{"id":2456,"date":"2025-08-14T09:28:17","date_gmt":"2025-08-14T07:28:17","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=2456"},"modified":"2025-08-14T14:10:01","modified_gmt":"2025-08-14T12:10:01","slug":"zweite-umsetzungfrist-der-ki-vo-fuer-gpai-modelle","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=2456&lang=de","title":{"rendered":"Zweite Umsetzungfrist der KI-VO f\u00fcr GPAI-Modelle"},"content":{"rendered":"\n<p>Die EU-KI-Verordnung, die im August 2024 in Kraft getreten ist, bringt f\u00fcr Anbieter und Betreiber von KI-Systemen schrittweise neue Anforderungen.<br><strong>Seit dem 2. August 2025<\/strong>: Ab diesem Zeitpunkt gelten die zentralen Vorschriften f\u00fcr KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI). Anbieter aller neuen GPAI-Modelle und bereits bestehender Modelle, die weiterhin genutzt oder in Verkehr gebracht werden, m\u00fcssen die Pflichten der KI-Verordnung umsetzen.<br><strong>Nachgelagerte Frist<\/strong>: F\u00fcr GPAI, die bereits vor diesem Datum auf dem Markt waren, gelten \u00dcbergangsregelungen bis 2. August 2027, sofern sie nicht gravierend ge\u00e4ndert werden.<\/p>\n\n\n\n<p><strong>Grundbegriffe<\/strong><\/p>\n\n\n\n<ul><li><strong>Was sind GPAI-Modelle?<\/strong><br>GPAI-Modelle sind KI-Modelle, die f\u00fcr mehrere Verwendungszwecke flexibel einsetzbar sind, also nicht auf einzelne, klar definierte Anwendungsf\u00e4lle beschr\u00e4nkt sind. Zu den bekanntesten geh\u00f6ren etwa gro\u00dfe Sprachmodelle oder multimodale KI-Modelle, wie Chatbots oder generative Systeme (wie bspw. GPT-5, Coilot, etc.).<br>\u00a0<\/li><li><strong>Wer ist Anbieter, wer ist Betreiber?<\/strong><br><strong>Anbieter<\/strong>: Entwickelt oder l\u00e4sst ein GPAI-Modell entwickeln und bringt es unter eigenem Namen oder Handelsmarke in Verkehr\/in Betrieb<br><strong>Betreiber<\/strong>: Nutzt ein GPAI-Modell eigenverantwortlich, etwa im Unternehmen, unabh\u00e4ngig davon, ob er es selbst entwickelt hat oder von einem Drittanbieter bezieht<\/li><\/ul>\n\n\n\n<p><strong>Pflichten f\u00fcr Anbieter von GPAI-Modellen<\/strong><br><br>Die Anforderungen f\u00fcr Anbieter lassen sich wie folgt zusammenfassen:<\/p>\n\n\n\n<ul><li><strong>Technische Dokumentation<\/strong>: Erstellung und Aktualisierung einer umfassenden technischen Dokumentation \u00fcber Modellarchitektur, Trainingsdaten, Methoden, Pr\u00fcfergebnisse und Verwendungszwecke und Bereithaltung f\u00fcr Beh\u00f6rden und Betreiber.<br>\u00a0<\/li><li><strong>Transparenz- und Informationspflichten<\/strong>: Klar verst\u00e4ndliche Gebrauchsanweisungen, Risikohinweise und Angaben zu den Trainingsinhalten m\u00fcssen an nachgelagerte Betreiber oder Systemintegratoren \u00fcbergeben werden.<br>\u00a0<\/li><li><strong>Urheberrechtskonformit\u00e4t<\/strong>: Nachweis \u00fcber die Einhaltung der EU-Urheberrechte hinsichtlich der im Training verwendeten Inhalte und Dokumentation der entsprechenden Ma\u00dfnahmen.<br>\u00a0<\/li><li><strong>Ver\u00f6ffentlichung einer Zusammenfassung \u00fcber Inhalte, die f\u00fcrs Training des KI-Modells verwendet werden<\/strong><br>\u00a0<\/li><li><strong>Benennung eines Bevollm\u00e4chtigten<\/strong>: Anbieter, die in Drittl\u00e4ndern niedergelassen sind, benennen einen in der Union niedergelassenen Bevollm\u00e4chtigten.