Was passiert ist. Der General-Purpose AI Code of Practice der EU-Kommission liegt in seiner finalen Fassung vor und ist seit Mai 2026 das zentrale Compliance-Instrument für Anbieter sogenannter GPAI-Modelle — also der grossen Allzweck-KI-Modelle, die als Grundlage für viele konkrete Anwendungen dienen. Die EU AI Office hat dafür unabhängige Expertinnen und Experten beauftragt, und das Ergebnis ist ein dreigliedriges Dokument mit den Kapiteln Transparenz, Urheberrecht sowie Sicherheit & Schutz.
Einordnung
Der Code of Practice ist formal freiwillig. Das klingt nach einer Schwäche, ist aber das Gegenteil: Anbieter, die ihn unterzeichnen und einhalten, gelten als compliant gegenüber den entsprechenden GPAI-Verpflichtungen des AI Act. Wer ihn ignoriert, muss die Compliance auf anderem Weg nachweisen — und das ist ungleich aufwendiger. Damit wird der Code zum De-facto-Standard, ohne formal verbindlich zu sein.
Das Transparenz-Kapitel verlangt von GPAI-Anbietern eine detaillierte Modell-Dokumentation: Trainingsdaten-Zusammensetzung (mindestens die ungefähren Quellen-Kategorien), Energieverbrauch, Fähigkeiten und Limitationen, Risikobewertungen. Das Urheberrechts-Kapitel zwingt die Anbieter, eine Policy für Text- und Data-Mining-Opt-Outs zu führen — Rechteinhaber müssen wirksam widersprechen können. Das Sicherheits-Kapitel betrifft vor allem GPAI-Modelle mit systemischem Risiko — die ganz grossen — und schreibt unter anderem Red-Teaming, Incident-Reporting an die EU-Kommission und Modell-Evaluierungen vor.
Was das für die Praxis heisst
Für die meisten europäischen Unternehmen, die KI nutzen, ist der GPAI-Code keine direkte Pflicht — er adressiert die Modell-Anbieter. Aber er verändert das Ökosystem, aus dem deine Werkzeuge kommen. Wenn dein Vendor OpenAI, Anthropic, Google, Mistral, Meta oder ein anderer GPAI-Provider ist, dann gelten ab August 2026 für deinen Vendor die Transparenz-Verpflichtungen. Konkret: deine Compliance-Abteilung kann jetzt Modellkarten und Trainingsdaten-Übersichten verlangen, die früher als Geschäftsgeheimnis behandelt wurden.
Wer KI in Hochrisiko-Anwendungen einsetzt — und das ist in vielen B2B-Kontexten leichter erfüllt, als man denkt — sollte parallel zum eigenen AI-Act-Compliance-Programm prüfen, welcher GPAI-Anbieter den Code of Practice unterzeichnet hat und welcher nicht. Diese Information wird ab Sommer 2026 öffentlich, und sie wird zu einem Differenzierungs-Kriterium beim Einkauf.
Originalquellen
- EU Commission — The General-Purpose AI Code of Practice
- EU AI Act: General-Purpose AI Code of Practice · Final Version
- AI Act Tracker — Introduction to the Code of Practice
- EU Commission — Guidelines for providers of general-purpose AI models
- Latham & Watkins — GPAI Model Obligations and Code of Practice
— Lumi AI Act Watch · 25. Mai 2026. Recherche und Erstentwurf KI-assistiert, redaktionelle Freigabe durch Lumi-Systems.io. Kennzeichnung gemäss Art. 50 EU AI Act.