AI PlaybookEU

GPAI-Modelle nach Art. 51–56 EU AI Act

Was sind General Purpose AI (GPAI)-Modelle nach dem EU AI Act? Überblick über Definition, Pflichten für Anbieter, systemisches Risiko, FLOPs-Schwelle und praktische Auswirkungen für Unternehmen, die LLMs nutzen.

11. Februar 20264 min read
EU AI ActGPAIGeneral Purpose AILLMSystemisches RisikoCompliance

Überblick

Mit den Regelungen zu General Purpose AI (GPAI) reagiert der EU AI Act auf eine neue Generation leistungsstarker Basismodelle – insbesondere große Sprachmodelle (LLMs), multimodale Modelle und Foundation Models.

Diese Modelle werden nicht für einen einzelnen Zweck entwickelt, sondern können für eine Vielzahl von Anwendungen eingesetzt werden. Genau darin liegt ihr regulatorisches Risiko: Sie bilden die Grundlage für zahlreiche downstream-Systeme, darunter auch Hochrisiko-KI.

Dieser Beitrag erläutert:

  • Was ein GPAI-Modell ist
  • Wann zusätzliche Pflichten gelten
  • Was „systemisches Risiko" bedeutet
  • Welche Anforderungen Anbieter erfüllen müssen
  • Welche Auswirkungen sich für Unternehmen ergeben, die LLMs per API nutzen

Was ist ein GPAI-Modell?

Ein GPAI-Modell ist ein KI-Modell, das:

  • auf einer breiten Datenbasis trainiert wurde
  • vielseitig einsetzbar ist
  • nicht auf eine einzelne spezifische Aufgabe beschränkt ist
  • in unterschiedlichen Kontexten integriert werden kann

Typische Beispiele:

  • Große Sprachmodelle (LLMs)
  • Multimodale Foundation Models
  • Bildgenerierungsmodelle
  • Code-Modelle

Abgrenzung

Nicht jede KI-Anwendung ist ein GPAI-Modell. Ein spezialisiertes Kreditscoring-Modell ist kein GPAI – ein universell einsetzbares Sprachmodell hingegen schon.

Zwei Regulierungsstufen bei GPAI

Der AI Act unterscheidet zwischen:

KategorieKriterienPflichten
Standard-GPAIUniversell einsetzbarDokumentation, Transparenz
GPAI mit systemischem RisikoRechenleistung > 10^25 FLOPs oder gleichwertige SchwelleErweiterte Sicherheits- & Evaluationspflichten

GPAI mit systemischem Risiko

Ein Modell gilt als systemisch riskant, wenn es:

  • außergewöhnlich leistungsfähig ist
  • breite gesellschaftliche Auswirkungen haben kann
  • erhebliche Sicherheitsrisiken birgt

Die FLOPs-Schwelle (>10^25) dient als technischer Indikator für Trainingskomplexität.

Technische Schwelle

Die FLOPs-Grenze ist ein Richtwert. Auch Modelle unterhalb dieser Schwelle können als systemisch eingestuft werden, wenn sie vergleichbare Fähigkeiten besitzen.

Pflichten für Anbieter von Standard-GPAI

Anbieter müssen:

  1. Technische Dokumentation erstellen
  2. Eine Zusammenfassung der Trainingsdaten veröffentlichen
  3. Urheberrechtspolitiken implementieren
  4. Downstream-Anbieter unterstützen

Technische Dokumentation umfasst:

  • Modellarchitektur
  • Trainingsmethodik
  • Evaluationsverfahren
  • Leistungskennzahlen
  • Bekannte Risiken

Zusätzliche Pflichten bei systemischem Risiko

Anbieter systemischer GPAI-Modelle müssen zusätzlich:

  1. Modell-Evaluierungen durchführen
  2. Adversarial Testing implementieren
  3. Cybersicherheitsmaßnahmen verstärken
  4. Incident-Reporting etablieren
  5. Risikoanalysen dokumentieren

Ziel ist es, Missbrauch, Desinformation oder Sicherheitsrisiken zu minimieren.

Erhöhte Sorgfaltspflicht

Systemische GPAI-Anbieter unterliegen einem besonders strengen regulatorischen Überwachungsregime.

Verhältnis zu Hochrisiko-Systemen

Ein GPAI-Modell selbst ist nicht automatisch ein Hochrisiko-System.

