GPAI

Die EU hat am 10. Juli 2025 den „General-Purpose AI (GPAI) Code of Practice“ veröffentlicht. Hierbei handelt es sich um einen freiwilligen Verhaltenskodex, der Anbietern von KI-Basismodellen (z. B. Foundational/General-Purpose-Modelle) hilft, ihre Pflichten aus dem AI Act praxistauglich umzusetzen. Der Kodex wurde im Multi-Stakeholder-Prozess unter Führung des EU-AI-Office erarbeitet. Für Unternehmen schafft er Klarheit, welche Nachweise und Prozesse Regulierer erwarten, ohne dabei selbst ein Gesetz zu sein.

Die drei Kapitel des „General-Purpose AI (GPAI) Code of Practice“ im Überblick

1) Transparenz

Ziel ist Nachvollziehbarkeit entlang des Modell-Lebenszyklus. Anbieter sollen technische Dokumentation, Modellkarten und Informationen für Behörden und Downstream-Akteure (z. B. Integratoren) bereitstellen. Dazu gehören u. a. Angaben zu Trainingsdaten (in Form von repräsentativen Zusammenfassungen), Evaluationsmethoden, bekannten Einschränkungen sowie Schnittstellen für Meldungen zu Vorfällen. Transparenz erleichtert die Risikoabwägung in der Lieferkette und wird als Kernanforderung des Kodex betont.

2) Urheberrecht

Der Kodex konkretisiert Erwartungen zur Beachtung geistiger Eigentumsrechte. Anbieter sollen die unbefugte Nutzung urheberrechtlich geschützter Inhalte vermeiden, Rechteinhabersignale respektieren und geeignete Prozesse einrichten, um Anfragen und Beschwerden effizient zu bearbeiten. Für Unternehmen, die Modelle einkaufen oder integrieren, bedeutet das: Lizenz- und Herkunftsfragen gehören künftig systematisch in die Due-Diligence.

3) Sicherheit & Schutz (Safety & Security)

Dieses Kapitel richtet sich primär an Anbieter besonders leistungsfähiger Modelle mit potenziellem Systemrisiko. Gefordert werden robuste Sicherheits-Governance, Tests (z. B. Red-Teaming), Monitoring sowie Vorkehrungen gegen Missbrauch und Model-Leakage. Für die meisten Anwender im Unternehmensbereich ist wichtig: Auch wenn Sie keine GPAI-Modelle selbst entwickeln, profitieren Sie von klaren Mindeststandards bei Ihren Technologiepartnern, und sollten diese Standards in Verträgen, Audits und Onboarding-Prüfungen einfordern.

Shop-Produkt KI-Beauftragter

Warum das für Ihr Unternehmen relevant ist

  • Rechts- & Planungssicherheit: Der Kodex dient als „Wegweiser“ zur Erfüllung der AI-Act-Pflichten für GPAI-Modelle und erleichtert es, Konformität gegenüber Aufsichtsbehörden schlüssig zu belegen.
  • Lieferketten-Tauglichkeit: Transparente Dokumentation und klare IP-Prozesse reduzieren Haftungs- und Reputationsrisiken entlang der KI-Wertschöpfungskette.
  • Zeitliche Einordnung: Die GPAI-Pflichten des AI Act werden ab 2. August 2025 anwendbar; der Kodex ist als freiwilliges Instrument bereits verfügbar und erleichtert die frühzeitige Umsetzung.

Was Sie jetzt praktisch tun können

  1. Lieferanten prüfen: Fragen Sie Ihre Modell- und Plattformanbieter nach dem Stand ihrer Kodex-Umsetzung (Transparenzpakete, Urheberrechtsprozesse, Sicherheitsmaßnahmen). Verankern Sie diese Punkte in SLAs und Nachweiskatalogen.
  2. Dokumentation strukturieren: Richten Sie intern eine schlanke Evidenzführung ein, z. B. Modell-Steckbriefe, Datenquellen-Register, Bewertungsprotokolle, Vorfalls-Workflow. Das spart Aufwand, wenn Behörden oder Kunden Nachweise verlangen.
  3. IP-Governance stärken: Prüfen Sie Trainings-/Fine-Tuning-Datenflüsse, Lizenzmodelle und Opt-out-Signale von Rechteinhabern. Legen Sie klare Prozesse für Auskunfts- und Löschbegehren fest.
  4. Sicherheitsmaßnahmen staffeln: Auch ohne „Systemrisiko“ lohnt sich ein risikobasierter Basisschutz: Prompt-Abuse-Kontrollen, API-Rate-Limits, Evaluations-Suites, Rollout-Gates und regelmäßiges Monitoring.

Damit der GPAI-Kodex sinnvoll greift, ist ein „Dreiklang“ aus (1) KI-Richtlinie, (2) Verträgen/Prozessen mit Lieferanten und (3) interner Evidenz/Dokumentation anzuraten. Es entstehen Ihnen zwar keine (finanziellen) Schäden, wenn Sie sich nicht nach dem Kodex richten, andersherum ist er jedoch ein hervorragender Nachweis, dass Sie die gängigen Pflichten aus dem EU-AI-Act erfüllen.

Testversionen beim Summer of Compliance

Unser Angebot: KI-Beauftragte & Umsetzung aus einer Hand

Als Beratung für Datenschutz, IT-Sicherheit und Compliance mit KI-Schwerpunkt unterstützen wir Sie dabei, den GPAI-Kodex pragmatisch umzusetzen, von der Lieferantenbewertung bis zur Evidenzführung. Auf Wunsch übernehmen wir die Rolle des KI-Beauftragten in Ihrem Unternehmen und entwickeln mit Ihnen:

  • einen passgenauen Transparenz- und Nachweisrahmen,
  • IP-/Lizenz-Governance für Trainings- und Nutzungsdaten,
  • ein gestuftes Safety-&-Security-Konzept inklusive Tests und Monitoring,
  • vertragliche Regelungen & Schulungen für Fachbereiche

Fazit

Der GPAI-Kodex ist freiwillig, aber praktisch die schnellste Abkürzung zu AI-Act-Konformität rund um Basismodelle und erleichtert Beschaffung, Nachweise und Audits entlang Ihrer KI-Lieferkette. Jetzt starten lohnt sich.

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!
Hermine Klehm
Hermine Klehm
Veröffentlicht am 28. Oktober 2025

Hermine Klehm ist Content-Managerin mit einem Hintergrund in Deutscher Literatur und Philosophie. Sie verfasst Inhalte für Blogs und Websites. Mit einem feinen Gespür für Sprache und Struktur verbindet sie kreative Textarbeit mit strategischem Content-Marketing.

Tags: