KI-Compliance KI-Verordnung GenAI-Governance

Ratgeber

GPAI-Modelle: Compliance-Pflichten nach der KI-Verordnung.

GPAI (General Purpose AI) bezeichnet KI-Modelle allgemeiner Zweckbestimmung wie GPT-4 oder Gemini. Seit August 2025 gelten für ihre Anbieter eigene Pflichten nach Art. 51–56 KI-Verordnung: Dokumentation, Urheberrecht, Transparenz und systemisches Risiko.

Zuletzt aktualisiert: Mai 2026

Hintergrund

Warum die KI-Verordnung GPAI-Modelle gesondert regelt.

Foundation Models wie große Sprachmodelle nehmen in der KI-Regulierung eine Sonderstellung ein. Sie werden nicht für einen spezifischen Zweck entwickelt, sondern für eine unbegrenzte Vielfalt von Anwendungsfällen. Das macht die klassische Risikoklassifizierung der KI-Verordnung schwierig: Ein Modell, das für harmlose Textgenerierung eingesetzt werden kann, ist dasselbe, das in kritischen Entscheidungsprozessen landet.

Die EU KI-Verordnung hat dafür in Art. 51 bis 56 ein eigenes Regelungsregime für GPAI-Modelle geschaffen. Es gilt unabhängig von der späteren Anwendung des Modells und richtet sich an die Anbieter, also die Unternehmen, die GPAI-Modelle entwickeln und bereitstellen. Nachgelagerte Anbieter und Betreiber haben andere, geringere Pflichten.

Für Unternehmen im DACH-Raum sind die GPAI-Vorschriften vor allem in zwei Konstellationen relevant: wenn sie selbst GPAI-Modelle oder auf GPAI basierende Dienste anbieten, oder wenn sie GPAI-Dienste nutzen und verstehen möchten, welche Pflichten über die Lieferkette auf sie durchgereicht werden.

Aktueller Stand

Die GPAI-Pflichten gelten seit August 2025. Der GPAI Code of Practice wird unter dem EU AI Office entwickelt und befindet sich in der Konsultationsphase. Die Omnibus-Einigung vom Mai 2026 hat die GPAI-Vorschriften nicht wesentlich verändert.

Kernaspekte

Die GPAI-Pflichten im Überblick.

Grundpflichten für alle GPAI-Anbieter

Jeder Anbieter eines GPAI-Modells unterliegt vier Grundpflichten nach Art. 53 KI-VO, unabhängig vom Trainingsaufwand oder der späteren Verwendung. Diese Pflichten gelten seit August 2025.

Technische Dokumentation zum Modell aufbauen und pflegen
Urheberrecht-Transparenz: Zusammenfassung der Trainingsdaten
Nutzungsbedingungen für nachgelagerte Anbieter und Betreiber
Kooperation mit dem EU AI Office auf Anfrage

Systemisches Risiko

GPAI-Modelle mit sehr hohem Trainingsaufwand gelten als systemisch riskant und unterliegen nach Art. 55 KI-VO erweiterten Anforderungen. Diese betreffen hauptsächlich die größten globalen Modellanbieter, nicht KMU.

Adversarial Testing (Red-Teaming) vor Markteinführung
Meldung schwerwiegender Vorfälle an das EU AI Office
Angemessene Cybersicherheitsmaßnahmen für Modell und Gewichte
Energieverbrauch dokumentieren und melden

GPAI Code of Practice

Das EU AI Office koordiniert die Entwicklung eines freiwilligen Codes of Practice, der die abstrakten GPAI-Pflichten in konkrete Handlungsanforderungen übersetzt. Unterzeichner des Codes profitieren von einer Konformitätsvermutung bei Behördenprüfungen.

Konkretisierung der Dokumentations- und Transparenzpflichten
Branchenspezifische Auslegungshilfen für Art. 53 und 55
Unterzeichner erhalten Compliance-Vermutung gegenüber Behörden
Konsultationsprozess unter Beteiligung der Industrie

Perspektive nachgelagerter Betreiber

Unternehmen, die GPAI-Dienste über APIs nutzen, sind Betreiber, keine Anbieter. Sie tragen keine GPAI-Anbieterpflichten nach Art. 53. Allerdings fließen Anforderungen über die Nutzungsbedingungen der GPAI-Anbieter in die Lieferkette ein.

Nutzungsbedingungen des GPAI-Anbieters auf Weitergabe-Pflichten prüfen
Keine direkte Verantwortung für GPAI-Modell-Dokumentation
Eigene Betreiberpflichten nach Art. 26 KI-VO beachten
DSGVO-Pflichten für die Verarbeitung personenbezogener Daten

Urheberrecht und Trainingsdaten

Die Transparenzpflicht für Trainingsdaten ist eine der praktisch bedeutsamsten GPAI-Anforderungen. GPAI-Anbieter müssen eine Zusammenfassung der für das Training verwendeten Inhalte veröffentlichen und Opt-out-Mechanismen für Rechteinhaber respektieren.

