Was ist die 10²³ FLOPS-Schwelle bei GPAI-Modellen?

10²³ FLOPS (Floating Point Operations Per Second) ist der Mindestrechenaufwand, ab dem ein KI-Modell als General-Purpose AI (GPAI)-Modell im Sinne des EU AI Act gilt. Ab dieser Schwelle greifen spezielle EU-Pflichten wie technische Dokumentation, Training Data Summary und Copyright Policy. Modelle wie GPT-4, Claude 3/4 und Gemini überschreiten diese Schwelle.

Was bedeutet systemisches Risiko bei GPAI-Modellen?

Ein GPAI-Modell wird als systemisches Risiko eingestuft, wenn das Training ≥ 10²⁵ FLOPS (100-mal höher als die GPAI-Schwelle) verwendet oder die EU-Kommission es aufgrund vergleichbarer Auswirkungen einstuft. Bei systemischem Risiko gelten zusätzliche Pflichten: Risikobewertung, adversarial Testing (Red Teaming), Incident-Reporting und erweiterte Cybersecurity-Maßnahmen.

Welche Fristen gelten für GPAI-Compliance nach EU AI Act?

Die wichtigsten Fristen sind: 2. August 2025 - GPAI-Verpflichtungen treten in Kraft (neue Modelle müssen ab diesem Datum compliant sein). 2. August 2026 - Vollständige Durchsetzungsbefugnisse der EU-Kommission. 2. August 2027 - Compliance-Frist für Modelle, die vor dem 2. August 2025 auf den Markt kamen (Grandfathering-Regelung).

Wann wird ein Krankenhaus selbst zum GPAI-Provider?

Ein Krankenhaus wird zum GPAI-Provider (Downstream-Modifier), wenn die Modifikation des GPAI-Modells signifikant ist. Dies wird vermutet, wenn der Rechenaufwand für die Modifikation mehr als 1/3 des ursprünglichen Modelltrainings beträgt. Falls der ursprüngliche Wert unbekannt ist: > 1/3 von 10²³ FLOPS für normale GPAI-Modelle oder > 1/3 von 10²⁵ FLOPS für systemische Risiko-Modelle.

Was ist der GPAI Code of Practice?

Der GPAI Code of Practice ist ein freiwilliges Compliance-Instrument, veröffentlicht am 10. Juli 2025 und genehmigt am 1. August 2025. Unterzeichner profitieren von erhöhtem Vertrauen beim AI Office, reduzierten Auskunftsersuchen und mildernden Faktoren bei Bußgeldern. Nicht-Unterzeichner müssen Compliance durch andere geeignete Mittel nachweisen und haben höheren Dokumentationsaufwand.

GPAI-Modelle im Gesundheitswesen

Prüfschema Stand: Januar 2026 – Aktualisiert nach EU AI Act GPAI-Leitlinien vom 18. Juli 2025

GPAI-Modelle im Gesundheitswesen

Ein KI-Modell gilt als GPAI-Modell, wenn:

Das Training mehr als 10²³ FLOPS (Floating Point Operations) umfasst.
Das Modell in der Lage ist, Sprache (Text/Audio), Text-zu-Bild oder Text-zu-Video zu generieren.
Es signifikante Allgemeingültigkeit zeigt und kompetent eine breite Palette unterschiedlicher Aufgaben erfüllen kann.

Quelle: EU-Kommission, Guidelines on the scope of obligations for providers of general-purpose AI models, 18. Juli 2025, Abschnitt 2.
Wichtig: Modelle, die die 10²³ FLOPS-Schwelle überschreiten, aber auf spezielle Aufgaben begrenzt sind (z.B. Transkription, Bildverbesserung, Wettervorhersage), gelten NICHT als GPAI-Modelle, wenn ihnen die allgemeine Vielseitigkeit fehlt.

Compliance-Readiness

Rollen, Verträge, Nachweise

Human Oversight

Verantwortung bleibt beim Menschen

Nachweisfähigkeit

Logging, Monitoring, Incident Flow

Zur Checkliste Governance-Setup Vertrags-/Due-Diligence

Executive Takeaway

In der Krankenhauspraxis ist GPAI selten „nur ein Modell" – es wird fast immer Teil eines KI-Systems (downstream AI system).
Damit entscheidet die Zweckbestimmung, ob zusätzliche Pflichten (z.B. Hochrisiko nach Art. 6 AI Act) greifen.

Leitplanke

Ohne klare Rollenklärung (Anbieter vs. Betreiber vs. Integrator) und ohne Nachweise vom Anbieter entsteht operativ ein Compliance-Delta – inklusive Haftungs- und Reputationsrisiko.

💡 Was bedeutet die 10²³ FLOPS-Schwelle?

FLOPS = Floating Point Operations Per Second (Gleitkomma-Operationen pro Sekunde)

10²³ = 100.000.000.000.000.000.000.000 (eine 1 mit 23 Nullen)

Praktisch bedeutet das:
Ab diesem Rechenaufwand beim Training gilt ein KI-Modell als GPAI-Modell und unterliegt speziellen EU-Pflichten (Dokumentation, Transparenz, Copyright-Policy).

Beispiele von Modellen ÜBER dieser Schwelle:

GPT-4 (OpenAI)
Claude 3 & 4 (Anthropic)
Gemini (Google)
Llama 3 (Meta)

Zum Vergleich: Die 10²⁵ FLOPS-Schwelle (100× höher) kennzeichnet Modelle mit systemischem Risiko und noch strengeren Anforderungen.

Quelle: EU-Kommissions-Leitlinien für GPAI-Modelle, 18. Juli 2025

Governance-Setup (Krankenhaus)

1) Rollen & Verantwortung

Betreiber (Krankenhaus), Anbieter (Modell/Tool), ggf. Systemintegrator. Entscheidungshoheit bleibt fachlich im Haus.

