General-Purpose AI. Was Anbieter und Betreiber tun müssen.

Ein KI-Modell mit allgemeinem Verwendungszweck ist ein Modell mit erheblicher Allgemeinheit, das eine Vielzahl unterschiedlicher Aufgaben ausführen und in verschiedene nachgelagerte Systeme integriert werden kann (Art. 3(63) KI-Verordnung). In der Praxis umfasst das alle großen Foundation-Modelle: GPT-4, Claude, Gemini, Llama, Mistral, Cohere und vergleichbare große Sprach- und Multimodal-Modelle. Die Verordnung unterscheidet (a) Basis-GPAI-Pflichten nach Art. 53 (Modellkarte, Trainingsdaten-Zusammenfassung, Copyright-Richtlinie, EU-Erklärung) und (b) GPAI mit systemischem Risiko nach Art. 55 (zusätzliche Modellevaluierung, adversariales Testen, Vorfallsmeldung, Cybersicherheit).

Zwei Wege. (1) Quantitative Schwelle (Art. 51(2)): Ein GPAI-Modell wird als systemisch riskant vermutet, wenn die kumulative Trainingsrechenleistung 10^25 Gleitkommaoperationen (FLOPs) übersteigt. Stand 2026 überschreiten nur die größten Modelle diese Schwelle — GPT-4-Klasse und höher. (2) Qualitative Einstufung (Art. 51(1)(a)): Die Kommission kann GPAI auch unterhalb der FLOP-Schwelle als systemisch riskant einstufen, basierend auf Auswirkungen auf den EU-Markt. Die Liste eingestufter systemisch riskanter Modelle wird in der EU-KI-Datenbank veröffentlicht.

Basis-GPAI (Art. 53): Modellkarte veröffentlichen, ausreichend detaillierte Zusammenfassung der Trainingsdaten, EU-Copyright-konforme Richtlinie (insb. Art. 4(3) Opt-Out-Mechanismus), Dokumentation für nachgelagerte Integratoren, EU-Vertreter benennen (bei Sitz außerhalb EU). Systemisch riskante GPAI (Art. 55): zusätzlich Modellevaluierung inkl. adversariales Testen, Bewertung und Mitigation systemischer Risiken, Dokumentation und Meldung schwerwiegender Vorfälle an das AI Office und zuständige Behörden, angemessene Cybersicherheit für Modell und Infrastruktur.

Der Code of Practice (Art. 56 KI-Verordnung) ist ein freiwilliger Selbstregulierungsrahmen, dem GPAI-Anbieter beitreten können, um ihre Compliance mit Art. 53 und 55 nachzuweisen. Vom AI Office in Zusammenarbeit mit Modellanbietern, Zivilgesellschaft und Wissenschaft entwickelt, finale Fassung erwartet Mitte 2026. Beitritt ist freiwillig, schafft aber regulatorische Klarheit — Nicht-Unterzeichner müssen Compliance durch alternative dokumentierte Mittel nachweisen. Große Anbieter (OpenAI, Anthropic, Google, Microsoft, Meta) sind öffentlich am Entwurf beteiligt.

Direkte GPAI-Pflichten treffen Modellanbieter, nicht Betreiber. Aber: Betreiber, die GPAI in eigene KI-Systeme einbauen, werden zu Anbietern dieser nachgelagerten Systeme — und erben die AI-Act-Pflichten für diese. Praktisch: (1) Art.-53-Dokumentation des GPAI-Anbieters verifizieren (Modellkarte, Trainingsdaten-Zusammenfassung, Copyright-Richtlinie) und Kopien archivieren, (2) bei systemisch riskanter GPAI Art.-55-Vorfallsberichte und Risikobewertungen anfordern, (3) eigenen Use Case in AI BOM und AIMS dokumentieren, (4) für Hochrisiko-Anwendungen eigene AI-Act-Konformitätsbewertung mit GPAI-Doku als Stütznachweis.

GPAI-Pflichten nach Art. 51-55 gelten ab 2. August 2025 — früher als Hochrisiko-Pflichten (Aug 2026). Modelle, die vor diesem Datum in Verkehr gebracht wurden, haben Zeit bis 2. August 2027 (Art. 111). Das AI Office (innerhalb der EU-Kommission) leitet die Durchsetzung, nationale Behörden kooperieren. Die erste Welle von GPAI-Modellevaluierungen und Code-of-Practice-Verhandlungen läuft jetzt (2025-2026). Strafen für GPAI-Verstöße nach Art. 101: bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes.