Code of Practice für allgemeine KI-Modelle veröffentlicht: Compliance wird klarer (Teilnahme bleibt optional)
Am 11. Juli 2025 veröffentlichte die Europäische Kommission die endgültige Version ihres Code of Practice für allgemeine Künstliche Intelligenz (GPAI). Dieser Code soll als Werkzeug für Anbieter von GPAI-Modellen dienen und ihnen helfen, die Anforderungen an Transparenz, Urheberrecht und Sicherheit gemäß dem AI Act (Artikel 53 und 55) einzuhalten, der am 2. August 2025 in Kraft tritt. Die Einhaltung des Codes erfolgt auf freiwilliger Basis.
Der Code of Practice wurde von unabhängigen Experten im Rahmen eines Multi-Stakeholder-Prozesses entwickelt und gliedert sich in drei Kapitel: (i) Transparenz, (ii) Urheberrecht und (iii) Sicherheit und Schutz. Letzteres Kapitel richtet sich an Anbieter von GPAI-Modellen, die ein systemisches Risiko darstellen, und wird in diesem Bericht nicht behandelt.
Kapitel 1: Transparenz
Anbieter von GPAI-Modellen unterliegen den in Artikel 53(1)(a) und (b) des AI Act festgelegten Transparenzpflichten. Sie sind verpflichtet, Dokumentationen über das Funktionieren ihrer GPAI-Modelle zu erstellen und zu aktualisieren und diese Informationen der AI Office, den nationalen Behörden und den nachgelagerten Anbietern von KI-Systemen, die ihre GPAI-Modelle nutzen, zur Verfügung zu stellen. Neben den Vorgaben in den Anhängen XI und XII des AI Act können Anbieter nun auch dem Kapitel Transparenz des Code of Practice zustimmen. Der Code enthält drei Maßnahmen:
Maßnahme 1.1 – Erstellung und Pflege aktueller Moduldokumentationen
Gemäß dem AI Act müssen Anbieter von GPAI-Modellen Dokumentationen erstellen und aktualisieren, die unter anderem die Aufgaben, die das GPAI-Modell erfüllen kann, die Art und den Charakter der KI-Systeme, in die es integriert werden kann, akzeptable Nutzungspolitiken sowie technische Informationen (Architektur, Parameter, Eingangs- und Ausgangsformate) abdecken. Die Verpflichtungen variieren leicht, je nachdem, ob die Dokumentation für die AI Office und die nationalen Behörden (Anhang XI) oder die nachgelagerten Anbieter (Anhang XII) bestimmt ist.
Das konkretste Ergebnis des Code of Practice ist das Model Documentation Form. Dieses Formular enthält die minimalen Informationen, die Anbieter von GPAI-Modellen bereitstellen müssen, und sie „können wählen“, das Formular auszufüllen, um dieser Verpflichtung nachzukommen.
Maßnahme 1.2 – Bereitstellung relevanter Informationen
Anbieter von GPAI-Modellen müssen Kontaktinformationen öffentlich über ihre Website oder durch „andere geeignete Mittel“ offenlegen, damit die AI Office und nachgelagerte Anbieter Zugang zu relevanten Informationen anfordern können. Das Model Documentation Form erinnert den Anbieter daran, dass die Informationen den nachgelagerten Anbietern proaktiv bereitgestellt werden müssen, während die Informationen für die AI Office auf Anfrage verfügbar gemacht werden müssen.
Maßnahme 2.3 – Gewährleistung der Qualität, Integrität und Sicherheit der Informationen
Unterzeichnende Anbieter von GPAI-Modellen bleiben verantwortlich für die Qualität und Integrität der dokumentierten Informationen, die als Nachweis für die Einhaltung des AI Act dienen. Sie werden ermutigt, die Qualität und Sicherheit der Informationen durch die Einhaltung „etablierter Protokolle und technischer Standards“ sicherzustellen.
Kapitel 2: Urheberrecht
Der AI Act enthält ausdrückliche Verweise auf das „Unionsrecht über Urheberrecht und verwandte Schutzrechte“. Die Wechselwirkungen zwischen den regulatorischen Verpflichtungen im AI Act und dem Urheberrecht (auf EU-Ebene harmonisiert, aber im Wesentlichen weiterhin durch nationales Recht geregelt) sind komplex, nicht zuletzt aufgrund der extraterritorialen Wirkung des AI Act.
