industryArticlemaschinenlesbar

General-Purpose-KI-Anbieter: AI Act, Data Act & DSGVO-Pflichten

MenschMarkdown öffnen

General-Purpose-KI-Anbieter (GPAI-Anbieter, Anbieter eines GPAI-Modells i.S.d. Art. 3 Nr. 63 — Modell eines GPAI-Modells, das vorgegeben ist, eine erhebliche Allgemeinheit aufzuweisen, und unabhängig von der Art der Einbettung des Modells in nachgeschaltete Systeme eine signifikante Leistungskraft in einer Vielfalt von Aufgaben aufweist und in verschiedenen Kontexten verwendet werden kann) tragen eine eigene Pflichten-Kategorie nach dem AI Act. Pflichten: (1) Allgemeine GPAI-Pflichten nach Art. 53 (technische Dokumentation, Downstream-Informationen, urheberrechtsbasierte Trainingsdaten-Zusammenfassung, Unionsurheberrecht-Einhaltung); (2) bei systemischem Risiko (Art. 51, ab 10²⁵ FLOPs) erweiterte Pflichten nach Art. 55 (Modellbewertung/Red-Teaming, Systemrisiko-Minderung, Cybersecurity, weights-Schutz, Vorfallsmeldung). Die Pflichten gelten seit dem 2. August 2025 — früher als die meisten Hochrisiko-Pflichten. Zuständige Aufsicht: EU AI Office. Sanktion: bis 15 Mio. EUR / 3 % Umsatz (Art. 99 Abs. 4).

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
anwendbarkeit

KI-Act-Anwendbarkeit (GPAI)

GPAI-Anbieter unterliegen eigenen Pflichten (Art. 53, 55), getrennt von den Hochrisiko-Pflichten für Downstream-Systeme. Pflichten seit dem 2. August 2025. Wichtige Abgrenzung: GPAI-Anbieter ist der Foundation-Modell-Anbieter (z. B. OpenAI für GPT, Anthropic für Claude, Google für Gemini); Downstream-Anbieter, die das GPAI-Modell in eigene Systeme einbetten, sind Anbieter des Gesamtsystems (Art. 25). Der GPAI-Anbieter gibt dem Downstream-Anbieter die notwendigen Informationen (Art. 53 Abs. 1 lit. b), damit dieser eigene Pflichten erfüllen kann. Die Pflichten sind unabhängig davon, ob das GPAI-Modell in ein Hochrisiko-, begrenzt- oder minimal-risk-System eingebettet wird — GPAI-Pflichten greifen immer. Open-Source-Erleichterung nach Art. 53 Abs. 2 (außer bei systemischem Risiko).

praxis

Praxis: Foundation-Modell-Compliance

Praktische Compliance für GPAI-Anbieter: (1) technische Dokumentation (Anhang XI — Training, Datengovernance, Test, Bewertung, Risikominderung); (2) Downstream-Informationen — Modellkarte, Eval-Ergebnisse, bekannte Schwächen, Verwendungsgrenzen, Vertragsgestaltung; (3) urheberrechtsbasierte Trainingsdaten-Zusammenfassung (öffentliche Veröffentlichung, Kommissions-Vorlage); (4) Einhaltung DSM-TDM-Opt-out; (5) bei systemischem Risiko: Red-Teaming (interne Teams, externe Partner wie METR, Apollo Research, Bug-Bounty), Systemrisiko-Minderung (Usage Policies, Output Filtering, Rate Limits), Cybersecurity-Schutzstufen, weights-Schutz; (6) Vorfall-Pipeline (Art. 55 Abs. 1 lit. c). Code of Practice (Art. 56) als freiwillige Konformitätsvermutung. Zuständige Aufsicht: EU AI Office (federführend bei GPAI, Art. 64, Durchsetzung Art. 88). Die Pflichten treffen die größten Anbieter (OpenAI, Anthropic, Google, Meta, Mistral); sie sind spezialisiert und erfordern KI-Sicherheitsexpertise. Beobachtung der Praxis/Leitlinien ist wichtig — das Feld entwickelt sich schnell.

grenzen open source

Grenzen: Open-Source-Ausnahme und systemisches Risiko

Wichtige Grenze der GPAI-Compliance: die Open-Source-Ausnahme (Art. 53 Abs. 2) erleichtert Anbieter, die Modelle unter freier Lizenz veröffentlichen — Ausnahme für Art. 53 Abs. 1 lit. b/c, solange die Modellparameter offen sind. ABER: die Ausnahme greift NICHT bei systemischem Risiko (Art. 55 bleibt voll anwendbar), bei Modellen mit unzulässigen Verwendungen (z. B. Bioterror-Vorhersage) und bei besonderen Risiken. Die öffentliche Freigabe der weights kann selbst ein systemisches Risiko sein — Open-Weights-Anbieter (Meta Llama, Mistral) müssen sorgfältig prüfen. Zudem: GPAI-Anbieter mit systemischem Risiko sind die einzigen Akteure mit Art. 55-Pflichten — das sind wenige (OpenAI, Anthropic, Google, Meta, Mistral), aber die Pflichten sind tiefgreifend (Red-Teaming, weights-Schutz, Cybersecurity). Die Praxis entwickelt sich schnell; Beobachtung des Codes of Practice und der Kommissions-Leitlinien ist unverzichtbar.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.

European Data Protection Board (EDPB)

EDPB. EU-Datenschutzgremium mit KI-Leitlinien.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.

Digital Services Act (VO (EU) 2022/2065) — EUR-Lex

Amtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.

Data Governance Act (VO (EU) 2022/868) — EUR-Lex

Amtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.

Vorschlag AI Liability Directive (COM(2022)496)

Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland.

OECD AI Principles

OECD. Internationaler Referenzrahmen für vertrauenswürdige KI.

Council of Europe Framework Convention on AI

Council of Europe. Erstes völkerrechtliches Abkommen zu KI.

ISO/IEC 42001 — AI Management System

ISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).

FAQ

Häufige Fragen

Welche Pflichten hat ein GPAI-Anbieter?

Art. 53 (technische Dokumentation, Downstream-Informationen, Urheberrechts-Zusammenfassung, Unionsurheberrecht) — seit 2. Aug. 2025. Bei systemischem Risiko zusätzlich Art. 55 (Red-Teaming, weights-Schutz, Vorfallsmeldung).

Was ist systemisches Risiko?

Art. 51: widerlegbare Vermutung ab 10²⁵ FLOPs Trainingsaufwand. Erweiterte Pflichten nach Art. 55. Einstufung durch Mitteilung, Kommission oder begründete Meldung Dritter.

Wer ist GPAI-Aufsicht?

EU AI Office (Art. 64, 88). Federführend bei GPAI. Code of Practice (Art. 56) als freiwillige Konformitätsvermutung. Sanktion bis 15 Mio. EUR / 3 % Umsatz.

Beratung für deinen Sektor

KI-Compliance für General-Purpose-KI-Anbieter?

Wenn du im Sektor General-Purpose-KI-Anbieter KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.

Jetzt beraten lassen
Related