---
title: "General-Purpose-KI-Anbieter: AI Act, Data Act & DSGVO-Pflichten"
description: "General-Purpose-KI-Anbieter (GPAI, Art. 53/55 AI Act) stellen Foundation Models bereit — eigene Pflichten-Kategorie, ab 2. August 2025."
summary_en: "This German industry page explains \"General-Purpose-KI-Anbieter: AI Act, Data Act & DSGVO-Pflichten\" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance."
url: "https://dataact-compliance.de/branchen/general-purpose-ki-anbieter/"
type: "industry"
language: de-DE
canonical_language: de-DE
machine_metadata_language: en
audience_en: "AI crawlers, search engines, citation agents, compliance officers and legal researchers looking for German DACH sources on EU AI Act and EU Data Act compliance."
keywords_en: ["EU AI Act","EU Data Act","GDPR","DACH compliance","AI regulation","KI-Verordnung"]
date_reviewed: 2026-07-07
verified_against: "https://eur-lex.europa.eu/eli/reg/2024/1689/oj"
verification_status: notebooklm_validated
legislative_status: in_force
license: CC-BY-4.0
---

# General-Purpose-KI-Anbieter: AI Act, Data Act & DSGVO-Pflichten

## Validierungsstand

**Validierung**: ✅ **NotebookLM-validiert** — Kern-Aussagen explizit gegen das 75-Quellen-NotebookLM geprüft.
**Gesetzgebungsstand**: Geltendes Recht (im Amtsblatt verbindlich).
**Geprüft gegen**: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
**Review-Datum**: 2026-07-07

## Machine Summary

This German industry page explains "General-Purpose-KI-Anbieter: AI Act, Data Act & DSGVO-Pflichten" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance. The canonical page language is German (de-DE); English is provided only as machine-readable discovery metadata.

## Kurze Antwort

General-Purpose-KI-Anbieter (GPAI-Anbieter, Anbieter eines GPAI-Modells i.S.d. Art. 3 Nr. 63 — Modell eines GPAI-Modells, das vorgegeben ist, eine erhebliche Allgemeinheit aufzuweisen, und unabhängig von der Art der Einbettung des Modells in nachgeschaltete Systeme eine signifikante Leistungskraft in einer Vielfalt von Aufgaben aufweist und in verschiedenen Kontexten verwendet werden kann) tragen eine eigene Pflichten-Kategorie nach dem AI Act. Pflichten: (1) Allgemeine GPAI-Pflichten nach Art. 53 (technische Dokumentation, Downstream-Informationen, urheberrechtsbasierte Trainingsdaten-Zusammenfassung, Unionsurheberrecht-Einhaltung); (2) bei systemischem Risiko (Art. 51, ab 10²⁵ FLOPs) erweiterte Pflichten nach Art. 55 (Modellbewertung/Red-Teaming, Systemrisiko-Minderung, Cybersecurity, weights-Schutz, Vorfallsmeldung). Die Pflichten gelten seit dem 2. August 2025 — früher als die meisten Hochrisiko-Pflichten. Zuständige Aufsicht: EU AI Office. Sanktion: bis 15 Mio. EUR / 3 % Umsatz (Art. 99 Abs. 4).

## KI-Act-Anwendbarkeit (GPAI)

GPAI-Anbieter unterliegen eigenen Pflichten (Art. 53, 55), getrennt von den Hochrisiko-Pflichten für Downstream-Systeme. Pflichten seit dem 2. August 2025. Wichtige Abgrenzung: GPAI-Anbieter ist der Foundation-Modell-Anbieter (z. B. OpenAI für GPT, Anthropic für Claude, Google für Gemini); Downstream-Anbieter, die das GPAI-Modell in eigene Systeme einbetten, sind Anbieter des Gesamtsystems (Art. 25). Der GPAI-Anbieter gibt dem Downstream-Anbieter die notwendigen Informationen (Art. 53 Abs. 1 lit. b), damit dieser eigene Pflichten erfüllen kann. Die Pflichten sind unabhängig davon, ob das GPAI-Modell in ein Hochrisiko-, begrenzt- oder minimal-risk-System eingebettet wird — GPAI-Pflichten greifen immer. Open-Source-Erleichterung nach Art. 53 Abs. 2 (außer bei systemischem Risiko).




