Blog
CMS Deutschland bloggt
Aktuelle Rechtsthemen und was eine Großkanzlei sonst bewegt
1. August 2025
GPAI-Compliance EU-Leitlinie
Künstliche Intelligenz

GPAI-Compliance: EU-Leitlinien veröffentlicht

David Rappenglück und Maximilian Vonthien SEITE DRUCKEN   SEITE SCHICKEN

Die neuen GPAI-Guidelines der EU-Kommission konkretisieren die zentralen Bestimmungen und Durchsetzungsmechanismen für GPAI-Modelle nach der KI-VO.

Es gibt neue Guidelines für Künstliche Intelligenz (KI). Am 18. Juli 2025 hat die Europäische Kommission ihre finalen Leitlinien zur Auslegung der Pflichten für sogenannte KI-Modelle mit allgemeinem Verwendungszweck (im Englischen General-Purpose AI Models [GPAI-Modelle]) veröffentlicht (Leitlinien für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck | Gestaltung der digitalen Zukunft Europas) (GPAI-Guidelines). Die GPAI-Guidelines konkretisieren die Vorgaben aus Kapitel V der KI-Verordnung (KI-VO, AI Act) und sollen Anbietern helfen, die eigene Betroffenheit zutreffend zu beurteilen und regulatorische Anforderungen frühzeitig in ihre Compliance-Prozesse zu integrieren. 

Die Verpflichtungen für Anbieter von GPAI-Modellen gelten ab dem 2. August 2025; die aktive Durchsetzung durch das EU AI Office beginnt ein Jahr später – am 2. August 2026.

Rechtsnatur und Einordnungsfunktion der GPAI-Guidelines

Die GPAI-Guidelines wurden gemäß Art. 96 Abs. 1 KI-VO als Auslegungshilfe zur praktischen Umsetzung von Kapitel V KI-VO erlassen. Rechtlich handelt es sich um Soft Law: Die Guidelines sind nicht bindend (Art. 288 AEUV), prägen aber maßgeblich die Vollzugspraxis der Kommission im Rahmen ihrer exklusiven Aufsicht nach Art. 75 KI-VO. Eine verbindliche Auslegung der KI-VO bleibt hingegen dem EuGH vorbehalten.

Im Vergleich zur Entwurfsfassung vom April 2025 (Kommission bittet um Beiträge zur Präzisierung der Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck | Gestaltung der digitalen Zukunft Europas), die primär konsultativen Charakter hatte, liegt nun ein finalisierter, normativ strukturierter Maßstab für die regulatorische Umsetzung von Kapitel V KI-VO vor.

Damit sind die GPAI-Guidelines mehr als bloße Orientierungshilfe: Sie bilden das Interpretationsraster der Kommission zur Anwendung von Kapitel V und setzen den Referenzrahmen für risikoorientierte Compliance, technische Dokumentation und regulatorische Kommunikation im Kontext der GPAI-Modelle.

Auslegungshinweise zur Definition eines GPAI-Modells

Nach der Legaldefinition in Art. 3 Nr. 63 KI-VO, fällt ein KI-Modell unter die Definition eines GPAI-Modells, wenn es eine „erhebliche allgemeine Verwendbarkeit“ aufweist, also in der Lage ist, eine Vielzahl unterschiedlicher Aufgaben kompetent zu erfüllen, ohne auf ein konkretes Anwendungsgebiet beschränkt zu sein. 

Die EU-Kommission präzisiert diesen offenen Begriff in ihren GPAI-Guidelines durch zwei wesentliche Indikatoren: 

  • Erstens muss das Modell multimodal operieren können – insbesondere Text, Sprache, Bild oder Video generieren. 
  • Zweitens dient der zum Training verwendete Rechenaufwand („Training Compute“) als messbares Kriterium. Ein Schwellenwert von 10²³ FLOP gilt als Anhaltspunkt dafür, dass ein Modell typischerweise die erforderliche Funktionalität erreicht.

Gleichzeitig betonen die GPAI-Guidelines – anhand anschaulicher Beispielsfälle – ausdrücklich, dass dieser Schwellenwert nicht konstitutiv, sondern indikativ ist: KI-Modelle mit geringerem Training Compute können dennoch GPAI-Modelle sein, wenn sie eine hinreichende Aufgabenbreite kompetent abdecken; umgekehrt kann ein Modell trotz hoher FLOP-Leistung aus der GPAI-Kategorie herausfallen, wenn es funktional eng zugeschnitten ist. 

Schließlich stellt die Kommission klar, dass GPAI-Modelle über ihren gesamten Lebenszyklus hinweg unter die Regulierung fallen – einschließlich solcher Weiterentwicklungen, die z.B. durch Merging von Modellen entstehen, solange diese Maßnahmen im Verantwortungsbereich desselben Anbieters erfolgen.

