Pflichten für GPAI-Modelle
Understand GPAI model obligations, systemic risk thresholds, and value chain responsibilities under the EU AI Act.
What Is Pflichten für GPAI-Modelle?
Lernen Sie den Rahmen der EU-KI-Verordnung für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) kennen. Verstehen Sie die Pflichten der Anbieter zu technischer Dokumentation und Trainingsdaten-Transparenz, die Kriterien zur Einstufung als systemisches Risiko sowie die nachgelagerten Verantwortlichkeiten, die sich entlang der KI-Wertschöpfungskette an Betreiber von Produkten auf Drittanbieter-Modellen weitergeben.
What You'll Learn in Pflichten für GPAI-Modelle
- Die beiden Auslöser für die Einstufung als GPAI mit systemischem Risiko erkennen (Rechenleistungs-Schwelle und Einstufung durch das KI-Büro)
- Grundpflichten für GPAI (für alle Modelle) von zusätzlichen Pflichten bei systemischem Risiko unterscheiden
- Erklären, warum Geschäftsgeheimnisse GPAI-Anbieter nicht von der Trainingsdaten-Transparenz befreien
- Die Verantwortlichkeiten nachgelagerter Betreiber beim Aufbau von Produkten auf GPAI-Modellen verstehen
- Urheberrechtliche Pflichten erkennen, die sich entlang der KI-Wertschöpfungskette weitergeben
Pflichten für GPAI-Modelle — Training Steps
-
Artikel 51-56: KI-Modelle mit allgemeinem Verwendungszweck
Die EU-KI-Verordnung schafft mit den Artikeln 51-56 einen eigenen Rechtsrahmen für KI-Modelle mit allgemeinem Verwendungszweck (GPAI). GPAI-Modelle sind KI-Modelle, die auf breit angelegten Daten trainiert wurden und eine Vielzahl von Aufgaben erfüllen können — Large Language Models sind das Hauptbeispiel. Alle GPAI-Anbieter müssen technische Dokumentation bereitstellen, das EU-Urheberrecht einhalten und eine hinreichend detaillierte Zusammenfassung ihrer Trainingsdaten veröffentlichen. GPAI mit systemischem Risiko — Modelle, die mit einer Rechenleistung von mehr als 10^25 FLOPs trainiert wurden oder vom KI-Büro entsprechend eingestuft werden — unterliegen zusätzlichen Pflichten: kontradiktorische Tests (Red-Teaming), Vorfallsmeldung, Cybersicherheitsmaßnahmen und Offenlegung des Energieverbrauchs. Diese Pflichten gelten für den Modellanbieter. Nachgelagerte Unternehmen, die Produkte auf GPAI-Modellen aufbauen, übernehmen jedoch eigene Verantwortlichkeiten.
-
Prüfung der Modellauswahl
Eine E-Mail von Raj Patel, dem CTO von NovaMind Labs, trifft ein. Zwei GPAI-Modelle stehen für die Kundensupport-Plattform zur Auswahl, und Alice soll die Compliance-Dokumentation beider Modelle prüfen.
-
Reviewing the Model Cards
Alice opens the model evaluation page via the link in Raj's email. The page shows both candidate models side by side - their compute footprint, documentation status, training data, and evaluation results.
-
Wissenstest: Trainingsdaten-Transparenz
Before continuing the evaluation, a question about GPAI provider obligations. After answering, the documentation portal has a Continue to Systemic Risk Assessment link at the bottom of the page that opens the deeper checklist.
-
Bewertung des systemischen Risikos
The systemic risk checklist lays out both regulatory pathways into Article 55 (compute threshold and AI Office designation) and the additional obligations they trigger compared to standard GPAI.
-
Nachgelagerte Pflichten und Urheberrecht
Wenn NovaMind eine Kundensupport-Plattform auf einem GPAI-Modell aufbaut, kann das daraus entstehende System nach dem Risikorahmen der EU-KI-Verordnung eigenständig eingestuft werden. Ein allgemeiner Kunden-FAQ-Bot ist vermutlich begrenzt risikoreich (nur Transparenzpflichten). Trifft das System jedoch Entscheidungen, die den Zugang von Kundinnen und Kunden zu Dienstleistungen, Krediten oder Versicherungen beeinflussen, kann es hochriskant sein — was Konformitätsbewertung, menschliche Aufsicht und Vorfallsmeldung auslöst. NovaMind muss das eigenständig prüfen; die Pflichten des GPAI-Anbieters umfassen nicht die Risikoeinstufung des nachgelagerten Betreibers. Auch die Einhaltung des Urheberrechts gibt sich entlang der Wertschöpfungskette weiter. GPAI-Anbieter müssen das EU-Urheberrecht einhalten, einschließlich des Text- und Data-Mining-Opt-out (Artikel 4 der DSM-Richtlinie). Erzeugt ein GPAI-Modell Inhalte, die urheberrechtlich geschütztem Material ähneln, und stellt NovaMind diese Kundinnen und Kunden bereit, können sowohl der Anbieter als auch NovaMind haftbar sein . Prüfen Sie vor dem Aufbau auf einem GPAI-Modell die Compliance-Dokumentation des Anbieters zum Urheberrecht und ziehen Sie Schutzvorkehrungen zur Inhalts-Filterung in Betracht.
-
Submitting the Evaluation
Alice has the full picture: documentation gaps, systemic risk classification, and the downstream obligations NovaMind will own. Now she replies to Raj with a structured evaluation - per-model findings mapped to specific articles, plus a clear recommendation.
-
Why Each Part of the Report Matters
A good GPAI evaluation isn't a verdict, it's an audit trail. Each section of Alice's reply does specific work for Raj and for the procurement record.
-
Abschluss: GPAI in der Wertschöpfungskette
Alice has completed the GPAI model evaluation and filed her recommendation. Here are the key takeaways from Articles 51-56: Layered obligations GPAI obligations flow through the value chain: the model provider has baseline duties, and the downstream deployer inherits additional responsibilities based on how the model is used. Baseline provider duties All GPAI providers must supply technical documentation and a sufficiently detailed training data summary. Trade secrets do not override this requirement. Systemic risk threshold GPAI models trained with compute exceeding 10^25 FLOPs, or designated by the AI Office, are classified as systemic risk. This triggers additional obligations: adversarial testing, incident reporting, cybersecurity measures, and energy consumption disclosure. Independent risk assessment Downstream deployers must independently assess the risk classification of the product they build on a GPAI model. The provider's compliance does not cover the deployer. Copyright runs through the chain Copyright compliance is not just the provider's problem. If a GPAI model generates copyrighted content and the deployer serves it, both parties may face liability.