EU AI Act in der Praxis: GPAI‑Zuständigkeit, Rechte, Fristen

Die Debatte um die GPAI Zuständigkeit EU AI Act dreht sich um eine Kernfrage: Wer ist wofür verantwortlich, wenn Allzweck‑KI‑Modelle in kritischen Anwendungen landen? Der EU AI Act trennt klar zwischen Modell‑Ebene (GPAI‑Modelle) und System‑Ebene (konkrete KI‑Systeme). Daraus folgen getrennte Aufsichtswege, Meldepflichten und Sanktionsmechanismen. Dieser Überblick ordnet die Rollen von EU‑Kommission (AI Office) und nationalen Marktüberwachungsbehörden ein, erklärt Beschwerde‑ und Erklärungsrechte, skizziert Post‑Market‑Monitoring und Incident‑Fristen (2/10/15 Tage) und zeigt, welche Trainings‑ und Prozessanpassungen Anbieter, Betreiber und Behörden jetzt anstoßen sollten. Vertiefende Lernpfade finden sich unter EU AI Act Schulung & Compliance‑Programme.

Einordnung: GPAI unter dem EU AI Act – Modell vs. System

GPAI‑Modelle sind nicht für einen einzelnen Zweck gebaut, sondern breit einsetzbar. Der EU AI Act adressiert sie gesondert, weil sie quer durch Sektoren wirken und systemische Risiken verstärken können. Demgegenüber ist ein KI‑System die konkrete Anwendung für einen bestimmten Zweck – etwa Kredit‑Scoring oder Bewerbervorauswahl. Diese Trennung ist praxisentscheidend: Pflichten für GPAI‑Anbieter (Modell) unterscheiden sich von Pflichten für Anbieter/Betreiber hochrisikorelevanter Systeme. Zudem ist der Zeitplan gestaffelt: Die vollständige Durchsetzung der GPAI‑Pflichten greift ab dem 2. August 2026; für GPAI‑Modelle, die vor dem 2. August 2025 in Verkehr gebracht wurden, läuft die Umsetzungsfrist bis zum 2. August 2027.

Zuständigkeiten nach Art. 75: AI Office und Marktaufsicht

Grundsätzlich beaufsichtigt das AI Office die Regeln für GPAI‑Modelle EU‑weit, während nationale Marktüberwachungsbehörden für KI‑Systeme zuständig bleiben. Speziell wird es, wenn Modell und System aus einer Hand stammen: Entwickelt ein Anbieter sowohl das GPAI‑Modell als auch das darauf aufbauende System, nimmt das AI Office Aufgaben einer Marktüberwachungsbehörde wahr und überwacht neben dem Modell auch das System. In allen anderen Fällen kooperieren die Ebenen: Nationale Behörden können das AI Office einbinden, wenn modellbezogene Informationen fehlen oder grenzüberschreitende Bewertungen nötig sind. Das Ziel ist ein nahtloser Informationsfluss, damit Prüfungen nicht an proprietären Modell‑Details scheitern.

Rechte, Monitoring und Meldepflichten: Art. 85–86, 72–73

Art. 85 eröffnet jeder natürlichen oder juristischen Person die Möglichkeit, mutmaßliche Verstöße bei der zuständigen Marktüberwachungsbehörde zu melden. Für Betroffene bestimmter Hochrisiko‑Systeme nach Anhang III sieht Art. 86 unter Voraussetzungen einen Anspruch auf eine klare, aussagekräftige Erläuterung vor: Welche Rolle spielte das KI‑System im Entscheidungsprozess, welche Hauptelemente prägten die Entscheidung? Diese Rechte erzwingen nachvollziehbare Dokumentation und geschulte Auskunftsprozesse in Fachbereichen.

Für Hochrisiko‑Systeme verlangt Art. 72 ein dokumentiertes Post‑Market‑Monitoring‑System mit Plan; Art. 73 regelt die Meldung schwerwiegender Vorfälle an die Marktüberwachungsbehörde des Mitgliedstaats, in dem sie eintreten. Fristen: grundsätzlich spätestens 15 Tage, bei bestimmten schwerwiegenden oder weitverbreiteten Vorfällen 2 Tage, bei Todesfällen 10 Tage. Nötig sind klare Meldekaskaden, belastbare Logs und eine enge Verzahnung mit IT‑Security. Hilfreich sind technische Playbooks wie unter IT‑Teams: Incident‑Response und Monitoring.

• Dokumentierte Rollen und Kommunikationswege (Legal, IT, Produkt, DPO/Security)
• Metriken und Schwellen für „schwerwiegende Vorfälle“ sowie Belege für die Einstufung
• Standardisierte Auskunftsbausteine für Erklärungen nach Art. 86
• Auditfähige Log‑Quellen, Qualitätssignale, Nutzerfeedback und Korrekturprozesse

Sanktionsrahmen, Fristen und was Teams jetzt ändern müssen

Der Bußgeldrahmen ist ein deutlicher Compliance‑Treiber: Bis zu 35 Mio. EUR oder 7 % des weltweiten Umsatzes für Verbotsverstöße (Art. 99 Abs. 3) sowie bis zu 15 Mio. EUR oder 3 % für Verstöße gegen zentrale Pflichten (Abs. 4). Falsche oder irreführende Angaben gegenüber Behörden können bis zu 7,5 Mio. EUR oder 1 % kosten (Abs. 5). Für GPAI‑Anbieter kann die Kommission nach Art. 101 Geldbußen bis 15 Mio. EUR oder 3 % verhängen. Für KMU gilt jeweils der niedrigere Betrag aus Prozentsatz oder nominalem Höchstwert.

Praktisch bedeutet das: Management, Compliance und Fachbereiche brauchen verbindliche Trainings zur Rollenklärung (Modell vs. System), zu Beschwerde‑ und Erklärungsprozessen sowie zu den 2/10/15‑Tage‑Fristen. Ohne abgestimmte Playbooks, Zuständigkeiten und Dokumentationsstandards steigt das Risiko verspäteter oder unvollständiger Meldungen – mit unmittelbaren Sanktionsfolgen.

Fazit: Die Governance‑Arbeitsteilung zwischen AI Office und nationalen Behörden bringt Klarheit auf der Modell‑ und System‑Ebene, erfordert aber präzise interne Prozesse. Wer bis 2026/2027 belastbare Monitoring‑, Auskunfts‑ und Meldestrukturen etabliert, reduziert Haftungsrisiken und schafft Transparenz – die Grundlage für verlässlichen GPAI‑Einsatz im europäischen Rahmen.