KI-Verordnung: Code of Practice für generative KI-Modelle vorgelegt

Dass generative KI-Modelle Probleme mit sich bringen können, das hatte die EU allgemein schon im Rahmen ihrer KI-Verordnung – dem AI Act – festgestellt. Doch die Frage, wie mit den Problemen dann umgegangen werden soll, haben Kommission, Europaparlament und Mitgliedstaaten weitgehend an die Entwickler und einsetzenden Organisationen ausgelagert: Training, Tests und Evaluation müssen dokumentiert und Risiken adäquat adressiert werden.

Welche genau das sind und wie diese dann mitigiert werden sollten – für all das wurde der Gesetzestext aufgrund der Vielfalt an Modellen und Problemen für ungeeignet befunden. Stattdessen sollen Verhaltenscodices oder eben die Erfüllung vergleichbarer Standards durch die Anbieter solcher Modelle die größten Probleme generativer KI-Modelle einhegen. Und der vorerst zentrale solche „Code of Practice“ ist jetzt nach gut einem halben Jahr intensiver Diskussionen mit wenigen Wochen Verspätung vorgelegt worden.

Dokumentation per Word-Dokument

Der Verhaltenskodex gliedert sich dabei in drei Bereiche auf: Transparenz, Urheberrecht und als dritten Teil Sicherheit und Schutzmaßnahmen. In einem Word-Dokument mit Multiple-Choice- und Freitextantwortfeldern sollen Anbieter unkompliziert darlegen, womit, wie, wann und mit welchen Methoden, Datensätzen und welchem Ressourcenverbrauch sie ihre Modelle erstellt haben. Solch eine Dokumentation ist eine zwingende Voraussetzung für den Betrieb in der EU ab dem zweiten August 2025. Im Bereich Copyright etwa sind bestimmte Selbstverpflichtungen enthalten, denen sich GPAI-Betreiber mit ihrer Unterschrift unterwerfen würden, etwa für das Training keine Piraterieseiten zu crawlen oder Rechtebeschränkungen im Sinne der DSA-Richtlinie zu berücksichtigen und rechteverletzende Outputs möglichst zu verhindern.

Der in der Realität gleichwohl am schwersten umsetzbare Teil betrifft derweil das Mitigieren der jeweiligen systemischen Risiken, die vom Modell, Trainingsdaten und dessen Möglichkeiten und Restriktionen abhängen, wie es Artikel 55 der KI-Verordnung verlangt. Hier soll der Code of Practice nun relativ konkrete Handhabe zur Verfügung stellen, welche Arten von Risiken damit gemeint sein könnten und wie damit professionell umgegangen werden könne. Die Palette reicht dabei weit: von künstlich erzeugten Nacktbildern oder Pornografie auf Basis von Fotos echter Personen über Gefahren für die nationale Sicherheit bis hin zu diskriminierenden Inhalten über unzutreffende Gesundheitsratschläge bis zu Radikalisierungschatbots ist alles Mögliche vorstellbar. Auch die Nutzung von Modellen für die Entwicklung von ABC-Waffen oder für digitale Angriffswerkzeuge gehört zu den zu prüfenden Möglichkeiten. Der Code of Practice bietet dabei vor allem ein Referenzmodell für den Umgang damit.

Formell nicht bindend

Denn formell ist der Verhaltenskodex für keinen einzigen Anbieter bindend. Zugleich schützt er auch keinen Unterzeichner des Kodexes wirksam davor, nicht doch eines Tages belangt zu werden, wenn sich herausstellt, dass die Maßnahmen unzureichend waren. Über den Code of Practice, den unabhängige Wissenschaftler im Auftrag der EU-Kommission und in einem umfangreichen Beteiligungsverfahren entwickelt haben, wurde in den vergangenen Monaten intensiv diskutiert.

Mit dem Ergebnis zeigt sich Susanne Dehmel, Mitglied der Geschäftsleitung des deutschen IT-Verbands Bitkom nur teilweise zufrieden. Kritisch sieht sie vor allem, dass Anbieter immer auch nach neuen Risiken Ausschau halten müssten, so Dehmel: „Zusammen mit uneindeutig definierten Grundrechtsrisiken und gesellschaftlichen Risiken, bei denen häufig kaum etablierten Methoden zur Identifikation und Bewertung existieren, entsteht neue Rechtsunsicherheit für europäische KI-Anbieter.“

Angesichts der beiden Optionen, sich entweder dem Verhaltenskodex zu unterwerfen und damit zumindest guten Willen zu demonstrieren, oder alternativ alles von Grund auf selbst entwickeln und als rechtskonform darlegen zu müssen, steht gleichwohl zu erwarten, dass sich einige Betreiber von KI-Modellen auf die nun vorgestellte Variante einlassen werden. EU-

Kommissions-Vizepräsidentin Henna Virkkunen sieht den Verhaltenskodex als „wichtigen Schritt dazu, die fortschrittlichsten KI-Modelle in Europa verfügbar und dabei nicht nur innovativ, sondern auch sicher und transparent zu gestalten“. Sie forderte die Unternehmen entsprechend auf, sich dem Kodex freiwillig zu unterwerfen. Allerdings fehlt derzeit dafür noch ein wichtiges Werk der EU-Kommission: die sogenannten Leitlinien, mit denen festgelegt werden soll, was als KI mit allgemeinem oder nicht spezifiziertem Verwendungszweck, also als GPAI im Sinne der KI-Verordnung gelten wird. Doch auch diese sollen nun zeitnah veröffentlicht werden.

Deutsches Begleitgesetz wird noch auf sich warten lassen

Zu befürchten haben Unternehmen gleichwohl vorerst nichts, wenn sie sich noch nicht an die Regeln halten. Egal, ob mit oder ohne Kodex: Sanktionen für diese Pflichten aus dem AI Act sind frühestens im August 2026 vorgesehen. Und in vielen Mitgliedstaaten, darunter auch Deutschland, ist die notwendige Begleitgesetzgebung für die nationalen Aufsichtsstrukturen weiterhin nicht verabschiedet. Dass das deutsche Begleitgesetz nicht mehr rechtzeitig zum Inkrafttreten der nächsten AI Act-Regelungen im August 2025 kommen wird, ist ausgemacht. Das nun zuständige Digitalministerium will daran zwar weiterarbeiten, nach dem Regierungswechsel werde dies jedoch nicht mehr rechtzeitig möglich sein, teilte das Haus zuletzt mit.

Europa habe seinen Teil fristgerecht geliefert, nun brauche es auch seitens der Bundesregierung mehr Tempo, fordert die Grünen-Bundestagsabgeordnete Rebecca Lehnhardt: „Verzögerungen oder gar eine Aufweichung der Pflichten würden nur Rechtsunsicherheit und Misstrauen schüren.“ Zuletzt war immer wieder über eine Teilverschiebung spekuliert wurde, die einige Mitgliedstaaten und Unternehmen auch gerne gesehen hätten. Eine allgemeine Verschiebung ist mit der heutigen Verhaltenskodex-Veröffentlichung allerdings noch einmal unwahrscheinlicher geworden, allenfalls einzelne, später relevante Spezialregelungen könnten nun noch einmal diskutiert werden.

(mho)