Seit dem 2. August 2025 sind die GPAI-Transparenzpflichten des EU AI Acts für Anbieter wie OpenAI, Google und Meta verbindlich. Was lange als bürokratisches Zukunftsprojekt galt, ist heute harte Compliance-Realität – mit Sanktionspotenzial bis zu 6 Prozent des globalen Jahresumsatzes. Dokumentationslücken sind das neue Hauptrisiko. Und der Druck steigt.
Der 2. August 2025 war kein symbolisches Datum. Mit diesem Stichtag traten die zentralen Vorgaben des EU AI Acts für General Purpose AI in Kraft – also für jene Modelle, die nicht für einen eng definierten Zweck gebaut sind, sondern breit einsetzbar: ChatGPT, Gemini, Llama und eine wachsende Zahl von Bildgeneratoren. Seitdem gelten verbindliche Pflichten zu Transparenz, Dokumentation und Kennzeichnung, keine weichen Empfehlungen, keine Übergangsnormen.
Was viele unterschätzen: Die Regulierung trifft nicht nur Tech-Konzerne in San Francisco oder Mountain View. Jeder Anbieter, der ein General-Purpose-AI-Modell auf dem EU-Markt bereitstellt – ob US-amerikanisches Großunternehmen oder europäisches Startup –, unterliegt diesen Anforderungen. Die Nationalität des Anbieters spielt keine Rolle. Der Marktort entscheidet.
Meine Einschätzung: Der AI Act ist in diesem Punkt präziser formuliert als die DSGVO es in ihren frühen Jahren war. Das ist kein Zufall. Der Gesetzgeber hat aus den Vollzugsproblemen der Datenschutzverordnung gelernt und will diesmal von Beginn an klare Zuständigkeiten, klare Definitionen und klare Sanktionskorridore etablieren. Ob das gelingt, ist eine andere Frage.
Bemerkenswert ist zudem, dass der Anwendungsbereich bewusst weit gefasst wurde. Bereits ein Modell, das sowohl Text als auch Bild verarbeiten kann, gilt in der Regel als GPAI-System – selbst wenn es primär für einen bestimmten Unternehmensbereich entwickelt wurde. Diese Auslegung hat direkte Konsequenzen für viele europäische KI-Startups, die ihre Angebote als spezialisierte Branchenlösung positionieren, dabei aber auf flexibel einsetzbare Basismodelle setzen. Wer sich hier fälschlicherweise außerhalb des Regulierungsrahmens wähnt, läuft in eine Compliance-Falle.
Für alle GPAI-Systeme gilt eine mehrstufige Pflicht zur technischen Dokumentation. Diese muss auf Anfrage der zuständigen Aufsichtsbehörde vorliegen – vollständig, aktuell, strukturiert. Was konkret dazu gehört: die Herkunft der Trainingsdaten, einschließlich urheberrechtlich geschützter Werke, der Energieverbrauch und die eingesetzten Rechenressourcen während des Trainings sowie eine verständliche Beschreibung der Fähigkeiten und Grenzen des Modells gegenüber nachgelagerten Nutzern.
Hinzu kommt die Kennzeichnungspflicht für KI-generierte Inhalte. Bilder, Videos, Audios und Texte, die durch GPAI-Modelle erzeugt werden, müssen eindeutig als solche markiert sein – etwa durch digitale Wasserzeichen oder maschinenlesbare Metadaten. Diese Anforderung ist technisch machbar, aber operativ aufwendig, insbesondere für Anbieter, deren Modelle über Drittanbieter-APIs in fremde Produkte eingebettet sind.
Für Hochleistungsmodelle mit systemischen Risiken – das sind Modelle, die laut EU-Kommission potenziell erhebliche gesellschaftliche Wirkung entfalten können – gelten zusätzliche Anforderungen: intensive Testprotokolle, Nachweise gegenüber der EU-Kommission, Identifikation und aktive Minderung von Systemrisiken sowie umfassende Cybersecurity-Maßnahmen. Hacking und gezielte Manipulation solcher Modelle könnten laut Regulierungslogik gesamtgesellschaftlichen Schaden anrichten – entsprechend hoch liegt die Messlatte.