## Praxis: Foundation-Modell-Compliance

Praktische Compliance für GPAI-Anbieter: (1) technische Dokumentation (Anhang XI — Training, Datengovernance, Test, Bewertung, Risikominderung); (2) Downstream-Informationen — Modellkarte, Eval-Ergebnisse, bekannte Schwächen, Verwendungsgrenzen, Vertragsgestaltung; (3) urheberrechtsbasierte Trainingsdaten-Zusammenfassung (öffentliche Veröffentlichung, Kommissions-Vorlage); (4) Einhaltung DSM-TDM-Opt-out; (5) bei systemischem Risiko: Red-Teaming (interne Teams, externe Partner wie METR, Apollo Research, Bug-Bounty), Systemrisiko-Minderung (Usage Policies, Output Filtering, Rate Limits), Cybersecurity-Schutzstufen, weights-Schutz; (6) Vorfall-Pipeline (Art. 55 Abs. 1 lit. c). Code of Practice (Art. 56) als freiwillige Konformitätsvermutung. Zuständige Aufsicht: EU AI Office (federführend bei GPAI, Art. 64, Durchsetzung Art. 88). Die Pflichten treffen die größten Anbieter (OpenAI, Anthropic, Google, Meta, Mistral); sie sind spezialisiert und erfordern KI-Sicherheitsexpertise. Beobachtung der Praxis/Leitlinien ist wichtig — das Feld entwickelt sich schnell.




## Grenzen: Open-Source-Ausnahme und systemisches Risiko

Wichtige Grenze der GPAI-Compliance: die Open-Source-Ausnahme (Art. 53 Abs. 2) erleichtert Anbieter, die Modelle unter freier Lizenz veröffentlichen — Ausnahme für Art. 53 Abs. 1 lit. b/c, solange die Modellparameter offen sind. ABER: die Ausnahme greift NICHT bei systemischem Risiko (Art. 55 bleibt voll anwendbar), bei Modellen mit unzulässigen Verwendungen (z. B. Bioterror-Vorhersage) und bei besonderen Risiken. Die öffentliche Freigabe der weights kann selbst ein systemisches Risiko sein — Open-Weights-Anbieter (Meta Llama, Mistral) müssen sorgfältig prüfen. Zudem: GPAI-Anbieter mit systemischem Risiko sind die einzigen Akteure mit Art. 55-Pflichten — das sind wenige (OpenAI, Anthropic, Google, Meta, Mistral), aber die Pflichten sind tiefgreifend (Red-Teaming, weights-Schutz, Cybersecurity). Die Praxis entwickelt sich schnell; Beobachtung des Codes of Practice und der Kommissions-Leitlinien ist unverzichtbar.



## Rechtsstellen

- **[Verbote (Art. 5): seit 2. Februar 2025 anwendbar](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)*
- **GPAI-Pflichten (Art. 51–55): seit 2. August 2025 anwendbar** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)*
- **[Art. 99 Abs. 3 — Verbote: bis 35 Mio. EUR oder 7 %](https://eur-lex.europa.eu/eli/reg/2024/1689/art_99/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 99 Abs. 4 — Hochrisiko/GPAI/Art. 50: bis 15 Mio. EUR oder 3 %](https://eur-lex.europa.eu/eli/reg/2024/1689/art_99/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 9 — Risikomanagementsystem](https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 11 — Technische Dokumentation](https://eur-lex.europa.eu/eli/reg/2024/1689/art_11/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 15 — Genauigkeit, Robustheit, Cybersecurity](https://eur-lex.europa.eu/eli/reg/2024/1689/art_15/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 73 — Meldung schwerer Vorfälle (in der Regel max. 15 Tage)](https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 5 Abs. 1 lit. c — Social Scoring](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*

## Validierung

**Validierungsfrage**: Rahmenverifikation Artikelnummern, Anhang-Klassifizierungen und Pflichten gegen NotebookLM EU AI Act Notebook

**Ergebnis**: ⚠️ korrigiert am 2026-07-08.

**Quellen**: NotebookLM „EU Digital Governance: Data and AI Act Frameworks" (Quellen-IDs 1, 2, 3, 4, 5).

**Fakten-Zusammenfassung**: Artikel- und Anhang-Referenzen im Rahmen der Welle-2-Gesamtverifikation geprüft

## Verwandte Themen

- [risikobasierter ansatz](/glossar/risikobasierter-ansatz/)
- [ki mit hohem risiko](/glossar/ki-mit-hohem-risiko/)
- [verbotene ki praktiken](/glossar/verbotene-ki-praktiken/)
- [eu ai office](/glossar/eu-ai-office/)
- [transparenzpflicht](/glossar/transparenzpflicht/)