Veröffentlichung einer Trainingsdaten-Zusammenfassung
Opt-out-Mechanismen nach Art. 4 Abs. 3 Urheberrechts-DSM-Richtlinie
Dokumentation der Datenherkunft für Behördenanfragen
Lizenzsituation für kommerziell genutzte Trainingsdaten prüfen

Zusammenspiel mit der Hochrisiko-Klassifizierung

GPAI-Modelle können auch in Hochrisiko-Anwendungen eingesetzt werden. Wenn ein GPAI-Modell in einem Hochrisiko-KI-System genutzt wird, kommen zur GPAI-Anforderung die strengeren Hochrisiko-Pflichten hinzu. Diese treffen den Anbieter des Hochrisiko-Systems, nicht zwingend den GPAI-Modellanbieter.

Einordnung des Gesamtsystems nach Art. 6 KI-VO
GPAI-Modell als Komponente eines Hochrisiko-Systems identifizieren
Verantwortungsteilung zwischen GPAI- und Systemanbieter klären
Technische Dokumentation für beide Ebenen konsolidieren

Vorgehen

GPAI-Compliance strukturiert aufbauen.

Rollenzuordnung

Einordnung als GPAI-Anbieter, nachgelagerter Anbieter oder Betreiber. Klärung des systemischen Risikos nach Art. 51.

Pflichtenmatrix

Ableitung der konkreten Anforderungen nach Art. 53 und gegebenenfalls Art. 55. Priorisierung nach Handlungsdringlichkeit.

Dokumentation und Urheberrecht

Technische Dokumentation, Trainingsdaten-Zusammenfassung und Nutzungsbedingungen für nachgelagerte Nutzer aufbauen.

Code of Practice

Bewertung der Teilnahme am GPAI Code of Practice als Compliance-Nachweis gegenüber dem EU AI Office und nationalen Behörden.

FAQ

Häufige Fragen zu GPAI und Foundation Models.

Verwandte Themen

Was sind GPAI-Modelle nach der KI-Verordnung?+

GPAI steht für General Purpose AI, auf Deutsch Allzweck-KI. Gemeint sind KI-Modelle, die auf eine breite Vielfalt von Aufgaben trainiert wurden und als Grundlage für viele nachgelagerte Anwendungen dienen. Bekannte Beispiele sind große Sprachmodelle wie GPT-4, Claude oder Gemini. Die EU KI-Verordnung regelt die Pflichten für Anbieter solcher Modelle in Art. 51 bis 56.

Seit wann gelten die GPAI-Pflichten?+

Die GPAI-Vorschriften der EU KI-Verordnung gelten seit August 2025, zwölf Monate nach Inkrafttreten der Verordnung. Anbieter von GPAI-Modellen sind seitdem zur technischen Dokumentation, Urheberrecht-Transparenz und Kooperation mit dem EU AI Office verpflichtet.

Was ist der GPAI Code of Practice?+

Der GPAI Code of Practice ist ein freiwilliges Regelwerk, das unter dem EU AI Office entwickelt wird. Er konkretisiert, wie GPAI-Anbieter die Anforderungen der EU KI-Verordnung in der Praxis umsetzen können. Unternehmen, die den Code unterzeichnen, können ihn als Compliance-Nachweis gegenüber Behörden anführen.

Was bedeuten GPAI-Pflichten für Unternehmen, die Foundation Models nur nutzen?+

Unternehmen, die GPAI-Dienste lediglich als Betreiber nutzen, sind keine Anbieter im Sinne der Art. 51 ff. KI-Verordnung. Sie unterliegen den allgemeinen Betreiberpflichten. Vertragliche Anforderungen der GPAI-Anbieter können jedoch Pflichten nach unten weitergeben.

Was bedeutet systemisches Risiko bei GPAI-Modellen?+

Die EU KI-Verordnung stuft GPAI-Modelle als systemisch riskant ein, wenn ihr Trainingsaufwand einen bestimmten Schwellenwert überschreitet. Für diese Modelle gelten zusätzliche Pflichten: Adversarial Testing, Meldung schwerwiegender Vorfälle und Cybersicherheitsmaßnahmen. Für KMU sind diese Schwellenwerte in der Regel nicht relevant.

Welche Bußgelder drohen bei Verstößen gegen GPAI-Pflichten?+

Bei Verstößen gegen die GPAI-Pflichten drohen Bußgelder von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.

Leistung KI-Compliance Zur Leistung Regulierung EU KI-Verordnung Zur Seite Leistung GenAI-Governance Zur Leistung

GPAI-Rolle einordnen und Pflichten umsetzen.

Ob Anbieter oder Betreiber, ob systemisches Risiko oder nicht: Wir helfen bei der Einordnung und Umsetzung.

Kostenloses Erstgespräch buchen