Meilenstein des EU AI-Gesetzes: Fast finale Version des Code of Practice für allgemeine KI veröffentlicht

Ein weiterer Meilenstein des EU AI-Gesetzes – Fast endgültige Version des Codes für allgemeine KI-Praxis veröffentlicht

Am 10. Juli 2025 veröffentlichte die Europäische Kommission eine fast endgültige Version des Codes für allgemeine KI-Praxis (GPAI-Code) im Rahmen der Verordnung (EU) 2024/1689 (AI-Gesetz).

Dieser Artikel gibt einen Überblick über den Zweck, die Anwendbarkeit und den Inhalt des Codes. Als freiwilliger Compliance-Mechanismus spielt der Code eine entscheidende Rolle in der vorläufigen regulatorischen Landschaft bis zur Anwendung der Verpflichtungen für GPAI-Anbieter ab August 2025. Der Code bietet praktische Leitlinien für KI-Anbieter, um spezifische Verpflichtungen gemäß dem AI-Gesetz zu erfüllen und ist besonders relevant, um die frühzeitige Einhaltung der Artikel 53 und 55 nachzuweisen, die Anforderungen an Transparenz, Urheberrechtskonformität und systematische Risikominderung bei der Entwicklung und Bereitstellung von GPAI-Modellen festlegen.

Hintergrund

Verpflichtungen der GPAI-Anbieter: Das AI-Gesetz führt spezifische Verpflichtungen für GPAI-Modelle ein, die in der Lage sind, eine Vielzahl von Aufgaben auszuführen und in verschiedene Systeme integriert zu werden. Anbieter von GPAI-Modellen müssen detaillierte technische Dokumentationen führen, Zusammenfassungen der Trainingsdaten veröffentlichen, die EU-Urheberrechtsgesetze einhalten und Informationen mit Regulierungsbehörden und nachgelagerten Nutzern teilen. Bei Nichteinhaltung können Geldbußen von bis zu 15 Millionen Euro oder 3 % des globalen Umsatzes, je nachdem, welcher Betrag höher ist, verhängt werden.

Modelle mit systematischem Risiko: Anbieter, die GPAI-Modelle mit systematischem Risiko anbieten, sehen sich noch strengeren Anforderungen gegenüber, einschließlich Modellauswertungen, Risikominderung, Vorfallberichterstattung und Cybersicherheitsmaßnahmen. Bereits eine erhebliche Anzahl von Anbietern weltweit hat Modelle entwickelt, die die Rechenleistungsschwelle überschreiten, ab der ein GPAI-Modell als hochwirksam gilt und somit systematisches Risiko darstellt. Die Europäische Kommission könnte auch in Betracht ziehen, ob ein GPAI-Modell hochwirksame Fähigkeiten hat, wobei sie verschiedene technische Kriterien berücksichtigt, die sie ändern kann.

Ziele und rechtliche Funktion

Zweck: Der Code für allgemeine KI-Praxis dient als Übergangs-Compliance-Tool. Er wird in Artikel 56 des AI-Gesetzes erwähnt und soll:

• den Anbietern von GPAI-Modellen helfen, Transparenz-, Urheberrechts- und Sicherheitsverpflichtungen gemäß dem AI-Gesetz zu erfüllen;
• eine strukturierte Möglichkeit bieten, Dokumentationen, Richtlinien und technische Schutzmaßnahmen zu präsentieren und zu pflegen;
• es den zuständigen Behörden, einschließlich des AI-Büros, ermöglichen, zu bewerten, ob Anbieter ihren rechtlichen Pflichten gemäß dem AI-Gesetz nachkommen.

Anwendbarkeit: Der Code ist in zwei Anwendbarkeitsstufen unterteilt:

• Alle GPAI-Modellanbieter müssen die Kapitel über Transparenz und Urheberrecht des Codes einhalten.
• Nur Anbieter von GPAI-Modellen mit systematischem Risiko unterliegen dem Kapitel über Sicherheit und Schutz des Codes.

Kapitel 1 des Codes: Transparenz

Das AI-Gesetz verlangt von GPAI-Anbietern, dass sie umfassende Dokumentationen führen und Informationen sowohl mit Regulierungsbehörden als auch mit nachgelagerten Nutzern teilen (Artikel 53(1)(a) und (b)). Das Kapitel über Transparenz des Codes behandelt diese Pflichten durch drei Hauptmaßnahmen.

• Dokumentationsanforderungen: Anbieter können ihre Modeldokumentation mithilfe des standardisierten Modell-Dokumentationsformulars des Codes erstellen und aktualisieren, das Details wie Modellarchitektur, Trainingsmethoden, Vertriebskanäle und Fähigkeiten erfasst.
• Informationsweitergabe: Anbieter können relevante Dokumentationen für nachgelagerte Nutzer zugänglich machen und weitere Informationen auf Anfrage des AI-Büros oder zuständiger nationaler Behörden bereitstellen.
• Integritätskontrollen: Anbieter werden erwartet, Qualitätssicherungs- und Sicherheitskontrollen zu implementieren, um die Genauigkeit und Integrität der Dokumentation über die Zeit hinweg zu bewahren.

Kapitel 2 des Codes: Urheberrecht

Das AI-Gesetz verlangt von GPAI-Anbietern, dass sie Richtlinien festlegen, die die Einhaltung des EU-Urheberrechts und verwandter Rechtsvorschriften sicherstellen (Artikel 53(1)(c)). Das Kapitel über Urheberrecht bietet konkrete Leitlinien, um Anbietern zu helfen, Richtlinien zu entwickeln und umzusetzen, die die rechtmäßige Nutzung von Trainingsdaten regeln, Rechte bei der Web-Crawling identifizieren und die Gefahr von rechtswidrigen Ausgaben mindern.

• Richtlinienadoption: Anbieter sollten eine Urheberrechtsrichtlinie implementieren, die interne Verantwortlichkeiten und Verfahrensschutzmaßnahmen umfasst.
• Rechtmäßige Datennutzung: Bei der Sammlung von Trainingsdaten durch Web-Crawling sollten Anbieter sicherstellen, dass sie technologische Zugangsbeschränkungen nicht umgehen und Seiten vermeiden, die für anhaltende Urheberrechtsverletzungen bekannt sind.
• Anerkennung von Rechtevorbehalten: Anbieter sollten maschinenlesbare Rechtevorbehalte, die von Rechteinhabern geäußert werden, respektieren und sich an sich entwickelnde Branchenstandards zur Kennzeichnung solcher Vorbehalte halten.
• Minderung von rechtswidrigen Ausgaben: Anbieter werden erwartet, technische Schutzmaßnahmen und Richtlinienbeschränkungen einzusetzen, um die Wahrscheinlichkeit der Erzeugung von rechtswidrigem Inhalt durch ihre Modelle zu verringern.
• Beschwerdemechanismen: Ein Ansprechpartner und ein Prozess sollten vorhanden sein, um Bedenken von Rechteinhabern zu erhalten und darauf zu reagieren.

Kapitel 3 des Codes: Sicherheit und Schutz

Für GPAI-Modelle, die die Schwelle für systematisches Risiko erreichen, bietet das Kapitel über Sicherheit und Schutz einen umfassenden Rahmen, der mit Artikel 55 des AI-Gesetzes übereinstimmt.

• Rahmenentwicklung: Anbieter sollten einen Sicherheits- und Schutzrahmen etablieren, implementieren und aktualisieren, der beschreibt, wie sie systematische Risiken während des gesamten Lebenszyklus des Modells bewerten und mindern.
• Risikobewertung und Minderung: Anbieter sollten strukturierte Auswertungen durchführen, Risikobewertungskriterien definieren und technische sowie organisatorische Maßnahmen zur Risikoverwaltung umsetzen. Dazu gehören sowohl die Überwachung vor der Markteinführung als auch nach dem Markteintritt.
• Vorfallberichterstattung und externe Überwachung: Anbieter werden erwartet, schwerwiegende Vorfälle zu dokumentieren und mit unabhängigen Prüfern zusammenzuarbeiten. Berichte sollten dem AI-Büro übermittelt werden.
• Cybersicherheitsmaßnahmen: Angemessene technische Schutzmaßnahmen sollten vorhanden sein, um unbefugten Zugriff, Modellexfiltration oder Manipulation zu verhindern, einschließlich für Insider-Bedrohungen.

Nächste Schritte

Ist das genug? In den kommenden Wochen werden die Mitgliedstaaten und die Europäische Kommission prüfen, ob der Code ausreicht, um die Compliance mit den GPAI-bezogenen Verpflichtungen gemäß dem AI-Gesetz zu unterstützen.

Frühe Unterzeichner: Ein großes US-Unternehmen und ein großes EU-Unternehmen, die beliebte GPAI-Modelle entwickeln, haben bereits zugestimmt, den Code zu unterzeichnen.

Offene Fragen: Ergänzende Materialien wie Richtlinien zur Klärung wichtiger GPAI-Begriffe und Konzepte sowie die Vorlage zur Offenlegung von Trainingsdaten stehen noch aus, was Unsicherheit über die vollständigen Compliance-Erwartungen schafft. Die Europäische Kommission erwägt eine Karenzzeit für die Unterzeichner des Codes, aber deren Dauer und Umfang sind unklar. Auch unentschieden ist, ob Anbieter selektiv Teile des Codes einhalten dürfen. Wie diese Lücken adressiert werden, wird entscheidend für die Akzeptanz und die Compliance der Branche unter dem AI-Gesetz sein.