KI mit allgemeinem Verwendungszweck (GPAI): EU-Leitlinien und Verhaltenskodex

Von: Referat Verbraucherpolitik, Bayerisches Staatsministerium für Umwelt und Verbraucherschutz

Seit August 2025 gelten in der EU im Rahmen der KI-Verordnung neue Regeln für bestimmte KI-Modelle, genannt GPAI. Viele dieser KI-Modelle sind sehr einfach über einen Chatbot zugänglich und werden daher von Verbraucherinnen und Verbrauchern immer stärker genutzt. Speziell zu GPAI-Modellen hat die EU-Kommission Leitlinien sowie einen Verhaltenskodex für Anbieter veröffentlicht. Was genau ist GPAI, was steht in den Regelungen der EU-Kommission und was bedeutet das für Verbraucher?

Wann spricht man von GPAI und warum werden GPAI-Modelle reguliert?

GPAI steht für „General Purpose Artificial Intelligence“. Auf Deutsch übersetzt heißt das „KI mit allgemeinem Verwendungszweck“. Das sind leistungsstarke KI-Modelle, die nicht nur für eine bestimmte Aufgabe entwickelt wurden, sondern vielseitig einsetzbar sind.

Solche KI-Modelle sind über Chatbots sehr einfach zugänglich und haben als „Le Chat Mistral“, „ChatGPT“, „Claude“, „Gemini“, „Copilot“ etc. im Alltag vieler Menschen bereits einen festen Platz. Auch die Bilder in diesem Artikel wurden mithilfe von GPAI erstellt.

Sie können vielfältig genutzt werden: Als Formulierungshilfe, als Sprachassistenz, für Übersetzungen, für die Recherche im Internet, zur Erstellung von Bildern und Videos, etc. Um dieses breite Spektrum an Aufgaben bewältigen zu können, werden diese KI-Modelle mit riesigen Datenmengen trainiert.

Aufgrund ihrer Leistungsfähigkeit und weiten Verbreitung können diese Modelle erhebliche Auswirkungen auf die Gesellschaft haben. Sie bringen neben einem praktischen Nutzen auch gewisse Risiken mit sich, zum Beispiel die Verbreitung von Falschinformationen, Urheberrechtsverletzungen oder Sicherheitslücken. Die KI-Verordnung der Europäischen Union, die am 1. August 2024 in Kraft getreten ist, reguliert daher erstmals unter anderem diese KI-Modelle.

Sie beinhaltet konkrete Pflichten für Unternehmen, die GPAI-Modelle entwickeln und anbieten. Um diese zu konkretisieren, hat die EU-Kommission zwei wichtige Dokumente veröffentlicht: Zum einen Leitlinien für GPAI-Modelle und zum anderen einen Verhaltenskodex für GPAI-Anbieter. Verbraucherinnen und Verbraucher können sich auf den Internetseiten der EU direkt informieren, ob ihre bevorzugte Alltags-KI diesem Kodex entspricht.

Die EU-Leitlinien: Mehr Klarheit für alle Beteiligten

Die von der EU-Kommission am 18. Juli 2025 veröffentlichten ausführlichen Leitlinien erklären genau, welche KI-Modelle überhaupt als GPAI gelten und welche Pflichten für die GPAI-Anbieter daraus entstehen.

Wann gilt ein KI-Modell als GPAI?

Nicht jedes KI-Modell fällt unter die GPAI-Regeln. Die EU-Kommission hat in den Leitlinien technische Kriterien eingeführt, die KI-Entwickler/-innen hilft zu verstehen, ob es sich bei ihrem Modell um eine GPAI-KI handelt. Aktuell gilt als Richtwert: Wenn für das Training eines Modells zur Bewältigung unterschiedlicher Aufgaben mehr als 1023 Gleitkommaoperationen pro Sekunde (sogenannte FLOPs) benötigt wurden, wird es in der Regel als GPAI eingestuft.

Vereinfacht ausgedrückt handelt es sich dann um eine GPAI, wenn das KI-Modell ein breites Spektrum verschiedenster Aufgaben bewältigen kann und für ihr Training ein sehr großer Rechenaufwand und riesige Datenmengen erforderlich waren.

Ein Beispiel zur Verdeutlichung des Vielseitigkeits-Kriteriums: Ein KI-Modell, das nur den Zweck hat, Sprache in Text zu verwandeln oder nur Bilder hochskaliert, ist kein GPAI-Modell, selbst dann, wenn mehr als 1023 Gleitkommaoperationen dafür nötig waren.

Alle aktuell sehr verbreiteten KI-Modelle, die auf den großen Sprachmodellen (den sogenannten Large Language Models, LLM) basieren und Texte schreiben, Fragen beantworten, Bilder generieren und noch vieles mehr können, fallen in diese Kategorie und gelten als GPAI.

GPAI-Modelle mit systemischem Risiko: Besonders leistungsstarke KI-Modelle

Die KI-Verordnung unterscheidet zwischen „allgemeinen“ GPAI-Modellen und solchen mit „systemischem Risiko“. Letztere sind besonders leistungsstarke Modelle, die aufgrund ihrer Fähigkeiten erhebliche negative Auswirkungen auf die Gesellschaft haben könnten.
Was macht ein systemisches Risiko aus?

Ein GPAI-Modell wird als systemisches Risiko eingestuft, wenn mindestens eines der folgenden Kriterien erfüllt ist:

Schwellenwert bei der Rechenleistung: Wenn für das Training mehr als 1025 FLOPs (Gleitkommaoperationen pro Sekunde) aufgewendet wurden, gilt das Modell als ein Modell mit systemischem Risiko. Das bedeutet ausgeschrieben 10.000.000.000.000.000.000.000.000 Rechenoperationen pro Sekunde, also eine schwer vorstellbare Zahl. Im April 2025 erfüllten schätzungsweise weltweit nur etwa 11-15 Modelle diesen Schwellenwert. Diese Anzahl ist zwischenzeitlich bereits gestiegen und wird wohl im Zuge der schnell fortschreitenden KI-Entwicklung weiter ansteigen. Eine Übersicht der Schätzungen zum Umfang der Trainingsdaten findet sich auf der Website des Forschungsinstituts Epoch AI.

Entscheidung der EU-Kommission: Auch Modelle unterhalb dieses Schwellenwerts können von der EU-Kommission als eine KI mit systemischem Risiko eingestuft werden, z.B. wenn sie aufgrund ihrer Reichweite, ihrer Fähigkeiten, ihrer Anpassungsfähigkeit oder ihrer Nutzerzahlen erhebliche Auswirkungen haben.

Anbieter müssen die EU-Kommission informieren, wenn ihr Modell den Schwellenwert erreicht oder voraussichtlich erreichen wird.

Zusätzliche Pflichten für Modelle mit systemischem Risiko

Für diese besonders leistungsstarken Modelle gelten zusätzlich zu den grundlegenden Plichten der Anbieter für GPAI, die insbesondere Informations- und Dokumentationspflichten sowie Strategien zum Schutz von Urheberrechten beinhalten, folgende Anforderungen:

• Regelmäßige Sicherheitstests: Die Modelle müssen systematisch auf Schwachstellen und Risiken getestet werden (sogenannte „Adversarial Tests”). Beispiele für diese Risiken sind Möglichkeiten zur vorsätzlichen Fehlanwendung durch Nutzer, aber auch Diskriminierungen und Verletzungen der Privatsphäre.
• Risikobewertung und -minderung: Anbieter müssen mögliche Risiken systematisch identifizieren und Maßnahmen ergreifen, um diese zu reduzieren.
• Meldung schwerwiegender Vorfälle: Wenn etwas schiefgeht, wenn z. B. das Modell für schädliche Zwecke missbraucht wird oder Sicherheitslücken entdeckt werden, muss der Anbieter dies den zuständigen Behörden unverzüglich melden.
• Cybersicherheit: Es müssen hohe Standards für die Sicherheit der Systeme eingehalten werden, um Hackerangriffe und Missbrauch zu verhindern.

Der GPAI-Verhaltenskodex (Code of Practice): Freiwillig aber wichtig

Am 10. Juli 2025 hat die EU-Kommission den „General Purpose AI Code of Practice“ veröffentlicht. Übersetzt bedeutet das, es ist ein KI-Verhaltenskodex für allgemeine Zwecke. Dieser Kodex ist das Ergebnis eines monatelangen Prozesses, an dem fast 1.000 Beteiligte aus Wirtschaft, Wissenschaft und Verbraucherschutzorganisationen mitgearbeitet haben.

Die Einhaltung des Verhaltenskodexes für GPAI ist freiwillig. Das heißt: Kein Unternehmen muss ihn unterschreiben. Es ist aber für GPAI-Anbieter mitunter vorteilhaft, die Verpflichtungen der KI-Verordnung auf diese Weise zu erfüllen. Die Liste der Unterzeichnerinnen und Unterzeichner wird von der EU-Kommission laufend aktualisiert und sie ist auf ihrer Website öffentlich einsehbar.

Was genau steht im GPAI-Verhaltenskodex?

Der Verhaltenskodex gliedert sich in drei Hauptkapitel: Transparenz, Urheberrecht und Sicherheit und Gefahrenabwehr.
Kapitel 1 im Verhaltenskodex: Transparenz
Die Transparenzpflichten im Verhaltenskodex bedeuten, dass Anbieter offenlegen müssen, wie ihre Modelle funktionieren, welche Daten zum Training verwendet wurden und welche Grenzen die Modelle haben. Das kann Verbraucherinnen und Verbrauchern helfen, die Ergebnisse besser einzuordnen bzw. für den beabsichtigten Zweck das geeignete KI-Modell auszuwählen. Auch ist nicht jedes KI-Modell für jeden Zweck gleich gut geeignet.

Wichtig: Auch wenn GPAI-Anbieter für ihre Modelle umfangreiche Transparenz und Dokumentationspflichten haben, so ist für Verbraucherinnen und Verbraucher nach wie vor eine kritische Prüfung der KI-Antworten unerlässlich. KI-Modelle können trotz aller Verbesserungen Fehler machen und falsche oder irreführende Informationen liefern. Verlassen Sie sich nicht blind auf KI-Ergebnisse, sondern prüfen Sie wichtige Informationen mit verlässlichen Quellen.

Kapitel 2 im Verhaltenskodex: Urheberrecht

GPAI-Anbieter müssen nachweisen, dass sie beim Training ihrer Modelle die Urheberrechte respektieren. Das bedeutet konkret:

• Keine illegalen Quellen: Anbieter dürfen nicht einfach urheberrechtlich geschützte Werke aus dem Internet kopieren, ohne die Rechte daran zu haben.
  
• Transparenz über Trainingsdaten: Anbieter müssen eine Zusammenfassung veröffentlichen, welche Art von Daten sie zum Training verwendet haben. Das gibt Urheberinnen und Urhebern von Inhalten die Möglichkeit, nachzuvollziehen, ob ihre Werke verwendet wurden.
• Beschwerdemechanismen: Wenn Urheberinnen und Urheber der Ansicht sind, dass ihre Werke widerrechtlich für das Training verwendet wurden, so sollen sie dies beim entsprechenden KI-Anbieter melden können.

Kapitel 3 im Verhaltenskodex: Sicherheit und Gefahrenabwehr

Ein zentrales Ziel der neuen Regelungen ist es, sicherzustellen, dass GPAI-Modelle nicht für schädliche Zwecke missbraucht werden können. Dazu müssen die Anbieter von GPAI-Modellen verschiedene Maßnahmen ergreifen:

• Modellbewertungen: Regelmäßige Tests sollen zeigen, ob das Modell Schwachstellen hat. Ob es sich z. B. dazu bringen lässt, schädliche Inhalte zu erstellen oder Sicherheitsvorkehrungen zu umgehen.
• Risikoidentifizierung: Anbieter müssen systematisch überlegen, welche Risiken von ihrem Modell ausgehen könnten - von der Verbreitung von Desinformation über Cybersicherheitsbedrohungen bis zu möglichen Auswirkungen auf Grundrechte.
• Sicherheitsupdates: Wenn Risiken oder Schwachstellen entdeckt werden, müssen Anbieter schnell reagieren und Verbesserungen einführen.
  

Was bedeuten die GPAI-Regelungen für Verbraucherinnen und Verbraucher?

Weniger Risiken für Verbraucher

Die neuen Regeln richten sich zwar in erster Linie an die Unternehmen, die GPAI-Modelle entwickeln, anbieten oder betreiben. Sie haben aber auch Auswirkungen auf Verbraucherinnen und Verbraucher:

• Weniger Fehlinformationen: Anbieter müssen Maßnahmen ergreifen, damit ihre Modelle möglichst wenig Falschinformationen verbreiten.
• Besserer Schutz vor Manipulation: Die Modelle sollen widerstandsfähiger gegen Missbrauch werden – etwa gegen Versuche, sie für schädliche Zwecke einzusetzen und/ oder zu manipulieren.
• Schnellere Reaktion bei Problemen: Wenn schwerwiegende Vorfälle auftreten, müssen Anbieter diese unverzüglich melden und Gegenmaßnahmen ergreifen.

Urheberrecht auch bei der GPAI-Nutzung beachten

Auch wenn die Anbieter von GPAI-Modellen durch die neuen Regelungen stärker in die Pflicht genommen werden, so müssen Verbraucherinnen und Verbraucher bei der Nutzung von GPAI-Modellen nach wie vor das Urheberrecht beachten:

• Urheberrecht bei der Eingabe: Geben Sie keine urheberrechtlich geschützten Texte, Bilder oder andere Inhalte als Frage oder Anweisung (auch Prompt genannt) ein, wenn Sie nicht die Rechte daran haben. Die Anbieter könnten diese Eingaben für das weitere Training ihrer Modelle verwenden.
• Urheberrecht bei der Ausgabe: Auch KI-generierte Inhalte können urheberrechtliche Probleme aufwerfen. Wenn durch das KI-Modell Teile aus geschützten Werken reproduziert wurden, könnten Sie beim Veröffentlichen dieser Inhalte Urheberrechte verletzen.
• Persönliche Daten Dritter: Geben Sie niemals persönliche Informationen über andere Personen in KI-Tools ein - das kann Persönlichkeitsrechte verletzen.
• Kennzeichnungspflichten: In vielen Fällen müssen KI-generierte Inhalte als solche gekennzeichnet werden. Das gilt besonders für die Erstellung KI-generierter oder mit Hilfe von KI verfremdeter Bilder, Videos oder Audio-Aufnahmen real existierender Personen oder Orte (sogenannte „Deepfakes“). In den sozialen Medien finden sich solche Deepfakes mittlerweile immer häufiger.
  Mehr Informationen zum Thema Urheberrecht und KI finden Sie im Artikel über Urheberrechte im Internet.

Was können Verbraucherinnen und Verbraucherfür die eigene Sicherheit tun?

• Seien Sie kritisch: Glauben Sie nicht alles, was eine KI Ihnen sagt. Prüfen Sie wichtige Informationen mit anderen, verlässlichen Quellen. Der Faktenfuchs des Bayerischen Rundfunks z. B. gibt Tipps, wie Sie Informationen im Netz selbst überprüfen können.
• Achten Sie auf Deepfakes: Seien Sie besonders vorsichtig bei besonders ungewöhnlichen oder auch reißerischen oder polarisierenden Videos, Bildern oder Audioaufnahmen von bekannten realen Personen oder Orten. Diese könnten KI-generiert und manipuliert sein. Fragen Sie sich: Ist die Quelle vertrauenswürdig? Wirkt etwas unnatürlich?
• Schützen Sie Ihre Daten: Geben Sie in KI-Tools keine sensiblen persönlichen Informationen ein – weder über sich selbst noch über andere. Mehr zum Thema Datenschutz im Zusammenhang mit KI finden Sie im Artikel über Künstliche Intelligenz im Alltag.
• Melden Sie Probleme: Wenn Sie auf problematische KI-Inhalte stoßen z. B. auf Deepfakes, die jemanden diffamieren oder auf sonstige irreführende Informationen, dann melden Sie diese auf der jeweiligen Plattform.
  

Der Freistaat Bayern stellt Ihnen auf dieser Website unabhängige, wissenschaftsbasierte Informationen zum Verbraucherschutz zur Verfügung.
Einzelfallbezogene Rechtsauskünfte und persönliche Beratung können wir leider nicht anbieten. Auch dürfen wir Firmen, die sich wettbewerbswidrig verhalten, nicht selbst abmahnen.
Sollten noch Fragen zu Ihrem konkreten Sachverhalt verbleiben, wenden Sie sich bitte an die unter Service genannten Anlaufstellen.