Der 2. August 2025 war der nächste wichtige Stichtag im EU AI Act-Zeitplan. An diesem Tag traten die Vorschriften für General Purpose AI (GPAI) in Kraft – also für Basismodelle wie GPT-4, Claude, Gemini und LLaMA, die als Fundament für viele verschiedene Anwendungen dienen.
Was ändert sich für Unternehmen, die diese Modelle einsetzen? Und was bleibt wie bisher?
Was GPAI-Modelle sind – und warum sie separat geregelt werden
General Purpose AI beschreibt KI-Modelle, die für eine breite Palette von Aufgaben eingesetzt werden können – im Gegensatz zu Spezialmodellen, die nur für eine bestimmte Funktion trainiert sind. GPT-4o, Claude 3.7, Gemini 2.5 Pro, LLaMA 4 – all das sind GPAI-Modelle.
Die EU hat sie gesondert geregelt, weil sie besondere Herausforderungen für Transparenz und Sicherheitsbewertung schaffen: Ein Modell, das für alles von Vertragsanalyse bis Bildgenerierung eingesetzt werden kann, lässt sich nicht in eine einzige Risikokategorie pressen.
Was die GPAI-Vorschriften konkret verlangen
Von Anbietern der Modelle (OpenAI, Anthropic, Google, Meta):
- Technische Dokumentation veröffentlichen
- Urheberrechtsrichtlinien für Trainingsdaten offenlegen
- Bei Modellen mit „systemischen Risiken" (sehr großen Modellen): adversarische Tests, Incident-Reporting, Cybersicherheitsmaßnahmen
Von Unternehmen, die GPAI-Modelle einsetzen (also KMU als Nutzer): Die direkten Pflichten der GPAI-Vorschriften treffen primär die Anbieter, nicht die Nutzer. Ein mittelständisches Unternehmen, das GPT-4o über die OpenAI-API für seinen Kundensupport nutzt, ist nicht direkt verpflichtet, eine technische Dokumentation zu erstellen.
Was KMU jedoch indirekt betrifft:
- Transparenzpflicht beim Nutzer: Wenn eine KI-Anwendung gegenüber Kunden oder Mitarbeitenden eingesetzt wird, muss erkennbar sein, dass KI im Spiel ist – das war bereits durch Art. 4 und allgemeine Fairnessprinzipien gefordert
- Vertragsgestaltung: Wer GPAI-Modelle in eigene Produkte oder Dienstleistungen integriert, trägt Mitverantwortung für den korrekten Einsatz
- Dokumentationspflicht: Die Nutzung von GPAI-Modellen sollte intern dokumentiert sein – welche Modelle, für welche Zwecke, mit welchen Schutzmechanismen
Was sich für die meisten KMU praktisch nicht ändert
Für ein KMU, das:
- ChatGPT über das Web-Interface nutzt
- Microsoft Copilot im Microsoft-365-Abo verwendet
- Claude über die API für interne Textverarbeitung einsetzt
...sind die GPAI-Vorschriften primär eine Angelegenheit der Anbieter. Die Pflichten von OpenAI, Anthropic und Microsoft gegenüber der EU-Regulierung werden durch die Modellanbieter selbst erfüllt.
Was KMU stattdessen sicherstellen sollten:
KI-Inventar führen: Welche GPAI-Modelle werden im Unternehmen eingesetzt? Diese Übersicht ist Basis für Compliance und interne Governance.
Mitarbeiterschulungen aktuell halten: Art. 4 (KI-Kompetenzpflicht, seit Februar 2025) gilt weiterhin – mit der zunehmenden Verbreitung von GPAI-Modellen im Arbeitsalltag steigt die Relevanz.
Datenqualität bei Eingaben: Was Mitarbeitende in GPAI-Systeme eingeben, beeinflusst die Qualität und Risiken der Ausgaben. Klare Richtlinien, was eingegeben werden darf (keine personenbezogenen Daten ohne Einwilligung, keine Geschäftsgeheimnisse in proprietäre Cloud-Modelle), sind entscheidend.
Der nächste Stichtag: August 2026
Ab August 2026 greifen die Hochrisiko-KI-Vorschriften in vollem Umfang. Wer KI-Systeme einsetzt, die Entscheidungen über Personen beeinflussen – zum Beispiel im HR-Bereich, in der Kreditvergabe oder im medizinischen Bereich – muss dann deutlich umfangreichere Anforderungen erfüllen.
Für die meisten KMU, die KI für interne Effizienzsteigerung und Textarbeit nutzen, betrifft das die Hochrisiko-Kategorien nicht direkt. Aber die Grenze ist nicht immer eindeutig – und eine frühzeitige Einschätzung des eigenen KI-Portfolios ist sinnvoll.
ScaleWise unterstützt KMU in Bayern bei der EU AI Act-konformen Gestaltung ihrer KI-Nutzung – von der Bestandsaufnahme bis zu Schulungen nach Art. 4. BAFA-gefördert, persönlich vor Ort.