GPAI-Modelle nutzen welche Pflichten auf Anwender zukommen.
Wer im Unternehmen GPT, Gemini oder Claude einsetzt, nutzt ein sogenanntes GPAI-Modell — ein KI-Modell mit allgemeinem Verwendungszweck. Seit August 2025 unterliegen diese Modelle eigenen Regeln im EU AI Act, die zunächst die Anbieter treffen: Dokumentation, Urheberrechts-Policy, Transparenz über Trainingsdaten, bei besonders großen Modellen zusätzlich Risikobewertung und Meldepflichten. Die naheliegende Frage im Mittelstand lautet: Was davon betrifft mich als bloßen Anwender überhaupt? Die ehrliche Antwort ist zweigeteilt. Vieles bleibt beim Anbieter und entlastet Sie sogar — etwa die technische Modelldokumentation, auf die Sie sich stützen dürfen. Anderes schlägt durch: Wer ein GPAI-Modell in ein eigenes Produkt oder einen eigenen Dienst einbaut, wird schnell selbst zum Anbieter im Rechtssinne und erbt Pflichten. Dieser Beitrag ordnet ein, welche Pflichten beim Modellanbieter liegen, wo die Grenze zum eigenen Anbieterstatus verläuft, was der Verhaltenskodex praktisch bedeutet und welche Schritte Anwender jetzt konkret gehen sollten — ohne Panik, aber auch ohne die Sache auszusitzen.
Was GPAI-Modelle sind und warum sie eigene Regeln haben.
GPAI steht für „General Purpose AI“ — KI-Modelle, die nicht für eine einzige Aufgabe trainiert wurden, sondern ein breites Spektrum abdecken: Texte schreiben, zusammenfassen, programmieren, klassifizieren, übersetzen. Die großen Sprachmodelle hinter ChatGPT, Gemini, Claude oder Mistral fallen genau in diese Kategorie. Der EU AI Act behandelt sie gesondert, weil sie als Basis für unzählige nachgelagerte Anwendungen dienen — und Risiken sich damit über die gesamte Kette fortpflanzen.
Der Gesetzgeber unterscheidet zwei Stufen. Normale GPAI-Modelle unterliegen Transparenz- und Dokumentationspflichten. Modelle mit „systemischem Risiko“ — grob jene oberhalb einer sehr hohen Rechenschwelle beim Training — bekommen zusätzliche Auflagen: Risikobewertung, Tests gegen Missbrauch, Cybersicherheit, Meldung schwerwiegender Vorfälle. Diese zweite Stufe trifft praktisch nur eine Handvoll der weltweit größten Anbieter.
Wichtig für die Einordnung: Die GPAI-Regeln gelten seit August 2025 für neu in den Verkehr gebrachte Modelle. Für Modelle, die vorher schon am Markt waren, gibt es längere Übergangsfristen. Die Durchsetzung über Bußgelder läuft gestaffelt an. Wer heute startet, hat also Zeit zum Nachsteuern — aber die Richtung steht fest.
Welche Pflichten beim Modellanbieter bleiben.
Der Großteil der GPAI-Pflichten adressiert die Anbieter der Modelle, nicht die Anwender. Das ist eine gute Nachricht: Vieles, was kompliziert klingt, müssen Sie nicht selbst leisten.
Beim Anbieter liegen insbesondere folgende Aufgaben:
- Technische Dokumentation des Modells — Architektur, Fähigkeiten, Grenzen, Trainingsprozess — bereitzustellen für Behörden und für nachgelagerte Anbieter.
- Informationen für Downstream-Nutzer, damit diese das Modell verstehen und eigene Pflichten erfüllen können.
- Urheberrechts-Policy: eine Strategie, die das EU-Urheberrecht respektiert, inklusive Beachtung von Opt-outs der Rechteinhaber.
- Zusammenfassung der Trainingsdaten nach einer von der EU vorgegebenen Vorlage, hinreichend detailliert öffentlich gemacht.
Für Anwender heißt das konkret: Sie dürfen sich auf die Modelldokumentation stützen und müssen nicht nachvollziehen, wie das Modell trainiert wurde. Was Sie aber tun sollten, ist, diese Unterlagen tatsächlich anzufordern beziehungsweise zu sichten — sie sind Ihr Nachweis, dass Sie ein konformes Modell einsetzen.
Wann Sie als Anwender selbst zum Anbieter werden.
