General-Purpose AI, also der EU-Begriff für die heute dominanten Foundation Models, ist seit dem zweiten August 2025 ein eigener Regulierungsgegenstand des EU AI Act. Was viele Mittelständler dabei übersehen: Die Pflichten richten sich nicht nur an die großen Anbieter wie OpenAI, Mistral oder Aleph Alpha, sondern erfassen unter bestimmten Bedingungen auch deutsche KMU, die ein offenes Modell substantiell weiterentwickeln und unter eigenem Namen in den Verkehr bringen. Diese Anbieter-Eigenschaft ist die wichtigste Weichenstellung, weil sie über die Anwendung von Annex XI und Annex XII entscheidet.
Warum die GPAI-Pflichten ausgerechnet Mittelständler überraschen
Die öffentliche Debatte zum AI Act dreht sich überwiegend um Hochrisiko-Systeme nach Annex III, also um Anwendungen im Personalwesen, in der Kreditprüfung oder in sicherheitskritischen Produkten. Die GPAI-Regulierung in Kapitel V des AI Act läuft daneben und betrifft eine ganz andere Akteursgruppe, weil sie nicht den Einsatzbereich, sondern die Modell-Eigenschaft adressiert. Genau diese Logik führt dazu, dass mittelständische Software-Anbieter, Beratungshäuser und industrielle Anwender, die ein offenes Modell wie Llama 3 oder Mistral substantiell fine-tunen, plötzlich zu einem GPAI-Anbieter werden können, ohne dass sie ein Hochrisiko-System nach Annex III betreiben.
Die wirtschaftliche Folge ist erheblich, weil die Annex-XI-Dokumentation und die Annex-XII-Informationspflichten gegenüber nachgelagerten Anbietern eine eigene Aufwandsklasse darstellen, die in der ursprünglichen AI-Act-Diskussion kaum vorkam. Wer hier zu spät erkennt, dass er als Anbieter qualifiziert, riskiert Bußgelder nach Artikel 101 in Höhe von bis zu 3 Prozent des Weltjahresumsatzes und Reputationsschäden im Verhältnis zu nachgelagerten Kunden, die ihrerseits compliance-pflichtig sind.
Wann Sie tatsächlich zum GPAI-Anbieter werden
Die Grenze zwischen Nutzer, Downstream-Anbieter und GPAI-Anbieter verläuft entlang von drei Kriterien, die sich aus Artikel 2 und 3 sowie aus den Leitlinien des EU AI Office ergeben. Diese drei Kriterien lassen sich gut in einer Entscheidungsmatrix darstellen.
| Konstellation | Beispiel im Mittelstand | Anbieter-Status |
|---|---|---|
| Reine Nutzung über API | Sie rufen GPT-4 oder Mistral Large per API auf | Kein GPAI-Anbieter, ggf. Betreiber |
| Prompt-Engineering oder RAG | Sie bauen einen RAG-Chatbot auf Basis eines bestehenden Modells | Kein GPAI-Anbieter |
| Leichtes Fine-Tuning ohne Markenwechsel | Sie passen ein offenes Modell minimal an, vertreiben es aber unter dem Originalnamen | Kein GPAI-Anbieter, ggf. Downstream-Anbieter |
| Substantielles Fine-Tuning unter eigenem Namen | Sie veröffentlichen ein eigenes Modell „Acme-LLM” auf Basis von Llama 3 | GPAI-Anbieter nach Artikel 53 |
| Eigenes Training mit erheblichem Rechenaufwand | Sie trainieren ein eigenes Sprachmodell von Grund auf | GPAI-Anbieter, ggf. mit systemischem Risiko |
In der Praxis fallen die meisten mittelständischen KI-Projekte in die ersten drei Zeilen und sind damit nicht von den GPAI-Anbieterpflichten betroffen. Nur die Konstellation in Zeile vier und fünf löst die volle Pflichtenkette aus, und genau diese Zeilen müssen vor jedem ambitionierteren Modell-Projekt geklärt werden.
Was Annex XI und Annex XII konkret von Ihnen verlangen
Annex XI ist die technische Dokumentation, die Sie als Anbieter intern führen müssen und auf Anfrage der Aufsichtsbehörde innerhalb angemessener Frist vorlegen. Diese Dokumentation enthält neun Punkte, darunter die allgemeine Modellbeschreibung, die Aufgaben und das geplante Einsatzfeld, die Modellarchitektur und die Trainingsverfahren, eine ausreichend detaillierte Beschreibung der Trainingsdaten mit Herkunftshinweisen, die Beschreibung der Daten-Governance-Maßnahmen, den Rechenaufwand und Energieverbrauch des Trainings, die durchgeführten Tests und Evaluationsergebnisse sowie die Maßnahmen zur Einhaltung des Urheberrechts.
Annex XII ist die Informationspflicht gegenüber nachgelagerten Anbietern, also gegenüber Unternehmen, die Ihr Modell in eigene Systeme integrieren. Diese Informationen müssen so detailliert sein, dass der Downstream-Anbieter seine eigenen Pflichten aus dem AI Act erfüllen kann, insbesondere die Risikomanagement-Pflichten und die Dokumentation nach Annex IV, falls er ein Hochrisiko-System baut. Praktisch enthält Annex XII Punkte wie die Schnittstellenbeschreibung, den vorgesehenen Verwendungszweck, die bekannten Grenzen und Schwächen des Modells, die Lizenzbedingungen und die Update-Politik.
Drei Fallbeispiele aus unserer Beratung
In den Mandaten der letzten Monate haben wir drei wiederkehrende Konstellationen gesehen, die typische Mittelständler-Profile sind. Diese Beispiele zeigen, wie unterschiedlich die Pflichtenlage ausfallen kann.
Beratungshaus mit RAG-Chatbot
Ein mittelständisches Beratungshaus baut einen internen Wissens-Chatbot auf Basis von GPT-4 mit eigenem Vektor-Index. Das System nutzt das GPAI-Modell, verändert es aber nicht. Die Beratungsleistung verbleibt vollständig in der RAG-Schicht und im Prompt-Design.
- Status: Kein GPAI-Anbieter
- Pflichten: Nur Artikel-4-Kompetenznachweis und ggf. Transparenz nach Artikel 50
- Beratungsaufwand: Eintägige Statusklärung plus Schulungskonzept
Software-Mittelständler mit Branchenmodell
Ein SaaS-Anbieter trainiert ein eigenes Branchenmodell für die Rechtsbranche, das auf Llama 3 aufbaut, aber substantiell auf eigenen Daten weitertrainiert und unter eigenem Namen vermarktet wird.
- Status: GPAI-Anbieter nach Artikel 53
- Annex-XI- und Annex-XII-Dokumentation erforderlich
Industrieller Anwender mit Vision-Modell
Ein Maschinenbauer trainiert ein Vision-Modell für Qualitätskontrolle, das jedoch ausschließlich intern eingesetzt und nicht an Dritte vermarktet wird.
- Status: Kein GPAI-Anbieter (keine Inverkehrbringung)
- Aber Hochrisiko-Pflichten möglich, falls Annex III einschlägig
Diese drei Beispiele zeigen das Spektrum, in dem sich Mittelständler heute typischerweise bewegen. In der Beratung gehen wir die konkreten KI-Projekte Ihres Unternehmens durch und ordnen jedes Projekt einer dieser drei Kategorien zu, sodass am Ende eine klare Pflichtenmatrix steht. Bevor Sie eine externe Beratung beauftragen, prüfen Sie kostenlos die Förderfähigkeit Ihres Unternehmens über unseren BAFA-Förderfähigkeits-Check. Eine vollständige Übersicht aller AI-Act-Pflichten finden Sie auf unserer Hub-Seite AI-Act-Beratung im Überblick.
Der freiwillige Code of Practice als Abkürzung
Die EU AI Office hat parallel zur Veröffentlichung der Verordnung einen Code of Practice für GPAI-Anbieter moderiert, der die abstrakten Pflichten aus Artikel 53 in konkrete Schritte übersetzt. Anbieter, die dem Code beitreten und die dort definierten Maßnahmen einhalten, profitieren von einer Vermutungswirkung der Compliance, was im Streitfall die Beweislast zugunsten des Anbieters verschiebt. Für mittelständische Anbieter, die ihr erstes eigenes Modell veröffentlichen, ist der Beitritt typischerweise die effizienteste Variante, weil der Code gleichzeitig als Dokumentationsraster für Annex XI und Annex XII fungiert.
Der Beitritt ist freiwillig und mit keinerlei Mitgliedsgebühren verbunden, allerdings mit der Pflicht zur regelmäßigen Selbstauskunft über die Umsetzung. In der Praxis bedeutet das ein bis zwei Tage interner Arbeit pro Jahr, die sich gegen den Aufwand einer Behörden-Anfrage ohne Code-Beitritt schnell rechnet.
Wie eine BAFA-geförderte GPAI-Klärung abläuft
Wir starten typischerweise mit einer halbtägigen Statusklärung, in der wir gemeinsam die in Ihrem Haus eingesetzten oder geplanten Modelle inventarisieren und jedes Projekt der oben gezeigten Matrix zuordnen. Diese Klärung ist die wichtigste Etappe, weil sie über den gesamten weiteren Aufwand entscheidet. In rund 70 Prozent unserer Mandate stellt sich heraus, dass kein GPAI-Anbieter-Status vorliegt und die weiteren Pflichten überschaubar sind.
Im zweiten Schritt, falls Sie tatsächlich Anbieter sind, bauen wir das Annex-XI- und Annex-XII-Gerüst auf, prüfen den Sinn eines Beitritts zum Code of Practice und liefern die Schulungsunterlagen für die KI-Kompetenz nach Artikel 4. Der schriftliche Endbericht ist gleichzeitig der BAFA-Verwendungsnachweis und enthält die Pflichtenmatrix, das Dokumentationsgerüst und die Empfehlung zum Code of Practice.