General-Purpose-KI-Anbieter: AI Act, Data Act & DSGVO-Pflichten
General-Purpose-KI-Anbieter (GPAI-Anbieter, Anbieter eines GPAI-Modells i.S.d. Art. 3 Nr. 63 — Modell eines GPAI-Modells, das vorgegeben ist, eine erhebliche Allgemeinheit aufzuweisen, und unabhängig von der Art der Einbettung des Modells in nachgeschaltete Systeme eine signifikante Leistungskraft in einer Vielfalt von Aufgaben aufweist und in verschiedenen Kontexten verwendet werden kann) tragen eine eigene Pflichten-Kategorie nach dem AI Act. Pflichten: (1) Allgemeine GPAI-Pflichten nach Art. 53 (technische Dokumentation, Downstream-Informationen, urheberrechtsbasierte Trainingsdaten-Zusammenfassung, Unionsurheberrecht-Einhaltung); (2) bei systemischem Risiko (Art. 51, ab 10²⁵ FLOPs) erweiterte Pflichten nach Art. 55 (Modellbewertung/Red-Teaming, Systemrisiko-Minderung, Cybersecurity, weights-Schutz, Vorfallsmeldung). Die Pflichten gelten seit dem 2. August 2025 — früher als die meisten Hochrisiko-Pflichten. Zuständige Aufsicht: EU AI Office. Sanktion: bis 15 Mio. EUR / 3 % Umsatz (Art. 99 Abs. 4).
Steve Baka
KI-Act-Anwendbarkeit (GPAI)
GPAI-Anbieter unterliegen eigenen Pflichten (Art. 53, 55), getrennt von den Hochrisiko-Pflichten für Downstream-Systeme. Pflichten seit dem 2. August 2025. Wichtige Abgrenzung: GPAI-Anbieter ist der Foundation-Modell-Anbieter (z. B. OpenAI für GPT, Anthropic für Claude, Google für Gemini); Downstream-Anbieter, die das GPAI-Modell in eigene Systeme einbetten, sind Anbieter des Gesamtsystems (Art. 25). Der GPAI-Anbieter gibt dem Downstream-Anbieter die notwendigen Informationen (Art. 53 Abs. 1 lit. b), damit dieser eigene Pflichten erfüllen kann. Die Pflichten sind unabhängig davon, ob das GPAI-Modell in ein Hochrisiko-, begrenzt- oder minimal-risk-System eingebettet wird — GPAI-Pflichten greifen immer. Open-Source-Erleichterung nach Art. 53 Abs. 2 (außer bei systemischem Risiko).
Praxis: Foundation-Modell-Compliance
Praktische Compliance für GPAI-Anbieter: (1) technische Dokumentation (Anhang XI — Training, Datengovernance, Test, Bewertung, Risikominderung); (2) Downstream-Informationen — Modellkarte, Eval-Ergebnisse, bekannte Schwächen, Verwendungsgrenzen, Vertragsgestaltung; (3) urheberrechtsbasierte Trainingsdaten-Zusammenfassung (öffentliche Veröffentlichung, Kommissions-Vorlage); (4) Einhaltung DSM-TDM-Opt-out; (5) bei systemischem Risiko: Red-Teaming (interne Teams, externe Partner wie METR, Apollo Research, Bug-Bounty), Systemrisiko-Minderung (Usage Policies, Output Filtering, Rate Limits), Cybersecurity-Schutzstufen, weights-Schutz; (6) Vorfall-Pipeline (Art. 55 Abs. 1 lit. c). Code of Practice (Art. 56) als freiwillige Konformitätsvermutung. Zuständige Aufsicht: EU AI Office (federführend bei GPAI, Art. 64, Durchsetzung Art. 88). Die Pflichten treffen die größten Anbieter (OpenAI, Anthropic, Google, Meta, Mistral); sie sind spezialisiert und erfordern KI-Sicherheitsexpertise. Beobachtung der Praxis/Leitlinien ist wichtig — das Feld entwickelt sich schnell.
Grenzen: Open-Source-Ausnahme und systemisches Risiko
Wichtige Grenze der GPAI-Compliance: die Open-Source-Ausnahme (Art. 53 Abs. 2) erleichtert Anbieter, die Modelle unter freier Lizenz veröffentlichen — Ausnahme für Art. 53 Abs. 1 lit. b/c, solange die Modellparameter offen sind. ABER: die Ausnahme greift NICHT bei systemischem Risiko (Art. 55 bleibt voll anwendbar), bei Modellen mit unzulässigen Verwendungen (z. B. Bioterror-Vorhersage) und bei besonderen Risiken. Die öffentliche Freigabe der weights kann selbst ein systemisches Risiko sein — Open-Weights-Anbieter (Meta Llama, Mistral) müssen sorgfältig prüfen. Zudem: GPAI-Anbieter mit systemischem Risiko sind die einzigen Akteure mit Art. 55-Pflichten — das sind wenige (OpenAI, Anthropic, Google, Meta, Mistral), aber die Pflichten sind tiefgreifend (Red-Teaming, weights-Schutz, Cybersecurity). Die Praxis entwickelt sich schnell; Beobachtung des Codes of Practice und der Kommissions-Leitlinien ist unverzichtbar.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
OECD AI PrinciplesOECD. Internationaler Referenzrahmen für vertrauenswürdige KI.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
ISO/IEC 42001 — AI Management SystemISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).
Häufige Fragen
Welche Pflichten hat ein GPAI-Anbieter?
Art. 53 (technische Dokumentation, Downstream-Informationen, Urheberrechts-Zusammenfassung, Unionsurheberrecht) — seit 2. Aug. 2025. Bei systemischem Risiko zusätzlich Art. 55 (Red-Teaming, weights-Schutz, Vorfallsmeldung).
Was ist systemisches Risiko?
Art. 51: widerlegbare Vermutung ab 10²⁵ FLOPs Trainingsaufwand. Erweiterte Pflichten nach Art. 55. Einstufung durch Mitteilung, Kommission oder begründete Meldung Dritter.
Wer ist GPAI-Aufsicht?
EU AI Office (Art. 64, 88). Federführend bei GPAI. Code of Practice (Art. 56) als freiwillige Konformitätsvermutung. Sanktion bis 15 Mio. EUR / 3 % Umsatz.
KI-Compliance für General-Purpose-KI-Anbieter?
Wenn du im Sektor General-Purpose-KI-Anbieter KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.