Skip to content
Innopulse Consulting
Navigate
EnglishDeutsch
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
EU AI Act

GPAI-Verhaltenskodex: Pflichten für allgemeine KI-Modelle

Was der Verhaltenskodex für General-Purpose-AI-Modelle bedeutet, welche Pflichten Anbieter von GPAI und nachgelagerte Nutzer treffen und wie sich beide darauf vorbereiten.

Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO
·3 min read
In this article
  1. Was ein GPAI-Modell ausmacht
  2. Die Pflichten der GPAI-Anbieter
  3. Die Rolle des Verhaltenskodex
  4. Was es für nachgelagerte Anbieter bedeutet
  5. Die Schnittstelle zur eigenen Anwendung
  6. Vorbereitung für beide Seiten
  7. Was zu tun ist
  8. Die Dynamik des Feldes berücksichtigen

General-Purpose-AI-Modelle — die grossen, vielseitig einsetzbaren Sprach- und Multimodalmodelle, auf denen heute ein Grossteil der KI-Anwendungen aufbaut — werden vom EU AI Act in einem eigenen Kapitel geregelt. Der Verhaltenskodex (Code of Practice) für diese GPAI-Modelle konkretisiert, wie Anbieter ihre Pflichten erfüllen können. Für die meisten DACH-Unternehmen ist die entscheidende Frage dabei weniger, ob sie selbst ein solches Modell anbieten — das tun die wenigsten —, sondern was es bedeutet, auf solchen Modellen aufzubauen. Beide Perspektiven sind relevant, und dieser Beitrag ordnet sie ein.

Was ein GPAI-Modell ausmacht

Ein GPAI-Modell ist ein Modell, das eine breite Palette unterschiedlicher Aufgaben erfüllen kann und sich in viele nachgelagerte Systeme integrieren lässt — anders als ein eng auf einen Zweck trainiertes Spezialmodell. Der AI Act unterscheidet zwischen GPAI-Modellen allgemein und solchen mit systemischem Risiko, die aufgrund ihrer Leistungsfähigkeit besondere gesellschaftliche Risiken bergen können. An diese zweite Kategorie knüpfen verschärfte Pflichten an. Die Einstufung orientiert sich unter anderem an der für das Training aufgewendeten Rechenleistung als Indikator für die Fähigkeiten des Modells.

Die Pflichten der GPAI-Anbieter

Anbieter von GPAI-Modellen treffen mehrere Kernpflichten. Sie müssen eine technische Dokumentation des Modells erstellen und aktuell halten, Informationen für nachgelagerte Anbieter bereitstellen, damit diese ihre eigenen Pflichten erfüllen können, eine Richtlinie zur Einhaltung des Urheberrechts umsetzen und eine ausreichend detaillierte Zusammenfassung der für das Training verwendeten Inhalte veröffentlichen. Für Modelle mit systemischem Risiko kommen weitergehende Pflichten hinzu: Modellbewertungen, die Bewertung und Minderung systemischer Risiken, die Meldung schwerwiegender Vorfälle und ein angemessenes Cybersicherheitsniveau.

Die Rolle des Verhaltenskodex

Der Verhaltenskodex ist das Instrument, mit dem die Branche und die EU gemeinsam konkretisieren, wie diese Pflichten praktisch erfüllt werden. Er ist kein Gesetz im engeren Sinne, sondern ein Werkzeug, dessen Befolgung Anbietern hilft, die Einhaltung ihrer Pflichten nachzuweisen, bis harmonisierte Normen vorliegen. Wer sich an einen genehmigten Verhaltenskodex hält, kann sich auf eine entsprechende Vermutung der Regelkonformität stützen. Der Kodex übersetzt also die abstrakten Pflichten in konkrete, überprüfbare Praktiken — ein pragmatischer Mechanismus in einem sich schnell entwickelnden Feld.

Was es für nachgelagerte Anbieter bedeutet

Die meisten DACH-Unternehmen sind nicht Anbieter, sondern Nutzer von GPAI-Modellen — sie bauen Produkte auf den Modellen der grossen Anbieter. Für sie ist entscheidend: Die Pflichten der Modell-Anbieter sind so gestaltet, dass sie nachgelagerten Nutzern die Informationen liefern, die diese für ihre eigene Compliance brauchen. Wer ein GPAI-Modell in ein eigenes System integriert, muss die bereitgestellte Dokumentation auswerten, verstehen, wofür das Modell geeignet und wofür es nicht freigegeben ist, und prüfen, ob das eigene daraus gebaute System selbst in eine regulierte Kategorie fällt — etwa als Hochrisiko-System.

