Art. 55 KI-VO 2026: GPAI mit systemischem Risiko und die FLOPs-Schwelle

Art. 55 der EU-KI-Verordnung beschreibt eine zweite, schärfere Pflichtenstufe für die größten KI-Basismodelle. Sobald ein General-Purpose-AI-Modell die Schwelle von 10 hoch 25 FLOPs Trainingsaufwand erreicht, gilt es nach Art. 51 als Modell mit systemischem Risiko. Damit greifen zusätzlich zu den allgemeinen Anbieterpflichten aus Art. 53 vier weitere Anforderungen: Modell-Evaluierungen nach dem Stand der Technik, Adversarial Testing, eine fortlaufende Risikobewertung samt Minderungsmaßnahmen und ein Cybersicherheits-Schutz, der auch die Trainingsinfrastruktur einschließt. Für Sie als Mittelständler ist das relevant, weil Sie genau diese Modelle nutzen, wenn Sie mit Claude Opus, GPT-5 oder Gemini Pro arbeiten.

Auf einen Blick: Art. 55 KI-VO regelt Zusatzpflichten für GPAI-Modelle mit systemischem Risiko. Schwelle nach Art. 51 Abs. 2: Trainingsaufwand größer als 10 hoch 25 FLOPs. Betroffen sind aktuell die größten Frontier-Modelle von OpenAI, Anthropic, Google und Meta. Pflichten: Modell-Evaluierungen nach Stand der Technik, Adversarial Testing (Red Teaming), Risikobewertung und Risikominderung, Vorfallmeldung an das AI Office innerhalb kurzer Frist, Cybersecurity-Schutz, energetische Bilanz. Anzeigepflicht beim AI Office binnen zwei Wochen nach Erreichen der Schwelle. Auch Open-Source-Frontier-Modelle fallen darunter. Für KMU als Nutzer indirekt schützend: die Anbieter Ihrer Top-Modelle müssen höhere Sicherheits- und Transparenzanforderungen erfüllen.

Was systemisches Risiko nach der KI-VO bedeutet

Bevor wir in die Pflichten gehen, lohnt sich die Definition. Art. 3 Nr. 65 KI-VO beschreibt ein systemisches Risiko als ein Risiko, das spezifisch für die hochwirksamen Fähigkeiten von Allzweck-KI-Modellen ist. Drei Merkmale müssen zusammenkommen: hohe Auswirkungen, weite Verbreitung über die gesamte Wertschöpfungskette und mehrere mögliche Folgenebenen, etwa auf öffentliche Gesundheit, Sicherheit, Grundrechte oder die Gesellschaft insgesamt.

Im Klartext: ein Modell, das so leistungsfähig ist, dass es großflächig in tausenden Anwendungen eingesetzt wird und bei dem ein Fehler oder Missbrauch sich entsprechend kaskadierend auswirken kann. Genau diese Klasse von Modellen will Art. 55 unter besondere Kontrolle stellen.

Die rechtliche Brücke zu den allgemeinen GPAI-Pflichten beschreibt der Artikel zu Art. 53 KI-VO und den Pflichten der GPAI-Modellanbieter. Wer Art. 55 verstehen will, sollte Art. 53 vorher gelesen haben. Die beiden Vorschriften bauen direkt aufeinander auf.

Die FLOPs-Schwelle und was sie bedeutet

Die quantitative Schwelle steht in Art. 51 Abs. 2. Ein GPAI-Modell wird als systemisch eingestuft, wenn der kumulierte Trainingsaufwand mehr als 10 hoch 25 Gleitkomma-Operationen (FLOPs) beträgt.

FLOPs sind die Rechenoperationen, die für das eigentliche Training des Modells aufgewendet werden. Sie sind ein Proxy für die Modellgröße und die eingesetzte Rechenpower. 10 hoch 25 FLOPs ist eine astronomische Zahl. Zum Vergleich: GPT-4 wurde nach öffentlich verfügbaren Schätzungen mit etwa 2 mal 10 hoch 25 FLOPs trainiert. Claude Sonnet 4 deutlich darunter. Kleinere Modelle wie Mistral 7B oder ein typisches Open-Source-Modell für lokale Nutzung liegen viele Größenordnungen tiefer.

Die Schwelle ist also bewusst hoch angesetzt. Sie erfasst die Frontier-Modelle, nicht jedes Standard-GPAI. Aktuell sind nach EU-Einschätzung und öffentlich verfügbaren Trainings-Daten indikativ folgende Modelle betroffen oder grenzwertig: GPT-5 von OpenAI, Claude Opus 4.x von Anthropic, Gemini Pro 2.x von Google sowie die größeren Varianten von Meta Llama 4. Die genaue Liste ist nicht öffentlich, weil viele Anbieter ihren exakten Trainingsaufwand schützen.

Wichtig ist die zweite Klassifikationsmöglichkeit nach Art. 51 Abs. 1 lit. b. Die Kommission kann ein Modell auch ohne Erreichen der FLOPs-Schwelle als systemisch einstufen, wenn vergleichbare Fähigkeiten vermutet werden. Damit hat Brüssel ein Werkzeug, um auf neue Modellarchitekturen zu reagieren, die mit weniger Rechenaufwand ähnliche Leistung erreichen.

Die vier Pflichten nach Art. 55 im Überblick

Art. 55 Abs. 1 nennt vier Hauptpflichten, die der Anbieter eines systemischen GPAI zusätzlich zu Art. 53 erfüllen muss.

Pflicht 1: Modell-Evaluierung nach Stand der Technik

Der Anbieter muss sein Modell mit standardisierten Verfahren und Benchmarks evaluieren, die dem Stand der Wissenschaft und Technik entsprechen. Das umfasst Leistungstests in den jeweils relevanten Domänen (Sprache, Code, mathematisches Schließen, multimodale Aufgaben) ebenso wie Sicherheits- und Robustheitstests.

In der Praxis sind das Benchmark-Suiten wie MMLU, HumanEval, BBH und spezialisierte Safety-Suiten der jeweiligen Anbieter. Die Evaluierung muss dokumentiert und auf Anfrage dem EU AI Office zugänglich gemacht werden.

Pflicht 2: Adversarial Testing und Red Teaming

Die zweite Pflicht ist das systematische Adversarial Testing, in der Branche meist als Red Teaming bezeichnet. Externe oder interne Teams versuchen gezielt, das Modell zu fehlerhaftem oder schädlichem Verhalten zu bringen. Typische Testfelder sind Jailbreaks, Prompt Injections, das Erzeugen gefährlicher Inhalte (Waffen, Schadcode, CBRN-Themen), Bias und diskriminierende Ausgaben sowie Manipulationsversuche durch sensible Datenextraktion.

Die Ergebnisse fließen in das technische Dokument nach Art. 53 ein und müssen für die Aufsicht nachvollziehbar protokolliert sein.

Pflicht 3: Risikobewertung und Risikominderung

Der Anbieter muss systematische Risiken kontinuierlich bewerten und Maßnahmen zur Minderung umsetzen. Gemeint sind nicht nur einzelne Bugs, sondern strukturelle Risiken, die sich aus der weiten Verbreitung des Modells ergeben. Beispiele: Erleichterung großangelegter Desinformationskampagnen, automatisierte Cyber-Angriffe, Manipulation demokratischer Prozesse, Diskriminierung in Hochrisiko-Anwendungen.

Die Minderungsmaßnahmen reichen von technischen Filtern und Sicherheits-Trainings über Use-Policy-Anpassungen bis zu Lieferketten-Beschränkungen, etwa wer das Modell mit welcher API-Zugriffsbeschränkung erhält.

Pflicht 4: Cybersicherheit

Der Anbieter muss angemessene Schutzmaßnahmen für das Modell selbst und für die physische und digitale Infrastruktur ergreifen. Das umfasst Schutz der Modellgewichte vor Diebstahl, Zugriffskontrollen für Trainingsdaten, Schutz der Inferenz-Infrastruktur, sichere Kommunikationswege für Updates und Patches.

