Zum Hauptinhalt springen
Agentic Universityv1.26.0
|

Alle Artikel

ai-actcompliancenews

GPAI-Pflichten ab 2. August 2026: Was Mittelstand-Deployer wissen müssen, bevor die Kommission durchsetzt

Am 2. August 2026 starten die Durchsetzungsbefugnisse der EU-Kommission gegen GPAI-Provider. Was das für Mittelstand-Deployer heißt, und welche 4 Provider-Pflichten Sie selbst prüfen müssen.

Sebastian LangSebastian Lang5. Mai 20266 Min. Lesezeit
GPAI-Pflichten ab 2. August 2026: Was Mittelstand-Deployer wissen müssen, bevor die Kommission durchsetzt

Schlüsselzahlen auf einen Blick

  • Stichtag 2. August 2026: Ab diesem Tag greift die volle Durchsetzungsbefugnis der EU-Kommission gegen GPAI-Provider, deren Modelle nach dem 2. August 2025 in den Markt gebracht wurden (eur-lex Art. 113). Wichtig: GPAI-Modelle, die vor dem 2. August 2025 im Markt waren ("Legacy"-Modelle), haben nach Art. 111 Abs. 3 eine Übergangsfrist bis zum 2. August 2027, die hier beschriebenen Pflichten gelten dann verbindlich, vorher nur eingeschränkt.
  • Die Pflichten existieren seit 2. August 2025 (Art. 53/55) für neu in Verkehr gebrachte Modelle. Die Enforcement-Power gegenüber diesen Providern kommt ein Jahr später.
  • GPAI Code of Practice veröffentlicht am 10. Juli 2025, der freiwillige Compliance-Pfad. Unterzeichner können den Code zur Demonstration ihrer Compliance heranziehen, bis harmonisierte Standards verfügbar sind. Eine echte gesetzliche Vermutung der Konformität im Sinne von Art. 53 Abs. 4 entsteht erst über harmonisierte Standards, nicht über den Code allein (code-of-practice.ai).
  • Sie sind nicht der GPAI-Provider (das ist OpenAI, Anthropic, Google, Mistral). Aber Sie sind der Deployer, und Sie müssen wissen, ob Ihr Provider compliant ist, sonst haftet Ihr Use-Case mit.

Warum dieser Post jetzt relevant ist

Die meisten DACH-CTOs lesen "AI Act August 2026" und denken an Hochrisiko-KI nach Annex III. Das ist richtig, aber es übersieht eine zweite Welle, die zeitgleich anrollt: die Enforcement der GPAI-Provider-Pflichten durch die Kommission.

Sie selbst sind nicht der Provider. Sie nutzen GPT-4, Claude, Gemini, Mistral oder Llama als API. Aber wenn Ihr Use-Case in Hochrisiko fällt (Annex III), dann verlangt Art. 26 Abs. 1, dass Sie das System gemäß der vom Provider bereitgestellten Anleitung einsetzen. Bei nachgelagerten Anbietern, die ein GPAI-Modell in ein eigenes Hochrisiko-AI-System integrieren, springen zusätzliche Information-Pflichten aus Art. 53 Abs. 1 lit. b auf den GPAI-Provider, wenn der nicht liefert, fehlt Ihnen Ihre Compliance-Grundlage.

Daher: Sie müssen 2026 wissen, ob Ihre LLM-Anbieter ihre Hausaufgaben gemacht haben, und welche.

Die vier Pflichten der GPAI-Provider nach Art. 53

1. Technische Dokumentation (Art. 53 Abs. 1 lit. a, Annex XI)

Jeder GPAI-Provider muss eine ausführliche Modell-Dokumentation pflegen: technische Eigenschaften, Trainings-Details, Energieverbrauch, Intended Use. Diese Annex-XI-Dokumentation geht auf Anfrage an Kommission und nationale Aufsichtsbehörden, nicht direkt an Sie als Deployer. Was Sie als Deployer sehen, ist die separate Annex-XII-Information für Downstream-Integratoren (siehe Pflicht 2).

Was Sie als Deployer prüfen: Existiert ein "Model Documentation Form" Ihres Providers? Bei OpenAI / Anthropic / Google / Mistral typisch im Trust-Center oder Compliance-Portal verfügbar. Wenn nicht: das ist ein Frühwarnzeichen.

2. Information an Downstream-Provider (Art. 53 Abs. 1 lit. b, Annex XII)

Der GPAI-Provider muss Sie als Downstream-Integrator über Capabilities und Limitations informieren, damit Sie Ihre eigenen Pflichten (z.B. unter Art. 16 für Hochrisiko-AI-Systems) erfüllen können.

Was Sie prüfen: Haben Sie ein "GPAI Provider Information Pack" oder vergleichbares Dokument? Wenn der Provider nur "Use our API responsibly" sagt, ist das kein Annex-XII-Konformes Information Pack. Verlangen Sie es schriftlich.

Der Provider muss eine schriftliche Policy haben, wie er die EU-Urheberrechts-Direktive (Directive (EU) 2019/790) einhält, insbesondere die Opt-out-Mechanismen für Text- und Data-Mining nach Art. 4 Abs. 3.

Was Sie prüfen: Hat der Provider eine veröffentlichte Copyright-Policy? Wenn nicht, droht Ihnen mittelbar urheberrechtliches Risiko, weil der Output Werke einschließen kann, die unter unklarer Lizenz trainiert wurden.

4. Training-Content-Summary (Art. 53 Abs. 1 lit. d)

Der Provider muss eine öffentlich verfügbare Zusammenfassung des Trainings-Inhalts publizieren, auf Basis eines Templates, das das AI Office bereitstellt.

Was Sie prüfen: Auf der Provider-Webseite oder im Trust-Center sollte diese Summary auffindbar sein. Wenn nur "We trained on a diverse dataset" steht, ist das nicht Art.-53-Abs.-1-lit.-d-konform.

Plus: Art. 55 für GPAI mit systemischem Risiko

Wenn Ihr Provider ein GPAISR (General-Purpose AI Systemic Risk) Modell bereitstellt (das sind die größten Modelle, derzeit auf einer von der Kommission geführten Liste), kommen vier zusätzliche Pflichten dazu:

  • Modellevaluation nach standardisierten Protokollen, inklusive Adversarial Testing
  • Risk Assessment und Mitigation auf EU-Ebene
  • Incident Reporting an das AI Office bei "serious incidents" ohne unangemessene Verzögerung
  • Cybersecurity für Modell und Infrastruktur

Praktisch heißt das: Wenn Sie ein GPT-4-class Modell oder Claude-Opus-class einsetzen, ist das mit hoher Wahrscheinlichkeit ein GPAISR. Verlangen Sie von Ihrem Provider, dass er Ihnen die Eval-Reports und Incident-Response-Verfahren offen legt, oder ein Statement liefert, dass er Art. 55 erfüllt.

Der GPAI Code of Practice, der Compliance-Shortcut

Am 10. Juli 2025 wurde der finale GPAI Code of Practice veröffentlicht. Er ist freiwillig. Unterzeichner können den Code als Compliance-Demonstrationsweg heranziehen, bis harmonisierte Standards nach Art. 40 verfügbar sind, eine statutarische Vermutung der Konformität im strengen Sinne von Art. 53 Abs. 4 entsteht aber erst über solche harmonisierten Standards, nicht über den Code allein.

Stand Mai 2026: Mehrere große Provider (OpenAI, Anthropic, Google, Microsoft, Mistral, IBM und weitere) haben den Code unterzeichnet. Einige haben mit Vorbehalten unterzeichnet (vor allem zu Copyright-Klauseln). xAI hat bisher nur das Safety-and-Security-Kapitel des Codes unterzeichnet, Transparenz und Copyright muss xAI also separat über andere Wege nachweisen.

Was Sie prüfen: Steht Ihr Provider auf der Code-of-Practice-Signatarliste (code-of-practice.ai)? Falls ja, ist Ihr Compliance-Risiko deutlich reduziert. Falls nicht, müssen Sie die Art.-53-Pflichten einzeln prüfen, aufwändiger, aber machbar.

Die fünf Deployer-Schritte für Mai-Juli 2026

Was Sie in den nächsten 90 Tagen konkret tun sollten:

  1. Inventar Ihrer GPAI-Nutzung, welche Modelle, von welchen Providern, in welchen Use-Cases. Output: Tabelle mit Provider, Modell, Use-Case, Fall-in-Annex-III (ja/nein).

  2. Provider-Compliance-Check pro Anbieter: Code-of-Practice-Signatar? Wenn nein, Art.-53-Compliance-Statement vorhanden? Annex-XI-Dokumentation? Annex-XII-Information-Pack? Copyright-Policy? Training-Summary?

  3. Lücken-Liste an Provider: was fehlt, was Sie brauchen. Vor August. Höflich, aber schriftlich.

  4. Eigene Deployer-Pflichten nach Art. 26 für Annex-III-Use-Cases umsetzen, siehe unseren AI-Act-90-Tage-Plan.

  5. Backup-Plan falls ein Provider die Compliance nicht hinkriegt: Welcher alternative Anbieter? Dieser Switch ist im Hochrisiko-Setup nicht trivial, ein Konzept dafür sollte Sie 2026 bereit haben.