Am 10. Juli 2025 veröffentlichte die EU-Kommission den General-Purpose AI Code of Practice – einen freiwilligen Verhaltenskodex, der praktische Leitlinien zu Transparenz, Urheberrecht und Sicherheit enthält. Wer diesen Kodex unterzeichnet und dessen Vorgaben umsetzt, kann gegenüber Aufsichtsbehörden einfacher nachweisen, dass er Artikel 53 und 55 des AI Acts erfüllt. Der administrative Aufwand sinkt. Das ist der eigentliche Anreiz.
Freiwillig bedeutet dabei nicht folgenlos. Wer den Kodex ignoriert, muss auf anderem Weg belegen, dass er compliant ist – und dieser Weg ist in der Regel aufwendiger, teurer und anfälliger für Behördenanfragen. In der Praxis dürfte der Kodex damit schnell zum faktischen Industriestandard werden, auch wenn kein direkter Zwang besteht.
Besonders relevant ist der Kodex im Bereich Urheberrecht. Das Europäische Parlament hat explizit gefordert, dass Anbieter alle urheberrechtlich geschützten Werke in ihren Trainingsdaten transparent offenlegen. Fehlende oder unvollständige Angaben können als Urheberrechtsverletzung gewertet werden, mit entsprechenden Prozesskostenrisiken. Wer glaubt, Training-Data-Fragen seien ein nachrangiges Compliance-Thema, unterschätzt die juristische Sprengkraft dieser Regelung erheblich.
Der EU AI Act sieht gestaffelte Sanktionen vor. Bei schweren Verstößen – etwa der systematischen Nichterfüllung von Transparenzpflichten – können Bußgelder bis zu 6 Prozent des globalen Jahresumsatzes verhängt werden. Bei weniger schweren Verstößen liegt die Obergrenze bei 3 Prozent. Zum Vergleich: OpenAIs Jahresumsatz wurde zuletzt auf mehrere Milliarden US-Dollar geschätzt – 3 Prozent davon ergäben Summen im dreistelligen Millionenbereich.
Wichtig ist hier eine präzise Einordnung: Konkrete, bereits verhängte Bußgelder gegen GPAI-Anbieter sind Stand heute nicht dokumentiert. Der Stichtag liegt erst im August 2025, die Aufsichtsstrukturen bauen sich gerade erst auf. Was Beratungsunternehmen wie Trend Micro kommunizieren, sind Szenarien basierend auf dem gesetzlichen Sanktionsrahmen – keine vollstreckten Fälle. Diese Differenzierung ist entscheidend. Wer Compliance-Entscheidungen auf Basis von Horror-Szenarien trifft, handelt ebenso falsch wie jemand, der das Risiko gänzlich ignoriert.
Die Einschätzung von KPMG Law ist dabei nüchterner als manche Headline suggeriert: Die Sanktionen sind real, aber ihre Durchsetzung hängt von funktionierenden nationalen Aufsichtsbehörden ab, die in vielen EU-Mitgliedstaaten noch im Aufbau sind. Das bedeutet keine Entwarnung – sondern eine realistische Planung mit zeitlichem Puffer, den Unternehmen nutzen sollten, um Dokumentationsstrukturen aufzubauen, bevor die ersten Bescheide kommen.
Das eigentliche Risiko für Unternehmen liegt nicht im abstrakten Bußgeldrahmen, sondern in einem sehr konkreten operativen Problem: Viele Organisationen, die GPAI-Systeme einsetzen oder weiterentwickeln, haben keine systematische Dokumentation ihrer KI-Prozesse. Wer Modelle über APIs nutzt, glaubt oft, nur Anwender zu sein – und damit außerhalb der Regulierungspflicht. Das ist eine gefährliche Fehleinschätzung.
Insbesondere in Hochrisikobereichen wie Kundensupport, Personalentscheidungen oder automatisierten Bewertungsverfahren gelten strengere Dokumentations- und Überwachungspflichten. Wer ein GPAI-Modell in einen Recruiting-Prozess einbettet oder für automatisierte Kreditentscheidungen nutzt, ist für die nachgelagerte Anwendung regulatorisch verantwortlich. Fehlfunktionen und diskriminierende Ergebnisse müssen erfasst und gemeldet werden. Valide Daten als Grundlage dieser Systeme sind dabei keine optionale Verbesserung, sondern Compliance-Bedingung.