Diese Pflicht wirkt zunächst trocken, ist aber zentral. Wenn die Gewichte eines Frontier-Modells in unkontrollierte Hände geraten, sind alle Sicherheitsmaßnahmen am Modell selbst hinfällig. Anbieter wie Anthropic und OpenAI dokumentieren ihre Sicherheitsarchitektur in eigenen Sicherheits-Whitepapern, die Teil der Art.-55-Compliance sind.

Anzeige-, Melde- und Berichtspflichten

Neben den vier Hauptpflichten gibt es prozessuale Anforderungen, die für die laufende Aufsicht entscheidend sind.

Sobald ein Modell die FLOPs-Schwelle erreicht, muss der Anbieter dies binnen zwei Wochen dem EU AI Office anzeigen. Das gilt auch dann, wenn er glaubt, das Modell hätte trotz Schwellenwert kein systemisches Risiko. In dem Fall kann er das gegenüber der Kommission begründen und eine Einzelfallprüfung beantragen.

Bei schwerwiegenden Vorfällen gibt es eine kurze Meldepflicht an das AI Office. Die Frist liegt analog zu Art. 73 für Hochrisiko-Systeme typischerweise bei 15 Tagen ab Kenntnis. Schwerwiegende Vorfälle sind etwa eine erfolgreiche Extraktion vertraulicher Trainingsdaten, eine schwere Sicherheitslücke, ein systematisches Versagen wesentlicher Sicherheitsmaßnahmen.

Hinzu kommt die Pflicht zur Energie-Bilanz. Der Anbieter muss den Energieverbrauch beim Training und im laufenden Betrieb dokumentieren und berichten. Das hat einen umweltpolitischen Hintergrund: die EU will die ökologischen Folgen großer Trainingsläufe transparent machen.

Der GPAI Code of Practice als Praxis-Konkretisierung

Im Mai 2025 hat die Kommission den GPAI Code of Practice verabschiedet. Er konkretisiert die Pflichten aus Art. 53 und Art. 55 in konkrete Handlungsanweisungen. Wer ihn unterzeichnet, signalisiert dem AI Office Bereitschaft zur Selbstregulierung und bekommt einen vereinfachten Prüfungsweg.

Für Art. 55 enthält der Code unter anderem standardisierte Evaluierungsprotokolle, ein Template für die Risikobewertung systemischer Risiken, Mindestanforderungen an externes Red Teaming und einen Prozess für die Vorfall-Meldung. Unterzeichnet haben OpenAI, Anthropic, Microsoft, Google, Mistral und mehrere mittlere europäische KI-Anbieter. Meta hat zur Trainingsdaten-Transparenz Vorbehalte angemeldet, beteiligt sich aber an den Sicherheits-Verpflichtungen.

Das ist kein Detail. Der Code wird in den nächsten Jahren faktisch zur Auslegungsrichtlinie, an der sich Aufsichtsbehörden und Gerichte orientieren werden.

Was das für Sie als KMU bedeutet

Sie sind nicht der Anbieter eines systemischen GPAI. Sie sind der Nutzer. Aber genau deshalb ist Art. 55 für Sie indirekt wichtig.

Wenn Sie Claude Opus, GPT-5 oder Gemini Pro in Ihren Geschäftsprozessen einsetzen, dann arbeiten Sie mit Modellen, die unter Art. 55 fallen. Das heißt: die Anbieter müssen Ihnen ein Schutzniveau bieten, das es bei kleineren Modellen nicht gibt. Sie sind besser dokumentiert, intensiver getestet und unterliegen einer aktiveren Aufsicht durch das AI Office.

Praktisch profitieren Sie davon in fünf Punkten. Erstens haben Sie Anspruch auf eine deutlich ausführlichere Modellkarte, weil die Evaluierungsergebnisse aus Art. 55 dort einfließen. Zweitens werden Sie bei schweren Vorfällen schneller informiert, weil der Anbieter melden muss. Drittens haben Sie eine bessere Argumentationsgrundlage gegenüber Ihrer Geschäftsführung, Ihrem Compliance-Beauftragten oder Ihrem Datenschutz, weil Sie auf die Pflichten verweisen können. Viertens reduziert sich Ihre eigene Sorgfaltspflicht in Teilen, weil bestimmte Sicherheitsfragen schon auf Anbieter-Ebene geregelt sind. Fünftens passt das alles sauber in Ihre eigene KI-Governance-Akte, wenn Sie sie systematisch führen.