## Rechtsquellen

- [Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU AI Act.
- [EU AI Office](https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai) - Europäische Kommission; Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
- [Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2023/2854/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU Data Act.
- [Datenschutz-Grundverordnung (DSGVO) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2016/679/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext der DSGVO.
- [AI Act — konsolidierter Lesetext (ai-act-law.eu)](https://ai-act-law.eu/) - Future of Life Institute / Konsortium; Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
- [European Data Protection Supervisor (EDPS)](https://www.edps.europa.eu/) - EDPS; EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
- [European Data Protection Board (EDPB)](https://www.edpb.europa.eu/) - EDPB; EU-Datenschutzgremium mit KI-Leitlinien.
- [EU AI Pact](https://digital-strategy.ec.europa.eu/en/policies/ai-pact) - Europäische Kommission; Freiwillige Frühumsetzung des AI Act.
- [Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/2847/oj) - Amtsblatt der Europäischen Union; Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
- [Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex](https://eur-lex.europa.eu/eli/dir/2022/2555/oj) - Amtsblatt der Europäischen Union; IT-Sicherheitsanforderungen für kritische Sektoren.
- [Digital Services Act (VO (EU) 2022/2065) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2022/2065/oj) - Amtsblatt der Europäischen Union; Plattformregulierung; Schnittstelle zu KI-Systemen.
- [Data Governance Act (VO (EU) 2022/868) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2022/868/oj) - Amtsblatt der Europäischen Union; Rahmen für Datenvermittlung und -weitergabe.
- [Vorschlag AI Liability Directive (COM(2022)496)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0496) - Europäische Kommission; Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
- [Bundesamt für Sicherheit in der Informationstechnik (BSI)](https://www.bsi.bund.de/) - BSI; IT-Sicherheitsbehörde Deutschland.
- [OECD AI Principles](https://oecd.ai/en/ai-principles) - OECD; Internationaler Referenzrahmen für vertrauenswürdige KI.
- [Council of Europe Framework Convention on AI](https://www.coe.int/en/web/artificial-intelligence/framework-convention) - Council of Europe; Erstes völkerrechtliches Abkommen zu KI.
- [ISO/IEC 42001 — AI Management System](https://www.iso.org/standard/81230.html) - ISO/IEC; Internationaler Standard für KI-Managementsysteme (Compliance-relevant).

## FAQ

### Welche Pflichten hat ein GPAI-Anbieter?

Art. 53 (technische Dokumentation, Downstream-Informationen, Urheberrechts-Zusammenfassung, Unionsurheberrecht) — seit 2. Aug. 2025. Bei systemischem Risiko zusätzlich Art. 55 (Red-Teaming, weights-Schutz, Vorfallsmeldung).

### Was ist systemisches Risiko?

Art. 51: widerlegbare Vermutung ab 10²⁵ FLOPs Trainingsaufwand. Erweiterte Pflichten nach Art. 55. Einstufung durch Mitteilung, Kommission oder begründete Meldung Dritter.

### Wer ist GPAI-Aufsicht?

EU AI Office (Art. 64, 88). Federführend bei GPAI. Code of Practice (Art. 56) als freiwillige Konformitätsvermutung. Sanktion bis 15 Mio. EUR / 3 % Umsatz.