Das Kapitel Urheberrecht des Code of Practice bietet Leitlinien für die ordnungsgemäße Anwendung der Verpflichtung der Anbieter von GPAI-Modellen, eine „Politik zur Einhaltung des Unionsrechts über Urheberrecht und verwandte Schutzrechte“ zu schaffen, insbesondere in Bezug auf die Ausnahme für Text- und Datenmining und die „Opt-out“-Klausel in Artikel 4(3) der Richtlinie 2019/790 (Artikel 53(1)(c) des AI Act). Die Verpflichtung, Informationen über die Inhalte offen zu legen, die zum Trainieren der GPAI-Modelle verwendet wurden, wird im Code of Practice nicht behandelt.
Maßnahme 1.1 – Erstellung, Aktualisierung und Umsetzung einer Urheberrechtspolitik
Gemäß dem Code of Practice sollten Anbieter von GPAI-Modellen eine Urheberrechtspolitik „erstellen, auf dem neuesten Stand halten und umsetzen“, die sie in einem einzigen Dokument beschreiben. Es wird empfohlen (aber nicht gefordert), eine Zusammenfassung der Politik öffentlich zugänglich zu machen.
Maßnahme 1.2 – Nur rechtlich zugängliche urheberrechtlich geschützte Inhalte reproduzieren und extrahieren
Anbieter von GPAI-Modellen, die Web-Crawler zur Sammlung von Trainingsdaten verwenden, sind verpflichtet, sich zu verpflichten, keine „effektiven“ technischen Schutzmaßnahmen zu umgehen (wie in Artikel 6(3) der Richtlinie 2001/29 vorgesehen) und Websites auszuschließen, die bekannt dafür sind, „anhaltend und wiederholt“ Urheberrechte in großem Umfang zu verletzen.
Maßnahme 1.3 – Identifizierung und Einhaltung von Rechten bei der Verwendung von Web-Crawlern
Web-Crawler, die von den Anbietern von GPAI-Modellen (direkt oder indirekt) verwendet werden, müssen die maschinenlesbaren Rechte gemäß Artikel 4(3) der Richtlinie 2019/790 beachten. Der Code of Practice erwähnt nun ausdrücklich das Robot Exclusion Protocol (robots.txt) als zu beachtendes Protokoll.
Maßnahme 1.4 – Minderung des Risikos urheberrechtsverletzender Ausgaben
Anbieter von GPAI-Modellen sind verpflichtet, „angemessene und verhältnismäßige technische Schutzmaßnahmen“ zu ergreifen, um urheberrechtsverletzende Ausgaben zu verhindern und die urheberrechtsverletzende Nutzung durch die Nutzer in der „Akzeptablen Nutzungspolitik“ zu untersagen.
Maßnahme 1.5 – Benennung eines Ansprechpartners und Einrichtung eines Beschwerdemechanismus
Abschließend verpflichten sich die Unterzeichner, einen Ansprechpartner für die elektronische Kommunikation mit betroffenen Rechteinhabern zu benennen und einen Mechanismus zur Bearbeitung von Beschwerden über die Nichteinhaltung der Verpflichtungen im Urheberrechtskapitel des Code of Practice einzurichten.
Fazit
Mit diesem Code of Practice drängt die Kommission die Anbieter von GPAI-Modellen, die Anforderungen des AI Act auf praktische Weise einzuhalten, ohne jedoch die rechtlichen Unsicherheiten hinsichtlich der Auslegung des AI Act zu beseitigen. Der Code of Practice betont zu Recht, dass letztendlich nur die Auslegung des Europäischen Gerichtshofs bindend ist.
Obwohl das Model Documentation Form potenziell ein nützliches praktisches Werkzeug ist, besteht möglicherweise ein noch dringlicherer Bedarf an Antworten auf komplexe Fragen zu den Wechselwirkungen zwischen dem AI Act und dem EU- sowie nationalen Urheberrecht.
Da die Einhaltung des Code of Practice freiwillig ist und die Vorteile einer Verpflichtung nicht garantiert sind, bleibt abzuwarten, ob er einen bedeutenden Einfluss auf das Funktionieren des Binnenmarktes, die Einführung von menschenzentrierter und vertrauenswürdiger KI sowie auf den hohen Schutz von Gesundheit, Sicherheit und grundlegenden Rechten, die in der EU-Charta verankert sind, haben wird.