Hier liegt die für den Mittelstand wichtigste Weiche. Solange Sie ein GPAI-Modell schlicht über eine API oder Oberfläche nutzen — Texte entwerfen, E-Mails zusammenfassen, Code-Vorschläge generieren — bleiben Sie Anwender. Es gibt dann keine GPAI-spezifischen Pflichten für Sie; relevant sind eher die allgemeinen Sorgfalts-, Datenschutz- und gegebenenfalls Hochrisiko-Regeln aus anderen Teilen des AI Act.
Die Schwelle zum eigenen Anbieterstatus überschreiten Sie typischerweise, wenn Sie:
- ein Modell wesentlich modifizieren oder weitertrainieren (substanzielles Fine-Tuning) und das Ergebnis weitergeben,
- ein Modell unter eigenem Namen oder eigener Marke in ein Produkt einbauen, das Sie Dritten anbieten,
- oder ein Open-Source-Modell so verändern und verbreiten, dass Sie zum verantwortlichen Inverkehrbringer werden.
Ein internes Fine-Tuning rein für den Eigengebrauch — etwa um ein Modell auf Ihre Fachterminologie zu trimmen — löst diese Pflichten nach derzeitigem Verständnis in der Regel nicht aus, solange das Ergebnis das Haus nicht verlässt. Die genaue Abgrenzung ist im Detail noch in Klärung. Wer ein KI-gestütztes Produkt extern vermarkten will, sollte die Frage des Anbieterstatus früh rechtlich prüfen lassen, weil daran erhebliche Dokumentationspflichten hängen.
Was der GPAI-Verhaltenskodex praktisch regelt.
Parallel zum Gesetz hat die EU einen freiwilligen Verhaltenskodex (Code of Practice) für GPAI erarbeitet. Er ist kein zusätzliches Gesetz, sondern eine Art Umsetzungshilfe: Wer ihn unterzeichnet und befolgt, erhält eine widerlegbare Vermutung der Konformität — und damit weniger bürokratischen Nachweisaufwand gegenüber der Behörde.
Der Kodex gliedert sich grob in drei Bereiche: Transparenz (was muss dokumentiert und an Downstream-Nutzer weitergegeben werden), Urheberrecht (wie wird mit geschützten Trainingsinhalten umgegangen) und — nur für Modelle mit systemischem Risiko — Sicherheit. Mehrere große Anbieter haben den Kodex unterzeichnet, einzelne haben sich kritisch oder zurückhaltend geäußert.
Für Anwender ist der Kodex vor allem ein nützliches Auswahlkriterium. Ob ein Anbieter den Kodex unterzeichnet hat und die Modelldokumentation sauber bereitstellt, ist ein Signal für die Reife und Rechtskonformität — und erleichtert Ihnen die eigene Compliance, weil Sie sich auf belastbare Unterlagen stützen können. Verbindlich vorgeschrieben ist die Nutzung eines Kodex-konformen Modells für Sie nicht, aber sie reduziert Ihr Restrisiko spürbar.
Welche Pflichten trotzdem an Anwender durchschlagen.
Auch wer reiner Anwender bleibt, ist nicht völlig pflichtfrei — nur kommen die Pflichten aus anderen Ecken als dem GPAI-Kapitel. Drei Bereiche sind im Alltag am wichtigsten.
Transparenz gegenüber Betroffenen. Wenn Ihr System mit Menschen interagiert (Chatbot) oder Inhalte generiert, müssen Sie das in vielen Fällen kenntlich machen. KI-generierte oder -manipulierte Bilder, Audios und Videos sind als solche zu kennzeichnen. Diese Pflicht trifft den Betreiber, also Sie.
KI-Kompetenz. Seit Anfang 2025 verlangt der AI Act, dass Unternehmen sicherstellen, dass Personen, die KI-Systeme bedienen, über ausreichende KI-Kompetenz verfügen. Das ist keine Zertifizierungspflicht, aber Sie sollten Schulung und Sensibilisierung nachweisbar organisieren.
Hochrisiko-Anwendungen. Wenn Sie ein GPAI-Modell in einen Hochrisiko-Kontext einbauen — etwa Bewerberauswahl, Kreditwürdigkeit, kritische Infrastruktur — gelten die strengen Hochrisiko-Pflichten unabhängig davon, welches Modell darunter liegt. Dann brauchen Sie Risikomanagement, menschliche Aufsicht, Protokollierung und mehr.
Für den typischen Mittelstands-Einsatz — interne Textassistenz, Wissensrecherche, Entwurfshilfe — bleiben die Pflichten überschaubar: Kennzeichnung wo nötig, Mitarbeiterkompetenz, saubere Anbieterwahl.
