Wenn Ihr Unternehmen GPT, Claude oder Gemini in ein eigenes Produkt eingebaut hat — einen Chatbot, einen Assistenten, der Berichte verfasst, ein Scoring, das eine Entscheidung über eine Person unterstützt —, gehen Sie vermutlich davon aus, dass die AI-Act-Pflichten für diese Modelle Sache von OpenAI, Google oder Anthropic sind. Teilweise stimmt das. Aber es gibt einen genauen Punkt, an dem diese Verantwortung auf Ihr eigenes Unternehmen übergeht, und die meisten KMU, die generative KI in ihre Software integrieren, haben das nie geprüft.
Dieser Artikel erklärt, was ein GPAI-Modell (oder „Basismodell") genau ist, was seine Anbieter seit dem 2. August 2025 tun müssen, was der von den meisten großen Laboren unterzeichnete Code of Practice regelt und — am wichtigsten für tausende europäische KMU — wann der bloße Aufbau eines Produkts auf GPT, Claude oder Gemini Sie selbst, nicht das Labor, das das Modell trainiert hat, zum Anbieter mit eigenen Pflichten macht.
Kurzfassung: ein GPAI-Modell (Art. 3 Nr. 63 der Verordnung) ist ein Modell mit ausreichender Allgemeinheit, um vielfältige Aufgaben zu erfüllen und in verschiedene Systeme integriert zu werden — GPT, Claude, Gemini, Llama, Mistral. Seit dem 2. August 2025 müssen dessen Anbieter es dokumentieren (Anhang XI), Integratoren informieren (Anhang XII), eine Urheberrechtspolitik haben und eine Zusammenfassung der Trainingsinhalte veröffentlichen (Art. 53). Ab 1025 FLOPs gilt ein Modell als „systemisches Risiko", wodurch Art. 55 hinzukommt. Den Code of Practice (10. Juli 2025) unterzeichneten Google, Microsoft, OpenAI, Anthropic und IBM, nicht Meta. Nutzen Sie diese Modelle nur intern, ist Ihre Pflicht die Kompetenzvermittlung nach Art. 4; bauen und verkaufen Sie ein Produkt darauf, kann Art. 25 Sie zum Anbieter eines eigenen Systems machen — mit Hochrisiko-Status, wenn es Entscheidungen über Personen automatisiert. Der Digital Omnibus verschiebt nichts davon.
Integriert Ihr Produkt GPT, Claude oder Gemini und Sie wissen nicht, ob Sie dadurch Anbieter werden? Informieren Sie sich über den AI-Act-Compliance-Service.
Was genau ist ein GPAI-Modell („Basismodell")?
Die Verordnung (EU) 2024/1689 definiert das KI-Modell mit allgemeinem Verwendungszweck in Artikel 3 Nr. 63 : ein mit großen Datenmengen trainiertes Modell, typischerweise durch Selbstüberwachung in großem Maßstab, das erhebliche Allgemeingültigkeit aufweist und ein breites Spektrum unterschiedlicher Aufgaben kompetent erfüllen kann, und das in verschiedene nachgelagerte Systeme integriert werden kann. Erwägungsgrund 97 erklärt, warum diese Definition existiert: um „Modell" von „KI-System" zu trennen. GPT, Claude oder Gemini sind Modelle; Ihr Chatbot oder Ihr Bewerber-Screening-Tool sind KI-Systeme, die dieses Modell nutzen , plus eine Schnittstelle und einen konkreten Zweck.
„Basismodell" (foundation model ) ist der umgangssprachliche Begriff; die Verordnung verwendet „KI-Modell mit allgemeinem Verwendungszweck" (GPAI). Gemeint ist dasselbe: die GPT-Familie von OpenAI, Claude von Anthropic, Gemini von Google, Llama von Meta oder Mistral Large, die Zehntausende europäische Unternehmen — überwiegend KMU — direkt nutzen oder per API in eigene Produkte integrieren.
Welche Pflichten haben GPAI-Anbieter seit dem 2. August 2025?
Kapitel V der Verordnung (Artikel 51-56) trat am 2. August 2025 in Anwendung, ein Jahr vor dem Großteil des AI Act. Es betrifft den Modellanbieter — OpenAI, Google, Anthropic, Meta, Mistral AI —, nicht denjenigen, der es nur nutzt. Artikel 53 verlangt vier Dinge von jedem GPAI-Anbieter:
Pflicht (Art. 53 Abs. 1) Worum es geht
Technische Dokumentation Erstellung und Pflege der Modelldokumentation nach Anhang XI: Architektur, Trainingsprozess, Fähigkeiten, Grenzen.
