AI Act: GPAI-Pflichten fuer KMU bis August 2026

Deutsch 5 Min. Lesezeit
eu-ai-act compliance gpai

Komplettleitfaden → Den vollständigen Überblick über alle EU-AI-Act-Pflichten für KMU (Art. 4, 5, 26, 27, 50, Bußgelder, Anwendungsfahrplan) finden Sie in unserem Komplettleitfaden EU AI Act für KMU.

Heute ist der 22. April 2026. In gut drei Monaten, am 2. August 2026, endet die Schonfrist fuer alle General-Purpose-AI-Modelle (GPAI), die vor August 2025 auf den Markt kamen. Damit gilt die Verordnung (EU) 2024/1689 – der AI Act – vollumfaenglich fuer die grossen Sprachmodelle, die in jeder deutschen GmbH inzwischen taeglich benutzt werden: ChatGPT, Claude, Gemini, Mistral Large. Wer diese Systeme im Geschaeftsbetrieb einsetzt, ist kein passiver Nutzer mehr, sondern ein "Betreiber" im Sinne des AI Acts – mit klaren Pflichten.

Der Mittelstand hat das bislang weitgehend ignoriert. Nach unserer Erfahrung bei Freshlab haben weniger als 15 Prozent der KMU, die wir beraten, die Deployer-Pflichten ueberhaupt aufgeschrieben. Der Rest hofft darauf, dass der BfDI und die Landesdatenschutzbehoerden erst einmal grosse Konzerne pruefen. Diese Hoffnung ist gefaehrlich: Der AI Act verzahnt sich mit der DSGVO, und die Buss-geldrahmen (bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes) werden ueber Art. 99 direkt an die nationalen Marktueberwachungsbehoerden durchgereicht.

Was der AI Act fordert

Die Kernvorschriften fuer GPAI stehen in Artikel 53 der Verordnung. Anbieter (Provider) von Allzweck-KI-Modellen muessen:

  • Technische Dokumentation des Modells pflegen (Art. 53 Abs. 1 lit. a) – inklusive Trainingsdaten, Evaluationsmethoden, Energieverbrauch.
  • Nachgelagerten Anbietern Informationen bereitstellen (Art. 53 Abs. 1 lit. b), damit diese ihre eigenen Pflichten erfuellen koennen.
  • Eine Policy zur Einhaltung des EU-Urheberrechts implementieren (Art. 53 Abs. 1 lit. c) – inklusive Beachtung von Text-and-Data-Mining-Opt-outs nach Art. 4 Abs. 3 DSM-Richtlinie.
  • Eine hinreichend detaillierte Zusammenfassung der Trainingsdaten veroeffentlichen (Art. 53 Abs. 1 lit. d).

Fuer Modelle mit "systemischem Risiko" (Art. 55) – de facto alle Frontier-Modelle ueber 10^25 FLOPs Trainingsrechenleistung – kommen Red-Teaming-Pflichten, Incident-Reporting und Cybersecurity-Auflagen hinzu. Der durch Art. 56 eingefuehrte Code of Practice (Version 2.0 vom Maerz 2026) konkretisiert diese Pflichten.

Fuer den KMU-Alltag relevanter ist jedoch Artikel 50: Jeder, der KI-generierte Inhalte (Text, Bild, Audio) veroeffentlicht, muss diese als solche kennzeichnen, wenn sie "realen Personen, Orten oder Ereignissen aehneln" (Deepfake-Klausel). Auch synthetische Textausgaben muessen maschinenlesbar als KI-generiert markiert werden.

Provider vs. Betreiber

Der AI Act unterscheidet sauber zwischen zwei Rollen, und diese Unterscheidung entscheidet ueber Ihren Pflichtenkatalog:

  • Provider (Anbieter, Art. 3 Nr. 3) ist, wer das KI-System entwickelt oder unter eigenem Namen in Verkehr bringt. Bei GPT-4 ist das OpenAI. Bei Llama 3.3 ist das Meta. Fuer eine deutsche GmbH ist das in 99 Prozent der Faelle nicht zutreffend.
  • Betreiber (Deployer, Art. 3 Nr. 4) ist, wer ein KI-System in eigener Verantwortung verwendet. Das ist die Muenchner Steuerkanzlei, die Mandantenkorrespondenz mit Claude verfasst. Das ist der Hamburger Onlinehaendler, der Produktbeschreibungen mit GPT-4 generiert. Das sind Sie.

Die Betreiberpflichten sind deutlich leichter als die Anbieterpflichten, aber sie sind real. Und sie gelten ab dem 2. August 2026 auch fuer GPAI-gestuetzte Anwendungen, die vor August 2025 im Einsatz waren.

