TL;DR
- Stichtag 02.08.2026. Art. 51 ff. EU AI Act zu General-Purpose AI Models (GPAI) wird wirksam. Die Pflichten treffen primär die Anbieter — aber jeder Mittelständler, der GPT, Claude oder Gemini einsetzt, wird über Art. 50 zum Verwender mit eigenen Transparenz-Pflichten.
- Drei Verwender-Typen: Chatbot-Betreiber im Kundenkontakt, AI-Content-Generator-Verwender und RAG-System-Anbieter mit LLM-Backend.
- Primäre Aktion: Inventur aller AI-Pipelines, Klassifikation nach Art. 50, Transparenz-Hinweise und Output-Kennzeichnung. Strafen für Verwender-Verstöße bis 3 % des weltweiten Konzernumsatzes.
Was GPAI im AI Act bedeutet
GPAI steht für General-Purpose AI Model — ein Foundation-Modell für eine Vielzahl von Aufgaben. Praktisch: GPT-4/5, Claude Sonnet/Opus, Gemini, Llama, Mistral. Der AI Act unterscheidet vier Klassen; wer operiert, muss zuerst klären, in welcher das eigene System landet.
| Klasse | Definition | Verwender-Pflicht |
|---|---|---|
| GPAI ohne systemisches Risiko | < 10^25 FLOPs (Llama 3, Mistral Large, Claude Haiku) | Transparenz nach Art. 50, Output-Kennzeichnung |
| GPAI mit systemischem Risiko | ≥ 10^25 FLOPs (GPT-4-Klasse, Claude Opus, Gemini Ultra) | Transparenz + erweiterte Sorgfalt beim Bezug |
| High-Risk AI System | Anhang-III-Einsatz (HR, Kredit, Medizin, Bildung, KRITIS) | Volle Konformität — CE, Risk-Management, Konformitätserklärung |
| Minimal-Risk | Alle übrigen Anwendungen | Empfehlung, kein Zwang |
Faustregel: Wer GPT-4 oder Claude Opus über die API einsetzt, verwendet ein GPAI mit systemischem Risiko — meist, ohne es zu wissen.
Wer im Mittelstand betroffen ist
Anbieter-Pflichten gelten für OpenAI, Anthropic, Google, Meta — nicht für deutsche Mittelständler. Aber Verwender-Pflichten nach Art. 50 treffen jeden, der GPAI in Produkte oder Prozesse integriert. Drei Typen dominieren die Mandate:
- Chatbot-Betreiber im Kundenkontakt: Art. 50 (1) verlangt, dass der Nutzer sofort erkennt, mit einer KI zu interagieren — ohne aktive Nachfrage. „Sie chatten mit Azena AI" reicht nicht; „Azena AI ist ein KI-Assistent" trifft die Vorgabe.
- Content-Generator-Verwender: Marketing-Teams, die Texte, Bilder oder Videos mit GenAI erzeugen und ausspielen, fallen unter Art. 50 (4) — synthetische Inhalte müssen maschinenlesbar als KI-generiert markiert werden (C2PA-Tags, sichtbare Kennzeichnung bei Deepfakes).
- RAG-System-Anbieter: Wer ein internes Wissens-System mit LLM-Backend betreibt (Confluence-RAG, SharePoint-Q&A, Service-Desk), ist Verwender — auch rein intern. Pflicht: Transparenz-Hinweis bei der Antwort plus Audit-Log über Modell-Version, Prompt und Output.
