TLDR : Der AI Act, die europäische Verordnung zur künstlichen Intelligenz (KI), gilt seit Februar 2024 trotz des Widerstands einiger Unternehmen. Er legt Verpflichtungen für allgemeine KI-Modelle fest, darunter eine umfassende technische Dokumentation, eine Urheberrechtspolitik und eine Zusammenfassung der Trainingsdaten. Unternehmen, die nicht konform sind, drohen Geldstrafen von bis zu 15 Millionen Euro oder 3% ihres weltweiten Umsatzes.
Inhaltsverzeichnis
Die ersten Bestimmungen des AI Act, der im August 2024 in Kraft getreten ist, bezüglich unzulässiger KI-Risiken wurden letzten Februar angewendet. Trotz des von rund fünfzig Unternehmen der EU AI Champions Initiative geforderten Moratoriums „Stop the Clock“ zur Fortsetzung der Umsetzung der Verordnung, sind die Verpflichtungen für allgemeine KI-Modelle (GPAI) seit letztem Samstag wirksam.
Die EU war Vorreiter bei der Schaffung eines regulatorischen Rahmens zur Regulierung der KI hinsichtlich ihres Schadenspotenzials. Ziel des AI Act oder RIA ist es sicherzustellen, dass KI-Systeme und -Modelle, die in der EU vermarktet werden, auf ethische, sichere Weise und unter Wahrung der grundlegenden EU-Rechte genutzt werden.
Die von der Europäischen Kommission am 18. Juli veröffentlichten Leitlinien klären die Anwendbarkeit der Verordnung auf GPAI-Modelle. Jedes KI-Modell, das eine Rechenkapazität von mehr als 10²³ FLOPs (also das Volumen der beim Training genutzten Gleitkommaoperationen) aufweist, ohne spezifischen Zweck (Wettervorhersagen, Spiele...) entwickelt wurde, aber in einer Vielzahl von Kontexten wiederverwendbar ist, wird in diese Kategorie eingeordnet.
Die Verpflichtungen decken den gesamten Lebenszyklus der Modelle ab, vom Pre-Training bis zur Bereitstellung, einschließlich Updates und nachträglicher Änderungen nach der Markteinführung. Die Anbieter müssen bereitstellen:
- eine umfassende technische Dokumentation, für nachgelagerte Anbieter, die das Modell in ihr KI-System integrieren, und auf Anfrage an das Europäische KI-Büro (AI Office) oder an die zuständigen nationalen Behörden.
- eine Zusammenfassung der Trainingsdaten, gemäß dem standardisierten Modell, das ihnen das AI Office zur Verfügung stellen wird;
- eine Urheberrechtspolitik, die mit dem europäischen Recht in Einklang steht.
Das grundlegende Prinzip der Verordnung bleibt unverändert: Je höher das Risiko, desto strenger die Anforderungen. Diese Verpflichtungen werden für GPAI, die als systemisch risikoreich gelten, verstärkt, Modelle, die die Schwelle von 10²⁵ kumulierten FLOPs überschreiten. Diese müssen verstärkten Risikomanagementverfahren unterzogen werden, insbesondere im Hinblick auf Cybersicherheit, Meldung schwerwiegender Vorfälle oder kontinuierliche Tests. Eine regulatorische Belastung, die als schwer tragbar eingeschätzt wird...
Diese Schwelle ist jedoch nicht starr: Eine Neubewertung der tatsächlichen Risiken kann von den Anbietern verlangt werden.
Anbieter, Änderungen und Open-Source-Status
Jedes Unternehmen, das ein Modell auf dem europäischen Markt anbietet, gilt als Anbieter, unabhängig vom ursprünglichen Entwicklungsort. Ein nachgelagerter Akteur, der eine Änderung des Modells unter Verwendung von mehr als einem Drittel seiner ursprünglichen Rechenleistung vornimmt, gilt ebenfalls als Anbieter und unterliegt den Verpflichtungen.
Modelle, die unter einer freien und offenen Lizenz veröffentlicht werden, profitieren von einem teilweisen Befreiungsregime. Vorausgesetzt, sie erfüllen bestimmte Kriterien (keine Monetarisierung oder Erhebung persönlicher Daten), unterliegen diese Modelle nicht den Verpflichtungen der Dokumentation an nachgelagerte Anbieter oder Behörden. Sobald jedoch die Schwelle des systemischen Risikos überschritten wird, gilt keine Befreiung.
Code of Good Practices
Trotz ihres Inkrafttretens am 2. August letzten Jahres, gelten diese Regeln erst ab August 2026 für neue Modelle und ab August 2027 für bestehende Modelle. Diese Fortschrittlichkeit, die vom KI-Büro geleitet wird, soll den Unternehmen Zeit zur Anpassung geben.
Um den Anbietern zu helfen, sich daran zu halten, hat die Kommission, wenige Tage vor ihren Leitlinien, einen Code of Good Practices veröffentlicht. Diejenigen, die sich dafür entscheiden, profitieren von einer Reduzierung ihrer administrativen Belastung und einer erhöhten Rechtssicherheit im Vergleich zu denen, die ihre Konformität auf andere Weise nachweisen. Google, OpenAI, Mistral, Microsoft haben dies bereits getan, während Meta abgelehnt hat, unter Berufung auf rechtliche Unsicherheiten und eine ungerechtfertigte Ausweitung des regulatorischen Rahmens.
Die für die Nichteinhaltung dieser Verpflichtungen vorgesehenen Geldstrafen können bis zu 15 Millionen Euro oder 3% des weltweiten Umsatzes der Unternehmen betragen. Jedes EU-Mitgliedsland muss der Kommission die Aufsichtsbehörden benennen, die die Unternehmen kontrollieren werden. Obwohl in Frankreich bisher keine benannt wurde, wird erwartet, dass die Cnil eine zentrale Rolle spielt, sektorspezifische Instanzen wie Arcom oder Anssi werden ebenfalls in Betracht gezogen.