Die Betreiberpflichten im Detail

Vier Pflichten muessen jede GmbH, die Sprachmodelle einsetzt, zwingend umsetzen:

  1. Transparenz gegenueber Nutzern (Art. 50 Abs. 1 und Abs. 4). Kunden, die mit Ihrem KI-Chatbot sprechen, muessen es wissen. Mitarbeiter, deren Bewerbung von einem KI-Tool vorsortiert wird, muessen es wissen. KI-generierte Texte auf der Website brauchen einen Hinweis.
  1. Menschliche Aufsicht (Art. 26 Abs. 2). Es muss eine kompetente, geschulte natuerliche Person geben, die die KI-Ausgabe ueberwacht. Bei High-Risk-Systemen ist das ein harter Vorbehalt; bei GPAI-Deployment in niedrigeren Risikoklassen ergibt es sich aus der Sorgfaltspflicht und den arbeitsrechtlichen Rahmenbedingungen.
  1. Datenschutz-Folgenabschaetzung (DPIA). Sobald personenbezogene Daten in das Modell fliessen – Mitarbeiternamen, Kundenadressen, Gesundheitsdaten – verlangt Art. 35 DSGVO eine DPIA. Das ist keine AI-Act-Pflicht im engeren Sinne, aber der BfDI und die Landesbehoerden lesen beide Regelwerke zusammen. Ohne DPIA haben Sie zwei Verstoesse statt einen.
  1. Aufzeichnungspflicht (Art. 26 Abs. 6). Automatisch erzeugte Logs muessen mindestens sechs Monate aufbewahrt werden, soweit der Betreiber die Kontrolle ueber sie hat. Bei Cloud-APIs haben Sie diese Kontrolle oft nicht – OpenAI speichert Logs nach eigenen Regeln, nicht nach Ihren. Das ist ein Problem.

Warum lokale LLMs die einfachste Compliance-Antwort sind

Hier wird es interessant. Das Schrems-II-Urteil des EuGH (C-311/18) hat klargestellt, dass die Uebermittlung personenbezogener Daten in die USA ohne zusaetzliche Schutzmassnahmen mit der DSGVO unvereinbar ist. Das EU-US Data Privacy Framework von 2023 hat die Situation formal entschaerft, aber noyb und andere NGOs haben bereits Klagen eingereicht. Wer heute auf OpenAI aufbaut, trifft eine politische Wette.

Dazu kommt der AI Act. Wenn Sie ein Cloud-Modell einsetzen, sind Sie vom Upstream-Provider abhaengig: Dessen technische Dokumentation, dessen Trainingsdaten-Zusammenfassung, dessen Incident-Reporting. Sie muessen diese Dokumente bei Ihrer eigenen Betreiberdokumentation referenzieren. Bei OpenAI: Viel Glueck.

Ein lokal ausgefuehrtes Modell loest beide Probleme in einem Schritt. Llama 3.3 (70B-Parameter) laeuft auf einem Mac Studio M3 Ultra mit 192 GB Unified Memory bei 15-25 Tokens pro Sekunde – schnell genug fuer produktiven Einsatz. Qwen 2.5-72B und DeepSeek-V3 sind Alternativen. Die Modellgewichte sind frei verfuegbar, die Modellkarten sind dokumentiert, die Inferenz findet in Ihrer Serverkammer in Stuttgart oder Dortmund statt. Keine Schrems-II-Frage. Keine Logs bei Microsoft Azure. Keine Abhaengigkeit von OpenAIs Policy-Updates.

Die Ersparnis bei den Betreiberpflichten ist betraechtlich: Ihre DPIA wird trivial (keine Drittlanduebermittlung), Ihre Logs liegen auf Ihrer Hardware, Ihre Transparenzpflichten lassen sich lueckenlos erfuellen. Kurzum: Sie verlagern die Compliance-Last von der juristischen auf die technische Seite – und dort ist sie bei uns besser aufgehoben.

Details zur Implementierung finden Sie in unserem Leitfaden zur Datensouveraenitaet.

Was Sie bis 2. August 2026 tun sollten

Drei Monate reichen, wenn Sie jetzt anfangen. Unser Minimal-Fahrplan fuer eine typische GmbH mit 20-200 Mitarbeitern:

  1. Inventur (bis Ende April). Listen Sie auf, welche KI-Dienste in Ihrem Haus verwendet werden. Schatten-IT einbeziehen – Mitarbeiter nutzen ChatGPT auf Privat-Accounts, das wissen Sie. Ordnen Sie jeden Einsatz einer Risikoklasse zu.
  1. DPIA und Betreiberdokumentation (Mai). Fuer jeden Einsatz mit personenbezogenen Daten eine DPIA erstellen. Fuer jeden Einsatz eine kurze Betreiberbeschreibung: Zweck, Datenfluesse, verantwortliche Person, menschliche Aufsicht.
  1. Transparenz-Rollout (Juni). Kennzeichnungen auf der Website, im Chatbot, in generierten Texten. Informationsblatt fuer Mitarbeiter. Schulung (Art. 4 AI Act verlangt "AI Literacy"). Unsere Weiterbildungsangebote decken diesen Pflichtteil ab.
  1. Strategischer Schnitt (Juli). Entscheiden Sie, welche Use Cases lokal laufen sollen. Ein Pilot mit Llama 3.3 auf dedizierter Hardware, RAG-Anbindung an Ihre Wissensdatenbank, zwei Monate Evaluation. Die meisten Kanzleien, Steuerbueros und Industriekunden, mit denen wir arbeiten, kommen mit einem Mac Studio fuer 20 Benutzer aus.
  1. Stichtag 2. August 2026. Ab diesem Tag ist die Regelung Pflicht. Buss-gelder werden ab dem zweiten Jahr praktisch relevant.

Wenn Sie das parallel zu Ihrem Tagesgeschaeft nicht stemmen, dann ist das unser Job. Starten Sie mit einem Pilotprojekt – 14 Tage, pauschal, mit klarem Go/No-go am Ende.