Information für Integratoren Bereitstellung der Anhang-XII-Informationen an Systementwickler auf Basis des Modells: was es kann und nicht kann, wie es sicher integriert wird.
Urheberrechtspolitik Eine Politik, die die Richtlinie (EU) 2019/790 respektiert, einschließlich des Text- und Data-Mining-Opt-outs.
Trainingszusammenfassung Veröffentlichung einer hinreichend detaillierten Zusammenfassung der Trainingsinhalte nach der vom KI-Büro am 24. Juli 2025 festgelegten Vorlage.
Zwei selten erklärte Nuancen. Open-Source-Modelle — öffentlich verfügbare Gewichte und Architektur — sind von den ersten zwei Pflichten befreit, nicht von der Urheberrechtspolitik oder der Trainingszusammenfassung; die Ausnahme entfällt bei systemischem Risiko. Und Artikel 111 Abs. 3 gewährt Modellen, die bereits vor dem 2. August 2025 auf dem Markt waren, eine zweijährige Übergangsfrist: volle Konformität erst zum 2. August 2027 verpflichtend, nicht sofort.
Was ist der GPAI-Code-of-Practice und wer hat ihn unterzeichnet?
Ein freiwilliges Instrument, das das KI-Büro der Kommission am 10. Juli 2025 in endgültiger Fassung veröffentlichte. Seine Funktion: Ein GPAI-Anbieter, der beitritt und einhält, erhält nach Art. 53 Abs. 4 eine Konformitätsvermutung für die Artikel 53 und 55, solange keine harmonisierten Normen bestehen. Es ist die Abkürzung, die die Kommission anbietet, um Konformität nachzuweisen, ohne auf eine formale technische Norm zu warten.
Der Beitritt fiel unterschiedlich aus. Unterzeichnet haben unter anderem Google, Microsoft, OpenAI, Anthropic, Amazon und IBM . Meta kündigte im Juli 2025 an, nicht zu unterzeichnen , und xAI trat nur dem Sicherheitskapitel bei. Das ändert nichts an Ihren Pflichten als Integrator, aber ein nicht beigetretener Anbieter liefert in der Regel eine weniger vollständige Anhang-XII-Dokumentation — genau die, die Sie später brauchen, wenn Sie Ihr eigenes System gegenüber der AESIA rechtfertigen müssen.
Ihr KMU integriert GPT, Claude oder Gemini in sein Produkt: Wann übernehmen Sie Anbieterpflichten?
Die Antwort hat zwei Ebenen, die man nicht vermischen sollte.
Ebene 1 — Interne Nutzung. Nutzt Ihr Team ChatGPT, Copilot oder Gemini zum Verfassen, Zusammenfassen oder Programmieren, ohne dies externen Kunden anzubieten, sind Sie einfach Betreiber . Die Pflichten aus Kapitel V liegen bei OpenAI, Microsoft oder Google als Modellanbieter, nicht bei Ihnen. Ihre echte Pflicht, seit Februar 2025 in Kraft, ist Art. 4: KI-Kompetenz für alle, die diese Werkzeuge nutzen.
Ebene 2 — Sie bauen und verkaufen ein Produkt auf dem Modell. Hier ändert sich alles. Artikel 25 regelt die Verantwortung entlang der Wertschöpfungskette und nennt drei Fälle, in denen ein Händler, Betreiber oder Integrator zum Anbieter wird: (a) Sie versehen ein bereits auf dem Markt befindliches KI-System mit Ihrem eigenen Namen oder Ihrer Marke; (b) Sie nehmen eine wesentliche Änderung vor; oder (c) — der für GPAI-Integratoren relevanteste Fall — Sie ändern den Zweck eines nicht als hochriskant eingestuften KI-Systems mit allgemeinem Verwendungszweck so, dass es hochriskant wird .
Genau diesen dritten Fall erfüllen tausende Software-KMU, ohne es zu wissen. Die API von Claude oder GPT-4o zu nehmen und in ein Tool zum Screening von Lebensläufen, ein Kredit-Scoring oder eine Bildungsbewertung einzubetten, ist nicht „KI nutzen": Es ist die Schaffung eines Hochrisikosystems nach Anhang III, und Sie — nicht Anthropic oder OpenAI — werden dessen Anbieter, mit voller Konformitätsbewertung, eigener technischer Dokumentation, EU-Registrierung, menschlicher Aufsicht und Marktüberwachung nach Inverkehrbringen. Die Pflichten aus Kapitel V bleiben bei Anthropic oder OpenAI für ihr Modell ; Ihre betreffen Ihr System , und sie addieren sich, statt sich zu ersetzen.
Am schnellsten finden Sie es heraus, indem Sie in zwei Minuten markieren, was Ihr Produkt tut, im AI-Act-Risikoklassifikator , kostenlos und ohne Anmeldung. Wenn Sie außerdem wissen möchten, welche anderen Vorschriften — NIS2, DORA, DSGVO — Ihr Unternehmen betreffen, beantwortet der Assistent „Welche Vorschrift gilt für mich?" das in 10 Fragen. Die vollständige Rollenverteilung mit Entscheidungsbaum finden Sie in Anbieter, Betreiber, Importeur: wer im AI Act was tun muss , und was ein System zu Anhang III macht in AI-Act-Risikoklassifizierung und Anhang III erklärt .
Wann gilt ein GPAI-Modell als „systemisches Risiko"?
Artikel 51 Abs. 2 legt eine Vermutung fest: Ein Modell gilt als systemisches Risiko, wenn die kumulierte Trainingsrechenleistung 1025 FLOPs übersteigt. Das ist vor der Kommission widerlegbar, und nicht der einzige Weg: Die Kommission kann ein Modell auch anhand von Fähigkeiten mit hoher Wirkung benennen, unabhängig von der Rechenleistung, und den Schwellenwert per delegiertem Rechtsakt anpassen. Anbieter müssen die Kommission (Art. 52) benachrichtigen, sobald sie diesen Schwellenwert erreichen oder erwarten; heute liegt nur eine Handvoll Modelle der neuesten Generation — OpenAI, Google DeepMind, Anthropic, Meta — in diesem Bereich.
Beim Überschreiten der Schwelle fügt Artikel 55 vier weitere Pflichten zu Art. 53 hinzu: Modellbewertung mit dokumentierten adversarialen Tests, Bewertung und Minderung systemischer Risiken auf Unionsebene, Meldung schwerwiegender Vorfälle an das KI-Büro und angemessene Cybersicherheit. Für Ihr KMU ist das selten ein direktes Problem, erklärt aber, warum die Dokumentation eines Modells mit systemischem Risiko meist vollständiger ist. Prüfen Sie mit dem AI-Act-Risikoklassifikator , ob Ihr System eine zusätzliche Pflicht erbt.
Betrifft der Digital Omnibus die Pflichten der GPAI-Modelle?
Nein. Der Digital Omnibus zur KI — vom Rat am 29. Juni 2026 angenommen, am 8. Juli 2026 unterzeichnet (PE-CONS 30/1/26 REV 1) und noch nicht im EU-Amtsblatt veröffentlicht, mit erwarteter Veröffentlichung vor dem 2. August 2026 — verschiebt Anhang III (auf Dezember 2027) und Anhang I (auf August 2028). Er ändert keinen einzigen Artikel von Kapitel V: Die Pflichten der GPAI-Anbieter gelten unverändert seit dem 2. August 2025.
Er führt eine Zwischenkategorie zwischen KMU und Großunternehmen ein — „kleine Midcap-Unternehmen", bis zu 750 Beschäftigte und 150 Millionen Euro Umsatz —, auf die einige Vereinfachungsmaßnahmen ausgeweitet werden, die bisher nur KMU (Art. 99 Abs. 6) zugutekamen. Das betrifft aber die Konformität von Hochrisikosystemen, nicht die GPAI-Pflichten selbst: Art. 53 gilt gleichermaßen, ob es sich um OpenAI oder ein spanisches Start-up handelt, das sein eigenes Modell trainiert.
Welche Sanktionen gibt es bei Verstößen gegen GPAI-Pflichten?
Artikel 101 erlaubt der Europäischen Kommission — nicht der AESIA —, GPAI-Anbieter bei Verstößen, fehlender Bereitstellung angeforderter Informationen oder Behinderung von Modellbewertungen mit bis zu 15 Millionen Euro oder 3 % des weltweiten Umsatzes zu belegen, je nachdem, was höher ist. Das ist ein struktureller Unterschied: Sanktionen nach Anhang III und Artikel 50 verhängt die nationale Behörde — in Spanien die AESIA —, während GPAI-Sanktionen direkt von der Kommission verwaltet werden, da die Modelle unionsweit operieren. Ihre förmlichen Durchsetzungsbefugnisse gegenüber GPAI-Anbietern gelten ab dem 2. August 2026, obwohl die materiellen Pflichten bereits seit einem Jahr in Kraft sind.
