Wenn Sie sich mit dem Art. 95 KI-VO Verhaltenskodex beschäftigen, sind Sie meist an einem klaren Punkt angekommen: Ihr KI-System fällt nicht unter die Hochrisiko-Klasse, die Pflichten aus Art. 8 bis 15 KI-VO greifen also nicht zwingend. Trotzdem fragen Kunden, Versicherer oder Aufsichtsbehörden nach einem belastbaren Nachweis dafür, wie Sie mit KI umgehen. Genau hier setzt Art. 95 EU AI Act an. Die Vorschrift schafft einen rechtlichen Rahmen für freiwillige Verhaltenskodizes, mit denen Anbieter und Betreiber sich öffentlich zu Standards bekennen, die über das gesetzlich Geforderte hinausgehen.
Auf einen Blick: Art. 95 EU AI Act fördert freiwillige Verhaltenskodizes für KI-Systeme, die nicht Hochrisiko sind. Anbieter und Betreiber können sich einem Kodex anschliessen und sich damit zu Standards bekennen, die über das gesetzliche Pflichtenheft hinausgehen. Inhalte können die Anwendung der Hochrisiko-Anforderungen aus Art. 8 bis 15, KI-Kompetenz, Mensch-zentriertes Design, Vielfalt im Entwicklungsteam und Umweltvertraeglichkeit umfassen. Die Kommission und das KI-Buero unterstuetzen die Erstellung. Branchenverbaende und Plattformen können eigene Kodizes erarbeiten.
Was Art. 95 KI-VO regelt
Art. 95 KI-VO steht in Kapitel X der Verordnung. Die Kernidee ist schlank. Die Europäische Kommission und das neu eingerichtete KI-Büro sollen die Erstellung von Verhaltenskodizes fördern. Diese Kodizes sollen Anbieter und Betreiber dazu motivieren, die Anforderungen, die für Hochrisiko-KI aus Art. 8 bis 15 KI-VO bindend sind, freiwillig auch auf andere KI-Systeme anzuwenden.
Damit wird der Verhaltenskodex zu einer Brücke zwischen verpflichtender Hochrisiko-Regulierung und dem unregulierten Bereich darunter. Wer sich diesem Brückenschlag anschließt, bekennt sich öffentlich zu einem höheren Standard, ohne dass eine Behörde dies fordert. Die Mitgliedstaaten und das KI-Büro können dabei aktiv unterstützen, indem sie Vorlagen erarbeiten, Branchen-Dialoge moderieren oder Musterkodizes veröffentlichen. Die Anforderungen aus Art. 95 KI-VO sind klar messbar zu machen. Die Verordnung spricht explizit von eindeutigen Zielen und Leistungsindikatoren, mit denen sich nachverfolgen lässt, ob ein Unterzeichner den Kodex einhält.
Wichtig ist die Abgrenzung. Der Verhaltenskodex nach Art. 95 KI-VO ist NICHT identisch mit dem Code of Practice nach Art. 56 KI-VO für Allzweck-KI-Modelle. Der GPAI Code of Practice richtet sich an einen sehr kleinen Adressatenkreis, nämlich die Anbieter großer Sprach- und Foundation-Modelle. Art. 95 ist deutlich breiter angelegt und steht praktisch jeder Organisation offen, die KI einsetzt oder bereitstellt.
Wer von einem Verhaltenskodex profitiert
Der Adressatenkreis ist bewusst weit gefasst. Anbieter von KI-Systemen, Betreiber, Branchenverbände, Berufsverbände, Plattformen und sogar zivilgesellschaftliche Organisationen können einen Kodex initiieren oder unterzeichnen. Die Verordnung nennt zusätzlich kleine und mittlere Unternehmen sowie Start-ups als Gruppen, deren Interessen das KI-Büro besonders berücksichtigen soll.
Für ein KMU mit 30 Mitarbeitern, das ein internes KI-Tool zur Rechnungsprüfung einsetzt, ergibt das praktischen Sinn. Solange das System nicht in Anhang III gelistet ist, greifen die strengen Pflichten aus Art. 8 bis 15 KI-VO nicht. Doch der Geschäftsführer möchte Lieferanten, Versicherungen und der Belegschaft signalisieren, dass das Unternehmen verantwortungsvoll vorgeht. Ein Verhaltenskodex bietet dafür einen formalen Rahmen.
Auch eine Marketing-Agentur mit generativer KI oder eine Steuerkanzlei mit KI-Dokumentenanalyse profitiert. Beide arbeiten typischerweise unterhalb der Hochrisiko-Schwelle, sehen sich aber zunehmend Mandanten gegenüber, die nach Nachweisen fragen. Der Kodex liefert eine sichtbare Antwort.
Branchenverbände nutzen Art. 95 KI-VO, um Kodizes für ihre Mitglieder zu entwickeln. Das spart jedem Unternehmen die Last eigener Standard-Definition. Ein Beispiel ist der Gesamtverband der Deutschen Versicherungswirtschaft mit seinem Code of Conduct zum Datenschutz. Vergleichbare Strukturen entstehen aktuell für KI-Themen.
Welche Inhalte ein Verhaltenskodex haben kann
Art. 95 Abs. 2 KI-VO listet konkret auf, welche Themen ein Kodex behandeln kann. Der Katalog ist nicht abschließend, gibt aber eine gute Orientierung. Die folgende Tabelle fasst zusammen, was die Verordnung selbst nennt.
| Themenfeld | Inhalt im Kodex | Bezug zur KI-VO |
|---|---|---|
| Risikomanagement | Anwendung eines strukturierten Risikomanagement-Systems auch unterhalb der Hochrisiko-Schwelle | Art. 9 |
| Datenqualität | Sicherstellung von Repräsentativität, Vollständigkeit, Fehlerfreiheit der Trainingsdaten | Art. 10 |
| Technische Dokumentation | Beschreibung der Systemarchitektur, Modellgrundlagen, eingesetzten Datensätze | Art. 11 |
| Logging | Protokollierung relevanter Vorgänge zur späteren Nachvollziehbarkeit | Art. 12 |
| Transparenz | Offenlegung gegenüber Nutzern, dass und wie KI eingesetzt wird | Art. 13 |
| Menschliche Aufsicht | Sicherstellung qualifizierter menschlicher Kontrolle über KI-Entscheidungen | Art. 14 |
| Genauigkeit, Robustheit, Cybersicherheit | Technische Standards für Stabilität und Schutz vor Manipulation | Art. 15 |
| KI-Kompetenz | Schulung aller Mitarbeiter, die mit KI arbeiten | Art. 4 |
| Mensch-zentriertes Design | Berücksichtigung der Bedürfnisse Betroffener in der Entwicklung | über KI-VO hinaus |
| Schutz gefährdeter Personen | Bewertung der Auswirkungen auf besonders schutzbedürftige Gruppen | über KI-VO hinaus |
| Vielfalt im Team | Förderung diverser Entwicklungsteams als Mittel gegen Bias | über KI-VO hinaus |
| Nachhaltigkeit | Berücksichtigung des Energieverbrauchs und der Umweltvertraeglichkeit | über KI-VO hinaus |
| Grundrechte | Bewertung und Minderung der Auswirkungen auf Grundrechte Betroffener | Verweis auf Art. 27 |
Ein guter Kodex pickt sich nicht alle Themen heraus. Er konzentriert sich auf die zwei bis fünf Felder, die für die jeweilige Branche relevant sind, und definiert dort messbare Verpflichtungen. Wer in der Personalvermittlung KI einsetzt, wird Schutz gefährdeter Personen und menschliche Aufsicht weit oben einordnen. Eine Marketing-Agentur wird sich eher auf Transparenz, KI-Kompetenz und Datenqualität konzentrieren.
Abgrenzung zum GPAI Code of Practice nach Art. 56
Der GPAI Code of Practice, am 10. Juli 2025 veröffentlicht und nach Annahme durch Kommission und KI-Board am 1. August 2025 wirksam, hat eine eigene Funktion. Er unterstützt Anbieter sehr großer KI-Modelle bei ihren Pflichten aus Art. 53 und Art. 55 KI-VO, also Transparenz, Urheberrecht und Sicherheit für Foundation Models. Der Adressatenkreis ist eng. Weltweit fallen aktuell rund fünf bis fünfzehn Unternehmen unter die strengere Variante für Modelle mit systemischem Risiko, mit Schwellenwert bei 10^25 FLOPs Rechenleistung.
Art. 95 KI-VO setzt darunter an. Während der GPAI Code eine Compliance-Brücke für Großmodelle ist, ist Art. 95 ein offenes Angebot an alle anderen.
