Die Europäische Kommission (Kommission) hat am 26. September 2025 einen für die Unternehmenspraxis wichtigen Entwurf für Leitlinien zur Meldung von schwerwiegenden Vorfällen nach Art. 73 der EU-KI-Verordnung 2024/1689 (KI-VO) veröffentlicht (Leitlinien). Nach Art. 73 KI-VO müssen Anbieter von Hochrisiko-KI-Systemen schwerwiegende Vorfälle beim Einsatz von KI-Systemen zeitnah den nationalen Marktüberwachungsbehörden melden.
Die Leitlinien konkretisieren die Voraussetzungen eines schwerwiegenden Vorfalls und zeigen die Handlungspflichten der einschlägigen Akteure auf. Zudem enthält der Entwurf ein Muster für ein entsprechendes Meldeformular an die zuständige Marktüberwachungsbehörde. Abschließend befasst er sich mit dem Zusammenspiel mit Meldepflichten nach anderen unionsrechtlichen Digitalrechtsakten, wie etwa der EU-Datenschutz-Grundverordnung 2016/679 (DSGVO).
Unternehmen können bis zum 7. November 2025 Anmerkungen zu dem Entwurf übermitteln. Nach Abschluss der entsprechenden Konsultationsphase wird die Kommission eine finale Fassung der Leitlinien veröffentlichen. Diese sollen dann ab August 2026 gelten.
Art. 73 KI-VO verpflichtet Anbieter von Hochrisiko-KI-Systemen dazu, sogenannte schwerwiegende Vorfälle im Zusammenhang mit KI-Systemen der zuständigen nationalen Marktüberwachungsbehörde zu melden. Darüber hinaus regelt Art. 73 KI-VO das gebotene Vorgehen nach einer Meldung, wie etwa die Einleitung von Untersuchungen und die Vornahme von Korrekturmaßnahmen.
Die zentrale Voraussetzung eines schwerwiegenden Vorfalls ist in Art. 3 Nr. 49 KI-VO definiert und beschreibt einen Vorfall oder eine Fehlfunktion bezüglich eines KI-Systems, das direkt oder indirekt eine schwere Folge auslöst. Zu diesen schweren Folgen zählen (a) der Tod oder eine schwere Schädigung einer Person, (b) schwere und unumkehrbare Störungen der Verwaltung oder des Betriebs kritischer Infrastrukturen, (c) die Verletzung von Pflichten aus den Unionsrechtsvorschriften zum Schutz der Grundrechte, sowie (d) schwere Sach- oder Umweltschäden.
Die Meldepflichten nach Art. 73 KI-VO gelten nur für Anbieter von Hochrisiko-KI-Systemen. Solche Systeme bringen nach Einschätzung des EU-Gesetzgebers ein hohes Risiko für Gesundheit, Sicherheit oder Grundrechte der Bürgerinnen und Bürger mit sich und fallen daher unter die Klassifizierung des Art. 6 KI-VO. Anbieter sind alle Stellen, die ein Hochrisiko-KI-System entwickeln oder entwickeln lassen und es unter ihrem eigenen Namen oder ihrer Handelsmarke entweder in Verkehr bringen oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nehmen (vgl. Art. 3 Nr. 3 KI-VO).
Nach Art. 55 Abs. 1 lit. c KI-VO besteht eine weitere Meldepflicht von Anbietern von KI-Modellen, welche einem allgemeinen Verwendungszweck dienen und systemische Risiken aufweisen, gegenüber dem AI-Office der Kommission. Zu dieser Meldepflicht verhalten sich die Leitlinien bislang nicht. In der Praxis dürfte es gleichwohl sinnvoll sein, als Adressat beider Meldepflichten – soweit möglich – gleichlaufende Meldeprozesse aufzusetzen und sich dabei an den Leitlinien zu orientieren. Auch der Praxiskodex für Künstliche Intelligenz für allgemeine Zwecke der Kommission enthält Vorgaben zu den Meldepflichten nach Art. 55 Abs. 1 lit. c KI-VO, die Unternehmen bei der Entwicklung ihrer Meldeprozesse berücksichtigen sollten.
Der Entwurf der Leitlinien konkretisiert den Anwendungsbereich von Art. 73 KI-VO. Hierdurch möchte die Kommission Klarheit für Unternehmen schaffen, unter welchen Umständen tatsächlich eine Meldepflicht besteht.
Zur Begründung einer Meldepflicht reicht nach Ansicht der Kommission eine indirekte Kausalität zwischen dem KI-System und dem Schaden aus. So soll nach Ansicht der Kommission beispielsweise auch eine fehlerhafte medizinische Analyse durch ein KI-System, die erst durch eine nachfolgende ärztliche Entscheidung zu einem Schaden führt, als indirekter und damit meldepflichtiger Vorfall gelten. Entsprechendes gilt nach Auffassung der Kommission auch für die Ablehnung eines Kredits aufgrund einer fehlerhaften KI-Bewertung oder die Benachteiligung qualifizierter Bewerberinnen und Bewerber durch ein diskriminierendes, KI-gestütztes Auswahlverfahren. Trotz des exemplarischen Charakters der Beispiele der Konsultationsfassung zeigt sich deutlich, dass die Kommission insgesamt von einem weiten Anwendungsbereich der Meldepflichten ausgeht.
