Auf dem Weg zu einer pragmatischeren Umsetzung der KI-VO

(Übersetzt von DeepL)

Im November 2025 stellte die Europäische Kommission das Digital Omnibus Package vor. Der zweite Teil (der „Digital Omnibus II”) schlägt mehrere gezielte Anpassungen der Verordnung (EU) 2024/1689 über künstliche Intelligenz (KI-VO / RIA) vor, die ein zentrales Ziel verfolgen : die Umsetzung der Verordnung angesichts der ersten festgestellten Schwierigkeiten zu verbessern und gleichzeitig die Architektur des Gesetzes beizubehalten, die auf der Bewertung der Risiken eines KI-Systems (SIA) oder eines KI-Modells für allgemeine Zwecke (GPAIM) basiert.

Wie bereits in einem früheren Kommentar erwähnt (siehe Fischer, cdbf.ch/1397), gilt die AIA über die Grenzen der EU hinaus. In mehreren Szenarien könnten Schweizer Unternehmen, wie beispielsweise Finanzinstitute, die ASI bereitstellen oder nutzen, um bestimmte Dienstleistungen für EU-Bürger zu erbringen, als Betreiber oder sogar als Anbieter angesehen werden und der RIA unterliegen (siehe auch Fischer, cdbf.ch/1418 und cdbf.ch/1420). Der vorliegende Kommentar soll fünf im Entwurf des Digital Omnibus II vorgesehene Änderungen vorstellen, die für diese Akteure besonders interessant sind.

1. Neuer Zeitplan für das Inkrafttreten der Verpflichtungen für SIA

Der Entwurf schafft einen neuen Mechanismus, der das Inkrafttreten bestimmter Verpflichtungen, insbesondere derjenigen für risikoreiche SIA, an die Verfügbarkeit neuer Compliance-Instrumente (insbesondere harmonisierte Normen und Leitlinien der Kommission) knüpft.

Konkret bedeutet dies, dass nach der Veröffentlichung dieser Instrumente durch Beschluss der Kommission die betreffenden Verpflichtungen nach folgenden Übergangsfristen in Kraft treten :

• Für die in Anhang III (Art. 6 Abs. 2 RIA) aufgeführten hochriskanten SIA gelten die Verpflichtungen sechs Monate nach dem Beschluss, spätestens jedoch ab dem 2. Dezember 2027.
• Für die in Anhang I aufgeführten hochriskanten ISA (Art. 6 Abs. 1 RIA) gelten die Verpflichtungen zwölf Monate nach dem Beschluss, spätestens jedoch ab dem 2. August 2028.

Hinzu kommen Transparenzverpflichtungen für Anbieter und Betreiber von ISA oder GPAIM, die Audio-, Bild-, Video- oder Textinhalte generieren (die zur Kategorie der KI-Systeme mit begrenztem Risiko gehören). Für Systeme, die vor dem 2. August 2026 in Verkehr gebracht wurden, wird eine Übergangsfrist von sechs Monaten gewährt, um diese Anforderungen zu erfüllen (Art. 50 Abs. 2 RIA).

2. Überarbeitung der Verpflichtung zur Beherrschung der KI (« AI literacy »)

Der Entwurf hebt die derzeitige Verpflichtung für Anbieter und Betreiber auf, ein ausreichendes Mass an KI-Kompetenz für ihre Mitarbeiter sicherzustellen (Art. 4 RIA), und überträgt diese Verantwortung auf die Kommission und die Mitgliedstaaten, die künftig die Einführung geeigneter Schulungsmassnahmen fördern müssen. Die Anforderung, dass hochriskante SIA von Personal mit den erforderlichen Kompetenzen überwacht werden müssen, bleibt hingegen unverändert.

3. Erleichterung der Registrierungspflicht

Gemäß Art. 6 Abs. 3 RIA muss ein System, das in der Liste der hochrisikobehafteten AIS in Anhang III aufgeführt ist, aber nach Ansicht des Anbieters kein erhebliches Risiko für natürliche Personen darstellt, in der europäischen Datenbank registriert werden (Art. 6 Abs. 4 und 49 Abs. 2 RIA) .

Im Entwurf der Kommission wird diese Registrierungspflicht gestrichen, aber der Anbieter muss die Unterlagen, die diese Einstufung begründen, aufbewahren und den zuständigen Behörden auf Anfrage zur Verfügung stellen.

4. Stärkung der Rolle des Europäischen AI-Büros

Um die Aufsicht über SIA, die auf vom selben Anbieter entwickelten GPAIM basieren, zu verbessern, plant die Kommission, die Befugnisse des Europäischen AI-Büros zu stärken. Der Entwurf sieht die Verabschiedung von Durchführungsrechtsakten vor, in denen die Befugnisse des Büros präzisiert werden, indem ihm beispielsweise die Möglichkeit eingeräumt wird, Verwaltungssanktionen zu verhängen.

5. Möglichkeit der Verarbeitung sensibler Daten für das Training von AIS

Der Entwurf führt einen neuen Artikel 4a ein, der ausnahmsweise die Verarbeitung sensibler Daten für das Training, die Validierung und das Testen von AIS erlaubt, wenn dies zur Erkennung und Behebung von Fehlern erforderlich ist, vorbehaltlich der Einhaltung strenger Bedingungen. Diese Möglichkeit erstreckt sich auf AIS mit hohem Risiko sowie auf andere Kategorien von Systemen.

Aufgrund der Kritik an der Komplexität und den Schwierigkeiten bei der Anwendung des europäischen Rechtsrahmens im digitalen Bereich beabsichtigt die Europäische Kommission, diesen Rahmen durch das Digital Omnibus Package anzupassen, um seine Umsetzung zu verbessern. Ziel ist es nicht, das Schutzniveau zu senken, sondern bestimmte als zu restriktiv empfundene Verpflichtungen zu lockern und die Aufsicht auf europäischer Ebene zu verstärken.

In der Schweiz wurde zwar noch kein spezifischer Rechtsrahmen für KI verabschiedet, doch die geltenden Anforderungen werden nach und nach präzisiert. Der Finanzsektor beginnt mit der Einführung bestimmter Regeln, insbesondere durch die Erwartungen der FINMA in Bezug auf Governance und Risikomanagement, wie sie in ihrer Mitteilung zur Aufsicht 08/2024 dargelegt sind (siehe Caballero Cuevas, cdbf.ch/1392/). Das Ziel ist klar : Die mit dem Einsatz von KI verbundenen operativen, rechtlichen und Reputationsrisiken sollen antizipiert und kontrolliert werden.

In dieser Hinsicht ist die Einhaltung der RIA nicht nur eine Anforderung im Zusammenhang mit EU-orientierten Aktivitäten. Sie kann auch Teil eines umfassenderen Ansatzes zur Strukturierung der Governance von KI-Tools sein, der mit den bereits für Schweizer Finanzinstitute geltenden aufsichtsrechtlichen Erwartungen im Einklang steht.