GPAI steht für General-Purpose AI, auf Deutsch KI-Modelle mit allgemeinem Verwendungszweck. Der EU AI Act widmet diesen Modellen ein eigenes Kapitel, weil sie eine besondere Rolle im KI-Ökosystem spielen: Sie sind nicht für eine einzige Aufgabe gebaut, sondern können eine breite Palette unterschiedlicher Aufgaben erfüllen und dienen als Grundlage für viele nachgelagerte Anwendungen. Die grossen Sprachmodelle, die hinter modernen Chatbots und Textgeneratoren stehen, sind das bekannteste Beispiel.
Die Definition im AI Act
Ein GPAI-Modell ist nach dem AI Act ein KI-Modell, das eine erhebliche allgemeine Verwendbarkeit aufweist und in der Lage ist, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, unabhängig davon, wie es in den Markt gebracht wird, und das sich in eine Vielzahl nachgelagerter Systeme oder Anwendungen integrieren lässt. Wichtig ist die Unterscheidung zwischen dem Modell und dem System: Das GPAI-Modell ist die zugrunde liegende Komponente, während ein KI-System die fertige Anwendung ist, die das Modell für einen konkreten Zweck nutzbar macht. Ein Modellanbieter und ein Anwendungsanbieter haben unterschiedliche Pflichten.
Warum GPAI gesondert reguliert wird
GPAI-Modelle stellen eine besondere regulatorische Herausforderung dar, weil ihre Vielseitigkeit zugleich ihr Risiko ist. Dasselbe Modell kann harmlos Texte zusammenfassen oder gefährlich Desinformation erzeugen, je nachdem, wie es eingesetzt wird. Zudem konzentriert sich die Entwicklung dieser sehr leistungsfähigen Modelle auf wenige grosse Anbieter, deren Modelle die Grundlage für tausende nachgelagerte Anwendungen bilden. Ein Problem im Modell pflanzt sich in alle darauf aufbauenden Systeme fort. Der AI Act adressiert dies, indem er Pflichten direkt an die Modellanbieter knüpft, sodass diese an der Quelle ansetzen.
Die Pflichten der GPAI-Anbieter
Anbieter von GPAI-Modellen müssen eine technische Dokumentation des Modells erstellen und aktuell halten, Informationen für nachgelagerte Anbieter bereitstellen, die diese benötigen, um ihre eigenen Pflichten zu erfüllen, eine Strategie zur Einhaltung des EU-Urheberrechts umsetzen und eine ausreichend detaillierte Zusammenfassung der für das Training verwendeten Inhalte veröffentlichen. Diese Pflichten gelten seit August 2025. Sie sollen Transparenz schaffen und sicherstellen, dass die Unternehmen, die auf GPAI-Modellen aufbauen, die nötigen Informationen erhalten.
GPAI mit systemischem Risiko
Der AI Act unterscheidet zusätzlich eine Klasse besonders leistungsfähiger Modelle mit systemischem Risiko. Ein Modell fällt in diese Kategorie, wenn es Fähigkeiten mit hoher Auswirkung aufweist, was unter anderem über die für das Training aufgewendete Rechenleistung vermutet wird. Für diese Modelle gelten verschärfte Pflichten: Sie müssen Modellbewertungen einschliesslich gegnerischer Tests durchführen, systemische Risiken bewerten und mindern, schwerwiegende Vorfälle dokumentieren und melden sowie ein angemessenes Cybersicherheitsniveau gewährleisten. Diese gestufte Regulierung trägt der Tatsache Rechnung, dass die grössten und fähigsten Modelle das grösste Schadenspotenzial haben.
Was die Integration eines GPAI-Modells bedeutet
Für die meisten Unternehmen ist nicht die Entwicklung, sondern die Nutzung von GPAI-Modellen relevant. Wer ein solches Modell über eine Schnittstelle in sein eigenes Produkt integriert — etwa um einen Chatbot, eine Textanalyse oder eine Empfehlungsfunktion anzubieten — wird in der Regel zum Anbieter oder Betreiber eines KI-Systems und muss die entsprechenden Pflichten prüfen. Je nach Einsatzzweck kann das resultierende System in eine höhere Risikoklasse fallen, etwa wenn es in der Personalauswahl eingesetzt wird. Die Wahl des Modellanbieters und der Hosting-Region hat zudem Datenschutzfolgen, weshalb die Integration sorgfältig zu planen ist.
Der Verhaltenskodex und harmonisierte Normen
Um die Umsetzung der GPAI-Pflichten zu erleichtern, sieht der AI Act Verhaltenskodizes vor, die in Zusammenarbeit zwischen Anbietern, Aufsicht und Zivilgesellschaft entwickelt werden. Sie konkretisieren, wie die abstrakten Pflichten praktisch erfüllt werden können, und bieten den Anbietern einen Weg, ihre Konformität nachzuweisen. Daneben entstehen harmonisierte technische Normen, die ähnliche Funktion erfüllen. Dieses Zusammenspiel aus Verordnung, Verhaltenskodizes und Normen ist typisch für die EU-Regulierung und soll Rechtssicherheit schaffen, ohne die schnelle Entwicklung der Technik zu ersticken.
Einordnung für DACH-Unternehmen
Der Unterschied zwischen Modell und System
Eine für die Praxis entscheidende Unterscheidung ist die zwischen einem GPAI-Modell und einem KI-System. Das Modell ist die zugrunde liegende, vielseitig verwendbare Komponente — etwa ein grosses Sprachmodell. Das System ist die konkrete Anwendung, die dieses Modell für einen bestimmten Zweck nutzbar macht, etwa ein Kundenservice-Chatbot. Der Anbieter des Modells und der Anbieter der Anwendung haben unterschiedliche Pflichten. Wer ein fremdes GPAI-Modell in sein Produkt integriert, übernimmt nicht die Modellanbieter-Pflichten, wird aber in der Regel zum Anbieter oder Betreiber des resultierenden KI-Systems und muss dessen Pflichten erfüllen. Diese saubere Trennung der Rollen ist wichtig, um die eigenen Verpflichtungen korrekt zu bestimmen.
Datenschutz bei der Nutzung von GPAI
Die Integration eines GPAI-Modells wirft erhebliche Datenschutzfragen auf, die parallel zum AI Act zu klären sind. Werden Nutzereingaben an ein Modell gesendet, das ausserhalb der EU betrieben wird, entsteht eine Datenübermittlung in ein Drittland, die nach DSGVO einer Rechtsgrundlage und geeigneter Garantien bedarf. Enthalten die Eingaben personenbezogene oder gar besondere Daten, verschärft sich die Lage. Unternehmen sollten daher bei der Wahl eines Modellanbieters die Hosting-Region und die vertraglichen Datenschutzgarantien prüfen. Innopulse integriert KI-Modelle in eigenen Produkten wie BudgetHub und Penday bewusst datenschutzkonform, mit EU-Hosting und ohne unnötige Datenweitergabe, und bringt diese Erfahrung in die Beratung zur GPAI-Nutzung ein.
Die Konzentration des Marktes
Ein struktureller Grund für die gesonderte Regulierung von GPAI ist die starke Konzentration des Marktes. Die Entwicklung der leistungsfähigsten Modelle erfordert enorme Rechenressourcen und Datenmengen, sodass nur wenige grosse Anbieter solche Modelle bereitstellen. Diese wenigen Modelle bilden jedoch die Grundlage für tausende nachgelagerte Anwendungen. Dadurch entsteht eine Abhängigkeit, in der Eigenschaften und Schwächen weniger Modelle sich über das gesamte Ökosystem ausbreiten. Der AI Act adressiert dies, indem er Transparenz- und Sorgfaltspflichten an der Quelle ansetzt. Für nachgelagerte Unternehmen bedeutet die Konzentration zugleich ein strategisches Risiko, das bei der Wahl des Modellanbieters und der Architektur des eigenen Produkts mitbedacht werden sollte.
Für die meisten DACH-Unternehmen ist die praktische Konsequenz, dass sie bei der Integration von GPAI-Modellen ihre eigene Rolle und die daraus folgenden Pflichten prüfen müssen. Dazu gehört, vom Modellanbieter die nötigen Informationen einzuholen, den Einsatzzweck des resultierenden Systems zu klassifizieren und die datenschutzrechtlichen Aspekte der Modellnutzung zu klären — insbesondere, wo Daten verarbeitet werden. Innopulse berät zu dieser Einordnung und integriert KI-Modelle in eigenen Produkten wie BudgetHub und Penday datenschutzkonform, sodass die Erfahrung aus dem eigenen Betrieb direkt in die Beratung einfliesst.
Fazit
GPAI-Modelle bilden das Fundament eines wachsenden Teils der KI-Anwendungen, und der EU AI Act adressiert ihre besondere Rolle mit einem eigenen Pflichtenregime an der Quelle. Für die meisten Unternehmen ist nicht die Entwicklung, sondern die Integration solcher Modelle relevant — verbunden mit der Pflicht, die eigene Rolle, den Einsatzzweck und die Datenschutzfolgen sorgfältig zu klären. Eine bewusste Wahl von Modellanbieter, Hosting-Region und Architektur entscheidet darüber, ob die Integration konform und datenschutzkonform gelingt.