KI & Recht
LLM-Wrapper: teures Risiko oder legitimes Produkt? Wann ein „GPT-Wrapper“ Substanz hat — und wann nicht
Ein GPT-Wrapper — deutsch oft KI-Wrapper — ist eine Software-Schicht um ein fremdes KI-Modell wie GPT, Claude oder Gemini. „Wrapper“ wird gern als Schimpfwort benutzt. Zu Unrecht: Entscheidend ist nicht, ob Sie ein fremdes Modell nutzen (das tun fast alle), sondern was Sie darum herum bauen — Daten, Workflow, Integration und ein rechtlich sauberes Fundament. Genau daran erkennt man Substanz statt teurer Verpackung.
Dieser Artikel beantwortet die Leitfrage, die in der deutschen Suche bisher fast nur halb beantwortet wird: Das Tech-Lager diskutiert Defensibilität und Moat, ignoriert aber das Recht. Das Rechts-Lager streift den Begriff, bewertet aber die wirtschaftliche Substanz nicht. Hier kommen beide Achsen zusammen — geschrieben von jemandem, der die Lösung rechtlich verantwortet und selbst baut.
Was ist ein GPT-/LLM-Wrapper überhaupt?
Ein LLM-Wrapper ist Software, die ein vortrainiertes Sprachmodell über dessen API ansteuert und es in einen konkreten, spezialisierten Anwendungsfall einbettet. Der Begriff sagt zunächst nur eines aus: Das teuerste und schwierigste Stück — das Modell selbst — kommt von einem Drittanbieter. Das ist kein Defekt. Es ist eine Architektur-Entscheidung, die für über 95 % aller Anwendungsfälle die ökonomisch richtige ist.
Die Schichten-Architektur: Modell, System-Prompt, Kontext/RAG, Daten, UI
Stellen Sie sich einen Wrapper als Zwiebel vor. Im Kern liegt das fremde Modell. Darum legen sich:
- System-Prompt & Logik — die Anweisungen, die das Modell auf Ihren Anwendungsfall trimmen.
- Kontext / RAG — das Einspeisen relevanter, eigener Inhalte zur Laufzeit (Retrieval-Augmented Generation für Unternehmen).
- Eigene Daten — proprietäre Datenbestände, die kein Wettbewerber besitzt.
- Workflow & Integration — die Einbettung in bestehende Tools, Prozesse, Schnittstellen.
- UI & Experience — die Oberfläche, über die Nutzer das Ganze überhaupt erst sinnvoll bedienen.
Die LTO bringt es auf den Punkt: Ein KI-Wrapper schafft echten Mehrwert durch Fine-Tuning, fachspezifische System-Prompts, Kontext-Injektion und eine brauchbare Oberfläche — fehlen diese Komponenten, kauft man tatsächlich nur eine teure „Verpackung“ (Quelle: LTO).
Wrapper ≠ eigenes Modell — und warum das fast immer die richtige Wahl ist
Ein eigenes Foundation-Modell zu trainieren kostet zwei- bis dreistellige Millionenbeträge und veraltet binnen Monaten. Selbst Tech-Schwergewichte rudern hier zurück: Das Coding-Startup Codeium bezeichnete eigene Modell-Trainingsbemühungen rückblickend als „a mistake“ und setzt auf die Anwendungsschicht (Quelle: Latent.Space). Die Lehre: Der Wettbewerb findet nicht im Modell statt, sondern in der Schicht darum herum.
„Billiger Trick“ oder echtes Produkt? Der Substanz-Test
Die spannendere Frage ist nicht „Wrapper ja/nein“, sondern wo auf dem Spektrum zwischen austauschbarer Hülle und tief verwurzeltem Produkt ein Tool steht.
Das schwache Ende: austauschbare „Prompt-only“-Tools
Am unteren Ende stehen Tools, deren gesamte Wertschöpfung ein cleverer System-Prompt ist. Sie sind in einem Wochenende nachbaubar, der Wechsel zur Konkurrenz kostet den Nutzer nichts, und sobald das Basismodell selbst eine Funktion nativ kann, ist das Geschäft erledigt. Hohe Abwanderung ist hier kein Pech, sondern strukturell.