Praktisch bedeutet das: Unternehmen brauchen ein KI-Inventar. Welche Modelle sind im Einsatz? Welche Entscheidungen beeinflussen sie? Welche Trainingsdaten wurden verwendet? Gibt es Mechanismen zur Fehlererfassung? Wer diese Fragen nicht beantworten kann, hat eine Dokumentationslücke – und damit ein messbares regulatorisches Risiko, unabhängig davon, ob morgen oder erst in zwei Jahren ein Behördenprüfer anklopft.
OpenAI, Google und Meta stehen unter besonderer Beobachtung – nicht nur wegen der Marktmacht ihrer Modelle, sondern weil ChatGPT, Gemini und Llama als Referenzfälle für die gesamte Regulierungsarchitektur gelten. Was diese Anbieter dokumentieren, was sie offenlegen und wie sie kennzeichnen, setzt den faktischen Standard für alle anderen.
Die IHK München erläutert in ihrem AI-Act-Ratgeber, dass Anbieter von GPAI-Systemen grundsätzlich registrierungspflichtig sind und ihre technischen Unterlagen auf Verlangen vollständig bereitstellen müssen. Das gilt auch für Informationen zu Entwicklungs- und Trainingsmethoden, zur Datenherkunft und zu durchgeführten Updates. Wer ein Modell nach Markteinführung wesentlich verändert, muss dies dokumentieren – Versionierung ist damit keine rein technische, sondern eine rechtliche Anforderung.
OpenAI hat auf seiner Trust-&-Transparency-Seite begonnen, entsprechende Informationen zu veröffentlichen. Ob das den regulatorischen Anforderungen vollständig genügt, ist offen. Die Aufsichtsbehörden werden das bewerten – und genau diese Bewertungspraxis wird in den nächsten Monaten die eigentliche Rechtsrealität des AI Acts formen. Schön formulierte Transparenz-Seiten ersetzen keine strukturierte technische Dokumentation.
Ein Aspekt, der in der öffentlichen Diskussion zu kurz kommt: Die GPAI-Transparenzpflicht und die urheberrechtlichen Offenlegungsanforderungen überschneiden sich in einem Punkt, der juristisch noch nicht vollständig geklärt ist. Wenn Anbieter die Herkunft ihrer Trainingsdaten offenlegen müssen, werden zwangsläufig Informationen sichtbar, die Grundlage für Urheberrechtsklagen sein können.
Das Europäische Parlament hat deutlich signalisiert, dass fehlende oder unvollständige Angaben zu urheberrechtlich geschütztem Trainingsmaterial als Rechtsverletzung gewertet werden können. Verlage, Autoren, Bildagenturen und Musikrechteinhaber beobachten diese Entwicklung sehr genau. Die erste GPAI-Dokumentation, die urheberrechtlich belastete Trainingsdaten transparent ausweist, könnte eine Klagewelle auslösen, die das Bußgeldrisiko weit übertrifft.
Für Anbieter, die GPAI-Systeme auf Basis lizenzrechtlich unsicherer Daten trainiert haben, ist Transparenz damit paradoxerweise teuer. Wer offenlegt, riskiert Klagen. Wer nicht offenlegt, riskiert Bußgelder. Ein Dilemma, das sich regulatorisch noch nicht aufgelöst hat – und das die Compliance-Planung erheblich kompliziert.
Ein oft übersehener Aspekt der GPAI-Regulierung ist die Frage, wer die Einhaltung der Transparenzpflichten tatsächlich kontrolliert. Für GPAI-Modelle mit systemischen Risiken liegt die primäre Aufsichtszuständigkeit bei der EU-Kommission selbst, nicht bei nationalen Behörden. Das EU AI Office, das 2024 innerhalb der Kommission eingerichtet wurde, übernimmt dabei eine zentrale Koordinationsfunktion.
Für alle anderen GPAI-Systeme – also solche ohne klassifiziertes systemisches Risiko – sind hingegen die nationalen Marktüberwachungsbehörden zuständig. In Deutschland ist das voraussichtlich die Bundesnetzagentur, in enger Abstimmung mit weiteren Behörden. Diese Aufteilung schafft eine Komplexität, die für international tätige Anbieter erhebliche Folgen hat: Wer in mehreren EU-Staaten aktiv ist, muss unter Umständen mehrere Aufsichtsbehörden mit unterschiedlichen Verwaltungstraditionen und Prüfpraktiken bedienen.