<br>\u00a0<\/li><li><strong>Zus\u00e4tzliche Anforderungen bei systemischem Risiko<\/strong>: GPAI-Modelle mit besonders hoher Rechenleistung bzw. Reichweite (&#8222;systemisches Risiko&#8220;) unterliegen zus\u00e4tzlichen Compliance-Anforderungen: Einf\u00fchrung eines Risikomanagementsystems, Durchf\u00fchrung von Modellbewertungen, Angriffstests, \u00dcberwachung von Vorf\u00e4llen, Meldepflichten und verst\u00e4rkte Cybersicherheitsma\u00dfnahmen<\/li><\/ul>\n\n\n\n<p>Um die praktische Umsetzung dieser Anforderungen zu unterst\u00fctzen, wurde von der Europ\u00e4ischen Kommission ein Verhaltenskodex (<a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/contents-code-gpai\">\u201eGPAI-Code of Practice\u201c<\/a>) ver\u00f6ffentlicht.\u00a0<\/p>\n\n\n\n<p><strong>Empfehlungen f\u00fcr Betreiber von GPAI-Modellen<\/strong><br>Auch wenn die expliziten Pflichten prim\u00e4r Anbieter treffen, entstehen f\u00fcr Betreiber wesentliche Pflichten &#8222;durch die Hintert\u00fcr&#8220;. Insbesondere, wenn GPAI-Modelle im Unternehmenskontext genutzt, angepasst oder in eigene Systeme integriert werden.<\/p>\n\n\n\n<p><strong>Empfohlene Schritte f\u00fcr Betreiber:<\/strong><\/p>\n\n\n\n<ul><li><strong>Informationsbeschaffung und -pr\u00fcfung<\/strong><br>Fordern Sie alle vom Anbieter bereitgestellten technischen Dokumentationen, Gebrauchsanweisungen und Compliance-Nachweise aktiv an. Pr\u00fcfen Sie, welche Risiken, Einschr\u00e4nkungen und Verwendungsvorgaben durch den Anbieter genannt werden und dokumentieren Sie den Erhalt sowie die interne Pr\u00fcfung.<br>\u00a0<\/li><li><strong>Eigenes Risikomanagement implementieren<\/strong><br>Bewerten Sie die Risiken des GPAI-Einsatzes im eigenen Betriebskontext selbst. Dies gilt insbesondere f\u00fcr kritische Gesch\u00e4ftsprozesse, Entscheidungsfindung oder HR-Anwendungen. Dokumentieren Sie Ihre Risikopr\u00fcfung (auch im Hinblick auf Datenschutz-Folgenabsch\u00e4tzungen nach DSGVO) und greifen Sie bei Bedarf auf externe Beratung zur\u00fcck.<br>\u00a0<\/li><li><strong>Verantwortlichkeit und Zweckbindung sicherstellen<\/strong><br>Nutzen Sie GPAI-Modelle ausschlie\u00dflich im vom Anbieter vorgesehenen und dokumentierten Rahmen, um nicht in die Anbieterrolle zu geraten oder regulatorisch &#8222;umzudefinieren&#8220; zu werden. Schulen Sie relevante Mitarbeitende zu den M\u00f6glichkeiten und Grenzen des jeweiligen Modells.<br>\u00a0<\/li><li><strong>Monitoring etablieren<\/strong><br>Richten Sie ein internes Monitoring ein, um etwaige Fehlfunktionen, unerw\u00fcnschte Outputs oder Risiken fr\u00fchzeitig zu erkennen.<br>\u00a0<\/li><li><strong>Datenschutz und IT-Sicherheit nicht vergessen<\/strong><br>Vergewissern Sie sich, dass GPAI-Modelle, Anwendungen und Prozesse mit Ihren bestehenden Datenschutzma\u00dfnahmen und IT-Sicherheitsrichtlinien harmonieren.<\/li><\/ul>\n\n\n\n<p>Wir unterst\u00fctzen Sie gerne bei der GPAI-Compliance!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die EU-KI-Verordnung, die im August 2024 in Kraft getreten ist, bringt f\u00fcr Anbieter und Betreiber von KI-Systemen schrittweise neue Anforderungen.Seit dem 2.<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=2456&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2456"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2456"}],"version-history":[{"count":3,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2456\/revisions"}],"predecessor-version":[{"id":2463,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2456\/revisions\/2463"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2456"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2456"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2456"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}