GPAI nach AI Act: Pflichten für Basismodelle

Das Wichtigste in Kürze

General Purpose AI (GPAI) bezeichnet KI-Modelle mit allgemeinem Verwendungszweck, die für eine Vielzahl von Aufgaben eingesetzt werden können -- etwa Large Language Models wie GPT-4, Claude oder Gemini.

Der AI Act (VO (EU) 2024/1689) reguliert GPAI-Modelle erstmals in Kapitel V (Art. 51--56) und unterscheidet zwei Stufen: allgemeine Pflichten für alle GPAI-Modelle und verschärfte Pflichten für Modelle mit systemischem Risiko.

Alle GPAI-Anbieter müssen technische Dokumentation, eine Zusammenfassung der Trainingsdaten und Informationen zur Urheberrechtskonformität bereitstellen.

GPAI-Modelle mit systemischem Risiko (ab 10²⁵ FLOPS Rechenleistung) unterliegen zusätzlich Pflichten zu Modellbewertung, Adversarial Testing, Incident Reporting und Cybersicherheit.

Für Open-Source-Modelle gelten erleichterte Anforderungen (Art. 53 Abs. 2), es sei denn, sie weisen systemisches Risiko auf.

Unternehmen, die GPAI-basierte Systeme nutzen (als Betreiber), müssen eigene Pflichten nach Art. 26 und Art. 50 beachten.

Die GPAI-Regelungen gelten bereits seit August 2025.

Warum GPAI eine eigene Regulierung braucht

ChatGPT, Claude, Gemini, Llama, Mistral -- die bekanntesten KI-Anwendungen unserer Zeit basieren auf einem gemeinsamen Konzept: General Purpose AI-Modellen (GPAI). Anders als spezialisierte KI-Systeme, die für genau eine Aufgabe trainiert wurden -- etwa Bilderkennung in der Qualitätskontrolle oder Betrugserkennung im Zahlungsverkehr --, können GPAI-Modelle eine nahezu unbegrenzte Vielfalt von Aufgaben ausführen. Sie schreiben Texte, übersetzen Sprachen, analysieren Daten, generieren Code und vieles mehr.

Genau diese Vielseitigkeit macht sie aus regulatorischer Sicht besonders herausfordernd. Wenn ein Modell für Millionen unterschiedlicher Anwendungen eingesetzt werden kann, lässt sich zum Zeitpunkt der Entwicklung kaum vorhersagen, welche konkreten Risiken es in der Praxis verursachen wird. Ein und dasselbe Sprachmodell kann harmlose Gedichte schreiben -- oder Desinformation erzeugen, bei medizinischen Fragen fehlerhafte Ratschläge geben oder für Social Engineering missbraucht werden.

Der EU-Gesetzgeber hat deshalb mit Kapitel V des AI Act (Art. 51--56 VO (EU) 2024/1689) einen eigenen Regelungsrahmen für GPAI-Modelle geschaffen. Dieser ergänzt die risikobasierte Klassifizierung von KI-Systemen um eine modellzentrierte Regulierung, die direkt bei den Entwicklern und Anbietern der Basismodelle ansetzt.

Dieser Artikel erklärt, was GPAI rechtlich bedeutet, welche Pflichten für Anbieter und Nutzer gelten und was Unternehmen jetzt beachten müssen.

Was ist GPAI? Die Definition nach Art. 3 Nr. 63

Art. 3 Nr. 63 VO (EU) 2024/1689 definiert ein KI-Modell mit allgemeinem Verwendungszweck (General Purpose AI Model) wie folgt:

„ein KI-Modell -- auch wenn es mit einer großen Datenmenge unter umfassender Selbstüberwachung trainiert wurde --, das eine erhebliche allgemeine Verwendbarkeit aufweist und in der Lage ist, unabhängig von der Art und Weise, in der das Modell in Verkehr gebracht wird, ein breites Spektrum unterschiedlicher Aufgaben kompetent auszuführen, und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann."

-- Art. 3 Nr. 63 VO (EU) 2024/1689

Die Definition hebt drei entscheidende Merkmale hervor:

Erhebliche allgemeine Verwendbarkeit: Das Modell ist nicht auf einen einzigen Anwendungsfall beschränkt, sondern kann für viele verschiedene Aufgaben genutzt werden.
Breites Aufgabenspektrum: Es kann unterschiedlichste Aufgaben „kompetent" ausführen -- von Textgenerierung über Übersetzung bis hin zur Datenanalyse.
Integrierbarkeit: Das Modell kann in eine Vielzahl nachgelagerter Systeme oder Anwendungen eingebaut werden.

Wichtige Abgrenzung: KI-Modell vs. KI-System

Ein häufiges Missverständnis besteht in der Verwechslung von GPAI-Modell und KI-System. Der AI Act unterscheidet diese Begriffe bewusst:

Merkmal	KI-Modell (GPAI)	KI-System
Was ist es?	Das trainierte Grundmodell (z. B. GPT-4, Claude 3.5)	Eine Anwendung, die ein oder mehrere Modelle nutzt (z. B. ChatGPT, ein KI-Chatbot)
Eigenständig nutzbar?	Nicht direkt -- benötigt eine Benutzeroberfläche oder API-Integration	Ja -- interagiert direkt mit Nutzern oder Umgebungen
Regulierung	Kapitel V (Art. 51--56)	Risikobasierte Klassifizierung (Art. 5--27)
Wer ist verantwortlich?	Modellanbieter (z. B. OpenAI, Anthropic, Google)	Anbieter und Betreiber des Systems

Beispiel: GPT-4 ist ein GPAI-Modell. ChatGPT -- das GPT-4 mit einer Benutzeroberfläche, Sicherheitsfiltern und Systemanweisungen kombiniert -- ist ein KI-System. Beide unterliegen unterschiedlichen Regelungen des AI Act.

Die zwei Stufen der GPAI-Regulierung

Der AI Act verfolgt bei GPAI einen abgestuften Ansatz: Für alle GPAI-Modelle gelten Grundpflichten, für besonders leistungsfähige Modelle mit systemischem Risiko kommen verschärfte Anforderungen hinzu.

Stufe 1: Pflichten für alle GPAI-Modelle (Art. 51 Abs. 1)

Jeder Anbieter, der ein GPAI-Modell in der EU in Verkehr bringt -- unabhängig von dessen Größe oder Leistungsfähigkeit --, muss folgende Grundpflichten erfüllen:

Technische Dokumentation (Art. 53 Abs. 1 lit. a)

Der Anbieter muss eine umfassende technische Dokumentation erstellen und auf dem neuesten Stand halten. Diese muss hinreichend detailliert sein, damit nachgelagerte Anbieter (die das Modell in ihre Systeme integrieren) die Fähigkeiten und Grenzen des Modells verstehen können. Anhang XI VO (EU) 2024/1689 legt fest, welche Informationen die Dokumentation mindestens enthalten muss -- darunter:

eine allgemeine Beschreibung des Modells
Informationen zum Trainingsprozess und zur Trainingsinfrastruktur
die relevanten Rechenressourcen
Informationen zu Bewertungsergebnissen

Informationen für nachgelagerte Anbieter (Art. 53 Abs. 1 lit. b)

Wer ein GPAI-Modell bereitstellt, muss nachgelagerten Anbietern -- also Unternehmen, die das Modell in ihre eigenen Produkte integrieren -- ausreichende Informationen und Dokumentation zur Verfügung stellen. Dies soll sicherstellen, dass nachgelagerte Anbieter ihre eigenen Pflichten aus dem AI Act erfüllen können, insbesondere bei der Integration in Hochrisiko-Systeme.

Urheberrechtskonformität (Art. 53 Abs. 1 lit. c)

Anbieter müssen eine Strategie einführen, um die Einhaltung des EU-Urheberrechts sicherzustellen -- insbesondere der Text-und-Data-Mining-Ausnahmen gemäß Art. 4 der Urheberrechts-Richtlinie (EU) 2019/790. Sie müssen zudem Opt-out-Mechanismen von Rechteinhabern respektieren.

Zusammenfassung der Trainingsdaten (Art. 53 Abs. 1 lit. d)

Anbieter müssen eine hinreichend detaillierte Zusammenfassung der zum Training verwendeten Inhalte erstellen und öffentlich zugänglich machen. Das AI Office hat hierfür eine Vorlage erstellt. Ziel ist Transparenz über die Datengrundlage, ohne Geschäftsgeheimnisse preiszugeben.

Stufe 2: Zusätzliche Pflichten bei systemischem Risiko (Art. 51 Abs. 2)

Für GPAI-Modelle, die als Modelle mit systemischem Risiko eingestuft werden, gelten über die Grundpflichten hinaus verschärfte Anforderungen:

Modellbewertung (Art. 55 Abs. 1 lit. a)

Anbieter müssen standardisierte Modellbewertungen durchführen, einschließlich Benchmarks und Tests, um die Fähigkeiten und Grenzen des Modells systematisch zu evaluieren. Dies umfasst auch die Bewertung potenzieller systemischer Risiken.

Adversarial Testing (Art. 55 Abs. 1 lit. b)

Es sind gezielte gegnerische Tests (Red Teaming) durchzuführen, um Schwachstellen, Sicherheitsrisiken und Missbrauchspotenziale des Modells zu identifizieren. Adversarial Testing geht über normale Qualitätstests hinaus und simuliert bewusst bösartige Nutzungsszenarien.

Incident Reporting (Art. 55 Abs. 1 lit. c)

Anbieter müssen schwerwiegende Vorfälle, die mit dem GPAI-Modell in Zusammenhang stehen, verfolgen, dokumentieren und unverzüglich an das AI Office und die zuständigen nationalen Behörden melden. Dies umfasst auch die Ergreifung geeigneter Korrekturmaßnahmen.

Cybersicherheit (Art. 55 Abs. 1 lit. d)

Es müssen angemessene Maßnahmen zur Gewährleistung der Cybersicherheit des Modells und der zugrundeliegenden Infrastruktur getroffen werden. Dies betrifft sowohl den Schutz der Modellgewichte als auch die Absicherung der Trainings- und Inferenzinfrastruktur.

Übersicht: Pflichten im Vergleich

Pflicht	Alle GPAI-Modelle	Systemisches Risiko	Rechtsgrundlage
Technische Dokumentation	✓	✓	Art. 53 Abs. 1 lit. a
Informationen für nachgelagerte Anbieter	✓	✓	Art. 53 Abs. 1 lit. b
Urheberrechts-Compliance	✓	✓	Art. 53 Abs. 1 lit. c
Zusammenfassung Trainingsdaten	✓	✓	Art. 53 Abs. 1 lit. d
Standardisierte Modellbewertung	✗	✓	Art. 55 Abs. 1 lit. a
Adversarial Testing / Red Teaming	✗	✓	Art. 55 Abs. 1 lit. b
Incident Reporting an AI Office	✗	✓	Art. 55 Abs. 1 lit. c
Cybersicherheitsmaßnahmen	✗	✓	Art. 55 Abs. 1 lit. d

Wann hat ein GPAI-Modell systemisches Risiko?

Art. 51 Abs. 2 VO (EU) 2024/1689 legt fest, wann ein GPAI-Modell als Modell mit systemischem Risiko gilt. Es gibt zwei Wege zur Einstufung:

Weg 1: Die 10²⁵-FLOPS-Schwelle

Ein GPAI-Modell wird automatisch als Modell mit systemischem Risiko eingestuft, wenn die kumulative Rechenleistung, die für sein Training aufgewendet wurde, den Schwellenwert von 10²⁵ FLOPS (Gleitkommaoperationen) überschreitet.

Dieser rein quantitative Schwellenwert wurde vom EU-Gesetzgeber als Indikator gewählt, weil die Rechenleistung beim Training stark mit den Fähigkeiten -- und damit den potenziellen Risiken -- eines Modells korreliert. Zum Zeitpunkt der Verabschiedung des AI Act überschritten nur die leistungsfähigsten Modelle der größten Anbieter diese Schwelle.