Zwei häufige Streitfragen

"Wir nutzen nur die OpenAI-API. Brauchen wir das wirklich alles?"

Wenn Ihr Use-Case in Annex III fällt (HR/Beschäftigung, Bildung, kritische Infrastruktur, Strafverfolgung etc.), ja. Sie sind dann Deployer eines Hochrisiko-AI-Systems, und Art. 26 Abs. 1 verlangt, dass Sie das System gemäß der Provider-Anleitung einsetzen. Sind Sie zudem nachgelagerter Anbieter (Sie integrieren das GPAI in Ihr eigenes AI-System), greift zusätzlich Art. 53 Abs. 1 lit. b mit Annex-XII-Information vom GPAI-Provider an Sie. Wenn beim Provider eines davon fehlt, ist das nicht Ihr "Schutz", sondern Ihr Compliance-Defekt im Audit.

"Was ist mit Open-Source-Modellen wie Llama?"

Art. 53 Abs. 2 enthält eine Open-Source-Ausnahme für freie, non-systemic-risk Modelle: die Pflichten (1)(a) Tech-Doku und (1)(b) Downstream-Info entfallen. Aber: Copyright-Policy (1)(c) und Training-Summary (1)(d) bleiben. Und: einzelne Llama-Versionen können nach Art. 51 als Systemic Risk eingestuft werden, sobald sie die Compute-Schwellwerte überschreiten oder von der Kommission designiert werden, dann gilt die Open-Source-Ausnahme nicht und es greifen die zusätzlichen Art.-55-Pflichten.

Bottom Line

  1. August 2026 ist nicht "der AI Act tritt in Kraft", der Act ist seit 2024 in Kraft. Es ist der Tag, an dem die Kommission durchsetzen kann. Provider haben seitdem ein Jahr Schonfrist gehabt; Mittelstand-Deployer haben 90 Tage, um zu prüfen, ob ihre Provider geliefert haben. Dieser Check ist machbar, aber nicht in einer Woche, wenn man ihn auf Juli verschiebt.

Welcher Ihrer GPAI-Provider hat den Code-of-Practice schon unterzeichnet, und für welchen müssen Sie nochmal nachhaken, bevor August anrollt?

Sebastian Lang

Über den Autor

Sebastian Lang

Co-Founder · Business & Content Lead

Co-Founder von Sentient Dynamics. 15+ Jahre Business-Strategie (u.a. SAP), MBA. Schreibt über AI-Act-Compliance, ROI-Messung und wie Mittelstand-CTOs agentische KI tatsächlich einführen.

Weiterlesen

EU AI Act Bußgelder: Die 35-Millionen-Zahl ist meistens falsch. Was Geschäftsführer 2026 wirklich riskieren
Sebastian Lang7. Mai 20268 Min. Lesezeit

EU AI Act Bußgelder: Die 35-Millionen-Zahl ist meistens falsch. Was Geschäftsführer 2026 wirklich riskieren

Die 35-Millionen-Zahl gilt nur für Art. 5. Mittelständler treffen Tier 2 (15M/3%) oder Tier 3 (7,5M/1%). Plus: § 43 GmbHG-Durchgriff aufs Privatvermögen.

AI-ActComplianceNews
EU AI Act Art. 50: Was eure UI ab 02.08.2026 zeigen muss (sonst kostet es 15 Mio)
Sebastian Lang8. Mai 202610 Min. Lesezeit

EU AI Act Art. 50: Was eure UI ab 02.08.2026 zeigen muss (sonst kostet es 15 Mio)

Ab 02.08.2026 muss jede KI sich selbst outen. Chatbot-Disclosure, Watermark, Deepfake-Label, Emotion-Recognition-Hinweis. Verstoss = bis 15 Mio EUR oder 3%.

AI-ActCompliance
AI Act Schulung: KI-Kompetenz nach Art. 4 nachweisen (Förderung und Frist 2026)
Sebastian Lang30. Mai 20265 Min. Lesezeit

AI Act Schulung: KI-Kompetenz nach Art. 4 nachweisen (Förderung und Frist 2026)

KI-Kompetenz-Pflicht nach AI Act Art. 4: in Kraft seit 02.02.2025, Durchsetzung ab 02.08.2026. Was Art. 4 verlangt, wie der Kompetenznachweis aussieht, wer haftet und wie QCG-Förderung funktioniert.

ComplianceschulungAI-Act

Einmal im Monat. Nur Substanz.

Keine Motivationssprüche. Keine Tool-Listen. Nur was CTOs, COOs und Geschäftsführer in DACH über KI-Adoption wirklich wissen müssen.