Aristotelis Zervos
Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.
Die EU-KI-Verordnung (AI Act) ist am 1. August 2024 formell in Kraft getreten. Seit dem 2. Februar 2025 sind erste Verbote unvertretbarer KI-Praktiken und KI-Kompetenzpflichten verbindlich. Seit dem 2. August 2025 gelten spezifische GPAI-Regeln („General-Purpose AI“). Die EU-Kommission hat hierzu den „General-Purpose AI Code of Practice“ vorgelegt. Wir geben einen Überblick über diesen Verhaltenskodex und erklären, welche Vorteile er bietet.
Hintergrund und Entstehung des General-Purpose AI Code of Practice
Erstmals werden ab August mit der KI-Verordnung auch Allzweck-KI-Modelle („General-Purpose AI“, GPAI) reguliert. Dazu gehören auch große Sprachmodelle, die für eine Vielzahl von Aufgaben einsetzbar sind (z.B. ChatGPT).
Im Gesetzgebungsprozess zeigte sich jedoch, dass die genauen Anforderungen an solche GPAI-Modelle komplex sind und sich die Technologie rasant weiterentwickelt. Daher entschied sich die EU, ergänzend einen Verhaltenskodex für GPAI-Modelle zu erarbeiten. Dieser freiwillige Kodex wurde ab Juli 2024 in einem mehrstufigen, multistakeholder-basierten Verfahren unter Leitung von 13 unabhängigen Experten entwickelt. Über 1.000 Beteiligte (darunter KI-Anbieter, KMU, Wissenschaft, Security-Experten, Urheberrechtsvertreter und NGOs) brachten in Konsultationen und Workshops ihr Feedback ein.
Am 10. Juli 2025 hat die EU-Kommission die finale Fassung des „General-Purpose AI Code of Practice“ vorgelegt.
Ziel des Kodex ist es, den Entwicklern und Anbietern von GPAI-Modellen praxisnah zu helfen, die neuen gesetzlichen Pflichten der KI-Verordnung zu erfüllen. Damit soll gewährleistet werden, dass auch die mächtigsten KI-Grundmodelle, die in Europa auf den Markt kommen, sicher und transparent sind.
Lese-Tipp: KI-Verordnung – EU veröffentlicht erste Leitlinien
Freiwilligkeit versus faktische Bindungswirkung des Kodex
Rechtlich handelt es sich beim General-Purpose AI Code of Practice um einen freiwilligen Compliance-Leitfaden. Er ist keine rechtsverbindliche Rechtsnorm, sondern ein von Experten erarbeiteter und von der EU-Kommission unterstützter Verhaltenskodex.
Der Kodex selbst schafft keine neuen Pflichten. Er konkretisiert lediglich die bereits in der KI-Verordnung festgelegten Verpflichtungen für GPAI-Anbieter, ohne diese zu erweitern oder zu verschärfen.
Die Teilnahme ist freiwillig, kein Anbieter ist formal zum Beitritt verpflichtet. Allerdings entfaltet der Kodex eine erhebliche faktische Bindungswirkung. Zum einen wird er nach Prüfung durch das neue Europäische KI-Büro (AI Office) und den AI Board der Mitgliedstaaten voraussichtlich per Durchführungsrechtsakt von der EU-Kommission offiziell anerkannt werden. Damit erhält er quasi einen offiziellen Status als anerkannter Compliance-Weg. Ein Unterzeichnen des Kodex gilt dann als anerkannter Nachweis dafür, dass ein GPAI-Anbieter seine Pflichten aus der KI-Verordnung erfüllt. De facto signalisiert ein Kodex-Beitritt den Aufsichtsbehörden, dass der Anbieter die einschlägigen Anforderungen ernst nimmt und systematisch umsetzt.
Entsprechend haben Kodex-Unterzeichner klare Vorteile: Die Kommission betont, dass freiwillige Befolgung des Kodex mit weniger Verwaltungsaufwand und größerer Rechtssicherheit einhergehe. Die AI-Behörde wird sich bei der Überwachung primär darauf konzentrieren, die Einhaltung der Kodex-Zusagen zu prüfen, anstatt jeden Anbieter individuell und umfassend zu auditieren.
Gerade in der sensiblen Anfangsphase der Regulierung kann der Kodex somit als Safe-Harbor-ähnlicher Mechanismus wirken. Nicht zuletzt hat die politische Unterstützung auch international dazu geführt, dass namhafte KI-Unternehmen wie OpenAI oder das europäische Start-up Mistral umgehend ihre Absicht erklärt haben, dem Kodex beizutreten. Dies erhöht den Erwartungsdruck auf die Branche, den Kodex als best practice anzuerkennen.
Unterschreibt ein Anbieter hingegen nicht, muss er seine AI-Act-Compliance auf eigene Faust nachweisen, was voraussichtlich mit höherer Rechtsunsicherheit und mehr Aufwand verbunden ist. In der Praxis wird der freiwillige Kodex somit zum Quasi-Standard, an dem sich AI-Officer und Compliance-Verantwortliche in Unternehmen orientieren werden.
General-Purpose AI Code of Practice: Transparenz, Urheberrecht, Sicherheit
Inhaltlich gliedert sich der GPAI Code of Practice in drei Hauptkapitel: Transparenz, Urheberrecht und Sicherheit. Die ersten beiden Kapitel gelten für alle Anbieter von GPAI-Modellen, während das dritte Kapitel nur für die leistungsfähigsten Modelle mit systemischem Risiko einschlägig ist. Der Kodex greift damit die neuen gesetzlichen Pflichten aus Artikel 53 ff. KI-Verordnung auf und konkretisiert sie durch detaillierte Maßnahmen und Verfahren.
Transparenz und technische Dokumentation
GPAI-Anbieter verpflichten sich, ihre Modelle und deren Eigenschaften umfassend zu dokumentieren und Informationen hierüber bereitzuhalten. So muss eine aktuelle technische Dokumentation geführt werden, die auf Verlangen dem AI Office sowie nationalen Aufsichtsbehörden vorgelegt werden kann.
Diese Dokumentation soll insbesondere die Fähigkeiten und Grenzen des Modells beschreiben sowie eine Zusammenfassung der verwendeten Trainingsdaten enthalten. Zudem sind die Kontaktdaten des Anbieters öffentlich bereitzustellen, damit nachgelagerte Anbieter (die das Modell in eigene KI-Systeme integrieren) oder Behörden nötige Informationen anfordern können. Der Kodex stellt hierfür sogar ein standardisiertes Model Card-Formular zur Verfügung, um die Transparenzangaben einheitlich und nutzerfreundlich zu gestalten.
Wichtig ist auch die Qualitätssicherung der bereitgestellten Informationen. Der Kodex verlangt, dass Dokumentationsunterlagen sorgfältig auf Richtigkeit geprüft, als Compliance-Nachweis aufbewahrt und vor unbefugter Änderung geschützt werden. Diese Transparenzvorgaben sollen sicherstellen, dass GPAI-Modelle für Dritte nachvollziehbar und vertrauenswürdig sind und ermöglichen es Downstream-Nutzern, ihre eigenen KI-Anwendungen konform und sicher zu entwickeln.
Link-Tipp: The General-Purpose AI Code of Practice – The Transparency chapter (PDF)
General-Purpose AI Code of Practice und urheberrechtliche Anforderungen
Ein zentrales neues Thema der KI-Compliance ist der Umgang mit geschützten Inhalten beim Training und Betrieb von KI-Modellen. Gemäß KI-Verordnung müssen GPAI-Anbieter eine interne Urheberrechts-Compliance-Policy erstellen und umsetzen (Artikel 53 Abs. 1 lit. c KI-VO).
Der Kodex konkretisiert dies durch umfassende Selbstverpflichtungen zum Schutz geistigen Eigentums. So sagen die Unterzeichner zu, beim Training ihrer Modelle nur rechtmäßig zugängliche Inhalte aus dem Internet zu verwenden. Insbesondere ist es untersagt, technische Schutzmaßnahmen oder Bezahlschranken („Paywalls“) zu umgehen, um an urheberrechtlich geschütztes Material zu gelangen. Websites, die bekanntermaßen massenhaft urheberrechtsverletzendes Material anbieten, sollen von Web-Crawlern der KI-Anbieter explizit ausgeschlossen werden.
Ferner verpflichten sich die Kodex-Teilnehmer, Rechtsvorbehalte von Inhalteanbietern zu respektieren. Zum Beispiel Hinweise im robots.txt-Protokoll oder andere maschinenlesbare Opt-out-Vermerke, mit denen Urheber die Verwendung ihrer Werke für Text- und Datamining untersagen können. Werden Webcrawler für das Training eingesetzt, müssen diese Protokollanweisungen ausgelesen und befolgt werden.
Darüber hinaus sollen die KI-Anbieter technische Vorkehrungen treffen, um zu verhindern, dass ihre Modelle geschützte Trainingsdaten unverändert reproduzieren und damit urheberrechtlich geschützte Werke im Output verletzend wiedergeben.
In ihren Nutzungsbedingungen müssen sie außerdem den Kunden verbieten, die Modelle in urheberrechtsverletzender Weise einzusetzen.
Schließlich verlangt der Kodex die Einrichtung von Anlaufstellen für Rechteinhaber: Jedes unterzeichnende Unternehmen muss einen Ansprechpartner benennen und ein Verfahren vorhalten, damit Urheber Beschwerde einlegen können, wenn sie eine Verletzung ihrer Rechte durch das KI-Modell vermuten. Über ein solches Beschwerdeverfahren können z.B. Künstler oder Verlage Meldungen machen, die der Anbieter prüfen und bearbeiten muss.
Insgesamt schafft das Urheberrechts-Kapitel des Kodex einen praxisnahen Rahmen, um die in der KI-Verordnung verankerte Pflicht zur Wahrung von Urheberrechten in der KI-Entwicklung umzusetzen und einen fairen Interessenausgleich zwischen Rechteinhabern und KI-Entwicklern zu erreichen.
Link-Tipp: The General-Purpose AI Code of Practice – The Copyright chapter (PDF)
Sicherheits- und Risikovorgaben für systemisch relevante Modelle
Das dritte Kapitel richtet sich an Anbieter von GPAI-Modellen, die als „systemisches Risiko“ eingestuft werden. Hierbei geht es um die fortschrittlichsten KI-Modelle mit potenziell besonders großem Einfluss auf Markt und Gesellschaft.
Die KI-Verordnung definiert Kriterien, wann ein GPAI-Modell ein systemisches Risiko aufweist. Etwa wenn es über hochskalierbare, weitreichende Fähigkeiten verfügt. Ein Anhaltspunkt ist ein extrem hoher Rechenaufwand bei der Entwicklung (vermutet wird ein Schwellenwert ab ~10^25 FLOPs für das Training). Solche Modelle können möglicherweise erhebliche Risiken für öffentliche Sicherheit, Grundrechte oder demokratische Prozesse bergen.
Der Kodex verlangt von den Anbietern in diesem Fall ein äußerst striktes Risikomanagement. Konkret müssen sie einen umfassenden Safety & Security-Rahmen einrichten, der dem aktuellen Stand von Wissenschaft und Technik entspricht. Zunächst sind dabei systemische Risiken systematisch zu identifizieren. Die Anbieter sollen analysieren, welche Gefahren ihr Modell in verschiedenen Anwendungsbereichen mit sich bringen könnte (etwa Missbrauch für Desinformation, Cyberangriffe, massenhafte Grundrechtsverletzungen usw.). Für jeden identifizierten Risikoaspekt ist eine eingehende Analyse durchzuführen und zu bewerten, ob das Risiko auf einem akzeptablen Niveau gehalten werden kann.
Im Hinblick auf diese Kriterien sind dann Schadensminderungs-Maßnahmen umzusetzen. Also technische und organisatorische Vorkehrungen, um jedes identifizierte systemische Risiko soweit wie möglich abzuschwächen. Hierzu gehört insbesondere, modernste IT-Sicherheitsmaßnahmen einzusetzen, um das Modell und seine Infrastruktur vor unbefugtem Zugriff, Datenlecks oder Diebstahl zu schützen.
Die Schaffung einer echten Risikokultur, d.h. Sensibilisierung aller relevanten Mitarbeiter für AI-Risiken und kontinuierliche Verbesserung der Sicherheitsprozesse, ist Teil der Selbstverpflichtungen.
Schließlich müssen die Anbieter über all diese Aktivitäten auch Berichte und Dokumentationen erstellen: Der Kodex sieht etwa einen Safety and Security Model Report an das AI Office vor, in dem der Anbieter sein Risikomanagement für das Modell darlegt. Auch sollen Zusammenfassungen der Sicherheitsmaßnahmen und -analysen in angemessener Form veröffentlicht werden, um Transparenz gegenüber der Öffentlichkeit herzustellen.
Link-Tipp: The General-Purpose AI Code of Practice – The Safety and Security chapter (PDF)
General-Purpose AI Code of Practice: Bedeutung für Compliance-Strategien in Unternehmen
In der Compliance-Strategie von Unternehmen mit KI-Entwicklung sollte der GPAI Code of Practice daher als zentraler Baustein verankert werden. Sei es durch Anpassung interner Richtlinien, Schulung von Mitarbeitern zu den Kodex-Vorgaben oder die Einrichtung von Task-Forces für Dokumentation, IP-Compliance und AI-Risk-Management.
Zwar bleibt die Teilnahme freiwillig, doch angesichts der bereits signalisierten Teilnahmebereitschaft führender KI-Firmen und der politischen Unterstützung ist abzusehen, dass der Kodex de facto zum Branchenstandard avanciert, an dem sich verantwortliche Unternehmen ausrichten.
Für AI-Officer, Datenschutz- und Compliance-Beauftragte in Unternehmen bietet der General-Purpose AI Code of Practice einen konkreten Fahrplan, wie sich die abstrakten Vorgaben der KI-Verordnung in operative Unternehmensprozesse übersetzen lassen. Indem ein Unternehmen den Kodex freiwillig unterzeichnet und umsetzt, kann es seine Konformität mit den neuen KI-Regeln auf effiziente Weise demonstrieren.
Die zuständigen Behörden signalisieren, dass sie Kodex-Unterzeichnern gewissermaßen Vertrauensvorschuss gewähren: In der Anfangsphase ab August 2025 will das AI Office eng mit Kodex-Teilnehmern zusammenarbeiten, anstatt sofort auf Sanktionen zu pochen. So wird zugesichert, dass ein Anbieter, der kurz nach Kodex-Beitritt noch nicht alle Selbstverpflichtungen perfekt erfüllt, im ersten Jahr nicht gleich als Gesetzesbrecher behandelt wird Vielmehr sollen konstruktive Lösungen für etwaige Lücken gemeinsam erarbeitet werden.
Diese Kulanzregelung bis August 2026 verschafft Unternehmen einen wichtigen Übergangszeitraum, um ihre internen Prozesse an die umfangreichen neuen Anforderungen anzupassen. Compliance-Verantwortliche sollten diese Zeit nutzen, um die im Kodex vorgesehenen Maßnahmen schrittweise zu implementieren: Etwa Aufbau der vorgeschriebenen Dokumentationen, Etablierung eines Urheberrechts-Policies, Einführung von Risikomanagement-Systemen für KI etc.
Nicht zuletzt können Unternehmen durch die Einhaltung des Kodex auch Bußgelder vermeiden: Ab dem Zeitpunkt der vollen Durchsetzung (2026/27) würde ein Verstoß gegen die einschlägigen AI-Act-Pflichten sanktioniert. Wer jedoch die Kodex-Maßnahmen befolgt, minimiert das Risiko solcher Verstöße deutlich und kann im Ernstfall darlegen, nach bestem Wissen und Gewissen gehandelt zu haben.
Sie stehen vor der Umsetzung der KI-Verordnung?
Wir beraten Sie umfassend zur EU-KI-Verordnung, zum General-Purpose AI Code of Practice und zur praktischen Umsetzung in Ihrem Unternehmen. Ob Dokumentationspflichten, Risikomanagement oder Urheberrechtskonformität – wir unterstützen Sie bei der rechtssicheren und strategischen Integration von KI.
Nehmen Sie jetzt unverbindlich Kontakt auf.
Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.
German 
English 
Italian 
French