Der EU AI Act verpflichtet Anbieter von General-Purpose-AI-Modellen (Art. 53) erstmals zur umfassenden Offenlegung ihrer Trainingsdaten. Diese Transparenz ist die Grundlage für Nachvollziehbarkeit, Haftung und Vertrauen im europäischen KI-Markt. Für Betreiber – etwa Banken und Finanzdienstleister – entsteht daraus eine neue Kontrollpflicht: Sie müssen die offengelegten Informationen prüfen, dokumentieren und in ihre Governance integrieren.
1. Kontext: Transparenz als regulatorischer Kern
Mit der Verordnung (EU) 2024/1689 etabliert die EU einen neuen Rechtsrahmen für KI‑Modelle, die als Basistechnologien in zahlreichen Anwendungen genutzt werden. General‑Purpose‑AI‑Modelle (GPAI) – z. B. Sprach‑, Code‑ oder Bildmodelle – bilden die Grundlage vieler Systeme, die Banken in ihren Prozessen einsetzen (Chatbots, Risikoanalyse, Fraud‑Detection). Ziel der Regelung ist überprüfbare Transparenz über Herkunft, Datenbasis und Qualität dieser Modelle. Die Verantwortung verschiebt sich damit von der Nutzung zur Nachweisführung.
2. Was Anbieter konkret tun müssen
Vor der Markteinführung in der EU müssen Anbieter eine strukturierte und öffentliche Zusammenfassung ihrer Trainingsdaten bereitstellen – nach dem offiziellen EU-Template C (2025) 5235 final.
Inhalt der Offenlegung:
- Herkunft der Trainingsdaten (Web, Bücher, lizenziert, synthetisch)
- Datenarten (Text, Audio, Code, Bild)
- Urheberrechtliche Situation (Lizenzen, TDM-Opt-outs)
- Filter- und Qualitätssicherungsverfahren (z. B. Entfernung personenbezogener Daten)
- Gesamtumfang und Trainingsmethodik
Diese Angaben müssen laufend aktualisiert werden – insbesondere bei Modell-Updates, Retrainings oder Architekturänderungen. Die Transparenzpflicht ist somit keine einmalige Abgabe, sondern eine kontinuierliche Dokumentationspflicht.
3. Zielsetzung und Regulierungslogik
Die EU verfolgt mit der Offenlegungspflicht drei zentrale Ziele:
1️⃣ Schutz geistigen Eigentums
Urheber:innen sollen nachvollziehen können, ob ihre Werke für KI-Trainings genutzt wurden.
2️⃣ Transparenz in der Wertschöpfungskette
Betreiber und Nutzer – etwa Banken oder FinTechs – erhalten Einblick in die Datenbasis und können Risiken rechtlich wie ethisch bewerten.
3️⃣ Behördliche Kontrolle
Das EU AI Office und nationale Behörden (z. B. Bundesnetzagentur) erhalten eine vergleichbare Datengrundlage für Marktaufsicht und Audit.
Ergebnis: KI wird vom Black-Box-System zum prüfbaren, verantwortbaren Instrument.
4. Ablauf des GPAI-Offenlegungsprozesses
Schritt 1: Anbieter erstellt die Trainingsdatentransparenz-Vorlage vor dem ersten Inverkehrbringen.
Schritt 2: Das Modell darf erst dann in der EU angeboten werden, wenn die Dokumentation vollständig ist.
Schritt 3: Anbieter hält die Unterlagen revisionssicher vor und stellt sie Behörden und Kunden auf Anfrage bereit.
Schritt 4: Betreiber (z. B. Banken) fordern die Vorlage an, prüfen sie und dokumentieren die Ergebnisse im KI-Inventar oder Compliance-System.
So entsteht eine verzahnte Regelungskette zwischen Provider und Deployer – vom Trainingsprozess bis zum aufsichtsrechtlichen Nachweis.
5. Was das für Betreiber (Deployer) bedeutet
Banken und Finanzdienstleister müssen künftig nachweisen können, dass sie die Transparenzvorlagen ihrer genutzten Modelle geprüft haben.
Pflichten der Betreiber:
- Anfordern der aktuellen EU-Vorlage vom Provider
- Prüfen auf Vollständigkeit, Plausibilität und Rechtskonformität
- Dokumentieren der Prüfung (im KI-Inventar oder IKS)
- Nachforderung oder Neubewertung, wenn Angaben fehlen
Damit wird aus der Transparenzpflicht der Anbieter → eine Kontrollpflicht der Betreiber.
Eine Aufsicht (BaFin, EU AI Office) wird fragen:
„Haben Sie überprüft, ob die eingesetzten Modelle eine vollständige Trainingsdaten-Vorlage besitzen – und wie sind Sie mit Lücken umgegangen?“
6. Rollen und Pflichten im Überblick
| Rolle | Pflichten laut EU AI Act | Beispielhafte Maßnahme |
|---|---|---|
| Anbieter (Provider) |
Füllt EU-Vorlage C (2025) 5235 final aus, veröffentlicht sie vor Markteinführung, aktualisiert bei Änderungen, hält Dokumentation bereit | Bereitstellung einer öffentlichen Trainingsdaten-Summary, Nachweis an EU AI Office |
| Betreiber (Deployer) |
Fordert die Vorlage an, prüft sie auf Vollständigkeit und Plausibilität, dokumentiert Nachweis, fordert ggf. Nachbesserung | Crosswalk-Prüfung, Nachforderungsprozess, Audit-Trail im KI-Inventar |
Fazit und Implikationen für Entscheider:innen
Die EU-Vorlage C (2025) 5235 final ist kein administratives Formular, sondern der Anker für Governance und Vertrauen im KI-Einsatz.
Für Banken und Finanzdienstleister gilt:
- Vertrauen braucht Beleg: Keine Nutzung ohne offizielle Vorlage.
- Compliance muss sichtbar sein: Prüfen, dokumentieren, archivieren.
- Lieferantenmanagement neu denken: KI-Provider werden kritische Drittparteien im Sinne von MaRisk und DORA.
So what für mich?
Die Offenlegungspflichten für GPAI-Modelle verändern die gesamte Compliance-Architektur. Governance im KI-Einsatz bedeutet künftig nicht nur interne Kontrolle, sondern auch systematische Überprüfung externer Modelle und Lieferanten. Wer 2025 bereits Transparenzprüfungen in sein IKS integriert, positioniert sich nicht nur aufsichtsrobust, sondern auch vertrauensführend am Markt.
Quellen & Referenzen (Stand 22. Oktober 2025)
- EU-Kommission: Template „Public Summary of Training Content“ (C (2025) 5235 final) – digital-strategy.ec.europa.eu
- EU AI Office: Implementation Guidelines for GPAI Models (2025)
- Bundesnetzagentur: Nationale Kontaktstelle für AI-Regulierung (2025) – bundesnetzagentur.de
- EU AI Act (Art. 53, 56) – Verordnung (EU) 2024/1689
Hinterlasse einen Kommentar