Art. 50 Transparenz-Pflichten
Art. 50 ist das Herzstück der Verwender-Pflichten. Vier Anwendungsfälle mit konkretem Pflicht-Text:
| Anwendungsfall | Pflicht | Umsetzung |
|---|---|---|
| Chatbot-Interaktion | Art. 50 (1): KI-Status offenlegen | Disclaimer im ersten Response / Header |
| AI-generierte Texte | Art. 50 (2): Kennzeichnung bei öffentlichem Interesse | „KI-gestützt erstellt" im Footer |
| AI-Bilder / Videos | Art. 50 (4): C2PA-Metadata + Hinweis bei Deepfakes | C2PA-Header, „KI-generiert"-Watermark |
| Emotion-Recognition | Art. 50 (3): explizite Information der Person | aktiver Hinweis + Opt-out |
Ausgenommen sind offensichtlich kreative Inhalte, rein interne Dokumentation und Standard-Übersetzungen ohne weitere Bearbeitung.
In DACH-Pilots zeigt sich: Art. 50 ist kein technisches Compliance-Thema. Er verlangt, dass ein durchschnittlicher Nutzer in unter zwei Sekunden erkennt, dass er mit KI interagiert. Wer das nicht erfüllt, hat keinen Bug, sondern eine Vertrauens-Lücke.
4 Schritte zur GPAI-Compliance
Bis zum 02.08.2026 sind vier Schritte nötig — die Reihenfolge ist kritisch.
- AI-Pipeline-Inventur. Liste aller produktiven oder pilotierten AI-Systeme inkl. Schatten-IT, je mit Anbieter, Modell-Version, Einsatzfeld, Datenquelle, Empfänger. Erfahrungswert: in 60–80 % der Mandate sind 30–50 % mehr Systeme im Einsatz als IT und GF kennen — primär in Marketing, HR, Vertrieb.
- Klassifikation nach AI Act. Pro System: GPAI mit/ohne systemisches Risiko? Greift ein Art.-50-Anwendungsfall? Liegt ein Anhang-III-Feld vor (High-Risk-Pfad)? Eine Zeile pro System, keine 200-seitige Studie.
- Transparenz-Hinweise implementieren. Pro System ein UI-Eingriff: Chatbots → Disclaimer; AI-Content → Metadata + Kennzeichnung; RAG → Antwort-Footer. Technisch trivial, organisatorisch der Zeitfresser. Realistisch 4–6 Wochen für 5–10 Systeme.
- Audit-Log und Governance-Doku. Pro Einsatz: Log über Modell-Version, Prompt, Output, Empfänger — mindestens 12 Monate. Plus eine Richtlinie, wer neue GPAI-Systeme freigeben darf.
Strafenrahmen und was jetzt zu tun ist
Der AI Act verhängt drei Strafstufen: verbotene Praktiken (Art. 5) bis 7 % des weltweiten Konzernumsatzes, Verstöße gegen High-Risk- oder GPAI-Pflichten inkl. Art. 50 bis 3 %, falsche Behörden-Information bis 1 %. Aufsichtsbehörde ist die Bundesnetzagentur, ergänzt um Datenschutzbehörden und ggf. BSI. Die Strafhöhe nach Art. 50 skaliert nach Anzahl betroffener Endnutzer.
Wer nach dem 02.08.2026 ohne Transparenz-Hinweise einen Kunden-Chatbot betreibt, riskiert die erste Abmahn-Welle der Wettbewerbszentralen — die GPAI-Pflichten werden zivilrechtlich als Marktverhaltens-Regeln durchgesetzt, nicht nur behördlich. Praktischer Start: AI-Compliance-Ansprechpartner benennen, Inventur abschließen, bis Juni die Top-3-Systeme kennzeichnen.
Praxis-Schritt: Ein 30-Min-Eignungsgespräch klärt, ob Ihre AI-Pipeline Art.-50-relevant ist und welche Hinweise vorrangig sind. Erstgespräch anfragen → /anfrage
Stand Mai 2026. AI-Act-Verordnung (EU 2024/1689), Geltungsbeginn GPAI-Pflichten 02.08.2026. Auslegungs-Leitlinien der Bundesnetzagentur voraussichtlich Q3 2026 — quartalsweise aktualisiert.
Nächster Schritt
Passt das auf Ihren Fall?
30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.