Wichtig: Die Europäische Kommission kann diesen Schwellenwert durch delegierte Rechtsakte anpassen, um mit der technologischen Entwicklung Schritt zu halten (Art. 51 Abs. 3). Da die Trainingskosten sinken und die Rechenkapazitäten steigen, ist eine künftige Absenkung oder Ergänzung um weitere Kriterien durchaus wahrscheinlich.

Weg 2: Kommissionsentscheidung

Unabhängig von der FLOPS-Schwelle kann die Europäische Kommission ein GPAI-Modell per Beschluss als Modell mit systemischem Risiko einstufen, wenn es über Fähigkeiten oder Auswirkungen verfügt, die denen von Modellen oberhalb der Schwelle gleichkommen. Dabei berücksichtigt die Kommission Kriterien aus Anhang XIII VO (EU) 2024/1689, darunter:

die Anzahl der Parameter des Modells
die Qualität und Größe des Trainingsdatensatzes
die Anzahl der registrierten Nutzer
die Eingabe- und Ausgabemodalitäten
Benchmarkergebnisse

Dieser zweite Weg stellt sicher, dass auch Modelle erfasst werden, die zwar unter der FLOPS-Schwelle trainiert wurden, aber durch besonders effiziente Trainingsmethoden oder hochwertige Daten dennoch vergleichbare Fähigkeiten erreichen.

Bekannte GPAI-Modelle und ihre Einstufung

Die folgende Tabelle gibt einen Überblick über die bekanntesten GPAI-Modelle und ihre voraussichtliche Einstufung (Stand: März 2026):

Modell	Anbieter	Systemisches Risiko?
GPT-4 / GPT-4o	OpenAI	Ja -- Training über 10²⁵ FLOPS
GPT-3.5	OpenAI	Nein -- unter der Schwelle
Claude 3.5 / Claude 4	Anthropic	Ja -- Training über 10²⁵ FLOPS
Gemini Ultra / Gemini 1.5 Pro	Google DeepMind	Ja -- Training über 10²⁵ FLOPS
Llama 3.1 405B	Meta	Ja -- Training über 10²⁵ FLOPS
Llama 3.1 70B / 8B	Meta	Nein -- unter der Schwelle
Mistral Large	Mistral AI	Wahrscheinlich nein -- knapp unter der Schwelle
Mistral 7B	Mistral AI	Nein -- deutlich unter der Schwelle
Stable Diffusion XL	Stability AI	Nein -- unter der Schwelle

Hinweis: Die genauen Trainingsdaten sind nicht immer öffentlich. Die Einstufung kann sich ändern, wenn die Kommission weitere Modelle per Beschluss einstuft oder den FLOPS-Schwellenwert anpasst.

Die Open-Source-Ausnahme (Art. 53 Abs. 2)

Der AI Act enthält eine wichtige Erleichterung für Open-Source-GPAI-Modelle. Nach Art. 53 Abs. 2 gelten für Anbieter, die ein GPAI-Modell unter einer freien und offenen Lizenz veröffentlichen, nur eingeschränkte Pflichten:

Sie müssen lediglich die Urheberrechts-Compliance (Art. 53 Abs. 1 lit. c) einhalten und
die Zusammenfassung der Trainingsdaten (Art. 53 Abs. 1 lit. d) veröffentlichen.

Die weitergehenden Pflichten zur technischen Dokumentation und zu Informationen für nachgelagerte Anbieter entfallen. Der Gesetzgeber wollte damit die Open-Source-Innovation in Europa fördern und verhindern, dass hohe Compliance-Kosten kleinere Open-Source-Projekte unwirtschaftlich machen.

Grenzen der Ausnahme

Die Open-Source-Erleichterung hat zwei wichtige Einschränkungen:

Kein Freibrief bei systemischem Risiko: Wenn ein Open-Source-Modell die 10²⁵-FLOPS-Schwelle überschreitet oder per Kommissionsbeschluss als Modell mit systemischem Risiko eingestuft wird, gelten alle verschärften Pflichten der Stufe 2 -- ungeachtet der Lizenz. Dies betrifft beispielsweise Metas Llama-3.1-405B-Modell.
Definition „freie und offene Lizenz": Die Erleichterung gilt nur für Modelle, deren Parameter, einschließlich der Gewichte, der Informationen über die Modellarchitektur und der Informationen über die Modellnutzung, öffentlich zugänglich gemacht werden. Modelle, die zwar als „Open Source" vermarktet werden, deren Gewichte aber nur eingeschränkt nutzbar sind, könnten von der Ausnahme ausgeschlossen sein.

