General-Purpose AI Modelle Checkliste fuer Gruender und Compliance Leads

Nutzen Sie diese Checkliste, wenn Produkt, interne Workflows oder Vendor Stack von einem Modell abhaengen, das viele Aufgaben in verschiedenen Kontexten ausfuehren kann. Ziel ist nicht, jedes SaaS-Team wie ein Modelllabor zu behandeln. Ziel ist, zu wissen, welche Modelle relevant sind, welche Rolle das Unternehmen spielt, welche Nachweise existieren und was vor Launch, Kundenreview oder Audit passieren muss.

Nach dem EU AI Act verlangt Artikel 53 von Anbietern technischer Dokumentation, Informationen fuer Downstream Provider, eine Copyright Policy und eine oeffentliche Trainingszusammenfassung. Artikel 55 fuegt fuer Modelle mit systemischem Risiko Pflichten zu Evaluation, Risikominderung, Incident Reporting und Cybersecurity hinzu. Artikel 51 beschreibt die Einstufung systemischer Risiken.

1. Modell inventarisieren

Erfassen Sie Modellname, Anbieter, Version, Hosting, Region, Use Case, Owner, Datenkategorien, Outputtypen, Kundensichtbarkeit, Fine-Tuning, interne Nutzung, Produktnutzung und Speicherort der Anbieterunterlagen.

Pass-Kriterium: Ein Reviewer kann erkennen, welches Modell genutzt wird, wer verantwortlich ist, wo es laeuft, welche Daten es sieht und warum es wichtig ist.

2. Rolle mappen

Klaeren Sie, ob das Unternehmen Modellanbieter, Downstream Provider eines AI Systems, Deployer, Distributor oder Kunde eines Vendor Features ist. Dokumentieren Sie, wer das System auf den Markt bringt, wer Verhalten kontrolliert, wer den Zweck festlegt, wer Outputs sieht und wer das Modell veraendert.

Eskalieren Sie an Legal, wenn das Unternehmen ein Modell wesentlich veraendert, Modellzugang fuer Kunden anbietet oder nicht klar erklaeren kann, welche Rolle es spielt.

3. Artikel-53-Nachweise pruefen

Fragen Sie Anbieter nach technischer Dokumentation, Integrationsinformationen, Capability- und Limitation Notes, Copyright Policy, Trainingszusammenfassung, Safety- und Security-Nachweisen, Update Notices, Datenverarbeitung, Retention und Ansprechpartnern fuer Compliance oder Security.

Pass-Kriterium: Das Team beantwortet Buyer- und interne Review-Fragen aus gespeicherten Nachweisen, nicht aus Erinnerung.

4. Systemisches Risiko screenen

Fragen Sie, ob das Modell als systemisches Risiko klassifiziert ist, ob das AI Office informiert wurde, welche Evaluationen und Adversarial Tests existieren, wie schwere Vorfaelle gemeldet werden und welche Aenderungen Kundenhinweise ausloesen.

Fuer SaaS-Teams ist das vor allem Abhaengigkeitsrisiko: Provider Policies, Verfuegbarkeit, Limits oder Safety-Verhalten koennen Roadmap und Kundenzusagen beeinflussen.

5. Datenschutz und Security pruefen

Klaeren Sie, welche personenbezogenen Daten, Kundendaten, vertraulichen Daten, Source Code oder Logs in das Modell gelangen. Pruefen Sie Retention, Training, Abuse Monitoring, Human Review, Region, Zugriffskontrollen, Loeschung, Betroffenenrechte und ob DPIA, Transfer Review oder Vendor Risk Review noetig sind.

6. Erlaubte Nutzung und Guardrails definieren

Dokumentieren Sie genehmigten Use Case, verbotene Nutzungen, Human Review, Disclosure, Output-Korrektur, Escalation, Monitoring, Limits fuer Sales Claims und Trigger fuer erneute Pruefung.

7. Kundenantworten vorbereiten

Halten Sie genehmigte Antworten zu Modellanbietern, Training mit Kundendaten, Verarbeitung, Retention, Subprocessors, Human Oversight, Model Updates, Incident Handling und teilbarer Dokumentation bereit.

8. Release Management ergaenzen

Vor Launch oder Modellwechsel sollten Inventar, Rollenvermerk, Vendor Evidence, Privacy Review, Security Review, Kundendisclosure, Support-Material, Monitoring, Rollback und Reassessment Trigger aktuell sein.

FAQ

Wozu dient die Checkliste?

Sie macht Modellnutzung zu einem wiederholbaren Workflow: Inventar, Rollenmapping, Vendor Evidence, Privacy und Security Review, Guardrails, Kundenantworten und Change Management.

Wann betrifft das SaaS-Teams?

Wenn ein Team ein General-Purpose AI Modell baut, kauft, integriert, fine-tuned, deployed oder davon abhaengt.

Was zuerst dokumentieren?

Starten Sie mit Modellinventar und Rollenvermerk. Danach folgen Anbieterunterlagen, Privacy und Security Fakten, genehmigte Use Rules, Kundenantworten und Release Trigger.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 51.
• European Commission AI Act Service Desk, Article 53.
• European Commission AI Act Service Desk, Article 55.
• European Commission, Drawing-up a General-Purpose AI Code of Practice.