Wird Ihr Unternehmen nach Art. 25 zum Anbieter eines auf einem GPAI-Modell aufgebauten Hochrisikosystems, gelten nicht mehr die Sanktionen aus Art. 101, sondern die allgemeinen aus Art. 99: bis zu 35 Mio. € oder 7 % des Umsatzes für verbotene Praktiken, bis zu 15 Mio. € oder 3 % für Verstöße gegen Hochrisikopflichten, wobei bei KMU automatisch der niedrigere Betrag gilt. Das vollständige Sanktionsregime mit der AESIA als zuständiger spanischer Behörde finden Sie in AI-Act-Sanktionen und die AESIA: Sanktionsregime und wer es in Spanien durchsetzt .
Schnell-Checkliste: Was sollte Ihr KMU je nach GPAI-Nutzung tun?
Wie Sie das Modell nutzen Ihre Rolle Was zu tun ist
Interne Nutzung von ChatGPT, Copilot, Gemini Betreiber KI-Kompetenz (Art. 4). Nichts weiter.
API in eigenes Produkt integriert, ohne automatisierte Entscheidungen über Personen Betreiber / Transparenz Art. 50 Die KI dem Nutzer gegenüber kenntlich machen und die Anhang-XII-Information des Anbieters aufbewahren.
An Dritte verkauftes Produkt, das eine Entscheidung nach Anhang III automatisiert (Personal, Kredit, Versicherung, Bildung...) Anbieter des Systems (Art. 25.1.c) Risikoklassifizierung, eigene technische Dokumentation, EU-Registrierung, menschliche Aufsicht. Beginnen Sie mit dem Klassifikator.
Sie trainieren Ihr eigenes GPAI-Modell von Grund auf Anbieter des Modells Vollständige Pflichten nach Art. 53 (und 55 bei systemischem Risiko). Erwägen Sie den Code of Practice.
Buchen Sie eine kostenlose 30-minütige Sitzung, um zu prüfen, ob Ihr KI-Produkt Sie zum Anbieter macht →
Häufige Fragen zu GPAI und Basismodellen im AI Act
Muss ich etwas tun, wenn ich ChatGPT oder Copilot in meinem KMU nur intern nutze?
Sehr wenig. Nutzt Ihr Team diese Tools nur intern, ohne sie Kunden anzubieten oder Entscheidungen über Personen zu automatisieren, sind Sie Betreiber, und die Pflichten aus Kapitel V liegen bei OpenAI oder Microsoft, nicht bei Ihnen. Ihre echte Pflicht ist die KI-Kompetenz (Art. 4), seit Februar 2025 in Kraft.
Was passiert, wenn ich die Claude- oder GPT-4o-API in mein eigenes Produkt integriere und es an Kunden verkaufe?
Das hängt vom Produkt ab. Informiert oder unterstützt es nur, bleiben Sie Betreiber mit Transparenzpflichten nach Art. 50. Bewertet es automatisiert Bewerber oder legt automatisiert einen Tarif fest, macht Sie Art. 25.1.c zum Anbieter eines Hochrisikosystems, mit eigenen Pflichten.
Muss ein GPAI-Anbieter den Code of Practice unterzeichnen?
Nein, freiwillig. Am 10. Juli 2025 veröffentlicht, gewährt er eine Konformitätsvermutung nach Art. 53 und 55. Google, Microsoft, OpenAI, Anthropic und IBM unterzeichneten; Meta lehnte ab, xAI trat nur dem Sicherheitskapitel bei.
Wann gilt ein GPAI-Modell als systemisches Risiko?
Art. 51 Abs. 2 vermutet ein systemisches Risiko ab 10²⁵ FLOPs kumulierter Trainingsrechenleistung, widerlegbar vor der Kommission. Sie kann auch per Beschluss anhand von Fähigkeiten mit hoher Wirkung erklärt werden. Heute liegt nur eine Handvoll aktueller Modelle von OpenAI, Google DeepMind, Anthropic oder Meta in diesem Bereich. Art. 55 fügt dann adversariale Tests, Risikominderung, Vorfallmeldung und verstärkte Cybersicherheit hinzu.
Verzögert der Digital Omnibus die GPAI-Pflichten?
Nein. Der Digital Omnibus zur KI, am 8. Juli 2026 unterzeichnet und noch nicht im EU-Amtsblatt veröffentlicht, verschiebt Anhang III (auf Dezember 2027) und Anhang I (auf August 2028), ändert aber Kapitel V nicht. Die Pflichten der GPAI-Anbieter gelten unverändert seit dem 2. August 2025.
Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.