Blog

 

GPAI Code of Practice – Freiwilliger Verhaltenskodex zur Umsetzung des EU AI Act veröffentlicht

 

Brüssel, 10. Juli 2025 – Die Europäische Kommission hat heute den mit Spannung erwarteten „Code of Practice for General-Purpose AI“ (GPAI-Code) veröffentlicht. Dieser freiwillige Verhaltenskodex soll GPAI-Anbieter (z. B. Entwickler großer Sprachmodelle wie ChatGPT, Claude oder Llama) bei der frühzeitigen und praxisnahen Umsetzung des EU AI Act unterstützen.

 

1.      Hintergrund: Was ist GPAI?

 

Der EU AI Act, der am 2. August 2025 in Kraft tritt, verpflichtet insbesondere Anbieter sogenannter General-Purpose AI (GPAI) – also KI-Systeme, die für eine Vielzahl von Aufgaben einsetzbar sind –, zu einer Reihe von Anforderungen hinsichtlich Transparenz, Cybersecurity, Urheberrecht, Datensicherheit und Risikomanagement.

 

Da GPAI-Systeme nicht auf eine spezifische Zweckbestimmung zugeschnitten sind, stellt ihre Regulierung eine besondere Herausforderung dar – technisch wie rechtlich.

 

2.      Inhalt des Codes of Practice

 

Der nun veröffentlichte Verhaltenskodex wurde im Rahmen eines Multi-Stakeholder-Prozesses entwickelt, an dem unter anderem Unternehmen wie Meta, OpenAI, Mistral, AWS, Google DeepMind, Microsoft, IBM, Anthropic, Aleph Alpha und Cohere beteiligt waren.

 

a) Der Kodex enthält Transparenzpflichten, die insbesondere die Offenlegung der Herkunft der für das Training verwendeten Daten betreffen. Dies gilt vor allem im Hinblick auf urheberrechtlich geschützte Inhalte, um die Nachvollziehbarkeit und rechtliche Überprüfbarkeit des Trainingsmaterials zu ermöglichen.

b) Darüber hinaus gibt der Kodex Hinweise zur Gefahrenabschätzung und Risikobewertung der eingesetzten Modelle. Anbieter sollen systematisch dokumentieren, welche potenziellen Risiken mit der Anwendung ihrer Systeme verbunden sind und wie diese Risiken beherrscht werden können.

c) Der Kodex formuliert Verpflichtungen für ein sicheres Deployment der GPAI-Systeme. Hierzu zählen insbesondere Maßnahmen zum Schutz vor Missbrauch in sicherheitskritischen Infrastrukturen sowie Vorkehrungen zur Minimierung von Schadenspotenzialen bei breiter Anwendung.

d) Der Kodex enthält freiwillige Selbstverpflichtungen zur Einhaltung von Grundsätzen der Datenethik sowie zur Begrenzung potenzieller Diskriminierungsrisiken. Anbieter sollen geeignete Verfahren zur Identifikation und Vermeidung algorithmischer Verzerrungen („Bias“) implementieren.

e) Schließlich werden Anforderungen an den Zugang zu Informationen für nachgelagerte Nutzer („downstream deployers“) formuliert. Diese Nutzergruppen sollen in die Lage versetzt werden, die Funktionsweise, Risiken und Beschränkungen des jeweiligen GPAI-Systems zu verstehen und ihre Nutzung darauf abzustimmen.

 

3.      Juristische Bedeutung

 

Der GPAI-Code of Practice ist rechtlich nicht bindend, entfaltet aber in der Praxis erhebliche Soft-Law-Wirkung. Er dient als Referenzstandard für die Auslegung der unbestimmten Rechtsbegriffe des AI Acts (z. B. „angemessene Maßnahmen“). Von den Aufsichtsbehörden (v. a. in der GPAI Taskforce) wird er mit hoher Wahrscheinlichkeit als Maßstab für die künftige Überwachung verwendet und kann somit auch als Compliance dienen (Stichwort: risikobasierter Ansatz der EU-Verordnung). Mit dem GPAI Code of Practice soll eine Vertrauensgrundlage für Nutzer und Unternehmen geschaffen werden, die GPAI-Systeme in eigene Dienste integrieren.

 

4.      Kritik und Erwartungen

 

Die Veröffentlichung erfolgt unter erheblichem politischem Druck: Tech-Unternehmen hatten zuletzt gefordert, die GPAI-Regeln bis 2027 auszusetzen. Der Kodex stellt daher auch einen Kompromiss dar – zwischen regulatorischer Steuerung und innovationsfreundlicher Flexibilität.

 

Allerdings bleiben viele rechtliche Detailfragen offen. Beispielhaft seien folgende Aspekte genannt. Was genau sind „hinreichende Informationen“ für nachgelagerte Nutzer? Welche Verantwortlichkeiten treffen Hosting-Provider, die GPAI-Systeme nur betreiben, nicht aber entwickeln? Inwieweit können sich Unternehmen im Streitfall auf den Code berufen – auch wenn sie sich (noch) nicht förmlich verpflichtet haben?

 

5.      Ausblick

 

Der Code ist ein lebendes Dokument – er wird fortlaufend aktualisiert und konkretisiert. Die Kommission plant eine erste Evaluierung bis Ende 2025. Eine formelle Verpflichtung zur Einhaltung für bestimmte Marktteilnehmer ist im Rahmen der künftigen sektorspezifischen Durchführungsakte nicht ausgeschlossen.

Unternehmen, insbesondere auch Telekommunikationsanbieter und Digitaldienstleister, sollten den Code frühzeitig analysieren und sich strategisch positionieren – insbesondere im Hinblick auf datenschutzrechtliche Implikationen bei KI-basierten Kundendiensten, urheberrechtliche Risiken bei generativen Diensten und die Bewertung von Sorgfaltspflichten im Rahmen von Due-Diligence-Prozessen.

 

Hinweis für die Praxis

 

 

 

Eine freiwillige Selbstverpflichtung zum Code kann – ähnlich wie bei früheren EU-Verhaltenskodizes (z. B. DSGVO, Desinformation) – compliance-fördernd wirken und haftungsbegrenzend ausgelegt werden. Eine rechtliche Prüfung der Implikationen die Unternehmen ist daher dringend zu empfehlen.

 




Rechtsanwaltskanzlei Ditscheid

 

Rechtsanwalt

Alexander Ditscheid

Am Engelsbach 39

53127 Bonn

 

Telefon: 0228 / 24 95 498

Telefax: 0228 / 24 95 499

Mobil:    0174 / 975 26 27

 

UStr. ID: DE218506017

E-Mail: anwaltskanzlei.ditscheid@t-online.de

 

www.anwaltskanzlei-

ditscheid.de

 

Zugelassen beim Amts- und Landgericht Bonn