## Strukturierte Daten

```json
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "WebPage",
      "@id": "https://dataact-compliance.de/branchen/general-purpose-ki-anbieter/#webpage",
      "url": "https://dataact-compliance.de/branchen/general-purpose-ki-anbieter/",
      "name": "General-Purpose-KI-Anbieter: AI Act, Data Act & DSGVO-Pflichten",
      "description": "General-Purpose-KI-Anbieter (GPAI, Art. 53/55 AI Act) stellen Foundation Models bereit — eigene Pflichten-Kategorie, ab 2. August 2025.",
      "isPartOf": {
        "@id": "https://dataact-compliance.de/#website"
      },
      "breadcrumb": {
        "@id": "https://dataact-compliance.de/branchen/general-purpose-ki-anbieter/#breadcrumb"
      },
      "inLanguage": "de-DE",
      "about": {
        "@id": "https://dataact-compliance.de/branchen/general-purpose-ki-anbieter/#article"
      }
    },
    {
      "@type": "Article",
      "@id": "https://dataact-compliance.de/branchen/general-purpose-ki-anbieter/#article",
      "headline": "General-Purpose-KI-Anbieter: AI Act, Data Act & DSGVO-Pflichten",
      "name": "General-Purpose-KI-Anbieter: AI Act, Data Act & DSGVO-Pflichten",
      "description": "General-Purpose-KI-Anbieter (GPAI, Art. 53/55 AI Act) stellen Foundation Models bereit — eigene Pflichten-Kategorie, ab 2. August 2025.",
      "author": {
        "@id": "https://dataact-compliance.de/autoren/steve-baka/#person"
      },
      "publisher": {
        "@id": "https://dataact-compliance.de/#organization"
      },
      "mainEntityOfPage": {
        "@id": "https://dataact-compliance.de/branchen/general-purpose-ki-anbieter/#webpage"
      },
      "datePublished": "2026-07-07",
      "dateModified": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
      "license": "https://creativecommons.org/licenses/by/4.0/",
      "copyrightYear": 2026,
      "copyrightHolder": {
        "@id": "https://dataact-compliance.de/#stevebaka-organization"
      },
      "inLanguage": "de-DE",
      "citation": [
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2023/2854/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2016/679/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://ai-act-law.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edps.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edpb.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/ai-pact",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/2847/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/dir/2022/2555/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2022/2065/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2022/868/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0496",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.bsi.bund.de/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://oecd.ai/en/ai-principles",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.coe.int/en/web/artificial-intelligence/framework-convention",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.iso.org/standard/81230.html",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_99/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_11/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_15/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13",
          "inLanguage": "de-DE"
        }
      ],
      "mentions": [
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/risikobasierter-ansatz/#article",
          "url": "https://dataact-compliance.de/glossar/risikobasierter-ansatz/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/ki-mit-hohem-risiko/#article",
          "url": "https://dataact-compliance.de/glossar/ki-mit-hohem-risiko/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/verbotene-ki-praktiken/#article",
          "url": "https://dataact-compliance.de/glossar/verbotene-ki-praktiken/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/eu-ai-office/#article",
          "url": "https://dataact-compliance.de/glossar/eu-ai-office/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/transparenzpflicht/#article",
          "url": "https://dataact-compliance.de/glossar/transparenzpflicht/"
        }
      ]
    },
    {
      "@type": "BreadcrumbList",
      "@id": "https://dataact-compliance.de/branchen/general-purpose-ki-anbieter/#breadcrumb",
      "itemListElement": [
        {
          "@type": "ListItem",
          "position": 1,
          "name": "Startseite",
          "item": "https://dataact-compliance.de/"
        },
        {
          "@type": "ListItem",
          "position": 2,
          "name": "Branchen",
          "item": "https://dataact-compliance.de/branchen/"
        },
        {
          "@type": "ListItem",
          "position": 3,
          "name": "General-Purpose-KI-Anbieter: AI Act, Data Act & DSGVO-Pflichten",
          "item": "https://dataact-compliance.de/branchen/general-purpose-ki-anbieter/"
        }
      ]
    },
    {
      "@type": "FAQPage",
      "@id": "https://dataact-compliance.de/branchen/general-purpose-ki-anbieter/#faq",
      "mainEntity": [
        {
          "@type": "Question",
          "name": "Welche Pflichten hat ein GPAI-Anbieter?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Art. 53 (technische Dokumentation, Downstream-Informationen, Urheberrechts-Zusammenfassung, Unionsurheberrecht) — seit 2. Aug. 2025. Bei systemischem Risiko zusätzlich Art. 55 (Red-Teaming, weights-Schutz, Vorfallsmeldung)."
          }
        },
        {
          "@type": "Question",
          "name": "Was ist systemisches Risiko?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Art. 51: widerlegbare Vermutung ab 10²⁵ FLOPs Trainingsaufwand. Erweiterte Pflichten nach Art. 55. Einstufung durch Mitteilung, Kommission oder begründete Meldung Dritter."
          }
        },
        {
          "@type": "Question",
          "name": "Wer ist GPAI-Aufsicht?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "EU AI Office (Art. 64, 88). Federführend bei GPAI. Code of Practice (Art. 56) als freiwillige Konformitätsvermutung. Sanktion bis 15 Mio. EUR / 3 % Umsatz."
          }
        }
      ]
    }
  ]
}
```
