202605.01.

KI-Verordnung: Freiwillige Verhaltenskodizes und weitere Änderungen

von Tags: ,

In unserer Blog-Reihe zur KI-Verordnung (EU 2024/1689) haben wir bereits die ersten in Kraft getretenen Pflichten thematisiert – etwa die Förderung von KI-Kompetenz gemäß Art. 4 KI-VO und die Verbote riskanter KI-Praktiken. Nun betrachten wir drei weitere Schwerpunkte: (1) freiwillige Verhaltenskodizes, (2) neue verbindliche Pflichten die seit dem 2. August 2025 gelten sowie (3) die nationale Umsetzung in Deutschland.

Freiwillige Verhaltenskodizes

Die KI-VO sieht neben den verpflichtenden Vorgaben auch freiwillige Verhaltenskodizes vor. Diese sollen Unternehmen helfen, über die Mindeststandards hinaus einheitliche und vertrauenswürdige Regeln im Umgang mit KI zu etablieren.

Insbesondere gibt es jetzt einen Code of Practice für General-Purpose-AI (GPAI). Dieser Kodex wurde am 10. Juli 2025 veröffentlicht, begleitet von ergänzenden Leitlinien der EU-Kommission am 18. Juli 2025.

Wichtige Schwerpunkte der Verhaltenskodizes sind Transparenz, Urheberrecht und Sicherheit:









Unternehmen können den Kodex freiwillig unterzeichnen, um gegenüber Behörden und Geschäftspartnern ein verantwortungsvolles KI-Management zu signalisieren. Die Einhaltung eines anerkannten Kodex kann zudem als Hinweis auf Konformität mit der KI-Verordnung dienen und die Compliance erleichtern.

Neue verbindliche Pflichten seit dem 2. August 2025

Der 2. August 2025 markierte einen Meilenstein: Ab diesem Datum traten umfangreiche neue Pflichten aus der Verordnung in Kraft. Dazu gehören insbesondere:

  • die Einrichtung nationaler Konformitätsbewertungsstellen nach Kapitel III, Abschnitt 4 KI-VO, die als benannte Stellen künftig Hochrisiko-KI-Systeme prüfen und zertifizieren.
  • neue Transparenz- und Risikomanagementpflichten für Anbieter allgemeiner KI-Modelle nach Kapitel V KI-VO.
  • eine neue Governance-Struktur auf europäischer Ebene durch Kapitel VII KI-VO, die ein EU-KI-Büro sowie nationale Aufsichtsbehörden umfasst.
  • die Verpflichtung zuständiger Behörden gemäß Art. 78 KI-VO, vertrauliche Unternehmensinformationen, die sie im Rahmen ihrer Aufsichtstätigkeit erhalten, besonders zu schützen.

Damit ist der 2. August 2025 der Startpunkt für die praktische Durchsetzung vieler Regelungen. Unternehmen müssen spätestens zu dem Zeitpunkt belastbare Compliance-Strukturen aufgebaut haben, um Sanktionen und Reputationsschäden zu vermeiden.

Nationale Umsetzung: Gesetzentwurf des BMDS

Die KI-Verordnung gilt zwar unmittelbar in allen Mitgliedstaaten, benötigt aber ein nationales Umsetzungsgesetz, um Zuständigkeiten und Aufsicht eindeutig festzulegen. Das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) hat hierfür den Entwurf eines KI-Marktüberwachungs- und Innovationsförderungsgesetzes vorgelegt.

Geplant ist, dass die Bundesnetzagentur eine eigene KI-Marktüberwachungskammer einrichtet und die zentrale Aufsicht übernimmt, während die BaFin eine Sonderzuständigkeit für den Finanzsektor erhält.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll weiterhin für Fragen der Cybersicherheit zuständig bleiben. Eine Zuständigkeit der Datenschutzaufsichtsbehörden ist dagegen nicht vorgesehen, um widersprüchliche Auslegungen zwischen den beiden Rechtsgebieten zu vermeiden.

Der Entwurf baut auf einem früheren Vorschlag („KI-Marktüberwachungsgesetz“) auf und befindet sich derzeit in der Ressortabstimmung. Die Beteiligung von Ländern und Verbänden beginnt am 4. September 2025, anschließend folgt das parlamentarische Verfahren.

Für Unternehmen entsteht damit parallel zu den europäischen Vorgaben ein klarer nationaler Rechtsrahmen, der die Aufsichtspraxis sowie die zuständigen Ansprechpartner in Deutschland konkretisiert.

Zusammenfassung

Die KI-Verordnung nimmt weiter Gestalt an: Mit den Kodizes vom 10. und 18. Juli 2025 liegen praxisnahe Leitlinien für den Umgang mit GPAI-Modellen vor. Seit dem 2. August 2025 gelten verbindliche Pflichten in zentralen Bereichen wie Konformitätsbewertung, Governance, Vertraulichkeit und Sanktionen. Der aktuelle Gesetzentwurf des BMDS schafft zudem Klarheit, welche nationalen Behörden in Deutschland künftig für die Marktüberwachung zuständig sein werden.

Für Unternehmen ergeben sich daraus drei Handlungsfelder:











Wir unterstützen Sie dabei, diese drei Ebenen in Einklang zu bringen. Kontaktieren Sie uns, wenn Sie Unterstützung bei der sicheren und zukunftsfesten Umsetzung der KI-Verordnung wünschen.

RA Sebastian Schwiering
Wissenschaftlicher Mitarbeiter Jamal Lale

******