Die EU-KI-Verordnung, die im August 2024 in Kraft getreten ist, bringt für Anbieter und Betreiber von KI-Systemen schrittweise neue Anforderungen.
Seit dem 2. August 2025: Ab diesem Zeitpunkt gelten die zentralen Vorschriften für KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI). Anbieter aller neuen GPAI-Modelle und bereits bestehender Modelle, die weiterhin genutzt oder in Verkehr gebracht werden, müssen die Pflichten der KI-Verordnung umsetzen.
Nachgelagerte Frist: Für GPAI, die bereits vor diesem Datum auf dem Markt waren, gelten Übergangsregelungen bis 2. August 2027, sofern sie nicht gravierend geändert werden.
Grundbegriffe
- Was sind GPAI-Modelle?
GPAI-Modelle sind KI-Modelle, die für mehrere Verwendungszwecke flexibel einsetzbar sind, also nicht auf einzelne, klar definierte Anwendungsfälle beschränkt sind. Zu den bekanntesten gehören etwa große Sprachmodelle oder multimodale KI-Modelle, wie Chatbots oder generative Systeme (wie bspw. GPT-5, Coilot, etc.).
- Wer ist Anbieter, wer ist Betreiber?
Anbieter: Entwickelt oder lässt ein GPAI-Modell entwickeln und bringt es unter eigenem Namen oder Handelsmarke in Verkehr/in Betrieb
Betreiber: Nutzt ein GPAI-Modell eigenverantwortlich, etwa im Unternehmen, unabhängig davon, ob er es selbst entwickelt hat oder von einem Drittanbieter bezieht
Pflichten für Anbieter von GPAI-Modellen
Die Anforderungen für Anbieter lassen sich wie folgt zusammenfassen:
- Technische Dokumentation: Erstellung und Aktualisierung einer umfassenden technischen Dokumentation über Modellarchitektur, Trainingsdaten, Methoden, Prüfergebnisse und Verwendungszwecke und Bereithaltung für Behörden und Betreiber.
- Transparenz- und Informationspflichten: Klar verständliche Gebrauchsanweisungen, Risikohinweise und Angaben zu den Trainingsinhalten müssen an nachgelagerte Betreiber oder Systemintegratoren übergeben werden.
- Urheberrechtskonformität: Nachweis über die Einhaltung der EU-Urheberrechte hinsichtlich der im Training verwendeten Inhalte und Dokumentation der entsprechenden Maßnahmen.
- Veröffentlichung einer Zusammenfassung über Inhalte, die fürs Training des KI-Modells verwendet werden
- Benennung eines Bevollmächtigten: Anbieter, die in Drittländern niedergelassen sind, benennen einen in der Union niedergelassenen Bevollmächtigten.
- Zusätzliche Anforderungen bei systemischem Risiko: GPAI-Modelle mit besonders hoher Rechenleistung bzw. Reichweite („systemisches Risiko“) unterliegen zusätzlichen Compliance-Anforderungen: Einführung eines Risikomanagementsystems, Durchführung von Modellbewertungen, Angriffstests, Überwachung von Vorfällen, Meldepflichten und verstärkte Cybersicherheitsmaßnahmen
Um die praktische Umsetzung dieser Anforderungen zu unterstützen, wurde von der Europäischen Kommission ein Verhaltenskodex („GPAI-Code of Practice“) veröffentlicht.
Empfehlungen für Betreiber von GPAI-Modellen
Auch wenn die expliziten Pflichten primär Anbieter treffen, entstehen für Betreiber wesentliche Pflichten „durch die Hintertür“. Insbesondere, wenn GPAI-Modelle im Unternehmenskontext genutzt, angepasst oder in eigene Systeme integriert werden.
Empfohlene Schritte für Betreiber:
- Informationsbeschaffung und -prüfung
Fordern Sie alle vom Anbieter bereitgestellten technischen Dokumentationen, Gebrauchsanweisungen und Compliance-Nachweise aktiv an. Prüfen Sie, welche Risiken, Einschränkungen und Verwendungsvorgaben durch den Anbieter genannt werden und dokumentieren Sie den Erhalt sowie die interne Prüfung.
- Eigenes Risikomanagement implementieren
Bewerten Sie die Risiken des GPAI-Einsatzes im eigenen Betriebskontext selbst. Dies gilt insbesondere für kritische Geschäftsprozesse, Entscheidungsfindung oder HR-Anwendungen. Dokumentieren Sie Ihre Risikoprüfung (auch im Hinblick auf Datenschutz-Folgenabschätzungen nach DSGVO) und greifen Sie bei Bedarf auf externe Beratung zurück.
- Verantwortlichkeit und Zweckbindung sicherstellen
Nutzen Sie GPAI-Modelle ausschließlich im vom Anbieter vorgesehenen und dokumentierten Rahmen, um nicht in die Anbieterrolle zu geraten oder regulatorisch „umzudefinieren“ zu werden. Schulen Sie relevante Mitarbeitende zu den Möglichkeiten und Grenzen des jeweiligen Modells.
- Monitoring etablieren
Richten Sie ein internes Monitoring ein, um etwaige Fehlfunktionen, unerwünschte Outputs oder Risiken frühzeitig zu erkennen.
- Datenschutz und IT-Sicherheit nicht vergessen
Vergewissern Sie sich, dass GPAI-Modelle, Anwendungen und Prozesse mit Ihren bestehenden Datenschutzmaßnahmen und IT-Sicherheitsrichtlinien harmonieren.
Wir unterstützen Sie gerne bei der GPAI-Compliance!