Verbotene Praktiken, GPAI & Millionenstrafen: Handlungsbedarfe des EU AI Act bis August 2025

Ab dem 02.08.2025 wird es ernst: Es treten neue Anforderungen des EU AI Acts in Kraft – und mit ihnen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Unternehmen müssen bis dahin wissen, ob sie KI-Praktiken einsetzen, die bereits seit 02.02.2025 ausdrücklich verboten sind – und ob sie als GPAI-Modellanbieter im Rahmen des EU AI Act gelten.

Scharfstellung der Sanktionen: Was Unternehmen jetzt klären müssen

Der 2. August 2025 markiert den Beginn der Durchsetzung der Sanktionen nach Artikel 99 – 100 des EU AI Acts. Für Unternehmen bedeutet das: Unwissen schützt nicht vor Strafe. Die EU-Kommission macht ernst – mit klar definierten Pflichten, Verboten und Sanktionen. Besonders im Fokus sind hierbei die verbotenen KI-Praktiken, wie etwa manipulative Systeme, biometrische Kategorisierung oder emotionale Überwachung am Arbeitsplatz, die bereits seit dem 02. Februar 2025 verboten sind.

Wer sich bis zum Stichtag nicht vorbereitet, riskiert nicht nur finanzielle Konsequenzen, sondern auch erhebliche Reputationsschäden.

Was sind GPAI-Modelle – und warum ist das entscheidend?

Neben den Strafzahlungen treten ebenfalls Pflichten für Anbieter von General Purpose AI-Modelle (GPAI) in Kraft. Nach Artikel 3 Nummer 63 des EU AI Acts wird ein GPAI-Modell als ein KI-Modell definiert, das eine erhebliche Allgemeinheit aufweist und in der Lage ist, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen. Außerdem kann es in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden. Wer solche Modelle entwickelt, oder nachtrainiert und Dritten bereitstellt (z.B. über APIs), oder in Betrieb nimmt, unterliegt spezifischen Pflichten gemäß Kapitel V (Artikel 50–55) des EU AI Acts. Entsprechend der am 22. April veröffentlichten vorläufigen GPAI-Leitlinien, ist gemäß AI-Office der Europäischen Kommission davon auszugehen, dass es sich um ein GPAI-Modell handelt, wenn für das Training eines Modells, das Text und/oder Bilder generieren kann, mehr als 10²² Gleitkommaoperationen (FLOPs) benötigt wurden.

Die durch die GPAI-Anbieter sicherzustellenden Anforderungen sind technischer, organisatorischer und prozessualer Art – und unterscheiden sich zudem danach, ob das GPAI-Modell ein systemisches Risiko birgt. Die Einstufung von KI-Modellen erfolgt gemäß Artikel 51 i. V. m. Anhang XIII. GPAI-Modelle mit systemischem Risiko unterliegen zusätzlichen Pflichten.

Code of Practice: Die noch freiwillige Vorstufe zur Pflicht

Als Unterstützung bei der Frage, was ein Unternehmen als GPAI-Modellanbieter erfüllen muss, kann der „Code of Practice on GPAI“ zu Rate gezogen werden.

Dieses Dokument wird im Einklang mit Artikel 56 Abs. 3 des AI Acts als „Verhaltenskodex“ durch das AI Office der EU Kommission nach Abschluss der finalen Konsultationen veröffentlicht werden und dient als vorbereitende Maßnahme für GPAI-Modellanbieter. Zwar ist die Teilnahme aktuell nicht verpflichtend, der Code soll jedoch schrittweise als Best Practice für Compliance gelten – insbesondere im Rahmen der bevorstehenden harmonisierten Normen nach Artikel 40.

Der Code umfasst u. a.:

• Transparenzstandards (z. B. ein Musterdokumentationsformular)
• Regeln zum Urheberrecht von Trainingsdaten
• Anforderungen an die Sicherheit (nur für GPAI-Modelle mit systemischen Risiken)

Wie finde ich heraus, ob ich GPAI-Modellanbieter bin?

Die Code of Practice Arbeitsgruppen rechnen mit einer kleinen Anzahl an GPAI-Modellen mit systemischem Risiko und entsprechend auch wenigen Anbietern solcher Modelle. Jedoch ist durch Anpassung (etwa Fine-Tuning) von Modellen davon auszugehen, dass die Anzahl von GPAI-Modellanbietern ohne systemisches Risiko, die unter die AI Act Anforderungen nach Artikel 53 fallen, ansteigen wird. Hierbei unterstreicht der Code of Practice, dass sich die Anbieterpflichten in den meisten Fällen nur auf den nachtrainierten Teil des Modells beschränken sollen. Eine Orientierungshilfe bei der Ermittlung der Pflichten für Unternehmen, die bestehende GPAI-Modell nachtrainieren (sogenannte „Downstream Modifier“) helfen die ersten Entwürfe der GPAI-Leitlinie und nachfolgende Übersicht.

Fazit

Zusammengefasst gilt: Ab August 2025 sind Verstöße gegen den EU AI Act sanktionsbewährte Compliance-Verstöße. Bis dahin sollten Unternehmen mindestens folgende Schritte abgeschlossen haben:

1. Verbotene Praktiken ausschließen: Werden KI-Systeme eingesetzt, die seit Februar 2025 untersagt sind (z. B. versteckte emotionale Erkennung)? Hierbei ist ein AI-Inventory mit einer Übersicht über alle KI-Systeme hilfreich.
2. Modellklassifizierung vornehmen: Welche der verwendeten Modelle sind GPAI? Welche fallen unter die Modelle mit systemischem Risiko? Für welche dieser Modelle nehme ich die GPAI-Modellanbieter-Rolle ein – und sei es nur, weil sie durch mein Unternehmen als „Downstream Modifier“ in größerem Umfang nachtrainiert wurden?
3. Dokumentation & Transparenzstruktur aufsetzen: Trainingsdaten, Funktionsweise, Performance nachvollziehbar machen.

Wer heute vorbereitet ist, stellt die Weichen für KI-Compliance gemäß EU AI Act – und zeigt Verantwortung im Umgang mit Künstlicher Intelligenz. Capgemini verfügt als erfahrener Partner im Bereich der AI-Compliance über die notwendigen Befähigungen, um Sie auf diesem Weg entscheidend zu beschleunigen:

1. Assets und Frameworks: Zu zahlreichen Herausforderungen rund um AI-Compliance hat Capgemini Rahmenwerke und Assets entwickelt – von Maturity-Assessments  über Governance-Frameworks bis hin zu konkreten Musterprozessen zum Management von AI.
2. Hands-On-Projekterfahrung: Unsere Experten haben aus erster Hand Projekterfahrungen zu zahlreichen Themen des AI Acts.

Gerne stellen wir Ihnen unser Portfolio persönlich vor und diskutieren konkrete Lösungsansätze für Ihr Unternehmen.

Vielen Dank an meinen Co-Autoren Philipp Schumacher!