Eine pragmatische Pflichten-Landkarte für Anwender.
Damit die Lage greifbar wird, hilft eine grobe Zuordnung typischer Nutzungsszenarien zum jeweiligen Pflichtenniveau:
| Nutzungsszenario | Ihre Rolle | Aufwand |
|---|---|---|
| Standard-API/Chat intern nutzen | Anwender | gering: Anbieterwahl, Schulung, ggf. Kennzeichnung |
| Internes Fine-Tuning ohne Weitergabe | i.d.R. Anwender | gering bis mittel |
| KI in Kundenprodukt einbauen (eigene Marke) | vermutlich Anbieter | hoch: eigene Dokumentation |
| Modell für Hochrisiko-Zweck einsetzen | Betreiber Hochrisiko | hoch: Risikomanagement, Aufsicht |
| Chatbot mit Endkundenkontakt | Betreiber | mittel: Transparenzkennzeichnung |
Diese Tabelle ersetzt keine Rechtsberatung und vereinfacht bewusst. Sie hilft aber, die eigene Situation grob zu verorten und zu erkennen, ob Sie sich im entspannten Anwender-Bereich bewegen oder in eine Zone mit echten Pflichten geraten.
Grenzen, offene Fragen und realistische Restrisiken.
Bei aller Struktur ist Vorsicht angebracht: Der AI Act ist jung, und mehrere Detailfragen sind noch nicht abschließend geklärt. Die genaue Abgrenzung zwischen „bloßer Anpassung“ und „wesentlicher Modifikation“, die ab wann zum Anbieterstatus führt, wird sich erst in Leitlinien und Praxis schärfen. Auch der Verhaltenskodex kann sich weiterentwickeln.
Hinzu kommt: GPAI-Compliance löst nicht Ihre Datenschutzfragen. Ob Sie personenbezogene Daten in ein Modell geben dürfen, richtet sich nach der DSGVO und dem Vertrag mit dem Anbieter — völlig unabhängig vom AI Act. Ein Modell kann GPAI-konform sein und Sie trotzdem in ein Datenschutzproblem führen, wenn Sie sensible Daten unbedacht eingeben.
Realistisch ist das größte Risiko für den Mittelstand nicht das hohe Bußgeld, sondern die unklare Verantwortungskette: Niemand fühlt sich zuständig, Modelle werden ohne Dokumentation eingeführt, und im Streitfall fehlt der Nachweis sorgfältigen Handelns. Wer hier früh Ordnung schafft, ist deutlich besser aufgestellt als wer auf finale Klarheit wartet.
Konkrete nächste Schritte für Ihr Unternehmen.
Aus der Lage lässt sich eine pragmatische, abarbeitbare Liste ableiten — bewusst ohne Über-Engineering:
- Inventur: Erfassen Sie, welche GPAI-Modelle und KI-Tools im Haus tatsächlich genutzt werden — oft mehr als gedacht, inklusive Schatten-IT.
- Anbieterprüfung: Bevorzugen Sie Anbieter, die Modelldokumentation bereitstellen und den Verhaltenskodex unterstützen — und sichern Sie diese Unterlagen.
- Rollenklärung: Prüfen Sie pro Anwendung, ob Sie Anwender, Betreiber oder gar Anbieter sind. Markieren Sie alle Fälle, in denen Sie KI extern weitergeben.
- Kennzeichnung und Kompetenz: Stellen Sie Kennzeichnung von KI-Inhalten und Chatbots sicher und organisieren Sie nachweisbare KI-Schulung.
- Hochrisiko-Filter: Identifizieren Sie Anwendungen mit Personalentscheidungen, Bonität oder kritischer Infrastruktur — dort gelten ganz andere Pflichten.
Ein erster Durchlauf dieser Schritte ist im Mittelstand oft in wenigen Tagen machbar und schafft die nötige Übersicht. Aufwendiger wird es nur dort, wo Sie KI in eigene Produkte einbauen oder Hochrisiko-Zwecke berühren — und genau diese Fälle sollten Sie früh erkennen, statt sie später teuer nachzudokumentieren.
Sie wollen wissen, ob Ihr KI-Einsatz Sie im entspannten Anwender-Bereich hält oder ungewollt in Anbieter- oder Hochrisiko-Pflichten führt? Unverbindlich anfragen — wir gehen Ihre Tools und Use-Cases durch, klären Ihre Rolle pro Anwendung und leiten eine schlanke, nachweisbare Pflichten-Landkarte ab.