EU AI Act: Codes of Practice (Verhaltenskodizes)

EU AI Act: Codes of Practice (Verhaltenskodizes) sind freiwillige, von der Industrie (oft gemeinsam mit Behörden und Expert:innen) entwickelte Leitlinien, die zeigen, wie Anbieter von General-Purpose-AI (GPAI) – z. B. Generative KI (Generative AI) und Large Language Model (LLM) – die Pflichten des EU AI Act praktisch umsetzen können. Sie dienen als „Best-Practice“-Rahmen für Governance, Transparenz, Risiko- und Sicherheitsmaßnahmen.

Im Kontext von GPAI (z. B. ChatGPT-ähnlichen Modellen) ist der EU AI Act technisch und organisatorisch anspruchsvoll: Es geht nicht nur um ein einzelnes Produkt, sondern um Basismodelle, die in vielen Anwendungen landen. Codes of Practice sollen hier eine Brücke schlagen zwischen Gesetzestext und operativer Umsetzung – ähnlich wie Branchenstandards, nur mit direktem Bezug zu den gesetzlichen Anforderungen.

Was bedeutet das konkret?

Ein Code of Practice beschreibt typischerweise konkrete Maßnahmen, Prozesse und Nachweise, die ein GPAI-Anbieter etablieren kann, um EU-AI-Act-Pflichten zu erfüllen oder nachvollziehbar zu adressieren. Das kann z. B. Vorgaben enthalten zu:

• Technischer Dokumentation (welche Inhalte, welche Struktur, welche Update-Zyklen), passend zu EU AI Act: Technische Dokumentation.
• Transparenz & Informationspflichten (z. B. Modellbeschreibung, Einschränkungen, bekannte Risiken), anschlussfähig an EU AI Act: Transparenzpflichten.
• Risikomanagement & Governance (Rollen, Verantwortlichkeiten, Eskalationswege), eng verwandt mit AI Governance und EU AI Act Compliance (KI-Compliance).
• Safety & Security (Missbrauchsprävention, Red-Teaming, Incident-Prozesse), z. B. mit Bezug zu Red Teaming (KI-Red-Teaming) und AI Incident Response (KI-Incident-Management).
• Logging, Monitoring und Nachvollziehbarkeit (welche Telemetrie sinnvoll ist, wie man Drift erkennt), z. B. Model Monitoring & Observability (LLMOps) und AI Act: Logging & Record-Keeping.
• Umgang mit Daten, Datenschutz und Urheberrecht (Datenquellen, Filter, Opt-out/Policies, DS-Governance), z. B. Datenschutz (DSGVO/GDPR) & KI und Copyright & KI (Urheberrecht) & KI.

Wie funktioniert die Umsetzung in der Praxis?

Für Unternehmen, die GPAI entwickeln oder bereitstellen, lassen sich Codes of Practice meist als Checkliste und Operating Model nutzen. Typische Schritte sind:

• 1) Scope festlegen: Gilt der Code für ein Basismodell, mehrere Modellvarianten oder auch für Fine-Tunes? (siehe Fine-Tuning).
• 2) Controls ableiten: Aus Leitlinien werden konkrete Kontrollen (z. B. Security Reviews, Eval-Gates, Release-Freigaben).
• 3) Nachweise erzeugen: Dokumentation, Tests und Protokolle (z. B. Evals, Red-Team-Berichte, Change-Logs) werden standardisiert abgelegt.
• 4) Betrieb absichern: Monitoring, Incident Handling, Updates und Post-Market-Prozesse (siehe EU AI Act: Post-Market Monitoring).
• 5) Kommunikation: Klare Informationen für Downstream-Provider und Kunden (z. B. Model Cards, Nutzungsgrenzen).

Warum sind Codes of Practice wichtig?

Sie reduzieren Interpretationsspielräume und beschleunigen Compliance-Programme: Statt jedes Detail selbst zu „erfinden“, können Organisationen auf anerkannte Best Practices zurückgreifen. Das ist besonders relevant für dynamische Systeme wie AI Agents (KI-Agenten), Tool-Use/Function Calling / Tool Use oder RAG-Setups (siehe RAG (Retrieval-Augmented Generation)), bei denen Risiken aus Modell, Daten, Tools und Workflows zusammenspielen.

Beispiele (typische Inhalte)

• Eval- und Safety-Anforderungen: Mindest-Evaluations vor Releases, z. B. Robustheit gegen Prompt Injection oder Halluzinations-Checks (siehe Halluzinationen (Hallucinations)) mit definierten Metriken.
• Transparenzartefakte: Standardisierte „Model Cards“ (siehe Model Cards (Modellkarten)) inkl. Trainingsdaten-Kategorien, Limitations, Intended Use.
• Security-by-Design: Vorgaben für Secrets, Datenabfluss-Prevention und Tool-Sandboxing (z. B. Secrets Management (Schlüsselverwaltung) und Agent Sandbox (Tool-Sandboxing)).

Wichtig: Codes of Practice sind keine automatische „Freikarte“. Sie sind ein praxisnaher Weg, Pflichten konsistent umzusetzen und nachzuweisen – die rechtliche Verantwortung bleibt jedoch beim jeweiligen Anbieter/Betreiber im Sinne des EU AI Act.