GPAI-Verhaltenskodex – Warum sofortiges Handeln im Rahmen des EU AI Act entscheidend ist

Wie CMS und Capgemini Unternehmen helfen, Europas neue KI-Vorgaben umzusetzen, ohne an Innovationskraft zu verlieren

Wir bedanken uns vorab bei Autor*innen Maximilian Vonthien, Sara Kapur und David Rappenglück sowie den Experten Philipp Heinzke und Björn Herbers von CMS sowie Oliver Stuke und Shokoofeh Ketabchi von Capgemini Invent für die Zusammenarbeit.

Mit Inkrafttreten der Vorschriften für Allzweck KI (engl. General Purpose AI (GPAI)) im Rahmen des EU AI Act ist Compliance keine Zukunftsfrage mehr – sie ist zur aktuellen Priorität geworden. Durch die Kombination der juristischen Expertise von CMS mit der strategischen Beratung von Capgemini Invent unterstützen wir Organisationen dabei, den Verhaltenskodex (Code of Practice, CoP) schnell und effektiv in Ihre Abläufe zu integrieren – um Innovation zu sichern und gleichzeitig gesetzeskonform zu handeln.

Warum GPAI-Compliance für alle relevant ist

General Purpose AI (GPAI) bezeichnet Modelle, die auf extrem großen Datensätzen trainiert wurden und eine Vielzahl von Aufgaben erfüllen können – oft ohne spezifische Anpassung an eine bestimmte Anwendung. Dazu zählen Foundation Models wie große Sprachmodelle (LLMs), multimodale Systeme und andere skalierbare Architekturen, die Chatbots oder Entscheidungsunterstützungssysteme antreiben.

Beispiele für GPAI-Modelle (und ihre Anbieter) sind:

• Claude (Anthropic)
• GPT (OpenAI)
• Gemini (Google)
• Mistral (Mistral AI) 
• Llama (Meta)  
• DeepSeek (gleichnamiges Unternehmen) 

Am 10. Juli 2025 hat die Europäische Kommission ein wegweisendes Dokument vorgestellt: den Verhaltenskodex (CoP) für GPAI. Der Kodex ist freiwillig, aber strategisch bedeutsam – er soll GPAI-Anbietern helfen, frühzeitig die Einhaltung des EU AI Act nachzuweisen.

Obwohl der CoP primär auf GPAI-Anbieter abzielt, betrifft er auch alle Unternehmen und Institutionen, die GPAI-Modelle integrieren, finetunen oder darauf basierende Dienste entwickeln. Sie sind Teil der KI-Wertschöpfungskette und sollten sich der Risiken und Verantwortlichkeiten bewusst sein. Der CoP bietet ein Rahmenwerk für Compliance sowohl „upstream“ als auch „downstream“. Die Zusammenarbeit mit CoP-Unterzeichnern kann rechtliche Risiken senken, Vertrauen stärken und bei Vorfällen oder Ausfällen Kontinuität sichern. Kurz gesagt: Der CoP ist nicht nur ein Governance-Werkzeug für GPAI-Anbieter, sondern ein strategisches Schutzinstrument für alle GPAI-Nutzer.

Der Verhaltenskodex als neues Kapitel der KI-Governance

Der CoP hilft GPAI-Anbietern, robuste Compliance-Strukturen aufzubauen. Er wurde in einem offenen, mehrstufigen Konsultationsprozess mit über 1.000 Stakeholdern aus Industrie, Wissenschaft und Zivilgesellschaft entwickelt. Wer diesen Rahmen frühzeitig versteht, kann rechtliche Risiken minimieren und sich als vertrauenswürdiger Akteur im regulatorischen Umfeld positionieren.

