GPAI-Pflichten ab August 2025: Was Anbieter von KI-Modellen beachten müssen

General Purpose AI: Neue Pflichten ab August 2025

Ab dem **2. August 2025** gelten die Vorschriften des EU AI Act für Anbieter von **General Purpose AI (GPAI)** Modellen. GPAI-Modelle sind KI-Systeme, die für eine Vielzahl von Aufgaben eingesetzt werden können — wie GPT-4, Claude, Gemini oder Llama. Doch was bedeutet das konkret?

Was ist ein GPAI-Modell?

Der EU AI Act definiert GPAI-Modelle als KI-Modelle, die:

•Mit einer großen Datenmenge trainiert wurden

•Für eine Vielzahl von Aufgaben einsetzbar sind

•Durch verschiedene Mittel in nachgelagerte Systeme integriert werden können

Das betrifft in erster Linie die großen Modellentwickler wie OpenAI, Anthropic, Google und Meta. Aber auch Unternehmen, die Open-Source-Modelle weiterverbreiten oder anpassen, können betroffen sein.

Die zwei Stufen der GPAI-Regulierung

#### Stufe 1: Alle GPAI-Anbieter

Alle Anbieter von GPAI-Modellen müssen:

•Technische Dokumentation erstellen: Detaillierte Beschreibung des Modells, Trainingsverfahrens und der Fähigkeiten

•Informationen für nachgelagerte Anbieter bereitstellen: Wer das Modell in ein Produkt integriert, braucht ausreichende Informationen

•Urheberrechtsrichtlinie einhalten: Dokumentation der Trainsdaten und Einhaltung der Urheberrechtsvorschriften

•Zusammenfassung der Trainingsdaten veröffentlichen: Ein Template der EU-Kommission soll hier Orientierung bieten

#### Stufe 2: GPAI mit systemischem Risiko

Modelle, die als **systemisch risikoreich** eingestuft werden (aktuell bei mehr als 10^25 FLOPS Trainingsrechenleistung), haben zusätzliche Pflichten:

•Modellbewertungen durchführen: Einschließlich Adversarial Testing

•Systemische Risiken bewerten und mindern: Dokumentierte Risikobewertung

•Schwerwiegende Vorfälle melden: An die EU-Kommission und nationale Behörden

•Cybersicherheitsmaßnahmen implementieren: Angemessener Schutz des Modells und seiner Infrastruktur

Auswirkungen auf deutsche Unternehmen

Für die meisten deutschen Unternehmen sind die GPAI-Pflichten primär **indirekt** relevant:

•Als Nutzer: Prüfen Sie, ob die von Ihnen genutzten KI-Modelle GPAI-konform sind. Seriöse Anbieter werden die Compliance sicherstellen.

•Als Integrator: Wenn Sie GPAI-Modelle in eigene Produkte integrieren, müssen Sie die bereitgestellte Dokumentation nutzen und Transparenzpflichten einhalten.

•Als Fine-Tuner: Wer ein Open-Source-Modell wesentlich modifiziert und verbreitet, kann selbst zum GPAI-Anbieter werden.

Praxiscodes und Standards

Die EU-Kommission arbeitet an **Codes of Practice**, die als freiwilliger Standard dienen und die Einhaltung der GPAI-Pflichten erleichtern sollen. Anbieter, die diesen Codes folgen, gelten grundsätzlich als compliant.

Handlungsempfehlungen

1. Prüfen Sie, ob Ihr Unternehmen als GPAI-Anbieter oder -Integrator gilt

2. Fordern Sie von Ihren KI-Anbietern Informationen zur GPAI-Compliance an

3. Dokumentieren Sie, wie Sie GPAI-Modelle in Ihren Produkten und Prozessen einsetzen

4. Beobachten Sie die Veröffentlichung der Codes of Practice

Fazit

Die GPAI-Pflichten treffen primär die großen Modellhersteller. Deutsche Unternehmen sollten aber prüfen, ob sie als Integrator betroffen sind, und ihre Lieferkette entsprechend absichern.