General-Purpose-KI-Modell: Definition und rechtliche Bedeutung (AI Act / Data Act)
Ein General-Purpose-KI-Modell (GPAI) ist nach Art. 3 Nr. 63 AI Act ein KI-Modell, das eine Vielzahl von Aufgaben erfüllen kann und in eine Vielzahl nachgelagerter Systeme integriert werden kann, unabhängig davon, wie es in Verkehr gebracht wird. GPAI-Anbieter müssen seit dem 2. August 2025 technische Dokumentation, Informationen für Downstream-Anbieter und eine urheberrechtskonforme Zusammenfassung der Trainingsdaten bereitstellen (Art. 53) sowie eine Richtlinie zur Einhaltung der Urheberrechte anwenden (Art. 53 Abs. 1 lit. c). GPAI-Modelle mit systemischem Risiko (Schwelle: 10^25 FLOPs nach Art. 51 Abs. 2, Definition Art. 3 Nr. 65) unterliegen zusätzlichen Pflichten nach Art. 55: Modellbewertung, Adversarial Testing, Vorfallsmeldung und Cybersicherheit. Verhaltenskodizes (Art. 56) gelten als Konformitätsvermutung. Durch AI Omnibus 2026 wird die GPAI-Aufsicht beim EU AI Office zentralisiert (auch für KI in VLOPs/VLOSEs). Bußgeldkompetenz AI Office für GPAI seit dem 2. August 2026.
Steve Baka
Was ist ein GPAI-Modell?
Art. 3 Nr. 63 definiert GPAI als KI-Modell, das eine Vielzahl von Aufgaben erfüllen kann und in eine Vielzahl nachgelagerter Systeme integriert werden kann — unabhängig von der Art der Vermarktung. Beispiele: GPT-4, Claude, Gemini, Llama, Mistral. GPAI unterscheidet sich von spezifischen KI-Systemen durch die Breite der Fähigkeiten und die downstream-Integration.
Pflichten GPAI-Anbieter (Art. 53)
Art. 53 verpflichtet GPAI-Anbieter zu: (1) Technische Dokumentation (Anhang XII) — für das AI Office und Downstream-Anbieter; (2) Urheberrechtskonforme Zusammenfassung der Trainingsdaten (Art. 53 Abs. 1 lit. c); (3) Informationspflicht gegenüber Downstream-Anbietern (Art. 53 Abs. 1 lit. b); (4) Richtlinie zur Einhaltung von Urheberrechten (Art. 53 Abs. 1 lit. c). Pflichten seit 2. August 2025.
Pflichten bei systemischem Risiko (Art. 55)
GPAI-Modelle mit systemischem Risiko (≥ 10^25 FLOPs nach Art. 51 Abs. 2, Definition Art. 3 Nr. 65) unterliegen Art. 55: (1) Modellbewertung mit Standards und Tools (Adversarial Testing/Red-Teaming); (2) Risikominderung für Demokratie, Rechtsstaatlichkeit, öffentliche Sicherheit/Gesundheit; (3) Vorfallsmeldung an AI Office und nationale Behörden; (4) Cybersicherheitsmaßnahmen. Die Kommission kann Modelle auch unterhalb der Schwelle einstufen. Verhaltenskodizes (Art. 56) gelten als Konformitätsvermutung (z.B. EU GPAI Code of Practice 2025).
AI Omnibus 2026: Zentralisierung beim AI Office
Durch AI Omnibus 2026 wird die GPAI-Aufsicht strukturell angepasst: Die Kompetenz zur Überwachung von KI-Systemen, die auf GPAI-Modellen basieren (wenn Modell und System vom selben Anbieter), wird vollständig beim EU AI Office zentralisiert — um eine Zersplitterung durch nationale Behörden zu verhindern. Auch die Aufsicht über KI in sehr großen Online-Plattformen (VLOPs) und Suchmaschinen (VLOSEs) wird beim AI Office konzentriert. Die materiellen Grundpflichten bleiben inhaltlich bestehen. Bußgeldkompetenz AI Office für GPAI seit 2. August 2026.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Häufige Fragen
Was ist ein GPAI-Modell?
Art. 3 Nr. 63: KI-Modell, das eine Vielzahl von Aufgaben erfüllt und downstream-integriert werden kann. Beispiele: GPT-4, Claude, Gemini, Llama, Mistral.
Welche Pflichten haben GPAI-Anbieter?
Art. 53: technische Dokumentation, urheberrechtskonforme Trainingsdatenzusammenfassung, Downstream-Information, Urheberrechts-Richtlinie. Seit 2.8.2025. Bei systemischem Risiko zusätzlich Art. 55 (Modellbewertung, Adversarial Testing, Vorfallsmeldung, Cybersecurity).
Wann gilt ein GPAI-Modell als systemisch risikobehaftet?
Ab 10^25 FLOPs Trainingsrechenleistung (Vermutung nach Art. 51 Abs. 2, Definition Art. 3 Nr. 65). Kommission kann auch bei Unterschreiten einstufen.
Was hat der AI Omnibus 2026 an den GPAI-Pflichten geändert?
Materielle Pflichten bleiben. Strukturell: Zentralisierung der GPAI-Aufsicht beim EU AI Office (auch VLOPs/VLOSEs). Bußgeldkompetenz seit 2.8.2026.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.