Am 10. Juli 2025 veröffentlichte das Europäische KI-Büro (European AI Office) den finalen Code of Practice für Anbieter sogenannter General-Purpose AI (GPAI) – also für Systeme und Modelle wie GPT-4, Gemini oder Midjourney, die eine breite Palette unterschiedlicher Aufgaben bewältigen können. Das Regelwerk ist das wichtigste Implementierungsinstrument für die Pflichten nach Art. 53 ff. der EU-KI-Verordnung (AI Act, Verordnung (EU) 2024/1689), die seit August 2025 für neue Modelle unmittelbar gilt. Wer als Anbieter eines GPAI-Modells bisher noch nicht aktiv geworden ist, muss spätestens jetzt handeln: Am 2. August 2026 aktiviert die Europäische Kommission ihre vollständige Durchsetzungsbefugnis – mit empfindlichen Bußgeldern für Verstöße.
Der GPAI Code of Practice (CoP) entstand in einem mehrmonatigen Partizipationsprozess mit über 1.000 Stakeholdern aus Industrie, Zivilgesellschaft und Mitgliedstaaten. Das Ergebnis ist ein strukturiertes Regelwerk in drei Kapiteln, das Anbietern von KI-Modellen einen klar definierten Weg zur Rechtskonformität nach dem AI Act eröffnet. Wer sich als Signatar des Code of Practice registriert, profitiert von einer sogenannten Konformitätsvermutung: Die Behörden gehen dann grundsätzlich davon aus, dass das Unternehmen seinen Pflichten aus dem AI Act nachkommt – was im Fall behördlicher Ermittlungen eine erhebliche prozessuale Erleichterung bedeutet.
Der AI Act definiert General-Purpose-AI-Modelle als KI-Modelle, die eine signifikante Allgemeinheit aufweisen und in der Lage sind, eine breite Palette unterschiedlicher Aufgaben kompetent zu erfüllen. Maßgeblich für die Einstufung als Modell mit systemischem Risiko ist ein Trainingsrechenaufwand von mehr als 10^25 Floating-Point-Operationen (FLOPs). Unterhalb dieser Schwelle gelten die Anforderungen der Kapitel 1 (Transparenz) und 2 (Urheberrecht) für alle GPAI-Anbieter. Nur Modelle, die die Schwelle des systemischen Risikos überschreiten, müssen zusätzlich die Anforderungen aus Kapitel 3 (Sicherheit) erfüllen.
Praktisch relevant ist die Einordnung vor allem für Unternehmen, die große Sprachmodelle (Large Language Models, LLMs) oder multimodale Modelle entwickeln oder über API-Zugang verbreiten. Aber auch Unternehmen, die solche Modelle in eigene Produkte integrieren und über ihre Schnittstellen anderen Entwicklern zugänglich machen, können als GPAI-Anbieter in den Anwendungsbereich fallen. Die Abgrenzung zwischen Modellentwicklern und nachgelagerten Anwendern ist im AI Act geregelt und für die Bestimmung der jeweiligen Compliance-Pflichten entscheidend.
Das Transparenzkapitel richtet sich an alle GPAI-Anbieter und verpflichtet diese zur standardisierten Dokumentation ihrer Modelle. Anbieter müssen ein sogenanntes Model Documentation Form ausfüllen, das Architektur, Trainingsdaten, Rechenressourcen und Energieverbrauch des Modells erfasst. Diese Dokumentation ist für zehn Jahre aufzubewahren und muss nicht nur intern vorgehalten, sondern auch den nachgelagerten Entwicklern zugänglich gemacht werden. Die Frist für die Weitergabe dieser technischen Informationen an Downstream-Nutzer ist auf 14 Tage festgelegt. Diese Transparenzpflichten sollen sicherstellen, dass auch Unternehmen, die GPAI-Modelle in eigene Produkte integrieren, die notwendigen Grundlagen haben, um ihrerseits die Anforderungen des AI Act zu erfüllen.
Das Urheberrechtskapitel adressiert eine der drängendsten offenen Rechtsfragen im Bereich generativer KI: Wie gehen GPAI-Anbieter mit urheberrechtlich geschützten Inhalten beim Training und bei der Generierung von Outputs um? Das Kapitel verpflichtet alle GPAI-Anbieter zur Einführung einer formellen, schriftlich fixierten Urheberrechts-Compliance-Policy, die mindestens auf Vorstandsebene verabschiedet sein muss. Beim Web-Crawling zur Sammlung von Trainingsdaten müssen maschinenlesbare Opt-out-Signale – insbesondere die robots.txt-Datei – strikt respektiert werden. Außerdem ist das Scraping von Inhalten bekannter Pirateriewebsites oder anderer Quellen offensichtlich rechtswidriger Inhalte verboten. Anbieter müssen technische Maßnahmen implementieren, um urheberrechtsverletzende Outputs zu verhindern, und einen Beschwerdemechanismus für Rechteinhaber einrichten.
Das Sicherheitskapitel gilt ausschließlich für Anbieter von Modellen mit systemischem Risiko. Es verpflichtet zur Einrichtung eines umfassenden Risikomanagement-Frameworks, das systemische Risiken identifiziert und minimiert. Dazu gehören sogenannte Red-Teaming-Übungen – gezielte Sicherheitstests des Modells unter realistischen Angriffs- und Missbrauchsszenarien – sowie unabhängige externe Evaluierungen. Bei schwerwiegenden Vorfällen besteht eine direkte Meldepflicht gegenüber dem Europäischen KI-Büro, verbunden mit der Pflicht, unverzüglich Korrekturmaßnahmen einzuleiten.
