General-Purpose AI Modelle: Praxisleitfaden fuer SaaS-Teams

General-Purpose AI Modelle werden fuer SaaS-Teams relevant, wenn Produktfunktionen, interne Workflows oder Lieferantenbeziehungen von einem Modell abhaengen, das viele verschiedene Aufgaben in unterschiedlichen Kontexten ausfuehren kann. Die praktische Frage lautet nicht nur, ob das Modell leistungsfaehig ist. Es geht darum, ob das Unternehmen das Modell bereitstellt, in ein AI System integriert, als Downstream Provider nutzt oder darauf angewiesen ist.

Nach dem EU AI Act liegen die Kernpflichten in Kapitel V. Artikel 53 verlangt fuer Anbieter solcher Modelle technische Dokumentation, Informationen fuer Downstream Provider, eine Copyright Policy und eine oeffentliche Zusammenfassung von Trainingsinhalten. Artikel 55 fuegt fuer Modelle mit systemischem Risiko Pflichten zu Evaluation, Risikominderung, Incident Reporting und Cybersecurity hinzu. Artikel 51 beschreibt, wann ein Modell als systemisches Risiko eingestuft wird.

Warum das praktisch wichtig ist

Modellentscheidungen betreffen nicht nur Engineering. Sie beeinflussen Produktverhalten, Kundendokumentation, Vendor Risk, Security Review, Datenschutz, Copyright, Audit Evidence und Sales-Antworten.

Die wichtigste Aufgabe ist Rollenklarkeit. Ein Team, das ein Modell per API nutzt, ist meist nicht der Modellanbieter. Es kann aber Anbieter eines AI Systems sein, das ein Modell integriert, Deployer eines AI Systems, Distributor in bestimmten Konstellationen oder SaaS-Anbieter, der Kundenfragen zu Modellgrenzen, Sicherheit, Datenschutz und Aenderungen beantworten muss.

Start mit Rollenmapping

Listen Sie jedes General-Purpose AI Modell, das das Unternehmen nutzt oder anbietet: hosted APIs, Open-Source-Modelle, fine-tuned Modelle, eingebettete Vendor Features, interne Tools, Produkt-Copilots, Support Assistants und kundenseitig konfigurierbare AI Workflows.

Erfassen Sie Modellname, Anbieter, Version oder Familie, Hosting, Use Case, Product Owner, Datenkategorien, Kundensichtbarkeit, Geografie, Fine-Tuning und ob das Modell direkt oder nur als Teil einer engeren Anwendung angeboten wird.

Dann formulieren Sie eine Rollenhypothese: Modellanbieter, Downstream Provider eines AI Systems, Deployer, Kunde eines Vendor Features oder Plattform, die Kunden eigene AI Nutzung ermoeglicht.

Basispflichten verstehen

Wenn ein Unternehmen ein General-Purpose AI Modell bereitstellt, ist Artikel 53 der Ausgangspunkt. Anbieter muessen technische Dokumentation aktuell halten und Downstream Providern Informationen geben, damit diese Faehigkeiten, Grenzen und eigene Pflichten verstehen.

Artikel 53 verlangt auch eine Copyright Policy und eine ausreichend detaillierte oeffentliche Zusammenfassung der Trainingsinhalte. Open-Source-Modelle koennen unter bestimmten Bedingungen von einigen Dokumentationspflichten ausgenommen sein, nicht aber wenn sie systemisches Risiko haben.

Auch SaaS-Teams, die keine Modelle trainieren, sollten diese Punkte in Vendor Reviews abfragen: technische Dokumentation, Integrationsdokumentation, Copyright Policy, Trainingszusammenfassung, Nutzungslimits, Sicherheitsnachweise und Update Notices.

Systemisches Risiko beobachten

Artikel 51 sieht systemisches Risiko bei Hochwirkungsfaehigkeiten oder einer entsprechenden Kommissionsentscheidung. Eine Rechenleistung von mehr als 10^25 Floating Point Operations bei Training loest eine Vermutung fuer Hochwirkungsfaehigkeiten aus.

Bei systemischem Risiko verlangt Artikel 55 zusaetzlich Modell-Evaluation, adversarial Testing, Bewertung und Minderung systemischer Risiken, Reporting schwerer Vorfaelle und Cybersecurity. Downstream SaaS-Teams sollten Anbieter direkt fragen, ob ein Modell so eingestuft ist und welche Nachweise verfuegbar sind.

Evidence Packet

Ein gutes Evidence Packet enthaelt Modellinventar, Rollenmap, Use Case, Anbieter, Modellversion, Hosting, Datenkategorien, Kundensichtbarkeit, erlaubte und verbotene Nutzung, Vendor Dokumentation, Copyright- und Trainingszusammenfassungen, Security Evidence, Privacy Review, Logging, Monitoring, Human Oversight, Change Process und Fallback Plan.

Bei Fine-Tuning gehoeren Datensatzbeschreibung, Datenherkunft, Rechtsgrundlage, Evaluation, Limitations, Red-Team Tests, Release Approval und Rollback Plan dazu. Bei kundenorientierten AI Features braucht es ausserdem Produktdokumentation, Help Center Text, Trust Center Summary, genehmigte Sales-Antworten und Support Runbooks.

FAQ

Wozu dient Governance fuer General-Purpose AI Modelle praktisch?

Sie stellt sicher, dass das Team weiss, welche Modelle genutzt werden, welche Rolle das Unternehmen hat, welche Nachweise existieren und was bei Modell-, Use-Case- oder Rechtsaenderungen passiert.

Wann gilt das fuer SaaS-Teams?

Wenn ein Team ein General-Purpose AI Modell bereitstellt, integriert, deployed, konfiguriert, fine-tuned oder in Produkt, internem Workflow oder Vendor Beziehung nutzt.

Was zuerst dokumentieren?

Starten Sie mit Modellinventar und Rollenmap. Danach folgen Anbieterunterlagen, Use Case, Datenkategorien, Kundensichtbarkeit, Security, Privacy, Copyright, Limits, Monitoring und Change Trigger.