Codes of Practice für GPAI: Selbstregulierung unter dem AI Act

Das Wichtigste in Kürze

• Codes of Practice sind freiwillige Verhaltenskodizes, die GPAI-Anbietern konkrete Leitlinien zur Erfüllung ihrer Pflichten nach dem AI Act geben -- geregelt in Art. 56 VO (EU) 2024/1689.
• Das EU AI Office koordiniert die Erstellung gemeinsam mit GPAI-Anbietern, Zivilgesellschaft, Wissenschaft und weiteren Stakeholdern.
• Wer einen Code of Practice einhält, genießt eine Konformitätsvermutung (Art. 56 Abs. 7): Die Einhaltung der GPAI-Pflichten nach Art. 51--55 wird vermutet.
• Die Codes decken zentrale Themen ab: Transparenz, Urheberrechtskonformität, Risikobewertung und Sicherheit.
• Der erste General-Purpose AI Code of Practice wurde im November 2025 durch das AI Office veröffentlicht und wird kontinuierlich weiterentwickelt.
• Für nutzende Unternehmen sind die Codes relevant, weil sie die praktischen Standards definieren, an denen sich auch nachgelagerte Compliance-Anforderungen orientieren.

Warum der AI Act Codes of Practice vorsieht

Der AI Act stellt in Kapitel V (Art. 51--56) umfangreiche Pflichten an Anbieter von GPAI-Modellen -- von technischer Dokumentation über Urheberrechtstransparenz bis hin zu Sicherheitsmaßnahmen bei systemischem Risiko. Doch der Gesetzgeber wusste: GPAI-Modelle entwickeln sich so rasant, dass starre Detailvorschriften schnell veralten würden. Was heute als Best Practice für die Dokumentation eines Large Language Models gilt, kann morgen durch neue Modellarchitekturen überholt sein.

Deshalb hat die EU einen koregulatorischen Ansatz gewählt. Art. 56 VO (EU) 2024/1689 sieht vor, dass die konkreten Anforderungen an GPAI-Anbieter nicht allein durch Verordnungstext und delegierte Rechtsakte definiert werden, sondern ergänzend durch Codes of Practice -- freiwillige Verhaltenskodizes, die von der Industrie selbst mitgestaltet werden. So bleibt die Regulierung flexibel, praxisnah und technologieneutral, ohne an Verbindlichkeit zu verlieren.

Dieses Modell ist kein Neuland. Auch in anderen Bereichen -- etwa bei der DSGVO mit Verhaltensregeln nach Art. 40 oder im Medienrecht mit Selbstregulierung von Plattformen -- setzt die EU auf die Kombination aus gesetzlichem Rahmen und industriegetriebener Konkretisierung.

Was sind Codes of Practice nach Art. 56?

Codes of Practice sind freiwillige, aber strukturierte Verhaltenskodizes, die GPAI-Anbietern detaillierte Leitlinien geben, wie sie ihre gesetzlichen Pflichten nach Art. 51--55 AI Act konkret erfüllen können. Sie übersetzen die abstrakten Anforderungen der Verordnung in operative Maßnahmen und Standards.

Art. 56 Abs. 1 formuliert den Auftrag klar: Das AI Office soll die Ausarbeitung von Codes of Practice auf EU-Ebene fördern und erleichtern. Diese sollen insbesondere die ordnungsgemäße Anwendung der Verpflichtungen für GPAI-Modelle gewährleisten -- sowohl für allgemeine GPAI-Modelle (Art. 53) als auch für solche mit systemischem Risiko (Art. 55).

Abgrenzung zu harmonisierten Standards

Codes of Practice sind nicht mit harmonisierten europäischen Normen zu verwechseln, die von den europäischen Normungsorganisationen (CEN, CENELEC) nach einem formellen Normungsauftrag der Kommission erarbeitet werden. Codes of Practice entstehen schneller, sind flexibler und stärker von der Industrie geprägt. Sie können allerdings als Vorstufe zu harmonisierten Normen dienen: Art. 56 Abs. 9 sieht vor, dass Codes of Practice ihre Geltung verlieren, sobald ein entsprechender harmonisierter Standard veröffentlicht wird.

Solange kein harmonisierter Standard existiert, bieten die Codes of Practice den einzigen strukturierten Weg zur Konformitätsvermutung -- und damit eine enorme praktische Bedeutung.

Wer erstellt die Codes of Practice?

Die Erstellung der Codes of Practice folgt einem mehrstufigen, partizipativen Prozess, den das AI Office koordiniert:

Das EU AI Office als Koordinator

Das AI Office -- angesiedelt bei der Europäischen Kommission -- leitet den gesamten Prozess. Es hat die Aufgabe, alle relevanten Akteure zusammenzubringen, den Zeitrahmen festzulegen und die Einhaltung der gesetzlichen Anforderungen sicherzustellen. Das AI Office genehmigt den fertigen Code und kann Anpassungen einfordern, wenn die Inhalte nicht ausreichen, um die Pflichten der Verordnung abzudecken.

Beteiligte Stakeholder

Art. 56 Abs. 2 und 3 legen fest, wer an der Erstellung beteiligt wird:

• GPAI-Anbieter -- insbesondere Anbieter von Modellen mit systemischem Risiko -- sind die primären Adressaten und Mitgestalter.
• Nachgelagerte Anbieter (Downstream Provider), die GPAI-Modelle in ihre eigenen KI-Systeme integrieren, bringen die Perspektive der Anwendungsebene ein.
• Zivilgesellschaft und Wissenschaft sorgen für unabhängige Expertise, insbesondere zu Grundrechten, Sicherheit und gesellschaftlichen Auswirkungen.
• Das AI Board (Gremium der nationalen Aufsichtsbehörden) wird konsultiert und kann Empfehlungen aussprechen.
• Zusätzlich kann das AI Office unabhängige Sachverständige hinzuziehen.

In der Praxis bedeutet das: Unternehmen wie OpenAI, Google DeepMind, Meta, Mistral, Aleph Alpha und andere GPAI-Anbieter sitzen mit Vertretern aus Verbraucherschutzorganisationen, Forschungseinrichtungen und nationalen Behörden an einem Tisch. Dieses breite Beteiligungsformat soll sicherstellen, dass die Codes nicht einseitig industriefreundlich ausfallen, sondern die Interessen aller Betroffenen widerspiegeln.

Die Konformitätsvermutung nach Art. 56 Abs. 7

Der vielleicht wichtigste Aspekt der Codes of Practice ist ihre rechtliche Wirkung. Art. 56 Abs. 7 VO (EU) 2024/1689 enthält eine zentrale Regelung:

Wenn ein GPAI-Anbieter einen Code of Practice einhält, wird vermutet, dass er die in Art. 53 und Art. 55 festgelegten Pflichten erfüllt.

Diese Konformitätsvermutung (Presumption of Conformity) hat weitreichende praktische Konsequenzen:

• Beweislastumkehr: Nicht der Anbieter muss beweisen, dass er alle Pflichten erfüllt, sondern die Aufsichtsbehörde müsste nachweisen, dass die Einhaltung des Codes im konkreten Fall nicht ausreicht.
• Rechtssicherheit: Anbieter, die sich an den Code halten, erhalten eine belastbare Orientierung und reduzieren ihr regulatorisches Risiko erheblich.
• Praktischer Safe Harbor: Der Code of Practice fungiert als eine Art sicherer Hafen -- wer ihm folgt, kann davon ausgehen, compliant zu sein.

Wichtig zu beachten: Die Konformitätsvermutung ist widerlegbar. Wenn eine Aufsichtsbehörde nachweist, dass die Einhaltung des Codes im Einzelfall nicht ausreicht, um die gesetzlichen Anforderungen zu erfüllen, kann sie dennoch einschreiten. Außerdem gilt die Vermutung nur, solange kein harmonisierter Standard existiert, der den Code ersetzt.

Für GPAI-Anbieter ist die Teilnahme am Code of Practice daher kein bloßes Nice-to-Have, sondern ein strategisches Compliance-Instrument erster Ordnung.

Inhalte der Codes of Practice

Die Codes of Practice decken die wesentlichen Pflichtenbereiche ab, die der AI Act für GPAI-Modelle definiert. Die Inhalte gliedern sich entlang der folgenden Kernthemen:

1. Transparenz und technische Dokumentation

GPAI-Anbieter müssen umfassend dokumentieren, wie ihre Modelle funktionieren. Der Code of Practice konkretisiert, welche Informationen die technische Dokumentation nach Art. 53 Abs. 1 lit. a enthalten muss -- darunter:

• Beschreibung der Modellarchitektur und der Trainingsmethodik
• Angaben zu Leistungsfähigkeit, Einschränkungen und vorhersehbaren Risiken
• Informationen über den Einsatzzweck und die bestimmungsgemäße Verwendung
• Anleitungen für nachgelagerte Anbieter zur Integration in eigene Systeme

