Was ist der EU AI Act?

Der EU AI Act (Verordnung 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er legt Pflichten für Anbieter, Betreiber und weitere Akteure entlang der KI-Wertschöpfungskette fest.

Welche Fristen gelten für den EU AI Act?

Die erste Frist (verbotene KI-Praktiken nach Art. 5) gilt seit Februar 2025. GPAI-Pflichten greifen seit August 2025. Hochrisiko-Pflichten gelten ab August 2026.

Für wen gilt der EU AI Act?

Der EU AI Act gilt für alle Akteure, die KI-Systeme in der EU anbieten oder betreiben – unabhängig vom Firmensitz. Dies umfasst Anbieter (Provider), Betreiber (Deployer), Importeure und Distributoren.

Was passiert bei Nichteinhaltung des EU AI Act?

Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes geahndet werden – je nach Art des Verstoßes.

GPAI Code of Practice: Der Verhaltenskodex für KI-Modelle — Wissen

Was ist der Code of Practice?

Am 10. Juli 2025 hat das AI Office der EU-Kommission den finalen GPAI Code of Practice veröffentlicht. Er ist ein freiwilliger Verhaltenskodex, der konkrete Maßnahmen beschreibt, wie Anbieter von GPAI-Modellen (General Purpose AI) ihre Pflichten nach Art. 53-55 EU AI Act erfüllen können.

Wichtig: Der Code of Practice ist freiwillig — aber wer ihn befolgt, genießt eine "Vermutung der Konformität" (Presumption of Conformity). Das heißt: Die Behörden gehen davon aus, dass du die Regeln einhältst.

Die 3 Kapitel des Code of Practice

Kapitel 1: Transparenz

GPAI-Anbieter müssen umfassende Informationen bereitstellen:

Technische Dokumentation des Modells (Architektur, Trainingsverfahren, Leistungsbewertungen)
Informationen für nachgelagerte Anbieter, die das Modell in eigene Produkte integrieren
Hinweise auf Fähigkeiten und Limitierungen des Modells

Kapitel 2: Urheberrecht

Konkrete Maßnahmen zum Umgang mit urheberrechtlich geschütztem Material:

Veröffentlichung einer Zusammenfassung der Trainingsdaten (Art. 53 Abs. 1d)
Einhaltung der EU-Urheberrechtsrichtlinie (Text & Data Mining)
Mechanismen zur Kennzeichnung und Opt-out für Rechteinhaber

Kapitel 3: Sicherheit (nur für systemische Risiko-Modelle)

Zusätzliche Anforderungen für GPAI-Modelle mit systemischem Risiko (ab 10²⁵ FLOP):

Modellbewertungen durch unabhängige Experten (Red-Teaming)
Dokumentation und Minderung systemischer Risiken
Incident Reporting an das AI Office
Cybersicherheitsmaßnahmen

Wer hat den Code entwickelt?

Der Code of Practice wurde in einem Multi-Stakeholder-Prozess entwickelt, an dem über 700 Organisationen teilgenommen haben — darunter KI-Unternehmen, Zivilgesellschaft, Wissenschaft und Rechteinhaber. OpenAI, Google, Meta, Anthropic und andere große GPAI-Anbieter waren beteiligt.

Ab wann gilt er?

Die GPAI-Regeln (Art. 51-56) gelten seit dem 2. August 2025. Anbieter von GPAI-Modellen müssen seitdem die Pflichten erfüllen. Der Code of Practice bietet seit seiner Veröffentlichung im Juli 2025 eine praktische Orientierung.

Die Durchsetzung mit Bußgeldern beginnt voraussichtlich ab August 2026.

Was bedeutet das für dein Unternehmen?

Bist du GPAI-Anbieter oder -Nutzer?

Als GPAI-Anbieter (du entwickelst ein Foundation Model): Der Code of Practice ist dein Leitfaden zur Compliance. Die Befolgung gibt dir rechtliche Sicherheit.
Als Unternehmen, das GPAI nutzt (ChatGPT, Gemini, Claude etc.): Prüfe, ob dein Anbieter den Code of Practice befolgt. Nutze die vom Anbieter bereitgestellte technische Dokumentation für deine eigene Compliance.

Presumption of Conformity — was heißt das praktisch?

Wer den Code of Practice befolgt, hat einen starken Compliance-Nachweis. Die Marktüberwachungsbehörden müssen dann nachweisen, dass die Maßnahmen nicht ausreichen — nicht umgekehrt. Das ist vergleichbar mit harmonisierten Normen (hEN) in der Produktsicherheit.

GPAI Code of Practice: Der Verhaltenskodex für KI-Modelle