Art. 53 der EU-KI-Verordnung regelt seit dem 2. August 2025, was die Anbieter von General-Purpose-AI-Modellen dokumentieren und herausgeben müssen, bevor sie ihr Modell in der EU auf den Markt bringen. Gemeint sind die großen Basismodelle hinter ChatGPT, Claude, Gemini, Mistral, Llama. Für Sie als KMU, das diese Modelle im Alltag einsetzt, hat das einen sehr konkreten Effekt: die Anbieter müssen liefern, was Sie für Ihre eigene Compliance-Akte brauchen.

Auf einen Blick: Art. 53 KI-VO verpflichtet alle Anbieter von General-Purpose-AI-Modellen seit 2. August 2025 zu vier Hauptpflichten. Erstens technische Dokumentation des Modells nach Anhang XI. Zweitens eine Modellkarte für nachgelagerte Anbieter nach Anhang XII. Drittens eine Strategie zur Einhaltung des Urheberrechts. Viertens eine hinreichend detaillierte Zusammenfassung der Trainingsdaten nach Vorlage der Kommission. Nicht-EU-Anbieter müssen zusätzlich einen bevollmächtigten Vertreter in der EU bestellen (Art. 54). Open-Source-Modelle sind teilweise befreit, außer sie haben systemisches Risiko. Für Sie als Betreiber heißt das: Sie können verlangen, dass Ihr Anbieter Modellkarte, Trainingsdaten-Zusammenfassung und AVV liefert.

Was ein GPAI-Modell überhaupt ist

Bevor wir in die Pflichten gehen, kurz die Definition. Art. 3 Nr. 63 KI-VO beschreibt ein GPAI-Modell als ein KI-Modell, das einen allgemeinen Verwendungszweck hat und eine Vielzahl unterschiedlicher Aufgaben kompetent erfüllen kann, unabhängig davon, wie es auf den Markt gebracht wird. Es kann in unterschiedliche Systeme oder Anwendungen integriert werden.

Im Klartext: GPT-5, Claude Opus, Gemini Pro, Mistral Large, Llama 4. Keine engen Spezialmodelle für eine einzige Aufgabe. Sondern die Basis-Engines, auf denen wiederum tausende konkrete Anwendungen aufsetzen, von der Texterstellung über Codegenerierung bis zur Vertragsanalyse. Wer in der KI-VO einen sauberen Begriffsrahmen sucht, sollte zusätzlich den Artikel zu den Begriffsbestimmungen nach Art. 3 KI-VO lesen.

Das Modell selbst ist nicht das System. Das ist eine wichtige Unterscheidung. Wenn ein Mittelständler ChatGPT Enterprise nutzt, ist GPT-5 das Modell und ChatGPT die Anwendung. Art. 53 adressiert OpenAI als Modellanbieter, andere Pflichten der KI-VO adressieren den Mittelständler als Betreiber.

Die vier zentralen Pflichten im Detail

Pflicht 1: Technische Dokumentation nach Anhang XI

Der Modellanbieter muss eine technische Dokumentation erstellen, pflegen und auf Anfrage dem EU AI Office und den nationalen Behörden zugänglich machen. Was hineinmuss, regelt Anhang XI der KI-VO konkret.

Inhalt sind unter anderem: die Modellarchitektur und Parameterzahl, das verwendete Trainingsverfahren, die Trainings- und Testdaten in allgemeiner Form, die eingesetzte Rechenleistung gemessen in FLOPs, der Energieverbrauch beim Training, bekannte Limitationen und potenzielle Risiken. Hinzu kommen Informationen zur Evaluierung des Modells, etwa welche Benchmarks gefahren wurden und welche Schwachstellen sich gezeigt haben.

Die Dokumentation darf vertrauliche Geschäftsgeheimnisse schützen, muss aber so detailliert sein, dass eine sachverständige Behörde die Compliance prüfen kann.

Pflicht 2: Modellkarte für nachgelagerte Anbieter nach Anhang XII

Die zweite Pflicht ist die, die für Sie als KMU am unmittelbarsten relevant ist. Der Modellanbieter muss Informationen und eine Dokumentation für nachgelagerte Anbieter bereitstellen, also für alle, die das Modell in eigene Produkte und Anwendungen einbauen.

Anhang XII listet diese Modellkarte detailliert auf. Inhalt sind die Aufgaben, für die das Modell vorgesehen ist, akzeptable und nicht akzeptable Nutzungsformen, technische Details für Integration und Tuning, Limitationen wie Halluzinationen oder Wissens-Cutoff, eingesetzte Trainingsdaten in allgemeiner Form, Hinweise zur Evaluierung und zu bekannten Risiken. Diese Modellkarten sind teils öffentlich verfügbar, teils nur für lizenzierte Downstream-Partner.

In der Praxis sehen Sie diese Modellkarten bei OpenAI als System Cards (etwa zu GPT-5), bei Anthropic als Model Cards, bei Mistral als Model Documentation. Wer sich für einen Anbieter entscheidet, sollte die jeweilige Modellkarte gelesen haben. Sie ist das Pendant zum Datenblatt einer Maschine.

Pflicht 3: Urheberrechts-Strategie

Der Modellanbieter muss eine Strategie zur Einhaltung des Unionsrechts zum Urheberrecht und zu verwandten Schutzrechten umsetzen. Konkret bedeutet das, die in Art. 4 Abs. 3 der DSM-Richtlinie verankerte Reservation-of-Rights zu respektieren. Wer als Urheber maschinenlesbar erklärt, dass seine Werke nicht für Text-und-Data-Mining genutzt werden dürfen, dessen Material darf der Modellanbieter nicht für das Training verwenden.

Wie schwer diese Pflicht praktisch zu erfüllen ist, zeigt der LAION-Fall am OLG Köln vom 16. April 2025. Die Revision liegt beim BGH und wird vermutlich erst 2027 entschieden. Bis dahin bleibt rechtlich unsicher, wie das Reservation-of-Rights technisch beachtet werden muss. Die ausführliche Einordnung steht im Artikel zu Urheberrecht und KI-Output.

Pflicht 4: Zusammenfassung der Trainingsdaten

Die vierte Pflicht ist neu in dieser Form: Modellanbieter müssen eine hinreichend detaillierte Zusammenfassung der für das Modelltraining genutzten Inhalte veröffentlichen. Das EU AI Office hat dafür ein Template entwickelt, das die Kommission im Sommer 2024 vorgestellt und im GPAI Code of Practice von Mai 2025 konkretisiert hat.

Was da hineinmuss: die wichtigsten Datenquellen in Kategorien (Webdaten, lizenzierte Korpora, Open-Source-Datensätze, eigene Daten der Anbieter), grobe Größenangaben, gegebenenfalls Hinweise auf besonders relevante Inhalte (etwa wissenschaftliche Literatur, Nachrichten). Eine Liste jeder einzelnen URL ist nicht verlangt, aber eine Detailtiefe, die Urhebern und Behörden eine grundsätzliche Einschätzung erlaubt.

Diese Zusammenfassung muss veröffentlicht werden. Das ist relevant, wenn Sie als Mittelständler etwa prüfen wollen, ob ein Modell speziell mit Daten Ihrer Branche oder Sprache trainiert ist.

Die fünfte Pflicht für Nicht-EU-Anbieter

Art. 54 ergänzt Art. 53 für Anbieter mit Sitz außerhalb der EU. Sie müssen vor Inverkehrbringen ihres Modells in der EU einen schriftlich bevollmächtigten Vertreter in der EU benennen. Dieser Vertreter ist erster Ansprechpartner für Behörden, hält die technische Dokumentation vor und kooperiert in Aufsichtsverfahren.

OpenAI, Anthropic, Google, Meta sind US-Anbieter und entsprechend pflichtig. Mistral als europäisches Unternehmen fällt nicht unter diese Sonderregel, hat aber selbstverständlich die übrigen Art.-53-Pflichten zu erfüllen.

Der GPAI Code of Practice als freiwillige Konkretisierung

Im Mai 2025 hat die Kommission den GPAI Code of Practice verabschiedet. Das ist kein Gesetz, sondern ein freiwilliges Compliance-Instrument, das die Pflichten aus Art. 53 und Art. 55 in konkrete Handlungsanweisungen übersetzt. Wer den Code unterzeichnet, signalisiert dem AI Office die Bereitschaft zur Selbstregulierung und bekommt einen vereinfachten Prüfungsweg.

Unterzeichnet haben unter anderem OpenAI, Anthropic, Microsoft, Google, Mistral und mehrere mittlere europäische KI-Anbieter. Meta hat zum Zeitpunkt der Verabschiedung Vorbehalte angemeldet, vor allem zur Trainingsdaten-Transparenz. Der Code wird laufend weiterentwickelt und vermutlich auch über 2026 hinaus eine zentrale Rolle in der Auslegung der GPAI-Pflichten spielen.

Für Sie als KMU lohnt sich ein Blick auf die Liste der Unterzeichner. Wer den Code unterschrieben hat, bietet die geforderten Dokumentationen in einer einheitlichen, vergleichbaren Form an. Das vereinfacht Ihre Lieferanten-Compliance erheblich.

Was das für Sie als Betreiber konkret bedeutet

Sie sind nicht der GPAI-Anbieter. Sie sind der Betreiber. Sie nutzen Claude, ChatGPT, Gemini oder ein anderes Frontier-Modell, um in Ihrem Unternehmen Texte zu schreiben, Code zu generieren, Verträge vorzuprüfen oder Marketing-Material zu erstellen.

Aber Sie profitieren direkt von Art. 53. Die Pflichten der Anbieter schaffen die Grundlage Ihrer eigenen Compliance-Akte. Was Sie bei jedem GPAI-Anbieter konkret prüfen und in den AVV nach Art. 28 DSGVO aufnehmen sollten:

Diese fünf Punkte sollten in Ihrer KI-Lieferantenakte stehen. Wer ein Audit durchläuft, etwa im Rahmen einer ISO-42001-Zertifizierung oder im Kontext einer Hochrisiko-Anwendung, wird genau danach gefragt.

Die Open-Source-Ausnahme

Art. 53 Abs. 2 enthält eine wichtige Ausnahme. Anbieter, die ihr GPAI-Modell unter einer freien und quelloffenen Lizenz veröffentlichen, also Modellgewichte, Architektur und Trainingsmodalitäten öffentlich zugänglich machen, sind von den Pflichten 1, 2 und 4 befreit. Die Urheberrechts-Strategie (Pflicht 3) bleibt verpflichtend.

Wichtig: die Befreiung gilt nicht, wenn das Modell als GPAI mit systemischem Risiko eingestuft ist. Open-Source-Modelle wie Llama 4 oder größere Mistral-Varianten können also trotz freier Lizenz unter die vollen Art.-53-Pflichten plus die zusätzlichen Pflichten nach Art. 55 fallen, wenn sie die Schwellenwerte für systemisches Risiko erreichen.

Praktisch heißt das: wer eine lokale KI on-premise mit Ollama einsetzt, profitiert in den meisten Fällen davon, dass die zugrundeliegenden Modelle weniger Anbieterpflichten erfüllen müssen. Die Verantwortung für die korrekte Nutzung verschiebt sich aber in entsprechendem Umfang zu Ihnen als Betreiber.

Verzahnung zu Art. 55: systemisches Risiko

Art. 53 ist die Basispflicht, Art. 55 setzt obendrauf. Sobald ein GPAI-Modell die Schwelle von 10 hoch 25 FLOPs Trainingsaufwand erreicht oder die Kommission es als vergleichbar leistungsfähig einstuft, gilt es als Modell mit systemischem Risiko. Dann kommen Modell-Evaluierungen nach State-of-the-Art, Adversarial Testing, Vorfallmeldungen an das AI Office und Cybersicherheits-Anforderungen hinzu. Der separate Artikel zu Art. 55 KI-VO und systemischem Risiko geht in die Details.

Für die Anbieter ist das ein zweistufiges System. Für Sie als Betreiber ist relevant, dass die Top-Modelle, mit denen Sie täglich arbeiten (Claude Opus, GPT-5, Gemini Pro), beide Pflichten-Stufen erfüllen müssen. Sie können davon ausgehen, dass die Anbieter dort besonders sorgfältig dokumentieren.

Praxis: was im AVV mit Ihrem KI-Anbieter stehen sollte

Wir sehen bei unseren Teilnehmern regelmäßig, dass der AVV mit dem KI-Anbieter zwar vorhanden ist, aber die KI-spezifischen Punkte fehlen. Ein klassischer Standard-AVV nach Art. 28 DSGVO regelt Datenfluss und Subverarbeiter. Was meist nicht drin steht, sind die Punkte aus Art. 53.

In Ergänzung zum Standard-AVV sollten folgende Zusatzpunkte verankert sein: Pflicht des Anbieters, die jeweils aktuelle Modellkarte verfügbar zu halten und über substantielle Änderungen aktiv zu informieren. Verweis auf die veröffentlichte Trainingsdaten-Zusammenfassung. Erklärung des Anbieters, dass er die Urheberrechts-Strategie umsetzt und Reservation-of-Rights respektiert. Bei Nicht-EU-Anbietern: Benennung des EU-Vertreters mit Kontaktadresse. Verpflichtung zur Mitwirkung bei Behördenanfragen.

Diese fünf Zusatzpunkte sind keine theoretische Übung. Sobald eine Aufsichtsbehörde, ein Kunde oder ein Auditor nach Ihrer KI-Governance fragt, ist das die Mappe, die Sie zeigen können.

Eigene Haltung: warum Art. 53 KMU eher hilft als belastet

In der Diskussion um die KI-Verordnung wird viel von Überregulierung gesprochen. Bei Art. 53 sehe ich das anders. Die Pflichten treffen die Anbieter, nicht Sie als Mittelständler. Was Sie bekommen, ist eine standardisierte Lieferantendokumentation, die es vorher nicht gab.

Vor 2025 hätten Sie bei OpenAI, Anthropic oder Google freundlich nach einer Modellkarte fragen können, mit unterschiedlichem Erfolg. Heute haben Sie einen rechtlichen Anspruch darauf. Vor 2025 hätten Sie keine Möglichkeit gehabt zu prüfen, was im Trainingsdatensatz steckt. Heute gibt es eine Zusammenfassung. Vor 2025 war die Urheberrechts-Compliance der Anbieter ein opakes Eigenversprechen. Heute ist sie Pflichtbestandteil.

Wer das unterschätzt, riskiert beim nächsten Audit Stillstand. Wer es ernst nimmt, hat in 30 Minuten pro Anbieter die wichtigsten Dokumente in der Compliance-Akte. Das ist eines der wenigen KI-VO-Themen, das nicht Aufwand für KMU bedeutet, sondern Transparenz schafft.

Häufige Fragen

Gilt Art. 53 auch für feingetunte Modelle, die wir intern weiterentwickeln?

Wenn Sie ein bestehendes GPAI-Modell mit eigenen Daten fine-tunen, werden Sie unter bestimmten Bedingungen selbst zum Anbieter im Sinne der KI-VO. Maßgeblich ist, ob das feingetunte Modell weiterhin als GPAI gilt (allgemeiner Verwendungszweck) oder ob es zu einem engen Spezialmodell wird. Bei substantiellem Fine-Tuning auf ein klar abgegrenztes Anwendungsfeld liegt regelmäßig kein neuer GPAI vor. Die Pflichten verschieben sich dann in Richtung der allgemeinen Betreiber- und ggf. Anbieterpflichten für KI-Systeme. Im Zweifel rechtlich prüfen lassen.

Was passiert bei Verstoß gegen Art. 53 und wie hoch sind die Bußgelder?

Verstöße gegen Art. 53 können nach Art. 101 KI-VO mit Bußgeldern bis zu 15 Mio. EUR oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem was höher ist. Die Bußgeldfähigkeit greift aber erst ab dem 2. August 2026. Bis dahin gilt eine Übergangsphase, in der die Kommission und nationale Behörden vor allem mit Auflagen und Korrekturanordnungen arbeiten. Für Sie als KMU sind diese Bußgelder nur indirekt relevant, weil sie die Anbieter treffen.

Was ist mit ChatGPT, Claude und Mistral konkret? Wo finde ich deren Modellkarten?

OpenAI veröffentlicht System Cards zu jedem größeren Modell-Release auf der OpenAI-Website unter Research. Anthropic stellt Model Cards für Claude über die Claude-Dokumentation bereit. Mistral hat einen eigenen Bereich Model Documentation auf mistral.ai. Bei Google finden Sie die Gemini-Modellkarten in der Vertex AI Documentation. Die Trainingsdaten-Zusammenfassungen werden mit Stand Mai 2026 schrittweise nachgereicht, das EU AI Office veröffentlicht eine konsolidierte Übersicht.

Müssen Open-Source-GPAI-Anbieter wirklich gar nichts dokumentieren?

Doch. Die Befreiung in Art. 53 Abs. 2 betrifft die Pflichten 1 (technische Dokumentation an Behörden), 2 (Modellkarte für nachgelagerte Anbieter) und 4 (Trainingsdaten-Zusammenfassung). Die Urheberrechts-Strategie (Pflicht 3) bleibt zwingend. Außerdem entfällt die Befreiung, sobald das Modell systemisches Risiko nach Art. 55 erreicht. In der Praxis veröffentlichen seriöse Open-Source-Anbieter wie Mistral oder Meta für ihre größeren Modelle trotzdem freiwillig vollständige Modellkarten, weil das die Akzeptanz im Markt erhöht.

Wir nutzen GPT-5 über Microsoft Azure. Wer ist der GPAI-Anbieter im Sinne von Art. 53?

OpenAI als ursprünglicher Modellanbieter. Microsoft Azure ist der Cloud-Provider, der den Zugriff bereitstellt, aber nicht der Modellanbieter. Für Sie als Betreiber heißt das: die Modellkarte und Trainingsdaten-Zusammenfassung holen Sie sich bei OpenAI. Den AVV nach Art. 28 DSGVO schließen Sie mit Microsoft, weil dort Ihre Daten verarbeitet werden. Beide Dokumentationsebenen müssen in Ihrer Akte liegen.

Wer Art. 53 in einen größeren Compliance-Rahmen einordnen will und gleichzeitig verstehen möchte, wo die Begriffsdefinitionen in der KI-VO ansetzen, findet im Artikel zu Art. 3 KI-VO Begriffsbestimmungen das passende Grundgerüst. Wer das Thema KI-Compliance im Mittelstand strukturell aufbauen will, mit Fokus auf praktische Werkzeug-Auswahl, Lieferantenmanagement und interne Governance, findet im Digitalisierungsmanager eine geförderte Weiterbildung, die diese Themen über vier Monate aufeinander aufbaut.

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp