governance. Beratungen wie Wavestone, France Digitale und Gide haben bereits im Februar 2024 praktische Leitfäden zur Kompetenzentwicklung veröffentlicht.
Für open source-Modellanbieter sieht die Verordnung teilweise Ausnahmen von den GPAI-Pflichten vor, sofern Parameter, Architektur und Nutzungsinformationen offengelegt werden - ausgenommen systemische Risikomodelle. Eine Koalition europäischer open source-Akteure (Hugging Face, GitHub, Mistral, La Quadrature du Net) forderte im Juli 2023 einen flexibleren Rahmen zur Sicherung kollaborativer Innovation. Der Kompromiss erhält diese Ausnahmen aufrecht, verlangt jedoch die Veröffentlichung der Trainingsdatensummary und der Urheberrechtspolicy, was die Skalierung auf sehr große Korpora erschwert.
Für die europäischen Champions - Mistral AI, LightOn, Aleph Alpha, Black Forest Labs - bedeutet der AI Act eine doppelte Herausforderung: Sie müssen sich in kurzer Zeit anpassen und gleichzeitig wettbewerbsfähige Modelle gegenüber OpenAI, Anthropic oder Google weiterentwickeln. Mehrere Stimmen, darunter Arthur Mensch (Mistral AI), warnten vor einem Risiko der Deindustrialisierung Europas, falls die Regulierungslasten im internationalen Vergleich überproportional werden. Dagegen betonen Yoshua Bengio, Raja Chatila und Nicolas Miailhe, dass ein strikter Rahmen entscheidend für die strategische Autonomie Europas und das öffentliche Vertrauen sei.
Der AI Act ist Teil eines fragmentierten internationalen Umfelds. In den USA wurde die Executive Order von Biden aus Oktober 2023 im Januar 2025 von der Trump-Regierung weitgehend aufgehoben, sodass Bundesbehörden und Bundesstaaten (insbesondere Kalifornien mit SB 1047) eigene sektorale oder lokale Ansätze entwickeln. China hat bereits im August 2023 ein Genehmigungssystem für generative AI-Modelle für die breite Öffentlichkeit eingeführt und über 190 LLMs zugelassen, allerdings unter politischer Kontrolle der generierten Inhalte.
Das Vereinigte Königreich setzt auf einen prinzipienbasierten Ansatz, umgesetzt durch bestehende Sektorregulierer, bislang ohne spezifisches Gesetz. Brasilien, Kanada, Japan und Südkorea entwickeln eigene Rahmenwerke, häufig inspiriert vom europäischen risikobasierten Ansatz. Der Bruxelles-Effekt - die faktische extraterritoriale Wirkung europäischer Regelungen, wenn internationale Anbieter sich weltweit anpassen statt mehrere Regime zu managen - dürfte wie beim RGPD eintreten, ist aber 2026 noch nicht messbar.
Mehrere internationale Gipfel haben diese Entwicklung begleitet: AI Safety Summit in Bletchley Park (November 2023), Séoul AI Safety Summit (Mai 2024), AI Action Summit in Paris (Februar 2025). Sie alle bestätigten das Fehlen eines globalen Konsenses zur Regulierung, betonten aber die besondere Verantwortung der EU als erstem Regulierer mit verbindlichem Rechtsrahmen.
Die kritischen Themen der nächsten 18 Monate sind:
Der AI Act ist kein Selbstzweck, sondern ein lebendiger Rahmen. Eine Überprüfung ist alle vier Jahre vorgesehen, die erste für 2028 erwartet. Sein Erfolg wird weniger am Wortlaut als an seiner Fähigkeit gemessen werden, Grundrechtsschutz, industrielle Innovation und europäische technologische Souveränität miteinander zu verbinden.
Die Verordnung ist am 1. August 2024 in Kraft getreten, zwanzig Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union am 12. Juli 2024. Ihre Anwendung erfolgt gestaffelt bis August 2027 je nach Art der betroffenen Systeme: Verbote gelten seit dem 2. Februar 2025, GPAI-Pflichten ab dem 2. August 2025, Hochrisikosysteme ab August 2026.
Ein Modell gilt als systemisch risikobehaftet, wenn es die Schwelle von 10²⁵ FLOPS an kumulierter Rechenleistung während des Trainings überschreitet. Zu Beginn der Verpflichtung im August 2025 waren GPT-4, Gemini Ultra, Claude 3 Opus und Llama 3.1 405B betroffen. Die Kommission kann auch weitere Modelle anhand qualitativer Kriterien benennen (Anzahl der Nutzer, Modalitäten, bewertete Fähigkeiten).