Praxis: was Sie konkret in Ihrem Lieferantenmanagement tun sollten

Drei Punkte gehören in jede KI-Lieferantenakte für ein systemisches GPAI.

Erstens dokumentieren Sie, welches Modell Sie in welcher Anwendung nutzen. Nicht nur den Anbieter, sondern auch die konkrete Modell-Variante. Das ist wichtig, weil Anbieter parallel mehrere Versionen anbieten und die systemische Einstufung nur für die größten gilt.

Zweitens halten Sie die Sicherheits- und Evaluierungs-Dokumentation des Anbieters bereit. Bei OpenAI sind das die System Cards mit den darin enthaltenen Safety Evaluations. Bei Anthropic die Model Cards plus die separat veröffentlichten Responsible Scaling Policy Reports. Bei Google die Gemini Technical Reports. Bei Mistral die Model Documentation.

Drittens behalten Sie ein Auge auf Vorfallmeldungen. Wenn der Anbieter einen schweren Vorfall an das AI Office meldet, wird das in der Regel auch kommuniziert. Wenn Sie davon hören, prüfen Sie, ob Ihre konkrete Anwendung betroffen ist und ob Sie Anpassungen vornehmen müssen.

Verzahnung zu Vorfallmeldungen aus Art. 73 und DSGVO Art. 33

Wer mit Hochrisiko-KI nach Art. 6 Anhang III arbeitet, kennt die Meldepflicht aus Art. 73 KI-VO für schwerwiegende Vorfälle. Die Vorfallmeldung nach Art. 55 für systemische GPAI funktioniert ähnlich, ist aber eigenständig. Wer beides parallel hat, muss beide Meldewege kennen und im Notfall korrekt bedienen.

Hinzu kommt die DSGVO. Wenn ein KI-Vorfall personenbezogene Daten betrifft, greift parallel die Meldepflicht nach Art. 33 DSGVO an die Datenschutz-Aufsichtsbehörde, mit der bekannten 72-Stunden-Frist. In der Praxis bedeutet das: ein einziger Vorfall kann drei Meldungen auslösen. Das gehört in jede ernsthafte Incident-Response-Vorbereitung.

Eigene Haltung: warum die FLOPs-Schwelle nicht ewig hält

Die FLOPs-Schwelle von 10 hoch 25 ist ein vernünftiger Kompromiss für 2024/2025. Sie wird aber vermutlich nicht stabil bleiben. Zwei Entwicklungen drücken in die andere Richtung.

Erstens werden Modelle effizienter. Neue Architekturen, bessere Trainingsdaten und smartere Optimierer erreichen mit deutlich weniger Rechenaufwand ähnliche Leistungen. In zwei Jahren wird ein Modell mit 10 hoch 24 FLOPs vermutlich Fähigkeiten haben, für die GPT-4 noch 10 hoch 25 FLOPs gebraucht hat. Wenn die Schwelle bleibt, fällt die Mehrzahl der dann leistungsstarken Modelle aus der systemischen Klassifikation heraus.

Zweitens bewegt sich die Modellgröße bei Open-Source-Anbietern nach oben. Meta Llama 5, kommende Mistral-Generationen, chinesische Modelle wie DeepSeek werden Frontier-Größe erreichen. Die Kommission wird die Schwelle nach unten anpassen müssen, sonst läuft Art. 55 leer.

Wer das unterschätzt, hat in der Praxis ein anderes Problem als reine Compliance. Wer heute eine lokale KI on-premise mit Ollama auf einem aktuellen Open-Source-Modell aufbaut, sollte die Diskussion um die Schwelle aktiv verfolgen. Ein Modell, das heute klar unter der Schwelle liegt, kann in zwei Jahren als systemisch klassifiziert sein. Das ändert nicht Ihre Pflichten als Nutzer dramatisch, aber es ändert die Verfügbarkeit und ggf. die Lizenzbedingungen.

Häufige Fragen

Was passiert bei einem Verstoß gegen Art. 55?

