GPAI Chapter V Mapping

Provider · Systemic Risk · Integrator

GPAI (General-Purpose AI) Models — wie GPT-5, Claude Opus 4, Llama, Mistral — fallen unter Chapter V des AI Acts. Provider-Pflichten gelten ab 2. August 2025. Bei systemic risk (FLOP-Threshold 10²⁵) verschärfen sich die Pflichten erheblich.

Provider-Pflichten (Art. 53)

Diese Pflichten gelten für JEDEN GPAI-Provider, unabhängig von der Modellgrösse.

Art. 53(1)(a)

Technische Dokumentation

Tech-Doc gemäß Annex XI: Trainingsdaten, Architektur, Computing-Resources, Energie-Verbrauch, Test-Daten, Evaluierung.

Art. 53(1)(b)

Information für Downstream-Provider

Detaillierte Informationen die nachgelagerte Anbieter brauchen, um GPAI-Modell in eigene Systeme zu integrieren (Annex XII).

Art. 53(1)(c)

Copyright-Compliance

Policy zur Wahrung des EU-Urheberrechts. Insbesondere Opt-Out-Mechanismen für TDM-Reservations gemäß Art. 4(3) DSM-Directive.

Art. 53(1)(d)

Trainings-Daten-Summary

Detaillierte öffentlich zugängliche Zusammenfassung der für das Training verwendeten Inhalte. AI-Office Template.

Systemic Risk (Art. 51 + 55)

Verschärfte Pflichten

FLOP-Threshold: Modelle mit kumulierten Trainings-FLOPs ≥ 10²⁵ gelten automatisch als systemic risk. Manuelle Designation durch AI-Office möglich basierend auf weiteren Kriterien (Anwender-Anzahl, Auswirkung auf EU-Markt).

Art. 55(1)(a)

Model-Evaluation

State-of-the-art-Evaluierung inkl. adversarial Testing, um systemische Risiken zu identifizieren und mitigieren.

Art. 55(1)(b)

Systemic-Risk-Mitigation

Bewertung und Minderung möglicher systemischer Risiken auf EU-Ebene (Demokratie, Diskriminierung, Kettenreaktionen).

Art. 55(1)(c)

Serious-Incident-Reporting

Meldung schwerwiegender Vorfälle und korrigierender Maßnahmen an AI-Office und nationale Behörden.

Art. 55(1)(d)

Cybersecurity

Angemessenes Cybersecurity-Niveau für Modell und physische Infrastruktur.

Integrator-Pattern (Du nutzt ein GPAI)

Wenn du ein GPAI-Modell in deinem Produkt einsetzt, hängt deine Rolle vom Integrationsmuster ab. Engine bestimmt den Status via developed_system + modification_type Antworten.

API-Konsum (read-only)

Deployer

Du nutzt OpenAI/Anthropic/Mistral via API. Du bist Deployer der Anwendung; Provider bleibt der Modell-Hersteller.

Fine-Tuning + Eigenname

Möglicher Provider-Status (Art. 25)

Wenn du ein GPAI-Modell substantiell modifizierst und unter eigenem Namen vermarktest, kannst du Provider-Status erlangen. Engine prüft via developed_system + modification_type.

RAG / Prompt-Engineering only

Deployer (kein Status-Flip)

Reine Prompt-Templates und RAG-Konfiguration sind KEINE substantielle Modifikation (Sprint 25 ChatGPT-Audit-Finding #3).

White-Label-Rebranding

Provider (Art. 25(1)(b))

Wenn du ein Modell under Eigenmarke verkaufst, wirst du zum Provider — auch ohne technische Modifikation.

Open-Source-Modell selber trainiert

Provider mit Open-Source-Carve-out (Art. 53(2))

Open-Source-Release (Gewichte+Architektur+Tools öffentlich) → Pflicht-Reduktion. Tech-Doc + Copyright-Policy bleiben bestehen, andere Pflichten sind reduziert. Bei systemic-risk-Modell bleiben ALLE Pflichten.

Engine-Implementation: lib/engine-v3/rules/gpai-overlay.ts für Chapter-V-Routing, lib/engine-v3/empire/role-shift.ts für Art. 25 Provider-Status-Flip-Detection.