EU AI Act: Brüssel legt den Prüfmechanismus für KI-Modelle offen – was Unternehmen jetzt wissen müssen

Am 12. März 2026 veröffentlichte die Europäische Kommission einen Entwurf für eine Durchführungsverordnung (Aktenzeichen: Ares(2026)2709234), der erstmals im Detail beschreibt, wie das europäische KI-Büro – die neu geschaffene Aufsichtsbehörde der Kommission – Anbieter von General-Purpose-AI-Modellen (GPAI) untersuchen und sanktionieren wird. Die öffentliche Konsultationsphase endete am 9. April 2026. Was kaum jemand auf dem Radar hatte: Das Dokument betrifft nicht nur OpenAI, Google oder Mistral, sondern potenziell auch mittelständische Unternehmen in Deutschland, die KI-Modelle anpassen, kombinieren oder in eigene Produkte einbetten.

Was ist GPAI – und wen trifft es wirklich?

Der Begriff "General Purpose AI Model" klingt nach Silicon-Valley-Giganten, ist rechtlich aber weiter gefasst als gedacht. Als GPAI-Anbieter im Sinne des AI Acts gilt, wer ein Modell mit einer sehr großen Anzahl von Parametern trainiert und es mit allgemeinen Fähigkeiten ausstattet – also zu mehr als einem eng definierten Zweck einsetzbar macht. Wer ein solches Modell dann in sein Produkt integriert oder weitergibt, gilt als "nachgelagerte Anbieter" und hat eigene Pflichten.

Die entscheidende Abgrenzung liegt dabei nicht immer in der Unternehmensgröße, sondern im technischen Eingriff: Ein Mittelständler, der ein Open-Source-Basismodell wie LLaMA fine-tunet und intern oder extern einsetzt, kann unter bestimmten Umständen selbst als GPAI-Anbieter eingestuft werden. Die Grauzone ist beachtlich – und genau dort setzt die neue Durchführungsverordnung an.

Der neue Prüfmechanismus im Überblick

Die Kommission beschreibt in dem Entwurf erstmals konkret, wie Ermittlungsverfahren ablaufen: Das KI-Büro kann aus eigener Initiative tätig werden, auf Basis von Beschwerden Dritter handeln oder auf Anfrage nationaler Behörden aktiv werden. Unternehmen müssen auf Verlangen vollständige technische Dokumentation, Trainingsdaten-Protokolle, Testberichte und Risikobewertungen vorlegen – innerhalb definierter Fristen, die je nach Dringlichkeit zwischen 10 und 30 Arbeitstagen liegen können.

Besonders scharf formuliert ist der Abschnitt zu GPAI-Modellen mit "systemischem Risiko". Darunter fallen Modelle, die ab einem Trainingsaufwand von 10²⁵ FLOPs trainiert wurden – aktuell trifft das hauptsächlich Frontier-Modelle der großen Anbieter. Für diese gelten verschärfte Anforderungen: zwingende Red-Teaming-Berichte, Cybersicherheits-Selbstbewertungen und verpflichtende Meldung schwerer Vorfälle binnen 72 Stunden an das KI-Büro.

Für alle anderen GPAI-Anbieter (ohne systemisches Risiko) gelten die Basispflichten aus Artikel 53 des AI Acts: technische Dokumentation, Einhaltung von Copyright-Bestimmungen beim Training, Transparenzpflichten und die Weitergabe relevanter Informationen an nachgelagerte Anbieter. Diese Pflichten sind seit August 2025 in Kraft – die Durchführungsverordnung präzisiert nun, wie deren Einhaltung geprüft wird.

Zeitplan: Wann wird es ernst?

Die formale Verabschiedung der Durchführungsverordnung ist für das zweite Quartal 2026 geplant. Am 2. August 2026 tritt dann die vollständige Durchsetzungskompetenz des KI-Büros in Kraft – auch für Modelle, die bereits vor August 2025 auf den Markt gebracht wurden. Die Übergangsregelung für diese Altmodelle endet am 2. August 2027.

Was das für die Praxis bedeutet: Unternehmen, die heute GPAI-Modelle einsetzen oder adaptieren, haben noch rund vier Monate, um ihre Compliance-Grundlagen zu legen. Das ist weniger Zeit als es klingt, denn die nötige technische Dokumentation, die Risikoklassifizierung und die Überprüfung der Lieferkette kosten in der Praxis erheblichen Aufwand.

