Stellen Sie sich vor …
Es ist Donnerstag, 31. Juli 2025. Ihr Copilot schreibt Pflegeprotokolle, der Chatbot beantwortet Bewerberfragen, ein Sprachtool übersetzt Fachtexte in leichte Sprache. Plötzlich erscheint ein Pop-up:
„Ab morgen gelten neue EU-Pflichten für KI – Transparenznachweis erforderlich.“
Wenn Sie bis hierher gelesen haben, bleibt der morgige Freitag ein ruhiger Tag. Denn Sie wissen, welche Unterlagen die Aufsicht verlangt und wie Sie Vorfälle melden. Im Folgenden lesen Sie, welche Regeln ab 2. August 2025 neu sind, welche Modelle besonders im Fokus stehen und welche Schritte Sie jetzt erledigen.
Warum genau der 2. August 2025 zählt
Der EU AI Act ist seit 2024 veröffentlicht, aber wichtige Regelungen starten abgestuft. 2. August 2025 ist der erste harte Meilenstein:
- Das EU-AI-Office und die nationalen Behörden starten ihre Marktüberwachung.
- Foundation-Modelle (im Gesetz: GPAI = General-Purpose AI) unterliegen sofort neuen Pflichten.
- Sehr große Foundation-Modelle mit „systemischem Risiko“ brauchen zusätzliche Tests und Risikoberichte.
Die Aufsicht greift entlang der Lieferkette: Nutzen Sie einen Dienst, der auf einem betroffenen Modell basiert, tragen auch Sie Verantwortung für Transparenz und Meldungen.
Was ab August neu ist
1. Transparenzpaket
Model Card
Ein zweiseitiges Steckbrief-Dokument, das Zweck, Stärken, Schwächen, Trainingsdatenquellen und empfohlene Schutzmaßnahmen beschreibt. Denken Sie an den „Beipackzettel“ eines Medikaments – nur für KI.
EU-Register
Jedes Foundation-Modell wird einmalig in eine öffentliche Datenbank des EU-AI-Office eingetragen. Dort stehen Name, Version, Trainingsaufwand und geplante Updates. So sieht die Aufsicht auf einen Blick, welche Modelle im europäischen Markt unterwegs sind.
2. Schwelle für „systemisches Risiko“
Eine der größten Herausforderungen im Alltag sozialer Einrichtungen ist der Der Act zieht eine Linie bei Modellen, die beim Training extrem viel Rechenleistung verbrauchen (≈ 10²⁵ FLOPs). Darunter fallen nur echte Schwergewichte:
| Beispiel-Modelle | Typische Nutzung | Systemisches Risiko?* |
|---|---|---|
| GPT-4 (OpenAI) | Chatbots, Copiloten | Ja |
| Gemini Ultra (Google) | Multimodale Assistenten | Ja |
| Claude 3 Opus (Anthropic) | Text-Analyse, Content-Erstellung | Wahrscheinlich |
| Llama 2 / Mistral (Open Source) | Self-hosted KI-Dienste | Nein, deutlich kleiner |
* Offiziell entscheidet der Anbieter, die Behörde prüft. Für Betreiber gilt: Liegt der Anbieter über der Schwelle, brauchen Sie die zusätzlichen Nachweise (Tests, Risikoberichte).
3. Melde- und Monitoringpflicht
Ein schwerwiegender Vorfall (z. B. falsche Medikationsempfehlung) muss innerhalb von 15 Tagen an die nationale Behörde gemeldet werden. Zusätzlich schreibt das Gesetz einen Post-Market Monitoring-Plan vor: Wie fangen Sie Feedback ein, wer bewertet Risiken, wie stoppen Sie das Modell im Notfall?
4. AI-Literacy
Alle, die mit dem Modell arbeiten, müssen dessen Chancen und Grenzen verstehen. Das prüft die Aufsicht ab August erstmals. Ein kurzer Online-Kurs mit Test genügt Hauptsache, er ist dokumentiert.
5. Code of Practice
Die EU stellt eine Blaupause bereit. Anbieter, die diese Vorgaben freiwillig anwenden, „beweisen“ damit ihre Sorgfalt und reduzieren Prüfaufwand. Für Betreiber lohnt es sich, genau diesen Nachweis vom Dienstleister einzufordern.