Praktisch heißt das: Wer ein eigenes Sprachmodell trainiert, das die Schwelle aus Art. 51 KI-VO überschreitet, ist Adressat des GPAI Code of Practice. Für die allermeisten KMU in Deutschland ist das nicht realistisch. Wer hingegen ein bestehendes Modell wie GPT-5 oder Claude in Geschäftsprozesse einbaut, ist Betreiber und kann sich freiwillig einem Kodex nach Art. 95 KI-VO anschließen.
Verbindung zu ISO 42001 und ISO 9001
Wer einen Kodex aufsetzt oder unterzeichnet, muss nicht bei Null anfangen. Die ISO 42001 zum KI-Managementsystem, veröffentlicht Ende 2023, liefert eine vollständige Struktur für das Management von KI-Risiken über den Lebenszyklus eines Systems. Sie deckt Risikoanalyse, Daten-Governance, Transparenz und Überwachung ab und korrespondiert eng mit Art. 8 bis 15 KI-VO.
Die ISO 9001 zum Qualitätsmanagement ist in vielen mittelständischen Unternehmen bereits etabliert. Sie liefert Prozesse für Dokumentation, kontinuierliche Verbesserung und interne Audits, die sich um KI-spezifische Themen erweitern lassen.
Ein Verhaltenskodex nach Art. 95 KI-VO kann auf diese ISO-Strukturen aufsetzen. Statt eigene Prozesse zu erfinden, schreibt der Kodex fest, dass das Unternehmen die ISO 42001 anwendet oder bestimmte Module davon umsetzt. Das spart Aufwand und macht die Selbstverpflichtung gegenüber Kunden glaubwürdiger.
Vorteile der Unterzeichnung für KMU
Warum sollte ein KMU sich freiwillig zusätzliche Pflichten auferlegen? Die ehrliche Antwort lautet: weil die Vorteile in vielen Fällen den Aufwand übersteigen.
Zuerst kommt das Vertrauenssignal. Wer öffentlich einen Kodex unterzeichnet, gibt Kunden, Lieferanten und Mitarbeitern einen klaren Hinweis darauf, wie das Unternehmen mit KI umgeht. Das ist insbesondere in Geschäftsbeziehungen relevant, in denen Audits oder Lieferantenfragebögen anstehen. Wer eine glaubhafte Selbstverpflichtung vorweisen kann, beantwortet viele dieser Fragebögen mit einem einzigen Verweis.
Zweitens hilft der Kodex bei der Erfüllung der KI-Kompetenzpflicht nach Art. 4 KI-VO. Wer den Kodex unterzeichnet hat, kann den Schulungsnachweis als Teil der Selbstverpflichtung dokumentieren. Das KI-Büro hat klargestellt, dass solche freiwilligen Strukturen den Nachweis erleichtern.
Drittens entsteht eine Vorlaeufermarktposition. Aktuell sind die Pflichten für nicht-Hochrisiko-KI begrenzt. Es ist nicht ausgeschlossen, dass die Kommission den Anwendungsbereich später ausweitet. Wer schon heute einem Kodex folgt, ist auf eine spätere Verschärfung vorbereitet und muss seine Prozesse nicht im Eilverfahren umbauen.
Viertens dient der Kodex als Beweismittel im Streitfall. Sollte eine KI-Entscheidung Anlass für Beschwerden oder Schadensersatzforderungen geben, kann das Unternehmen mit dem Kodex dokumentieren, dass es seine Sorgfaltspflichten ernst genommen hat. Das wirkt sich auf die zivilrechtliche Haftung aus und kann bei der Bemessung möglicher Bußgelder als mildernder Umstand gewertet werden.
Praxis-Beispiel: Branchen-Kodex für Marketing-Agenturen mit KI
Eine inhabergeführte Marketing-Agentur in Nürnberg mit 22 Mitarbeitern nutzt seit zwei Jahren generative KI für Texterstellung und Kampagnenoptimierung. Die eingesetzten Systeme sind nicht Hochrisiko. Die Agentur ist Mitglied im Bundesverband Digitale Wirtschaft.
Der Verband entwickelt mit seinen Mitgliedern einen Verhaltenskodex nach Art. 95 KI-VO. Inhaltlich fokussiert er sich auf drei Felder: Transparenz gegenüber Kunden mit klarer Kennzeichnung KI-generierter Inhalte, Datenqualität und Urheberrecht mit Verpflichtung auf lizenzierte Trainingsdaten sowie KI-Kompetenz aller produktiv arbeitenden Mitarbeiter.
Die Agentur unterzeichnet den Kodex. Sie meldet jährlich eine Selbstauskunft an den Verband mit Schulungsstunden, Vorfällen und Reaktionsmaßnahmen. Bei Verstößen behält sich der Verband Sanktionen vor, etwa den Entzug des Siegels.
Der Aufwand beläuft sich auf rund 20 Personenstunden im Jahr. Im Gegenzug führt die Agentur das Siegel auf Website, in Pitches und Verträgen. Bei einer Ausschreibung eines Mittelständlers in Bayreuth, bei der KI-Compliance abgefragt wird, genügt ein Satz mit Verweis auf das Siegel. Genau das ist der praktische Kern hinter Art. 95 KI-VO.
Häufige Fragen
Ist der Kodex rechtlich verbindlich? Die Unterzeichnung ist freiwillig. Nach der Unterzeichnung wird die Einhaltung jedoch zur vertraglichen oder selbstverpflichteten Pflicht. Verstöße können wettbewerbsrechtlich oder zivilrechtlich geahndet werden, beispielsweise wenn Kunden auf die Selbstverpflichtung vertraut haben. Direkte Bußgelder nach Art. 99 KI-VO entstehen aus dem Verstoß gegen den Kodex selbst nicht.
Wer kontrolliert die Einhaltung? Das hängt vom konkreten Kodex ab. Branchenverbände richten oft eine eigene Stelle ein, die Selbstauskünfte prüft und bei Beschwerden ermittelt. In manchen Konstellationen kann das KI-Büro angerufen werden. Bei der praktischen Aufsicht spielt auch die zuständige nationale Marktüberwachungsbehörde eine Rolle, in Deutschland die Bundesnetzagentur als Koordinierungsstelle.
Was kostet die Teilnahme? Direkt: meist nichts oder eine geringe Mitgliedsgebühr beim ausgebenden Verband. Indirekt entstehen Aufwände für die Dokumentation und für Anpassungen am internen Prozess. Für ein KMU mit überschaubarem KI-Einsatz liegt der jährliche Aufwand erfahrungsgemäß zwischen 15 und 40 Personenstunden.
Gibt es bereits anerkannte Kodizes? Stand Mai 2026 entstehen erste branchenspezifische Kodizes. Der GPAI Code of Practice nach Art. 56 KI-VO ist veröffentlicht und betrifft Großmodell-Anbieter. Für nicht-Hochrisiko-Systeme arbeiten mehrere deutsche und europäische Verbände an Entwürfen, etwa der Bundesverband Digitale Wirtschaft, der Bitkom oder Berufsverbände aus der Steuer- und Rechtsberatung. Eine zentrale Liste anerkannter Kodizes führt das KI-Büro perspektivisch.
Hilft der Kodex bei der Bemessung von Bußgeldern? Ja. Art. 99 Abs. 7 KI-VO nennt mehrere Faktoren, die bei der Festsetzung eines Bußgeldes zu berücksichtigen sind. Dazu gehört die Frage, ob das Unternehmen einen anerkannten Kodex angewendet hat. Das kann ein mildernder Umstand sein.
Wer den Verhaltenskodex nach Art. 95 KI-VO ernst nimmt, baut sich damit ein belastbares Argument auf, das nach innen und außen wirkt. Nach innen, weil klare Standards die tägliche Arbeit mit KI strukturieren. Nach außen, weil Kunden, Aufsichtsbehörden und Gerichte einen sichtbaren Nachweis für verantwortungsvollen KI-Einsatz erhalten. Für die strukturierte Umsetzung in der eigenen Organisation und die saubere Verzahnung mit den Pflichten aus Art. 4 bis 15 KI-VO empfiehlt sich eine fundierte Weiterbildung. Unser Digitalisierungsmanager deckt genau diese Themen praxisorientiert ab und qualifiziert Mitarbeiter aus KMU zu KI-Compliance und Prozessgestaltung. Wer zuvor noch Grundlagen aufholen muss, findet im Modul zur Art. 4 KI-Kompetenzpflicht den passenden Einstieg.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.