Am 2. August 2025 beginnt eine neue Etappe der europäischen KI-Regulierung: Die Vorschriften des AI Acts zur sogenannten General-Purpose Artificial Intelligence (GPAI) treten in Kraft. Gemeint sind damit KI-Modelle, die nicht für einen spezifischen Zweck trainiert wurden, sondern grundsätzlich in verschiedensten Anwendungen eingesetzt werden können – etwa Sprachmodelle wie ChatGPT oder Bildgeneratoren wie DALL-E.
Die Europäische Kommission verfolgt mit ihrer Regulierung ein ambivalentes Ziel: Einerseits soll Innovation ermöglicht und technologische Souveränität gestärkt, andererseits sollen Risiken für Grundrechte, Sicherheit und demokratische Ordnung minimiert werden. Der nun veröffentlichte Verhaltenskodex (Code of Practice) und die Leitlinien zur Auslegung der GPAI-Pflichten zeigen exemplarisch, wie komplex dieses Spannungsfeld ist – und wie sehr die praktische Umsetzung noch in der Schwebe hängt.
Der rechtliche Rahmen: Kapitel V des AI Act
Der AI Act unterscheidet zwischen GPAI-Modellen mit und ohne sogenanntem „systemic risk“. Die Basisanforderungen für alle GPAI-Modelle finden sich in Artikel 53, während Artikel 55 weitergehende Pflichten für solche Modelle vorsieht, die ein systemisches Risiko darstellen – etwa aufgrund ihrer potenziell weitreichenden gesellschaftlichen Wirkungen oder ihrer Fähigkeit zur autonomen Generierung komplexer Inhalte.
Zu den zentralen Verpflichtungen gehören unter anderem:
- die Offenlegung von Trainingsdaten,
- der Nachweis der Vereinbarkeit mit dem Urheberrecht,
- Maßnahmen zur Gefahrenabwehr bei problematischen Outputs.
Diese Pflichten gelten unmittelbar ab August 2025 und betreffen alle Anbieter, die solche Modelle im Binnenmarkt in Verkehr bringen – unabhängig davon, ob sie in der EU ansässig sind.
Der Code of Practice: Politisches Signal und praktisches Werkzeug
Flankiert wird der AI Act von einem umfangreichen Code of Practice für General-Purpose AI-Modelle, der auf freiwilliger Basis angewendet werden kann. Er dient als Indikator für rechtskonformes Verhalten und soll insbesondere kleineren Anbietern ein praktisches Instrument bieten, um regulatorische Anforderungen umzusetzen.
Der Kodex gliedert sich in drei Kapitel, die jeweils eigene Herausforderungen adressieren:
1. Transparenz:
Anbieter müssen ein standardisiertes Dokumentationsformat führen, in dem unter anderem die Modellarchitektur, die Herkunft und Auswahl der Trainingsdaten sowie erlaubte Nutzungsszenarien angegeben werden. Diese Form der Selbstoffenlegung dient nicht nur der Regulierungsaufsicht, sondern auch dem Vertrauensaufbau gegenüber Endnutzern und Geschäftspartnern.
2. Urheberrecht:
In einem der heikelsten Bereiche verpflichtet der Kodex zur aktiven Beachtung von Rechtevorbehalten (insb. nach Art. 4(3) der DSM-Richtlinie 2019/790) – etwa durch das Auslesen von robots.txt-Dateien oder durch maschinenlesbare Metadaten. Gleichzeitig sollen technologische Vorkehrungen getroffen werden, um urheberrechtsverletzende Outputs zu verhindern. Die Verpflichtungen greifen tief in die Architektur und die Trainingsmethoden der Modelle ein.
3. Sicherheit und Gefahrenabwehr:
Für Modelle mit systemischem Risiko sind weitergehende Pflichten vorgesehen, etwa zur regelmäßigen Risikoanalyse, zur Etablierung interner Meldewege bei Zwischenfällen und zur offenen Identifikation auch bislang unbekannter Risiken (open-ended risk identification). Diese Maßnahmen zielen darauf, proaktiv auf etwaige Fehlentwicklungen zu reagieren – von Desinformation über Missbrauchspotenzial bis hin zu Sicherheitsrisiken im kritischen Infrastrukturbereich.
