„With great [AI] power comes great responsibility.“ Doch welche Verantwortung und Pflichten ergeben sich konkret beim Einsatz von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI)? Mit diesem „Cliffhanger“ haben wir unseren letzten Beitrag zur Unterscheidung von GPAI mit und ohne systemische Risiken beendet. Heute lösen wir diesen Cliffhanger in unserer Blogreihe zum AI Act endlich auf.

In den vorherigen Beiträgen haben wir einen allgemeinen Überblick über die Anforderungen und Pflichten des AI Act gegeben (hier) und sind näher auf die Verantwortlichkeiten von Betreibern (hier) und Anbietern (hier) von KI-Systemen eingegangen. Was müssen nun Anbieter von KI-Modellen mit allgemeinem Verwendungszweck/ GPAI beachten?

Zweispaltige Tabelle, die die grundsätzlichen Pflichten für Anbieter von GPAI sowie die zusätzlichen Pflichten für Anbieter von GPAI mit systemischen Risiken gegenüberstellt.

Grundsätzlicher Pflichtenkatalog für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck / GPAI

Anbieter von KI-Modellen mit allgemeinem Verwendungszweck tragen eine besondere Verantwortung, da ihre Modelle oft die Grundlage für andere KI-Systeme bilden. Wir beginnen nun ausführlicher mit den grundsätzlichen Pflichten für alle KI-Modellen mit allgemeinem Verwendungszweck/GPAI, also die speziellen Pflichten, die die Anbieter bei KI-Modellen mit und ohne systemische Risiken treffen.

  1. Technische Dokumentationspflichten nach Art. 53 Abs. 1 lit. a i.V.m. Anhang XI (Abschnitt 1) des AI Act und Art. 53 Abs. 1 lit. b i.V.m. Anhang XII des AI Act

In Erwägungsgrund 101 des AI Act wir unter anderem Sinn und Zweck der Pflichten zur technischen Dokumentation erklärt. Die Anbieter von allgemeinen KI-Modellen tragen als erstes Glied der KI-Wertschöpfungskette eine besondere Verantwortung. Ihre Modelle können als Grundlage für viele andere KI-Systeme dienen. Die Anbieter eines darauf aufbauenden KI-Systems (nachgelagerte Anbieter) müssen das Modell gut verstehen, um es in ihre Systeme zu integrieren und die damit einhergehenden gesetzlichen Pflichten selbst erfüllen zu können. Daher müssen Anbieter von KI-Modellen sicherstellen, dass sie klare und aktuelle Dokumentationen und Informationen zu ihren Modellen bereitstellen. Diese dienen zudem etwaigen Nachweispflichten gegenüber dem Europäischen Büro für Künstliche Intelligenz (KI-Büro) und den zuständigen nationalen Behörden.

Für den Nachweis auf Anfragen der zuständigen nationalen Behörden muss die technische Dokumentation nach Art. 53 Abs. 1 lit. a i.V.m. Anhang XI (Abschnitt 1) des AI Act mindestens folgendes beinhalten:

  • eine allgemeine Beschreibung des KI‑Modells, die nach Anhang XI, Abschnitt 1 Nummer 1 AI Act folgendes beinhalten soll:
  • Aufgabenbeschreibung des Modells, sowie Art und Wesen der KI-Systeme, in die die Integration möglich ist,
  • anwendbare Regelungen der akzeptablen Nutzung,
  • Freigabedatum und Vertriebsmethoden,
  • Architektur und Parameteranzahl,
  • die Modalität (z.B. Text, Bild) und das Format der Ein- und Ausgaben,
  • die Lizenz.
  • eine ausführliche Beschreibung der Elemente des Modells und relevante Informationen zum Entwicklungsverfahren (siehe Anhang XI, Abschnitt 1 Nummer 2 AI Act).

Die technische Dokumentation, die nach Art. 53 Abs. 1 lit. b Ziff. ii i.V.m. Anhang XII des AI Act den nachgelagerten Anbietern zur Verfügung gestellt werden muss, verfolgt eine ähnliche Logik des Mindestinhalts, erfordert jedoch keine „ausführliche“ Beschreibung der Bestandteile des Modells und seines Entwicklungsprozesses.

  1. Strategie nach Art. 53 Abs. 1 lit. c AI Act

Nach Art. 53 Abs. 1 lit. c AI Act, müssen Anbieter eines KI-Modells mit allgemeinem Verwendungszweck/ GPAI zudem eine „Strategie zur Einhaltung des Urheberrechts der Union und damit zusammenhängender Rechte und insbesondere zur Ermittlung und Einhaltung eines gemäß Artikel 4 Absatz 3 der Richtlinie (EU) 2019/790 geltend gemachten Rechtsvorbehalts, auch durch modernste Technologien“ auf den Weg bringen.

Im Kontext der Erwägungsgründe 105 bis 109 des AI Act wird hier die Ratio dieser Pflicht verständlich. Es soll sichergestellt werden, dass der Schutzzweck des Urheberrechts sich in dem AI Act fortsetzt.

  1. Transparenz zu Trainingsmodalitäten des KI-Modells (Art. 53 Abs. 1 lit. d AI Act)

Art. 53 Abs. 1 lit. d AI Act sieht die Transparenzpflicht vor, dass Anbieter eine „hinreichend detaillierte Zusammenfassung“ erstellen und veröffentlichen müssen, um die Trainingsmodalitäten des KI-Modells zu erklären. In dieser Zusammenfassung soll erklärt werden, welche Inhalte für das Training des KI-Modells verwendet werden. Da die Frage der „hinreichend detaillierten Zusammenfassung“ Interpretationsspielraum zulässt, ist es zu begrüßen, dass das Büro für Künstliche Intelligenz hierfür eine Vorlage erstellen wird.

  1. Benennungspflicht eines Bevollmächtigten (Art. 54 AI Act) für Anbieter mit Niederlassungen in Drittländern

Für Anbieter eines KI-Modells mit allgemeinem Verwendungszweck, die in einem Drittland niedergelassen sind, sieht Art. 54 Abs. 1 AI Act die Benennungspflicht eines in der EU niedergelassenen Bevollmächtigten vor. Durch diese Benennungspflicht soll sichergestellt werden, dass innerhalb der EU ein Ansprechpartner des Anbieters im Drittland für Fragen zur Einhaltung des AI Act durch europäische KI-Behörden zur Verfügung steht.

Zusätzliche Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck / GPAI mit systemischem Risiko

Zusätzlich zu dem beschriebenen Pflichtenkatalog, treffen den Anbieter von KI-Modellen mit allgemeinem Verwendungszweck / GPAI mit systemischem Risiko weitere Pflichten.

  1. Mitteilungspflicht (Art. 52 Abs. 1 AI Act)

Den Anbieter eines KI-Modells mit allgemeinem Verwendungszweck/ GPAI mit systemischem Risiko trifft eine unverzügliche (in jedem Fall nach zwei Wochen) Mitteilungspflicht gegenüber der Europäischen Kommission nachdem:

  • die Bedingung eines KI-Modells mit allgemeinem Verwendungszweck/ GPAI mit systemischem Risiko nach Art. 51 Abs. 1 lit. a AI Act erfüllt ist oder
  • bekannt wird, dass diese Voraussetzung erfüllt wird.

Diese Mitteilung muss Informationen zum Erfüllungsnachweis der Bedingung nach Art. 51 Abs. 1 lit. a AI Act beinhalten.

  1. Erweiterte Technische Dokumentationspflicht nach Art. 53 Abs. 1 lit. a i.V.m. Anhang XI (Abschnitt 2) des AI Act

Die Anbieter von GPAI mit systemischen Risiken müssen, neben den dargestellten Anforderungen an die technische Dokumentation, zusätzlich weitere Informationen angeben. Nach Anhang XI (Abschnitt 2) des AI Act muss die technische Dokumentation folgendes beinhalten:

  • Eine ausführliche Beschreibung der Prüfstrategien:
    Diese sollte die Ergebnisse von Tests beinhalten, die auf öffentlich zugänglichen Prüfprotokollen und -werkzeugen oder anderen Prüfmethoden basieren. Die Prüfstrategien müssen zudem die verwendeten Prüfkriterien und Metriken sowie die Methodik zur Identifizierung von Einschränkungen umfassen.
  • eine umfassende Darstellung der Maßnahmen zur Durchführung von internen und/oder externen Angriffstests:
    Dazu gehören beispielsweise Red-Teaming-Aktivitäten sowie Anpassungen des Modells, einschließlich seiner Ausrichtung und Feinabstimmung.
  • eine detaillierte Beschreibung der Systemarchitektur:
    Diese sollte verdeutlichen, wie die verschiedenen Softwarekomponenten miteinander interagieren, sich ergänzen und in die Gesamtverarbeitung integriert sind.
  1. Spezielle Pflichten nach Art. 55 Abs. 1 AI Act

Nach Art. 55 Abs. 1 AI Act müssen durch Anbieter von KI-Modellen mit allgemeinem Verwendungszweck/ GPAI mit systemischen Risiken neben der erweiterten Dokumentationspflichten folgende spezielle Pflichten erfüllt werden.

  • Modellbewertung zur Identifizierung und Reduzierung von systemischen Risiken:
    Anbieter sind verpflichtet, ihre Modelle mithilfe standardisierter Protokolle und Werkzeuge auf dem neuesten Stand der Technik zu bewerten. Dies schließt auch die Durchführung und Dokumentation von Angriffstests ein, um potenzielle systemische Risiken zu identifizieren und zu minimieren.
  • Potenzielle systemische Risiken erkennen, bewerten und mindern:
    Anbieter müssen systemische Risiken, die auf Unionsebene durch die Entwicklung, den Vertrieb oder die Nutzung von KI-Modellen mit allgemeinem Verwendungszweck und systemischem Risiko entstehen könnten, bewerten und Maßnahmen zur Risikominderung ergreifen.
  • Informationspflicht bei schwerwiegenden Vorfällen gegenüber Büro für Künstliche Intelligenz und nationalen Behörden
    Anbieter müssen relevante Informationen über schwerwiegende Vorfälle erfassen, dokumentieren und das Büro für Künstliche Intelligenz sowie gegebenenfalls die zuständigen nationalen Behörden unverzüglich darüber informieren.
  • Gewährleistung von Cybersicherheit:
    Anbieter sind dafür verantwortlich, ein angemessenes Maß an Cybersicherheit für ihre KI-Modelle mit allgemeinem Verwendungszweck / GPAI mit systemischem Risiko sowie die dazugehörige physische Infrastruktur sicherzustellen.

Bis zur Veröffentlichung einer harmonisierten Norm können Anbieter von KI-Modellen mit allgemeinem Verwendungszweck und systemischen Risiken den Nachweis der Erfüllung dieser Pflichten gemäß Art. 55 Abs. 2 S. 1 AI Act auf sogenannte „codes of practice“ (in der deutschen Version des AI Act als Praxisleitfäden oder Verhaltenskodizes bezeichnet) nach Art. 56 AI Act stützen. Diese Leitfäden sollen laut Art. 56 Abs. 9 AI Act bis zum 2. Mai 2025 bereitgestellt werden und den Anbietern eine wertvolle Orientierung bieten.

Gibt es Erleichterungen?

Neben den eben genannten „codes of practices“ zur Erleichterung des Nachweises der erfüllten Pflichten nach Art. 55 Abs. 1 AI Act, sieht der AI Act weitere Möglichkeiten vor, die Anbietern von KI-Modellen mit allgemeinem Verwendungszweck/ GPAI das Leben erleichtern können. So bietet Art. 52 Abs. 2 und Abs. 5 AI Act Möglichkeiten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck/ GPAI mit systemischem Risiko, nicht als ein solches Modell mit systemischem Risiko eingestuft zu werden. Zudem kennt der AI Act Ausnahmen für bestimmte Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck/ GPAI ohne systemische Risiken, wenn das KI-Modell im Rahmen einer freien und quelloffenen Lizenz bereitgestellt wird und weitere Voraussetzungen erfüllt werden.

Fazit

Die Regulierung von KI-Modellen mit allgemeinem Verwendungszweck/ GPAI durch den AI Act stellt Anbieter vor neue und erhebliche Herausforderungen. Die umfassenden Dokumentations-, Transparenz- und Sicherheitsanforderungen sollen sicherstellen, dass diese Technologien verantwortungsvoll entwickelt und eingesetzt werden. Insbesondere für Anbieter von Modellen mit systemischem Risiko sind die zusätzlichen Pflichten von entscheidender Bedeutung, um mögliche negative Auswirkungen frühzeitig zu erkennen und abzumildern.

Dennoch sieht der AI Act auch Hilfestellungen vor: Durch etwaige „codes of practice“ und spezifische Erleichterungen können Anbieter Unterstützung finden, um die komplexen Anforderungen zu erfüllen. Der Schlüssel zum Erfolg wird in der proaktiven Anpassung an diese neuen Regelungen liegen. Anbieter sollten jetzt die Weichen stellen, um nicht nur den gesetzlichen Vorgaben gerecht zu werden, sondern auch das Vertrauen der Nutzer und der Öffentlichkeit in ihre Technologien zu stärken.  Insgesamt markiert der AI Act einen wichtigen Schritt hin zu einer sichereren und verantwortungsvolleren Nutzung von KI in Europa. Für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck/ GPAI ist es daher unerlässlich, sich frühzeitig auf die neuen Regelungen vorzubereiten und ihre Strategien entsprechend anzupassen.