KI-Modelle mit allgemeinem Verwendungszweck (GPAI) unter der EU-KI-Verordnung
Vollständiger Leitfaden zu den GPAI-Modellpflichten unter der EU-KI-Verordnung — Transparenzanforderungen, Bewertung systemischer Risiken und was Anbieter von Basismodellen tun müssen.
KI-Modelle mit allgemeinem Verwendungszweck — die großen Sprachmodelle, multimodalen Systeme und Basismodelle, die ein zunehmend breites Spektrum von Anwendungen antreiben — erhielten in der EU-KI-Verordnung eine gesonderte Behandlung. Kapitel V und die Artikel 51 bis 56 der Verordnung 2024/1689 schaffen einen spezifischen Regulierungsrahmen für diese Modelle, der anerkennt, dass sie einzigartige Herausforderungen darstellen, die das risikobasierte Klassifizierungssystem allein nicht bewältigen kann.
Das Kernproblem ist einfach: Wenn ein Modell für praktisch jede nachgelagerte Anwendung verwendet werden kann, lässt sich sein Risikoniveau nicht durch Betrachtung des Modells selbst bestimmen. Ein großes Sprachmodell könnte einen harmlosen Poesie-Generator oder ein Hochrisiko-Diagnosetool für die Medizin antreiben. Die KI-Verordnung adressiert dies, indem sie GPAI-Modelle auf Modellebene reguliert, getrennt von und zusätzlich zu den risikobasierten Regeln, die für spezifische KI-Systemeinsätze gelten.
GPAI-Pflichten gelten ab dem 2. August 2025, was sie zu den früheren in Kraft tretenden Bestimmungen macht.
Was als KI-Modell mit allgemeinem Verwendungszweck qualifiziert
Artikel 3 Absatz 63 definiert ein KI-Modell mit allgemeinem Verwendungszweck als „ein KI-Modell, auch wenn ein solches Modell mit einer großen Datenmenge unter Nutzung von Self-Supervision im großen Maßstab trainiert wird, das eine erhebliche Allgemeinheit aufweist und in der Lage ist, ein breites Spektrum unterschiedlicher Aufgaben kompetent auszuführen."
Die Definition ist bewusst weit gefasst. Sie umfasst große Sprachmodelle (wie GPT-4, Claude, Gemini, Llama), multimodale Modelle und andere Basismodelle. Sie umfasst auch feinabgestimmte Varianten dieser Modelle, wenn sie eine erhebliche Allgemeinheit beibehalten.
Das Zwei-Stufen-Rahmenwerk
Die KI-Verordnung schafft zwei Stufen von GPAI-Pflichten:
Stufe 1: Alle GPAI-Modelle
Alle Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen grundlegende Transparenz- und Dokumentationspflichten erfüllen, unabhängig von den Fähigkeiten oder dem Risikoprofil des Modells.
Stufe 2: GPAI-Modelle mit systemischem Risiko
GPAI-Modelle, die ein systemisches Risiko darstellen, unterliegen zusätzlichen, anspruchsvolleren Pflichten. Ein Modell wird als systemisches Risiko eingestuft, wenn die kumulative Rechenleistung für sein Training, gemessen in Gleitkommaoperationen (FLOPs), 10^25 FLOPs übersteigt.
High RiskDie 10^25-FLOPs-Schwelle ist eine Vermutung, keine harte Grenze. Die Kommission kann Modelle unterhalb dieser Schwelle als systemisch riskant einstufen, und Anbieter können argumentieren, dass Modelle oberhalb der Schwelle kein systemisches Risiko darstellen. Die Widerlegung der Vermutung erfordert jedoch substanzielle Nachweise.
Stufe-1-Pflichten: Was alle GPAI-Anbieter tun müssen
Technische Dokumentation
Anbieter müssen technische Dokumentation des Modells erstellen und aktuell halten, einschließlich des Trainings- und Testprozesses und der Ergebnisse seiner Bewertung.
Urheberrechts-Compliance
GPAI-Anbieter müssen eine Richtlinie zur Einhaltung des EU-Urheberrechts aufstellen, insbesondere der Richtlinie 2019/790 (Urheberrechtsrichtlinie für den digitalen Binnenmarkt). Dies umfasst die Identifizierung und Beachtung von Rechtevorbehalten und die öffentliche Bereitstellung einer hinreichend detaillierten Zusammenfassung der verwendeten Trainingsdaten.
Die Anforderung der Zusammenfassung der Trainingsdaten ist einer der am meisten diskutierten Aspekte des GPAI-Rahmenwerks. Anbieter müssen eine Zusammenfassung bereitstellen, die „hinreichend detailliert" ist, um Rechteinhabern die Feststellung zu ermöglichen, ob ihre Werke verwendet wurden. Das KI-Büro hat eine Vorlage für diese Zusammenfassung veröffentlicht.
Information an nachgelagerte Anbieter
GPAI-Modellanbieter müssen Anbietern von KI-Systemen, die das Modell integrieren möchten, ausreichende Informationen und Dokumentation bereitstellen, damit diese die Fähigkeiten und Grenzen des Modells verstehen und ihre eigenen Pflichten erfüllen können.
Bauen Sie auf GPAI-Modellen auf? Stellen Sie die nachgelagerte Compliance sicher.
Ctrl AI bietet die Transparenz- und Audit-Infrastruktur, die zum Nachweis der Compliance beim Einsatz von Systemen benötigt wird, die auf KI-Modellen mit allgemeinem Verwendungszweck basieren.
Learn About Ctrl AIStufe-2-Pflichten: GPAI-Modelle mit systemischem Risiko
Anbieter von GPAI-Modellen mit systemischem Risiko müssen alle Stufe-1-Pflichten plus zusätzliche Anforderungen erfüllen:
Modellbewertung
Anbieter müssen Modellbewertungen durchführen, einschließlich Adversarial Testing (Red-Teaming), um systemische Risiken zu identifizieren und zu mindern.
Bewertung und Minderung systemischer Risiken
Anbieter müssen mögliche systemische Risiken bewerten und mindern, einschließlich ihrer Quellen.
Vorfallverfolgung und -meldung
Anbieter müssen schwerwiegende Vorfälle und mögliche Korrekturmaßnahmen dokumentieren und dem KI-Büro melden.
Cybersicherheitsschutz
Anbieter müssen ein angemessenes Maß an Cybersicherheitsschutz für das GPAI-Modell und die physische Infrastruktur sicherstellen.
Open-Source-GPAI-Modelle
Die KI-Verordnung sieht Teilausnahmen für Open-Source-GPAI-Modelle vor. Artikel 53 Absatz 2 befreit Anbieter von GPAI-Modellen, die unter einer freien Open-Source-Lizenz veröffentlicht werden, von mehreren Stufe-1-Anforderungen — insbesondere den technischen Dokumentations- und nachgelagerten Informationspflichten.
Diese Ausnahme gilt jedoch nicht für die Urheberrechts-Compliance-Pflicht und nicht für Open-Source-GPAI-Modelle mit systemischem Risiko.
Open Source bedeutet nicht exempt. Wenn ein Open-Source-GPAI-Modell die 10^25-FLOPs-Schwelle überschreitet oder anderweitig als systemisch riskant eingestuft wird, gelten die vollständigen Stufe-2-Pflichten.
Durchsetzung und das KI-Büro
GPAI-Bestimmungen werden primär durch das KI-Büro innerhalb der Europäischen Kommission durchgesetzt. Bußgelder für GPAI-Anbieter können bis zu 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes betragen.
Zeitplan für GPAI-Compliance
Auswirkungen für nachgelagerte Betreiber
Wenn Ihre Organisation KI-Systeme auf Basis von GPAI-Modellen entwickelt — beispielsweise über eine API eines Basismodellanbieters — sind Sie kein GPAI-Anbieter. Ihre Pflichten fallen unter das Standard-Risikorahmenwerk. Sie müssen jedoch:
Angemessene Dokumentation erhalten. Sie haben das Recht, ausreichende Informationen vom GPAI-Anbieter zu erhalten, um Ihre eigenen Pflichten zu erfüllen.
Nachgelagertes Risiko unabhängig bewerten. Die GPAI-Compliance des zugrunde liegenden Modells macht Ihr System nicht automatisch konform.
Modellaktualisierungen überwachen. Wenn das GPAI-Modell aktualisiert wird, kann sich das Risikoprofil Ihres Systems ändern.
Fazit
Das GPAI-Rahmenwerk repräsentiert die Anerkennung der EU, dass Basismodelle Governance-Ansätze erfordern, die über die traditionelle Produktsicherheitsregulierung hinausgehen. Durch die Regulierung auf Modellebene und die Einführung der Stufe für systemisches Risiko schafft die KI-Verordnung einen verhältnismäßigen Rahmen — mit grundlegenden Pflichten für alle GPAI-Anbieter und strengeren Anforderungen für diejenigen, deren Modelle Schaden im großen Maßstab verursachen könnten.
Mit GPAI-Pflichten ab dem 2. August 2025 ist jetzt die Zeit zur Vorbereitung.
Make Your AI Auditable and Compliant
Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.
Explore Ctrl AIVerwandte Artikel
Transparenzpflichten der EU-KI-Verordnung: Was Sie offenlegen müssen
Leitfaden zu den Transparenzanforderungen der EU-KI-Verordnung — Offenlegungspflichten für KI-Systeme, Chatbots, Deepfakes und Emotionserkennung. Artikel 50-52 erklärt.
Umsetzung der EU-KI-Verordnung nach Ländern
Wie verschiedene EU-Mitgliedstaaten die KI-Verordnung umsetzen — nationale zuständige Behörden, regulatorische Sandkästen und länderspezifische Ansätze zur KI-Governance.
Verbotene KI-Praktiken unter der EU-KI-Verordnung
Vollständige Liste der durch die EU-KI-Verordnung verbotenen KI-Praktiken — Social Scoring, manipulative KI, biometrische Echtzeitüberwachung und mehr. Verstehen Sie, was verboten ist und warum.