EU veröffentlicht finalen Verhaltenskodex für KI-Modelle mit allgemeinem Verwendungszweck

Die Europäische Kommission hat die endgültige Fassung eines Verhaltenskodex für Künstliche Intelligenz (KI) mit allgemeinem Verwendungszweck veröffentlicht. Dieser freiwillige Kodex soll der KI-Branche dabei helfen, die kommenden EU-Vorschriften für allgemeine KI-Modelle einzuhalten, die ab dem 2. August 2025 gelten. Entwickelt wurde der Kodex von 13 unabhängigen Expertinnen und Experten in einem breit angelegten Konsultationsprozess mit Beiträgen von über 1.000 Interessenträgern – darunter KI-Modellanbieter, kleine und mittlere Unternehmen, Wissenschaftler, KI-Sicherheitsexperten, Rechteinhaber sowie zivilgesellschaftliche Organisationen. Ziel ist es, sicherzustellen, dass KI-Modelle mit allgemeinem Zweck – auch die leistungsstärksten unter ihnen – auf dem europäischen Markt sicher und transparent eingesetzt werden.

Hintergrund: EU-KI-Gesetz und allgemeine KI-Modelle

Der EU AI Act (EU-KI-Gesetz) bildet den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz. Die Verordnung, die 2024 von den EU-Gesetzgebern verabschiedet wurde, verbietet bestimmte riskante KI-Anwendungen, führt Transparenzpflichten ein und schreibt Risiko-Bewertungen für als hochriskant eingestufte KI-Systeme vor. Neben Regelungen für Hochrisiko-Anwendungen enthält das KI-Gesetz auch spezielle Vorgaben für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (sogenannte General Purpose AI). Damit sind KI-Systeme gemeint, die nicht für einen eng umrissenen Zweck entwickelt wurden, sondern vielseitig einsetzbar sind – etwa große Sprachmodelle oder generative KI, die in verschiedenen Kontexten (von Chatbots bis Programmierhilfen) genutzt werden können. Für diese allgemeinen KI-Modelle gelten im AI Act besondere Verpflichtungen in Bezug auf Transparenz, Sicherheit und Einhaltung von Gesetzen (z.B. Urheberrecht). Diese neuen Vorschriften treten am 2. August 2025 in Kraft und betreffen alle Anbieter, die solche KI-Modelle auf dem EU-Markt bereitstellen. Um die Branche bei der rechtzeitigen Umsetzung zu unterstützen, hat die EU-Kommission bereits 2024 den Prozess zur Ausarbeitung eines freiwilligen Verhaltenskodex angestoßen. Dieser Kodex dient als Brückeninstrument, das die Zeit bis zur vollständigen Anwendung des Gesetzes überbrückt und den Anbietern schon jetzt einen Leitfaden zur präventiven Compliance bietet.

Entstehung des Verhaltenskodex

Die Erstellung des Kodex erfolgte in einem mehrstufigen Beteiligungsprozess. Im Juli 2024 wurde ein Expertengremium eingesetzt, das den Auftrag erhielt, gemeinsam mit Stakeholdern praxisnahe Leitlinien zu erarbeiten. In den vergangenen zwölf Monaten fanden drei Konsultationsrunden statt, in denen über 1.600 schriftliche Stellungnahmen ausgewertet und rund 40 Workshops mit Beteiligten aus Industrie, Wissenschaft und Zivilgesellschaft durchgeführt wurden. Das Ergebnis dieses Prozesses – der Verhaltenskodex für allgemeine KI-Modelle – wurde schließlich am 10. Juli 2025 von der Kommission in finaler Fassung veröffentlicht.

Obwohl es sich um ein nicht bindendes Instrument handelt, wird der Kodex nun von der EU-Kommission und den 27 Mitgliedstaaten geprüft, um seine Anerkennung zu empfehlen. Nach offizieller Billigung haben Anbieter von KI-Modellen die Möglichkeit, dem Kodex freiwillig beizutreten (durch Unterzeichnung). Die breite Beteiligung bei der Erstellung soll sicherstellen, dass die vorgeschlagenen Maßnahmen praxisgerecht sind und von den Unternehmen umgesetzt werden können. Damit verfolgt die EU einen kooperativen Ansatz: Die Branche wird einbezogen, um schon vor Inkrafttreten der Regulierung gemeinsame Best Practices zu etablieren, anstatt allein auf nachträgliche Durchsetzung zu setzen.

