EU veröffentlicht AI-Code of Conduct

Selbstverpflichtung als Compliance-Instrument: Der EU-Verhaltenskodex für allgemeine KI-Modelle im Lichte des AI Act

Die Regulierung von künstlicher Intelligenz (KI) in der Europäischen Union hat mit dem Inkrafttreten des AI Act einen ersten Schritt zur Rechtssicherheit gebracht. Insbesondere Anbieter sogenannter „General-Purpose AI Models“ – also KI-Modelle mit breiter Einsatzfähigkeit – sehen sich mit komplexen Anforderungen konfrontiert, die sowohl technische als auch rechtliche Dimensionen betreffen. Vor diesem Hintergrund hat die Europäische Kommission einen „Code of Practice for General-Purpose AI Models“ veröffentlicht, der als freiwilliger Verhaltenskodex fungiert und Unternehmen die Möglichkeit bietet, ihre Konformität mit dem AI Act durch eine formalisierte Selbstverpflichtung zu dokumentieren.

Der Verhaltenskodex ist in drei Teile aufgeteilt, Transparenz, Regeln zum Copyright und schließlich Security. Der AI-Code ist weder eine Richtlinie noch eine Verordnung sondern stellt ein „Soft Law“-Instrument dar, das keine unmittelbare Rechtsverbindlichkeit entfaltet, jedoch als Auslegungshilfe und Compliance-Leitfaden dient. Die rechtliche Grundlage ergibt sich aus Artikel 53 und 55 AI Act, die spezifische Pflichten für Anbieter allgemeiner KI-Modelle normieren. Die Unterzeichnung des Kodex durch ein Unternehmen – die sogenannte „Signatory-Erklärung“ – ist freiwillig, kann jedoch als Indiz für die Einhaltung gesetzlicher Anforderungen gewertet werden. Dies ist insbesondere relevant im Rahmen behördlicher Prüfungen durch das AI Office oder nationale Aufsichtsbehörden.

Transparenzpflichten gemäß Artikel 53 Abs. 1 lit. a und b AI Act

Das Transparenzkapitel des Kodex verpflichtet die Signatories zur Erstellung einer umfassenden Modelldokumentation, die technische, funktionale und sicherheitsrelevante Informationen enthält. Diese Dokumentation dient der Information von downstream providers sowie der Aufsichtsbehörde und muss auf Anfrage bereitgestellt werden. Die Inhalte orientieren sich an den Anhängen XI und XII des AI Act und umfassen unter anderem Angaben zur Modellarchitektur, Trainingsdaten, Systemprompts und Einsatzszenarien 

Die Dokumentation muss regelmäßig aktualisiert und für einen Zeitraum von zehn Jahren aufbewahrt werden. Zudem sind Maßnahmen zur Sicherstellung der Qualität, Integrität und Sicherheit der Informationen zu implementieren. Die Vertraulichkeit der Daten ist gemäß Artikel 78 AI Act zu gewährleisten, insbesondere im Hinblick auf Geschäftsgeheimnisse und geistige Eigentumsrechte.

Urheberrechtliche Compliance gemäß Artikel 53 Abs. 1 lit. c AI Act

Das Kapitel zum Urheberrecht konkretisiert die Pflicht zur Einhaltung des EU-Urheberrechts, insbesondere der Richtlinie (EU) 2019/790 über das Urheberrecht im digitalen Binnenmarkt. Die Signatories verpflichten sich, beim Crawling von Webinhalten ausschließlich rechtmäßig zugängliche Inhalte zu verwenden und maschinenlesbare Rechtevorbehalte zu respektieren – etwa durch die Beachtung des Robot Exclusion Protocols (robots.txt) und anderer standardisierter Metadatenformate 

Darüber hinaus müssen technische Schutzmaßnahmen implementiert werden, um die Generierung urheberrechtsverletzender Inhalte durch das KI-Modell zu verhindern. Die Unternehmen sind verpflichtet, eine elektronische Kontaktstelle einzurichten und ein Beschwerdemechanismus für Rechteinhaber vorzuhalten. Diese Maßnahmen dienen der Risikominimierung und der Einhaltung der präventiven Schutzmechanismen des EU-Urheberrechts.