Die Schnittstelle zur eigenen Anwendung

Ein häufiges Missverständnis: Die GPAI-Pflichten der Modell-Anbieter befreien den nachgelagerten Nutzer nicht von eigenen Pflichten. Wer ein allgemeines Modell nimmt und daraus eine konkrete Anwendung in einem Hochrisiko-Bereich baut, wird für diese Anwendung selbst zum Anbieter eines Hochrisiko-Systems mit dem vollen Pflichtenkatalog. Das Modell ist dann nur ein Baustein. Die Transparenzpflichten — etwa die Kennzeichnung KI-generierter Inhalte — können ebenfalls auf der Anwendungsebene greifen, unabhängig davon, welches Modell darunter arbeitet.

Vorbereitung für beide Seiten

Für die seltenen GPAI-Anbieter im DACH-Raum bedeutet die Vorbereitung, die Dokumentations-, Urheberrechts- und Transparenzpflichten früh aufzubauen und die Einstufung als Modell mit oder ohne systemisches Risiko ehrlich vorzunehmen. Für die viel häufigeren nachgelagerten Nutzer bedeutet sie, die Modellwahl bewusst zu treffen — auch danach, welche Compliance-Informationen ein Anbieter bereitstellt —, die gelieferte Dokumentation in die eigene technische Dokumentation einzubinden und die eigene Anwendung sauber einzustufen.

Was zu tun ist

Klären Sie zuerst Ihre Rolle: Sind Sie Anbieter eines GPAI-Modells oder nachgelagerter Nutzer? Für die meisten lautet die Antwort: Nutzer. Dann besteht Ihre Aufgabe darin, die Modelle, auf denen Sie bauen, hinsichtlich ihrer Dokumentation und Eignung zu bewerten, diese Information in Ihre eigene Compliance zu integrieren und Ihre Anwendung korrekt einzustufen. Behandeln Sie die Modellwahl nicht nur als technische, sondern auch als Compliance-Entscheidung. Dies ist eine fachliche Orientierung; die konkrete Einstufung Ihrer Anwendung sollten Sie mit spezialisierter Beratung absichern.

Die Dynamik des Feldes berücksichtigen

Der GPAI-Bereich entwickelt sich schneller als fast jeder andere Teil des AI Act. Die Modelle werden in Monaten leistungsfähiger, die Verhaltenskodizes werden fortgeschrieben, und die Einstufungsschwellen werden an die technische Realität angepasst. Für Unternehmen, die auf GPAI bauen, bedeutet das: Die einmal getroffene Einordnung ist nicht für immer gültig. Ein Modell, das heute unproblematisch ist, kann durch eine neue Version oder eine veränderte Nutzung anders zu bewerten sein, und Ihre eigene Anwendung kann durch eine Funktionserweiterung in eine regulierte Kategorie rutschen.

Behandeln Sie die GPAI-Compliance deshalb als laufenden Prozess, nicht als einmalige Prüfung. Beobachten Sie die Entwicklung der Verhaltenskodizes und der Modelle, auf denen Sie aufbauen, und überprüfen Sie Ihre Einordnung in regelmässigen Abständen sowie bei jeder wesentlichen Änderung Ihres Produkts. Diese Wachsamkeit ist weniger aufwendig, als sie klingt, wenn man sie in die ohnehin nötige Pflege der KI-Governance integriert — und sie verhindert, dass man von einer regulatorischen Verschiebung überrascht wird, die sich angekündigt hatte.

About the author
Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO · Innopulse Consulting

Gründer und leitender Ingenieur von Innopulse Consulting. MSc Innovation Management (FFHS). Autor von „Identity Over Discipline".

Topics
GPAI VerhaltenskodexGeneral Purpose AIGPAI PflichtenCode of Practice KI
Keep reading

Related insights.

AI Engineering

EU AI Act und General-Purpose-KI: Was Entwickler auf LLM-Basis wissen müssen

Die GPAI-Regeln traten im August 2025 in Kraft. Was nachgelagerte Entwickler erben, Transparenz- und Urheberrechtspflichten und wo die Linie zwischen Anbieter und Betreiber verläuft.

Leutrim·5 min
EU AI Act

General-Purpose-KI unter dem AI Act: Die GPAI-Pflichten

Was der AI Act von Anbietern von General-Purpose-KI-Modellen verlangt und was Betreiber erben, wenn sie darauf aufbauen.

Leutrim·8 min
EU AI Act

EU AI Act Konformitätsbewertung: CE-Kennzeichnung für Hochrisiko-KI

Artikel 43 verlangt eine Konformitätsbewertung vor dem Inverkehrbringen. Modul A (Interne Kontrolle) vs. Modul H1 (Qualitätsmanagementsystem). Der Prozess in Detail.

Leutrim·5 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch