EU-Verhaltenskodex für General-Purpose-AI
Der EU-Verhaltenskodex für General-Purpose-AI (GPAI)
Inhalte, Pflichten und
Auswirkungen für Unternehmen
Stand: 2026
Lesezeit: ca. 5 Minuten
Das Wichtigste zum EU-Verhaltenskodex für GPAI auf einen Blick
Mit dem EU AI Act entsteht erstmals ein umfassender Rechtsrahmen für den Einsatz künstlicher Intelligenz in Europa. Ergänzend dazu wurde ein freiwilliger EU-Verhaltenskodex für GPAI-Modelle (vielseitige KI-Modelle) entwickelt, der erläutert, wie Anbieter ihre gesetzlichen Pflichten praktisch umsetzen können. Auch wenn sich der Kodex primär an Modellanbieter richtet, ist er für Anwenderunternehmen von hoher praktischer Relevanz. Er dient als Interpretationshilfe für unbestimmte Rechtsbegriffe des AI Acts, als Benchmark für gute Praxis und als Orientierungspunkt für Risikoprüfung, Dokumentation und Lieferantensteuerung. Für Unternehmen, die KI einkaufen oder einsetzen, bietet der Kodex damit eine wertvolle Grundlage, um eigene Governance- und Compliance-Strukturen am erwarteten europäischen Standard auszurichten.
Kerninhalt des EU-Verhaltenskodex für GPAI
Der Verhaltenskodex für GPAI ist ein freiwilliges Instrument im Kontext des EU AI Acts. Er konkretisiert insbesondere die Pflichten für GPAI-Modelle und für solche Modelle, die als systemisch risikobehaftet eingestuft werden. Der Kodex wurde von der EU-Kommission im Juli 2025 veröffentlicht und begleitet die seit August 2025 geltenden GPAI-Regelungen des AI Acts. Inhaltlich gliedert er sich in Regelungen zu Transparenz, Urheberrecht sowie Safety und Security. Auch wenn der Kodex rechtlich nicht bindend ist, wird er von der EU ausdrücklich als Referenz für eine angemessene Umsetzung des AI Acts verstanden und entfaltet damit faktische Leitwirkung für Aufsicht und Markt.
Hintergrund und Ziele
Hintergrund des GPAI-Verhaltenskodex ist die Erkenntnis, dass die gesetzlichen Vorgaben des EU AI Acts bewusst technologieoffen und abstrakt formuliert sind. Gerade bei leistungsfähigen GPAI-Modellen bestehen erhebliche Unsicherheiten hinsichtlich Risiken, Kontrollmechanismen und Nachweisführung. Ziel des Kodex ist es daher, eine Brücke zwischen Gesetzestext und praktischer Umsetzung zu schlagen. Er soll Anbieter dabei unterstützen, ihre Pflichten nachvollziehbar und konsistent umzusetzen, und gleichzeitig Transparenz gegenüber Anwendern und Aufsichtsbehörden schaffen. Für Unternehmen, die KI einsetzen, ergibt sich daraus ein zusätzlicher Orientierungsrahmen, um eigene Risiko- und Governance-Entscheidungen besser einordnen zu können.
Wesentlicher Regelungsinhalt
Der GPAI-Verhaltenskodex konkretisiert zentrale Anforderungen des EU AI Acts entlang dreier Themenfelder. Im Bereich Transparenz beschreibt er, welche Informationen zu Modellarchitektur, Trainingsdaten, Einsatzgrenzen und Risiken bereitgestellt werden sollen und wie diese dokumentiert werden können. Im Bereich Urheberrecht adressiert der Kodex den Umgang mit geschützten Inhalten, insbesondere bei der Datenerhebung und beim Training von Modellen, sowie organisatorische und technische Maßnahmen zur Rechtewahrung. Der dritte Schwerpunkt liegt auf Safety und Security, insbesondere bei leistungsfähigen Modellen mit systemischem Risiko. Hier geht es um Risikobewertungen, Maßnahmen zur Risikominderung, Cybersecurity-Vorkehrungen und den Umgang mit Missbrauchs- und Fehlverhaltensszenarien. Auch für Anwenderunternehmen sind diese Inhalte relevant, da sie einen strukturierten Rahmen liefern, um Risiken zu identifizieren, Lieferanteninformationen einzuordnen und eigene Prüfprozesse am regulatorischen Erwartungshorizont auszurichten.
Sanktionen und Durchsetzung
Der GPAI-Verhaltenskodex selbst ist nicht mit unmittelbaren Sanktionen verbunden, da er freiwillig ist. Seine Bedeutung liegt jedoch in seiner mittelbaren Wirkung auf die Durchsetzung des EU AI Acts. Die EU-Kommission hat klargestellt, dass die freiwillige Unterzeichnung des Kodex durch Anbieter als ein Weg angesehen werden kann, Compliance zu demonstrieren und administrativen Aufwand zu reduzieren. Anbieter, die den Kodex nicht anwenden, müssen alternative angemessene Mittel nachweisen, um ihre gesetzlichen Pflichten zu erfüllen. Für Anwenderunternehmen bedeutet dies, dass der Kodex zu einem wichtigen Maßstab in der Lieferantenbewertung wird. Fehlen entsprechende Nachweise, können erhöhte Risiken, zusätzlicher Prüfaufwand und mittelbar auch Haftungs- und Reputationsrisiken entstehen.
Die wichtigsten Fragen – kurz beantwortet
Unmittelbar richtet sich der Kodex an Anbieter von General-Purpose-AI-Modellen. Mittelbar betrifft er jedoch auch Anwenderunternehmen, die solche Modelle einkaufen, integrieren oder in eigenen Prozessen einsetzen. Dazu zählen Industrie-, Handels-, Dienstleistungs- und Versicherungsunternehmen ebenso wie der Mittelstand, der KI zunehmend in Kernprozessen nutzt.
Unternehmen sollten den Kodex als Referenzrahmen für ihre eigene KI-Governance nutzen. Dazu gehört insbesondere die Überprüfung, welche Informationen von KI-Anbietern verfügbar sind, wie Risiken dokumentiert und bewertet werden und ob Sicherheits- und Urheberrechtsaspekte nachvollziehbar adressiert sind. Der Kodex eignet sich zudem als Grundlage für interne Risikoprüfungen, abgestimmte Datenschutz- und AI-Act-Assessments sowie für die Definition verbindlicher Lieferantenanforderungen vor dem produktiven Einsatz von KI.
Der Kodex wurde im Juli 2025 veröffentlicht und begleitet die seit August 2025 geltenden Regelungen des EU AI Acts zu General-Purpose-AI. Auch wenn er freiwillig ist, wird er bereits jetzt von der EU als Maßstab für gute Praxis herangezogen. Unternehmen sollten daher nicht abwarten, sondern den Kodex frühzeitig in ihre KI-Strategie, Lieferantensteuerung und Compliance-Prozesse einbeziehen.