Bußgelder: Die konkreten Zahlen

Die Sanktionsrahmen des AI Acts sind bereits bekannt, gewinnen aber durch die neue Durchführungsverordnung an Kontur. Für GPAI-Anbieter ohne systemisches Risiko drohen bei Verstößen gegen Artikel 53 Geldbußen von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Bei Modellen mit systemischem Risiko steigt die Obergrenze auf 35 Millionen Euro oder 7 Prozent des Jahresumsatzes.

Für kleine und mittlere Unternehmen gilt eine verhältnismäßige Berücksichtigung bei der Bußgeldbemessung – sie sind aber ausdrücklich nicht von den Pflichten befreit. Das ist ein wichtiger Unterschied: Auch ein Mittelständler mit 150 Mitarbeitern, der ein angepasstes KI-Modell in seiner Software einsetzt, kann ins Visier des KI-Büros geraten, wenn die Dokumentation fehlt.

Parallelentwicklung: Das Digital-Omnibus-Paket

Im März 2026 kam eine weitere regulatorische Entwicklung hinzu: Sowohl EU-Rat als auch EU-Parlament stimmten über ihre Verhandlungspositionen zum sogenannten Digital-Omnibus-Paket ab – einem Gesetzgebungsvorhaben, das unter anderem die KI-Haftungsrichtlinie und die Überarbeitung bestehender Produkthaftungsregeln im KI-Kontext umfasst. Die erste Trilog-Sitzung fand Ende März statt, ein zweiter Termin ist für den 28. April 2026 geplant. Für Unternehmen bedeutet das: Der regulatorische Rahmen für KI-Haftung ist noch im Fluss – aber die Grundrichtung ist klar.

Was Unternehmen jetzt tun sollten

Die gute Nachricht: Wer bereits an einer strukturierten KI-Strategie arbeitet, hat die besten Voraussetzungen, auch regulatorisch auf der sicheren Seite zu bleiben. Konkret empfiehlt sich jetzt folgendes Vorgehen:

1. Bestandsaufnahme aller KI-Modelle: Welche Modelle werden im Unternehmen eingesetzt, angepasst oder weitergegeben? Wer ist intern der technische Verantwortliche, und welcher externe Anbieter steht dahinter? Diese Übersicht ist die Grundlage jeder weiteren Compliance-Arbeit und sollte innerhalb der nächsten vier Wochen erstellt werden.

2. Prüfung der GPAI-Anbieter-Rolle: Werden Modelle lediglich genutzt (deployer), oder werden sie verändert, kombiniert und weitergegeben (nachgelagerter Anbieter oder GPAI-Anbieter)? Diese Einordnung bestimmt den Umfang der eigenen Pflichten fundamental. Im Zweifelsfall empfiehlt sich die Beratung durch spezialisierte Rechtsexperten oder Compliance-Dienstleister.

3. Technische Dokumentation aufbauen: Artikel 53 fordert eine vollständige technische Dokumentation des eingesetzten Modells. Für extern bezogene Modelle muss der Anbieter diese liefern – prüfen Sie Ihre Verträge und fordern Sie fehlende Unterlagen an. Für selbst adaptierte Modelle müssen Sie die Dokumentation selbst erstellen.

4. Lieferkette prüfen: Wenn Sie KI-Modelle in eigene Software oder Services einbetten und an Kunden weitergeben, haben Sie Pflichten als nachgelagerter Anbieter. Das umfasst die Weitergabe relevanter Informationen und Dokumentation an Ihre Kunden. Prüfen Sie Ihre AGB und Serviceverträge auf entsprechende Klauseln.

5. Vorfallmeldeprozess etablieren: Für GPAI-Modelle mit systemischem Risiko gilt eine 72-Stunden-Meldepflicht bei schweren Vorfällen. Selbst wenn Ihr Modell nicht in diese Kategorie fällt, ist ein klarer interner Prozess für KI-bezogene Vorfälle gute Praxis – und wird bei künftigen Prüfungen positiv bewertet.

Die EU regelt KI schneller und konkreter als viele Unternehmen wahrhaben wollen. Die Durchführungsverordnung vom März 2026 ist kein abstraktes Regulierungsdokument mehr – sie ist der Startschuss für eine ernsthafte Durchsetzungspraxis, die spätestens ab August 2026 Realität wird. Unternehmen, die heute handeln, werden im Herbst deutlich ruhiger schlafen als solche, die das Thema noch einmal verschieben.

Haben Sie Fragen zur Einordnung Ihrer KI-Systeme unter den EU AI Act? Sprechen Sie uns gerne über unser Kontaktformular an – wir helfen Ihnen bei der Analyse und der strukturierten Umsetzung Ihrer Compliance-Maßnahmen.