GPAI-Anbieter-Pflichten ab 02.08.2026: was wirklich gilt

1. Wer gilt als GPAI-Anbieter?

Art. 3 Abs. 63 EU AI Act: GPAI-Modell ist ein KI-Modell, das auf einer breiten Datenbasis trainiert wird, eine erhebliche Allgemeinheit aufweist und in eine Vielzahl nachgelagerter Systeme integriert werden kann.

Wer ist Anbieter? Wer das Modell entwickelt ODER signifikant anpasst (Fine-Tuning, das die Verwendungseignung wesentlich ändert).

Beispiele:

• OpenAI mit GPT-4: ja, GPAI-Anbieter
• Anthropic mit Claude: ja
• Mistral AI: ja
• Aleph Alpha mit Luminous: ja
• SAP mit Joule (Wrapper auf GPT/Claude): nein, nur Betreiber
• Mittelständler mit Custom-GPT auf Azure: nein, nur Betreiber

2. Art. 53: Basis-Pflichten

Kurzantwort: Art. 53 EU AI Act verpflichtet alle GPAI-Anbieter — auch ohne systemic risk — zu vier Basis-Pflichten: Technische Dokumentation nach Anhang XI (Architektur, Trainingsdaten, Test-Ergebnisse), Information für nachgelagerte Anbieter über Capabilities und Limitationen, eine Urheberrechts-Policy mit Opt-out-Mechanismus sowie eine öffentliche Trainings-Daten-Zusammenfassung im Format des EU AI Office.

Alle GPAI-Anbieter (auch ohne systemic risk):

1. Technische Doku nach Anhang XI: Architektur, Trainings-Daten, Trainings-Aufwand, Test-Ergebnisse
2. Information für nachgelagerte Anbieter: Capabilities, Limitationen, geeignete Use Cases
3. Urheberrechts-Policy: Compliance mit Urheberrechtsrichtlinie 2019/790, opt-out-Mechanismen für Training
4. Trainings-Daten-Zusammenfassung: öffentliches Dokument mit Daten-Quellen-Übersicht (Format vom AI Office)

3. Art. 55: systemic-risk Modelle

Kurzantwort: GPAI-Modelle mit kumulativem Trainings-Rechen-Aufwand >10^25 FLOPs gelten als systemic-risk-Modelle und unterliegen Art. 55: verpflichtende Modell-Evaluierung mit Adversarial Testing (Red-Teaming), Bewertung und Minimierung systemischer Risiken (Bias, Cybersicherheit, Falschinformation), Incident-Reporting an das EU AI Office binnen 14 Tagen und Cybersicherheits-Schutz für Modell-Gewichte.

Zusätzliche Pflichten für Modelle mit kumulativen Trainings-Rechen-Aufwand >10^25 FLOPs:

• Modell-Evaluierung mit Adversarial Testing (Red-Teaming)
• Risiko-Bewertung + Minimierung systemischer Risiken (Bias, Cybersicherheit, Verbreitung von Falschinformation)
• Tracking + Reporting: serious incidents an EU AI Office binnen 14 Tagen
• Cybersicherheits-Schutz für Modell-Gewichte

4. Code of Practice

Stand 04/2026: finale Version vom EU AI Office veröffentlicht 04/2025, kontinuierlich erweitert. Unterzeichner als Stand 03/2026:

• OpenAI, Anthropic, Google, Microsoft, Meta, Mistral, Aleph Alpha, Cohere
• SAP (als nachgelagerter Anbieter)
• Insgesamt 90% der GPAI-Modelle abgedeckt

Der Code of Practice ist eine "compliance presumption" — wer ihn einhält, gilt als gesetzeskonform.

5. Rolle EU AI Office + AISB

Kurzantwort: Das EU AI Office (Brüssel, Teil von DG CNECT) ist der zentrale Aufseher für GPAI-Modelle und kann Untersuchungen (Art. 92) und Sanktionen (Art. 101) verhängen. Beratend zur Seite steht das unabhängige AI Scientific Board (AISB). 2025-2026 priorisiert das AI Office den Code-of-Practice-Aufbau, das GPAI-Modellregister sowie das Incident-Reporting-System.

• EU AI Office (Brüssel, Teil DG CNECT): zentraler Aufseher für GPAI
• AI Scientific Board (AISB): unabhängiges Expert-Gremium, beratend
• Befugnisse: Untersuchungen (Art. 92), Sanktionen (Art. 101)
• 2025-2026 priorisiert: Code-of-Practice-Aufbau, GPAI-Modellregister, Incident-Reporting-System

6. Praxis für KMU-Tochteranbieter

Die meisten KMU sind NICHT GPAI-Anbieter. Sie nutzen GPAI-Modelle als Betreiber.

Anbieter-Status entsteht NUR bei:

• Eigenes Modell-Training (sehr selten in KMU)
• Wesentliche Fine-Tuning-Anpassung (z.B. medizinisches Sprachmodell aus Llama-Basis)
• Wrapper mit White-Label-Branding + eigener Vermarktung

Im Zweifel: anwaltlich klären lassen. Bußgeldrisiko 15 Mio. EUR / 3%.