EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Gemischt

EU AI Act Frist 2. August 2025: GPAI-Modelle und Governance

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Seit dem 2. August 2025 sind die GPAI-Modell-Pflichten nach Art. 53 anwendbar: technische Dokumentation, Information für Downstream-Deployer, Copyright-Compliance, Trainingsdaten-Summary. Zusätzlich: AI Office aktiv, nationale Aufsichtsbehörden benannt, Bussgeld-Regime der EU greift offiziell.

Der 2. August 2025 markiert den zweiten anwendbaren Stichtag des EU AI Act. Damit greifen drei zentrale Bausteine: Erstens die Pflichten für Anbieter von General-Purpose-AI-Modellen (Art. 53–55), zweitens die nationalen Aufsichtsstrukturen und das EU-AI-Office, drittens das volle Bussgeld-Regime nach Art. 99. GPAI-Anbieter wie OpenAI, Anthropic, Google, Mistral und Aleph Alpha müssen seit August 2025 technische Dokumentation, Trainingsdaten-Summaries, Copyright-Compliance-Erklärungen und ein Risikomanagement bei systemischen Risiken vorweisen. Für Deployer (Unternehmen, die GPAI-Modelle nutzen): Pflicht zur Sichtung der Provider-Informationen und zur Anpassung an Annex-III-Use-Cases. Die Kommission hat den GPAI Code of Practice veröffentlicht — Anbieter, die ihn signieren, gelten als compliant (presumption of conformity).

Welche GPAI-Pflichten gelten seit August 2025?

Art. 53 EU AI Act für alle GPAI-Anbieter:

  • Technische Dokumentation: Modell-Architektur, Trainingsdaten-Quellen, Compute-Ressourcen, Test-Methodologie
  • Downstream-Information: Provider müssen Deployern alle nötigen Informationen für deren Compliance liefern
  • Copyright-Compliance: Policy zur Achtung von Urheberrechten beim Training
  • Trainingsdaten-Summary: Öffentliche Zusammenfassung der Trainingsdaten (Template von AI Office)
  • Bei Systemic Risk (>10^25 FLOPS): Zusätzlich Modell-Evaluations, Adversarial-Testing, Cybersecurity, Incident-Reporting

Wer ist GPAI? Modelle, die "ein erhebliches Mass an Allgemeinheit" zeigen — typisch: Foundation Models wie GPT-4, Claude, Gemini, Llama, Mistral Large.

Was bedeutet GPAI für deutsche / österreichische / Schweizer Deployer?

Wenn Sie ChatGPT, Claude, Copilot oder ähnliche Tools nutzen, sind Sie Deployer eines GPAI-Modells. Pflichten ab August 2025:

  • Provider-Dokumentation sichten (Modellkarte, Trainingsdaten-Summary)
  • Bei Annex-III-Use-Case (z.B. Recruiting-CV-Screening mit ChatGPT): zusätzlich Hochrisiko-Pflichten ab August 2026
  • Art. 50-Transparenz: Bei Chatbots Hinweis "Sie chatten mit einer KI"
  • Bei AI-generierten Texten/Bildern: Watermarking falls technisch verfügbar

KMU-Praxis: Die meisten ChatGPT-Nutzer fallen unter "minimales Risiko" oder "begrenztes Risiko" (Transparenz). Hochrisiko entsteht erst durch Use-Case (HR, Kredit, Bildung), nicht durch das Modell selbst.

AI Office und nationale Aufsicht — wer macht was?

Seit August 2025 ist die Aufsichtsstruktur etabliert:

  • AI Office (EU-Kommission, Brüssel): Zentrale Aufsicht für GPAI-Modelle, Coordination, Code of Practice
  • Deutschland: BNetzA (Bundesnetzagentur) für AI Act, BfDI für AI-DSGVO-Schnittstelle, BSI für Cybersecurity
  • Österreich: RTR (Rundfunk und Telekom Regulierungs-GmbH) als Single Point of Contact
  • Schweiz: keine direkte AI-Act-Aufsicht — EDÖB für DSGVO-Aspekte, Marktzugang über EU-Konformität

EDPB und EDPS koordinieren bei AI-DSGVO-Schnittstellen (z.B. Profiling, automatisierte Einzelentscheidung).

Bussgeld-Regime seit August 2025

Drei Tiers nach Art. 99 EU AI Act:

  1. Art. 5-Verstösse (verbotene KI): bis 35 Mio. EUR oder 7 % Umsatz
  2. Sonstige Hochrisiko-/GPAI-Verstösse: bis 15 Mio. EUR oder 3 % Umsatz
  3. Falsche Behörden-Information: bis 7,5 Mio. EUR oder 1 % Umsatz

KMU-Reduktion (Art. 99 Abs. 7): Bussgelder werden proportional zur Unternehmensgrösse reduziert. Nicht-EU-Anbieter ohne Niederlassung können über Art. 22 (Authorised Representative) belangt werden.

Häufige Fragen

Müssen wir als ChatGPT-Nutzer etwas tun seit August 2025?
Als reiner Deployer ohne Hochrisiko-Use-Case: KI-Inventar führen, Provider-Modellkarte sichten, Art. 4 (KI-Kompetenz) sicherstellen, bei Chatbots Art. 50 Transparenz. Volle Hochrisiko-Pflichten greifen erst, wenn Sie ChatGPT für Recruiting, Kredit, Bildung oder andere Annex-III-Use-Cases einsetzen — und das ab 2. August 2026.
Gilt der GPAI Code of Practice rückwirkend?
Nein. Der Code of Practice ist freiwillig und schafft eine "presumption of conformity" für Anbieter, die ihn signieren. Wer den Code nicht signiert, muss Art. 53–55 direkt einhalten und gegenüber dem AI Office nachweisen. Open-Source-GPAI-Modelle haben Erleichterungen (Art. 53 Abs. 2).
Was ist Systemic Risk bei GPAI?
GPAI-Modelle gelten als systemisch, wenn sie über 10^25 FLOPS Trainings-Compute liegen oder die Kommission sie aufgrund von Reach, Capabilities oder Use-Cases als systemisch klassifiziert. GPT-4, Claude 3.5+, Gemini Ultra liegen in diesem Bereich. Folge: Zusätzliche Pflichten nach Art. 55 (Evaluations, Red-Teaming, Cybersecurity, Incident-Reports).
Können auch deutsche/EU-AI-Anbieter unter Systemic Risk fallen?
Ja. Mistral Large 2 und Aleph Alpha Pharia 70B sind potenzielle Kandidaten, je nach Trainings-Compute. Die Kommission entscheidet final via Implementing Acts. Grösse ist nicht das einzige Kriterium — auch Nutzung in kritischen Infrastrukturen kann zur Klassifizierung führen.

Relevante Rechtsgrundlagen

Art. 53 EU AI ActArt. 55 EU AI ActArt. 99 EU AI ActRecital 110-115

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle FristenQuick-Check