Ein neuer Regulierungsrahmen für Künstliche Intelligenz in der Europäischen Union

Die Europäische Union hat einen bedeutenden Fortschritt in der Regulierung von Künstlicher Intelligenz (KI) erzielt, ein Jahr nach dem Inkrafttreten des EU AI Acts. Ab dem 2. August 2025 treten die Bestimmungen für allgemeine KI-Modelle (GPAI) in Kraft. Diese Regelungen zielen darauf ab, sicherzustellen, dass solche flexiblen und vielseitig einsetzbaren Modelle, die für unterschiedlichste Anwendungen von der Inhaltserstellung bis hin zu komplexen Entscheidungsprozessen genutzt werden, auf sichere und vertrauenswürdige Weise betrieben werden.

Die Anpassungsfähigkeit von GPAI-Modellen ermöglicht deren Integration in verschiedenen Sektoren und für unterschiedlichste Zwecke. Dies birgt jedoch auch erhebliche Risiken. Ohne klar definierte Sicherheitsmechanismen könnten sie eingesetzt werden, um Vorurteile zu verstärken, Fehlinformationen zu verbreiten oder Sicherheitsanfälligkeiten zu schaffen. Der AI Act verfolgt das Ziel, solche unerwünschten Ergebnisse zu verhindern und gleichzeitig verantwortungsvolle Innovation zu fördern.

Pflichten für Anbieter von GPAI-Modellen

Jeder Anbieter, der ein GPAI-Modell auf den EU-Markt bringt, muss bestimmte Anforderungen erfüllen:

  • Erstellung technischer Dokumentationen, die die Trainings- und Testprozesse im Detail beschreiben und sowohl für Aufsichtsbehörden als auch für nachgelagerte Nutzer zugänglich sind;
  • Implementierung einer Urheberrechtspolitik, die sicherstellt, dass die Trainingsdaten rechtmäßig beschafft und respektvoll gegenüber den Rechten Dritter behandelt werden;
  • Veröffentlichung einer klaren Zusammenfassung der für das Modelltraining verwendeten Inhalte, unter Verwendung der standardisierten Vorlage.

Diese Maßnahmen sind darauf ausgerichtet, Transparenz zu schaffen und sicherzustellen, dass Anbieter von GPAI-Modellen ihrer Verantwortung in Bezug auf ethische Standards und rechtliche Anforderungen nachkommen.

Zusätzliche Anforderungen für GPAI-Modelle mit systemischen Risiken

Für die fortschrittlichsten GPAI-Modelle, die potenziell großflächigen Schaden verursachen könnten, bringt der AI Act zusätzliche Pflichten mit sich. Hierzu zählen:

  • Die Durchführung von Modellenbewertungen zur Identifizierung und Minderung systemischer Risiken;
  • Die Einschätzung und Minderung von möglichen systemischen Risiken, die während der Entwicklung, Markteinführung oder Nutzung der Modelle auftreten können;
  • Die Dokumentation und Meldung schwerwiegender Vorfälle sowie der ergriffenen Mängelbehebungsmaßnahmen an die Aufsichtsbehörden;
  • Die Sicherstellung eines angemessenen Niveaus an Cybersicherheitsschutz.

Diese Anforderungen sollen gewährleisten, dass GPAI-Modelle verantwortungsvoll entwickelt und eingesetzt werden, um potenzielle Gefahren frühzeitig zu erkennen und zu beseitigen.

Richtlinien und Durchsetzung

Die Europäische Kommission hat eine Vielzahl von Werkzeugen eingeführt, um den Anbietern die Vorbereitung auf die Einhaltung der neuen Vorschriften zu erleichtern. Dies umfasst:

  • Richtlinien, die die Definition eines GPAI-Modells, die Kriterien für die Klassifizierung als Anbieter sowie die Fristen und verfügbaren Ausnahmen klären;
  • Eine Vorlage für die Veröffentlichung der erforderlichen Zusammenfassung der Trainingsdaten;
  • Der Code of Practice, ein freiwilliger Rahmen, der zusammen mit Branchenexperten entwickelt wurde, um Anbietern die Einhaltung des AI Acts zu erleichtern.

Bekannte Anbieter wie Amazon, Anthropic, Google, IBM, Microsoft und OpenAI haben bereits den Code of Practice unterzeichnet, was ihre Absicht signalisiert, sich an den AI Act zu halten.

Während die Pflichten für GPAI-Modelle am 2. August 2025 in Kraft treten, beginnt die Durchsetzung von Strafmaßnahmen ein Jahr später, am 2. August 2026. Ältere Modelle, die bereits auf dem Markt sind, erhalten bis zum 2. August 2027 zusätzliche Zeit zur Erfüllung dieser Anforderungen.

Fazit: Wegweisende Maßnahmen zur KI-Regulierung

Die Verpflichtungen des AI Acts bezüglich GPAI stellen einen klaren Übergang von allgemeinen Prinzipien zu konkreten Regelungen dar. Anbieter sehen sich festen Zeitrahmen, definierten Pflichten und praktischen Werkzeugen gegenüber, um ihre Einhaltung nachzuweisen. Mit großen Akteuren, die bereits dem Code of Practice beigetreten sind, wird die eigentliche Herausforderung in der Umsetzung und Durchsetzung dieser Verpflichtungen liegen. Unternehmen, die Modelle wie GPT-4 oder Claude einsetzen, müssen sicherstellen, dass ihre Anbieter die Transparenz- und Dokumentationsstandards des AI Acts erfüllen, interne Teams entsprechend schulen und klare Prozesse für die Meldung von Vorfällen aufrechterhalten. Durch proaktive Maßnahmen können Unternehmen die Vorteile von GPAI nutzen, während sie gleichzeitig Risiken managen und die gesetzlichen Vorgaben einhalten.