Foundation Models unter der Lupe: Wie EU-Behörden GPAI in neue Risikokategorien einordnen

Lange galt in der KI-Industrie eine bequeme Vereinfachung: Große Sprachmodelle wie GPT oder Llama seien keine Hochrisiko-KI, weil sie ja selbst keine konkreten Entscheidungen träfen. Der EU AI Act und die Debatte, die Datenschutzbehörden wie die DSK nun im Sommer 2026 führen, zerlegen diese Annahme systematisch. Foundation Models bekommen eine eigene Risikoklasse – und das hat für Anbieter wie Integratoren erhebliche praktische Konsequenzen.

Die bequeme Ausrede stirbt gerade

„Unser Modell ist Infrastruktur, kein Produkt“ – dieser Satz war jahrelang das bevorzugte Framing großer Modellanbieter gegenüber Regulatoren. Gemeint war: Das Foundation Model selbst trifft keine Entscheidung, es ist ein Werkzeug, das erst durch den konkreten Einsatz relevant wird. Regulierung solle bitte beim Anwender ansetzen, nicht beim Modell.

Diese Argumentation war nie überzeugend. Jetzt ist sie auch regulatorisch gescheitert. Der EU AI Act behandelt sogenannte General-Purpose AI (GPAI) – der offizielle Begriff für das, was die Industrie „Foundation Models“ nennt – als eigenständige regulierte Entität. Nicht die Applikation allein löst Pflichten aus. Das Modell selbst tut es.

Meine Einschätzung: Diese Verschiebung ist die wichtigste strukturelle Weichenstellung im europäischen KI-Recht seit Verabschiedung des AI Act. Sie verändert, wer gegenüber wem verantwortlich ist – und welche Dokumente, Prozesse und Nachweise vor dem ersten Deployment vorliegen müssen.

Was der AI Act für GPAI konkret verlangt

Der EU AI Act definiert GPAI-Modelle und knüpft daran einen eigenständigen Pflichtenkatalog, der unabhängig vom späteren Einsatzfall gilt. Anbieter müssen technische Dokumentation vorlegen, nachgeschaltete Integratoren müssen informiert werden, und es braucht eine explizite Policy zum Umgang mit urheberrechtlich geschützten Trainingsdaten. Hinzu kommt eine zusammenfassende Beschreibung der verwendeten Trainingsdaten – keine Volloffenlegung, aber mehr als bisher üblich.

Das klingt nach Bürokratie. Es ist aber tatsächlich eine Governance-Grundlage. Wer diese Dokumentation nicht hat, kann nicht nachweisen, was sein Modell kann, was es nicht kann und wo die Haftungsgrenzen liegen. Für Unternehmen, die GPAI-Modelle integrieren, bedeutet das: Sie müssen diese Dokumentation von ihren Modellanbietern einfordern – und wenn die Anbieter sie nicht liefern können, ist das ein ernstes Warnsignal.

Ein praktisches Beispiel: Ein mittelständisches Unternehmen, das GPT-basierte Entscheidungsunterstützung in seinem Kundenservice einsetzt, ist nicht nur als Deployer reguliert. Es muss auch sicherstellen, dass das eingesetzte GPAI-Modell die EU-seitigen Anforderungen an Dokumentation und Transparenz erfüllt. Die Verantwortungskette reicht jetzt explizit bis auf die Modellebene zurück.

Systemisches Risiko: Die zweite Stufe

Für besonders leistungsfähige GPAI-Modelle sieht der AI Act eine zusätzliche Risikostufe vor: systemisches Risiko. Diese Kategorie trifft Modelle, die aufgrund ihrer Kapazität, ihrer Verbreitung und ihrer potenziellen gesellschaftlichen Auswirkungen einer eigenen Eskalationsstufe zugeordnet werden.

Die genaue Schwelle, ab wann ein Modell als systemisches Risiko gilt, ist Gegenstand laufender behördlicher Auslegung – vereinfachte Darstellungen in vielen Fachmedien, die konkrete FLOPs-Zahlen als absolute Grenze darstellen, greifen hier zu kurz. Der Bereich der systemischen Risiken bleibt ein regulatorisches Interpretationsfeld, das die zuständigen Stellen, insbesondere das EU AI Office, weiter konkretisieren.

Was aber bereits feststeht: Anbieter in dieser Kategorie müssen Modellbewertungen durchführen, schwere Vorfälle erfassen und melden sowie angemessene Cybersicherheitsmaßnahmen für Modell und Infrastruktur vorhalten. Das ist ein qualitativ anderer Aufwand als die Basisdokumentation. Es geht um laufendes Monitoring, um definierte Meldewege und um Incident-Response-Prozesse, die auch für KI-Ausfälle oder -Missbrauch gelten.

Für Anbieter wie Meta mit Llama oder OpenAI mit GPT-Modellen stellt sich damit eine strategisch unbequeme Frage: Wie viel Dokumentation, Überwachung und behördliche Transparenz sind sie bereit zu leisten, um in Europa großflächig tätig zu sein? Die Europäische Kommission beantwortet in ihren offiziellen FAQ zu GPAI-Modellen, was konkret verlangt wird – und der Tonfall ist unmissverständlich verbindlich.

Der Datenschutz-Strang: DSK und Trainingsdaten

Parallel zur AI-Act-Systematik läuft ein zweiter Regulierungsstrang, den die Datenschutzkonferenz (DSK) und die europäischen Aufsichtsbehörden treiben: die Frage nach Datenschutzkonformität bei Trainingsprozessen großer Sprachmodelle.

Hier liegt eine strukturelle Spannung. Der AI Act verlangt Dokumentation von Trainingsdaten. Die DSGVO verlangt Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die möglicherweise in Trainingsdatensätzen enthalten sind. Diese beiden Anforderungen überschneiden sich, ergänzen sich aber nicht automatisch. Ein Modell kann AI-Act-konform dokumentiert sein und trotzdem DSGVO-Probleme haben – etwa wenn die verwendeten Webcrawl-Daten personenbezogene Inhalte enthielten, ohne dass dafür eine belastbare Rechtsgrundlage vorliegt.

Europäische Datenschutzbehörden haben in den vergangenen Jahren mehrfach deutlich gemacht, dass sie das Thema Trainingsdaten nicht als regulatorische Grauzone akzeptieren. Die Debatte im Sommer 2026 läuft darauf hinaus, dass Foundation Models nicht nur auf Modellebene, sondern auch auf Prozessebene – also während des Trainings – regulatorisch eingeordnet werden müssen. Das ist der Punkt, an dem die Governance-Diskussion wirklich unbequem wird.

Besonders heikel ist dabei die Frage der Betroffenenrechte. Wenn eine Person berechtigterweise fragt, ob ihre Daten im Trainingsprozess eines Foundation Models verwendet wurden, können die meisten Anbieter diese Frage heute nicht mit der gebotenen Präzision beantworten. Das ist kein technisches Detail – es ist ein strukturelles Compliance-Problem, das sich über den gesamten GPAI-Markt erstreckt und das Aufsichtsbehörden zunehmend als prioritäres Prüffeld behandeln.

Anbieter versus Deployer: Eine oft verwischte Grenze

Ein häufiger Fehler in der öffentlichen Diskussion: Die Pflichten aus dem AI Act für GPAI-Anbieter werden mit denen für Deployer verwechselt oder vermischt. Der AI Act unterscheidet diese Rollen ausdrücklich.

Der Anbieter eines GPAI-Modells – also das Unternehmen, das das Modell trainiert und auf den Markt bringt – trägt die primären Dokumentations-, Transparenz- und Risikopflichten auf Modellebene. Der Deployer – also das Unternehmen, das das Modell in eine konkrete Anwendung integriert – hat eigene Pflichten, die vom Einsatzkontext abhängen. Bei Hochrisiko-Anwendungen gelten dann noch einmal separate Anforderungen.

Diese Dreiteilung ist für Compliance-Teams relevant. Wer ein Open-Source-Modell wie Llama lokal betreibt und in einer eigenen Anwendung einsetzt, übernimmt möglicherweise Anbieter-ähnliche Pflichten – weil er das Modell selbst konfiguriert, anpasst und deployt. Das Fraunhofer IAIS betont in seinem Whitepaper zu vertrauenswürdigen KI-Anwendungen mit Foundation Models, dass Governance und Risikomanagement bereits auf der Modellentscheidungsebene ansetzen müssen – nicht erst bei der fertigen Anwendung.

Für Open-Source-Modelle gibt es im AI Act begrenzte Ausnahmen, deren genaue Reichweite aber noch nicht abschließend ausgelegt ist. Die Annahme, Open-Source sei automatisch regulierungsfrei, ist jedenfalls falsch.

Gegenargumente: Was Industrie und Verbände einwenden

Die Regulierungsdebatte verläuft nicht ohne Widerstand. Verbände wie Bitkom haben klar formuliert, dass der risikobasierte Ansatz des AI Act nicht zulasten von Innovationsfähigkeit und Wettbewerbsfähigkeit europäischer Unternehmen aufgegeben werden darf. Das ist eine legitime Position, die mehr verdient als ein bloßes Schulterzucken.

Das Kernargument lautet: Wenn Compliance-Anforderungen für GPAI-Modelle so umfangreich werden, dass sie faktisch nur von großen, ressourcenstarken Anbietern erfüllt werden können, dann schadet die Regulierung genau jenen europäischen Start-ups und Mittelständlern, die sie eigentlich schützen soll. Die Marktkonzentration bei wenigen, gut kapitalisierten GPAI-Anbietern würde sich verschärfen – was dem erklärten Ziel europäischer Technologiesouveränität widerspricht.

Ein zweites Gegenargument betrifft die Innovationsgeschwindigkeit. Foundation Models entwickeln sich so schnell weiter, dass regulatorische Kategorien, die heute sinnvoll erscheinen, in zwölf Monaten möglicherweise an der Realität vorbeigehen. Wer heute ein Modell als nicht systemisch relevant einstuft, könnte morgen mit einem Nachfolgemodell in einer völlig anderen Regulierungskategorie landen – ohne klare Übergangsregeln.

Diese Einwände sind ernst zu nehmen. Sie ändern aber nichts daran, dass Foundation Models ohne eigene regulatorische Einordnung eine Lücke in der Governance-Architektur darstellen würden, die schwerwiegendere Folgen hätte als die beklagte Compliance-Last. Die entscheidende Aufgabe liegt darin, die Umsetzungsregeln so zu gestalten, dass auch kleinere Anbieter handlungsfähig bleiben.

Europäische Unabhängigkeit: Mehr als ein politisches Schlagwort

Hinter der technischen Regulierungsdebatte steckt ein strategischer Subtext, den ich für unterschätzt halte: Europa versucht, mit dem AI Act auch eine strukturelle Abhängigkeit von US-amerikanischen und chinesischen GPAI-Anbietern zu adressieren. Wer ein Modell in der EU betreibt, muss nachweisbar compliant sein. Das schafft Marktbedingungen, unter denen europäische Modellanbieter – sofern sie entstehen und skalieren – einen regulatorischen Heimvorteil hätten.

Das ist keine Schutzklausel für europäische Anbieter, aber es ist ein faktischer Markteintrittsaufwand, der außereuropäische Anbieter zwingt, erhebliche Compliance-Ressourcen einzusetzen. Anbieter, die das nicht investieren wollen oder können, werden den europäischen Markt meiden oder nur eingeschränkt bedienen. Genau das ist das regulatorische Kalkül.

Die Diskussion über systemische Risiken ist in diesem Kontext nicht nur eine technische Debatte. Es geht darum, welche Modelle in europäischen kritischen Infrastrukturen, Gesundheitssystemen oder öffentlichen Verwaltungen eingesetzt werden dürfen – und wer die Kontrolle darüber behält.

KI-Sicherheit auf Modellebene: Was das konkret bedeutet

KI-Sicherheit wird im öffentlichen Diskurs oft auf Anwendungsebene diskutiert: Deepfakes, Fehlinformation, Bias in Entscheidungssystemen. Der AI-Act-Rahmen für GPAI verlagert einen Teil dieser Debatte explizit auf die Modellebene. Cybersicherheitsanforderungen für Modell und Infrastruktur bedeuten, dass Anbieter gegen Manipulationsversuche, Modell-Extraktion und adversariale Angriffe schützen müssen – und das nachweislich.

Das ist ein relevanter Punkt für Unternehmen, die GPAI-Modelle einkaufen. Die Frage lautet nicht mehr nur: Liefert das Modell gute Ergebnisse? Sie lautet auch: Welche Sicherheitsprozesse hat der Anbieter, was passiert bei einem sicherheitsrelevanten Vorfall, und wie wird das gemeldet?

Wer diese Fragen heute noch nicht in seiner Beschaffungspraxis stellt, wird sie spätestens dann stellen müssen, wenn die Aufsichtsbehörden beginnen, Dokumentation einzufordern. Und dieser Zeitpunkt rückt näher. Rechtswissenschaftliche Kommentierungen zum AI Act machen deutlich, dass der Umsetzungsaufwand für Anbieter und Anwender erheblich ist – und dass viele Unternehmen diesen Aufwand bisher unterschätzt haben.

Risikobewertung als laufender Prozess

Ein letzter Punkt, der in vielen Berichten untergeht: Die Risikobewertung für GPAI-Modelle ist kein einmaliges Checklistenereignis. Sie ist ein kontinuierlicher Prozess. Modelle werden aktualisiert, neue Fähigkeiten entstehen, Einsatzgebiete erweitern sich. Was heute noch nicht als systemisches Risiko gilt, kann es morgen sein – wenn das Modell leistungsfähiger wird oder in einem neuen Kontext eingesetzt wird. Dabei zeigt etwa der Blick auf die grundlegenden Chancen und Gefahren künstlicher Intelligenz, dass die Risikodimension bei Foundation Models weit über technische Parameter hinausgeht und gesellschaftliche Tragweite entfaltet.

Das stellt Compliance-Teams vor eine strukturelle Herausforderung: Nicht das einmalige Audit zählt, sondern die Fähigkeit, Modellveränderungen kontinuierlich gegen die regulatorischen Kriterien zu spiegeln. Governance wird damit zu einem lebendigen Prozess, nicht zu einem Ordner im Archiv.

Für Unternehmen, die heute GPAI-Modelle integrieren, bedeutet das: Vertragsgestaltung mit Modellanbietern muss Update-Pflichten, Dokumentationsanforderungen und Vorfallsmeldungen explizit abdecken. Wer das nicht einfordert, übernimmt stillschweigend Risiken, die eigentlich beim Anbieter liegen sollten.

Praktische Handlungsschritte für Unternehmen

Angesichts der laufenden Konkretisierung durch das EU AI Office lassen sich bereits heute einige praxisrelevante Schritte benennen, ohne dass man auf den finalen Rechtsrahmen warten müsste:

• Bestandsaufnahme der eingesetzten Modelle: Welche Foundation Models werden im Unternehmen produktiv genutzt, in welchen Prozessen, und durch welche Anbieter bereitgestellt? Diese Übersicht ist die Grundlage jeder weiteren Compliance-Arbeit.
• Dokumentation einfordern: Fordern Sie von GPAI-Anbietern die nach AI Act vorgesehene technische Dokumentation aktiv an. Fehlt sie, sollte das als Risikosignal in die Lieferantenbeurteilung einfließen.
• Vertragsklauseln aktualisieren: Bestehende Verträge mit Modellanbietern decken Update-Pflichten, Vorfallsmeldungen und Dokumentationspflichten häufig nicht ab. Das sollte vor dem nächsten Vertragszyklus geändert werden.
• Interne Zuständigkeiten klären: Wer im Unternehmen ist verantwortlich, wenn ein eingesetztes GPAI-Modell plötzlich in eine neue Risikokategorie fällt? Diese Frage sollte nicht erst im Krisenfall beantwortet werden.
• Schulung der Beschaffungsteams: Einkauf und IT-Beschaffung müssen die regulatorischen Mindestanforderungen kennen, bevor neue KI-Dienste kontraktiert werden.

Diese Schritte ersetzen keine rechtliche Beratung im Einzelfall, schaffen aber eine handhabbare Ausgangsbasis für Unternehmen, die heute noch keine strukturierte GPAI-Governance haben.

Was bleibt?

Die Einstufung von Foundation Models als regulierte GPAI-Entitäten ist keine administrative Randnotiz. Sie ist eine strukturelle Neukalibrierung, wer in der KI-Lieferkette wofür verantwortlich ist. Die Industrie-Erzählung, große Modelle seien bloße Infrastruktur ohne eigene regulatorische Relevanz, ist damit Geschichte.

Die entscheidende Frage für die nächsten Monate lautet: Werden die Behörden – EU AI Office, DSK, nationale Aufsichten – die Einstufungspraxis so konkretisieren, dass sie für mittelständische Unternehmen handhabbar bleibt? Oder entsteht ein Compliance-Aufwand, der in der Praxis nur Großkonzerne und staatsnahe Institutionen erfüllen können, während der Mittelstand faktisch ausgeschlossen wird?

Verfolgen Sie die Auslegungspraxis des EU AI Office in den kommenden Monaten genau. Dort werden die Weichen gestellt – nicht in Brüsseler Pressemitteilungen, sondern in technischen Leitlinien und ersten Aufsichtsverfahren.