Künstliche Intelligenz
KI-Verordnung: Code of Practice für generative KI-Modelle vorgelegt
Dass generative KI-Modelle Probleme mit sich bringen können, das hatte die EU allgemein schon im Rahmen ihrer KI-Verordnung – dem AI Act – festgestellt. Doch die Frage, wie mit den Problemen dann umgegangen werden soll, haben Kommission, Europaparlament und Mitgliedstaaten weitgehend an die Entwickler und einsetzenden Organisationen ausgelagert: Training, Tests und Evaluation müssen dokumentiert und Risiken adäquat adressiert werden.
Welche genau das sind und wie diese dann mitigiert werden sollten – für all das wurde der Gesetzestext aufgrund der Vielfalt an Modellen und Problemen für ungeeignet befunden. Stattdessen sollen Verhaltenscodices oder eben die Erfüllung vergleichbarer Standards durch die Anbieter solcher Modelle die größten Probleme generativer KI-Modelle einhegen. Und der vorerst zentrale solche „Code of Practice“ ist jetzt nach gut einem halben Jahr intensiver Diskussionen mit wenigen Wochen Verspätung vorgelegt worden.
Dokumentation per Word-Dokument
Der Verhaltenskodex gliedert sich dabei in drei Bereiche auf: Transparenz, Urheberrecht und als dritten Teil Sicherheit und Schutzmaßnahmen. In einem Word-Dokument mit Multiple-Choice- und Freitextantwortfeldern sollen Anbieter unkompliziert darlegen, womit, wie, wann und mit welchen Methoden, Datensätzen und welchem Ressourcenverbrauch sie ihre Modelle erstellt haben. Solch eine Dokumentation ist eine zwingende Voraussetzung für den Betrieb in der EU ab dem zweiten August 2025. Im Bereich Copyright etwa sind bestimmte Selbstverpflichtungen enthalten, denen sich GPAI-Betreiber mit ihrer Unterschrift unterwerfen würden, etwa für das Training keine Piraterieseiten zu crawlen oder Rechtebeschränkungen im Sinne der DSA-Richtlinie zu berücksichtigen und rechteverletzende Outputs möglichst zu verhindern.
Der in der Realität gleichwohl am schwersten umsetzbare Teil betrifft derweil das Mitigieren der jeweiligen systemischen Risiken, die vom Modell, Trainingsdaten und dessen Möglichkeiten und Restriktionen abhängen, wie es Artikel 55 der KI-Verordnung verlangt. Hier soll der Code of Practice nun relativ konkrete Handhabe zur Verfügung stellen, welche Arten von Risiken damit gemeint sein könnten und wie damit professionell umgegangen werden könne. Die Palette reicht dabei weit: von künstlich erzeugten Nacktbildern oder Pornografie auf Basis von Fotos echter Personen über Gefahren für die nationale Sicherheit bis hin zu diskriminierenden Inhalten über unzutreffende Gesundheitsratschläge bis zu Radikalisierungschatbots ist alles Mögliche vorstellbar. Auch die Nutzung von Modellen für die Entwicklung von ABC-Waffen oder für digitale Angriffswerkzeuge gehört zu den zu prüfenden Möglichkeiten. Der Code of Practice bietet dabei vor allem ein Referenzmodell für den Umgang damit.
Formell nicht bindend
Denn formell ist der Verhaltenskodex für keinen einzigen Anbieter bindend. Zugleich schützt er auch keinen Unterzeichner des Kodexes wirksam davor, nicht doch eines Tages belangt zu werden, wenn sich herausstellt, dass die Maßnahmen unzureichend waren. Über den Code of Practice, den unabhängige Wissenschaftler im Auftrag der EU-Kommission und in einem umfangreichen Beteiligungsverfahren entwickelt haben, wurde in den vergangenen Monaten intensiv diskutiert.
Mit dem Ergebnis zeigt sich Susanne Dehmel, Mitglied der Geschäftsleitung des deutschen IT-Verbands Bitkom nur teilweise zufrieden. Kritisch sieht sie vor allem, dass Anbieter immer auch nach neuen Risiken Ausschau halten müssten, so Dehmel: „Zusammen mit uneindeutig definierten Grundrechtsrisiken und gesellschaftlichen Risiken, bei denen häufig kaum etablierten Methoden zur Identifikation und Bewertung existieren, entsteht neue Rechtsunsicherheit für europäische KI-Anbieter.“
Angesichts der beiden Optionen, sich entweder dem Verhaltenskodex zu unterwerfen und damit zumindest guten Willen zu demonstrieren, oder alternativ alles von Grund auf selbst entwickeln und als rechtskonform darlegen zu müssen, steht gleichwohl zu erwarten, dass sich einige Betreiber von KI-Modellen auf die nun vorgestellte Variante einlassen werden. EU-
Kommissions-Vizepräsidentin Henna Virkkunen sieht den Verhaltenskodex als „wichtigen Schritt dazu, die fortschrittlichsten KI-Modelle in Europa verfügbar und dabei nicht nur innovativ, sondern auch sicher und transparent zu gestalten“. Sie forderte die Unternehmen entsprechend auf, sich dem Kodex freiwillig zu unterwerfen. Allerdings fehlt derzeit dafür noch ein wichtiges Werk der EU-Kommission: die sogenannten Leitlinien, mit denen festgelegt werden soll, was als KI mit allgemeinem oder nicht spezifiziertem Verwendungszweck, also als GPAI im Sinne der KI-Verordnung gelten wird. Doch auch diese sollen nun zeitnah veröffentlicht werden.
Deutsches Begleitgesetz wird noch auf sich warten lassen
Zu befürchten haben Unternehmen gleichwohl vorerst nichts, wenn sie sich noch nicht an die Regeln halten. Egal, ob mit oder ohne Kodex: Sanktionen für diese Pflichten aus dem AI Act sind frühestens im August 2026 vorgesehen. Und in vielen Mitgliedstaaten, darunter auch Deutschland, ist die notwendige Begleitgesetzgebung für die nationalen Aufsichtsstrukturen weiterhin nicht verabschiedet. Dass das deutsche Begleitgesetz nicht mehr rechtzeitig zum Inkrafttreten der nächsten AI Act-Regelungen im August 2025 kommen wird, ist ausgemacht. Das nun zuständige Digitalministerium will daran zwar weiterarbeiten, nach dem Regierungswechsel werde dies jedoch nicht mehr rechtzeitig möglich sein, teilte das Haus zuletzt mit.
Europa habe seinen Teil fristgerecht geliefert, nun brauche es auch seitens der Bundesregierung mehr Tempo, fordert die Grünen-Bundestagsabgeordnete Rebecca Lehnhardt: „Verzögerungen oder gar eine Aufweichung der Pflichten würden nur Rechtsunsicherheit und Misstrauen schüren.“ Zuletzt war immer wieder über eine Teilverschiebung spekuliert wurde, die einige Mitgliedstaaten und Unternehmen auch gerne gesehen hätten. Eine allgemeine Verschiebung ist mit der heutigen Verhaltenskodex-Veröffentlichung allerdings noch einmal unwahrscheinlicher geworden, allenfalls einzelne, später relevante Spezialregelungen könnten nun noch einmal diskutiert werden.
(mho)
![Neu in .NET 9.0 [29]: Verbesserung beim Source Generator für reguläre Ausdrücke](https://i3.wp.com/heise.cloudimg.io/bound/1200x1200/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/4/8/9/4/6/8/7/dotnet-sign-6f751b3d1088dffe.jpg?w=400&resize=400,240&ssl=1 "Neu in .NET 9.0 [29]: Verbesserung beim Source Generator für reguläre Ausdrücke")
![Neu in .NET 9.0 [29]: Verbesserung beim Source Generator für reguläre Ausdrücke](https://i3.wp.com/heise.cloudimg.io/bound/1200x1200/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/4/8/9/4/6/8/7/dotnet-sign-6f751b3d1088dffe.jpg?w=80&resize=80,80&ssl=1 "Neu in .NET 9.0 [29]: Verbesserung beim Source Generator für reguläre Ausdrücke")
Künstliche Intelligenz
Wie die EU digitale Zwillinge für die Gesundheitsversorgung einsetzen will
Die Europäische Kommission plant die digitale Gesundheitsversorgung der Zukunft mit virtuellen Zwillingen. Einen Einblick darüber gab Lisbet Geris, Professorin für Biomechanik und Computational Tissue Engineering an der Universität Lüttich und der KU Leuven, auf dem von der TMF organisierten GenomDE-Symposium. Geris ist Koordinatorin der von der EU geförderten Initiative „Ecosystem for Digital Twins in Healthcare“ (EDITH), innerhalb der ein Netzwerk für digitale Zwillinge (Virtual Human Twin, VHT) im Gesundheitswesen aufgebaut werden soll.
„Wenn wir über digitale Zwillinge in der Medizin und im Gesundheitswesen sprechen, verwenden wir eine viel breitere Definition“, so Geris. Anders als beispielsweise in der Industrie, wo digitale Zwillinge reale Objekte in Echtzeit abbilden, versteht man in der Medizin darunter eine personalisierte Modellierung biologischer Systeme – etwa von Zellen, Organen oder ganzen Organismen. Diese Modelle beruhen auf individuellen Patientendaten wie Genomsequenzen, Bildgebung, Krankheitsverläufen oder Vitalparametern und können beispielsweise zur Simulation von Medikamentenwirkungen oder zur Operationsplanung verwendet werden. Das soll unter anderem individuelle Diagnosen, Therapieentscheidungen und klinische Studien unterstützen.
„Wir werden nicht nur einen digitalen Zwilling haben, sondern eine Reihe eigener digitaler Zwillinge. Diese können Zwillinge von Zellen, Geweben, Organen oder eines gesamten Systems sein – aber auch Zwillinge der eingesetzten Therapie“, erklärte Geris. Die Anwendungsbereiche seien vielfältig: von der Blutzuckerregulation über die Optimierung von Inhalatoren bis hin zur digitalen Nachbildung des Herzohrs bei Patienten mit Vorhofflimmern – überall dort, wo personalisierte Vorhersagen helfen können, Therapien zu verbessern oder Risiken zu minimieren. Bereits 2018 hatte die US-amerikanische Arzneimittelbehörde FDA eine Herzschrittmacher-Elektrode von Medtronic zugelassen, die Geris zufolge nur nach Tierversuchen und virtuellen Simulationen zugelassen wurde. Das habe nicht nur Kosten, sondern auch Zeit eingespart.
Europäische Infrastruktur im Aufbau
Mit der Einrichtung des VHT-Programms will die EU nun die bislang stark fragmentierten Projekte bündeln. Ziel ist eine skalierbare, interoperable Infrastruktur mit einem Daten- und Modell-Repository sowie einer Simulationsplattform, die Zugang zu verteilten Datenquellen ermöglicht – etwa den Genomrechenzentren oder dem im Frühjahr in Kraft getretenen European Health Data Space, in den Daten aus der elektronischen Patientenakte, medizinischen Registern fließen sollen. Das diene der Entstehung neuer digitaler Zwillinge. Die Plattform sammle dabei nicht selbst Daten, sondern soll als föderiertes System auf existierende Datenräume zugreifen.
Ein zentrales Anliegen ist es, die Glaubwürdigkeit, Transparenz und ethische Verträglichkeit digitaler Zwillinge sicherzustellen. Dazu zählen unter anderem Datenschutz, Erklärbarkeit von KI-Modellen, der Schutz persönlicher Identität und eine frühzeitige Einbindung von Patienten. Dafür wurden umfassende Informationsmaterialien und Fokusgruppen entwickelt, um Vertrauen in die Technologie zu schaffen.
Verbindliche Standards fehlen
Trotz großer Fortschritte bestehen noch viele technische, regulatorische und gesellschaftliche Herausforderungen, erklärte Geris. Es fehlen verbindliche Standards, viele nationale Initiativen arbeiten parallel und nicht interoperabel, und auch rechtliche Fragen – etwa zur Haftung oder zum Einsatz synthetischer Daten – sind noch offen. Die EU hat daher gemeinsam mit Wissenschaft, Industrie, Kliniken und Patientengruppen eine Roadmap mit 30 Handlungsempfehlungen erarbeitet, die bald veröffentlicht werden soll.
Die Virtual-Human-Twin-Initiative ist Teil einer größeren europäischen Strategie, die Digitalisierung, Biomedizin und Künstliche Intelligenz enger verzahnen will. Prognosen zufolge wird der Markt für medizinische digitale Zwillinge in den kommenden Jahren stark wachsen. Die Hoffnung besteht auf eine bessere, schnellere und individuellere Medizin – von der Diagnostik bis zur Therapieplanung. Ob sich digitale Zwillinge tatsächlich als Standardwerkzeug in der Gesundheitsversorgung etablieren können, wird sich in den nächsten Jahren zeigen.
(mack)
Künstliche Intelligenz
Datenarchitektur: DuckLake vereint Katalog und Tabellenmetadaten
Mit dem Fokus auf Datenanalyse und OLAP-Workloads hat DuckDB Labs die SQL-Datenbank DuckDB als leichte und weniger komplexe Alternative zu etablierten Werkzeugen wie Apache Spark oder pandas entwickelt. Künftig sollen Lakehouse-Formate wichtiger werden, verkündete DuckDB Anfang des Jahres auf seiner Entwicklerkonferenz DuckCon. Viele Anwenderinnen und Anwender von DuckDB erwarteten daraufhin eine bessere Unterstützung für Apache Iceberg und Delta – insbesondere für das Schreiben und nicht nur Lesen.
Stattdessen kündigte DuckDB Labs mit DuckLake aber eine komplett neue Spezifikation inklusive Implementierung eines Lakehouse-Formats an – und damit eine direkte Konkurrenz zu Iceberg und Co..
- DuckLake unterstützt die Trennung von Datenverarbeitung und -speicherung – für einfachere Skalierung.
- Für schnelle Metadatenzugriffe per SQL-Abfrage greift DuckLake auf Datenbanken wie DuckDB oder PostgreSQL zurück.
- DuckLake tritt mit einer einfachen, skalierbaren Architektur gegen OpenTable-Formate wie Apache Iceberg und Delta an.
Im Kern legt die Spezifikation fest, alle Metadaten eines Lakehouse in einer relationalen Datenbank und die eigentlichen Daten wie üblich in einem Blob/Object Store zu speichern. Das Speichern in der relationalen Datenbank soll sowohl Performancevorteile bieten als auch den Weg für neue Funktionen eröffnen.
Das war die Leseprobe unseres heise-Plus-Artikels „Datenarchitektur: DuckLake vereint Katalog und Tabellenmetadaten“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
Künstliche Intelligenz
GrapheneOS veröffentlicht Android 16 im Stable-Kanal
GrapheneOS gilt als eine sichere und datensparsame Android-Version, die wegen ihrer hohen Sicherheitsanforderungen nur für Pixel-Geräte angeboten wird. Trotz herausfordernder neuer Umstände – Google hat die bisher mit AOSP ausgelieferten Device-Trees für Pixel-Geräte nicht mitgeliefert, die Custom-ROM-Entwickler für eine schnellere Kompilierung verwendeten –, ist GrapheneOS nun auf Basis von Android 16 einen Monat nach Veröffentlichung durch Google fertig.
Schon mit Taptrap-Fix
Laut den GrapheneOS-Entwicklern entpuppte sich die Portierung auf Android 16 als schwieriger als erwartet. Um das Update zu realisieren, habe man die Android-16-Firmware und -Treiber auf Android 15 QPR2 zurückportiert.
Schließlich konnte die erste offizielle Version von Android 16 am 30. Juni veröffentlicht werden, nachdem eine experimentelle Version am Tag Probleme aufgewiesen hatte. Die Entwickler hatten sich für den Stable-Release noch ein wenig Zeit genommen, da es seitens Google kein Pixel-Update-Bulletin zu Sicherheitspatches für Juli 2025 gab. Am 10. Juli erreichte GrapheneOS auf Basis von Android 16 den Stable-Kanal.
Neuerungen sind auf den ersten Blick – wie bei Android 16 für Googles Pixel-Geräte – nicht zu erkennen. Die meisten Änderungen spielen sich unter der Haube ab. Unter anderem scheint immerhin die Live-Update-Funktion für Echtzeitinformationen für Lieferdienste und Co. an Bord zu sein.
Zudem schreibt Graphene in der Dokumentation, dass man eine recht neue Angriffstechnik, die als TapTrap bekannt ist und durch die Angreifer unbemerkt weitreichende Zugriffsrechte erhalten können, behoben habe. Google wird diese Schwachstelle erst später beheben, sagte ein Google-Sprecher dem Magazin Bleeping-Computer. Weitere Änderungen sind im Changelog zu finden.
GrapheneOS für Pixel 6 und neuer
GrapheneOS kann auf allen Pixel-Geräten installiert werden, die noch offiziellen Softwaresupport seitens Google erhalten. Das sind sämtliche Modelle ab dem Pixel 6 und neuer.
GrapheneOS kann auf zwei Wegen installiert werden. Zum einen können Nutzer das WebUSB-basierte Installationsprogramm verwenden, das Googles Android-Flash-Tool ähnelt und die einfachste Methode darstellt und für die meisten Nutzer empfohlen wird. Wer es umständlicher – oder „Old-School“ – mag, kann das Betriebssystem auch über die Befehlszeile installieren.
(afl)
Wie die EU digitale Zwillinge für die Gesundheitsversorgung einsetzen will
Cybercrime-Bande „Scattered Spider“: Vier Verhaftungen in Großbritannien
Die Idee stammt direkt aus der Praxis
-
Online Marketing & SEOvor 4 WochenTikTok trackt CO₂ von Ads – und Mitarbeitende intern mit Ratings
-
Apps & Mobile Entwicklungvor 4 WochenMetal Gear Solid Δ: Snake Eater: Ein Multiplayer-Modus für Fans von Versteckenspielen
-
UX/UI & Webdesignvor 4 WochenPhilip Bürli › PAGE online
-
Social Mediavor 4 WochenAktuelle Trends, Studien und Statistiken
-
Social Mediavor 4 WochenLinkedIn Feature-Update 2025: Aktuelle Neuigkeiten
-
Online Marketing & SEOvor 4 Wochen#WantaFanta: Warum Fanta und Nico Santos der Gen Z Wünsche erfüllen
-
Social Mediavor 4 Wochen“Wir haben doch nichts zu erzählen…” – 3 Tricks für neue Social Media Content Ideen
-
UX/UI & Webdesignvor 4 WochenWie gelingt eine einwandfreie Zusammenarbeit?