2) Zweckbestimmung

Administrativ (Dokumentation) vs. klinisch (Entscheidungsunterstützung). Zweck bestimmt Risikopflichten.

3) Betriebskonzept

Zugriff, Logging, Freigaben, Monitoring, Incident-Flow. Change-Control bei Modell-/Prompt-Änderungen.

4) Qualifizierung

AI Literacy/Schulungspflichten als Betriebsstandard (Einweisung, Grenzen, Fehlermodi, Eskalation).

Vertrags- & Due-Diligence-Check (Beschaffung)

Ziel ist ein prüffähiges Lieferanten-Setup: Das Krankenhaus kauft nicht „KI“, sondern Nachweisfähigkeit und Betriebsstabilität.
Kern ist die Abfrage der GPAI-relevanten Anbieterinformationen (Dokumentation, Trainingsdaten-Zusammenfassung, Copyright-Policy) und die Absicherung der betrieblichen Anschlussprozesse.

Mindestunterlagen vom Anbieter anfordern

Modell-/Systemdokumentation (Version, Zweck, Grenzen, Evaluierung)
Zusammenfassung der Trainingsdaten (gemäß EU-Vorlage, sobald verfügbar)
Copyright-/TDM-Policy und Umgang mit Rechtevorbehalten
Sicherheits-/Cyber-Konzept, Red-Teaming/Evaluierungen (falls vorhanden)
Incident- und Vulnerability-Disclosure-Prozess

Vertragsklauseln (operativer Standard)

Änderungsmanagement: Versionierung, Vorabinfo, Rückfalloption
Audit-/Auskunftsrechte (mind. in regulatorisch relevanten Fällen)
Subprozessoren/Hosting: Transparenz, EU-Standort/Schutzniveau
Support-SLA & Security-Patch-Fristen
Haftung/Verantwortungsabgrenzung: „Assistenz“ vs. „Entscheidung“

Checkliste: GPAI-Einsatz im Krankenhaus

Tipp: intern als Projekt-Readiness-Check für IT-, QM- oder Rechtsabteilung

OK	Prüfpunkt	Owner	Nachweis
A) Rollenklärung & Scope
	Zweckbestimmung ist schriftlich fixiert (administrativ vs. klinisch; keine automatische Entscheidung).	Projektleitung / Medizin	Use-Case One-Pager
	Rollen sind sauber zugeordnet: Modellanbieter / Toolanbieter / Krankenhaus als Betreiber; Integrator-Rolle geprüft.	IT / Compliance	RACI / Rollenmatrix
B) Anbieter-Nachweise (GPAI-relevant)
	Dokumentation vom Anbieter liegt vor und ist versioniert (Capabilities, Grenzen, Evaluierung).	Einkauf / IT	Vendor Dossier
	Trainingsdaten-Zusammenfassung (oder verbindlicher Plan zur Bereitstellung) ist vertraglich gesichert.	Einkauf / Legal	Vertrag / Annex
	Copyright-/TDM-Policy liegt vor (inkl. Umgang mit Rechtevorbehalt) und ist intern bewertet.	Legal / QM	Policy Review
	Systemisches Risiko geprüft (falls relevant): zusätzliche Nachweise (Risk Mgmt, Cyber, Incidents).	IT-Security	Security Pack
C) Datenschutz & IT-Governance
	DSGVO-Setup: AVV, Subprozessoren, Datenflüsse, Löschkonzept; Minimalprinzip umgesetzt.	DSB / IT	Datenflussdiagramm
	Keine Schatten-IT: Zugriff nur über freigegebene Kanäle, Rollen-/Rechtekonzept aktiv.	IT	RBAC / IAM
	Logging/Protokollierung ist definiert (Prompt/Output, Nutzer, Zeitpunkt, Version) – revisionsfest.	IT / QM	Log-Konzept
D) Betrieb, Qualität, Patientensicherheit
	Human Oversight: Freigabeprozess definiert (KI liefert Entwurf; Fachkraft finalisiert).	Fachbereich	SOP / Arbeitsanweisung
	Qualitätskontrollen: Stichproben, Fehlertypen, Korrekturprozess (inkl. „Stop-Use“-Kriterium).	QM	QA-Plan
	Incident-Flow steht: Meldeweg bei gravierenden Fehlern / Datenschutz / Security; Anbieter ist eingebunden.	IT-Sec / DSB	IR-Runbook
	Change-Control: Modell-/Prompt-/Workflow-Änderungen werden bewertet, dokumentiert, freigegeben.	IT / QM	Change-Prozess
E) Menschen, Schulung, Mitbestimmung
	AI Literacy-Schulung: Grenzen, Bias, Halluzinationen, sichere Nutzung, Eskalation.	HR / QM	Schulungsnachweis
	Betriebsrat/Personalvertretung ist frühzeitig eingebunden (Prozess-/Arbeitsplatzwirkung).	HR	Protokoll / BV

Quelle: Überblick zu GPAI-Leitlinien (EU-Kommission Entwurf, Kontext & Pflichtenlogik)

Fortschritt: 0%

Überblick über die Leitlinien für GPAI-Modelle

Die Leitlinien enthalten Auslegungshilfen zur Definition und zum Anwendungsbereich von GPAI-Modellen, zu den damit verbundenen Lebenszyklusverpflichtungen, den Kriterien für das Systemrisiko und den Meldepflichten für Anbieter.

Institut für die Zukunft des Leben, 2026.

Direktlink zur Webseite

GPAI-Modelle in der Praxis nutzen?

Ich zeige Ihnen, wie Sie alle Anforderungen für GPAI-Modelle prüfen – konkret, regulatorisch sicher und umsetzbar.

Let’s talk