Zurück zur Übersicht
18.07.2025 Fachbeitrag

AI-Act: Neue regulatorische Leitlinie für KI mit allgemeinem Verwendungszweck der EU-Kommission in der Diskussion

Update IP, Media & Technology Nr. 124

Am 2. August 2025 treten die Vorschriften der KI-Verordnung (AI-Act) für KIs mit allgemeinen Verwendungszwecken in Kraft. Kurz hiervor veröffentlichte die Europäische Kommission am 10. Juli 2025 den „General Purpose AI Code of Practice“ (GPAI-CoP), den Verhaltenskodex für KI mit allgemeinem Verwendungszweck. Diese Leitlinie und freiwilliger Verhaltenskodex für Unternehmen im Bereich der künstlichen Intelligenz hat das Ziel, Anforderungen des AI-Acts für General Purpose AI (GPAI) praxisnah und rechtssicher umzusetzen.

Ziel und Aufbau des Kodex

Der GPAI- CoP unterstützt die Umsetzung der Artikel 53 und 55 des AI-Acts und gliedert sich in drei zentrale Themenbereiche:

  • Transparenz
  • Urheberrecht
  • Sicherheit und Gefahrenabwehr

Diese drei Kapitel enthalten konkrete Bestimmungen zur Dokumentation, Rechtskonformität und Risikovermeidung bei der Entwicklung und dem Betrieb von GPAI-Modellen. Die Kapitel über Transparenz und Urheberrecht sollen es Anbietern von allgemein nutzbaren KI-Modellen ermöglichen, ihre Verpflichtungen gemäß Artikel 53 des AI-Acts zu dokumentieren.

Die Kapitel zu Sicherheit und Gefahrenabwehr sind ausschließlich relevant für Anbieter fortschrittlicher Modelle mit Systemrisiko, die unter Artikel 55 des AI-Acts fallen.

Transparenz

Zentrales Element des Kapitels ist ein standardisiertes Dokumentationsformular, das Anbieter regelmäßig pflegen und gegenüber Regulierungsbehörden vorlegen sollen. Es verlangt Angaben zu Modellarchitektur, Energieverbrauch, Herkunft und Auswahl der Trainingsdaten, zugelassenen Einsatzszenarien sowie zu bewerteten Risiken. Neben dem regulatorischen Zweck soll die Transparenzpflicht auch eine vertrauensbildende Funktion gegenüber Endnutzern und Partnerunternehmen erfüllen.

Urheberrecht

Darüber hinaus umfasst der Kodex die Verpflichtung, urheberrechtlich sensible Inhalte mit besonderer Sorgfalt zu behandeln. Dazu gehört der Verzicht auf die Nutzung illegaler Quellen, das Beachten technischer Opt-out-Signale sowie die Einrichtung effektiver Kontrollmechanismen zur Vermeidung rechtswidriger Outputs. Zudem sollen Beschwerdewege für Rechteinhaber etabliert werden.

Sicherheit und Gefahrenabwehr

Für KI-Systeme mit hohem Verbreitungsgrad oder besonderem Gefahrenpotenzial und damit für einen kleinen Kreis von KI-Modellen sieht der GPAI-CoP spezifische Verpflichtungen vor. Diese umfassen neben Sicherheitsberichten mit Szenarienanalyse und Risikobewertung entlang des gesamten Modell-Lebenszyklus, Meldepflichten bei sicherheitsrelevanten Vorfällen. Die „open-ended risk identification“ verpflichtet Anbieter ferner dazu, auch potenzielle, bislang unbekannte Risiken kontinuierlich zu identifizieren und zu dokumentieren.

Die Bewertung der Risiken soll mindestens alle sechs Monate in einem Bericht der EU-Kommission mitgeteilt werden.

Rechtliche Wirkung und praktische Relevanz

Anbieter können sich freiwillig dem GPAI-CoP unterwerfen. Der Kodex entfaltet dabei keine unmittelbare Rechtswirkung, kann aber als Nachweis für die Einhaltung der AI-Act-Vorgaben herangezogen werden. Anbieter, die den Kodex unterzeichnen, profitieren von regulatorischen Vereinfachungen von einem geringeren Prüfaufwand. Wer sich gegen eine Unterzeichnung entscheidet, kann die Einhaltung des AI-Acts durch andere Methoden nachweisen. Dafür müssen aber eigene Strukturen zur Rechtskonformität zum AI-Act aufgebaut und deren Wirksamkeit transparent belegt werden. Dies kann insbesondere für kleinere Anbieter mit begrenzten Ressourcen herausfordernd sein. Wer auf eine Unterzeichnung verzichtet, muss sich darüber hinaus auf verstärkte Anfragen seitens der Kommission einstellen. Die Einhaltung des AI-Acts wird dabei vom neu eingerichteten „AI Office“ innerhalb der EU-Kommission kontrolliert.

