Feintuning eines GPAI-Modells für Kunden: Risikoklasse und Pflichten im EU-KI-Recht
Wer ein GPAI-Modell für Kunden feintunt (z. B. als Dienstleister, der ein Basis-LLM an eine Branche anpasst), unterliegt je nach Art des Feintunings unterschiedlichen Pflichten: (1) Das bloße Feintuning eines nicht-systemischen GPAI-Modells erfüllt die allgemeinen Art. 53-Pflichten und die Downstream-Verantwortung nach Art. 25; (2) wird das feingetunte Modell in ein hochrisiko-KI-System eingebettet, wird der Feintuner zum Anbieter dieses Systems (Art. 25) und übernimmt das vollständige Pflichtenbündel aus Art. 8–15; (3) wesentliche Modifikationen (Art. 3 Nr. 23) — z. B. Umtrainieren, neuer Hochrisiko-Zweck — lösen eine neue Konformitätsbewertung aus. Überlagert: DSGVO (Auftragsverarbeitung, personenbezogene Trainingsdaten), Urheberrecht. Eine klare Zweck- und Verantwortungsvereinbarung mit dem Kunden ist entscheidend.
Steve Baka
Einordnung des Feintunings
Feintuning eines GPAI-Modells kann drei Konstellationen auslösen: (1) Generisches Feintuning eines nicht-systemischen GPAI-Modells — der Feintuner ist GPAI-Anbieter mit den allgemeinen Art. 53-Pflichten (technische Dokumentation, Downstream-Offenlegung, Urheberrechts-Zusammenfassung). (2) Anwendungsspezifisches Feintuning zur Einbettung in ein hochrisiko-KI-System — der Feintuner wird Downstream-Anbieter/Anbieter des resultierenden Systems (Art. 25) mit dem vollständigen Art. 8–15-Pflichtenbündel. (3) Wesentliche Modifikation (Art. 3 Nr. 23) — Umtrainieren, neuer Hochrisiko-Zweck, signifikante Bias-/Genauigkeitsänderung lösen eine neue Konformitätsbewertung aus. Die Einordnung entscheidet über das Pflichtenregime.
Verantwortungsverteilung Anbieter ↔ Kunde
In der Dienstleister-Konstellation (Feintuning-Service für Kunden) ist die Verantwortungsverteilung entscheidend. Klar zu regeln: (1) Wer ist Anbieter des feingetunten Modells/des Systems? (meist der Dienstleister, wenn er das System liefert). (2) Wer ist Betreiber im Einsatz? (der Kunde). (3) Wie werden Daten-Governance, Bias-Prüfung, technische Dokumentation und Konformitätsbewertung aufgeteilt? Eine klare vertragliche Abgrenzung schützt beide Seiten vor versehentlicher Verantwortungsübernahme. Der Downstream-Anbieter braucht die technischen Informationen des ursprünglichen GPAI-Anbieters (Art. 53 Offenlegung), um eigene Konformität nachzuweisen. Fehlende Informationen behindern lawful downstream use und verschieben das Risiko.
Schnittstellen: DSGVO und Urheberrecht
Überlagert wird das Feintuning durch DSGVO und Urheberrecht. DSGVO: verarbeitet das Feintuning personenbezogene Daten (Kundendaten, Trainingsdaten), ist die Rechtsgrundlage zu klären (oft Auftragsverarbeitung Art. 28, wenn im Auftrag; Eigenverantwortung, wenn eigenes Modell). Datenschutz-Folgenabschätzung bei hohem Risiko. Urheberrecht: Trainingsdaten unterliegen der DSM-Richtlinie (TDM mit Opt-out); die urheberrechtsbasierte Trainingsdaten-Zusammenfassung (Art. 53 Abs. 1 lit. d) ist zu aktualisieren. Besonderheiten: Kunden proprietäre Daten im Feintuning brauchen klare Nutzungsrechte und Löschkonzepte. Eine professionelle Dienstleister-Konstellation klärt alle drei Dimensionen (AI Act, DSGVO, Urheberrecht) vertraglich und dokumentiert sie.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Welche Pflichten hat ein Feintuning-Dienstleister?
Je nach Konstellation: generisches Feintuning → Art. 53 GPAI-Pflichten + Art. 25 Downstream; Einbettung in Hochrisiko → vollständiges Art. 8–15-Pflichtenbündel; wesentliche Modifikation → neue Konformitätsbewertung.
Wer ist Anbieter des feingetunten Systems?
In der Regel der Dienstleister, der das System liefert. Klare vertragliche Abgrenzung mit dem Kunden (Anbieter vs. Betreiber) ist entscheidend.
Was gilt für personenbezogene Trainingsdaten?
DSGVO: Rechtsgrundlage klären (oft Auftragsverarbeitung Art. 28), DSFA bei hohem Risiko. Urheberrecht: DSM-TDM mit Opt-out, Aktualisierung der Trainingsdaten-Zusammenfassung (Art. 53 Abs. 1 lit. d).
Rechtskonforme Umsetzung für Feintuning eines GPAI-Modells für Kunden?
Wenn du Feintuning eines GPAI-Modells für Kunden rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.