Seit dem 2. August 2025 gelten die Regelungen für General-Purpose AI (GPAI) Modelle im EU AI Act. Wenn Sie ein GPAI-Modell bereitstellen, damit trainieren oder es in Ihre Systeme integrieren, sollten Sie verstehen, wer welche Pflichten hat - und welche Konsequenzen Verstöße haben können.
Was ist ein GPAI-Modell?
Nach Artikel 3 Nr. 44b ist ein GPAI-Modell ein KI-Modell, das auf großen Datenmengen trainiert wurde, eine erhebliche Allgemeinheit aufweist und eine breite Palette unterschiedlicher Aufgaben ausführen kann. Typische Beispiele: GPT-4, Claude, Gemini, Llama, Mistral.
Die Klassifizierung erfolgt nach Artikel 51: Die Europäische Kommission kann ein Modell als GPAI einstufen, wenn es die genannten Kriterien erfüllt. In der Praxis sind damit alle großen Foundation Models gemeint, die für verschiedene Anwendungsfälle einsetzbar sind.
Wer ist GPAI-Anbieter?
GPAI-Anbieter im Sinne des AI Act sind: - OpenAI (GPT-4, GPT-5) - Google (Gemini) - Anthropic (Claude) - Meta (Llama) - Mistral AI - Entwickler von Open-Source-Modellen wie Falcon, BLOOM, etc.
Entscheidend: Sie stellen das Modell bereit und machen es anderen zugänglich.
Keine GPAI-Anbieter sind Unternehmen, die ein fertiges Modell nutzen: - Ein Startup, das die OpenAI API in seine Software integriert - Eine Anwaltskanzlei, die Claude für Dokumentenanalyse verwendet - Ein Konzern, der Gemini in seinen Chatbot einbaut
Diese Unternehmen sind Deployer (Betreiber), nicht GPAI-Anbieter. Sie haben andere Pflichten nach dem AI Act, aber nicht die GPAI-spezifischen aus den Artikeln 51-56.
Basispflichten für alle GPAI-Anbieter (Artikel 52)
Jeder GPAI-Anbieter muss seit August 2025:
1. Technische Dokumentation erstellen und aktualisieren Die Dokumentation muss enthalten: - Trainingsmethoden und verwendete Daten - Rechenressourcen für Training und Betrieb - Modellarchitektur und Parameter - Evaluierungsergebnisse - Risikobewertungen
Die Dokumentation muss der Europäischen Kommission und den nationalen Behörden auf Anfrage vorgelegt werden.
2. Informationen für nachgelagerte Anbieter bereitstellen GPAI-Anbieter müssen Entwicklern, die das Modell weiternutzen, Informationen zur Verfügung stellen: - Fähigkeiten und Grenzen des Modells - Bekannte Risiken und Schwachstellen - Anforderungen an sichere Nutzung - Informationen über Datenquellen
Diese Informationen müssen öffentlich zugänglich oder über API-Dokumentation verfügbar sein.
3. Urheberrecht und Trainingsdaten Nach Artikel 53 Absatz 1d müssen GPAI-Anbieter: - Eine Richtlinie zum Urheberrechtsschutz bei Trainingsdaten erstellen und veröffentlichen - Eine zusammenfassende Übersicht der für das Training verwendeten Daten bereitstellen
Das ist besonders relevant, nachdem mehrere Klagen gegen GPAI-Anbieter wegen angeblicher Urheberrechtsverletzungen eingereicht wurden. Die Pflicht gilt unabhängig davon, ob das Modell systemisches Risiko aufweist.
Modelle mit systemischem Risiko (Artikel 53)
Einige GPAI-Modelle unterliegen verschärften Pflichten, wenn sie systemisches Risiko aufweisen. Das trifft zu, wenn: - Das Modell mit mehr als 10^25 FLOPs trainiert wurde, ODER - Die Europäische Kommission das Modell aufgrund seiner Fähigkeiten und Verbreitung als systemisches Risiko einstuft.
10^25 FLOPs - was bedeutet das praktisch? FLOPs (Floating Point Operations) sind Rechenoperationen. 10^25 FLOPs entsprechen etwa dem Trainingsaufwand von: - GPT-4 (vermutlich darüber) - Gemini Ultra - Claude Opus
Modelle wie GPT-3.5, kleinere Llama-Versionen oder spezialisierte Modelle liegen oft darunter.
Zusätzliche Pflichten bei systemischem Risiko: 1. Modellbewertungen durchführen - inklusive adversarial Testing 2. Systemische Risiken bewerten und mindern - z.B. Missbrauchspotenzial, Cybersecurity-Risiken 3. Schwerwiegende Vorfälle melden - an das AI Office und nationale Behörden 4. Angemessene Cybersecurity - Schutz der Modellgewichte und Infrastruktur
Diese Pflichten gelten zusätzlich zu den Basispflichten aus Artikel 52.
Open-Source-Ausnahme (Artikel 53 Absatz 2)
GPAI-Modelle, die unter einer Open-Source-Lizenz bereitgestellt werden, sind von den zusätzlichen Pflichten nach Artikel 53 ausgenommen - es sei denn, sie weisen systemisches Risiko auf.
Das bedeutet: - Ein Open-Source-Modell ohne systemisches Risiko hat nur die Basispflichten (Artikel 52) - Ein Open-Source-Modell MIT systemischem Risiko (z.B. über 10^25 FLOPs) hat alle Pflichten nach Artikel 53
Beispiel: Llama 3 von Meta ist Open Source. Wenn eine Version über der FLOPs-Schwelle liegt, greifen die Artikel 53-Pflichten trotz Open Source.
GPAI Code of Practice (Artikel 55)
Die Europäische Kommission hat einen GPAI Code of Practice veröffentlicht. Dieser enthält konkrete Maßnahmen, mit denen GPAI-Anbieter die Pflichten aus Artikeln 52 und 53 erfüllen können.
Wichtig: Die Einhaltung des Code of Practice führt zu einer Konformitätsvermutung. Das heißt: Wer sich an den Code hält, gilt als compliant - es sei denn, die Behörden weisen Mängel nach.
Der Code ist freiwillig, aber praktisch: Er gibt GPAI-Anbietern Rechtssicherheit und konkrete Handlungsanweisungen. Wer nicht am Code teilnimmt, muss auf anderem Weg nachweisen, dass er die gesetzlichen Pflichten erfüllt.
Durchsetzung durch das AI Office (Artikel 56)
GPAI-Modelle werden nicht von nationalen Behörden überwacht, sondern vom AI Office der Europäischen Kommission. Das macht Sinn: Große Modelle wirken grenzüberschreitend, und eine zentrale Stelle verhindert fragmentierte nationale Ansätze.
Das AI Office kann: - Technische Dokumentation anfordern - Untersuchungen einleiten - Modellbewertungen verlangen - Verstöße feststellen und Sanktionen verhängen
Nationale Behörden sind nur zuständig, wenn GPAI-Modelle in Hochrisiko-Systemen eingesetzt werden - dann prüfen sie den Deployer, nicht den GPAI-Anbieter.
Sanktionen bei Verstößen (Artikel 99 Absatz 3)
Verstöße gegen die GPAI-Pflichten können teuer werden: - Bis zu 15 Millionen Euro oder - 3 % des weltweiten Jahresumsatzes des Unternehmens
Es gilt der höhere Betrag. Für große Tech-Konzerne kann das Milliarden bedeuten.
Die Sanktionen gelten für: - Fehlende oder unzureichende technische Dokumentation - Verletzung der Informationspflichten gegenüber nachgelagerten Anbietern - Nicht-Erfüllung der Pflichten bei systemischem Risiko - Fehlende Meldung schwerwiegender Vorfälle
Was bedeutet das für Unternehmen?
Wenn Sie ein GPAI-Modell entwickeln: 1. Prüfen Sie, ob Ihr Modell die GPAI-Definition erfüllt 2. Erfüllen Sie die Basispflichten aus Artikel 52 (technische Doku, Informationspflichten, Copyright-Richtlinie) 3. Prüfen Sie, ob die FLOPs-Schwelle überschritten wird 4. Wenn ja: Implementieren Sie die Artikel 53-Pflichten 5. Erwägen Sie die Teilnahme am GPAI Code of Practice
Wenn Sie ein GPAI-Modell nutzen (z.B. OpenAI API): Sie sind kein GPAI-Anbieter, sondern Deployer. Ihre Pflichten hängen davon ab, wofür Sie das Modell einsetzen: - Hochrisiko-Anwendung (z.B. Bewerbermanagement, Kreditprüfung): Pflichten nach Kapitel III des AI Act - Sonstige Anwendung: Transparenzpflichten nach Artikel 50
Die GPAI-Pflichten treffen OpenAI, Google oder Anthropic - nicht Sie.
Wenn Sie ein GPAI-Modell fine-tunen: Hier wird es kompliziert. Fine-Tuning kann Sie zum GPAI-Anbieter machen, wenn das Ergebnis ein eigenständiges GPAI-Modell ist. Wenn Sie lediglich ein bestehendes Modell für Ihren Use Case anpassen, bleiben Sie Deployer. Die Grenze ist fließend und hängt vom Umfang des Fine-Tunings ab.
Ausblick
Die GPAI-Regelungen sind seit acht Monaten in Kraft. Das AI Office hat bereits erste Leitlinien veröffentlicht und arbeitet an konkreten Durchsetzungsmaßnahmen. Unternehmen sollten jetzt handeln: - GPAI-Anbieter: Compliance sicherstellen, Code of Practice prüfen - Deployer: Klären, ob Fine-Tuning Sie zum Anbieter macht - Alle: Verträge mit Modellanbietern prüfen - wer trägt welche Verantwortung?
Die Regelungen sind komplex, aber das Prinzip ist einfach: Wer große Modelle bereitstellt, muss Transparenz schaffen und Risiken managen. Wer sie nutzt, muss verstehen, was er einsetzt. Der AI Act macht beides zur Pflicht.