Reaktionen und Kontroversen

Die Resonanz auf die neue KI-Leitlinie ist kontrovers. Während einzelne Branchenverbände den Kodex grundsätzlich begrüßen, äußern andere Kritik an der mangelnden technischen Klarheit und dem hohen Dokumentationsaufwand. Sowohl der AI-Act wie auch der GPAI-CoP nähmen in ihrer aktuellen Form zu wenig Rücksicht auf die technische Realität. Besonders kleinere Unternehmen sehen sich dadurch vor Herausforderungen gestellt, da die Anforderungen ambitioniert und nur bedingt praxistauglich seien. Darüber hinaus seien die Anforderungen zu abstrakt und schwer in bestehende Prozesse integrierbar und klare Vorgaben würden weiterhin fehlen.

Ein weiterer Kritikpunkt betrifft die fehlende Differenzierung zwischen verschiedenen Arten von KI-Systemen. Die Regelungen behandelten generative KI, klassische Machine-Learning-Modelle und andere Technologien oft gleich, obwohl sie unterschiedliche Risiken und Einsatzkontexte hätten. Dies führe zu Unsicherheit bei der Umsetzung und zu einem Gefühl der Überregulierung.

Zudem wird die Rolle großer US-amerikanischer Tech-Konzerne kritisch gesehen. Einige zivilgesellschaftliche Organisationen befürchten, dass deren Einfluss auf die Ausgestaltung des Kodex zu Lasten europäischer Interessen und Standards gehe. Daher seien stärkere Schutzmechanismen für betroffene Personen, eine klare Regulierung von generativen KI-Systemen und eine Ausweitung der Rechte von Whistleblowern notwendig.

Im Hinblick auf Kapitel 3, das sich mit dem Urheberrecht und dem Schutz kreativer Leistungen beschäftigt, bestehen Zweifel daran, ob die vorgesehenen Maßnahmen ausreichen, um den Schutz individueller kreativer Arbeiten sicherzustellen. Die Anforderungen zur Kennzeichnung und Rückverfolgbarkeit von KI-generierten Inhalten gelten als technisch schwer umsetzbar und werfen rechtliche Fragen auf. Viele Unternehmen empfinden die darin enthaltenen Vorgaben als komplex und kaum praktikabel, da klare Standards und unterstützende Werkzeuge bislang fehlten.

Auf der anderen Seite wird von Branchenvertreterinnen und -vertretern davor gewarnt, dass übermäßige regulatorische Anforderungen an KI-Partner aus den USA die Innovationskraft gefährden könnten, die für die eigenen Lösungen der europäischen Unternehmen essenziell seien. Die Regulierung solle die Wettbewerbsfähigkeit Europas im Bereich industrieller KI fördern statt behindern. Viele der vorgesehenen Maßnahmen gingen über die eigentlichen Ziele des AI-Acts hinaus.

Darüber hinaus wird der Zeitplan für die Umsetzung des AI-Acts angezweifelt. Ab August 2025 treten die Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck in Kraft. Ab August 2026 sollen dann die meisten Vorschriften des AI-Acts vollständig anwendbar sein. Dies wird von Vertretern aus der Industrie als unrealistisch eingeschätzt. Teilweise wird gefordert, den gesamten AI-Act auszusetzen, da dieser in seiner jetzigen Form noch nicht praktikabel sei. Auch empfahlen 44 europäische Unternehmenschefinnen und -chefs öffentlich, die Umsetzung des AI-Acts um zwei Jahre zu verschieben, um eine realistische und praxisnahe Implementierung zu ermöglichen. Auch die aktuelle Bundesregierung um Friedrich Merz scheint sich für einen Aufschub der EU-Regulierung einsetzen zu wollen.

Fazit

Mit dem GPAI-CoP möchte die Europäische Kommission eine praxisorientierte Leitlinie, die Unternehmen bei der Umsetzung der Anforderungen des AI-Acts für KI-Modelle mit allgemeinem Verwendungszweck unterstützen soll, schaffen. In der Praxis bringt diese aber große Herausforderungen mit sich. Befürchtungen vor technischen Unklarheiten, hohem Dokumentationsaufwand und fehlender Differenzierung zwischen KI-Systemen sowie die Sorge um den Einfluss internationaler Technologiekonzerne verdeutlichen aber, dass die Resonanz aus der Wirtschaft auf das Regelwerk noch von großer Unsicherheit geprägt ist. Hier wird sich zeigen, ob die EU-Kommission noch einmal nachbessern muss.
 

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dominik Eickemeier
Köln

Ansprechpartner

Dominik Eickemeier
Köln

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
02.12.2025
Wettbewerbszentrale klagt erneut gegen Amazon – Welche Auswirkungen könnte dies auf die Plattformhaftung haben?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Eine neue Facette im Coaching-Recht: Ist die Nichtigkeit von Coaching-Verträgen verfassungswidrig?
13.11.2025
GEMA gegen OpenAI: Wegweisendes Urteil zu KI-Sprachmodellen und Urheberrecht
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
15.10.2025
Mehr Transparenz, mehr Verantwortung: Die neue EU-Verordnung 2024/900 und ihre Folgen für politische Werbung
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
25.09.2025
Patent Mediation and Arbitration Centre (PMAC) – Alternative Streitbeilegung im Patentrecht
24.09.2025
Neuer Referentenentwurf zur Durchführung der KI-Verordnung
22.09.2025
Richtungsweisendes EuGH-Urteil zur Pseudonymisierung personenbezogener Daten

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.