Inhalte des Kodex: Transparenz, Urheberrecht, Sicherheit

Der Verhaltenskodex gliedert sich in drei Kapitel, die verschiedene verpflichtende Bereiche des KI-Gesetzes abdecken:

• Sicherheit und Schutz – Das dritte Kapitel betrifft lediglich eine kleine Untergruppe der fortgeschrittensten KI-Modelle, nämlich solche mit systemischem Risiko. Gemeint sind sehr leistungsfähige generelle KI-Systeme, die aufgrund ihrer Größe und Fähigkeiten neuartige Gefahren mit sich bringen können – etwa große Sprach- und Multimodalmodelle wie GPT-4, Google DeepMinds „Gemini“ oder Anthropics „Claude“. Für solche Modelle definiert das KI-Gesetz zusätzliche Verpflichtungen (gemäß Artikel 55 AI Act), da sie ein besonderes Missbrauchs- oder Schadenspotenzial haben. Der Kodex listet in diesem Kapitel empfohlene Maßnahmen zur Risikominimierung auf. Identifizierte Risiken sind zum Beispiel die Erzeugung extrem überzeugender, aber falscher Inhalte (Desinformation), das Umgehen von Sicherheitsvorkehrungen (etwa für Cyberangriffe), die Ermöglichung bösartiger Handlungen (z.B. im chemischen oder biologischen Bereich) oder ein Verlust der menschlichen Kontrolle über die vom Modell erzeugten Ergebnisse. Um solchen Gefahren zu begegnen, empfiehlt der Kodex den Anbietern fortschrittlicher Modelle modernste Risikomanagement-Praktiken – von technischen Schutzmaßnahmen (Robustheit gegenüber Angriffen, Red Teaming, etc.) bis hin zu verstärkter menschlicher Überwachung und Kontrolle über kritische Modellfunktionen. So soll sichergestellt werden, dass selbst die leistungsfähigsten KI-Systeme verantwortungsvoll betrieben werden.

• Transparenz – Dieses Kapitel richtet sich an alle Anbieter allgemeiner KI-Modelle. Es enthält Vorgaben und ein benutzerfreundliches Dokumentationsformular, mit dem Anbieter die gemäß KI-Gesetz erforderlichen Informationen zu ihrem Modell leicht an zentraler Stelle erfassen können. Dazu gehören etwa Angaben über das Modell, seine Trainingdaten, seine Fähigkeiten und Limitierungen. Durch diese Transparenzanforderungen soll gewährleistet werden, dass Nutzer und Aufsichtsbehörden ausreichend über die Eigenschaften und Einsatzbereiche eines Modells informiert sind.

• Urheberrecht – Ebenfalls für alle Anbieter relevant ist das Kapitel zum Urheberrecht. Hier gibt der Kodex praxisorientierte Empfehlungen, wie Anbieter sicherstellen können, dass ihre KI-Modelle im Einklang mit dem europäischen Urheberrecht entwickelt und genutzt werden. Beispielsweise wird angeraten, interne Richtlinien aufzustellen, um geschützte Werke im Trainingsmaterial zu identifizieren und Rechteinhaber entsprechend zu berücksichtigen. So soll verhindert werden, dass generative KI-Modelle unbeabsichtigt Urheberrechte verletzen (etwa durch die unerlaubte Reproduktion geschützter Inhalte).

Freiwillige Teilnahme und Vorteile für Anbieter

Der neue KI-Verhaltenskodex ist rechtlich unverbindlich. Das heißt, kein Unternehmen ist verpflichtet, ihn zu unterzeichnen oder umzusetzen. Dennoch schafft er deutliche Anreize zur freiwilligen Teilnahme. Anbieter, die dem Kodex beitreten und seine Vorgaben umsetzen, können ihre Pflichten aus dem KI-Gesetz auf einfache Weise erfüllen und nachweisen. Die Einhaltung des Kodex wird als Nachweis gewertet, dass die entsprechenden rechtlichen Anforderungen (etwa Dokumentations- und Sorgfaltspflichten) erfüllt werden. Dies führt zu einem schlankeren Konformitätsverfahren: Statt in Eigenregie komplizierte Nachweise zu erbringen, können sich Unternehmen auf die Kodex-Vorgaben stützen, was Verwaltungsaufwand reduziert und für mehr Rechtssicherheit sorgt. Wichtig ist, dass der Kodex keine zusätzlichen Pflichten enthält, die über das KI-Gesetz hinausgehen. Er ist ausschließlich als Hilfestellung gedacht, um bestehende Gesetzespflichten effektiv und einheitlich umzusetzen, ohne den Rahmen der Verordnung zu erweitern.

Mit der freiwilligen Natur des Kodex stellt sich allerdings die Frage, wie viele Anbieter – insbesondere außerhalb Europas – sich tatsächlich anschließen werden. Die großen Hersteller generativer KI (etwa US-Unternehmen) sind zwar von den EU-Regularien betroffen, doch ihre Bereitschaft, einen europäischen Verhaltenskodex zu unterzeichnen, bleibt abzuwarten. Die EU-Kommission setzt hier auf einen kooperativen Ansatz: Je mehr Unternehmen sich beteiligen, desto wirkungsvoller wird der Kodex als Instrument sein, um einheitliche Standards in der Branche zu etablieren. Unternehmen, die sich engagieren, demonstrieren proaktiv ihre Compliance-Bereitschaft und tragen dazu bei, Vertrauen in KI-Anwendungen zu stärken. Ein Signal, das sowohl Regulierungsbehörden als auch Nutzer begrüßen dürften.

Zeitplan: Inkrafttreten der Regeln und Ausblick

Ab 2. August 2025 gelten die neuen Regeln des KI-Gesetzes für alle Anbieter von KI-Modellen mit allgemeinem Zweck. Das bedeutet, dass ab diesem Datum beispielsweise Transparenz- und Dokumentationspflichten sowie gegebenenfalls Urheberrechts- und Sicherheitsauflagen formal in Kraft sind. Allerdings hat der Gesetzgeber Übergangsfristen vorgesehen, um eine reibungslose Umsetzung zu gewährleisten. Die Überwachung und Durchsetzung der Vorschriften übernimmt das neu geschaffene Amt für Künstliche Intelligenz (AI Office) der EU-Kommission. Dieses Amt wird im ersten Jahr nach Inkrafttreten vor allem beratend tätig sein: Für neue KI-Modelle, die ab August 2025 auf den Markt kommen, beginnt die strikte Durchsetzung der Regeln erst ab August 2026, und für bereits bestehende Modelle sogar erst ab August 2027. Diese gestaffelte Einführung soll den Unternehmen genügend Zeit geben, ihre KI-Systeme an die Anforderungen anzupassen, ohne Innovation abzuwürgen. In der Übergangszeit bis 2026 will das KI-Amt eng mit jenen Anbietern zusammenarbeiten, die sich dem Kodex anschließen, um etwaige Lücken bei der Umsetzung zu schließen. Sollte ein Unterzeichner des Kodex direkt nach Inkrafttreten noch nicht sämtliche Kodex-Verpflichtungen vollständig umgesetzt haben, wird dies zunächst nicht als Verstoß gewertet – vorausgesetzt, das Unternehmen handelt nachweislich in gutem Glauben und arbeitet mit der Behörde an der vollständigen Erfüllung der Anforderungen. Ab August 2026 endet diese Kulanzphase jedoch: Von dann an müssen neue Modelle vollumfänglich den AI-Act-Vorgaben entsprechen, andernfalls drohen Sanktionen (z.B. empfindliche Geldbußen). Für bereits im Markt befindliche Modelle gilt diese Deadline im August 2027, was insbesondere etablierten generativen KI-Diensten eine längere Anpassungsfrist einräumt.

Als nächsten Schritt wird die EU-Kommission noch im Juli 2025 ausführliche Leitlinien (Guidelines) veröffentlichen, die den Anwendungsbereich der neuen Regeln weiter präzisieren. Diese Leitlinien sollen z.B. definieren, was genau unter einem „KI-Modell mit allgemeinem Zweck“ zu verstehen ist, wer als dessen Anbieter gilt und wie bewertet wird, ob ein Modell ein systemisches Risiko darstellt. Solche Klarstellungen sind wichtig, damit Unternehmen ihre Rolle und Pflichten eindeutig erkennen können. In Kombination mit dem Verhaltenskodex bieten die Leitlinien eine Handreichung, um offene Fragen zur Umsetzung des KI-Gesetzes zu beantworten.

Fazit

Mit der Veröffentlichung des freiwilligen Verhaltenskodex geht die EU einen neuartigen Weg in der KI-Regulierung. Noch bevor die gesetzlichen Pflichten für allgemeine KI-Systeme scharf gestellt werden, erhalten Anbieter einen konkreten Maßnahmenkatalog an die Hand, um Sicherheit, Transparenz und Rechtskonformität ihrer Modelle sicherzustellen. Dieser kooperative Ansatz soll nicht nur die Compliance in der Praxis erleichtern, sondern auch das Vertrauen der Öffentlichkeit und der Aufsichtsbehörden in fortschrittliche KI-Technologien stärken. Die kommenden Monate werden zeigen, wie breit der Kodex in der Branche angenommen wird. Fest steht jedoch, dass Europa mit diesem Schritt seine Doppelstrategie aus Förderung von Innovation und Gewährleistung von Grundwerten im KI-Bereich weiter vorantreibt – und damit einen möglichen Blueprint für den verantwortungsvollen Umgang mit generischer KI schafft.

---