Aber: Wird ein GPAI-Modell in ein Hochrisiko-KI-System integriert, gelten zusätzlich die Hochrisiko-Pflichten für das Gesamtsystem.

Beispiel: Ein Sprachmodell wird in ein Recruiting-System eingebaut — Das Gesamtsystem kann Hochrisiko sein, auch wenn das Basismodell GPAI ist.

Was bedeutet das für API-Nutzer?

Unternehmen, die ein LLM per API nutzen:

  • sind in der Regel nicht Anbieter des GPAI-Modells
  • können aber Anbieter oder Betreiber eines Hochrisiko-Systems werden
  • tragen eigene Dokumentations- und Transparenzpflichten

Wichtig für Unternehmen

Die Nutzung eines externen LLM entbindet nicht von eigenen Compliance-Pflichten.

Typische Fehlannahmen

AnnahmeRealität
„Der LLM-Anbieter ist verantwortlich"Nur für das Basismodell
„API-Nutzung = keine Pflichten"Betreiberpflichten bleiben
„Open Source ist unreguliert"Kommerzielle Bereitstellung kann Anbieterpflicht auslösen

Codes of Practice

Für GPAI sind freiwillige Verhaltenskodizes vorgesehen.

Diese können:

  • Standardisierungen schaffen
  • Compliance vereinfachen
  • Marktvertrauen erhöhen

Sie ersetzen jedoch nicht gesetzliche Pflichten.

Praktische Umsetzung für Unternehmen

Schritt 1 – Rollenanalyse

  • Nutzen wir nur ein externes Modell?
  • Modifizieren wir es?
  • Trainieren wir es weiter?

Schritt 2 – Dokumentationsprüfung

  • Haben wir Zweckbestimmung dokumentiert?
  • Ist klar, wie das Modell integriert wird?
  • Sind Risiken bewertet?

Schritt 3 – Downstream-Risikoanalyse

  • In welchem Kontext wird das Modell eingesetzt?
  • Fällt das Gesamtsystem unter Anhang III?
  • Bestehen DSGVO-Schnittstellen?

Verbindung zur DSGVO

GPAI-Modelle können:

  • personenbezogene Daten enthalten
  • personenbezogene Daten generieren
  • Trainingsdaten aus Web-Scraping verwenden

Relevante DSGVO-Fragen:

  • Rechtsgrundlage für Training
  • Betroffenenrechte
  • Richtigkeit der Ausgaben
  • Drittlandtransfers

Strategische Bedeutung

GPAI-Regulierung ist politisch besonders sensibel.

Unternehmen sollten:

  • technologische Abhängigkeiten prüfen
  • Dokumentationspflichten frühzeitig umsetzen
  • Governance-Strukturen etablieren

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Etwas Neuartiges oder Hochriskantes?

Kollaborieren Sie mit Creativate AI Studio und einem Netzwerk von Branchenexperten und Deep-Tech-Forschern, um fortgeschrittene KI-Systeme zu erforschen, zu prototypisieren und zu validieren.

F&E-Zusammenarbeit erkundenPilotprojekt besprechen

Nächste Schritte

  1. Prüfen Sie, ob Sie Anbieter oder Nutzer eines GPAI-Modells sind.
  2. Dokumentieren Sie Integrations- und Verwendungszweck.
  3. Bewerten Sie Downstream-Risiken.
  4. Prüfen Sie mögliche Hochrisiko-Einstufungen.
  5. Integrieren Sie GPAI-Governance in Ihr Compliance-System.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

EU AI Act

Übergangsfristen & Zeitplan des EU AI Act

Detaillierte Übersicht über Inkrafttreten, Übergangsfristen und Anwendungszeitpunkte des EU AI Act – inklusive konkreter Handlungsempfehlungen für Unternehmen.

Lesen

EU AI Act

Pflichten der Anbieter nach Art. 16–25 EU AI Act

Welche rechtlichen und organisatorischen Pflichten treffen Anbieter von KI-Systemen nach dem EU AI Act? Überblick über Qualitätsmanagement, technische Dokumentation, Logging, Transparenz, CE-Kennzeichnung und Post-Market Monitoring.

Lesen

EU AI Act

Hochrisiko-KI-Systeme nach Anhang III EU AI Act

Welche KI-Systeme gelten als Hochrisiko nach dem EU AI Act? Vollständige Übersicht der Anhang-III-Bereiche, Ausnahmen nach Art. 6 Abs. 3 und alle Compliance-Pflichten für Anbieter und Betreiber.

Lesen