Auf einen Blick: Der General-Purpose-AI Code of Practice nach Art. 56 KI-VO ist freiwillig, gilt aber als Vermutung für Compliance. Wer ein GPAI-Modell wie ChatGPT, Claude oder Gemini über die API nutzt, ist Deployer nach Art. 26 KI-VO und kann die Anbieter-Dokumentation für die eigene Compliance verwenden. Was der Kodex regelt und was KMU konkret tun sollten.
Der Code of Practice ist eines dieser Dokumente, von denen die meisten Geschäftsführer im Mittelstand nichts wissen. Verständlich, denn er richtet sich nominell an die Anbieter großer KI-Modelle und nicht an die Unternehmen, die solche Modelle einsetzen. Trotzdem hat er praktische Folgen für jedes KMU, das ChatGPT, Claude, Gemini oder ein anderes General-Purpose-Modell produktiv im Betrieb nutzt. Die Dokumentation, die Anbieter aufgrund des Kodex liefern, ist genau das Material, das ein Deployer für die eigene Compliance-Akte braucht.
Was der Code of Practice rechtlich ist
Art. 56 KI-VO sieht einen sogenannten Verhaltenskodex für Anbieter von General-Purpose-AI vor. Erarbeitet wurde er in einem mehrstufigen Multi-Stakeholder-Prozess unter Leitung des AI Office der EU-Kommission, zwischen 2024 und 2025. Beteiligt waren Anbieter großer KI-Modelle, Wissenschaft, Zivilgesellschaft und Rechteinhaber, etwa aus dem Verlagswesen und der Musikindustrie. Die finale Version wurde 2025 publiziert.
Drei Bereiche stehen im Zentrum.
Transparenz. Anbieter sollen offenlegen, mit welchen Daten ein Modell trainiert wurde, wie Sicherheits- und Bias-Tests aussehen, und welche bekannten Limitationen das Modell hat. Hier geht es nicht um vollständige Veröffentlichung jedes Trainingsdatensatzes, sondern um strukturierte Zusammenfassungen, die Behörden und Nachgelagerten eine Einschätzung ermöglichen.
Urheberrecht. Der Kodex regelt, wie GPAI-Anbieter mit dem Text- und Data-Mining-Vorbehalt nach Art. 4 DSM-Richtlinie umgehen. Konkret: Wenn Rechteinhaber per maschinenlesbarem Vorbehalt erklären, dass ihre Werke nicht für KI-Training genutzt werden dürfen, müssen Anbieter das respektieren und dokumentieren.
Sicherheit und Risiko. Für Modelle ab einem bestimmten Compute-Schwellwert, im Kodex als systemisches Risiko klassifiziert, gelten verschärfte Prüf- und Meldepflichten. Dazu gehören Red-Teaming, Incident-Reporting an das AI Office, und ein laufendes Monitoring von Missbrauchsfällen.
Die Bindungswirkung ist freiwillig. Wer den Kodex unterzeichnet, dem wird allerdings vermutet, dass er die GPAI-Pflichten der KI-Verordnung einhält. Wer nicht unterzeichnet, muss die Compliance auf anderem Weg nachweisen, was in der Praxis aufwendiger ist. Stand Mai 2026 haben mehrere große Anbieter unterzeichnet, einzelne haben sich gegen eine Unterzeichnung entschieden und beschreiben ihre Compliance separat.
Verhältnis zur EU-AI-Act-Timeline
Die GPAI-Regeln der KI-Verordnung sind seit 02.08.2025 in Kraft. Das ist wichtig, weil viele KMU die GPAI-Pflichten mit den Hochrisiko-Pflichten aus Anhang III KI-VO verwechseln. Die wurden mit der Trilog-Einigung vom 07.05.2026 auf 02.12.2027 verschoben. Die GPAI-Regeln dagegen sind nicht verschoben worden, sie laufen seit August 2025.
Für Anbieter heißt das: Die im Kodex beschriebenen Transparenz-, Copyright- und Sicherheits-Pflichten gelten heute. Wer ein Modell ab dem definierten Compute-Schwellwert betreibt, ohne den Kodex zu unterzeichnen, riskiert Bußgelder nach Art. 99 KI-VO. Der Rahmen geht bis 35 Mio EUR oder 7 Prozent des weltweiten Jahresumsatzes.
Für KMU als Deployer heißt das: Die Anbieter sind in der Pflicht, das Material zu liefern, das Du für Deine eigene Compliance brauchst. Modellkarten, technische Dokumentation, Hinweise zu Limitationen. Das ist verfügbar, oft auf den Hilfeseiten der Anbieter, manchmal nur auf Anfrage. Wer fragt, bekommt heute deutlich mehr Material als noch vor einem Jahr.
Praxis: Wittstedt Industriebedarf in Münster
Ein anonymisiertes Beispiel aus dem Beratungsalltag. Wittstedt Industriebedarf, ein technischer Großhändler mit 42 Mitarbeitern in Münster, nutzt seit Anfang 2026 zwei GPAI-Modelle produktiv. ChatGPT Team über API für die Erstellung von Produktbeschreibungen und Kundenkorrespondenz, Claude Pro für interne Recherchen und Vertragsentwürfe. Beide Systeme greifen auf Kundendaten zurück, sind also DSGVO-relevant.
Bis April 2026 lief das ohne dokumentierte Compliance-Akte. Der Geschäftsführer wusste, dass beide Anbieter den GPAI Code of Practice unterzeichnet haben, hatte aber nie geprüft, was das konkret bedeutet. Der Datenschutzbeauftragte stieß im Rahmen einer DSFA-Aktualisierung darauf.
Was Wittstedt im Mai 2026 gemacht hat, lief in drei Schritten ab. Zunächst hat der Datenschutzbeauftragte die Modellkarten und Transparenz-Reports beider Anbieter heruntergeladen und in der KI-Compliance-Akte abgelegt. Beide Anbieter dokumentieren öffentlich, welche Datenkategorien für das Training verwendet wurden und welche bekannten Limitationen das Modell hat. Diese Informationen sind direkt in die DSFA nach Art. 35 DSGVO eingeflossen.
Im zweiten Schritt wurde der AVV nach Art. 28 DSGVO geprüft. Bei beiden Anbietern war eine angepasste Fassung verfügbar, die zusätzlich zu den DSGVO-Pflichten auch die Position als GPAI-Anbieter berücksichtigt. Konkret: Die Anbieter sichern zu, dass eingegebene Daten nicht für das Training verwendet werden, sofern die Business-API genutzt wird. Das ist relevant, weil sich die kostenlosen Varianten der gleichen Tools davon unterscheiden.
Im dritten Schritt hat das Unternehmen seine interne KI-Richtlinie aktualisiert. Mitarbeiter dürfen GPAI-Modelle nutzen, aber nicht für bestimmte Datenkategorien, etwa Personalakten oder Bonitätsbewertungen. Der KI-Beauftragte hat dazu eine zweiseitige Übersicht erstellt, die jedem neuen Mitarbeiter ausgehändigt wird.
Aufwand insgesamt: rund acht Stunden über vier Wochen. Ergebnis: eine belastbare Compliance-Akte, die bei einer Aufsichtsprüfung oder bei einer Kundenfrage in 30 Minuten zugänglich ist.
Was KMU als Deployer wirklich tun müssen
Wenn Dein Unternehmen ein GPAI-Modell produktiv einsetzt, bist Du Deployer nach Art. 26 KI-VO. Diese Rolle ist klar definiert und unterscheidet sich deutlich von der des Anbieters. Konkret fallen sechs Aufgaben in Deinen Bereich.
| Aufgabe | Grundlage | Material vom Anbieter? |
|---|---|---|
| Use Case dokumentieren | Art. 26 KI-VO | Nein, eigene Aufgabe |
| Modell-Eignung prüfen | Art. 26 Abs. 1 KI-VO | Ja, über Modellkarten |
| KI-Kompetenz der Nutzer | Art. 4 KI-VO | Nein, interne Schulung |
| Daten-Inputs überwachen | Art. 26 Abs. 4 KI-VO | Teilweise, über AVV |
| Ergebnisse menschlich prüfen | Art. 26 Abs. 2 KI-VO | Nein, interner Prozess |
| Vorfälle dokumentieren | Art. 26 Abs. 5 KI-VO | Teilweise, Incident-Reports |
Die KI-Kompetenz-Pflicht aus Art. 4 KI-VO ist hier zentral. Sie gilt seit 02.02.2025 für alle Mitarbeiter, die KI einsetzen, unabhängig davon, ob das Modell selbst gehostet wird oder über API läuft. Wer eine Übersicht braucht, was das im Detail bedeutet, findet auf unserer Pillar-Seite zur KI-Kompetenzpflicht die volle Auflistung.
Ein häufiges Missverständnis: Manche Geschäftsführer denken, dass die Verantwortung mit der Nutzung eines unterzeichnenden Anbieters auf diesen übergeht. Das ist nicht so. Der Anbieter haftet für sein Modell und seine Trainingsdaten. Du haftest für den Use Case in Deinem Betrieb. Diese Trennung ist klar in der KI-VO geregelt und durch den Kodex auch nicht verschoben worden.
Die Schnittstelle zu Art. 50 Transparenz
Art. 50 KI-VO tritt am 02.08.2026 in Kraft. Ab diesem Stichtag müssen KMU als Deployer offenlegen, wenn sie KI-generierte Inhalte verbreiten oder KI-Chatbots im Kundenkontakt einsetzen. Bei Chatbots reicht ein Hinweis am Anfang der Konversation, bei generierten Inhalten ein sichtbarer Vermerk.
Hier kommt der Code of Practice zurück ins Spiel. Anbieter, die den Kodex unterzeichnet haben, liefern in der Regel auch Markierungs-Tools für KI-generierte Inhalte. Wasserzeichen für Bilder, Metadaten für Audio, strukturierte Outputs für Text. Wer das einsetzt, erfüllt die Transparenzpflicht aus Art. 50 KI-VO leichter, weil die technische Kennzeichnung schon mitkommt.
Praktisch heißt das: Wer einen GPAI-Anbieter wählt, sollte heute prüfen, ob dieser Anbieter den Code of Practice unterzeichnet hat und entsprechende Markierungs-Tools bereitstellt. Das ist kein hartes Auswahlkriterium, aber ein klarer Vorteil bei der Umsetzung von Art. 50 ab August.
Was wir bei KMU regelmäßig sehen
In der Praxis lassen sich zwei Fehlmuster im Umgang mit GPAI beobachten. Das eine: Geschäftsführung verlässt sich darauf, dass der Anbieter alles richtig macht, weil er ja den Kodex unterzeichnet hat. Das stimmt zur Hälfte. Der Anbieter erfüllt seine Pflichten. Aber die Deployer-Pflichten bleiben beim Unternehmen, das das Modell einsetzt. Wer die nicht erfüllt, hat ein Compliance-Problem, auch wenn der Anbieter sauber arbeitet.
Das andere Muster: Unternehmen sammeln aus übertriebener Vorsicht hunderte Seiten Dokumentation vom Anbieter, die nie wieder jemand liest. Das ist Aufwand ohne Wert. Was wirklich gebraucht wird, sind die zwei bis fünf zentralen Dokumente: Modellkarte, Transparenz-Report, AVV, Markierungs-Tool-Beschreibung, gegebenenfalls Incident-Reporting-Übersicht. Mehr ist meist überflüssig.
Wer das systematisch angeht, kommt mit acht bis zwölf Stunden Initial-Aufwand und ein bis zwei Stunden pro Monat Pflegeaufwand aus. Wer es treiben lässt, hat irgendwann einen Sack voll halbfertiger Notizen und keine belastbare Akte, wenn eine Aufsichtsbehörde fragt.
Schritt-für-Schritt: GPAI-Compliance in fünf Tagen
Wer heute mit der Compliance-Akte beginnen will, kommt mit einem fokussierten Vorgehen in unter einer Woche durch. Der Aufwand verteilt sich typisch so:
- Tag 1: KI-Inventory erstellen. Welches GPAI-Modell wird wo eingesetzt, von wie vielen Personen, mit welchen Datenkategorien.
- Tag 2: Anbieter-Dokumentation einholen. Modellkarten herunterladen, Transparenz-Reports, AVV in aktueller Fassung.
- Tag 3: DSFA-Eintrag aktualisieren. Pro Use Case ein DSFA-Block nach Art. 35 DSGVO mit Risiko-Klassifikation.
- Tag 4: Interne Richtlinie schreiben. Welche Datenkategorien dürfen rein, welche nicht, wer hat Zugriff, wie wird dokumentiert.
- Tag 5: Schulung dokumentieren. Wer hat wann welche Schulung zu Art. 4 KI-VO erhalten, mit welcher Tiefe.
Das Ergebnis ist eine Compliance-Akte, die einem Audit standhält. Sie ist nicht perfekt, aber sie ist da. Was viele Mittelständler 2026 noch nicht haben.
Wer das Thema strukturiert aufbauen will, findet im Digitalisierungsmanager die passenden Module zu KI-Compliance, Datenschutz und Prozess-Integration. Die viermonatige Weiterbildung deckt genau die Schnittstellen ab, an denen ein KMU 2026 üblicherweise hakt.
Häufige Fragen
Müssen wir als KMU den Code of Practice selbst unterzeichnen?
Nein. Der Kodex richtet sich an Anbieter von General-Purpose-KI ab einem bestimmten Compute-Schwellwert. KMU als Deployer können den Kodex nicht unterzeichnen und müssen das auch nicht. Eure Pflichten ergeben sich direkt aus Art. 26 KI-VO und Art. 4 KI-VO. Der Kodex hilft euch indirekt, weil eure Anbieter daraufhin strukturierte Dokumentation bereitstellen.
Was passiert, wenn unser GPAI-Anbieter den Kodex nicht unterzeichnet hat?
Dann muss der Anbieter seine Compliance auf anderem Weg nachweisen. Für euch als Deployer ändert sich erstmal nichts. Ihr braucht trotzdem die Anbieter-Dokumentation für eure DSFA und eure Compliance-Akte. Bei Nicht-Unterzeichnern ist das Material manchmal weniger strukturiert verfügbar. Im Zweifel bei der Vertragsverhandlung explizit anfordern.
Reicht es, wenn wir die ChatGPT-Variante mit Datenschutz nehmen?
Die Auswahl der API-Variante mit AVV ist ein wichtiger Baustein, aber nicht ausreichend. Ihr braucht zusätzlich die Use-Case-Dokumentation nach Art. 26 KI-VO, die KI-Kompetenz-Schulung nach Art. 4 KI-VO und die DSFA-Aktualisierung nach Art. 35 DSGVO. Bußgelder nach Art. 99 KI-VO können bis 35 Mio EUR betragen, nach Art. 83 DSGVO bei DSFA-Versäumnis bis 10 Mio EUR.
Wie oft müssen wir die Anbieter-Dokumentation aktualisieren?
Mindestens halbjährlich, besser quartalsweise. Anbieter aktualisieren ihre Modellkarten und Transparenz-Reports laufend, oft bei Modell-Updates. Wer einmal im Quartal die zentralen Dokumente neu zieht und mit der Vorversion vergleicht, fängt relevante Änderungen rechtzeitig auf. Diese Aufgabe lässt sich gut beim KI-Beauftragten oder Datenschutzbeauftragten bündeln.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weisst, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 26. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.