EU-Vorlage C (2025) 5235 – Der neue Prüfstein für KI-Governance in Banken

Executive Summary

Mit der EU-Vorlage C (2025) 5235 final wird Transparenz zur regulatorischen Währung im europäischen KI-Markt. Die Vorlage verpflichtet Anbieter von General-Purpose-AI-Modellen (GPAI) erstmals, Herkunft, Qualität und Zusammensetzung ihrer Trainingsdaten offenzulegen. Für Banken bedeutet dies einen Paradigmenwechsel: Der Einsatz von KI-Modellen bleibt nur dann regelkonform, wenn Institute nachvollziehbar belegen können, auf welcher Datenbasis die genutzten Systeme trainiert wurden.

Die Vorlage wird damit zum zentralen Referenzpunkt für KI-Governance – vergleichbar mit den Offenlegungspflichten in der Finanzmarktregulierung.

1. Kontext und Relevanz

Der EU AI Act definiert Transparenz als Kernprinzip verantwortungsvoller KI-Nutzung. Banken und Finanzinstitute, die KI in Scoring, Betrugserkennung oder Textanalyse einsetzen, nutzen häufig Modelle auf Basis sogenannter General-Purpose-AI. Diese Modelle – etwa GPT-4, Claude oder Gemini – werden nicht intern entwickelt, sondern von externen Anbietern bezogen.

Mit der EU-Vorlage C (2025) 5235 final legt die Kommission einen einheitlichen Standard für die Dokumentation der Trainingsdaten fest. Das Ziel: Nachvollziehbarkeit über verwendete Daten, deren Herkunft, rechtliche Absicherung und Qualitätssicherung.

Offizieller Titel: „Public Summary of Training Content“ (EU-Vorlage C (2025) 5235 final, verabschiedet am 24. Juli 2025)

Die Vorlage markiert einen Wendepunkt: Zum ersten Mal entsteht ein institutionalisierter Nachweis darüber, wie KI-Modelle trainiert wurden – und welche Risiken sich daraus ergeben.

2. Inhalt und Struktur der EU-Vorlage

Die Vorlage fungiert als technischer Steckbrief über die Herkunft und Qualität der Trainingsdaten eines KI-Modells.
Sie umfasst standardisierte Felder zu:

• Herkunft der Trainingsdaten (z. B. Web, Bücher, Lizenzen, synthetische Daten)
• Datenarten (Text, Code, Bild, Audio)
• Umgang mit urheberrechtlich geschützten Werken und TDM-Opt-Outs
• Qualitäts- und Filtermechanismen (z. B. Entfernung personenbezogener Daten)
• Umfang des Datensatzes und Recheninfrastruktur

Kernidee: Die Vorlage schafft erstmalig Transparenz darüber, womit und unter welchen Bedingungen KI-Modelle trainiert wurden – ein Fundament für regulatorische Nachweisführung.

3. Bedeutung für Banken

Für Institute entsteht durch den AI Act eine neue Governance-Verantwortung: Während Anbieter die Vorlage erstellen müssen, sind Betreiber verpflichtet, diese Informationen zu prüfen, zu bewerten und revisionssicher zu dokumentieren.

Die EU-Vorlage ist damit der Schlüssel, um:

1. Compliance-Pflichten nach Art. 26 und 53 AI Act nachweisbar zu erfüllen,
2. Risiken aus Datenherkunft, Urheberrecht und Modellbias zu erkennen,
3. Vertragsbeziehungen zu KI-Anbietern rechtssicher zu gestalten und
4. Audit- und Aufsichtsfähigkeit herzustellen.

Aufsichtsbehörden wie BaFin, Bundesnetzagentur und das EU AI Office werden diese Nachweisführung zum zentralen Prüfpunkt künftiger KI-Prüfungen machen.

Implikation: Governance-Versagen wird künftig nicht durch technische Fehlfunktion sichtbar, sondern durch fehlende Dokumentation.

4. Vorgehensmodell für den Abgleich

Der Abgleich bestehender Modelle mit der EU-Vorlage sollte in drei Arbeitsschritten erfolgen:

1️⃣ Bestandsaufnahme

• Sammlung vorhandener Modellkarten, Datenquellen und Dokumentationen
• Überführung in eine Crosswalk-Tabelle:
  • Spalte A: EU-Feld (z. B. „Quelle der Trainingsdaten“)
  • Spalte B: Ist-Angabe des Modells
• Identifikation von Informationslücken

2️⃣ Nachforderung

• Einforderung fehlender Angaben vom Anbieter, insbesondere:
• • genutzte Domains und Quellen,
  • Anteil lizenzierter vs. synthetischer Daten,
  • vorhandene Qualitätskontrollen.
• Dokumentation von Nachbesserungs- und Antwortfristen.

