Sektor
KI
EU AI Act · GDPR · EU Code of Practice für GPAI · EuroHPC · EUDI-Wallet-Bezug.
Sektorale Risiken
Foundation-Model-Abhängigkeit
Wenige Anbieter dominieren den GPAI-Markt; Lock-in über APIs, Preisgestaltung und Modell-Updates ist strukturell.
GPU-Compute-Konzentration
Trainings- und Inferenz-Compute konzentriert sich auf wenige Standorte und Hersteller, mit klarer Lieferketten- und Verfügbarkeitsfolge.
Trainingsdata-Provenienz
Die Herkunft und Rechtsstellung der Trainingsdaten bestimmen Verwendbarkeit und Haftung — heute oft intransparent.
Modell-Updates ohne Rückwärtskompatibilität
Anbieter ändern Verhalten und Ausgaben ihrer Modelle ohne Vorlaufzeit. Anwendungen, die darauf bauen, sind operativ verwundbar.
Lock-in über proprietäre APIs
Inferenz-Endpunkte, Tools und Agentenrahmen sind oft anbieterspezifisch — Wechselpfade sind kaum dokumentiert.
Regulatorischer Anker
| Regelwerk | Status | Wesentliche Anforderung | Anschluss an EDSO |
|---|---|---|---|
| EU AI Act | in Kraft, gestaffelt | Hochrisiko-KI, GPAI-Pflichten | Direkter Anschluss D1 / D2 |
| GDPR | EU-Verordnung | personenbezogene Daten in Training und Inferenz | Anker für D2 |
| EU Code of Practice GPAI | Begleitwerk | Transparenz, Risikobewertung | Anker für D1 |
| EuroHPC | EU-Initiative | souveräner Trainings-Compute | Anker für D4 |
| EUDI-Wallet-Bezug | Bezug | Identitäten für KI-Agenten | Bezug für D1 / D2 |
Empfohlene Mindestlevel pro Anwendungsfall
| Anwendungsfall | Gesamt | D1 | D2 | D3 | D4 | Begründung |
|---|---|---|---|---|---|---|
| Hochrisiko-KI (AI Act Annex III) | L2 | L2 | L3 | L2 | L2 | Personen- und Grundrechtsrelevanz, verschärftes D2. |
| Foundation Model in kritischer Anwendung | L3 | L3 | L3 | L3 | L3 | Systemische Bedeutung. |
| RAG-Anwendung mit internen Daten | L2 | L2 | L2 | L2 | L1 | Datenhoheit, Inferenzkontrolle. |
| Allgemeine Produktivitäts-KI im Büro | L1 | L1 | L2 | L1 | L1 | Datenabfluss-Risiko verlangt D2 = L2. |
| Code-Assistent intern | L1 | L1 | L1 | L1 | L1 | Geringes Risiko, sofern keine Geheimnisse. |
Typische Anwendungsfälle
RAG für Verwaltungsakten
- Szenario
- Eine Landesbehörde plant ein internes RAG-System auf Aktenbeständen.
- Risiken
- Inferenz-Endpunkte außerhalb EU, Logging-Risiken.
- EDSO-Anwendung
- L2 mit D2 = L2 zwingend.
- Vorgehen
- Self-Assessment für die Plattform; Zertifizierung des Inferenz-Anbieters über das Register.
Foundation-Model-Beschaffung
- Szenario
- Ein Unternehmen bewertet drei GPAI-Anbieter für einen kritischen Einsatz.
- Risiken
- API-Lock-in, Modell-Volatilität, Trainingsdata-Provenienz.
- EDSO-Anwendung
- L3 als Mindestlevel, mit dokumentierten Wechselpfaden.
- Vorgehen
- Ausschreibungs-Generator mit KI-Sektor-Voreinstellung.
Wissenschaftliches GPAI-Pilot-Modell
- Szenario
- Ein Forschungskonsortium trainiert ein souveränes Modell auf EuroHPC.
- Risiken
- Lieferkette der GPUs, Hosting der Trainingsdaten.
- EDSO-Anwendung
- L3 für Trainings-Compute, L2 für Inferenz-Endpunkt.
- Vorgehen
- Begleitende Zertifizierung mit Auflagen zur Modell-Transparenz.
Vorlagen und Sofort-Einstiege
Ausschreibungs-Generator
Mit voreingestellten Sektor-Parametern
Register
Anbieter und Dienste mit Sektor-Filter
Self-Assessment
Sektor voreingestellt, in ca. 20 Minuten
Sektor-spezifische Leitfäden
- EDSO und der AI Act — Anschlussleitfaden — Wie EDSO-Domänen-Profile in die Risikobewertung nach AI Act einfließen.
- GPAI-Lastenheft EDSO L2/L3 — Vergabe-Vorlage für GPAI-Beschaffungen.
Sektor-Konsultationen
- edso-spezifikation-v1-1-ki-erweiterungStatus: laufend · Frist 2026-09-15
EDSO für KI — was wir derzeit prüfen
Trainingsdata-Governance, Modell-Transparenz, Modell-Update-Pfade, GPU-Compute-Souveränität und Inferenz-Endpunkt-Kontrolle stehen im Zentrum der laufenden KI-Erweiterung der EDSO-Spezifikation. Die Erweiterung wird aktuell öffentlich konsultiert — Stellungnahmen sind willkommen.
Ansprechpartner
Anwendungsrat — Quadrant Wissenschaft / KI-Erweiterung — Berichterstatter KI
Kontaktformular (Sektor voreingestellt)