Downstream-Anbieter-Verantwortung: Definition und rechtliche Bedeutung (AI Act / Data Act)
Art. 25 AI Act regelt die Verantwortung entlang der KI-Wertschöpfungskette (Verteilung der Pflichten zwischen GPAI-Anbieter, Distributoren, Importeuren, Herstellern und Downstream-Anbietern). Wer ein GPAI-Modell in ein eigenes KI-System einbettet und es unter eigenem Namen vermarktet, wird zum Anbieter des eingebetteten Systems (Art. 25 Abs. 1) und trägt die vollen Pflichten (Hochrisiko bei Anwendbarkeit). Der GPAI-Anbieter muss dem Downstream-Anbieter die notwendigen Informationen (Art. 53 Abs. 1 lit. b) geben, damit dieser eigene Pflichten erfüllen kann. Distributoren, Importeure und andere Akteure tragen spezifische Sorgfaltspflichten (Verifizierung der Konformität, Kooperationspflichten). Die Regel sichert, dass Pflichten auf der Stufe erfüllt werden, die sie am besten kontrollieren kann.
Steve Baka
Pflichtenverteilung (Art. 25)
Art. 25 verteilt die Pflichten entlang der Wertschöpfungskette: (1) GPAI-Anbieter (Foundation-Modell-Anbieter) — erfüllen Art. 53 (technische Dokumentation, Downstream-Information, Urheberrechts-Zusammenfassung), Art. 55 bei systemischem Risiko. (2) Downstream-Anbieter, die das GPAI-Modell einbetten und unter eigenem Namen vermarkten — werden zum Anbieter des Gesamtsystems (Art. 25 Abs. 1) mit vollen Pflichten (Hochrisiko bei Anwendbarkeit). (3) Distributoren/Importeure/Vertriebe — Sorgfaltspflichten: Verifizierung der Konformität/CE/Dokumentation, Verweigerung der Vermarktung bei Anzeichen von Nicht-Konformität, Meldung an Behörden. (4) Hersteller von Nicht-KI-Produkten, die KI einbetten — werden zum Anbieter des Gesamtprodukts.
Schnittstelle GPAI – Downstream
Die kritische Schnittstelle ist die GPAI–Downstream-Beziehung. Der GPAI-Anbieter muss dem Downstream-Anbieter Informationen geben (Art. 53 Abs. 1 lit. b), die dieser braucht, um eigene Pflichten zu erfüllen: Test-/Eval-Ergebnisse, bekannte Schwächen/Bias, Verwendungsgrenzen, Upstream-Haftungsausschlüsse. Der Downstream-Anbieter (z. B. ein Startup, das auf GPT/Claude/Gemini aufbaut) muss: diese Informationen verarbeiten, eigene Risikobewertung durchführen, das Gesamtsystem prüfen (Hochrisiko-Einstufung, Verbote, Transparenz), Anbieter-Pflichten erfüllen. Praktisch: der Vertrag GPAI-Anbieter ↔ Downstream-Anbieter muss Informationsfluss, Nutzungslizenzen, Haftung, Updates, Incident-Sharing regeln. Ohne diese Vertragsgestaltung kann der Downstream-Anbieter die Pflichten nicht erfüllen — Haftungs- und Compliance-Risiko.
Praxis: Vertragsgestaltung und Verteilung
Praktisch relevant für Downstream-Anbieter (Consumer-Assistenten, Enterprise-KI, eingebettete Anwendungen): (1) Vertrag mit GPAI-Anbieter — klare Informations-/Upstream-/Downstream-Pflichten, Haftungsbegrenzung, Incident-Sharing, Update-Mechanismen, Beendigung. (2) Eigene Risikobewertung — Hochrisiko-Einstufung des eingebetteten Systems (z. B. Recruiting-KI, die auf einem GPAI-Modell aufbaut), Verbote-Prüfung, Transparenz. (3) Eigene Pflichten — Art. 8–15 bei Hochrisiko, eigene Konformitätsbewertung, CE, Registrierung. (4) Dokumentation — Vertragsnachweise, Downstream-Informationen, Risikobewertung. Überlagert: allgemeine Vertragsgestaltung (AGB-Recht), Auftragsverarbeitung (DSGVO Art. 28), Haftung (AILD, Produkthaftung). Für den GPAI-Anbieter: saubere Vertragsgestaltung mit allen Downstream-Anbietern, klare Verantwortungsverteilung, Incident-Response-Koordination. Die Verteilung ist rechtlich komplex — Beratung empfohlen.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Wer wird Anbieter eines eingebetteten GPAI-Systems?
Der Downstream-Anbieter, der das GPAI-Modell einbettet und unter eigenem Namen vermarktet (Art. 25 Abs. 1). Volle Anbieter-Pflichten (Hochrisiko bei Anwendbarkeit).
Was muss der GPAI-Anbieter dem Downstream-Anbieter geben?
Informationen nach Art. 53 Abs. 1 lit. b: Test-/Eval-Ergebnisse, Schwächen/Bias, Verwendungsgrenzen. Damit kann der Downstream-Anbieter eigene Pflichten erfüllen.
Wie wird das vertraglich geregelt?
Vertrag GPAI-Anbieter ↔ Downstream-Anbieter: Informationsfluss, Nutzungslizenzen, Haftung, Updates, Incident-Sharing, Beendigung. Plus Auftragsverarbeitung (DSGVO Art. 28), AILD/Produkthaftung.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.