Die EU als Vorreiter: Der AI Act belegt es
Am 2. August 2025 trat die zweite Phase des EU AI Act in Kraft, die Verpflichtungen für allgemeine Modelle einführte. Der AI Act trat erstmals im Februar 2025 in Kraft, wobei die erste Reihe von Anwendungen gesetzlich verankert wurde. Die Gesetzgebung folgt einem gestaffelten Ansatz, wobei die letzte Welle für den 2. August 2027 erwartet wird.
August 2025 wird als der Monat markiert, in dem ein neues Regelwerk im Rahmen des AI Act durchgesetzt wurde, der ersten umfassenden AI-Gesetzgebung der Welt, die schrittweise implementiert wird. Ähnlich wie die GDPR für den Datenschutz in den 2010er Jahren, wird der AI Act das globale Vorbild für die Governance der transformierenden Technologie der KI für die kommenden Jahrzehnten sein.
Die jüngsten Nachrichten über rechtliche Schritte, diesmal gegen OpenAI, durch die Eltern des 16-jährigen Adam Raine, der sich nach monatelanger intensiver Nutzung von ChatGPT das Leben nahm, verdeutlichen das Potenzial für Schaden und die Notwendigkeit, die Technologie zu regulieren.
Risikomanagementansatz des AI Act
Der AI Act verfolgt einen Risikomanagementansatz; er zielt darauf ab, Transparenz und Verantwortlichkeit für KI-Systeme und deren Entwickler zu regulieren. Obwohl er 2024 in Kraft trat, wurde die erste Welle der Durchsetzung im Februar 2025 implementiert, die „unvertretbare Risiken“ abdeckte, einschließlich KI-Systemen, die als klare Bedrohung für die gesellschaftliche Sicherheit angesehen werden. Die zweite Welle, die in diesem Monat umgesetzt wurde, betrifft allgemeine KI-Modelle (GPAI) und ist in Bezug auf den Umfang arguably die wichtigste.
Ab dem 2. August 2025 müssen GPAI-Anbieter Transparenz- und Urheberrechtsverpflichtungen einhalten, wenn sie ihre Modelle auf dem EU-Markt anbieten. Dies gilt nicht nur für in der EU ansässige Unternehmen, sondern auch für jede Organisation mit Aktivitäten in der EU. GPAI-Modelle, die vor dem 2. August 2025 auf dem Markt waren, müssen bis zum 2. August 2027 konform sein.
Für die Zwecke des Gesetzes umfassen GPAI-Modelle solche, die mit über 10^23 Fließkommaoperationen (FLOP) trainiert wurden und in der Lage sind, Sprache (ob Text oder Audio), Text-zu-Bild oder Text-zu-Video zu generieren.
Verpflichtungen für GPAI-Anbieter
Anbieter von GPAI-Systemen müssen technische Dokumentationen über das Modell führen, einschließlich einer ausreichend detaillierten Zusammenfassung ihres Trainingskorpus. Darüber hinaus müssen sie eine Richtlinie implementieren, um die EU-Urheberrechtsgesetze einzuhalten. Innerhalb der Gruppe der GPAI-Modelle gibt es eine spezielle Kategorie, die als „systemisches Risiko“ betrachtet wird, sehr fortgeschrittene Modelle, die nur von einer kleinen Anzahl von Anbietern entwickelt werden. Firmen innerhalb dieser Kategorie haben zusätzliche Verpflichtungen, wie z. B. die Europäische Kommission über die Entwicklung eines als systemisches Risiko geltenden Modells zu informieren und Schritte zur Gewährleistung der Sicherheit und des Schutzes des Modells zu unternehmen.
Die Klassifikation, welche Modelle systemische Risiken darstellen, kann sich im Laufe der Zeit ändern, während sich die Technologie weiterentwickelt. Es gibt Ausnahmen: KI, die für nationale Sicherheits-, Militär- und Verteidigungszwecke verwendet wird, ist im Gesetz ausgenommen. Einige Open-Source-Systeme fallen ebenfalls nicht unter die Gesetzgebung, ebenso wie KI-Modelle, die mit öffentlich verfügbaren Codes entwickelt wurden.
Der GPAI Code of Practice
Die Europäische Kommission hat eine Vorlage veröffentlicht, um Anbietern zu helfen, die Daten zu summarieren, die zur Ausbildung ihrer Modelle verwendet wurden. Der GPAI Code of Practice, entwickelt von unabhängigen Experten, dient als freiwilliges Instrument für KI-Anbieter, um die Einhaltung des AI Act nachzuweisen. Zu den Unterzeichnern gehören Amazon, Anthropic, Cohere, Google, IBM, Microsoft, Mistral AI, OpenAI und ServiceNow, aber einige auffällige Abwesenheiten sind Meta.
Der Code behandelt Transparenz- und Urheberrechtsregeln, die für alle GPAI-Modelle gelten, mit zusätzlichen Sicherheits- und Schutzregeln für die Kategorie des systemischen Risikos.
Kritik und Herausforderungen
Der AI Act hat Kritik hervorgerufen, da er unverhältnismäßige Auswirkungen auf Startups und kleine bis mittelständische Unternehmen hat. Einige Experten argumentieren, dass er Ausnahmen für Technologien beinhalten sollte, die noch keinen breiten Einfluss auf die Allgemeinheit haben und kein großes Risiko oder Schadenpotenzial aufweisen. Andere sagen, dass er den Fortschritt europäischer Organisationen im Prozess des Trainings ihrer KI-Modelle verlangsamen könnte und dass die Regeln verwirrend sind.
Im letzten Juli forderten mehrere Technologieverbände, darunter CCIA Europe, die EU auf, die Implementierung des Gesetzes zu pausieren, da der Rollout zu hastig gewesen sei, ohne die möglichen Konsequenzen abzuwägen.
Dennoch wurde der AI Act mit der Zusammenarbeit von Tausenden von Stakeholdern aus dem privaten Sektor entwickelt, zu einer Zeit, in der Unternehmen nach regulatorischer Klarheit streben. Er führt auch standardisierte Sicherheitspraktiken in der EU ein, in einer kritischen Phase der Einführung. Er setzt einen globalen Maßstab für andere, in einer Zeit großer Umwälzungen. Nach dem AI Act wird es für die USA und andere Länder zunehmend schwieriger sein, die Forderungen nach verantwortungsbewusster KI zu ignorieren, ein lobenswerter Schritt, der Geschichte schreiben wird.
