KI mit allgemeinem Verwendungszweck (GPAI)

KI mit allgemeinem Verwendungszweck (GPAI) ist eine Kategorie im EU AI Act für Modelle, die ein breites Aufgabenspektrum ausführen und in viele verschiedene nachgelagerte Systeme eingebaut werden können. Große Sprachmodelle und andere Basismodelle sind die deutlichsten Beispiele. Weil ein solches Modell unzählige Anwendungen antreiben kann, reguliert der Rechtsakt das Modell selbst, getrennt von den spezifischen Hochrisiko-Anwendungen, in denen es am Ende landen könnte.

Das war eine bewusste Entscheidung im Aufbau. Statt abzuwarten, wie jede Anwendung ein Modell nutzt, legt der Rechtsakt Pflichten denjenigen auf, die das Modell entwickeln und bereitstellen, damit Informationen und Schutzmaßnahmen an alle weitergegeben werden, die darauf aufbauen.

Was als GPAI gilt

Der Rechtsakt definiert ein GPAI-Modell als eines, das mit einer großen Datenmenge trainiert wurde, erhebliche Allgemeinheit zeigt und ein breites Spektrum unterschiedlicher Aufgaben kompetent ausführen kann, unabhängig davon, wie es bereitgestellt wird. Das erfasst große Sprachmodelle, Bildgeneratoren und ähnliche Basismodelle, ob über eine API angeboten, als herunterladbare Gewichte veröffentlicht oder in ein Produkt eingebettet.

Der Anwendungsbereich ist das Modell, nicht die Anwendung. Ein Unternehmen, das ein GPAI-Modell nimmt und damit etwa ein Einstellungswerkzeug baut, ist ein nachgelagerter Anbieter dieses Hochrisikosystems und trägt seine eigenen Pflichten. Der ursprüngliche Entwickler des Modells ist der GPAI-Anbieter. Die beiden Pflichtenkreise stapeln sich, statt einander zu ersetzen.

Die Stufe des systemischen Risikos

Nicht jede GPAI wird gleich behandelt. Der Rechtsakt schafft eine höhere Stufe für GPAI-Modelle mit systemischem Risiko, also Modelle, die leistungsfähig genug sind, dass Probleme mit ihnen über den Markt oder die Gesellschaft hinweg Wellen schlagen könnten.

Bei einem Modell wird systemisches Risiko vermutet, wenn die kumulierte Rechenleistung, die zu seinem Training verwendet wurde, 10^25 Gleitkommaoperationen (FLOPs) übersteigt. Diese Rechenleistungsschwelle ist ein Näherungswert für Leistungsfähigkeit. Ein Modell kann von der Europäischen Kommission auch anhand anderer Kriterien als systemisch risikoreich eingestuft werden, selbst wenn es unter der Schwelle liegt.

Modelle in dieser Stufe tragen über das Grundniveau hinausgehende Pflichten, weil die Folgen, wenn man bei ihnen Fehler macht, größer ausfallen.

Grundpflichten der Anbieter

Jeder GPAI-Anbieter, unabhängig von der Stufe, muss eine Reihe grundlegender Pflichten erfüllen.

Technische Dokumentation. Anbieter müssen eine Dokumentation erstellen und aktuell halten, die das Modell beschreibt, einschließlich seines Trainings- und Testprozesses sowie der Bewertungsergebnisse, und sie dem KI-Büro und den nationalen Behörden auf Anfrage zur Verfügung stellen.

Informationen für nachgelagerte Anbieter. Sie müssen den Entwicklern, die auf dem Modell aufbauen, genug Informationen geben, um dessen Fähigkeiten und Grenzen zu verstehen und ihre eigenen Pflichten zu erfüllen. Sie können den Rechtsakt für Ihre Anwendung nicht einhalten, wenn das Modell darunter für Sie eine Blackbox ist.

Urheberrechtsrichtlinie. Anbieter müssen eine Richtlinie einführen, die das EU-Urheberrecht achtet, einschließlich Rechtevorbehalten für Text- und Data-Mining.

Zusammenfassung der Trainingsdaten. Sie müssen eine hinreichend ausführliche Zusammenfassung der zum Training des Modells verwendeten Inhalte veröffentlichen, gemäß einer vom KI-Büro bereitgestellten Vorlage.

Zusätzliche Pflichten für Modelle mit systemischem Risiko

Anbieter von GPAI mit systemischem Risiko übernehmen mehr.

Sie müssen das Modell mit standardisierten Protokollen bewerten, einschließlich Angriffstests und Red Teaming, um systemische Risiken zu erkennen und zu mindern. Sie müssen mögliche systemische Risiken auf EU-Ebene bewerten und mindern, einschließlich ihrer Quellen. Sie müssen schwerwiegende Vorfälle und mögliche Korrekturmaßnahmen verfolgen, dokumentieren und dem KI-Büro melden. Und sie müssen ein angemessenes Maß an Cybersicherheit für das Modell und seine physische Infrastruktur sicherstellen.

Diese Pflichten erkennen an, dass ein Mangel in einem weit verbreiteten Spitzenmodell nicht nur das Problem eines einzelnen Unternehmens ist.

Die GPAI-Pflichten ab August 2025

Der EU AI Act gilt in Phasen. Die Pflichten für GPAI-Anbieter wurden am 2. August 2025 anwendbar. Ab diesem Datum wird von Anbietern, die GPAI-Modelle auf dem EU-Markt in Verkehr bringen, erwartet, dass sie die oben beschriebenen Pflichten zu Dokumentation, Transparenz, Urheberrecht und, wo einschlägig, systemischem Risiko erfüllen.

