Neue EU-Vorschriften für KI-Modelle wie GPT-5
Seit dem 2. August 2025 gilt in der Europäischen Union ein verschärfter Rechtsrahmen für sogenannte General Purpose AI (GPAI) – Basismodelle mit breiter Zweckbestimmung wie GPT-5. Mit dem Inkrafttreten des AI Acts zielt die EU darauf ab, Transparenz, Rechtssicherheit und technische Sicherheit im Bereich Künstlicher Intelligenz erheblich zu stärken. Die Vorschriften betreffen insbesondere Transparenz, Urheberrecht, Sicherheit und Governance. Über die Herausforderungen und Konsequenzen dieser neuen Regularien sprechen wir heute mit Rechtsanwalt Sascha Kugler, einem Experten für KI-Recht.
Alchimedus: Herr Kugler, können Sie uns die Kernpunkte der neuen EU-Vorschriften für General Purpose AI, wie GPT-5, erläutern?
RA Sascha Kugler: Die neuen Vorschriften aus dem AI Act setzen einen starken Schwerpunkt auf Transparenz, urheberrechtliche Konformität, Sicherheitsmaßnahmen und Governance. Ein wesentlicher Aspekt ist die Transparenzverpflichtung. Anbieter müssen detailliert darlegen, mit welchen Daten ihre Modelle trainiert wurden, wie die Modellarchitektur aufgebaut ist, welche Evaluationsmethoden angewendet werden und welche Verzerrungen bestehen könnten. Diese Transparenzanforderungen sollen die Nachvollziehbarkeit und Sicherheit der KI-Modelle erhöhen. Ergänzend ist eine öffentliche, detaillierte Zusammenfassung der Trainingsinhalte vorgeschrieben, die eine nachvollziehbare Übersicht über Datenarten, Quellenkategorien und Kurationsprozesse liefert.
Alchimedus: Warum ist Transparenz hier so wichtig?
RA Sascha Kugler: Transparenz ist entscheidend, um Vertrauen in KI-Technologien zu schaffen. Sie ermöglicht es, die inneren Abläufe eines Modells besser zu verstehen und sicherzustellen, dass keine unvorhergesehenen Risiken bestehen. Gegenüber den Behörden besteht daher eine Pflicht zur umfassenden Offenlegung, einschließlich Datenherkunft, Lizenzstatus, Qualitätskontrollen sowie eingesetzter Anonymisierungs- oder Pseudonymisierungsmethoden. Durch die Veröffentlichung von „Model Cards“, „System Cards“ und entsprechenden Evaluation Reports wird eine nachvollziehbare Dokumentation der Modelle gefördert, ohne dabei Geschäftsgeheimnisse vollständig offenzulegen.
Alchimedus: Was sagen die Regelungen zum Thema Urheberrecht?
RA Sascha Kugler: Der Schutz geistigen Eigentums ist eine tragende Säule dieser neuen Regelungen. KI-Anbieter müssen das EU-Urheberrecht respektieren. Dazu gehört die Pflicht, Anfragen von Rechteinhabern zeitnah zu beantworten, urheberrechtlich geschützte Quellen mit erklärtem Text-und-Data-Mining-Opt-out zu respektieren und wirksame Beschwerdemechanismen zu etablieren.
In der EU ist die Verwendung geschützter Inhalte, anders als in den USA, nicht durch ein „Fair Use“-Prinzip gedeckt, sondern erfordert eine explizite Lizenz oder fällt unter spezifische Schrankenregelungen, insbesondere der TDM-Bestimmungen mit Opt-out-Möglichkeit.
Alchimedus: Welche Governance- und Sicherheitsmaßnahmen werden für die Anbieter von KI-Modellen vorgeschrieben?
RA Sascha Kugler: Die Anbieter müssen klare Governance-Strukturen für den gesamten Lebenszyklus eines Modells implementieren, vom Pre-Training über den Betrieb bis zur Nachmarktüberwachung. Das umfasst dokumentierte Prüfungen, klare Verantwortlichkeiten und Audit-Trails.
Insbesondere für Hochrisiko-Modelle sind strenge Stresstests in Form erweiterter Meldepflichten sowie jährlicher Prüfberichte verpflichtend, um potenziellen Missbrauch zu simulieren und Sicherheitsmaßnahmen wie Missbrauchserkennung, Inhaltsfilter oder Zugriffskontrollen zu testen. Die Ergebnisse dieser Tests müssen in einem prüffähigen Sicherheitsdossier dokumentiert werden.
Alchimedus: Was passiert, wenn Unternehmen diese Regeln nicht einhalten? Sprich: Wie muss man sich Überwachung und Sanktionierung vorstellen?
Sascha Kugler: Die Überwachung der Einhaltung übernimmt das neu geschaffene Europäische KI-Amt (AI Office) in Zusammenarbeit mit den nationalen Marktüberwachungsbehörden. Diese haben weitreichende Befugnisse, darunter Auskunftsverlangen, Vor-Ort-Prüfungen und verbindliche Anordnungen. Die EU hat strikte Sanktionen festgelegt. Verstöße können mit Bußgeldern von bis zu 3 % des weltweiten Jahresumsatzes oder mindestens 15 Millionen Euro geahndet werden. Zudem riskieren die Anbieter den Verlust des Zugangs zum EU-Markt. Somit macht die EU deutlich, wie wichtig die Einhaltung dieser neuen Vorschriften ist. Während neue Modelle wie GPT-5 die Vorschriften sofort erfüllen müssen, gilt für bereits in Betrieb befindliche Systeme eine Übergangsfrist bis August 2026. Ergänzend bietet die EU einen freiwilligen KI-Verhaltenskodex an, der weniger bürokratisch gestaltet ist, aber keine Sanktionen bei Nichteinhaltung vorsieht.
Alchimedus: Mit welchen praktischen Herausforderungen haben die Unternehmen bei der Umsetzung der Vorschriften zu kämpfen?
RA Sascha Kugler: Einerseits haben viele nationale Behörden noch nicht die nötigen Ressourcen, um die umfangreichen Prüf- und Kontrollaufgaben konsequent auszuführen. Andererseits müssen die Anbieter ihre Produktentwicklungs- und Release-Prozesse im Sinne von „Compliance by Design“ überdenken. Der Balanceakt zwischen Transparenzanforderungen und dem Schutz von Geschäftsgeheimnissen sowie die Implementierung automatisierter Opt-out-Erkennung sind weiterhin große Herausforderungen. Unstrittig ist jedoch, wie bereits erwähnt: Ohne vollständige Einhaltung der Vorgaben droht der Verlust des Zugangs zum EU-Markt. Das ist die Botschaft, die die EU mit dem AI Act klar und unmissverständlich sendet.
Alchimedus: Herr Kugler, vielen Dank für Ihre detaillierten Einblicke in die neuen EU-Vorschriften.
RA Sascha Kugler: Vielen Dank für das Gespräch. Es ist wichtig, über diese Themen zu informieren, da sie die Zukunft der KI in Europa maßgeblich beeinflussen werden.
� Website: Alchimedus Legal