KI-Modelle

EU AI Act: So sichern Sie die Compliance Ihrer KI-Modelle

Am 2. August 2025 sind wichtige Teile des EU AI Acts in Kraft getreten, die sich direkt auf Unternehmen auswirken. Insbesondere betreffen diese Änderungen KI-Modelle mit allgemeinem Verwendungszweck (GPAI) sowie die Vorschriften zu Sanktionen und Meldepflichten. Für Unternehmen ist es jetzt essenziell, die neuen Regeln zu verstehen und ihre Compliance-Strategien anzupassen.

Was sind KI-Modelle mit allgemeinem Verwendungszweck (GPAI)?

GPAI (General-Purpose AI Models) sind Modelle, die für eine Vielzahl von Aufgaben verwendet werden können und nicht auf einen spezifischen Anwendungsbereich beschränkt sind. Beispiele hierfür sind große Sprachmodelle wie GPT-4, die für Textgenerierung, Programmierung, Übersetzungen und vieles mehr eingesetzt werden können. Auch andere generative KI-Modelle für Bilder oder Videos fallen in diese Kategorie. Der EU AI Act unterscheidet dabei zwischen “normalen” GPAI-Modellen und solchen mit systemischem Risiko.

  • Normale GPAI-Modelle: Für diese Modelle gelten grundlegende Transparenzpflichten. Anbieter müssen technische Dokumentationen bereitstellen, Informationen über die Trainingsdaten veröffentlichen und ihre Modelle so gestalten, dass sie dem Urheberrecht genügen.
  • GPAI-Modelle mit systemischem Risiko: Modelle, die aufgrund ihrer Rechenleistung oder ihres breiten Einsatzes ein hohes Risiko für die Gesellschaft darstellen, unterliegen strengeren Vorschriften. Sie müssen intensivere Tests durchlaufen, Vorfälle melden und strenge Cybersicherheitsstandards einhalten.

Die Auswirkungen auf Unternehmen und Compliance

Mit dem Stichtag 2. August 2025 müssen Unternehmen, die GPAI-Modelle entwickeln oder nutzen, ihre Compliance-Strategien überprüfen.

  1. Pflichten für Entwickler und Anbieter: Wer selbst GPAI-Modelle entwickelt, muss die neuen Transparenz- und Dokumentationspflichten erfüllen. Dazu gehört die Erstellung technischer Anleitungen und die Offenlegung von Trainingsdaten. Insbesondere die Erfüllung der Urheberrechtsvorgaben wird eine zentrale Rolle spielen.
  2. Pflichten für Nutzer und Anwender: Auch Unternehmen, die GPAI-Modelle von Drittanbietern nutzen, sind betroffen. Sie müssen sicherstellen, dass die von ihnen eingesetzten Modelle den gesetzlichen Anforderungen entsprechen. Dies kann die Überprüfung von Verträgen und die Auswahl von Anbietern erfordern, die die Compliance-Anforderungen des EU AI Acts erfüllen.
  3. Sanktionen und Meldepflichten: Seit 2. August 2025 werden die Sanktionen bei Verstößen gegen den EU AI Act anwendbar. Diese können empfindliche Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes umfassen. Unternehmen müssen zudem Mechanismen für die Meldung von schwerwiegenden Zwischenfällen etablieren, um den neuen gesetzlichen Meldepflichten nachzukommen.

Unternehmen sollten jetzt proaktiv handeln, um ihre KI-Governance zu stärken und die neuen Compliance-Anforderungen rechtzeitig zu erfüllen. Dazu gehört die Identifizierung aller genutzten GPAI-Modelle, die Überprüfung von Verträgen mit Drittanbietern und die Etablierung klarer interner Prozesse für die Risikobewertung und das Reporting.

Beitrag teilen