Du baust ein Produkt mit GPT, Gemini oder Claude. Du fragst dich, was der EU AI Act eigentlich von dir verlangt — und was schon der Modellanbieter erledigen muss. Gute Frage. Die Antwort liegt in Artikel 51 ff. des EU AI Act. Und sie ist differenzierter als die meisten Webinare dir erzählen.
Was sind GPAI-Modelle überhaupt?
GPAI steht für General-Purpose AI. Das sind Modelle, die für eine breite Palette von Aufgaben trainiert wurden und sich in unterschiedliche Produkte integrieren lassen. GPT-4o, Claude 3, Gemini, Mistral Large — alles GPAI-Modelle im Sinne des Gesetzes.
Der EU AI Act unterscheidet zwei Kategorien:
- Standard-GPAI-Modelle: Alle Modelle, die mit einer Trainingsrechenleistung von mehr als 10^23 FLOPs entwickelt wurden — also faktisch alle großen Sprachmodelle der bekannten Anbieter.
- GPAI-Modelle mit systemischem Risiko: Modelle ab 10^25 FLOPs Trainingsleistung oder solche, die die EU-Kommission explizit als risikobehaftet einstuft. Hier greift ein strengeres Regime.
Die Schwellenwerte klingen technisch. In der Praxis bedeutet das: Fast alle kommerziell relevanten Foundation Models fallen mindestens in die erste Kategorie.
Was müssen die Anbieter liefern?
Für Standard-GPAI-Modelle schreibt Artikel 53 vor, dass Anbieter wie OpenAI, Anthropic oder Google Folgendes bereitstellen müssen:
Technische Dokumentation. Eine Zusammenfassung, wie das Modell trainiert wurde, welche Architektur es hat und wofür es eingesetzt werden soll. Kein vollständiges Laborbuch — aber ausreichend, damit nachgelagerte Anbieter ihre eigenen Risikobewertungen durchführen können.
Trainingsdaten-Zusammenfassung. Keine vollständige Datenliste, aber einen aussagekräftigen Überblick über die Herkunft der Trainingsdaten. Das ist direkt mit dem Urheberrecht verknüpft.
Copyright-Policy. Anbieter müssen offenlegen, wie sie mit urheberrechtlich geschützten Inhalten beim Training umgegangen sind — und eine Richtlinie vorhalten, die die Anforderungen der EU-Urheberrechtsrichtlinie (DSM-Richtlinie, Artikel 4) erfüllt. Wer als Rechteinhaber dem Text-and-Data-Mining widersprochen hat, muss respektiert worden sein.
Für Modelle mit systemischem Risiko kommen zusätzliche Pflichten hinzu: adversarielle Tests (Red-Teaming), Meldepflichten bei schwerwiegenden Vorfällen und Evaluierungen vor dem Marktstart.
Was du als Mittelständler davon hast — und was nicht
Hier wird es praktisch.
Die gute Nachricht: Du kannst dich auf die Dokumentation des Modellanbieters stützen. Du musst das Modell nicht selbst von Grund auf evaluieren. Wenn OpenAI die vorgeschriebenen Unterlagen bereitstellt, hast du eine valide Grundlage für deine eigene Risikobewertung.
Die schlechte Nachricht: Diese Unterlagen ersetzen nicht deine eigene Compliance-Arbeit. Du bist als “nachgelagerter Anbieter” oder “Deployer” weiterhin selbst verantwortlich dafür, wie du das Modell einsetzt. Wenn dein Produkt in einen Hochrisiko-Bereich fällt — etwa HR-Entscheidungen, Kreditwürdigkeitsprüfungen oder medizinische Triage — gelten für dich die Hochrisiko-Pflichten aus Kapitel III. Daran ändert sich durch die GPAI-Regelungen nichts.
Konkret heißt das:
- Du darfst und solltest die technische Dokumentation des Modellanbieters aktiv anfordern. Das ist jetzt dein Recht.
- Du kannst sie als Baustein für dein eigenes Risikomanagement nutzen — aber nur als Baustein.
- Du hast keinen Anspruch auf Quellcode, vollständige Trainingsdaten oder proprietäre Gewichte. Das schreibt das Gesetz nicht vor.
Was du jetzt konkret tun solltest
1. Dokumentation anfordern. Schreib deinen Modellanbieter direkt an. Frag nach der technischen Dokumentation gemäß EU AI Act Artikel 53 und nach der Copyright-Policy. Seriöse Anbieter haben das vorbereitet oder bereiten es gerade vor.
2. Vertragliche Absicherung prüfen. Deine Nutzungsvereinbarung mit dem Modellanbieter sollte regeln, wer was bei einem Compliance-Verstoß haftet. Viele Standard-ToS schließen Gewährleistung weitgehend aus. Das ist ein Verhandlungspunkt — besonders bei größeren Volumina.
3. Eigene Einsatzdokumentation anlegen. Halte fest, welches Modell du in welcher Version für welchen Zweck nutzt. Das klingt banal. Es ist die Grundlage jeder Auditierbarkeit.
4. Use-Case-Klassifikation nicht aufschieben. Bevor du GPAI-Funktionen in dein Produkt einbaust, kläre den Hochrisiko-Status. Die GPAI-Pflichten der Anbieter entbinden dich davon nicht.
Das Wesentliche in einem Satz
Die GPAI-Regelungen des EU AI Act schaffen erstmals verbindliche Transparenzpflichten für die großen Modellanbieter — und verschaffen dir als Mittelständler echten Informationszugang. Aber sie ersetzen nicht deine eigene Sorgfaltspflicht beim Einsatz dieser Modelle.
Wer das verwechselt, hat ein Problem. Wer es versteht, hat einen strukturellen Vorteil gegenüber dem Wettbewerb, der das Thema noch vor sich herschiebt.
Quellen: EU AI Act, Artikel 51–55 | Übersicht EU-Kommission zur KI-Verordnung
Fragen? Einfach melden — oder direkt ein kurzes Gespräch buchen.
Kurzes Gespräch buchen →