Blog (custom content)

KI-Verordnung der EU: GPAI-Regeln seit 2. August 2025

Ab August gelten neue EU-Spielregeln für KI – besonders für „Allzweck“-Modelle (GPAI). Mehr Transparenz, strengere Dokumentation, klare Risikobewertungen: Der EU AI Act nimmt richtig Fahrt auf. Was Unternehmen über GPAI-Pflichten, systemisches Risiko, den freiwilligen Code of Practice und die nächsten To-Dos wissen müssen, lesen Sie hier.

09/16/25
Banking der Zukunft, Compliance, Digitalisierung, Künstliche Intelligenz
KI-Verordnung der EU: GPAI-Regeln seit 2. August 2025

KI-Verordnung der EU: GPAI-Regeln seit 2. August 2025

Seit dem 2. August 2025 gelten in der EU spezifische Pflichten für „Allzweck“-KI-Modelle (GPAI), insbesondere sind mehr Transparenz, mehr Sicherheit und mehr Risikomanagement gefordert.

Die Kommission hat Leitlinien sowie einen freiwilligen Code of Practice (CoP) veröffentlicht. Dieser CoP ist zwar nicht rechtsverbindlich, wird aber von Kommission und AI-Board als geeigneter Nachweisweg anerkannt und bietet pragmatische Umsetzungshilfen.

Die Leitlinien präzisieren, was als GPAI gilt, wie sich Modelle von Anwendungen abgrenzen und wann „systemisches Risiko“ vorliegt. Modelle mit Trainings-Compute über 10^25 FLOPs gelten widerlegbar als systemisch; auch darunter kann eine Einstufung erfolgen. Erreicht oder erwartet ein Modell den Schwellenwert, muss der Anbieter das AI-Office unverzüglich, spätestens aber binnen zwei Wochen, informieren. Nicht jedes GPAI ist jedoch meldepflichtig: Die Zwei-Wochen-Meldung betrifft nur GPAI mit systemischem Risiko. Für alle GPAI gelten Pflichtdokumentation, Copyright-Policy und eine öffentliche Zusammenfassung der Trainingsdaten nach EU-Template.

Der am 10. Juli 2025 finalisierte CoP bündelt den „Stand der Technik“ in Checklisten und Prozessen; Signatare werden durch das AI-Office eng begleitet.

CoP-Schwerpunkte

EU AI Act: Was gilt wann?

Kernpflichten umfassen risikobasierte Bewertung, Nachvollziehbarkeit, Schulungen und Nutzerinformation; High-Risks zusätzlich QMS (Art. 17), Konformitätsbewertung, EU-Konformitätserklärung und CE-Kennzeichnung.

Risikoklassen

Ein GPAI kann je nach Nutzung in jede Klasse fallen; modellbezogene GPAI-Pflichten kommen zusätzlich hinzu.

Für die Umsetzung empfiehlt die Kommission klare Systemdefinitionen (Modell vs. Anwendung), risikobasierte Bewertungen, die Beachtung technischer Anforderungen inklusive CE und EU-Datenbank bei High-Risks sowie den Betrieb mit laufender Überwachung. 2025 liegt der Fokus auf KI-Kompetenz (Art. 4), Datenschutz und Urheberrecht.

In Deutschland fungiert die Bundesnetzagentur als Single Point of Contact mit KI-Service-Desk. Geplant sind zentrale Anlaufstellen, KMU-Hilfen und Leitfäden zu Einstufung, Schulung und Dokumentation.

Relevante Artikel sind: Art. 4 (KI-Kompetenz), Art. 17 (QMS für High-Risk) sowie Art. 50 (Transparenzpflichten inklusive Kennzeichnung synthetischer Inhalte).

Takeaways

Für Unternehmen empfiehlt sich eine konsolidierte Bestandsaufnahme aller KI-Systeme, die Einstufung inklusive Prüfung auf GPAI und systemisches Risiko, der Aufbau eines Art.-17-QMS bei High-Risk, ein internes KI-Compliance-Handbuch mit Rollen, Freigaben und Incident-Prozessen sowie die konsistente technische Dokumentation inklusive öffentlicher Trainingsdaten-Summary für GPAI.

CE-Konformität und EU-Datenbank sind für High-Risk frühzeitig zu planen; Schulungen nach Art. 4 rollenspezifisch auszurollen und regelmäßig zu aktualisieren.