use_caseArticlemaschinenlesbar

Bereitstellung eines GPAI-Modells (unterhalb systemisches Risiko): Risikoklasse und Pflichten im EU-KI-Recht

MenschMarkdown öffnen

Wer ein GPAI-Modell unterhalb der systemischen-Risiko-Schwelle (< 10²⁵ FLOPs und nicht anderweitig eingestuft) entwickelt und bereitstellt, unterliegt ab dem 2. August 2025 den allgemeinen GPAI-Pflichten nach Art. 53 AI Act: (1) Vorhaltung einer technischen Dokumentation (Anhang XI) für Downstream-Anbieter und die Kommission; (2) Kooperationspflicht mit Downstream-Anbietern (Offenlegung von Informationen, die zur Konformität der eingebetteten Systeme nötig sind); (3) urheberrechtsbasierte Trainingsdaten-Zusammenfassung; (4) Einhaltung des Unionsurheberrechts (DSM-Richtlinie, Opt-out-Berücksichtigung). Nicht anwendbar: die erweiterten Art. 55-Pflichten (Red-Teaming, weights-Schutz). Open-Source-Veröffentlichung erleichtert die Pflichten (Art. 53 Abs. 2). Keine notifizierte Stelle, keine CE-Kennzeichnung (GPAI-Pflichten sind Modellebene).

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
pflichten

Allgemeine GPAI-Pflichten (Art. 53)

Art. 53 verpflichtet GPAI-Anbieter (unterhalb systemisches Risiko) zu: (1) Vorhaltung und laufender Aktualisierung einer technischen Dokumentation (Anhang XI) mit Informationen, die für die Einhaltung der AI-Act-Pflichten durch Downstream-Anbieter nötig sind; (2) Bereitstellung dieser Informationen für Downstream-Anbieter und für die Kommission/Aufsicht auf Verlangen; (3) Erstellung einer öffentlich zugänglichen, ausreichend detaillierten Zusammenfassung der für das Training verwendeten urheberrechtlich geschützten Inhalte (Art. 53 Abs. 1 lit. d); (4) Einhaltung des Unionsurheberrechts bei der Aufstellung von Trainingsdaten (DSM-Richtlinie, TDM-Opt-out). Die Pflichten gelten ab dem 2. August 2025.

open source

Open-Source-Erleichterung (Art. 53 Abs. 2)

Art. 53 Abs. 2 erleichtert die Pflichten für GPAI-Modelle und ihre Komponenten, die unter einer freien, gewerblich nutzbaren Open-Source-Lizenz veröffentlicht werden und deren Parameter (Gewichtungen, Architektur) öffentlich zugänglich sind. Solche Modelle müssen nicht die vollständige technische Dokumentation und die Downstream-Offenlegungspflichten nach Abs. 1 erfüllen. Ausnahmen (keine Erleichterung): (1) GPAI-Modelle mit systemischem Risiko (Art. 55 bleibt voll anwendbar), (2) Einbettung in verbotene/hochrisiko-KI, (3) Modelle mit signifikantem Risiko der Verbreitung verbotener Inhalte. Die Erleichterung fördert Offenheit, schließt aber risikobehaftete Verwendungen aus.

praxis

Praxis: Downstream-Verantwortung und Aufsicht

Für Downstream-Anbieter ist die Art. 53-Offenlegung entscheidend: wer ein GPAI-Modell nimmt und ein hochrisiko-System daraus macht, braucht die technischen Informationen, um eigene Konformität nachzuweisen (Art. 25 Downstream-Anbieter). Ein Anbieter, der diese nicht liefert, behindert lawful downstream use. Aufsichtlich ist das EU AI Office zuständig (Art. 64); nationale Marktüberwachungsbehörden für eingebettete Systeme. Code of Practice (Art. 56): GPAI-Anbieter können sich an freiwilligen EU-Verhaltenskodizes beteiligen, die als Konformitätsvermutung wirken. Für kleinere Anbieter und Open-Source-Projekte schafft die Architektur Rechtsklarheit bei niedrigerer Schwelle — ohne die Risikofälle auszunehmen.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.

European Data Protection Board (EDPB)

EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.

Datenschutzkonferenz (DSK)

DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.

Der Bundesbeauftragte für Datenschutz (BfDI)

BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.

Rat für Künstliche Intelligenz (Österreich)

Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.

FAQ

Häufige Fragen

Welche Pflichten hat ein GPAI-Anbieter unterhalb systemischen Risikos?

Art. 53: technische Dokumentation, Downstream-Offenlegung, urheberrechtsbasierte Trainingsdaten-Zusammenfassung, Einhaltung des Unionsurheberrechts. Ab 2. Aug. 2025.

Brauche ich eine notifizierte Stelle?

Nein. GPAI-Pflichten sind Modellebene — keine notifizierte Stelle, keine CE. Zuständig ist das EU AI Office (Art. 64).

Was gilt für Open-Source-Modelle?

Erleichterung nach Art. 53 Abs. 2 — die vollständige Dokumentation/Downstream-Offenlegung entfällt. Nicht bei systemischem Risiko oder Einbettung in verbotene/hochrisiko-KI.

Compliance für deinen Fall

Rechtskonforme Umsetzung für Bereitstellung eines GPAI-Modells (unterhalb systemisches Risiko)?

Wenn du Bereitstellung eines GPAI-Modells (unterhalb systemisches Risiko) rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.

Jetzt beraten lassen
Related