Pflichten bei systemischem Risiko: Definition und rechtliche Bedeutung (AI Act / Data Act)
Art. 55 AI Act verpflichtet Anbieter von GPAI-Modellen mit systemischem Risiko (Schwelle: 10^25 FLOPs Trainingsrechenleistung nach Art. 51 Abs. 2, Definition Art. 3 Nr. 65) zu zusätzlichen Pflichten über die allgemeinen GPAI-Pflichten (Art. 53) hinaus: (1) Modellbewertung mit Standards und Tools (Adversarial Testing/Red-Teaming); (2) Bewertung und Minderung möglicher systemischer Risiken in der Union, insbesondere für Demokratie, Rechtsstaatlichkeit, öffentliche Sicherheit, öffentliche Gesundheit; (3) Vorfallsmeldung an das AI Office und nationale Behörden; (4) Cybersicherheitsmaßnahmen. Anwendbar seit 2. August 2025 (zusammen mit allgemeinen GPAI-Pflichten) — unverändert durch AI Omnibus 2026. Bußgeldkompetenz AI Office seit 2. August 2026.
Steve Baka
Vier Pflichten (Art. 55)
Art. 55 Abs. 1 verpflichtet GPAI-Anbieter mit systemischem Risiko zu vier Pflichten: (1) Modellbewertung — systematische Bewertung und Prüfung des Modells anhand angemessener Standards, Tools und Methoden (insbesondere Adversarial Testing/Red-Teaming). (2) Risikominderung — Bewertung und Minderung möglicher systemischer Risiken in der Union, insbesondere für Demokratie, Rechtsstaatlichkeit, öffentliche Sicherheit und öffentliche Gesundheit. (3) Vorfallsmeldung — Meldung schwerer Vorfälle an das AI Office und die zuständigen nationalen Behörden. (4) Cybersicherheit — angemessene Cybersicherheitsmaßnahmen zum Schutz des Modells.
Schwelle systemisches Risiko (10^25 FLOPs)
Ein GPAI-Modell gilt als systemisch risikobehaftet, wenn die kumulierte Trainingsrechenleistung 10^25 FLOPs (Floating Point Operations) übersteigt (Vermutung nach Art. 51 Abs. 2, Definition Art. 3 Nr. 65). Die Kommission kann die Einstufung auch bei Unterschreiten der Schwelle verfügen (z.B. bei besonderen Fähigkeiten oder Verbreitung). Die Schwelle erfasst derzeit die größten Modelle weltweit (z.B. GPT-4, Claude 3, Gemini). Anbieter müssen der Kommission vorbeugend mitteilen, wenn sie die Schwelle voraussichtlich erreichen.
Praxis: Code of Practice und AI Office
In der Praxis orientieren sich Anbieter am EU GPAI Code of Practice (Art. 56 — Konformitätsvermutung), der Verfahren für Modellbewertung, Adversarial Testing, Vorfallsmeldung und Cybersicherheit konkretisiert. Aufsicht: EU AI Office zentralisiert (durch AI Omnibus 2026) für GPAI-Systeme. Bußgeldkompetenz seit 2. August 2026. Vorher: kooperativer Compliance-Dialog. Eine proaktive Zusammenarbeit mit dem AI Office und transparente Selbstverpflichtungen sind der praxisnahe Pfad.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Welche Pflichten hat Art. 55?
Vier Pflichten: Modellbewertung mit Adversarial Testing, Risikominderung (Demokratie/Rechtsstaatlichkeit/Sicherheit/Gesundheit), Vorfallsmeldung, Cybersicherheit.
Wann gilt ein GPAI-Modell als systemisch risikobehaftet?
Ab 10^25 FLOPs Trainingsrechenleistung (Vermutung nach Art. 51 Abs. 2, Definition Art. 3 Nr. 65). Kommission kann auch bei Unterschreiten einstufen (besondere Fähigkeiten, Verbreitung).
Seit wann gilt Art. 55?
Seit 2. August 2025 (zusammen mit allgemeinen GPAI-Pflichten). Bußgeldkompetenz AI Office seit 2. August 2026.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.