Genau hier liegt ein praktisches Risiko für mittlere Unternehmen: Während Konzerne wie OpenAI oder Google eigene Regulatory-Affairs-Teams aufbauen, fehlen kleineren Anbietern und Integrationsunternehmen oft die Ressourcen, um den Überblick über die sich entwickelnden Aufsichtsstrukturen zu behalten. Der frühzeitige Aufbau entsprechender interner Kompetenz – oder die gezielte Zusammenarbeit mit spezialisierten Beratungen – ist deshalb keine Luxusoption, sondern strategische Notwendigkeit.
Die Frist ist keine Zukunftsfrage mehr. Wer GPAI-Systeme einsetzt oder bereitstellt, hat regulatorisch aufzuholen. Drei Schritte sind dabei sofort umsetzbar.
Erstens: KI-Inventar erstellen. Welche GPAI-Modelle werden in welchen Prozessen eingesetzt? Welche Entscheidungen beeinflussen diese Systeme? Eine vollständige Übersicht ist Voraussetzung für jede weitere Compliance-Maßnahme. Wer den Überblick verliert, verliert auch den Überblick über das eigene Risikoprofil – das zeigen Erfahrungen aus Digitalisierungsprojekten, bei denen fehlende Datenbasis die gesamte Prozesskette blockiert hat.
Zweitens: Dokumentationsstruktur aufbauen. Technische Dokumentation zu Trainingsdaten, Energieverbrauch, Modellversionen und Governance-Prozessen muss nicht sofort vollständig sein, aber strukturiert begonnen werden. Der GPAI Code of Practice liefert dafür ein Musterdokumentationsformat, das als Ausgangspunkt genutzt werden kann.
Drittens: Hochrisikobereiche priorisieren. Wer GPAI in Personalentscheidungen, Kreditvergabe oder Kundenbewertung einsetzt, hat das höchste regulatorische Risiko und sollte hier zuerst handeln. Fehlende Fehlererfassungsmechanismen in diesen Bereichen sind kein Qualitätsproblem – sie sind ein Compliance-Verstoß.
Es gibt durchaus Stimmen in der Industrie und der Rechtswissenschaft, die vor einer Überregulierung warnen. Das Argument: Wer zu viele Dokumentationspflichten auferlegt, vertreibt innovative Anbieter aus dem europäischen Markt und stärkt damit US-amerikanische und chinesische Wettbewerber, die unter keinen vergleichbaren Pflichten stehen. Diese Sorge ist nicht vollständig unbegründet – sie darf jedoch nicht als Argument dafür herhalten, Transparenzanforderungen grundsätzlich abzulehnen.
Ein zweites Gegenargument betrifft die technische Praktikabilität: Manche Dokumentationspflichten, insbesondere zur vollständigen Offenlegung von Trainingsdaten, sind für Modelle, die auf Basis öffentlich gecrawlter Daten trainiert wurden, kaum lückenlos erfüllbar. Die Datenmenge ist schlicht zu groß für manuelle Auditierung. Hier wird die regulatorische Praxis zeigen müssen, welche Dokumentationstiefe als ausreichend gilt und welche Hilfsmittel – etwa automatisierte Datenherkunftsnachweise – akzeptiert werden.
Trotz dieser Einwände bleibt festzuhalten: Der politische Wille in Brüssel ist eindeutig. GPAI-Transparenz ist kein Diskussionspunkt mehr, sondern geltendes Recht. Unternehmen, die auf eine Aufweichung der Anforderungen setzen, spielen ein riskantes Spiel.
Die GPAI-Transparenzpflicht ist kein Papiertiger. Sie ist bindend, ihr Sanktionsrahmen ist erheblich, und die ersten Aufsichtsbehörden bauen ihre Prüfroutinen gerade auf. Was fehlt, sind bislang dokumentierte Vollzugsfälle – aber die werden kommen. Die entscheidende Frage ist nicht, ob Unternehmen reguliert werden, sondern ob sie vorbereitet sind, wenn die erste Behördenanfrage eintrifft.
Und noch wichtiger: Wann beginnen Unternehmen, KI-Dokumentation nicht als lästige Pflicht, sondern als strategisches Asset zu begreifen – als Nachweis für Qualität, Verlässlichkeit und Risikosteuerung, der auch intern Wert hat? Die Regulierung zwingt zu einer Transparenz, die eigentlich schon aus Eigeninteresse geboten wäre.
