glossaryDefinedTermmaschinenlesbar

Vorfallsmeldung GPAI: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Art. 55 Abs. 1 lit. c AI Act verpflichtet GPAI-Anbieter mit systemischem Risiko, schwere Vorfälle zu melden, die mit möglichen systemischen Risiken auf Unionsebene zusammenhängen, sowie mögliche Maßnahmen nach Artikel 55 Abs. 1 lit. b ergreifen. Die Pflicht ergänzt die allgemeine Vorfallsmeldung (Art. 73 für Hochrisiko) mit einer spezifischen Variante für GPAI mit systemischem Risiko. Meldepflicht: unverzüglich nach Bekanntwerden/Anerkennung, mit zeitlichen Fristen (insb. 15 Tage für schwere Vorfälle mit großer Systemrelevanz). Adressat: EU AI Office. Zuständige Aufsicht: AI Office. Beispiele: Modelle, die Cybersecurity-Lücken auslösen, Bioterror-Vorhersagen, Skaleneffekte bei Desinformation, Massenmanipulation. Die Pflicht gilt ab dem 2. August 2025.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
pflicht

Pflicht und Abgrenzung (Art. 55 Abs. 1 lit. c)

Art. 55 Abs. 1 lit. c verpflichtet GPAI-Anbieter mit systemischem Risiko (Art. 51, ab 10²⁵ FLOPs Trainingsaufwand), schwere Vorfälle zu melden, die mit möglichen systemischen Risiken auf Unionsebene zusammenhängen. „Schwerer Vorfall" nach Art. 3 Nr. 49: Vorfälle/Fehlfunktionen, die zu wesentlichen Schäden für Gesundheit/Sicherheit/Grundrechte führen oder ernsthaft/eingriffsweit führen könnten, die Untersagung des Systems rechtfertigen könnten. Die GPAI-Variante erfasst Vorfälle mit systemischer Tragweite (Cybersecurity-Kettenreaktionen, Massen-Desinformation, Bioterror-Befähigung). Die Pflicht gilt ab dem 2. August 2025 (früher als die allgemeine Vorfallsmeldung für Hochrisiko ab 2026).

fristen

Fristen und Verfahren

Die Meldefristen nach Art. 73 Abs. 1–3 (anwendbar analog für GPAI) staffeln sich: Initial-Meldung an das AI Office unverzüglich nach Bekanntwerden/Anerkennung; eingehende Meldung schwerer Vorfälle spätestens 15 Tage nach der Initialmeldung; vollständiger Bericht spätestens 60 Tage nach der Initialmeldung (für Vorfälle, die andauern). Plus Zwischenberichte bei länger andauernden Vorfällen. Für GPAI-spezifische Vorfälle (systemische Risiken) kann das AI Office erweiterte Melde- und Koordinationspflichten festlegen. Der Anbieter muss zudem Korrekturmaßnahmen ergreifen (Art. 55 Abs. 1 lit. b) — System-Update, Output-Restriction, Usage-Policy-Verschärfung, ggf. vorübergehende Deaktivierung. Das AI Office koordiniert mit nationalen Marktüberwachungsbehörden und internationalen Partnern.

praxis

Praxis: Vorfall-Pipeline und Cybersecurity

Praktisch erforderlich: eine dokumentierte Vorfall-Pipeline, die GPAI-Vorfälle erkennt, klassifiziert, eskaliert und meldet. Komponenten: kontinuierliches Output-Monitoring (red-team Erkanntes), User-Reporting (Bug-Bounty, Trust & Safety-Meldepfade), forensische Untersuchung, Schweregrad-Klassifikation, interne Koordination (Trust & Safety, Security, Legal, Communications), Meldung ans AI Office (Formulare nach Kommissionsvorgabe), Korrekturmaßnahmen-Tracking, Post-Mortem-Bericht. Herausforderung: die Definition „systemischen Risikos" ist unbestimmt; Anbieter müssen konservativ interpretieren (im Zweifel melden). Cybersecurity- und Biosecurity-Vorfälle sind besonders zeitkritisch. Für GPAI-Anbieter ist die Vorfall-Pipeline ein Kernkompetenz-Bereich — sie ist Haftschutz, Reputations-Instrument und AI-Act-Compliance zugleich. Das AI Office entwickelt mit dem Code of Practice Standards.

Sources

Quellen

FAQ

Häufige Fragen

Wer muss GPAI-Vorfälle melden?

GPAI-Anbieter mit systemischem Risiko (Art. 55 Abs. 1 lit. c). Schwere Vorfälle mit möglichem systemischem Risiko auf Unionsebene. Adressat: AI Office. Ab 2. Aug. 2025.

Welche Fristen gelten?

Initial-Meldung unverzüglich, eingehende Meldung schwerer Vorfälle spätestens 15 Tage, vollständiger Bericht spätestens 60 Tage. Plus Zwischenberichte bei andauernden Vorfällen.

Was ist ein „systemischer" Vorfall?

Cybersecurity-Kettenreaktionen, Massen-Desinformation, Bioterror-Befähigung. Art. 3 Nr. 49 schwerer Vorfall + systemische Tragweite. Konservativ interpretieren, im Zweifel melden.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related