Die zeitliche Abfolge der AI-Act-Anwendung ist gestaffelt und hängt davon ab, wann ein Modell auf den Markt gebracht wurde. Für Modelle, die nach dem 2. August 2025 auf den Markt gekommen sind, gelten die GPAI-Pflichten bereits unmittelbar. Der entscheidende Stichtag für die Vollstreckung ist jedoch der 2. August 2026: Ab diesem Datum ist die Europäische Kommission vollständig befugt, die AI-Act-Vorschriften aktiv durchzusetzen, Audits anzuordnen, Ermittlungen einzuleiten und finanzielle Sanktionen zu verhängen. Für Legacy-Modelle – also Modelle, die bereits vor dem 2. August 2025 auf dem Markt waren – gilt eine verlängerte Frist bis zum 2. August 2027.
Die Bußgelder für Verstöße gegen die GPAI-Pflichten sind erheblich: Bis zu 15 Millionen Euro oder 3 Prozent des weltweiten jährlichen Umsatzes – je nachdem, welcher Betrag höher ist – können für die Nichterfüllung der Anforderungen des AI Act verhängt werden. Diese Größenordnung macht deutlich, dass die EU-Kommission die Durchsetzung des AI Act ernst nimmt, und unterstreicht die Dringlichkeit, die Compliance-Prozesse noch vor dem August-Stichtag abzuschließen.
Obwohl der GPAI Code of Practice formal freiwillig ist, haben GPAI-Anbieter starke Anreize, ihn zu unterzeichnen. Wer sich nicht dem Code anschließt, muss ein eigenständiges Compliance-Framework entwickeln und gegenüber den Regulierungsbehörden nachweisen, dass dieses mindestens gleichwertig robust ist. Die Unterzeichnung des Codes bietet dagegen einen klar definierten Safe-Harbour-Mechanismus: Die Behörden nehmen für signierende Unternehmen eine Konformitätsvermutung in Anspruch, was die eigene Beweislast im Fall einer behördlichen Untersuchung erheblich reduziert.
Darüber hinaus ist die Unterzeichnung des CoP zunehmend ein faktisches Markterfordernis: Enterprise-Kunden, die GPAI-Modelle in ihre eigenen Produkte und Dienste integrieren, fragen aktiv nach dem Compliance-Status ihrer Modell-Lieferanten. Wer als GPAI-Anbieter nicht nachweisen kann, den Code of Practice unterzeichnet und die relevanten Anforderungen umgesetzt zu haben, riskiert, von Ausschreibungen und Rahmenverträgen ausgeschlossen zu werden.
Unternehmen, die GPAI-Modelle entwickeln oder vertreiben, sollten jetzt konkrete Schritte einleiten. Zunächst ist eine Klassifizierung vorzunehmen: Wird das eigene Modell als GPAI eingestuft, und überschreitet es die systemische Risikogrenze von 10^25 FLOPs? Im nächsten Schritt sollte das Unternehmen prüfen, ob es die Signatar-Erklärung beim Europäischen KI-Büro eingereicht hat – wer dies noch nicht getan hat, sollte dies unverzüglich nachholen. Danach ist eine Gap-Analyse durchzuführen, um festzustellen, welche Pflichten aus den Kapiteln 1 und 2 bereits erfüllt sind und wo Handlungsbedarf besteht. Besonderes Augenmerk sollte auf die Urheberrechts-Compliance-Policy und das technische Beschwerdemanagementsystem gelegt werden. Schließlich ist sicherzustellen, dass alle Maßnahmen lückenlos dokumentiert werden, da diese Dokumentation im Fall einer behördlichen Überprüfung entscheidend ist.
Unternehmen, die Open-Source-GPAI-Modelle entwickeln, sollten beachten, dass für sie besondere Regelungen gelten: Sie sind in der Regel von den Anforderungen des Transparenzkapitels ausgenommen – sofern kein systemisches Risiko vorliegt –, müssen jedoch die Anforderungen des Urheberrechtskapitels vollständig einhalten. Dies bedeutet insbesondere, dass eine formelle Urheberrechts-Compliance-Policy und ein Beschwerdemechanismus für Rechteinhaber auch für Open-Source-Modelle verpflichtend sind.
Der 2. August 2026 ist kein abstrakter regulatorischer Stichtag, sondern der konkrete Startpunkt für die vollständige behördliche Durchsetzung des AI Act. Anbieter von GPAI-Modellen, die bis dahin keine nachweisliche Compliance vorweisen können, setzen sich dem Risiko von Bußgeldern in Millionenhöhe, Reputationsschäden und dem Verlust von Marktanteilen aus. Der GPAI Code of Practice bietet einen strukturierten, praxistauglichen Weg zur Compliance – und mit noch sechs Wochen bis zur Enforcement-Deadline besteht zwar noch Handlungsspielraum, aber kein Spielraum für weiteres Abwarten. Wer jetzt handelt, sichert seinen Marktzugang in Europa und schützt sich vor den erheblichen Sanktionsrisiken des AI Act.
Haben Sie Fragen zum EU AI Act oder zum GPAI Code of Practice? Die Anwälte von HUFELD PartGmbB beraten Sie umfassend. Nehmen Sie jetzt Kontakt auf.
Sie sind auf der Suche nach einem ganz bestimmten Thema?
.png)
.png)
.png)