Codes of Practice (Art. 56)

Art. 56 VO (EU) 2024/1689 sieht vor, dass das AI Office Codes of Practice (Verhaltenskodizes) fördert und erleichtert, um die ordnungsgemäße Anwendung der GPAI-Pflichten zu unterstützen. Diese Codes of Practice sind ein zentrales Element der GPAI-Regulierung, da sie die abstrakten gesetzlichen Pflichten in konkrete, praktische Handlungsanweisungen übersetzen.

Wie funktionieren die Codes of Practice?

Das AI Office koordiniert die Erstellung der Codes of Practice unter Einbeziehung von GPAI-Anbietern, nachgelagerten Anbietern, Zivilgesellschaft, Wissenschaft und anderen Stakeholdern.
Die Codes of Practice können detaillierte Vorgaben enthalten, etwa zur Form der technischen Dokumentation, zur Durchführung von Modellbewertungen oder zur Gestaltung von Zusammenfassungen der Trainingsdaten.
Die Einhaltung eines anerkannten Code of Practice schafft eine Konformitätsvermutung: Wer einen solchen Code befolgt, kann davon ausgehen, dass er die entsprechenden gesetzlichen Pflichten erfüllt.
Anbieter sind nicht verpflichtet, einem Code of Practice beizutreten. Wer dies nicht tut, muss jedoch auf andere Weise nachweisen, dass er die gesetzlichen Anforderungen gleichwertig erfüllt.

Der erste GPAI Code of Practice wurde vom AI Office im Laufe des Jahres 2025 erarbeitet und veröffentlicht. Unternehmen sollten die Entwicklung dieser Codes aufmerksam verfolgen, da sie die praktische Umsetzung der GPAI-Pflichten maßgeblich prägen.

Was bedeutet GPAI für Unternehmen, die es nutzen?

Bis hierher hat sich dieser Artikel auf die Pflichten der Anbieter von GPAI-Modellen konzentriert -- also auf Unternehmen wie OpenAI, Anthropic, Google oder Meta, die die Modelle entwickeln und bereitstellen. Doch was gilt für Unternehmen, die GPAI-basierte Systeme einsetzen?

Betreiberpflichten nach Art. 26

Unternehmen, die ein KI-System nutzen, das auf einem GPAI-Modell basiert, gelten als Betreiber (Deployer) im Sinne des AI Act. Für sie gelten die allgemeinen Betreiberpflichten nach Art. 26 VO (EU) 2024/1689, darunter:

Bestimmungsgemäße Verwendung: Das System darf nur entsprechend den Anweisungen des Anbieters eingesetzt werden (Art. 26 Abs. 1).
Menschliche Aufsicht: Der Betreiber muss sicherstellen, dass natürliche Personen die Aufsicht über das KI-System führen können (Art. 26 Abs. 2).
Eingabedatenrelevanz: Soweit der Betreiber Kontrolle über die Eingabedaten hat, muss er sicherstellen, dass diese dem Verwendungszweck angemessen und hinreichend repräsentativ sind (Art. 26 Abs. 4).
Überwachung: Der Betreiber muss den Betrieb des KI-Systems überwachen und bei Risiken den Anbieter oder Händler informieren (Art. 26 Abs. 5).

Transparenzpflichten nach Art. 50

Besonders relevant für Unternehmen, die GPAI-basierte Systeme einsetzen, sind die Transparenzpflichten nach Art. 50 VO (EU) 2024/1689:

KI-generierte Inhalte kennzeichnen (Art. 50 Abs. 2): Anbieter von KI-Systemen, die synthetische Inhalte erzeugen (Text, Bild, Audio, Video), müssen sicherstellen, dass die Ausgaben maschinenlesbar als KI-generiert gekennzeichnet werden.
Chatbot-Transparenz (Art. 50 Abs. 1): Betreiber müssen natürliche Personen darüber informieren, dass sie mit einem KI-System interagieren -- es sei denn, dies ist offensichtlich.
Deep-Fake-Kennzeichnung (Art. 50 Abs. 4): Wer Deep Fakes veröffentlicht, muss offenlegen, dass der Inhalt künstlich erzeugt oder manipuliert wurde.

Praxisbeispiel: Unternehmen nutzt ChatGPT im Kundenservice

Ein mittelständisches Unternehmen setzt ChatGPT (basierend auf GPT-4) als Chatbot im Kundenservice ein. Folgende Pflichten ergeben sich:

Art. 50 Abs. 1: Kunden müssen darüber informiert werden, dass sie mit einer KI kommunizieren.
Art. 26 Abs. 1: Das System darf nur für den vorgesehenen Zweck (Kundenservice) eingesetzt werden, nicht z. B. für automatisierte Kreditentscheidungen.
Art. 26 Abs. 2: Mitarbeiter müssen die KI-Antworten überwachen und bei Bedarf eingreifen können.
Art. 4: Alle Mitarbeiter, die mit dem System arbeiten, müssen über ausreichende KI-Kompetenz verfügen.

Fristen: GPAI-Regelungen gelten seit August 2025

Die GPAI-Bestimmungen in Kapitel V gehörten zu den Regelungen des AI Act mit der kürzesten Übergangsfrist. Der zeitliche Ablauf:

Datum	Ereignis
1. August 2024	AI Act tritt in Kraft
2. Februar 2025	Verbotene KI-Praktiken (Art. 5) und KI-Kompetenz (Art. 4) gelten
2. August 2025	GPAI-Pflichten (Kapitel V) gelten
2. August 2026	Hochrisiko-Pflichten und übrige Vorschriften gelten

Seit dem 2. August 2025 müssen also alle Anbieter von GPAI-Modellen, die in der EU verfügbar sind, die oben beschriebenen Pflichten vollständig erfüllen. Für Modelle, die vor diesem Datum bereits in Verkehr gebracht wurden, gilt eine Übergangsfrist bis zum 2. August 2027, sofern sie nicht wesentlich verändert werden.

Handlungsbedarf jetzt: Unternehmen, die GPAI-Modelle in ihren Produkten oder Dienstleistungen einsetzen, sollten bereits heute sicherstellen, dass sie die technische Dokumentation ihrer Modellanbieter erhalten haben und ihre eigenen Betreiberpflichten einhalten. Wer wartet, riskiert Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes (Art. 101 VO (EU) 2024/1689).

Häufig gestellte Fragen (FAQ)

Was ist der Unterschied zwischen GPAI und AGI?

GPAI (General Purpose AI) bezeichnet KI-Modelle, die für viele verschiedene Aufgaben eingesetzt werden können -- etwa Large Language Models. Es handelt sich um eine rechtliche Kategorie des AI Act. AGI (Artificial General Intelligence) hingegen bezeichnet eine hypothetische KI, die menschliche Intelligenz in allen Bereichen erreicht oder übertrifft. AGI existiert derzeit nicht und ist kein Begriff des AI Act. GPAI-Modelle wie GPT-4 oder Claude sind leistungsfähig, aber keine AGI.

Wer ist für die GPAI-Compliance verantwortlich -- der Modellanbieter oder der Betreiber?

Beide tragen Verantwortung, aber auf unterschiedlichen Ebenen. Der Modellanbieter (z. B. OpenAI, Anthropic) ist für die Einhaltung der Kapitel-V-Pflichten verantwortlich: technische Dokumentation, Trainingsdaten-Zusammenfassung, Urheberrechts-Compliance und -- bei systemischem Risiko -- Modellbewertung und Adversarial Testing. Der Betreiber (das nutzende Unternehmen) muss die Betreiberpflichten nach Art. 26 einhalten, einschließlich bestimmungsgemäßer Verwendung, menschlicher Aufsicht und Überwachung. Beide Seiten müssen also aktiv werden.