Jeder Anbieter eines foundation models zur allgemeinen Verwendung, das auf dem europäischen Markt bereitgestellt wird, muss eine technische Dokumentation führen, eine detaillierte Zusammenfassung der Trainingsdaten veröffentlichen, eine Urheberrechtspolitik umsetzen und mit dem Büro für KI zusammenarbeiten. Für systemisch risikobehaftete Modelle kommen fortlaufende Evaluierung, adversarielle Tests, Cybersicherheit und Meldepflichten für Vorfälle hinzu.
Artikel 53 verpflichtet Anbieter von GPAI, die von Rechteinhabern erklärten opt-out nach der Richtlinie 2019/790 zu respektieren. Dieses opt-out muss machine-readable sein (robots.txt, HTTP-Header, Metadaten). Französische Rechteinhaber kritisieren die Wirksamkeit der Regelung, da mit dem Wegfall des Gesetzes Darcos im Mai 2026 kein nationales Gesetzesinstrument mehr zur Verfügung steht.
Die Sanktionen reichen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken, 15 Millionen oder 3 % für Verstöße gegen Pflichten bei Hochrisikosystemen und GPAI sowie 7,5 Millionen oder 1 % für die Bereitstellung falscher Informationen. Für Großunternehmen gilt der höhere, für KMU der niedrigere Betrag.
Es handelt sich um ein Referenzdokument, das am 10. Juli 2025 von der Europäischen Kommission veröffentlicht wurde und von dreizehn unabhängigen Experten sowie rund hundert konsultierten Organisationen erarbeitet wurde. Die freiwillige Annahme gilt als Vermutungswirkung für die Einhaltung der Artikel 53 und 55. OpenAI, Mistral AI, Microsoft, Anthropic und Google haben unterzeichnet, Meta hat abgelehnt.
Das Europäische Büro für KI, angesiedelt bei der Europäischen Kommission (DG CONNECT), überwacht die Anbieter von GPAI und systemisch risikobehafteten Modellen. Das Europäische KI-Komitee vereint die nationalen Behörden der 27 Mitgliedstaaten. In Frankreich sind CNIL, DGCCRF und DGE je nach Bereich zuständig.
Ja, Modelle, deren Parameter, Architektur und Nutzungsinformationen unter einer freien Lizenz veröffentlicht werden, profitieren von teilweisen Ausnahmen bei den GPAI-Pflichten - außer wenn es sich um ein systemisch risikobehaftetes Modell handelt. Die Veröffentlichung der Zusammenfassung der Trainingsdaten und die Urheberrechtspolitik bleiben jedoch für alle open source Modelle verpflichtend.
Im Juli 2025 unterzeichneten mehr als 150 Führungskräfte europäischer Unternehmen - darunter Carrefour, BNP Paribas, Airbus und TotalEnergies - einen offenen Brief, in dem sie ein zweijähriges Moratorium für die Anwendung des AI Act forderten. Sie verwiesen auf Wettbewerbsnachteile gegenüber US-amerikanischen und chinesischen Akteuren. Die Europäische Kommission lehnte dies ab und hielt am ursprünglichen Zeitplan fest.
Der RGPD regelt die Verarbeitung personenbezogener Daten, während der AI Act das Inverkehrbringen und die Nutzung von IA-Systemen regelt, unabhängig davon, ob sie personenbezogene Daten verarbeiten oder nicht. Beide Rechtsakte gelten kumulativ: Ein Hochrisiko-IA-System, das personenbezogene Daten verarbeitet, muss sowohl die AI Act-Pflichten als auch die RGPD-Grundsätze (Rechtmäßigkeit, Datenminimierung, Betroffenenrechte) einhalten.
Die erste vierjährige Überprüfung der Verordnung ist für 2028 vorgesehen. Die Kommission muss dabei die Wirksamkeit des Instruments, den Stand der Technik und die Möglichkeit zur Anpassung von Schwellenwerten, Listen hochriskanter Anwendungen und Governance-Mechanismen bewerten.
5 articles liés à ce sujet
Die Konferenz der elf Fraktionsvorsitzenden der Nationalversammlung hat am 12. Mai 2026 am Morgen den Gesetzesentwurf Darcos zum Urheberrecht und zur...
Die ersten Bestimmungen des AI Act bezüglich unzulässiger KI-Risiken wurden letzten Februar angewendet. Die Verpflichtungen für allgemeine KI-Modelle...
Nach einem dritten Entwurf, der im letzten März veröffentlicht wurde, hat die Europäische Kommission gestern die endgültige Fassung des Verhaltenskode...
Europäische Unternehmen, darunter Carrefour, BNP Paribas, Airbus und TotalEnergies, forderten eine zweijährige Pause bei der Anwendung der europäische...
Das KI-Büro der Europäischen Kommission hat den dritten Entwurf des Code of Good Practices veröffentlicht, um Anbieter von allgemeinen KI-Modellen bei...
