Zum Hauptinhalt springen
Agentic Universityv1.18.0
|

Alle Artikel

GPAI-Pflichten ab 2. August 2026: Was Mittelstand-Deployer wissen müssen, bevor die Kommission durchsetzt

Am 2. August 2026 starten die Durchsetzungsbefugnisse der EU-Kommission gegen GPAI-Provider. Was das für Mittelstand-Deployer heißt — und welche 4 Provider-Pflichten Sie selbst prüfen müssen.

Sebastian Lang5. Mai 20266 Min. Lesezeit

Schlüsselzahlen auf einen Blick

  • Stichtag 2. August 2026: Ab diesem Tag greift die volle Durchsetzungsbefugnis der EU-Kommission gegen GPAI-Provider, deren Modelle nach dem 2. August 2025 in den Markt gebracht wurden (eur-lex Art. 113). Wichtig: GPAI-Modelle, die vor dem 2. August 2025 im Markt waren ("Legacy"-Modelle), haben nach Art. 111 Abs. 3 eine Übergangsfrist bis zum 2. August 2027 — die hier beschriebenen Pflichten gelten dann verbindlich, vorher nur eingeschränkt.
  • Die Pflichten existieren seit 2. August 2025 (Art. 53/55) für neu in Verkehr gebrachte Modelle. Die Enforcement-Power gegenüber diesen Providern kommt ein Jahr später.
  • GPAI Code of Practice veröffentlicht am 10. Juli 2025 — der freiwillige Compliance-Pfad. Unterzeichner können den Code zur Demonstration ihrer Compliance heranziehen, bis harmonisierte Standards verfügbar sind. Eine echte gesetzliche Vermutung der Konformität im Sinne von Art. 53 Abs. 4 entsteht erst über harmonisierte Standards, nicht über den Code allein (code-of-practice.ai).
  • Sie sind nicht der GPAI-Provider (das ist OpenAI, Anthropic, Google, Mistral). Aber Sie sind der Deployer, und Sie müssen wissen, ob Ihr Provider compliant ist — sonst haftet Ihr Use-Case mit.

Warum dieser Post jetzt relevant ist

Die meisten DACH-CTOs lesen "AI Act August 2026" und denken an Hochrisiko-KI nach Annex III. Das ist richtig — aber es übersieht eine zweite Welle, die zeitgleich anrollt: die Enforcement der GPAI-Provider-Pflichten durch die Kommission.

Sie selbst sind nicht der Provider. Sie nutzen GPT-4, Claude, Gemini, Mistral oder Llama als API. Aber wenn Ihr Use-Case in Hochrisiko fällt (Annex III), dann verlangt Art. 26 Abs. 1, dass Sie das System gemäß der vom Provider bereitgestellten Anleitung einsetzen. Bei nachgelagerten Anbietern, die ein GPAI-Modell in ein eigenes Hochrisiko-AI-System integrieren, springen zusätzliche Information-Pflichten aus Art. 53 Abs. 1 lit. b auf den GPAI-Provider — wenn der nicht liefert, fehlt Ihnen Ihre Compliance-Grundlage.

Daher: Sie müssen 2026 wissen, ob Ihre LLM-Anbieter ihre Hausaufgaben gemacht haben — und welche.

Die vier Pflichten der GPAI-Provider nach Art. 53

1. Technische Dokumentation (Art. 53 Abs. 1 lit. a, Annex XI)

Jeder GPAI-Provider muss eine ausführliche Modell-Dokumentation pflegen: technische Eigenschaften, Trainings-Details, Energieverbrauch, Intended Use. Diese Annex-XI-Dokumentation geht auf Anfrage an Kommission und nationale Aufsichtsbehörden — nicht direkt an Sie als Deployer. Was Sie als Deployer sehen, ist die separate Annex-XII-Information für Downstream-Integratoren (siehe Pflicht 2).

Was Sie als Deployer prüfen: Existiert ein "Model Documentation Form" Ihres Providers? Bei OpenAI / Anthropic / Google / Mistral typisch im Trust-Center oder Compliance-Portal verfügbar. Wenn nicht: das ist ein Frühwarnzeichen.

2. Information an Downstream-Provider (Art. 53 Abs. 1 lit. b, Annex XII)

Der GPAI-Provider muss Sie als Downstream-Integrator über Capabilities und Limitations informieren — damit Sie Ihre eigenen Pflichten (z.B. unter Art. 16 für Hochrisiko-AI-Systems) erfüllen können.

Was Sie prüfen: Haben Sie ein "GPAI Provider Information Pack" oder vergleichbares Dokument? Wenn der Provider nur "Use our API responsibly" sagt, ist das kein Annex-XII-Konformes Information Pack. Verlangen Sie es schriftlich.

Der Provider muss eine schriftliche Policy haben, wie er die EU-Urheberrechts-Direktive (Directive (EU) 2019/790) einhält — insbesondere die Opt-out-Mechanismen für Text- und Data-Mining nach Art. 4 Abs. 3.

Was Sie prüfen: Hat der Provider eine veröffentlichte Copyright-Policy? Wenn nicht, droht Ihnen mittelbar urheberrechtliches Risiko, weil der Output Werke einschließen kann, die unter unklarer Lizenz trainiert wurden.

4. Training-Content-Summary (Art. 53 Abs. 1 lit. d)

Der Provider muss eine öffentlich verfügbare Zusammenfassung des Trainings-Inhalts publizieren — auf Basis eines Templates, das das AI Office bereitstellt.

Was Sie prüfen: Auf der Provider-Webseite oder im Trust-Center sollte diese Summary auffindbar sein. Wenn nur "We trained on a diverse dataset" steht, ist das nicht Art.-53-Abs.-1-lit.-d-konform.

Plus: Art. 55 für GPAI mit systemischem Risiko

Wenn Ihr Provider ein GPAISR (General-Purpose AI Systemic Risk) Modell bereitstellt — das sind die größten Modelle, derzeit auf einer von der Kommission geführten Liste —, kommen vier zusätzliche Pflichten dazu:

  • Modellevaluation nach standardisierten Protokollen, inklusive Adversarial Testing
  • Risk Assessment und Mitigation auf EU-Ebene
  • Incident Reporting an das AI Office bei "serious incidents" ohne unangemessene Verzögerung
  • Cybersecurity für Modell und Infrastruktur

Praktisch heißt das: Wenn Sie ein GPT-4-class Modell oder Claude-Opus-class einsetzen, ist das mit hoher Wahrscheinlichkeit ein GPAISR. Verlangen Sie von Ihrem Provider, dass er Ihnen die Eval-Reports und Incident-Response-Verfahren offen legt — oder ein Statement liefert, dass er Art. 55 erfüllt.

Der GPAI Code of Practice — der Compliance-Shortcut

Am 10. Juli 2025 wurde der finale GPAI Code of Practice veröffentlicht. Er ist freiwillig. Unterzeichner können den Code als Compliance-Demonstrationsweg heranziehen, bis harmonisierte Standards nach Art. 40 verfügbar sind — eine statutarische Vermutung der Konformität im strengen Sinne von Art. 53 Abs. 4 entsteht aber erst über solche harmonisierten Standards, nicht über den Code allein.

Stand Mai 2026: Mehrere große Provider (OpenAI, Anthropic, Google, Microsoft, Mistral, IBM und weitere) haben den Code unterzeichnet. Einige haben mit Vorbehalten unterzeichnet (vor allem zu Copyright-Klauseln). xAI hat bisher nur das Safety-and-Security-Kapitel des Codes unterzeichnet — Transparenz und Copyright muss xAI also separat über andere Wege nachweisen.

Was Sie prüfen: Steht Ihr Provider auf der Code-of-Practice-Signatarliste (code-of-practice.ai)? Falls ja, ist Ihr Compliance-Risiko deutlich reduziert. Falls nicht, müssen Sie die Art.-53-Pflichten einzeln prüfen — aufwändiger, aber machbar.

Die fünf Deployer-Schritte für Mai-Juli 2026

Was Sie in den nächsten 90 Tagen konkret tun sollten:

  1. Inventar Ihrer GPAI-Nutzung — welche Modelle, von welchen Providern, in welchen Use-Cases. Output: Tabelle mit Provider, Modell, Use-Case, Fall-in-Annex-III (ja/nein).

  2. Provider-Compliance-Check pro Anbieter: Code-of-Practice-Signatar? Wenn nein, Art.-53-Compliance-Statement vorhanden? Annex-XI-Dokumentation? Annex-XII-Information-Pack? Copyright-Policy? Training-Summary?

  3. Lücken-Liste an Provider: was fehlt, was Sie brauchen. Vor August. Höflich, aber schriftlich.

  4. Eigene Deployer-Pflichten nach Art. 26 für Annex-III-Use-Cases umsetzen — siehe unseren AI-Act-90-Tage-Plan.

  5. Backup-Plan falls ein Provider die Compliance nicht hinkriegt: Welcher alternative Anbieter? Dieser Switch ist im Hochrisiko-Setup nicht trivial — ein Konzept dafür sollte Sie 2026 bereit haben.

Zwei häufige Streitfragen

"Wir nutzen nur die OpenAI-API. Brauchen wir das wirklich alles?"

Wenn Ihr Use-Case in Annex III fällt (HR/Beschäftigung, Bildung, kritische Infrastruktur, Strafverfolgung etc.), ja. Sie sind dann Deployer eines Hochrisiko-AI-Systems, und Art. 26 Abs. 1 verlangt, dass Sie das System gemäß der Provider-Anleitung einsetzen. Sind Sie zudem nachgelagerter Anbieter (Sie integrieren das GPAI in Ihr eigenes AI-System), greift zusätzlich Art. 53 Abs. 1 lit. b mit Annex-XII-Information vom GPAI-Provider an Sie. Wenn beim Provider eines davon fehlt, ist das nicht Ihr "Schutz", sondern Ihr Compliance-Defekt im Audit.

"Was ist mit Open-Source-Modellen wie Llama?"

Art. 53 Abs. 2 enthält eine Open-Source-Ausnahme für freie, non-systemic-risk Modelle: die Pflichten (1)(a) Tech-Doku und (1)(b) Downstream-Info entfallen. Aber: Copyright-Policy (1)(c) und Training-Summary (1)(d) bleiben. Und: einzelne Llama-Versionen können nach Art. 51 als Systemic Risk eingestuft werden, sobald sie die Compute-Schwellwerte überschreiten oder von der Kommission designiert werden — dann gilt die Open-Source-Ausnahme nicht und es greifen die zusätzlichen Art.-55-Pflichten.

Bottom Line

  1. August 2026 ist nicht "der AI Act tritt in Kraft" — der Act ist seit 2024 in Kraft. Es ist der Tag, an dem die Kommission durchsetzen kann. Provider haben seitdem ein Jahr Schonfrist gehabt; Mittelstand-Deployer haben 90 Tage, um zu prüfen, ob ihre Provider geliefert haben. Dieser Check ist machbar — aber nicht in einer Woche, wenn man ihn auf Juli verschiebt.

Welcher Ihrer GPAI-Provider hat den Code-of-Practice schon unterzeichnet — und für welchen müssen Sie nochmal nachhaken, bevor August anrollt?

Über den Autor

Sebastian Lang

Co-Founder · Business & Content Lead

Co-Founder von Sentient Dynamics. 15+ Jahre Business-Strategie (u.a. SAP), MBA. Schreibt über AI-Act-Compliance, ROI-Messung und wie Mittelstand-CTOs agentische KI tatsächlich einführen.

Einmal im Monat. Nur Substanz.

Keine Motivationssprüche. Keine Tool-Listen. Nur was CTOs, COOs und Geschäftsführer in DACH über KI-Adoption wirklich wissen müssen.