KI-Verordnung

Seit dem Inkrafttreten der KI-VO sind erste praktische Erfahrungen gesammelt worden – und sie zeigen: Rechtsunsicherheit, hoher Beratungsbedarf und erhebliche Anpassungen prägen die Umsetzung. Im Interview erläutern Prof. Dr. Christiane Wendehorst und Prof. Dr. Mario Martini die wichtigsten Learnings, Herausforderungen für Anbieter und Nutzer sowie die Schnittstellen zur DS-GVO. Außerdem geben sie einen Ausblick auf Compliance, Haftung und die Zukunft der Regulierung.

Von Prof. Dr. Christiane Wendehorst, LL.M und Prof. Dr. Mario Martini, Herausgeberin und Herausgeber des Kommentars zur KI-VO.

Seit Inkrafttreten der KI-Verordnung liegen erste praktische Erfahrungen vor. Welche zentralen Erkenntnisse haben sich bislang für die Rechtsanwendung ergeben?

Christiane Wendehorst: Die zentrale Erkenntnis, die man bislang gewinnen konnte, ist diejenige hoher Rechtsunsicherheit und hohen Beratungsbedarfs. Nachdem die KI-VO mit Ablauf des 1. August 2024 in Kraft getreten war, ist ja die erste Gruppe von Vorschriften seit 2. Februar 2025 und die nächste Gruppe von Vorschriften seit 2. August 2025 in der Union unmittelbar anwendbar geworden. Schon so scheinbar einfache Fragen, wie diejenige, was ein „KI-System“ eigentlich ausmacht und worin es sich von anderen Software-Lösungen unterscheidet, sind enorm schwierig zu beantworten.

Mario Martini: Gerade im Hinblick auf die Governance und die organisatorischen Abläufe zeichnet sich bei den Unternehmen ein hoher Anpassungsbedarf ab. Speziell die Schulungen zur KI-Kompetenz, die Art. 4 KI-VO vorgibt, stellen zahlreiche Unternehmen vor Herausforderungen und verunsichern sie. Dass die konkretisierenden Leitlinien zur KI-VO erst mit erheblicher Verzögerung das Licht der Welt erblicken, erschwert die Umsetzungspraxis für die Unternehmen zusätzlich.

Welche Herausforderungen sehen Sie für Unternehmen bei der praktischen Umsetzung der Pflichten für Anbieter und Nutzer von Hochrisiko-KI-Systemen – insbesondere im Hinblick auf Dokumentation, Transparenz und menschliche Aufsicht?

Mario Martini: Die KI-VO trägt den Anbietern von Hochrisiko-KI-Systemen ein sehr dichtes Portfolio an Pflichten auf. Der Aufbau der neuen Compliance-Strukturen wird den Unternehmen in hohem Maße Anpassungen abverlangen. Dies wird erhebliche Ressourcen binden. Gerade kleinere Unternehmen kann das überfordern, weil sie in ihren Geschäftsmodellen die Kosten nicht mithilfe von Skaleneffekten leicht abfedern können. Die zahlreichen unbestimmten Rechtsbegriffe, die der Unionsgesetzgeber gerade für die Dokumentations-, Transparenz- und Aufsichtspflichten in das normative System eingeflochten hat, erschweren den Unternehmen die Umsetzung der Vorgaben zusätzlich.

In Ihrem Werk gehen Sie auch auf Überschneidungen zur Datenschutz-Grundverordnung ein. Wo sehen Sie nach wie vor die größten Konflikt- oder Abstimmungsbedarfe zwischen KI-VO und DS-GVO, etwa bei der Verarbeitung personenbezogener Daten durch KI?

Christiane Wendehorst: Die DS-GVO ist nicht optimal auf die Bedürfnisse der KI-Entwicklung und KI-Anwendung abgestimmt. Rechtsunsicherheit besteht häufig hinsichtlich der Rechtsgrundlage für das Training von KI-Modellen mit großen und heterogenen Datenmengen, beispielsweise aus dem Internet, und auch hinsichtlich der Geltendmachung von Betroffenenrechten in Bezug auf personenbezogene Daten im KI-Modell selbst. Auch die allgemeinen Datenschutzgrundsätze der Datenminimierung und Zweckbindung sind nicht optimal auf die Bedürfnisse im Zusammenhang mit KI abgestimmt.

Wie verändert die KI-VO die Anforderungen an Compliance-Strukturen in Unternehmen? Und wie schätzen Sie die Haftungsrisiken für Unternehmen und Entwickler ein?

Christiane Wendehorst: Die KI-VO hat noch einmal eine Reihe weiterer Anforderungen an die Compliance in Unternehmen mit sich gebracht. Betroffen sind potenziell alle Unternehmen sämtlicher Branchen, die irgendwo bei sich KI einsetzen – auch sie müssen beispielsweise die allgemeinen Anforderungen betreffend KI-Kompetenz erfüllen. Noch stärker betroffen sind Unternehmen, welche KI im Hochrisiko-Bereich einsetzen, beispielsweise im Recruiting. Auch wenn die KI-VO nicht unmittelbar selbst Haftungsvorschriften enthält, in die dort festgeschriebenen Sorgfaltspflichten auch für die zivilrechtliche Schadensersatzhaftung von hoher Relevanz. Man sollte die Anforderungen daher nicht auf die leichte Schulter nehmen.

Halten Sie die KI-VO für ausreichend flexibel, um mit der rasanten technologischen Entwicklung Schritt zu halten? Oder sehen Sie bereits jetzt Regelungsbedarfe, etwa im Hinblick auf generative KI oder multimodale Systeme?