Um Anbietern den Nachweis der Compliance zu erleichtern, hat das KI-Büro einen GPAI-Verhaltenskodex ermöglicht. Den Kodex zu unterzeichnen und zu befolgen ist eine freiwillige Möglichkeit, die Einhaltung der Pflichten nachzuweisen, sie ist jedoch nicht der einzige Weg. Modellen, die schon vor diesem Datum auf dem Markt waren, wurde zusätzliche Zeit eingeräumt, um die Compliance herzustellen.

Warum GPAI-Regeln für Governance-Teams wichtig sind

Selbst wenn Ihre Organisation keine Basismodelle trainiert, prägen GPAI-Regeln Ihre Pflichten. Wenn Sie auf einem GPAI-Modell aufbauen, sind die Dokumentation und die Informationen, die der Anbieter liefert, das, was Sie Ihre eigene Risikobewertung, Ihre Transparenzangaben und Ihre technische Akte abschließen lässt. Einen Anbieter zu wählen, der diese Pflichten ernst nimmt, ist eine Frage des Einkaufs und der Sorgfaltsprüfung.

Wenn Sie ein GPAI-Modell entwickeln oder wesentlich verändern, schlüpfen Sie unter Umständen selbst in die Anbieterrolle, einschließlich der Stufe des systemischen Risikos, falls Ihre Trainingsrechenleistung die Schwelle überschreitet. So oder so besteht die praktische Arbeit darin, die Dokumentation aktuell zu halten, nachzuverfolgen, auf welche Modelle Sie sich stützen, und festzuhalten, wie Sie sie bewertet haben.

FAQ

Was macht ein Modell nach dem EU AI Act zu einem Modell mit allgemeinem Verwendungszweck?

Es wird mit einer großen Datenmenge trainiert, zeigt erhebliche Allgemeinheit und kann ein breites Spektrum unterschiedlicher Aufgaben kompetent ausführen, unabhängig davon, wie es bereitgestellt wird. Große Sprachmodelle und Bildgeneratoren sind typische Beispiele. Die Einstufung knüpft an das Modell selbst an, nicht an eine einzelne darauf aufbauende Anwendung.

Wie hoch ist die Rechenleistungsschwelle für systemisches Risiko?

Bei einem GPAI-Modell wird systemisches Risiko vermutet, wenn die kumulierte Rechenleistung, die zu seinem Training verwendet wurde, 10^25 Gleitkommaoperationen (FLOPs) übersteigt. Die Schwelle ist ein Näherungswert für Leistungsfähigkeit. Die Europäische Kommission kann ein Modell auch aus anderen Gründen als systemisch risikoreich einstufen, und die Schwelle kann mit der Zeit angepasst werden.

Wann begannen die GPAI-Pflichten zu gelten?

Die Pflichten für GPAI-Anbieter wurden am 2. August 2025 anwendbar. Ab diesem Datum wird von Anbietern erwartet, dass sie die Pflichten zu Dokumentation, Transparenz und Urheberrecht erfüllen, dazu die zusätzlichen Pflichten zum systemischen Risiko, wo sie zutreffen. Modellen, die schon vorher auf dem Markt waren, wurde zusätzliche Zeit zur Einhaltung eingeräumt.

Was sind die Grundpflichten eines GPAI-Anbieters?

Eine technische Dokumentation pflegen, nachgelagerten Entwicklern genug Informationen geben, um das Modell zu verstehen und sicher darauf aufzubauen, eine Richtlinie zur Einhaltung des EU-Urheberrechts einführen und eine hinreichend ausführliche Zusammenfassung der Trainingsinhalte anhand der Vorlage des KI-Büros veröffentlichen. Diese gelten für jeden GPAI-Anbieter, unabhängig von der Stufe.

Betreffen GPAI-Regeln auch Unternehmen, die diese Modelle nur nutzen?

Ja, indirekt, aber durchaus bedeutsam. Die Dokumentation und die Informationen, die ein GPAI-Anbieter liefert, sind das, was einen nachgelagerten Entwickler seine eigene Risikobewertung, Transparenz und technische Akte abschließen lässt. Die Compliance des Anbieters fließt also in Ihre Compliance ein, was sie zu einer Frage des Einkaufs und der Sorgfaltsprüfung macht, selbst wenn Sie nie ein Modell trainieren.

Was ist der GPAI-Verhaltenskodex?

Es ist ein freiwilliges Rahmenwerk, das das KI-Büro ermöglicht hat, um GPAI-Anbietern den Nachweis ihrer Pflichten zu erleichtern. Ihn zu unterzeichnen und zu befolgen ist eine Möglichkeit, die Compliance nachzuweisen, Anbieter können sie jedoch auch auf anderem Wege erfüllen. Er ändert die zugrunde liegenden rechtlichen Pflichten nicht, sondern bietet einen anerkannten Weg, sie zu erfüllen.

Zusammenfassung

KI mit allgemeinem Verwendungszweck (GPAI) ist die Kategorie des EU AI Act für breit einsetzbare Modelle wie große Sprachmodelle, die in viele nachgelagerte Systeme eingebaut werden können, und der Rechtsakt reguliert das Modell selbst statt nur seine Anwendungen. Jeder GPAI-Anbieter muss eine technische Dokumentation pflegen, nachgelagerte Entwickler informieren, eine Urheberrechtsrichtlinie befolgen und eine Zusammenfassung der Trainingsdaten veröffentlichen. Modelle mit systemischem Risiko, vermutet oberhalb einer Trainingsrechenleistung von 10^25 FLOPs, tragen zusätzliche Pflichten rund um Bewertung, Risikominderung, Meldung von Vorfällen und Cybersicherheit. Diese Pflichten wurden am 2. August 2025 anwendbar, und sie sind selbst für Organisationen wichtig, die nur auf GPAI aufbauen, weil die Dokumentation des Anbieters die nachgelagerte Compliance erst ermöglicht.