Bereitstellung eines GPAI-Modells (unterhalb systemisches Risiko): Risikoklasse und Pflichten im EU-KI-Recht
Wer ein GPAI-Modell unterhalb der systemischen-Risiko-Schwelle (< 10²⁵ FLOPs und nicht anderweitig eingestuft) entwickelt und bereitstellt, unterliegt ab dem 2. August 2025 den allgemeinen GPAI-Pflichten nach Art. 53 AI Act: (1) Vorhaltung einer technischen Dokumentation (Anhang XI) für Downstream-Anbieter und die Kommission; (2) Kooperationspflicht mit Downstream-Anbietern (Offenlegung von Informationen, die zur Konformität der eingebetteten Systeme nötig sind); (3) urheberrechtsbasierte Trainingsdaten-Zusammenfassung; (4) Einhaltung des Unionsurheberrechts (DSM-Richtlinie, Opt-out-Berücksichtigung). Nicht anwendbar: die erweiterten Art. 55-Pflichten (Red-Teaming, weights-Schutz). Open-Source-Veröffentlichung erleichtert die Pflichten (Art. 53 Abs. 2). Keine notifizierte Stelle, keine CE-Kennzeichnung (GPAI-Pflichten sind Modellebene).
Steve Baka
Allgemeine GPAI-Pflichten (Art. 53)
Art. 53 verpflichtet GPAI-Anbieter (unterhalb systemisches Risiko) zu: (1) Vorhaltung und laufender Aktualisierung einer technischen Dokumentation (Anhang XI) mit Informationen, die für die Einhaltung der AI-Act-Pflichten durch Downstream-Anbieter nötig sind; (2) Bereitstellung dieser Informationen für Downstream-Anbieter und für die Kommission/Aufsicht auf Verlangen; (3) Erstellung einer öffentlich zugänglichen, ausreichend detaillierten Zusammenfassung der für das Training verwendeten urheberrechtlich geschützten Inhalte (Art. 53 Abs. 1 lit. d); (4) Einhaltung des Unionsurheberrechts bei der Aufstellung von Trainingsdaten (DSM-Richtlinie, TDM-Opt-out). Die Pflichten gelten ab dem 2. August 2025.
Open-Source-Erleichterung (Art. 53 Abs. 2)
Art. 53 Abs. 2 erleichtert die Pflichten für GPAI-Modelle und ihre Komponenten, die unter einer freien, gewerblich nutzbaren Open-Source-Lizenz veröffentlicht werden und deren Parameter (Gewichtungen, Architektur) öffentlich zugänglich sind. Solche Modelle müssen nicht die vollständige technische Dokumentation und die Downstream-Offenlegungspflichten nach Abs. 1 erfüllen. Ausnahmen (keine Erleichterung): (1) GPAI-Modelle mit systemischem Risiko (Art. 55 bleibt voll anwendbar), (2) Einbettung in verbotene/hochrisiko-KI, (3) Modelle mit signifikantem Risiko der Verbreitung verbotener Inhalte. Die Erleichterung fördert Offenheit, schließt aber risikobehaftete Verwendungen aus.
Praxis: Downstream-Verantwortung und Aufsicht
Für Downstream-Anbieter ist die Art. 53-Offenlegung entscheidend: wer ein GPAI-Modell nimmt und ein hochrisiko-System daraus macht, braucht die technischen Informationen, um eigene Konformität nachzuweisen (Art. 25 Downstream-Anbieter). Ein Anbieter, der diese nicht liefert, behindert lawful downstream use. Aufsichtlich ist das EU AI Office zuständig (Art. 64); nationale Marktüberwachungsbehörden für eingebettete Systeme. Code of Practice (Art. 56): GPAI-Anbieter können sich an freiwilligen EU-Verhaltenskodizes beteiligen, die als Konformitätsvermutung wirken. Für kleinere Anbieter und Open-Source-Projekte schafft die Architektur Rechtsklarheit bei niedrigerer Schwelle — ohne die Risikofälle auszunehmen.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Welche Pflichten hat ein GPAI-Anbieter unterhalb systemischen Risikos?
Art. 53: technische Dokumentation, Downstream-Offenlegung, urheberrechtsbasierte Trainingsdaten-Zusammenfassung, Einhaltung des Unionsurheberrechts. Ab 2. Aug. 2025.
Brauche ich eine notifizierte Stelle?
Nein. GPAI-Pflichten sind Modellebene — keine notifizierte Stelle, keine CE. Zuständig ist das EU AI Office (Art. 64).
Was gilt für Open-Source-Modelle?
Erleichterung nach Art. 53 Abs. 2 — die vollständige Dokumentation/Downstream-Offenlegung entfällt. Nicht bei systemischem Risiko oder Einbettung in verbotene/hochrisiko-KI.
Rechtskonforme Umsetzung für Bereitstellung eines GPAI-Modells (unterhalb systemisches Risiko)?
Wenn du Bereitstellung eines GPAI-Modells (unterhalb systemisches Risiko) rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.