Präzisierungen zu den Transparenzpflichten gemäß Art. 53 KI-VO

Die GPAI-Guidelines definieren den Anwendungsbereich der Pflichten von Anbietern und die Anforderungen an den Nachweis der Einhaltung dieser Pflichten. 

Die zentralen Transparenzanforderungen für GPAI-Anbieter sind in Art. 53 KI-VO normiert. Danach müssen technische Dokumentationspflichten eingehalten werden, welche sich auf sämtliche in Anhang XI und XII der KI-VO gelisteten Inhalte – einschließlich Modellarchitektur, Trainingsmethodik, Herkunft der Trainingsdaten, Energieverbrauch, Rechenressourcen sowie Release- und Deployment-Strategien erstrecken. Eine Ausnahme besteht für die genannten Dokumentationspflichten für Anbieter von Open-Source-GPAI-Modellen. Für diese gelten die Pflichten nicht, sofern nicht ein systematisches Risiko besteht. Für solche Modelle greifen die vollen Transparenzpflichten unabhängig von Lizenzform oder Zugangsweise.

Darüber hinaus regelt Art. 53 KI-VO die Pflicht der Anbieter von GPAI-Modellen, eine Strategie zur Einhaltung des Urheberrechts auf den Weg zu bringen. Anbieter von GPAI-Modellen müssen dabei u.a. sicherstellen, dass sie keine Inhalte für das Training der GPAI-Modelle verwenden, für welche die jeweiligen Rechteinhaber einen Nutzungsvorbehalt erklärt haben. 

Zudem müssen die Anbieter eine Zusammenfassung der zum Training genutzten Inhalte erstellen und veröffentlichen, welche es Rechteinhabern ermöglichen soll, ihre (Urheber-)Rechte wahrzunehmen. Die Kommission hat hierfür am 24. Juli 2025 eine verbindliche Vorlage veröffentlicht, die ab dem 2. August 2025 für neue Modelle verpflichtend wird (Erläuterung und Vorlage für die öffentliche Zusammenfassung von Schulungsinhalten für KI-Modelle mit allgemeinem Verwendungszweck | Gestaltung der digitalen Zukunft Europas). 

Klarstellung zum Anbieterbegriff nach Art. 3 Nr. 3 KI-VO

Die GPAI-Guidelines konkretisieren die Begriffe des „Anbieters“ und des „Inverkehrbringens“, wie sie in Art. 3 Nr. 3bzw. Art. 3 Nr. 9 der KI-VO definiert werden, um Klarheit darüber zu schaffen, für wen die Pflichten nach der KI-VOgelten. 

Danach kann der ursprüngliche Entwickler eines außerhalb der EU veröffentlichten GPAI-Modells als Anbieter gelten, wenn das GPAI-Modell in der EU ohne technische und rechtliche Nutzungssperre zugänglich gemacht wird. Die Anbietereigenschaft wird auch regelmäßig dann begründet, wenn ein existierendes GPAI-Modell durch einen Dritten modifiziert wird und die Modifizierung einen Aufwand benötigte, welcher mindestens einem Drittel des Training-Computes entspricht, welcher für das ursprüngliche GPAI-Modell aufgewandt wurde.

Die GPAI-Guidelines stellen klar, dass auch nicht-klassische Bereitstellungsformen wie Open-Source-Repositorien, APIs, App-Stores oder Downstream-Integrationen unter „Inverkehrbringen“ fallen können, sofern das Modell für Dritte auf dem Unionsmarkt verfügbar gemacht wird.

Trotzdem können die Guidelines bestehende Auslegungsunsicherheiten nicht ausräumen. Ungelöst bleibt, wann eine technische Veränderung unter der 1/3-Marke eine bloße Integration darstellt.  Unklar bleibt auch, ob und wie Anbieterpflichten technisch ausgeschlossen werden können, wenn der ursprüngliche Anbieter keinen Zugriff mehr auf die Nutzung hat.

Systemisches Risiko: Klassifikation und Folgepflichten

Ein besonders strenger Pflichtenrahmen besteht für GPAI-Modelle mit sogenanntem systemischem Risiko. Darunter versteht man besonders leistungsstarke KI-Modelle, die über Fähigkeiten mit hoher Wirkkraft verfügen oder aufgrund ihrer Reichweite erhebliche Auswirkungen auf den Unionsmarkt haben können. Ein solches systemisches Risiko wird gemäß Art. 51 Abs. 2 KI-VO für Modelle mit einer kumulierten Menge der für das Training verwendeten Berechnungen von 1025 FLOP vermutet. Gleichzeitig kann die Kommission unter Berücksichtigung der Kriterien in Anhang XIIIweitere GPAI-Modelle mit allgemeinem Verwendungszweck festlegen, die über Fähigkeiten mit hohem Wirkungsgrad verfügen.

