EAllgemein

EU AI Act: Codes of Practice (Verhaltenskodizes)

Branchenleitlinien zur Umsetzung von GPAI-Pflichten.
1 Aufrufe

EU AI Act: Codes of Practice (Verhaltenskodizes) sind freiwillige, von der Industrie (oft gemeinsam mit Behörden und Expert:innen) entwickelte Leitlinien, die zeigen, wie Anbieter von General-Purpose-AI (GPAI) – z. B. Generative KI (Generative AI) und Large Language Model (LLM) – die Pflichten des EU AI Act praktisch umsetzen können. Sie dienen als „Best-Practice“-Rahmen für Governance, Transparenz, Risiko- und Sicherheitsmaßnahmen.

Im Kontext von GPAI (z. B. ChatGPT-ähnlichen Modellen) ist der EU AI Act technisch und organisatorisch anspruchsvoll: Es geht nicht nur um ein einzelnes Produkt, sondern um Basismodelle, die in vielen Anwendungen landen. Codes of Practice sollen hier eine Brücke schlagen zwischen Gesetzestext und operativer Umsetzung – ähnlich wie Branchenstandards, nur mit direktem Bezug zu den gesetzlichen Anforderungen.

Was bedeutet das konkret?

Ein Code of Practice beschreibt typischerweise konkrete Maßnahmen, Prozesse und Nachweise, die ein GPAI-Anbieter etablieren kann, um EU-AI-Act-Pflichten zu erfüllen oder nachvollziehbar zu adressieren. Das kann z. B. Vorgaben enthalten zu:

Wie funktioniert die Umsetzung in der Praxis?

Für Unternehmen, die GPAI entwickeln oder bereitstellen, lassen sich Codes of Practice meist als Checkliste und Operating Model nutzen. Typische Schritte sind:

  • 1) Scope festlegen: Gilt der Code für ein Basismodell, mehrere Modellvarianten oder auch für Fine-Tunes? (siehe Fine-Tuning).
  • 2) Controls ableiten: Aus Leitlinien werden konkrete Kontrollen (z. B. Security Reviews, Eval-Gates, Release-Freigaben).
  • 3) Nachweise erzeugen: Dokumentation, Tests und Protokolle (z. B. Evals, Red-Team-Berichte, Change-Logs) werden standardisiert abgelegt.
  • 4) Betrieb absichern: Monitoring, Incident Handling, Updates und Post-Market-Prozesse (siehe EU AI Act: Post-Market Monitoring).
  • 5) Kommunikation: Klare Informationen für Downstream-Provider und Kunden (z. B. Model Cards, Nutzungsgrenzen).

Warum sind Codes of Practice wichtig?

Sie reduzieren Interpretationsspielräume und beschleunigen Compliance-Programme: Statt jedes Detail selbst zu „erfinden“, können Organisationen auf anerkannte Best Practices zurückgreifen. Das ist besonders relevant für dynamische Systeme wie AI Agents (KI-Agenten), Tool-Use/Function Calling / Tool Use oder RAG-Setups (siehe RAG (Retrieval-Augmented Generation)), bei denen Risiken aus Modell, Daten, Tools und Workflows zusammenspielen.

Beispiele (typische Inhalte)

Wichtig: Codes of Practice sind keine automatische „Freikarte“. Sie sind ein praxisnaher Weg, Pflichten konsistent umzusetzen und nachzuweisen – die rechtliche Verantwortung bleibt jedoch beim jeweiligen Anbieter/Betreiber im Sinne des EU AI Act.

Zahlen & Fakten

0–12 Monate
schnellere UmsetzungEin praxistauglicher Verhaltenskodex kann KMU helfen, GPAI-bezogene Governance, Dokumentation und interne Freigaben deutlich schneller aufzusetzen als ohne gemeinsame Branchenleitlinien.
0–30%
weniger Compliance-AufwandStandardisierte Codes of Practice senken typischerweise den Abstimmungs- und Interpretationsaufwand zwischen Fachbereich, IT und Recht, was besonders für kleinere Teams relevant ist.
0 von 4
mehr PlanungssicherheitFür viele B2B-Unternehmen erhöhen gemeinsame Branchenstandards die Sicherheit bei Beschaffung, Risikobewertung und Vertragsgestaltung rund um GPAI-Systeme.

Anwendungsfälle in der Praxis

Einkauf
GPAI-Einkauf mit Verhaltenskodex im Lieferantencheck absichern
Ein mittelständisches Softwarehaus nutzt die Codes of Practice als Checkliste, um GPAI-Anbieter vor Vertragsabschluss zu bewerten. So werden Dokumentationspflichten, Transparenzangaben und Prozesse für den Umgang mit Risiken früh geprüft und direkt in Einkaufs- und Freigabeprozesse übernommen.

Bist du bereit für EU AI Act: Codes of Practice (Verhaltenskodizes)?

Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Hast du geprüft, ob in deinem Unternehmen GPAI-Modelle entwickelt, integriert oder genutzt werden, die unter den EU AI Act fallen könnten?
Kennst du die relevanten Codes of Practice und weißt du, welche Anforderungen daraus für dein Unternehmen entstehen können?
Hast du interne Verantwortlichkeiten festgelegt, um Vorgaben aus den Verhaltenskodizes strukturiert umzusetzen?
Dokumentierst du bereits Prozesse, Maßnahmen und Nachweise, um die Einhaltung der GPAI-Pflichten nachvollziehbar belegen zu können?
Überprüfst du regelmäßig, ob deine AI-Governance, Dokumentation und internen Kontrollen an neue Leitlinien oder regulatorische Entwicklungen angepasst werden müssen?

Sind deine KI-Prozesse schon bereit für die Anforderungen aus den Codes of Practice?

Die Codes of Practice zum EU AI Act geben Orientierung, wie du GPAI-Pflichten praktisch umsetzen kannst – entscheidend ist aber, was das konkret für deine Tools, Prozesse und Teams bedeutet. Genau hier setze ich mit meiner KI-Beratung an: Wir prüfen gemeinsam, welche KI-Anwendungen in deinem Unternehmen betroffen sind und wo Handlungsbedarf besteht. Statt abstrakter Vorgaben bekommst du eine klare Einschätzung, welche Maßnahmen sinnvoll, umsetzbar und wirtschaftlich sind. So wird aus regulatorischem Verständnis ein belastbarer Plan für den praktischen Einsatz von KI.

Häufig gestellte Fragen

Was sind Codes of Practice im EU AI Act?
Codes of Practice im EU AI Act sind freiwillige Verhaltenskodizes, die vor allem Anbietern von General-Purpose-AI zeigen, wie sie gesetzliche Pflichten praktisch umsetzen können. Sie konkretisieren Themen wie Transparenz, Governance, Risikomanagement und Sicherheit und dienen als Best-Practice-Rahmen, bis formale Standards oder Leitlinien weiter ausgereift sind.