Vorfallsmeldung GPAI: Definition und rechtliche Bedeutung (AI Act / Data Act)
Art. 55 Abs. 1 lit. c AI Act verpflichtet GPAI-Anbieter mit systemischem Risiko, schwere Vorfälle zu melden, die mit möglichen systemischen Risiken auf Unionsebene zusammenhängen, sowie mögliche Maßnahmen nach Artikel 55 Abs. 1 lit. b ergreifen. Die Pflicht ergänzt die allgemeine Vorfallsmeldung (Art. 73 für Hochrisiko) mit einer spezifischen Variante für GPAI mit systemischem Risiko. Meldepflicht: unverzüglich nach Bekanntwerden/Anerkennung, mit zeitlichen Fristen (insb. 15 Tage für schwere Vorfälle mit großer Systemrelevanz). Adressat: EU AI Office. Zuständige Aufsicht: AI Office. Beispiele: Modelle, die Cybersecurity-Lücken auslösen, Bioterror-Vorhersagen, Skaleneffekte bei Desinformation, Massenmanipulation. Die Pflicht gilt ab dem 2. August 2025.
Steve Baka
Pflicht und Abgrenzung (Art. 55 Abs. 1 lit. c)
Art. 55 Abs. 1 lit. c verpflichtet GPAI-Anbieter mit systemischem Risiko (Art. 51, ab 10²⁵ FLOPs Trainingsaufwand), schwere Vorfälle zu melden, die mit möglichen systemischen Risiken auf Unionsebene zusammenhängen. „Schwerer Vorfall" nach Art. 3 Nr. 49: Vorfälle/Fehlfunktionen, die zu wesentlichen Schäden für Gesundheit/Sicherheit/Grundrechte führen oder ernsthaft/eingriffsweit führen könnten, die Untersagung des Systems rechtfertigen könnten. Die GPAI-Variante erfasst Vorfälle mit systemischer Tragweite (Cybersecurity-Kettenreaktionen, Massen-Desinformation, Bioterror-Befähigung). Die Pflicht gilt ab dem 2. August 2025 (früher als die allgemeine Vorfallsmeldung für Hochrisiko ab 2026).
Fristen und Verfahren
Die Meldefristen nach Art. 73 Abs. 1–3 (anwendbar analog für GPAI) staffeln sich: Initial-Meldung an das AI Office unverzüglich nach Bekanntwerden/Anerkennung; eingehende Meldung schwerer Vorfälle spätestens 15 Tage nach der Initialmeldung; vollständiger Bericht spätestens 60 Tage nach der Initialmeldung (für Vorfälle, die andauern). Plus Zwischenberichte bei länger andauernden Vorfällen. Für GPAI-spezifische Vorfälle (systemische Risiken) kann das AI Office erweiterte Melde- und Koordinationspflichten festlegen. Der Anbieter muss zudem Korrekturmaßnahmen ergreifen (Art. 55 Abs. 1 lit. b) — System-Update, Output-Restriction, Usage-Policy-Verschärfung, ggf. vorübergehende Deaktivierung. Das AI Office koordiniert mit nationalen Marktüberwachungsbehörden und internationalen Partnern.
Praxis: Vorfall-Pipeline und Cybersecurity
Praktisch erforderlich: eine dokumentierte Vorfall-Pipeline, die GPAI-Vorfälle erkennt, klassifiziert, eskaliert und meldet. Komponenten: kontinuierliches Output-Monitoring (red-team Erkanntes), User-Reporting (Bug-Bounty, Trust & Safety-Meldepfade), forensische Untersuchung, Schweregrad-Klassifikation, interne Koordination (Trust & Safety, Security, Legal, Communications), Meldung ans AI Office (Formulare nach Kommissionsvorgabe), Korrekturmaßnahmen-Tracking, Post-Mortem-Bericht. Herausforderung: die Definition „systemischen Risikos" ist unbestimmt; Anbieter müssen konservativ interpretieren (im Zweifel melden). Cybersecurity- und Biosecurity-Vorfälle sind besonders zeitkritisch. Für GPAI-Anbieter ist die Vorfall-Pipeline ein Kernkompetenz-Bereich — sie ist Haftschutz, Reputations-Instrument und AI-Act-Compliance zugleich. Das AI Office entwickelt mit dem Code of Practice Standards.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Wer muss GPAI-Vorfälle melden?
GPAI-Anbieter mit systemischem Risiko (Art. 55 Abs. 1 lit. c). Schwere Vorfälle mit möglichem systemischem Risiko auf Unionsebene. Adressat: AI Office. Ab 2. Aug. 2025.
Welche Fristen gelten?
Initial-Meldung unverzüglich, eingehende Meldung schwerer Vorfälle spätestens 15 Tage, vollständiger Bericht spätestens 60 Tage. Plus Zwischenberichte bei andauernden Vorfällen.
Was ist ein „systemischer" Vorfall?
Cybersecurity-Kettenreaktionen, Massen-Desinformation, Bioterror-Befähigung. Art. 3 Nr. 49 schwerer Vorfall + systemische Tragweite. Konservativ interpretieren, im Zweifel melden.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.