Nach Ansicht der Kommission soll für Hochrisiko-KI-Systeme in Sektoren mit bestehenden, gleichwertigen Meldepflichten – etwa im Bereich kritischer Infrastrukturen (NIS-2-Richtlinie 2022/2555) – ein vereinfachtes Melderegime gelten. Die Meldepflicht nach Artikel 73 der KI-Verordnung greift demnach nur bei Grundrechtsverletzungen; alle anderen Vorfälle sind nach den jeweils sektorspezifischen Vorschriften zu melden.
Die Fristen für die erforderlichen Meldungen sind streng: Im Regelfall müssen Unternehmen die Meldung unverzüglich, spätestens jedoch 15 Tage nach Kenntnis des schwerwiegenden Vorfalls, einreichen. Bei einer möglichen Verursachung eines Todesfalls beträgt die Frist zehn Tage, bei weitverbreiteten Verstößen oder einer ernsthaften und unumkehrbaren Störung kritischer Infrastrukturen nur zwei Tage.
Um die Fristen zu wahren, dürfen Anbieter gemäß Art. 73 Abs. 5 KI-VO zunächst einen unvollständigen Erstbericht abgeben und können ausstehende Informationen nachreichen. Nach der Meldung des Vorfalls muss der jeweilige Anbieter umgehend Untersuchungen durchführen (vgl. Art. 73 Abs. 6 KI-VO). Die Leitlinien konkretisieren diese Untersuchungspflichten, beispielsweise in Bezug auf das Verbot, im Rahmen der Untersuchung ohne Unterrichtung der Behörden Änderungen am KI-System vorzunehmen, die sich auf die spätere Analyse des Vorfalls auswirken könnten.
Meldungen schwerwiegender Vorfälle werden zukünftig häufig Ausgangspunkt für Marktüberwachungsmaßnahmen und weitere behördliche Schritte durch die zuständigen Marktüberwachungsbehörden sein. Diese können entsprechende Maßnahmen gemäß Art. 73 Abs. 8 KI-VO innerhalb von sieben Tagen nach Eingang der Meldung anordnen. Die Maßnahmen richten sich nach Art. 19 der Marktüberwachungsverordnung (MÜVO). So kann die Marktüberwachungsbehörde beispielsweise Produkte zurückrufen, vom Markt nehmen oder ihre Bereitstellung auf dem Markt untersagen.
Ein zusätzlich von der Kommission zur Konsultation gestelltes Meldeformular mit den zu übermittelnden Informationen ist sehr umfangreich. Unternehmen sollten ihre Dokumentation vor dem Hintergrund der kurzen Meldefristen daher stets aktuell halten, damit sie bei Vorfällen rechtzeitig die erforderliche Meldung einreichen können.
Bei Verstößen gegen die Meldepflichten drohen erhebliche Haftungsrisiken: Die KI-VO sieht Bußgelder von bis zu €15 Mio. oder 3% des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist) vor. Hinzu kommen mögliche aufsichtsrechtliche Maßnahmen wie Verwarnungen, Anordnungen, Vertriebsbeschränkungen oder Rücknahmen sowie die öffentlichkeitswirksame Veröffentlichung von Maßnahmenberichten. Zivilrechtlich drohen Schadensersatzklagen durch betroffene Nutzer.
Unternehmen sollten daher frühzeitig bestehende Meldeprozesse überprüfen und die neuen Pflichten in bestehende Meldesysteme integrieren. Dazu gehören insbesondere die Etablierung klarer Incident-Response-Protokolle, Monitoring-Systeme zur Erkennung potenzieller schwerwiegender Vorfälle, Beweissicherungsmaßnahmen und das Definieren interner Zuständigkeiten für das Meldewesen. Bei alldem empfiehlt es sich, die Prozesse eng mit bestehenden Meldeprozessen nach weiteren Digitalrechtsakten, wie etwa der DSGVO, abzustimmen. Dabei können sich Unternehmen auch an Best Practices und Erfahrungen aus dem Produktsicherheitsrecht orientieren.
Bei den Leitlinien zur Meldung schwerwiegender Vorfälle und dem dazugehörigen Meldeformular handelt es sich bislang lediglich um Entwurfsfassungen. Vor dem Hintergrund zahlreicher „Platzhalter“ im Dokument ist zu hoffen, dass die Kommission den Anwendungsbereich des Art. 73 Abs. 1 KI-VO im Laufe des Konsultationsprozesses weiter konkretisieren wird.
Die öffentliche Konsultation läuft noch bis zum 7. November 2025. Betroffene Unternehmen haben bis dahin die Möglichkeit zur Stellungnahme. Wir unterstützen unsere Mandanten gerne dabei, entsprechende Meldeprozesse einzuführen oder bestehende Prozesse zu erweitern. Unternehmen sollten auch prüfen, ob sie mit praxisnahen Verbesserungsvorschlägen zur Konkretisierung der Leitlinien und dem Meldeformular am Konsultationsverfahren teilnehmen wollen.