Mit Veröffentlichung des Praxiskodex für KI-Modelle mit allgemeiner Zweckbestimmung (General-Purpose AI, GPAI) am 10. Juli 2025 hat die EU ein Instrument geschaffen, das Unternehmen bei der Umsetzung des AI Acts unterstützt. Auch wenn der Kodex formal freiwillig ist, wird er in der Praxis zur maßgeblichen Richtschnur, da er die Anforderungen der KI-Verordnung konkretisiert und im Streitfall als Compliance-Nachweis dient. Unternehmer und Rechtsabteilungen sollten den Kodex nicht als optionale Empfehlung, sondern als praktische Handlungsanleitung verstehen, um rechtliche Risiken zu minimieren und regulatorische Konflikte zu vermeiden.
Transparenzpflichten – Kernstück des Kodex
Das Transparenzkapitel verpflichtet Anbieter von GPAI-Modellen zu einer umfassenden Dokumentation. Zentral ist das Model Documentation Form, das alle wesentlichen Angaben bündelt. Dieses Dokument muss – abhängig vom Adressaten – unterschiedliche Informationsstände enthalten.
- Downstream-Provider (Unternehmen, die Modelle weiterverwenden) erhalten konkrete Informationen über Funktionen, Einschränkungen und zulässige Anwendungsbereiche.
- Das AI Office (EU-Behörde) und die nationalen Aufsichtsbehörden erhalten auf Anfrage Zugang zu tiefergehenden Informationen, etwa zur Architektur, zu Trainingsmethoden oder zu Berechnungen zum Energieverbrauch.
Für Unternehmen ist wichtig, dass die Weitergabe sensibler Geschäftsgeheimnisse durch den Kodex ausdrücklich geschützt wird. Dennoch müssen bestimmte Details bereitgestellt werden, sobald die Behörde dies anfordert. Rechtsabteilungen sollten daher frühzeitig klären, welche Informationen unter das Geschäftsgeheimnisregime fallen und welche offenzulegen sind.
Sicherheit und Schutz – Minimierung systemischer Risiken
Das Sicherheitskapitel richtet sich vor allem an Anbieter von leistungsstarken Modellen mit systemischem Risiko. Hierzu gehören Modelle, die aufgrund ihrer Größe, Leistungsfähigkeit oder Verbreitung potenziell erhebliche Auswirkungen auf Gesellschaft und Wirtschaft haben können.
- Risikobewertungen zur Identifikation von Missbrauchsgefahren, etwa für Desinformation, Cyberangriffe oder Deepfakes.
- Technische Schutzmaßnahmen wie Content-Filter, Sicherheitsprüfungen oder Monitoring-Systeme.
- Meldepflichten für Vorfälle, die die Sicherheit oder Integrität des Modells betreffen.
Für Unternehmen bedeutet das, dass interne Compliance-Strukturen so ausgerichtet werden müssen, dass Vorfälle dokumentiert und meldefähig sind. Eine rein technische Betrachtung genügt nicht; es sind auch organisatorische Prozesse notwendig.
Handlungsempfehlung für Unternehmen
- Unternehmen sollten frühzeitig ein internes Dokumentationssystem einführen. Die Daten für das Model Documentation Form sind fortlaufend zu pflegen.
- Rechtsabteilungen sollten Schutzstrategien entwickeln, um sensible Informationen gegenüber Behörden gezielt freigeben zu können, ohne Geschäftsgeheimnisse preiszugeben.
- Es empfiehlt sich, ein eigenständiges Risikomanagement für KI aufzubauen. Analog zum Datenschutz- oder Compliance-Managementsystem sollte ein KI-Risikomanagement implementiert werden.
Fazit
Der Kodex ist weit mehr als eine freiwillige Selbstverpflichtung. Für Unternehmen wird er zum praktischen Standard, um Nachweispflichten gegenüber Behörden und Geschäftspartnern effizient zu erfüllen. Wer ihn ignoriert, riskiert ab August 2026 empfindliche Sanktionen im Rahmen des AI Acts.
Kapitel-Downloads (DE)
Transparenz
Deutsche Kurzfassung des Transparenzkapitels mit den wichtigsten Pflichten, Zuständigkeiten und Fristen zur Modelldokumentation.
Urheberrecht
Deutsche Kurzfassung des Urheberrechtskapitels zu Rechtevorbehalten, rechtmäßigem Crawling, Risiko-Minderung und Beschwerdemechanismen.
Sicherheit & Schutz
Deutsche Kurzfassung des Sicherheits- und Schutzkapitels zu Risikoanalyse, technischen und organisatorischen Maßnahmen sowie Vorfallmanagement.