Leitlinien der Kommission: Definitionen, Konkretisierungen, Lücken
Parallel zum Kodex hat die Europäische Kommission auch Leitlinien zur Auslegung der GPAI-Vorschriften veröffentlicht. Diese stellen klar, was genau unter einem „GPAI-Modell“ zu verstehen ist, wie der Begriff des „Inverkehrbringens“ auszulegen ist und wie etwa Rechenressourcen zu quantifizieren sind – ein zentrales Kriterium zur Bestimmung, ob ein Modell als systemisch riskant gilt.
Die Leitlinien betonen zudem die Rolle des neu geschaffenen AI Office, das künftig für die Aufsicht und Prüfung der Konformität zuständig sein wird. Dieses soll auch Templates bereitstellen – etwa für Transparenzberichte, die strukturierte Zusammenfassungen der verwendeten Trainingsdaten enthalten.
Gleichzeitig bleiben viele Fragen offen: Wie genau Rechenkapazitäten gemessen werden sollen, bleibt vage. Auch die Abgrenzung von GPAI zu multimodalen oder domänenspezifischen KI-Modellen ist nicht eindeutig geregelt. Ebenso unklar ist, wie mit Modellen umzugehen ist, die durch „fine-tuning“ auf spezifische Aufgaben weiterentwickelt wurden – gelten sie dann noch als GPAI oder nicht?
Kritik und Realitätsschock
In der Praxis stoßen Kodex und Leitlinien wohl auf ein geteiltes Echo: Während einige Branchenverbände den Versuch der Kommission loben, frühzeitig Orientierung zu schaffen, äußern viele Unternehmen – insbesondere KMU – massive Bedenken. Der dokumentarische Aufwand, die technischen Anforderungen an die Erkennung urheberrechtlicher Vorbehalte sowie die Unsicherheit bei der Einordnung von Modellen gelten als erhebliche Hürden. Auch die inhaltliche Gleichbehandlung sehr unterschiedlicher KI-Architekturen wird kritisiert – etwa wenn einfache ML-Modelle denselben Pflichten unterliegen wie komplexe generative Transformer.
Gleichzeitig wächst die Sorge, dass große US-amerikanische Konzerne mit ihrer faktischen Marktmacht die Standards de facto mitbestimmen, während europäische Anbieter regulatorisch ausgebremst werden. Der Ruf nach Technologischer Souveränität klingt vielerorts hohl, wenn die praktische Umsetzung in komplexen Compliance-Strukturen zu ersticken droht.
Mehr als 40 europäische Top-Manager forderten zuletzt eine zweijährige Verschiebung der GPAI-Vorgaben – mit dem Argument, die Regulierung sei in ihrer jetzigen Form schlichtweg nicht umsetzbar. Auch die Bundesregierung, nun unter der Führung von Friedrich Merz, signalisiert laut Medienberichten, dass sie sich für eine Verzögerung einsetzen werde.
Ob der Verhaltenskodex und die Leitlinien tatsächlich zu einer rechtssicheren, praktikablen und innovationsfördernden Umsetzung führen – oder ob sie in der Praxis als Bürokratiemonster wahrgenommen werden –, wird sich in den kommenden Monaten zeigen. Fest steht: Die europäische KI-Politik steht an einem Scheideweg. Und sie wird sich daran messen lassen müssen, ob sie mehr ermöglicht als verhindert.
Ausblick
Die Regulierung von General-Purpose AI steht exemplarisch für die Gratwanderung zwischen Zukunftsgestaltung und Kontrollanspruch. Der AI Act und seine flankierenden Dokumente markieren einen bedeutsamen Versuch, der technologischen Entwicklung einen menschenzentrierten Rahmen zu geben. Doch dieser Versuch droht an der Realität der technischen Vielfalt, der wirtschaftlichen Kräfteverhältnisse und der Geschwindigkeit der Entwicklung zu scheitern.
Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.
- Digitale Beweismittel - 18. Januar 2026
- Verhaltensbedingte Kündigung wegen gelöschter Katzenfotos - 18. Januar 2026
- Cyber, KI und Lieferketten: Die wichtigsten Geschäftsrisiken 2026 im Überblick - 18. Januar 2026