Mario Martini: Die Verordnung setzt einen flexiblen Rahmen. Ihr risikobasierter Ansatz ist grundsätzlich offen dafür, auch neue Entwicklungen aufzunehmen. Sie baut überdies in weitem Umfang Elemente exekutivischer Normkonkretisierung ein, die Flexibilität und Reaktionsschnelligkeit ermöglichen, da sie nicht dem schwerfälligen Takt von Gesetzgebungsprozessen unterworfen sind. Auf diese ist die KI-VO auch angewiesen, um der rasanten Entwicklung hinreichend Rechnung zu tragen. Wichtig wird es aber auch sein, dabei zugleich eine hinreichende demokratische Rückbindung zentraler normativer Wertentscheidungen hinreichend sicherzustellen.

Die neue Auflage Ihres Werks berücksichtigt die Leitlinien der EU-Kommission zur Definition von KI-Systemen, zu verbotenen Praktiken und weitere Hilfestellungen, ebenso den Code of Practice und den Referentenentwurf des Gesetzes zur Durchführung der KI-VO. Welche praktischen Auswirkungen erwarten Sie durch die genannten Ergänzungen – und wie haben sie Ihre Kommentierung verändert?

Christiane Wendehorst: Auch wenn letztlich nur der EuGH zur verbindlichen Auslegung der KI-VO berufen ist, kommt doch beispielsweise den Leitlinien der Kommission eine extrem hohe Autorität zu. Rechtsanwender sind daher gut beraten, sich an diesen Leitlinien zu orientieren. Um den bestmöglichen Service für den Rechtsanwender zu bieten, hat auch unsere Kommentierung die bislang erschienenen Leitlinien in vollem Umfang berücksichtigt. Bei vielen Vorschriften hat dies praktisch eine völlige Neukommentierung erforderlich gemacht.

Mario Martini: Das deutsche Gesetz zur Durchführung der KI-VO wird für den praktischen Vollzug erhebliche Bedeutung entfalten. Nicht zuletzt wird von seiner praktischen Konzeption und Umsetzung auch abhängen, inwieweit die KI-VO eine gute Balance zwischen Innovationsförderung und „Regulierung mit Biss“ herstellt. Deshalb ist es unserem Kommentar ein besonderes Anliegen, die davon voraussichtlich ausgehenden Implikationen und Diskussionen bereits jetzt umfassend zu analysieren und in Ihren Kommentierungen zur Diskussion zu stellen.

(Ende des Gastbeitrags von Prof. Dr. Christiane Wendehorst, LL.M und Prof. Dr. Mario Martini)

Bußgelder im Überblick

• Bei Verstößen gegen Art. 5 KI-VO (verbotene KI-Systeme) drohen Geldbußen von bis zu 7 % des weltweiten Vorjahresumsatzes oder bis zu 35 Millionen Euro.
• Bei Verstößen gegen weitere Pflichten, die nach Artikel 99 KI-VO sanktionsbewehrt sind, können Bußgelder in Höhe von bis zu 3 % des weltweiten Vorjahresumsatzes oder bis zu 15 Millionen Euro drohen.
• Bei Nichteinhaltung der Auskunftspflichten gegenüber Behörden und weiteren sog. „notifizierten Stellen“ können Bußgelder in Höhe von 1 % des weltweiten Vorjahresumsatzes oder bis zu 7,5 Millionen Euro fällig werden.

(Der jeweils höhere Betrag ist maßgeblich.)

Quellen: NJW 2024, 2641 // KIR 2024, 62 // VO (EU) 2024/1689

Fazit zu KI-VO-Bußgeldern

Die von der KI-VO festgesetzten Bußgelder können Unternehmen empfindlich treffen. Unternehmen und andere Akteure sollten die Vorgaben der KI-Verordnung schnellstmöglich in ihre KI-Strategie integrieren und umsetzen.

Ein zentraler Aspekt ist die erfolgreiche Verteidigung gegen Bußgelder. Durch die Priorisierung von Prozessen und Strukturen sowie die sorgfältige Dokumentation der Einhaltung lassen sich Fehler vermeiden.

Bleiben Sie daher informiert und handeln Sie proaktiv! Denn das Thema KI gewinnt nicht nur an gesellschaftlicher Relevanz, sondern mit wegweisenden Gesetzen wie der europäischen KI-Verordnung auch immer mehr an rechtswissenschaftlicher Brisanz. 

Aktuelles Fachwissen bietet Ihnen C.H.BECK – unter anderem mit der Fachzeitschrift KIR – Künstliche Intelligenz und Recht, Kommentaren, Handbüchern und dem beck-online-Modul KI und Recht. 

Die KIR, die erste juristische Fachzeitschrift zu sämtlichen Entwicklungen und Herausforderungen im Bereich KI, informiert Sie zuverlässig einmal im Monat über alles Wesentliche und verfolgt dabei einen konkret interdisziplinären Ansatz.

Der Leitfaden stellt das neue Recht anschaulich vor, ordnet es anhand von Beispielen ein und gibt wertvolle Praxistipps auf dem Weg zur KI-Kompetenz. Neben der KI-Verordnung bleiben andere Rechtsgebiete wie Datenschutz-, Urheber- und Arbeitsrecht auch beim Einsatz weniger risikobehafteter KI-Systeme bedeutsam. Der Leitfaden setzt sie in den Kontext zum neuen KI-Recht.

Stand: Dezember 2025