GPAI: Definition und Aufsicht

Laut Artikel 3(63) des AI Act ist ein GPAI-Modell durch „signifikante Generalität“ gekennzeichnet – also die Fähigkeit, eine Vielzahl unterschiedlicher Aufgaben kompetent zu erfüllen und in verschiedene Systeme oder Anwendungen integriert zu werden. In der Praxis handelt es sich meist um großskalige generative oder Foundation-Modelle mit mindestens einer Milliarde Parametern, die auf riesigen Datensätzen mittels selbstüberwachtem Lernen trainiert wurden. Sie dienen als vielseitige Bausteine für eine breite Palette adaptiver Anwendungen.

Was ist der Verhaltenskodex?

Rechtlich gesehen ist der CoP ein „Soft-Law“-Instrument: Er schafft keine neuen bindenden Verpflichtungen über die des AI Act hinaus. Dennoch wurde er offiziell von der Europäischen Kommission und den Mitgliedstaaten validiert und besitzt daher erhebliches politisches und regulatorisches Gewicht.

Die drei Kapitel – Transparenz, Urheberrecht sowie Sicherheit & Schutz – übersetzen zentrale Anforderungen des AI Act in konkrete Maßnahmen für GPAI-Anbieter und deren Partner. Die Unterzeichnung des CoP signalisiert regulatorische Kooperation und kann von Behörden als Nachweis „angemessener Maßnahmen“ gewertet werden – was sich positiv auf die behördliche Bewertung auswirken kann. Für viele Organisationen bietet der CoP einen anerkannten Weg zur Compliance und stärkt das Vertrauen bei Regulierungsbehörden und Stakeholdern.

Zeitplan

Seit dem 2. August 2025 gelten die GPAI-Vorgaben des AI Act für neue Modelle auf dem EU-Markt. CoP-Unterzeichner sollen sofort mit der Umsetzung beginnen, aber die formale Durchsetzung – inklusive Bußgelder – startet erst im August 2026. Diese einjährige Übergangsphase dient als „Safe Harbour Light“: Sie hebt rechtliche Verpflichtungen nicht auf, schützt aber Unterzeichner, die in gutem Glauben handeln, vor sofortigen Sanktionen.

Dieses Zeitfenster bietet eine strategische Chance für Vorreiter, Best Practices zu gestalten, Standards zu beeinflussen und Vertrauen aufzubauen. Wie Henna Virkkunen, Executive Vice-President für Tech-Souveränität, Sicherheit und Demokratie, treffend sagte:

„Die Unterzeichnung des Kodex sichert einen klaren, kooperativen Weg zur Einhaltung des EU AI Act.“

Henna Virkkunen, Executive Vice-President für Tech-Souveränität, der Europäischen Kommision

Die vollständige Durchsetzung für neue Modelle beginnt im August 2026. GPAI-Modelle, die vor dem 2. August 2025 auf den Markt kamen, müssen bis August 2027 konform sein. Ab diesem Zeitpunkt unterliegen alle GPAI-Modelle den verbindlichen Anforderungen des AI Act, wobei der CoP weiterhin als anerkannter Nachweis für Compliance und regulatorisches Vertrauen gilt.

Fazit: Freiwillig, aber entscheidend

Der GPAI-Verhaltenskodex schlägt eine Brücke zwischen freiwilliger Ausrichtung und verbindlicher Regulierung. Für Anbieter bietet er ein politisch unterstütztes, regulatorisch anerkanntes Rahmenwerk zur frühzeitigen Einhaltung gesetzlicher Vorgaben – mit dem European AI Office als Begleiter und Aufseher. In einer Ära rascher KI-Entwicklung ist er ein praktisches und strategisches Instrument, um technologische Innovation mit Europas rechtlichen und ethischen Standards in Einklang zu bringen – und langfristiges Vertrauen bei Regulierungsbehörden, Partnern und der Öffentlichkeit aufzubauen.

Der nächste Blogpost wird sich mit der Landschaft der Unterzeichner befassen – wer hat unterzeichnet, wer nicht, und was das für das KI-Ökosystem bedeutet.