Das starke Ende: vertikale Wrapper mit Daten- und Workflow-Tiefe
Am oberen Ende stehen Produkte wie der KI-Code-Editor Cursor, die Anwalts-KI Harvey oder Beck Noxtua im deutschen Rechtsmarkt. Sie nutzen ebenfalls fremde Modelle — aber sie sind tief in einen Fach-Workflow eingebettet, verarbeiten domänenspezifischen Kontext und sind im Arbeitsalltag ihrer Nutzer verankert. Genau diese Wrapper erreichen zweistellige Milliarden-Bewertungen, während die generischen „Custom GPTs“ ihren Product-Market-Fit weitgehend verfehlt haben (Quelle: Latent.Space). Die Größenordnung ist real: Harvey wurde am 25. März 2026 mit 11 Mrd. US-Dollar bewertet, Cursors Mutter Anysphere im November 2025 mit 29,3 Mrd. US-Dollar — beide nutzen im Kern fremde Modelle (Quellen: CNBC – Harvey, CNBC – Cursor).
Kernaussage: „Wrapper“ ist kein Urteil über die Qualität. Es beschreibt die Architektur. Die Substanz liegt in dem, was Sie um das Modell herum bauen.
Wann hat ein KI-Wrapper einen Moat? — Die sechs Defensibilitäts-Quellen
Ein Moat (Burggraben) ist das, was einen Wettbewerber davon abhält, Sie einfach zu kopieren. Beim KI-Produkt gibt es sechs realistische Quellen — und einige, die nur wie ein Moat aussehen.
| Moat-Quelle | Echter Moat? | Warum |
|---|---|---|
| Proprietäre Daten & Datenschicht | Ja (der stärkste) | Eigene, schwer beschaffbare Daten kann kein Wettbewerber per Prompt nachbauen. |
| Tiefe Workflow-/Tool-Integration | Ja | Wer im täglichen Arbeitsablauf sitzt, ist schwer zu verdrängen. |
| Switching Costs | Ja, bedingt | Eingelernte Konfiguration, Historie, Integrationen erhöhen die Wechselhürde. |
| Distribution / Vertrieb | Ja, bedingt | Bestehender Marktzugang und Kundenstamm sind real, aber erodierbar. |
| Daten-Flywheel | Ja, wenn echt | Nutzung erzeugt Daten, die das Produkt verbessern, das mehr Nutzung erzeugt. Nur ein Moat, wenn die Daten exklusiv und produktrelevant sind. |
| Marke / Vertrauen | Bedingt | Im regulierten/sensiblen Umfeld (Recht, Gesundheit) sehr wertvoll, sonst langsam. |
| Besserer Prompt / schönere UI allein | Nein | In Tagen kopierbar; wird vom Basismodell oder Wettbewerber eingeholt. |
Proprietäre Daten & die Datenschicht (der eigentliche Moat)
Das Modell ist für alle gleich verfügbar. Ihre Daten sind es nicht. Der mit Abstand stärkste, dauerhafteste Wettbewerbsvorteil eines KI-Wrappers ist eine Datenschicht, die niemand sonst hat: kuratierte Fachdaten, eigene Falldaten, exklusive Integrationen. Ein Daten-Flywheel entsteht, wenn die Nutzung Ihres Produkts neue, exklusive Daten erzeugt, die es besser machen — was wiederum mehr Nutzung anzieht.
Das Modell ist Allgemeingut, die Datenschicht nicht: Der Wettbewerbsvorteil eines Wrappers liegt nicht im fremden Kern, sondern in den exklusiven Daten und dem Flywheel, das ihn umschließt.
Tiefe Integration & Switching Costs
Ein Tool, das tief in CRM, ERP oder die Fach-Tools des Kunden eingebettet ist, lässt sich nicht über Nacht austauschen. Cursors Stärke liegt nicht im Modell, sondern darin, dass es im Editor des Entwicklers lebt (Quelle: Latent.Space).
Was KEIN Moat ist
Ein besserer System-Prompt, eine schönere Oberfläche, ein cleverer Trick: alles kopierbar, alles flüchtig. Wer seine gesamte Defensibilität darauf stützt, hat keinen Moat — er hat einen Vorsprung von Wochen.
Das unterschätzte Risiko: die Abhängigkeit vom Modellanbieter
Jeder Wrapper erbt das Risiko seines Lieferanten. Das ist die unbequeme Kehrseite der „kauf nicht, nutze“-Logik.
Vendor Lock-in, Preis- und Abschalt-Risiko (Modell-ToS lesen)
Der Modellanbieter kann Preise erhöhen, Modelle deprecaten, Nutzungsbedingungen ändern oder einen Dienst einstellen. Lesen Sie die Modell-ToS wie einen Liefervertrag: Was passiert mit Ihren Daten? Dürfen sie zum Training genutzt werden? Welche Kündigungs- und Abschaltklauseln gibt es? Diese Klauseln sind ein reales Vertragsrisiko, kein Kleingedrucktes.
Multi-Provider-Strategie & Open-Weights als Resilienz-Hebel
Die Antwort heißt Architektur: eine Abstraktionsschicht, die das konkrete Modell austauschbar macht, eine Multi-Provider-Strategie und — wo Datensouveränität zählt — der Einsatz von Open-Weights-Modellen. Wer maximale Kontrolle über Datenflüsse und Verfügbarkeit braucht, sollte datensouveräne KI über On-Premise oder EU-Cloud ernsthaft prüfen. Das senkt das Klumpenrisiko auf einen einzigen US-Anbieter.
Die rechtliche Schicht — was Tech-Artikel auslassen
Hier liegt die Lücke, die kein reiner Tech-Artikel füllt. Ein Wrapper ist nie nur Technik — er ist ein Produkt, für das jemand haftet, das Daten verarbeitet und das in einen Rechtsrahmen fällt.
| Risiko | Einschlägige Norm (Stand April 2026) | Praktische Folge |
|---|---|---|
| Haftung für Fehl-Output | Werkvertrag/Gewährleistung (§§ 631 ff., 633 ff. BGB), ggf. Produkthaftung | Sie schulden ein funktionierendes Werk; „die KI war’s“ entlastet nicht automatisch. |
| Datenschutz in der API-Kette | Art. 28 DSGVO (Auftragsverarbeitung), Kap. V (Drittlandtransfer) | AV-Vertrag mit dem Modellanbieter nötig, sobald personenbezogene Daten fließen; US-Transfer absichern. |
| AI-Act-Rolle | Art. 16/26, Art. 25 (nachgelagerter Anbieter) | Je nach Eingriffstiefe Betreiber- oder Anbieter-Pflichten — die Rolle ist nicht beliebig wählbar. |
| Drittland / CLOUD Act | Kap. V DSGVO, US-CLOUD Act | US-Anbieter können behördlichem Zugriff unterliegen — relevant bei sensiblen Daten. |
| IP an Prompt/Output/Fine-Tune-Daten | UrhG (Schöpfungshöhe), Modell-ToS | Wem Output und Trainingsdaten „gehören“, ist differenziert und ToS-abhängig. |
Wer haftet für falsche KI-Ausgaben?
Wenn Ihr Wrapper ein Werk schuldet — etwa einen Vertragsentwurf, eine Analyse, eine Berechnung — dann haften Sie gegenüber Ihrem Kunden, nicht OpenAI oder Anthropic. Halluzinationen sind aus dieser Sicht ein Mangel des von Ihnen gelieferten Werks. Wie weit Sie das per AGB begrenzen können, hängt vom Einzelfall und der Inhaltskontrolle (§§ 305 ff. BGB) ab.
DSGVO in der API-Kette: AV-Vertrag, Drittlandtransfer, CLOUD Act
Sobald personenbezogene Daten an den Modellanbieter fließen, ist dieser in aller Regel Ihr Auftragsverarbeiter — ein AV-Vertrag nach Art. 28 DSGVO ist dann Pflicht. Sitzt der Anbieter im Drittland (typisch USA), kommt Kapitel V DSGVO und die Prüfung des Transfers hinzu. Mehr dazu im Leitfaden zur DSGVO-konformen KI und Auftragsverarbeitung.
EU AI Act: Macht mich der Wrapper zum „Anbieter“ oder „Betreiber“?
Das ist die meistunterschätzte Frage. Wer ein KI-System nur einsetzt, ist regelmäßig Betreiber mit reduzierten Pflichten (Art. 26). Wer aber substanziell eingreift — etwa ein GPAI-Modell so verändert oder ein Hochrisiko-System so modifiziert, dass sich Zweck oder Fähigkeiten wesentlich ändern — kann nach Art. 25 AI Act zum (nachgelagerten) Anbieter werden, mit dem deutlich strengeren Pflichtenkatalog (Quelle: Freshfields). Ein bloßer System-Prompt oder ein leichter Stil-Feintune löst das in der Regel nicht aus; eine substanzielle Veränderung des Aufgabenspektrums kann es.
