EU AI Act: Ab August 2025 KI unter Aufsicht

Mit diesem Stichtag treten mehrere zentrale Vorschriften des EU AI Acts in Kraft, die vor allem auf sogenannte GPAI-Modelle zielen – also KI-Grundlagenmodelle, die für vielfältige Zwecke (Text, Code, Sprache, Bild usw.) einsetzbar sind. Dazu zählen etwa Modelle wie GPT, LLaMA oder Claude. Es handelt sich dabei also um KI-Modelle, die nicht nur für eine spezifische Aufgabe entwickelt wurden, sondern vielfältige Aufgaben in unterschiedlichen Bereichen lösen können.

Pflichten für Anbieter von GPAI

Anbieter von GPAI-Modellen müssen sich künftig an neue Vorgaben des EU AI Acts halten, die mehr Transparenz und Verantwortung im Umgang mit KI verlangen.  Dazu gehört eine technische Dokumentation, die verständlich darlegt, wie das Modell aufgebaut ist, mit welchen Daten es trainiert wurde und wie viel Rechenleistung dafür benötigt wurde.

Zudem müssen Transparenzberichte veröffentlicht werden, die bekannte Schwächen, Risiken und Grenzen des Modells offenlegen. Ergänzend dazu sind Tests vorgeschrieben, um sicherzustellen, dass die KI keine diskriminierenden oder gefährlichen Ergebnisse erzeugt. Auch die Energieeffizienz des Trainingsprozesses muss dokumentiert werden, um den Ressourcenverbrauch transparenter zu machen.

Ein weiterer zentraler Punkt ist die Offenlegung der verwendeten Trainingsdaten. Anbieter sollen in verständlicher Form erklären, mit welchen Daten das Modell trainiert wurde und woher diese stammen. So soll nachvollziehbar bleiben, wie die KI lernt – und ob ihre Grundlage zuverlässig und fair ist.

Für besonders leistungsstarke Modelle, die als systemisch riskant eingestuft werden, gelten zusätzliche Auflagen:

• Pflicht zur Durchführung von Risikobewertungen
• Adversarial Testing, um Missbrauch zu verhindern
• Einführung von Maßnahmen zur Risikobehandlung
• Verpflichtung zu einem Incident-Reporting an Aufsichtsbehörden

Auch die EU-Mitgliedsstaaten selbst müssen bis dahin handlungsfähig sein: Sie haben nationale Überwachungs- und Notifizierungsbehörden zu benennen und die Durchsetzungsinfrastruktur bereitstellen.

Pflichten für Nutzende von GPAI

Neben Anbietern treffen auch Nutzende von General-Purpose-AI (GPAI)-Modellen neue Anforderungen – insbesondere dann, wenn GPAI in hochriskante Anwendungen integriert wird, etwa in den Bereichen Personal, Gesundheit oder Finanzen. In diesen Fällen müssen Nutzende sicherstellen, dass die eingesetzten Systeme den Vorgaben des EU AI Acts entsprechen, inklusive Dokumentationspflichten, Risikobewertungen und Transparenzanforderungen.

Warum das Thema jetzt hochrelevant ist

Die Regelungen des AI Acts sind keine Theorie mehr – sie sind beschlossen, terminiert und mit klaren Sanktionsmechanismen versehen. Unternehmen und Behörden, die KI-Technologie entwickeln, einkaufen oder einsetzen, können ab August 2025 von Behörden überprüft und bei Verstößen sanktioniert werden.

Dabei sind die Strafen empfindlich:

• Bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes bei Verstößen gegen Verbote
• Bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes bei Nichtbeachtung der GPAI-Pflichten
• Bereits falsche Auskünfte gegenüber Aufsichtsbehörden können mit bis zu 7,5 Millionen Euro oder 1,5 % geahndet werden

Besonders brisant: Viele technische Anforderungen (z. B. zu Trainingsdaten oder Systemgrenzen) sind bislang nicht vollumfänglich standardisiert. Der angekündigte “Code of Practice” der EU wird voraussichtlich erst Ende 2025 veröffentlicht – Unternehmen sollten daher die Augen offenhalten und nach Bekanntgabe entsprechend reagieren.

To-Do´s: Was müssen Sie jetzt vorbereiten?

1. Bestandsaufnahme & Risikoklassifizierung

Erstellen Sie ein vollständiges KI-Inventar: Welche Systeme setzen Sie ein? Handelt es sich um Eigenentwicklungen oder Drittanbieter-Modelle? Liegt ein GPAI-Einsatz vor?

Klassifizieren Sie nach Risikokategorien des AI Acts (verboten, hochriskant, GPAI, systemisch). Dies ist die Grundlage für alle weiteren Maßnahmen.

2. Technische Dokumentation und Transparenz

Für alle GPAI-Systeme benötigen Sie:

• Modellbeschreibungen und die Architektur, in der das System zum Einsatz kommt
• Auflistung und Kategorisierung der Trainingsdaten (z. B. Text, Bild, Audio, Lizenzstatus)
• Angaben zu Trainingszeit, Energieverbrauch und verwendeter Infrastruktur
• Nachweise über Bias-Tests, Robustheit und Ausfallverhalten

Diese Daten müssen sowohl intern prüfbar als auch gegenüber Behörden vorzeigbar sein.

3. Governance-Strukturen etablieren

Benennen Sie interne Zuständigkeiten für:

• KI-Compliance und regulatorisches Monitoring
• Datenschutz und KI-Ethik
• Incident-Reporting und Audits

Integrieren Sie diese Strukturen in Ihr bestehendes Risiko- und IT-Management. Dies ist insbesondere wichtig, da die Risikoanalyse nach erfolgter Dokumentation im Kontext der Unternehmensarchitektur (wie unter 2. beschrieben) zu neuen Erkenntnissen führen kann.

4. Verträge & Lieferketten prüfen

Wenn Sie KI von Drittanbietern nutzen (z. B. über APIs oder in SaaS-Lösungen), prüfen Sie:

• Gibt es vertragliche Zusicherungen zur AI-Compliance?
• Werden Sie über Trainingsdaten, Systemrisiken und Grenzen informiert?
• Haben Sie Zugriff auf Prüfberichte und Sicherheitsnachweise?

Möglicherweise müssen Sie Ihre Einkaufsrichtlinien anpassen oder neue Standardklauseln einführen. Vergessen Sie dabei nicht ihre Haftpflichtpolice und die Cyberversicherung!

5. Schulungen & interne Awareness

Der AI Act verpflichtet Unternehmen, die angemessene Kenntnis im Umgang mit KI sicherzustellen. Entwickeln Sie:

• Grundlagenschulungen für Führungskräfte und Fachbereiche
• Spezialtrainings für IT, Data Science, Einkauf & Recht
• Prozesse zur kontinuierlichen Weiterbildung und Dokumentation

Was kommt danach?

2026 folgen weitere Meilensteine, insbesondere für Hochrisiko-KI-Systeme (z. B. im Personalwesen, Gesundheitssektor, Finanzwesen). Auch dann wird es verbindliche Zertifizierungen, Konformitätsverfahren und umfangreiche Auditpflichten geben.

Darüber hinaus stehen neue EU-Verordnungen wie der Cyber Resilience Act oder das Datengesetz (Data Act) in engem Zusammenhang mit dem AI Act. Wer KI-Compliance strategisch denkt, sollte diese Entwicklungen bereits heute mit einplanen.