Verstöße gegen Art. 55 können nach Art. 101 KI-VO mit Bußgeldern bis zu 15 Mio. EUR oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem was höher ist. Die Bußgeldfähigkeit greift erst ab dem 2. August 2026. Bis dahin arbeitet das AI Office mit Auflagen, Korrekturanordnungen und gegebenenfalls vorläufigen Untersagungen einzelner Modellfunktionen. Für Sie als KMU sind diese Bußgelder nur indirekt relevant, weil sie die Anbieter treffen. Indirekt relevant deshalb, weil eine Untersagung oder Auflage gegen einen Anbieter Ihre Lieferkette betreffen kann.

Wie genau wird ein Modell als systemisch eingestuft?

Es gibt zwei Wege. Erstens automatisch durch das Erreichen der quantitativen Schwelle von 10 hoch 25 FLOPs Trainingsaufwand. Der Anbieter ist dann verpflichtet, das Modell binnen zwei Wochen dem AI Office anzuzeigen. Zweitens durch einen Einzelfall-Beschluss der Kommission nach Art. 51 Abs. 1 lit. b, wenn vergleichbare Fähigkeiten vermutet werden. Die Kommission stützt sich dabei auf Benchmark-Ergebnisse, die Anzahl der gewerblichen Nutzer, die Reichweite der Anwendungen und ein technisches Beratergremium.

Gilt Art. 55 auch für Open-Source-Frontier-Modelle?

Ja. Die Open-Source-Ausnahme aus Art. 53 Abs. 2 greift bei systemischem Risiko ausdrücklich nicht. Ein Open-Source-Modell wie eine große Llama-Variante oder ein potenzielles offenes Mistral-Frontier-Modell muss bei Erreichen der Schwelle die vollen Pflichten aus Art. 53 und Art. 55 erfüllen. Das war politisch umstritten, weil es die Veröffentlichung sehr großer Open-Source-Modelle in der EU erschwert. In der Praxis bedeutet das, dass Open-Source-Anbieter entweder unter der Schwelle bleiben oder denselben Aufwand wie kommerzielle Anbieter betreiben müssen.

Welche konkreten Modelle sind aktuell als systemisch eingestuft?

Eine offizielle und vollständig öffentliche Liste gibt es mit Stand Mai 2026 nicht, weil viele Anbieter ihren exakten Trainingsaufwand als Geschäftsgeheimnis schützen. Indikativ und auf Basis öffentlich verfügbarer Schätzungen sind betroffen: GPT-4 und GPT-5 von OpenAI, Claude Opus 4.x von Anthropic, Gemini Pro 2.x von Google und größere Varianten von Meta Llama 4. Das AI Office veröffentlicht eine konsolidierte Übersicht in Etappen, die Sie bei Bedarf bei der jeweiligen nationalen Aufsicht oder direkt auf den Seiten der Kommission abfragen können.

Wir nutzen GPT-5 nicht direkt, sondern über einen deutschen Wrapper-Anbieter. Wer haftet?

Die Pflichten aus Art. 55 treffen den Modellanbieter, also OpenAI. Der deutsche Wrapper-Anbieter ist regelmäßig ein nachgelagerter Anbieter im Sinne der KI-VO, der seine eigenen Pflichten hat (Modellkarten-Weitergabe, ggf. eigene Betreiber- oder Anbieterpflichten für das KI-System, das auf dem Modell aufsetzt). Sie als Endkunde haben Ihre Betreiberpflichten, etwa nach Art. 26 KI-VO und der DSGVO. Das ist eine dreistufige Verantwortungskette, die im AVV und in der KI-Governance sauber abgebildet werden muss.

Wer Art. 55 in den größeren Kontext der GPAI-Regulierung einordnen will, findet im Artikel zu den Anbieterpflichten nach Art. 53 KI-VO die Grundlage, auf der Art. 55 aufbaut. Wer KI-Compliance im Mittelstand systematisch aufbauen will, mit Fokus auf Lieferantenmanagement, Risikobewertung und interner Governance über alle vier Compliance-Säulen (KI-VO, DSGVO, GeschGehG, BetrVG), findet im Digitalisierungsmanager eine geförderte Weiterbildung, die diese Themen über vier Monate strukturiert aufeinander aufbaut.