Stand April 2026 — wichtig: Die Vollanwendung des AI Act greift zum 2. August 2026; die GPAI-Pflichten gelten bereits. Parallel verhandelt die EU über den Digital Omnibus, ein Vereinfachungspaket, das die Hochrisiko-Fristen (Anhang III) nach hinten verschieben könnte. Dieses Paket ist noch nicht beschlossen und nicht im Amtsblatt veröffentlicht — solange das nicht geschehen ist, gilt der ursprüngliche Fahrplan unverändert (Quellen: Gibson Dunn, White & Case). Bitte vor Entscheidungen den dann aktuellen Stand prüfen.
IP & Vertrag: Wem gehören Prompt, Output und Fine-Tune-Daten?
Rein maschinell erzeugter Output genießt nach deutschem Urheberrecht mangels menschlicher Schöpfungshöhe in der Regel keinen eigenen Urheberrechtsschutz. Nutzungsrechte am Output regeln meist die Modell-ToS; Ihre eigenen Fine-Tune- und Trainingsdaten sollten Sie vertraglich klar sich selbst zuordnen. Hier lohnt es sich, früh vertraglich sauber zu fixieren statt später zu streiten.
Wrapper bauen oder selbst bauen? — Der Build-vs-Buy-Entscheidungsbaum
- Schlanker Wrapper reicht, wenn keine personenbezogenen/sensiblen Daten fließen, der Anwendungsfall unkritisch ist und Sie schnell Wert liefern wollen.
- Daten-/Compliance-Schicht wird zwingend, sobald personenbezogene oder geschäftskritische Daten verarbeitet werden, Sie haftungsrelevante Werke schulden oder regulatorische Pflichten greifen.
- Open-Weights / Self-Hosting (datensouveräne KI) ist die Antwort, wenn Datensouveränität, Drittland-Vermeidung oder Verfügbarkeitsgarantien im Vordergrund stehen.
Die grundsätzliche Logik dahinter — kaufen Sie das Gewöhnliche, bauen Sie das Besondere — gilt auch hier; vertieft im Beitrag Build vs. Buy: Standard- vs. Individualsoftware. Wenn die Datenschicht der eigentliche Wert ist, führt der Weg meist zu rechtssicherer, individueller Softwareentwicklung statt zum Standardtool.
Der 7-Fragen-Substanz-Check
Beantworten Sie diese Fragen ehrlich und schriftlich. Je mehr Sie mit „Ja, belegbar“ beantworten, desto mehr Substanz hat Ihr Wrapper:
- Daten: Habe ich proprietäre Daten, die ein Wettbewerber nicht einfach beschaffen kann?
- Workflow: Sitzt mein Produkt tief im Arbeitsablauf des Nutzers?
- Flywheel: Erzeugt Nutzung exklusive Daten, die das Produkt messbar verbessern?
- Resilienz: Überlebe ich einen Preissprung, eine ToS-Änderung oder die Abschaltung meines Modellanbieters?
- Haftung: Weiß ich, wer für fehlerhaften Output haftet, und ist das vertraglich geregelt?
- Datenschutz: Habe ich AV-Vertrag, Drittland-Prüfung und Trainings-Opt-out im Griff?
- AI-Act-Rolle: Weiß ich, ob ich Betreiber oder (nachgelagerter) Anbieter bin?
Fazit: Substanz schlägt Schichtdicke
„Wrapper“ zu sein ist kein Makel — es ist die ökonomisch vernünftige Architektur für fast jedes KI-Produkt. Die richtige Frage lautet nie „Wrapper oder nicht?“, sondern „Wo ist meine Substanz?“. Die liegt in der Datenschicht, im Workflow, in der Resilienz gegenüber dem Modellanbieter — und in einem rechtlich tragfähigen Fundament aus Haftung, Datenschutz und sauberer AI-Act-Einordnung. Wer beide Achsen beherrscht, baut ein Produkt. Wer nur einen Prompt schreibt, kauft eine teure Verpackung.
Sie planen ein KI-Feature oder -Produkt und wollen vorab wissen, ob es Substanz und ein sauberes Rechtsfundament hat? Lassen Sie uns in einem Erstgespräch genau diese sieben Fragen für Ihren konkreten Fall durchgehen.
Geschrieben von Leon Lotz, Wirtschaftsjurist & Entwickler. Stand: 24. April 2026. Dieser Beitrag ist eine allgemeine Orientierung und ersetzt keine Rechtsberatung im Einzelfall.
FAQ
Ist ein GPT-Wrapper ein legitimes Geschäftsmodell? Ja — wenn er echten Mehrwert durch Daten, Workflow oder Integration schafft. Nein, wenn er nur ein dünner Prompt-Layer ist, den das Basismodell oder ein Wettbewerber jederzeit einholen kann.
Was unterscheidet einen Wrapper von einer „echten“ KI-App? Die Substanz-Schichten (Daten, Workflow, Integration, Recht), nicht die Frage, ob ein fremdes Modell genutzt wird — das tun fast alle Anwendungen.
Wie groß ist das Risiko der Abhängigkeit von OpenAI oder Anthropic? Real: Preisänderungen, Verfügbarkeit, ToS-Anpassungen, Abschaltung von Modellen. Mitigierbar über eine Abstraktionsschicht, Multi-Provider-Strategie und Open-Weights-Modelle für datensouveräne Szenarien.
Brauche ich für einen KI-Wrapper einen AV-Vertrag (Art. 28 DSGVO)? In der Regel ja, sobald personenbezogene Daten an den Modellanbieter fließen — plus eine Prüfung des Drittlandtransfers nach Kapitel V DSGVO, wenn der Anbieter außerhalb der EU sitzt.
Macht mich der Einsatz eines fremden Modells zum „Anbieter“ im Sinne des AI Act? Es kommt auf die Eingriffstiefe an. Reines Einsetzen macht Sie zum Betreiber (Art. 26). Eine substanzielle Veränderung kann Sie nach Art. 25 zum nachgelagerten Anbieter mit strengeren Pflichten machen. Stand April 2026, vorbehaltlich des laufenden Digital-Omnibus-Verfahrens.
Wrapper bauen oder eigenes Modell trainieren? Für über 95 % der KMU-Fälle: Wrapper plus eigene Datenschicht. Ein eigenes Modell lohnt nur bei sehr spezifischem Bedarf — und selbst Tech-Konzerne stufen eigene Trainingsversuche oft als Fehler ein.
Quellen — Stand 24.04.2026
- LTO — „Was sind KI-Wrapper?“ — https://www.lto.de/recht/hintergruende/h/ki-wrapper-tool-nutzen-umgebung-selbst-bauen
- Latent.Space — „Why GPT Wrappers Are Good, Actually“ — https://www.latent.space/p/gpt-wrappers
- CNBC — „Legal AI startup Harvey valued at $11 billion in funding round“ (25.03.2026) — https://www.cnbc.com/2026/03/25/legal-ai-startup-harvey-raises-200-million-at-11-billion-valuation.html
- CNBC — „AI startup Cursor raises $2.3 billion funding round at $29.3 billion valuation“ (13.11.2025) — https://www.cnbc.com/2025/11/13/cursor-ai-startup-funding-round-valuation.html
- Freshfields (Technology Quotient) — „EU AI Act unpacked #7: GPAI along the value chain (Art. 25)“ — https://technologyquotient.freshfields.com/post/102j9u9/eu-ai-act-unpacked-7-use-of-gpai-models-along-the-ai-value-chain
- Gibson Dunn — „EU AI Act Omnibus Agreement — Postponed High-Risk Deadlines“ — https://www.gibsondunn.com/eu-ai-act-omnibus-agreement-postponed-high-risk-deadlines-and-other-key-changes/
- White & Case — „EU agrees Digital Omnibus deal to simplify AI rules“ — https://www.whitecase.com/insight-alert/eu-agrees-digital-omnibus-deal-simplify-ai-rules
- TÜV Rheinland Consulting — „EU AI Act ab 2. August 2026“ — https://consulting.tuv.com/aktuelles/ki-im-fokus/eu-ai-act-august-2-2026-unternehmen
Leon Lotz
Leon Lotz ist Wirtschaftsjurist und Gründer von MusketierSoftware. Er verbindet juristische Tiefe mit echtem Software-Handwerk.
