glossaryDefinedTermmaschinenlesbar

Downstream-Anbieter-Verantwortung: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Art. 25 AI Act regelt die Verantwortung entlang der KI-Wertschöpfungskette (Verteilung der Pflichten zwischen GPAI-Anbieter, Distributoren, Importeuren, Herstellern und Downstream-Anbietern). Wer ein GPAI-Modell in ein eigenes KI-System einbettet und es unter eigenem Namen vermarktet, wird zum Anbieter des eingebetteten Systems (Art. 25 Abs. 1) und trägt die vollen Pflichten (Hochrisiko bei Anwendbarkeit). Der GPAI-Anbieter muss dem Downstream-Anbieter die notwendigen Informationen (Art. 53 Abs. 1 lit. b) geben, damit dieser eigene Pflichten erfüllen kann. Distributoren, Importeure und andere Akteure tragen spezifische Sorgfaltspflichten (Verifizierung der Konformität, Kooperationspflichten). Die Regel sichert, dass Pflichten auf der Stufe erfüllt werden, die sie am besten kontrollieren kann.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
verteilung

Pflichtenverteilung (Art. 25)

Art. 25 verteilt die Pflichten entlang der Wertschöpfungskette: (1) GPAI-Anbieter (Foundation-Modell-Anbieter) — erfüllen Art. 53 (technische Dokumentation, Downstream-Information, Urheberrechts-Zusammenfassung), Art. 55 bei systemischem Risiko. (2) Downstream-Anbieter, die das GPAI-Modell einbetten und unter eigenem Namen vermarkten — werden zum Anbieter des Gesamtsystems (Art. 25 Abs. 1) mit vollen Pflichten (Hochrisiko bei Anwendbarkeit). (3) Distributoren/Importeure/Vertriebe — Sorgfaltspflichten: Verifizierung der Konformität/CE/Dokumentation, Verweigerung der Vermarktung bei Anzeichen von Nicht-Konformität, Meldung an Behörden. (4) Hersteller von Nicht-KI-Produkten, die KI einbetten — werden zum Anbieter des Gesamtprodukts.

schnittstelle

Schnittstelle GPAI – Downstream

Die kritische Schnittstelle ist die GPAI–Downstream-Beziehung. Der GPAI-Anbieter muss dem Downstream-Anbieter Informationen geben (Art. 53 Abs. 1 lit. b), die dieser braucht, um eigene Pflichten zu erfüllen: Test-/Eval-Ergebnisse, bekannte Schwächen/Bias, Verwendungsgrenzen, Upstream-Haftungsausschlüsse. Der Downstream-Anbieter (z. B. ein Startup, das auf GPT/Claude/Gemini aufbaut) muss: diese Informationen verarbeiten, eigene Risikobewertung durchführen, das Gesamtsystem prüfen (Hochrisiko-Einstufung, Verbote, Transparenz), Anbieter-Pflichten erfüllen. Praktisch: der Vertrag GPAI-Anbieter ↔ Downstream-Anbieter muss Informationsfluss, Nutzungslizenzen, Haftung, Updates, Incident-Sharing regeln. Ohne diese Vertragsgestaltung kann der Downstream-Anbieter die Pflichten nicht erfüllen — Haftungs- und Compliance-Risiko.

praxis

Praxis: Vertragsgestaltung und Verteilung

Praktisch relevant für Downstream-Anbieter (Consumer-Assistenten, Enterprise-KI, eingebettete Anwendungen): (1) Vertrag mit GPAI-Anbieter — klare Informations-/Upstream-/Downstream-Pflichten, Haftungsbegrenzung, Incident-Sharing, Update-Mechanismen, Beendigung. (2) Eigene Risikobewertung — Hochrisiko-Einstufung des eingebetteten Systems (z. B. Recruiting-KI, die auf einem GPAI-Modell aufbaut), Verbote-Prüfung, Transparenz. (3) Eigene Pflichten — Art. 8–15 bei Hochrisiko, eigene Konformitätsbewertung, CE, Registrierung. (4) Dokumentation — Vertragsnachweise, Downstream-Informationen, Risikobewertung. Überlagert: allgemeine Vertragsgestaltung (AGB-Recht), Auftragsverarbeitung (DSGVO Art. 28), Haftung (AILD, Produkthaftung). Für den GPAI-Anbieter: saubere Vertragsgestaltung mit allen Downstream-Anbietern, klare Verantwortungsverteilung, Incident-Response-Koordination. Die Verteilung ist rechtlich komplex — Beratung empfohlen.

Sources

Quellen

FAQ

Häufige Fragen

Wer wird Anbieter eines eingebetteten GPAI-Systems?

Der Downstream-Anbieter, der das GPAI-Modell einbettet und unter eigenem Namen vermarktet (Art. 25 Abs. 1). Volle Anbieter-Pflichten (Hochrisiko bei Anwendbarkeit).

Was muss der GPAI-Anbieter dem Downstream-Anbieter geben?

Informationen nach Art. 53 Abs. 1 lit. b: Test-/Eval-Ergebnisse, Schwächen/Bias, Verwendungsgrenzen. Damit kann der Downstream-Anbieter eigene Pflichten erfüllen.

Wie wird das vertraglich geregelt?

Vertrag GPAI-Anbieter ↔ Downstream-Anbieter: Informationsfluss, Nutzungslizenzen, Haftung, Updates, Incident-Sharing, Beendigung. Plus Auftragsverarbeitung (DSGVO Art. 28), AILD/Produkthaftung.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related