Wesentliche Modifikation: Definition und rechtliche Bedeutung (AI Act / Data Act)
Eine „wesentliche Modifikation" ist nach Art. 3 Nr. 23 AI Act eine Änderung des KI-Systems nach seinem Inverkehrbringen, die die Übereinstimmung des Systems mit den Anforderungen aus Art. 8–15 beeinträchtigen kann oder zu einer Änderung des Verwendungszwecks führt, für den das System konform bewertet wurde, oder die eine Änderung des Zwecks darstellt, für den das System nicht konform bewertet wurde. Eine wesentliche Modifikation löst eine neue Konformitätsbewertung aus (Art. 43) und kann den Betreiber zum Anbieter machen (Art. 25 Abs. 1 lit. b), der dann das vollständige Pflichtenbündel übernimmt. Nicht wesentliche Änderungen (Updates, Patches) sind von der Anbieter-Pflicht befreit, wenn sie die Konformität nicht beeinträchtigen.
Steve Baka
Begriff (Art. 3 Nr. 23)
Art. 3 Nr. 23 definiert „wesentliche Modifikation" als eine Änderung des KI-Systems nach seinem Inverkehrbringen, die (a) die Übereinstimmung des Systems mit den Anforderungen beeinträchtigen kann, oder (b) zu einer Änderung des vom Anbieter vorgesehenen Verwendungszwecks führt, oder (c) eine Änderung des Zwecks darstellt, für den das System nicht konform bewertet wurde. Beispiele: Umtrainieren des Modells mit neuen Daten, signifikante Erweiterung des Einsatzbereichs (z. B. von Scoring auf Diagnose), Änderung der Eingaben/Outputs mit Konsequenz für Bias/Genauigkeit. Nicht wesentlich: Bug-Fixes, Sicherheitsupdates, Patches ohne Konformitätsrelevanz.
Folgen: Konformität und Anbieter-Übergang
Eine wesentliche Modifikation löst eine neue Konformitätsbewertung nach Art. 43 aus — der Modifizierende muss nachweisen, dass das veränderte System weiterhin konform ist. Nimmt ein Betreiber die Modifikation vor, wird er zum Anbieter (Art. 25 Abs. 1 lit. b) und übernimmt das vollständige Pflichtenbündel nach Art. 16 (Risikomanagement, Daten-Governance, technische Dokumentation, CE, Registrierung). Nimmt der ursprüngliche Anbieter die Modifikation vor, muss er die neue Konformität dokumentieren und ggf. die notifizierte Stelle informieren. Die Dokumentation der Änderung und ihrer Beurteilung (wesentlich ja/nein) ist zentraler Compliance-Prüfpunkt.
Praxis und GPAI-Downstream
Besonders relevant im GPAI-Kontext: Wer ein GPAI-Modell nimmt und es für einen neuen Hochrisiko-Zweck finetunt, nimmt oft eine wesentliche Modifikation vor — und wird Downstream-Anbieter nach Art. 25. Ebenso bei Cloud-basierten Systemen: Anpassungen durch Kunden können wesentlich sein. Praktisch erforderlich: ein Änderungsmanagement mit klarer Beurteilung jeder Modifikation (wesentlich/nicht wesentlich, dokumentiert), Mitteilung an die notifizierte Stelle bei wesentlichen Änderungen, und ggf. neue Konformitätsbewertung. Eine unsaubere Abgrenzung (versehentliche wesentliche Modifikation ohne neue Konformität) ist ein typisches Sanktionsrisiko — die Compliance-Prüfung sollte konservativ ausfallen.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Wann ist eine Änderung „wesentlich"?
Wenn sie die Konformität beeinträchtigen kann oder den Zweck ändert (Art. 3 Nr. 23) — z. B. Umtrainieren, neue Einsatzbereiche. Bug-Fixes/Patches sind nicht wesentlich.
Werde ich beim Finetunen zum Anbieter?
Oft ja. Wer ein GPAI-Modell für einen neuen Hochrisiko-Zweck finetunt, nimmt eine wesentliche Modifikation vor und wird Downstream-Anbieter (Art. 25).
Was löst eine wesentliche Modifikation aus?
Eine neue Konformitätsbewertung (Art. 43). Bei Betreibern zusätzlich den Übergang zur Anbieter-Rolle mit vollständigen Pflichten (Art. 16).
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.