GenAI/GPAI-Checkliste: EU‑konform auf System- und Modellebene

Der EU AI Act übersetzt abstrakte Prinzipien in konkrete Nachweise – auch für generative Systeme. Wer heute GenAI oder GPAI integriert, muss zweigleisig arbeiten: auf der Systemebene (Risikomanagement, Daten-Governance, technische Dokumentation, Konformitätsbewertung) und auf der Modellebene (GPAI-spezifische Pflichten wie Trainingsdaten-Transparenz und Downstream-Informationen). Dieser Beitrag verdichtet die zentralen Artikel (Art. 9–16, 43, 47, 49, 53, 55) zu einer praxistauglichen Prüfliste – mit Blick auf typische Fallstricke in Schulungen. Eine vertiefende Übersicht bietet EU AI Act: Schulung und Compliance.

Kurzüberblick: System vs. Modell

Für viele GenAI-Anwendungen gilt: nicht zwingend Hochrisiko, aber dennoch transparenzpflichtig. Anders bei HR- und Bildungsfällen, wo häufig eine Hochrisiko-Einstufung greift. Auf Systemebene fordern die Artikel 9–16 ein durchgängiges Risikomanagement, belastbare Datenqualität, nachvollziehbare Dokumentation und angemessene menschliche Aufsicht. Art. 43, 47 und 49 verzahnen dies mit Konformitätsbewertung, CE-Kennzeichnung und Registrierung. Auf der Modellebene treten bei GPAI zusätzliche Pflichten hinzu: Zusammenfassung der verwendeten urheberrechtlich geschützten Trainingsdaten, Downstream-Dokumentation für Integratoren und Verfahren für mögliche systemische Risiken (Meldestrukturen nach der Verordnung, Art. 53, 55).

Systemebene: Pflichtprogramm und Nachweise

Die Kernfragen für Projektleitungen und Compliance-Teams lauten:

Risikoeinstufung und Lebenszyklus-Risikomanagement (Art. 9): Liegt eine dokumentierte Einstufung vor? Wie werden Risiken fortlaufend erkannt, bewertet und mitigiert?
Daten-Governance (Art. 10): Sind Datenquellen, Datenqualität und Bias-Prüfungen nachvollziehbar dokumentiert und überprüfbar?
Technische Dokumentation und Logging (Art. 11–12): Beschreibt die Dokumentation Zweck, Daten, Leistungsparameter und Änderungen ausreichend? Werden relevante Ereignisse protokolliert?
Transparenz, Human Oversight, Robustheit und Sicherheit (Art. 13–15): Erhalten Deployers klare Nutzungsgrenzen, Aufsichts- und Interpretationshinweise? Sind Genauigkeit und Sicherheit angemessen belegt?
Konformitätsbewertung, CE, Registrierung (Art. 43, 47, 49): Welches Verfahren gilt, ist es durchgeführt und vollständig nachweisbar?

Technische Teams sollten Schnittstellen, Monitoring und Protokolle so gestalten, dass Auditfragen jederzeit beantwortbar sind – eine Aufgabenlage, die Rollen und Pflichten für IT-Teams bei KI-Einführungen bündelt.

Modellebene: Besonderheiten bei GenAI/GPAI

Erstens: Klassifikation. Ist das zugrunde liegende Modell ein GPAI-Modell, gelten modellbezogene Transparenz- und Unterstützungspflichten. Zweitens: Downstream-Dokumentation. Integratoren benötigen klare Angaben zu Trainingsdatenregime, Limitierungen, Evaluierungen, Schnittstellen und zu erwartenden Risiken – damit sie ihre Systempflichten erfüllen können.

Drittens: Urheberrechtsstrategie. Lizenzierung, Rechteklärung, Verfahren für Opt-outs und ein Eskalationspfad bei Beschwerden sollten dokumentiert sein. Viertens: Veröffentlichung einer Zusammenfassung urheberrechtlich geschützter Trainingsdaten, soweit einschlägig. Fünftens: Systemisches Risiko. Bei Anhaltspunkten sind Risikoanalyse, Minderung und – je nach Schwelle – Meldungen an die zuständigen Stellen vorgesehen (Art. 53, 55).

Training: rollen- und risikobasierte Checkliste

Ein allgemeines „AI Basics“-Webinar genügt selten. Schulungen müssen sich an Rolle, Risiko und Systemtyp ausrichten – und typische Fehlstellen adressieren:

Rollenverwechslung (Art. 25): Wer durch Rebranding, Zweckänderung oder signifikante Modifikation agiert, kann vom Deployer zum Anbieter werden – mit vollen Pflichten. Orientierung bietet der Guide für Projektleitungen bei KI-Projekten.
HR- und Bildungsanwendungen: CV-Screening, Bewerberbewertung und Prüfungsaufsicht sind häufig Hochrisiko – mit strengem Nachweispaket.
Transparenzpflichten: Kennzeichnung von synthetischen Inhalten, Deepfakes und Chatbot-Interaktionen gehört in Prozesse und Schulungsmaterial.
Open-Source-Grenzen: Open Source ist nicht automatisch ausgenommen – insbesondere nicht bei Hochrisiko- oder systemischen Risiken.

Kurz-Check für Trainingsplanung: Welche Rolle (Provider, Deployer, Integrator) schulen wir? Welche Risiko- und Transparenzpflichten trifft das konkrete System? Welche Nachweise werden im Auditfall benötigt und wo liegen sie ab?

Fazit: EU AI Act Compliance für GenAI verlangt zweierlei – solide Systemevidenz und modellbezogene Transparenz. Wer Risikomanagement, Dokumentation und Schulung verzahnt, reduziert regulatorische Unsicherheiten und schafft belastbare Nachweise für Prüfung und Betrieb.

GenAI/GPAI-Checkliste: EU‑konform auf System- und Modellebene

GenAI/GPAI-Checkliste: EU‑konform auf System- und Modellebene

Kurzüberblick: System vs. Modell

Systemebene: Pflichtprogramm und Nachweise

Modellebene: Besonderheiten bei GenAI/GPAI

Training: rollen- und risikobasierte Checkliste

EU AI Act zwischen Rechtstext und Leitlinien: Artikel 4 operativ greifen

EU AI Act: Schulungsleitfaden für Begriffe, Rollen und Module

Warum ich der perfekte Partner für eure agile Transformation bin

Agile Professional: 1:1 Agile Coaching für dein erstes agiles Projekt

Wenn KI teurer wird als Mitarbeiter: Kostenstruktur, Treiber und strategische Folgen

Scrum und agile Methoden: Agile Coach erklärt den Weg zu mehr Team-Effizienz

GenAI/GPAI-Checkliste: EU‑konform auf System- und Modellebene

Kurzüberblick: System vs. Modell

Systemebene: Pflichtprogramm und Nachweise

Modellebene: Besonderheiten bei GenAI/GPAI

Training: rollen- und risikobasierte Checkliste

Ähnliche Beiträge