Sicherheitsanforderungen gemäß Artikel 55 AI Act

Das Sicherheitskapitel richtet sich insbesondere an Anbieter von KI-Modellen mit systemischem Risiko. Es verlangt die Implementierung eines Sicherheits- und Risikomanagementrahmens, der den gesamten Lebenszyklus des Modells umfasst – von der Entwicklung über die Markteinführung bis zur Nachmarktüberwachung 

Die Unternehmen müssen systemische Risiken identifizieren, analysieren und bewerten sowie geeignete Sicherheits- und Schutzmaßnahmen ergreifen. Dazu zählen unter anderem:

• Schutz der Modellparameter vor unbefugtem Zugriff,
• Einrichtung von Meldewegen für Sicherheitsvorfälle,
• Durchführung externer Sicherheitsprüfungen,
• Implementierung von Sicherheitszielen und -protokollen,
• Dokumentation und Berichterstattung gegenüber dem AI Office.

Die Einhaltung dieser Maßnahmen wird durch regelmäßige Berichte dokumentiert, die dem AI Office zur Verfügung gestellt werden müssen. Die Unternehmen sind zudem verpflichtet, bei schwerwiegenden Vorfällen wie Cyberangriffen oder Datenschutzverletzungen innerhalb definierter Fristen zu berichten.

Verhältnis zur behördlichen Aufsicht und Sanktionen

Obwohl die Selbstverpflichtung keine unmittelbare Rechtsverbindlichkeit entfaltet, kann sie im Rahmen der behördlichen Aufsicht eine erhebliche Rolle spielen. Das AI Office ist befugt, Informationen anzufordern und die Einhaltung der Verpflichtungen zu prüfen. Bei Verstößen gegen die gesetzlichen Anforderungen des AI Act können Sanktionen verhängt werden – etwa Bußgelder oder Marktverbote. Die Selbstverpflichtung kann in solchen Fällen als mildernder Umstand gewertet werden, sofern sie glaubhaft und nachweislich umgesetzt wurde.

Der EU-Verhaltenskodex für allgemeine KI-Modelle stellt ein innovatives Instrument dar, das die regulatorische Landschaft im Bereich der künstlichen Intelligenz maßgeblich prägt. Er verbindet rechtliche Anforderungen mit praktischen Umsetzungshilfen und fördert eine Kultur der Selbstverantwortung und Transparenz. Für Unternehmen bietet die Selbstverpflichtung nicht nur einen strukturierten Rahmen zur Einhaltung gesetzlicher Vorgaben, sondern auch eine Möglichkeit zur strategischen Positionierung im Markt.

Gleichwohl bleibt die Herausforderung bestehen, die Maßnahmen des Kodex in der Praxis umzusetzen und mit den nationalen Rechtsordnungen zu harmonisieren. Die rechtliche Bewertung der Selbstverpflichtung wird maßgeblich davon abhängen, wie Gerichte und Behörden die Erklärung im Kontext des AI Act interpretieren und welche Maßstäbe sie an die tatsächliche Umsetzung anlegen.

Form und Inhalt der Selbstverpflichtung

Die Selbstverpflichtung erfolgt durch eine formale Erklärung gegenüber dem AI Office, in der das Unternehmen bestätigt, die im Kodex enthaltenen Maßnahmen umzusetzen. Diese Erklärung ist nicht öffentlich-rechtlich bindend, entfaltet jedoch faktische Wirkung im Sinne einer „Selbstbindung“ und kann in behördlichen oder gerichtlichen Verfahren als entlastendes Element herangezogen werden. Die Erklärung umfasst mehrere Kapitel, die jeweils konkrete Maßnahmen zur Umsetzung der gesetzlichen Pflichten enthalten.

Unternehmen in der Europäischen Union können sich durch eine von der EU bereitgestellte Erklärung zur Einhaltung des Verhaltenskodex für allgemeine KI-Modelle selbstverpflichten. Diese Erklärung stellt ein wirksames Instrument zur Demonstration von Compliance dar, stärkt die interne Governance und schafft Vertrauen bei Behörden, Geschäftspartnern und der Öffentlichkeit. Sie ist Ausdruck einer modernen, kooperativen Regulierungskultur, die auf Transparenz, Verantwortung und Innovation setzt.