EU KI-Verordnung 2025: Kritische Analyse des AI Act Code of Practice

Der EU AI Act Code of Practice für General-Purpose AI (GPAI) wurde am 10. Juli 2025 von der EU-Kommission veröffentlicht. Er bietet GPAI-Anbietern einen freiwilligen Rahmen, um die Konformität mit den Artikeln 53 und 55 des AI Act nachzuweisen. Die Einhaltung des Code ermöglicht eine „Vermutung der Konformität“ — Unternehmen, die den Code unterzeichnen, gelten als gesetzeskonform und profitieren von geringerem Verwaltungsaufwand bei Audits.

Dieser Artikel analysiert kritisch die drei Säulen des Code of Practice, die Kontroversen um seinen Entstehungsprozess, die praktischen Auswirkungen für Unternehmen und die Frage, ob der Code seine Ziele tatsächlich erreichen kann.

Die drei Säulen des Code of Practice

1. Transparenz

Der Code fordert von GPAI-Anbietern detaillierte Offenlegung: technische Dokumentation der Modellarchitektur, Trainingsdaten und -methodik, Evaluierungsergebnisse, bekannte Risiken und Einschränkungen, und Informationen für nachgelagerte Anbieter, die das Modell integrieren. Die Transparenzanforderungen gehen über bisherige freiwillige Praktiken hinaus, bleiben aber hinter den Forderungen zivilgesellschaftlicher Organisationen zurück, die eine vollständige Offenlegung der Trainingsdaten fordern.

2. Urheberrecht

Der Code adressiert die Schnittstelle zwischen KI-Training und Urheberrecht — eine der umstrittensten Fragen im AI Act. GPAI-Anbieter müssen: detaillierte Zusammenfassungen ihrer Trainingsdaten bereitstellen, Opt-out-Mechanismen für Rechteinhaber respektieren (gemäß der DSM-Richtlinie), und Verfahren für Beschwerden von Rechteinhabern einrichten. Die praktische Umsetzung bleibt unklar, insbesondere bei Modellen, die auf großen Web-Crawl-Datensätzen trainiert wurden.

3. Sicherheit

Für GPAI-Modelle mit systemischem Risiko fordert der Code: robuste Sicherheitsbewertungen vor der Veröffentlichung, Red-Teaming und adversarial Testing, Incident-Response-Prozesse für erkannte Risiken, und Zusammenarbeit mit dem EU AI Office bei der Risikobewertung. Die Sicherheitsanforderungen orientieren sich an internationalen Best Practices (Bletchley Park, Seoul Declaration), lassen den Anbietern aber erheblichen Interpretationsspielraum.

Kritische Analyse: Was funktioniert, was nicht

Stärken des Code

• Rechtssicherheit: Die Konformitätsvermutung gibt Unternehmen Planungssicherheit — wer den Code erfüllt, erfüllt das Gesetz.
• Flexibilität: Der freiwillige Charakter ermöglicht iterative Anpassung an die schnelle KI-Entwicklung.
• Internationale Vorbildfunktion: Als erstes umfassendes KI-Governance-Instrument beeinflusst der Code globale Standards.

Schwächen und Kritik

• Einfluss der Tech-Industrie: Zivilgesellschaftliche Organisationen kritisieren, dass US-Tech-Konzerne überproportionalen Einfluss auf die Ausgestaltung hatten.
• Wettbewerbsbedenken: Europäische Tech-CEOs forderten im Juli 2025 einen zweijährigen Umsetzungsstopp wegen Komplexität und Wettbewerbsnachteilen gegenüber USA und China.
• Vage Formulierungen: Zentrale Begriffe wie „angemessene Sorgfalt“ und „systemisches Risiko“ lassen erheblichen Interpretationsspielraum.
• Urheberrechtsproblematik: Die Trainingsdaten-Zusammenfassungen sind in der Praxis schwer umzusetzen, insbesondere für Foundation Models mit Milliarden von Trainingsbeispielen.
• Fehlende Durchsetzung: Als freiwilliger Code fehlen direkte Sanktionsmechanismen — die Konsequenz bei Nichteinhaltung ist lediglich der Verlust der Konformitätsvermutung.

Praktische Auswirkungen für Unternehmen

Für GPAI-Anbieter: Die Unterzeichnung des Code bietet die sicherste Route zur AI-Act-Konformität für GPAI-Pflichten. Der Aufwand für Dokumentation und Transparenz ist erheblich, aber geringer als der Nachweis der Konformität ohne Code-Unterzeichnung.

Für GPAI-Nutzer (Deployer): Der Code betrifft primär Anbieter, aber Nutzer profitieren indirekt: transparentere Modelldokumentation erleichtert die eigene Risikobewertung und Konformitätsbewertung für Hochrisiko-KI-Systeme.

Für Finanzinstitute: Der Code ergänzt die bestehende Modellrisiko-Governance (MaRisk, EBA EGIM). GPAI-Modelle in Kreditscoring oder Risikobewertung müssen sowohl AI-Act- als auch sektorspezifische Anforderungen erfüllen.

Häufig gestellte Fragen

Ist der Code of Practice verpflichtend?

Nein, der Code ist freiwillig. Seine Einhaltung bietet jedoch eine Konformitätsvermutung mit den GPAI-Pflichten des AI Act — de facto ist er damit der empfohlene Compliance-Weg. Unternehmen, die den Code nicht unterzeichnen, müssen die Konformität auf anderem Weg nachweisen.

Welche Unternehmen haben den Code unterzeichnet?

Google, Microsoft, OpenAI und die meisten großen GPAI-Anbieter haben die Unterzeichnung angekündigt oder vollzogen. Einige europäische Anbieter zögern aufgrund der Urheberrechtsanforderungen und des als übermäßig empfundenen Verwaltungsaufwands.

Was passiert, wenn ich den Code nicht einhalte?

Die Nichteinhaltung des Code selbst hat keine direkten Sanktionen. Der Verlust der Konformitätsvermutung bedeutet jedoch, dass das EU AI Office bei Prüfungen den vollständigen Konformitätsnachweis verlangen kann — ein erheblich aufwendigerer Prozess. Die AI-Act-Sanktionen (bis zu 3% des globalen Umsatzes für GPAI-Verstöße) gelten unabhängig vom Code.

Wie verhält sich der Code zum deutschen Umsetzungsrecht?

Der AI Act gilt als EU-Verordnung direkt in allen Mitgliedstaaten. Der Code ergänzt die Verordnung als Soft-Law-Instrument. Deutschland setzt den AI Act durch die nationale Marktüberwachungsbehörde (voraussichtlich BNetzA) durch, wobei der Code als Referenz für die Konformitätsbewertung dient.