EU AI Act: GPAI (General Purpose AI)

Der EU AI Act: GPAI (General Purpose AI) beschreibt die Regeln der EU für sogenannte General-Purpose-KI und „Foundation Models“ – also KI-Modelle, die breit einsetzbar sind und in vielen Anwendungen (z. B. Chatbots, Text-, Bild- oder Code-Generierung) weiterverwendet werden. Ziel ist, Risiken systematisch zu reduzieren, Transparenz zu erhöhen und Verantwortlichkeiten entlang der KI-Wertschöpfungskette festzulegen.

Was bedeutet GPAI im EU AI Act?

GPAI steht für „General Purpose AI“: KI-Systeme bzw. -Modelle, die nicht nur für einen einzigen Zweck entwickelt wurden, sondern als Basistechnologie in sehr unterschiedlichen Kontexten eingesetzt werden können. Typische Beispiele sind Large Language Model (LLM)-basierte Systeme wie ChatGPT oder andere Formen von Generative KI (Generative AI). Unternehmen können solche Modelle „out of the box“ nutzen, sie per Fine-Tuning oder LoRA anpassen oder sie in Workflows und Produkte integrieren.

Wie funktioniert die Regulierung für GPAI (vereinfacht)?

Der EU AI Act unterscheidet grob zwischen Pflichten für (1) Anbieter/Provider von GPAI-Modellen und (2) Unternehmen, die diese Modelle in konkrete KI-Systeme einbauen. Vereinfacht läuft das so ab:

• Modell-Ebene (GPAI-Provider): Der Anbieter eines Foundation Models muss bestimmte Transparenz-, Dokumentations- und Sicherheitsanforderungen erfüllen (z. B. technische Dokumentation, Informationen zur Nutzung, Risiko- und Sicherheitsmaßnahmen).
• System-Ebene (Downstream-Anbieter/Deployers): Wer das Modell in eine konkrete Anwendung einbettet (z. B. Recruiting-Tool, Customer Support Bot, Dokumentenprüfung), muss je nach Risiko-Klasse des KI-Systems zusätzliche Pflichten erfüllen.
• Bei „systemischen“ GPAI-Modellen: Für besonders leistungsfähige, breit wirksame Modelle können verschärfte Anforderungen gelten (z. B. intensiveres Testing, stärkere Risikominderung, Monitoring).

Welche Pflichten sind in der Praxis besonders relevant?

• Transparenz & Dokumentation: Unternehmen brauchen belastbare Infos darüber, was ein Modell kann, welche Grenzen es hat (z. B. Halluzinationen (Hallucinations)), und wie es sicher betrieben wird.
• Urheberrecht & Trainingsdaten: Relevante Vorgaben betreffen u. a. den Umgang mit Copyright (siehe Copyright & KI (Urheberrecht)), z. B. Transparenz über genutzte Datenquellen bzw. Policies.
• Governance & Nachweisfähigkeit: Anforderungen schlagen in Prozesse durch: AI Governance, Risikoanalysen (z. B. AI Risk Assessment (KI-Risikobewertung)) und nachvollziehbare Entscheidungen, insbesondere wenn ein GPAI-Modell Teil eines „High-Risk“-Systems wird.
• Sicherheitsmaßnahmen: Schutz vor Missbrauch (z. B. Prompt Injection), Leitplanken (siehe Guardrails (KI-Leitplanken)) und Monitoring/Observability (z. B. Model Monitoring & Observability (LLMOps)).
• Datenschutz-Schnittstelle: Der EU AI Act ersetzt nicht die DSGVO; in vielen Fällen müssen Anforderungen aus Datenschutz (DSGVO/GDPR) & KI parallel erfüllt werden (z. B. Datenminimierung, Rechtsgrundlagen, Auftragsverarbeitung).

Beispiele: Was bedeutet das für Unternehmen?

• Chatbot im Kundenservice: Nutzt ein Unternehmen ein GPAI-Modell für Antworten, braucht es u. a. klare Nutzungsregeln, Logging/Monitoring und Maßnahmen gegen Falschaussagen (z. B. RAG (Retrieval-Augmented Generation) mit Quellen, ggf. Citations (Quellenangaben) in LLMs).
• Automatisierung mit Agenten: In n8n-Workflows oder bei AI Agents (KI-Agenten) mit Tool-Zugriff (siehe Function Calling / Tool Use) werden Sicherheits- und Kontrollmechanismen wichtiger, z. B. Freigaben (HITL), Berechtigungen, Secrets-Handling und Sandboxing.
• HR- oder Scoring-Anwendungen: Wenn ein GPAI-Modell in potenziell hochriskanten Bereichen eingesetzt wird, steigen die Pflichten erheblich (Risikomanagement, Dokumentation, Qualitätssicherung, menschliche Aufsicht).

Warum ist das wichtig?

GPAI-Regeln sind relevant, weil viele KI-Produkte heute auf Foundation Models aufbauen. Der EU AI Act schafft dafür einen Rahmen, der Verantwortlichkeiten klärt: Provider müssen mehr Transparenz und Sicherheit liefern; Anwender müssen den Einsatz kontextbezogen absichern. Für Produktteams, Legal/Compliance und Engineering bedeutet das: frühzeitig Prozesse, Dokumentation und technische Schutzmaßnahmen einplanen – statt erst kurz vor dem Go-live.

Hinweis: Diese Zusammenfassung dient der Orientierung und ersetzt keine Rechtsberatung.