Blogpost

KI-Verordnung der EU: GPAI-Regeln seit 2. August 2025

Ab August gelten neue EU-Spielregeln für KI – besonders für „Allzweck“-Modelle (GPAI). Mehr Transparenz, strengere Dokumentation, klare Risikobewertungen: Der EU AI Act nimmt richtig Fahrt auf. Was Unternehmen über GPAI-Pflichten, systemisches Risiko, den freiwilligen Code of Practice und die nächsten To-Dos wissen müssen, lesen Sie hier.

Hasan Neu
958
Banking der Zukunft
Compliance
Digitalisierung
Künstliche Intelligenz
2 Minuten Lesezeit
Metal Surface

KI-Verordnung der EU: GPAI-Regeln seit 2. August 2025

Seit dem 2. August 2025 gelten in der EU spezifische Pflichten für „Allzweck“-KI-Modelle (GPAI), insbesondere sind mehr Transparenz, mehr Sicherheit und mehr Risikomanagement gefordert.

Die Kommission hat Leitlinien sowie einen freiwilligen Code of Practice (CoP) veröffentlicht. Dieser CoP ist zwar nicht rechtsverbindlich, wird aber von Kommission und AI-Board als geeigneter Nachweisweg anerkannt und bietet pragmatische Umsetzungshilfen.

Die Leitlinien präzisieren, was als GPAI gilt, wie sich Modelle von Anwendungen abgrenzen und wann „systemisches Risiko“ vorliegt. Modelle mit Trainings-Compute über 10^25 FLOPs gelten widerlegbar als systemisch; auch darunter kann eine Einstufung erfolgen. Erreicht oder erwartet ein Modell den Schwellenwert, muss der Anbieter das AI-Office unverzüglich, spätestens aber binnen zwei Wochen, informieren. Nicht jedes GPAI ist jedoch meldepflichtig: Die Zwei-Wochen-Meldung betrifft nur GPAI mit systemischem Risiko. Für alle GPAI gelten Pflichtdokumentation, Copyright-Policy und eine öffentliche Zusammenfassung der Trainingsdaten nach EU-Template.

Der am 10. Juli 2025 finalisierte CoP bündelt den „Stand der Technik“ in Checklisten und Prozessen; Signatare werden durch das AI-Office eng begleitet.

CoP-Schwerpunkte

white lines
  • Transparenz: Modell- und Trainingsangaben, Ansprechpartner, Ressourcenverbrauch
  • Urheberrecht: Nutzungsgrundlagen im Training, TDM-Opt-outs
  • Sicherheit & Risikomanagement: zusätzliche Pflichten für GPAI mit systemischem Risiko

EU AI Act: Was gilt wann?

white lines
  • Seit 2. Februar 2025: Verbote bestimmter Praktiken, KI-Kompetenz
  • Seit 2. August 2025: GPAI-Pflichten; Übergang für bereits verfügbare Modelle bis 2. Aug 2027
  • Ab 2. August 2026: Großteil der High-Risk-Pflichten
  • Bis 2. August 2027: High-Risk-Regeln für eingebettete KI voll wirksam

Kernpflichten umfassen risikobasierte Bewertung, Nachvollziehbarkeit, Schulungen und Nutzerinformation; High-Risks zusätzlich QMS (Art. 17), Konformitätsbewertung, EU-Konformitätserklärung und CE-Kennzeichnung.

Risikoklassen

white lines
  • Unacceptable Risk: verboten
  • High-Risk: strenge Anforderungen
  • Limited Risk: Transparenzhinweise
  • Minimal Risk: kaum Pflichten

Ein GPAI kann je nach Nutzung in jede Klasse fallen; modellbezogene GPAI-Pflichten kommen zusätzlich hinzu.

Für die Umsetzung empfiehlt die Kommission klare Systemdefinitionen (Modell vs. Anwendung), risikobasierte Bewertungen, die Beachtung technischer Anforderungen inklusive CE und EU-Datenbank bei High-Risks sowie den Betrieb mit laufender Überwachung. 2025 liegt der Fokus auf KI-Kompetenz (Art. 4), Datenschutz und Urheberrecht.

In Deutschland fungiert die Bundesnetzagentur als Single Point of Contact mit KI-Service-Desk. Geplant sind zentrale Anlaufstellen, KMU-Hilfen und Leitfäden zu Einstufung, Schulung und Dokumentation.

Relevante Artikel sind: Art. 4 (KI-Kompetenz), Art. 17 (QMS für High-Risk) sowie Art. 50 (Transparenzpflichten inklusive Kennzeichnung synthetischer Inhalte).

Takeaways

white lines
  • Risikobasierter Ansatz, nicht technologiegetrieben
  • GPAI-Modellpflichten kommen zur anwendungsbezogenen Einstufung hinzu
  • High-Risks erfordert Zertifizierung, Dokumentation, menschliche Aufsicht
  • GPAI mit systemischem Risiko: zusätzliche Safety-Pflichten und Zwei-Wochen-Meldung

Für Unternehmen empfiehlt sich eine konsolidierte Bestandsaufnahme aller KI-Systeme, die Einstufung inklusive Prüfung auf GPAI und systemisches Risiko, der Aufbau eines Art.-17-QMS bei High-Risk, ein internes KI-Compliance-Handbuch mit Rollen, Freigaben und Incident-Prozessen sowie die konsistente technische Dokumentation inklusive öffentlicher Trainingsdaten-Summary für GPAI.

CE-Konformität und EU-Datenbank sind für High-Risk frühzeitig zu planen; Schulungen nach Art. 4 rollenspezifisch auszurollen und regelmäßig zu aktualisieren.

msg_Gradient_BLAU

Checkliste „Nächste Schritte“

  1. KI-Systeme identifizieren und einstufen (inklusive GPAI-Pflichten).
  2. Verantwortlichkeiten klären, Prozesse definieren.
  3. Mitarbeitende schulen (AI Literacy).
  4. Dokumentation & Standards anpassen; CoP als Leitplanke nutzen.
  5. Frühzeitig BNetzA-Service-Desk und EU-Materialien (Guidelines, Template) nutzen.
Share: LinkedIn Xing X Facebook
Mitarbeiter neu Hassan

Hasan Neu

vereint langjährige Erfahrung in der Technologieberatung mit zertifiziertem Prozess-Know-how. Er ist es gewohnt, sich in komplexen Strukturen zu bewegen, umfangreiche Anforderungen schnell zu analysieren und zu strukturieren und mit seinem Projektteam ergebnisorientierte Lösungen zu erarbeiten. Er verbindet fundiertes technisches Wissen mit agilen Managementmethoden und verfügt über ein breites Technologie-Knowhow als auch starkes Methodenwissen in den Bereichen IT-Aufbau- und Ablauforganisation. Seine Schwerpunkte bilden dabei alle Themen im Umfeld einer Cloud-Transition, von der Entwicklung einer Strategie bis hin zur erfolgreichen Umsetzung.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Blogpost
6 Minuten Lesezeit

Der EU AI Act: Was bedeutet die zukünftige Regulierung künstlicher Intelligenz für die Innovationskraft der Bankenbranche?

Fachartikel
4 Minuten Lesezeit

Relevantes Detail im EU AI Act: KI-Kompetenz ist ab sofort Pflicht

Blogpost
5 Minuten Lesezeit

Hybrid-Ansatz – Geschwindigkeit und KI-Compliance im Gleichklang