DE
HomeKI-Compliance › GPAI

GPAI · ChatGPT · Copilot · Claude

GPAI in Banken und Versicherungen: wenn Allzweck-KI zum Compliance-Thema wird

General-Purpose-AI-Modelle und darauf aufbauende Dienste sind in Finanzinstituten längst im Einsatz. Für Institute stehen weniger die GPAI-Anbieterpflichten selbst im Vordergrund, sondern kontrollierte Nutzung, Datenschutz, Inventar, Lieferantenprüfung und Rollenklärung.

Was GPAI bedeutet

GPAI-Modelle sind KI-Modelle, die für eine große Bandbreite von Aufgaben eingesetzt werden können. Anbieter wie OpenAI, Microsoft, Anthropic, Google, Mistral oder Meta können Anbieterpflichten nach Art. 53 bis 56 EU AI Act treffen. Finanzinstitute sind typischerweise Nutzer oder Betreiber von KI-Systemen und Diensten, die auf solchen Modellen aufbauen.

Typische GPAI-Nutzung im Finanzinstitut

DienstTypische NutzungGovernance-Frage
ChatGPT / GPTTextanalyse, Zusammenfassungen, interne DokumentationDatenkategorien, AVV, TIA, Nutzungsregeln
Microsoft CopilotOffice, Teams, Outlook, ExcelTenant-Konfiguration, Berechtigungen, Protokollierung
Claude / GeminiRecherche, Textverarbeitung, AnalyseFreigabeprozess und Drittstaatentransfer
GitHub CopilotCode-UnterstützungQuellcode, Sicherheitsreview, IP- und Datenschutzfragen
lokale LLMsinterne Analyse sensibler DatenBetriebsmodell, Modellrisiko, Security und Monitoring

Governance-Pflichten für Institute

  • GPAI-Dienste und API-Nutzungen ins KI-Inventar aufnehmen
  • Verwendungszwecke, Datenkategorien und Verantwortliche dokumentieren
  • DSGVO-Rollen, AVV und Drittstaatentransfers prüfen
  • KI-Kompetenz nach Art. 4 EU AI Act für Nutzerinnen und Nutzer sicherstellen
  • Provider-Due-Diligence: Code-of-Practice-Status, Dokumentation und Sicherheitsnachweise prüfen
  • Shadow-GPAI über technische und organisatorische Kontrollen begrenzen

Wann das Institut selbst Anbieter werden kann

Art. 25 EU AI Act ist relevant, wenn ein Institut ein KI-System unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt, oder wenn wesentliche Änderungen an Zweck oder System erfolgen. Fine-Tuning, RAG und eigene KI-Anwendungen lösen nicht automatisch Anbieterpflichten aus, sollten aber auf Zweckänderung, Hochrisiko-Einsatz und Außenwirkung geprüft werden.

GPAI Code of Practice

Die EU-Kommission hat den GPAI Code of Practice am 10. Juli 2025 veröffentlicht. Er ist ein freiwilliges Instrument für GPAI-Modellanbieter, um Compliance mit Transparenz-, Urheberrechts- und bei systemischem Risiko Sicherheitsanforderungen nachzuweisen. Für Institute ist der Signatur- und Nachweisstatus ein Due-Diligence-Signal, ersetzt aber nicht die eigene Prüfung.

Prüffragen für den Vorstand

  • Welche GPAI-Dienste sind offiziell freigegeben, welche werden faktisch genutzt?
  • Dürfen personenbezogene Daten, Kundendaten oder vertrauliche Dokumente eingegeben werden?
  • Welche Anbieter haben den GPAI Code of Practice unterzeichnet oder liefern alternative Nachweise?
  • Welche RAG- oder Fine-Tuning-Anwendungen verändern den Zweck eines Systems?

Möchten Sie wissen, wo Ihr Institut steht?

Gerne besprechen wir Ihre konkrete Situation und priorisieren die nächsten Schritte für eine prüfbare KI-Governance.

Erstgespräch vereinbaren

Quellen

Hinweis: Diese Seite dient der allgemeinen Information zu GPAI-Governance. Anbieter-, Betreiber- und Datenschutzrollen sind je Dienst, Vertrag und Nutzungskontext zu prüfen. Stand: Juni 2026.