Sechs Schritte, die Sie jetzt anstoßen sollten
- Modell-Inventur
Liste aller KI-Dienste inkl. Modell, Version, Updaterhythmus, Einsatzzweck. - Risikoklassifizierung
Prüfen, ob das Modell als systemisch gilt oder in einem Hochrisiko-Bereich (z. B. Diagnose, HR-Auswahl) eingesetzt wird - Dokumentations-Kit
- Model Card ausfüllen oder beim Anbieter anfordern
- Eintrag ins EU-Register veranlassen
- Konformitätserklärung nach Anhang XI (AI Act) beilegen
- KI-Richtlinie erstellen
Rollen, Freigabeprozesse, Audit-Log / Prompt-Log, Schnittstelle zum IT-Sicherheitsprozess. Verhindert Schatten-IT. - Schulung & Literacy-Nachweis
Kurze E-Learning-Einheit + jährliches Quiz; Teilnahmelisten aufbewahren. - Incident-Response-Plan festlegen
Wer bewertet Vorfälle? Wer meldet? Wie deaktivieren Sie das Modell? Vorlagen für ein 15-Tage-Meldeformular bereithalten.
FAQ drei häufige Fragen aus der Praxis
Wir nutzen einen externen Chatbot. Müssen wir trotzdem etwas tun?
Ja. Fordern Sie die Model Card vom Anbieter an, dokumentieren Sie Ihre Schulung und richten Sie einen Meldeweg ein. Verantwortung teilt sich entlang der Lieferkette.
Gibt es Bußgelder, wenn wir den Transparenz-Nachweis zu spät liefern?
Bei systemischen Modellen ja, Bußgelder können bis 7 % des Umsatzes des Anbieters betragen. Für Betreiber folgt meist eine Auflage. Je früher Dokumente vorliegen, desto geringer das Risiko.
Reicht eine Datenschutzerklärung auf der Website als Betroffeneninfo?
Nein. Training oder Fine-Tuning eines Modells ist eine neue Verarbeitung. Passen Sie die Information oder das Verarbeitungsverzeichnis an.
Fazit
Der EU AI Act macht KI-Transparenz zur Pflicht. Ab 2. August 2025 muss jedes Foundation-Modell offengelegt, Risiken bewertet, Vorfälle gemeldet und das Team geschult sein. Mit einer Modell-Inventur, einer schlanken KI-Richtlinie, passender Schulung und einem Incident-Plan erledigen Sie die wichtigsten Aufgaben rechtzeitig und verwandeln KI von einem Risiko in einen handfesten Vertrauensvorteil für Ihre Organisation.
Glossar
| Begriff | Kurz erklärt |
|---|---|
| Foundation-Modell | Großes, vortrainiertes KI-Netz, das viele Aufgaben lösen kann. |
| GPAI | General-Purpose AI – Oberbegriff im Gesetz. |
| FLOPs | „Floating Point Operations“ beim Training – Maß für Rechenaufwand. |
| Systemisches Risiko | Kategorie für extrem große Modelle; es gelten strengere Prüf- und Meldepflichten. |
| Model Card | Standardformular mit Zweck, Daten, Performance und Limits eines Modells. |
| EU-Register | Öffentliche Datenbank des EU-AI-Office für alle Foundation-Modelle. |
| Post-Market Monitoring | Laufende Beobachtung eines Modells nach der Einführung, inkl. Reporting. |
| AI-Literacy | Nachweis, dass Mitarbeitende Chancen und Risiken von KI verstehen. |
| DPIA | Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. |
| ISMS | Informations-sicherheitsmanagementsystem, z. B. nach ISO 27001. |
Die Rolle von Sternschnuppen-Consulting
Als unabhängige Beratung begleiten wir soziale Einrichtungen bei der Auswahl, Einführung und Optimierung von Software sowie KI-Lösungen. Dabei stehen nicht nur technische Kriterien im Fokus, sondern vor allem die Machbarkeit im Alltag.
- Wir analysieren Ihre Prozesse und identifizieren Potenziale zur Standardisierung
- Wir unterstützen bei der Auswahl geeigneter Systeme und Anbieter
- Wir moderieren zwischen Fachbereichen, IT und Geschäftsführung
- Wir begleiten die Einführung mit Projektmanagement, Kommunikation und Schulung
Unser Ziel ist es, tragfähige Lösungen zu schaffen, die nachhaltig funktionieren. Standardsoftware ist dabei kein Kompromiss, sondern ein strategisches Werkzeug, um Strukturen zu stärken und den Alltag zu vereinfachen.
Quellen & Experten
EU AI Act: first regulation on artificial intelligence | Topics | European Parliament
EU Artificial Intelligence Act | Up-to-date developments and analyses of the EU AI Act
KI-Gesetz | Gestaltung der digitalen Zukunft Europas
EU-KI-Verordnung datenschutzkonform umsetzen
IHK Spezial Webinar: KI-Nutzung mit Copilot und Tipps für die erfolgreiche Einführung