Muss mein Unternehmen etwas tun, wenn wir nur die API von OpenAI oder Anthropic nutzen?

Ja. Auch wenn die Kapitel-V-Pflichten primär den Modellanbieter treffen, gelten für Ihr Unternehmen als Betreiber die Pflichten nach Art. 26 und Art. 50 VO (EU) 2024/1689. Konkret müssen Sie unter anderem sicherstellen, dass KI-generierte Inhalte gekennzeichnet werden, Nutzer über die KI-Interaktion informiert werden und Ihre Mitarbeiter über die nötige KI-Kompetenz verfügen (Art. 4). Wenn Sie das GPAI-Modell in ein eigenes Produkt integrieren und als KI-System anbieten, werden Sie zudem zum Anbieter dieses Systems und tragen weitergehende Pflichten.

Gelten die GPAI-Regeln auch für Modelle aus den USA oder China?

Ja. Der AI Act gilt für alle GPAI-Modelle, die in der EU in Verkehr gebracht werden -- unabhängig davon, wo der Anbieter seinen Sitz hat. OpenAI (USA), Anthropic (USA), Google (USA) und auch chinesische Anbieter müssen die Kapitel-V-Pflichten erfüllen, sobald ihre Modelle in der EU zugänglich sind. Dafür müssen Anbieter aus Drittstaaten einen Bevollmächtigten in der EU benennen (Art. 54).

Was passiert, wenn ein GPAI-Anbieter die Pflichten nicht erfüllt?

Bei Verstößen gegen die GPAI-Pflichten aus Kapitel V drohen empfindliche Sanktionen. Art. 101 VO (EU) 2024/1689 sieht Geldbußen von bis zu 15 Millionen Euro oder -- bei Unternehmen -- bis zu 3 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vor, je nachdem, welcher Betrag höher ist. Für die Durchsetzung der GPAI-Regeln ist primär das AI Office der Europäischen Kommission zuständig, das über eigene Untersuchungs- und Sanktionsbefugnisse verfügt.

Fazit: GPAI ernst nehmen -- als Anbieter und als Betreiber

General Purpose AI-Modelle sind die Grundlage der leistungsfähigsten KI-Anwendungen unserer Zeit. Mit dem AI Act hat die EU erstmals einen verbindlichen Rechtsrahmen für diese Basismodelle geschaffen. Ob Sie ein GPAI-Modell entwickeln, es in Ihre Produkte integrieren oder einfach als fertige Anwendung nutzen -- die Regelungen betreffen Sie.

Die gute Nachricht: Die abgestufte Regulierung des AI Act sorgt dafür, dass Pflichten verhältnismäßig bleiben. Nicht jedes GPAI-Modell unterliegt den strengsten Anforderungen, und für Open-Source-Modelle gelten Erleichterungen. Entscheidend ist, dass Unternehmen jetzt handeln: Die GPAI-Pflichten gelten bereits, und die Aufsichtsbehörden werden zunehmend aktiv.

Nächste Schritte für Ihr Unternehmen:

Bestandsaufnahme: Welche GPAI-Modelle setzen Sie ein? Direkt oder über nachgelagerte Systeme?
Dokumentation prüfen: Haben Sie die technische Dokumentation Ihrer GPAI-Anbieter erhalten und ausgewertet?
Betreiberpflichten umsetzen: Sind Transparenzpflichten, menschliche Aufsicht und KI-Kompetenz sichergestellt?
Codes of Practice verfolgen: Nutzen Sie die veröffentlichten Codes of Practice als Leitfaden für Ihre Compliance.

Sie möchten sicherstellen, dass Ihr Unternehmen die GPAI-Anforderungen des AI Act erfüllt? KI Comply unterstützt Sie mit einer digitalen Schulungs- und Compliance-Plattform -- von der KI-Kompetenzschulung nach Art. 4 bis zum vollständigen KI-Governance-Framework. Jetzt kostenlos testen

General Purpose AI (GPAI): Pflichten für Basismodelle nach dem AI Act