21. Juli 2025 - KI

EU AI Act Guidelines für GPAI-Anwender – deine Praxis-Anleitung

Was Unternehmen jetzt zum EU AI Act und GPAI wissen müssen.

Porträt Matteo Grappasonno

EU AI Act Guidelines für GPAI-Anwender – deine Praxis-Anleitung

Seit dem 18. Juli 2025 gibt’s endlich Klarheit: Die EU-Kommission hat konkrete Guidelines herausgebracht, damit wir wissen, wie wir diesen AI Act tatsächlich im Alltag umsetzen sollen. Klingt bürokratisch, ist aber eigentlich ziemlich praktisch. Ich zeig dir, was genau drinsteht und wie es deinen KI-Alltag verändert.

Was genau sind diese Guidelines?

Die „Guidelines on the scope of the obligations for general-purpose AI models“ (C(2025) 5045 final) sind sowas wie ein Handbuch, das uns sagt, wie wir den AI Act wirklich nutzen sollen. Also keine neuen Gesetze, sondern ganz klare Auslegungshilfen.

Warum gibt’s die überhaupt?

Die EU musste diese Guidelines erstellen, weil der AI Act selbst sagt (Artikel 96(1)), dass es sowas geben muss. Es gab vorher eine öffentliche Umfrage, und natürlich hatten auch KI‑Experten vom European Artificial Intelligence Board ein Wörtchen mitzureden.

Welche KI-Tools betrifft das jetzt konkret?

Kurz gesagt: Ein KI‑Modell zählt als General‑Purpose AI (GPAI), wenn es mehr als 10²³ FLOP (Floating Point Operations) beim Training verschlungen hat und dabei irgendwie Text, Audio, Bilder oder Videos erzeugen kann. Klingt nach viel, ist es auch. In der Praxis entspricht das etwa einem Modell mit rund einer Milliarde Parametern.

Betroffene Modelle – einfach erklärt:

Definitiv dabei:

  • ChatGPT‑4 und GPT‑4o (klar drüber!)
  • Claude von Anthropic (alle aktuellen Versionen)
  • Gemini von Google (auch betroffen)
  • Llama 2 und 3 von Meta (mit 7B+ Parametern safe dabei)
  • Midjourney, DALL‑E (alles, was ordentliche Bilder generiert)

Wahrscheinlich nicht dabei:

  • Spezialisierte Übersetzer (unter der Schwelle)
  • Sentiment‑Analyse‑Tools (eher simpel)
  • Kleine Chatbots (ohne großes Sprachmodell dahinter)

Ein Sonderfall:

  • Ein Modell, das mit 10²⁴ FLOP nur Sprache transkribiert, zählt nicht als GPAI. Es muss wirklich general‑purpose sein.

Standard vs. Systemic Risk – der feine Unterschied:

Standard‑GPAI‑Modelle (10²³ bis 10²⁵ FLOP) – was ändert sich?

  • Transparenzberichte kommen (endlich Klarheit zu Trainingsdaten)
  • Bessere Dokumentationen der Modellfähigkeiten
  • Anbieter müssen offenlegen, wie’s mit Urheberrechten aussieht

Beispiel: Ab August 2025 kriegst du von Stable Diffusion genau gesagt, welche Bilder sie fürs Training genutzt haben.

Systemic Risk‑Modelle (über 10²⁵ FLOP) – hier wird’s ernster:

  • Vierteljährliche Sicherheitschecks
  • Incidents müssen innerhalb von 24 Stunden gemeldet werden
  • Noch robustere Cybersicherheit
  • Laufende Risikobewertungen (also dauernd ein Auge drauf)

Beispiel: Wenn du GPT‑4 im Unternehmen einsetzt, bekommst du regelmäßig Sicherheitsberichte – und schnelle Infos bei Problemen.

Open Source vs. Proprietär – was macht den Unterschied?

Open‑Source‑Modelle (z. B. Llama, Mistral) – Vorteile:

  • Schnelle Updates (keine ewigen Checks vorher)
  • Komplett transparent (volle Einsicht in Modell und Architektur)
  • Lockerere Lizenzen (praktisch weniger Stress bei der Nutzung)

Aber Achtung: Auch hier gelten Copyright‑ und Transparenzpflichten.

Beispiel: Mit Llama 3 kannst du das Modell bei dir selbst hosten und flexibel modifizieren.

Proprietäre Modelle (ChatGPT, Claude, Gemini) – hier ist die Latte höher:

  • Strenge Dokumentationspflichten
  • Professionelle Infrastruktur und Sicherheit
  • Strukturierte Problemmeldungen, wenn mal was nicht läuft

Timeline – was passiert wann?

  • Ab 2. August 2025: Transparenzberichte starten.
  • August bis Dezember 2025: Schrittweise mehr Transparenz bei Anbietern.
  • Ab 2. August 2026: Wer nicht compliant ist, riskiert hohe Strafen (bis zu 3 % des Umsatzes).
  • Ab 2. August 2027: Schluss mit Übergangsfristen – auch alte Modelle müssen transparent sein.

Was bedeutet das jetzt praktisch für Unternehmen?

KMUs profitieren sofort:

  • Einfachere Entscheidungen dank besserer Dokumentation.
  • Weniger Fehlinvestitionen (klare Grenzen der KI‑Tools).
  • Weniger Risiko bei Urheberrechten.

Checkliste für KMUs:

  • Transparenzberichte checken
  • Anbieter vergleichen
  • Doku nutzen, um bessere Anwendungsfälle zu finden
  • Open‑Source prüfen

Tech‑Unternehmen und Entwickler:

  • Leichtere API‑Integration
  • Bessere Sicherheitsbewertungen
  • Strukturierte Compliance‑Unterstützung

Entwickler‑Checkliste:

  • Technische Dokus analysieren
  • Risikobewertungen nutzen
  • Incidents richtig dokumentieren
  • Open Source als Alternative testen

Kreativbranchen und Content‑Creator:

  • Klare Infos zu Copyright und Modelltraining
  • Mehr Rechtssicherheit
  • Klarere Informationen über Stärken und Grenzen der Modelle

Creator‑Checkliste:

  • Transparenzberichte studieren
  • KI‑Nutzung dokumentieren
  • Fähigkeitsbeschreibungen für bessere Ergebnisse nutzen
  • Alternativen im Blick behalten

Beratungsunternehmen:

  • Audit‑fähige Berichte für Kunden
  • Bessere Risikobewertung
  • Strategische Beratung auf Basis konkreter Daten

Checkliste für GPAI‑Anwender

  • Sofort: KI‑Tool Inventur machen, Transparenzberichte abonnieren.
  • Mittelfristig: Risikomanagement implementieren, eventuell Anbieter wechseln.
  • Langfristig: Laufend überwachen, Expertise aufbauen, Wettbewerbsvorteile sichern.

Fazit

Die Guidelines sind echt keine graue Theorie. Sie bringen praktische Sicherheit und klare Orientierung.

21.07.2025, Matteo Grappasonno