3️⃣ Validierung und Dokumentation

• Plausibilitätsprüfung der Angaben
• Ablage im KI-Inventar oder Risikoregister
• Risikobewertung und Freigabevermerk („Go / Condition / No-Go“)

Diese Logik bildet den Kern einer evidenzbasierten KI-Governance.

5. Evidence-Paket für Betreiber

Für jedes KI-System sollte ein standardisiertes Nachweispaket vorliegen:

1. EU-Vorlage C (2025) 5235 final (PDF oder Link)
2. Provider-Bestätigung zur Aktualität und Vollständigkeit
3. Crosswalk-Tabelle (EU ↔ Ist-Angaben)
4. Nachbesserungsprotokoll (zeitliche Nachverfolgung)
5. Risikoeinschätzung & Freigabevermerk
6. Vertraglicher Nachweis über Audit- und Informationsrechte

Dieses Paket ersetzt nicht Governance-Dokumente – es ist deren Begründung.

6. Red-Flag-Indikatoren

Fehlende oder unvollständige Angaben weisen auf unzureichende Provider-Compliance hin.
Kritisch sind insbesondere:

• unspezifische Angaben („Training data: Internet sources“)
• kein Anteil lizenzierter oder synthetischer Daten
• fehlender Nachweis zu TDM-Opt-Outs
• keine Angaben zu Filter- oder QS-Verfahren
• Dokument älter als 12 Monate ohne Update

Solche Lücken verlagern regulatorisches Risiko vom Anbieter auf den Betreiber.

7. Vertragliche Absicherung

Zur operativen Umsetzung empfiehlt sich die Integration folgender Klauseln in Lieferantenverträge:

• Transparenzpflicht:
  Der Anbieter stellt die EU-Vorlage C (2025) 5235 final vor Produktivsetzung und bei wesentlichen Änderungen bereit.
• Auditrecht:
  Der Betreiber ist berechtigt, Einblick in technische Dokumentationen (Annex XI, Art. 53) zu nehmen oder Auditberichte einzusehen.
• Copyright-Compliance:
  Der Anbieter garantiert die Einhaltung urheberrechtlicher Vorschriften und respektiert TDM-Opt-Outs.
• Eskalationsprozess:
  Fehlende oder unvollständige Nachweise sind innerhalb definierter Fristen nachzureichen; bei Verstoß kann die Nutzung des Modells ausgesetzt oder der Vertrag gekündigt werden.

8. Strategische Implikation – Governance 2026 ff.

Die EU-Vorlage C (2025) 5235 final ist mehr als ein Transparenzformular. Sie verschiebt den Fokus der Aufsicht von technischer Funktionsfähigkeit zu regulatorischer Nachweisfähigkeit.

Institute, die den Abgleichprozess frühzeitig institutionalisieren, schaffen drei Vorteile:

• Regulatorische Resilienz: Nachweisfähigkeit gegenüber BaFin und EU AI Office
• Vertrauensvorsprung: Transparente Governance stärkt Reputationsschutz
• Effizienz: Reduktion von Nachbesserungen in künftigen Prüfzyklen

So what – Management-Impuls

Der Abgleich nach C (2025) 5235 wird zu einer zentralen Kontrollroutine im KI-Governance-Framework. Institute sollten ihn als Bestandteil ihres internen Kontrollsystems (IKS) und des Third-Party-Risk-Managements verankern. Wer diese Prozesse heute aufsetzt, definiert den Branchenstandard für verantwortungsvolle KI – und reduziert die regulatorische Unsicherheit von morgen.

Quellen (Stand Oktober 2025)

• EU Kommission: C (2025) 5235 final – Public Summary of Training Content, verabschiedet am 24. Juli 2025
• EU AI Act: Artikel 13, 26, 50 und 53 sowie Annex XI
• Bundesnetzagentur: Leitfaden zur Marktüberwachung von KI-Systemen (Aug 2025)

Kurzfazit

Die Vorlage C (2025) 5235 final macht aus Transparenz eine Aufsichtspflicht.
Anbieter müssen sie erstellen, Betreiber müssen sie prüfen.
Nur wer beides dokumentiert, verfügt über echte Governance.
Der Anbieter liefert Transparenz – das Institut liefert Kontrolle.
Erst beides zusammen schafft Compliance.