In beiden Fällen treffen den Anbieter zusätzliche Pflichten nach Art. 55 KI-VO, darunter regelmäßige Modellbewertungen, systematische Risikoeinschätzungen, die Dokumentation und Meldung schwerwiegender Vorfälle sowie der Nachweis angemessener Cybersicherheitsmaßnahmen. Anbieter können im Rahmen des Notifizierungsverfahrens nach Art. 52 KI-VO begründen, warum trotz Überschreitens des Compute-Schwellenwerts kein systemisches Risiko vorliegt.

EU AI Office: Aufsicht, Kooperation und Sanktionen ab 2026

Die Durchsetzung der GPAI-Pflichten obliegt dem EU AI Office, das als zentrale Aufsichtsbehörde auf EU-Ebene fungiert. Die Guidelines sehen für die Anfangsphase ein gestuftes, kooperatives Vorgehen vor (Durchsetzung der KI-VO auf europäischer Ebene: EU AI Office). Anbieter werden ausdrücklich ermutigt, bereits vor Inkrafttreten den Dialog mit dem EU AI Office zu suchen – insbesondere bei Unsicherheiten zur Einstufung oder zur praktischen Umsetzung der Anforderungen. 

Ein besonderes Augenmerk liegt auf der Teilnahme am Code of Practice gemäß Art. 56 KI-VO, welcher voraussichtlich am 2. August 2025 veröffentlicht wird (Drawing-up a General-Purpose AI Code of Practice | Shaping Europe’s digital future). Wer sich freiwillig dem Code anschließt und dessen Maßnahmen umsetzt, profitiert von vereinfachter Kontrolle und regulatorischem Vertrauensvorschuss. Für alle übrigen Anbieter gilt: Sie müssen den Nachweis ihrer Compliance auf andere Weise führen – etwa durch interne Auditverfahren oder strukturierte Gap-Analysen. 

Zwar sind bis zum 2. August 2026 noch keine Sanktionen vorgesehen. Gleichwohl kann das EU AI Office bereits vorbereitende Maßnahmen einleiten, etwa Informationsanfragen oder Klassifizierungsverfahren. Ab August 2026 stehen dem Amt dann auch formelle Instrumente zur Verfügung – einschließlich Modellprüfungen, Anordnungen, Rückrufe und Bußgelder von bis zu 3 % des weltweiten Jahresumsatzes. Für bereits vor August 2025 veröffentlichte GPAI-Modelle gilt eine Übergangsfrist bis zum 2. August 2027. 

Handlungsempfehlungen für Anbieter von GPAI-Modellen

Die GPAI-Guidelines der EU-Kommission bieten einen ersten Orientierungsrahmen zur Umsetzung der neuen Pflichten für Anbieter von GPAI-Modellen. Sie konkretisieren den Anwendungsbereich von Transparenzanforderungen und Anbieterpflichten und schaffen Klarheit über systemische Risiken sowie über die Rolle des EU AI Office. Unternehmen sollten frühzeitig prüfen, ob ihre Modelle unter die GPAI-Definition fallen, interne Compliance-Prozesse anpassen und Transparenzpflichten umsetzen. Besonders Modelle mit hoher Rechenleistung oder breiter Nutzung erfordern erhöhte Aufmerksamkeit, um Risiken zu vermeiden und regulatorische Sicherheit zu erlangen.

In unserem CMS-Blog halten wir Sie mit unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend zu diesem Thema auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wieOf Dice and Cheese – Zum Urheberrechtsschutz von KI-Erzeugnissen aus Sicht des U.S. Copyright Offices„KI-Systeme“ i.S.d. KI-Verordnung: Begriff und DefinitionAI-Washing vermeiden: Rechtssicher Werben mit Künstlicher IntelligenzViel hilft viel (?): Die KI-Governance Struktur nach der KI-VODurchsetzung der KI-VO auf europäischer Ebene: EU AI Office. Sehen Sie zudem gern: Eigene KI-Sprachmodelle von Unternehmen (cms.law).

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

Unseren englischsprachigen Ausblick auf die KI-VO finden Sie hier: Looking ahead to the EU AI Act (cms.law).

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Tags: EU-Leitlinie GPAI-Compliance künstliche Intelligenz


Avatar-Foto

David Rappenglück

weitere Artikel des Autors
Autor:innenprofil
Avatar-Foto

Maximilian Vonthien

weitere Artikel des Autors
Autor:innenprofil
nach oben
© CMS Hasche Sigle 2025