2. Urheberrechtskonformität und Trainingsdaten

Art. 53 Abs. 1 lit. c verpflichtet GPAI-Anbieter, eine hinreichend detaillierte Zusammenfassung der Trainingsdaten zu erstellen. Dieser Punkt ist politisch besonders umstritten, da er die Interessen von KI-Anbietern und Rechteinhabern direkt berührt. Der Code of Practice definiert:

• Mindestanforderungen an die Trainingsdaten-Zusammenfassung
• Verfahren zur Einhaltung des Text-and-Data-Mining-Vorbehalts (Art. 4 Abs. 3 DSM-Richtlinie)
• Mechanismen, mit denen Rechteinhaber Opt-out-Erklärungen geltend machen können
• Dokumentationspflichten zu den verwendeten Datenquellen

3. Risikobewertung für Modelle mit systemischem Risiko

Für GPAI-Modelle mit systemischem Risiko (Art. 51 Abs. 2) -- typischerweise Modelle, die mit mehr als 10²⁵ FLOPS trainiert wurden -- definiert der Code verschärfte Anforderungen:

• Modellbewertungen (Model Evaluations) zur Identifikation und Minderung systemischer Risiken
• Adversarial Testing durch interne und externe Red Teams
• Bewertung von Risiken in Bezug auf Desinformation, CBRN-Bedrohungen, Cyberangriffe und Kontrollverlust
• Regelmäßige Aktualisierung der Risikobewertung bei wesentlichen Modelländerungen

4. Sicherheit und Incident Reporting

Der Code enthält Vorgaben zur Cybersicherheit der Modellinfrastruktur und definiert Prozesse für das Melden von schwerwiegenden Vorfällen:

• Schutz der Modellgewichte und der Trainingsinfrastruktur
• Meldepflichten bei schwerwiegenden Sicherheitsvorfällen an das AI Office
• Dokumentation von Maßnahmen zur Risikominderung
• Zusammenarbeit mit Aufsichtsbehörden im Ernstfall

Aktueller Stand: Der erste GPAI Code of Practice

Das AI Office hat den Prozess zur Erstellung des ersten GPAI Code of Practice im September 2024 gestartet und dabei über 1.000 Stakeholder in mehreren Arbeitsgruppen beteiligt. Nach mehreren Entwurfsrunden und öffentlichen Konsultationen wurde der erste finale GPAI Code of Practice im November 2025 veröffentlicht.

Der Code ist seit seiner Veröffentlichung anwendbar -- zeitgleich mit dem Inkrafttreten der GPAI-Pflichten nach Art. 51--55 im August 2025. GPAI-Anbieter können sich seit diesem Zeitpunkt auf die Konformitätsvermutung berufen.

Das AI Office hat zudem angekündigt, den Code of Practice regelmäßig zu überprüfen und anzupassen. Die technologische Entwicklung -- etwa durch neue Modellarchitekturen, multimodale Modelle oder KI-Agenten -- wird laufende Aktualisierungen erfordern. Art. 56 Abs. 5 sieht ausdrücklich vor, dass das AI Office den Code bewerten und bei Bedarf zur Überarbeitung auffordern kann.

Was bedeuten die Codes of Practice für nutzende Unternehmen?

Auch wenn die Codes of Practice sich primär an GPAI-Anbieter richten, haben sie erhebliche Auswirkungen auf Unternehmen, die GPAI-basierte Systeme einsetzen:

Lieferantenbewertung und Due Diligence

Die Codes of Practice definieren den Maßstab, an dem Anbieter gemessen werden. Unternehmen, die GPAI-basierte Lösungen einkaufen oder integrieren, können und sollten prüfen:

• Hat der GPAI-Anbieter den Code of Practice unterzeichnet?
• Wird die technische Dokumentation gemäß den Vorgaben des Codes bereitgestellt?
• Gibt es transparente Informationen zu Trainingsdaten und Urheberrechtskonformität?

Eigene Compliance-Pflichten

Unternehmen, die als Betreiber (Deployer) GPAI-basierte Systeme einsetzen, haben eigene Pflichten nach Art. 26 und Art. 50 AI Act. Die Codes of Practice beeinflussen diese indirekt, weil sie bestimmen, welche Informationen Betreiber von ihren Anbietern erwarten können -- etwa zur Risikobewertung oder zu Nutzungseinschränkungen.

Vertragliche Absicherung

In Verträgen mit GPAI-Anbietern sollten Unternehmen Klauseln aufnehmen, die auf die Einhaltung des Code of Practice verweisen. Das schafft eine klare vertragliche Grundlage und erleichtert die eigene Compliance-Dokumentation gegenüber Aufsichtsbehörden.

Wettbewerbsvorteil

Unternehmen, die nachweisen können, dass sie ausschließlich GPAI-Modelle einsetzen, deren Anbieter den Code of Practice einhalten, positionieren sich als verantwortungsvolle KI-Nutzer -- ein zunehmend relevantes Kriterium in Ausschreibungen, bei Kunden und gegenüber Investoren.

Häufige Fragen (FAQ)

Sind Codes of Practice verpflichtend?

Nein, die Teilnahme ist freiwillig. GPAI-Anbieter können ihre Pflichten auch auf andere Weise erfüllen -- etwa durch die Einhaltung harmonisierter Standards, sobald diese verfügbar sind, oder durch individuelle Nachweise gegenüber dem AI Office. Allerdings bieten die Codes of Practice den einfachsten Weg zur Konformitätsvermutung und werden in der Praxis zum faktischen Standard.

Was passiert, wenn ein Anbieter den Code of Practice nicht einhält?

Wenn ein GPAI-Anbieter weder einen Code of Practice noch einen harmonisierten Standard einhält, muss er dem AI Office alternative, gleichwertige Maßnahmen nachweisen (Art. 56 Abs. 8). Das ist aufwendiger und rechtlich unsicherer als die Befolgung des Codes. Es drohen keine direkten Sanktionen allein wegen der Nichtteilnahme -- wohl aber Sanktionen bei Verletzung der zugrundeliegenden Pflichten nach Art. 51--55.

Gelten Codes of Practice auch für Open-Source-Modelle?

Grundsätzlich gelten für Open-Source-GPAI-Modelle erleichterte Pflichten nach Art. 53 Abs. 2. Die Codes of Practice berücksichtigen dies und enthalten spezifische Regelungen für Open-Source-Anbieter. Allerdings: Wenn ein Open-Source-Modell systemisches Risiko aufweist, gelten die vollen Pflichten -- und damit auch die vollständigen Vorgaben des Codes.

Können Unternehmen als Betreiber den Code of Practice nutzen?

Direkt adressiert sind nur GPAI-Anbieter. Betreiber (Deployer) können sich nicht selbst auf die Konformitätsvermutung des Codes berufen. Sie profitieren aber indirekt, indem sie Anbieter auswählen, die den Code einhalten, und dies in ihrer eigenen Compliance-Dokumentation referenzieren. Die Codes bieten zudem wertvolle Orientierung für die eigene Risikobewertung.

Wie unterscheiden sich Codes of Practice von harmonisierten Standards?

Codes of Practice sind industriegetrieben, flexibler und entstehen schneller. Sie werden vom AI Office koordiniert und genehmigt. Harmonisierte Standards (z. B. über CEN/CENELEC) durchlaufen ein formelles Normungsverfahren, sind technisch detaillierter und ersetzen bei Veröffentlichung die Codes of Practice als Grundlage für die Konformitätsvermutung. Solange keine harmonisierten Standards vorliegen, sind die Codes of Practice das zentrale Compliance-Instrument.

Fazit: Codes of Practice als Schlüssel zur GPAI-Compliance

Codes of Practice nach Art. 56 AI Act sind weit mehr als unverbindliche Empfehlungen. Sie sind das zentrale Instrument, mit dem GPAI-Anbieter ihre gesetzlichen Pflichten konkretisieren und die wertvolle Konformitätsvermutung erlangen können. Für Unternehmen, die GPAI-Modelle einsetzen, definieren sie den praktischen Standard, an dem Anbieter gemessen werden.

Die koregulatorische Struktur -- gesetzlicher Rahmen plus industriegesteuerte Konkretisierung -- ist ein kluger Ansatz für einen Technologiebereich, der sich schneller entwickelt als jeder Gesetzgebungsprozess. Gleichzeitig stellt die regelmäßige Überprüfung durch das AI Office sicher, dass die Codes nicht hinter den gesetzlichen Anforderungen zurückbleiben.

Unternehmen sollten die Entwicklung der Codes of Practice aktiv verfolgen, sie in ihre Lieferantenbewertung und Vertragsgestaltung einbeziehen und sicherstellen, dass ihre GPAI-Anbieter den aktuellen Code einhalten. Wer dies tut, schafft eine solide Grundlage für die eigene KI-Compliance.

---

Sie möchten wissen, ob Ihre GPAI-Anbieter den Code of Practice einhalten? KI Comply unterstützt Sie bei der Bewertung Ihrer KI-Lieferkette und der Erstellung einer compliance-konformen Dokumentation. Jetzt Beratung anfragen →