So will die EU die KI-Verordnung umsetzen

Zwei neue Dokumente sollen die Zukunft der KI-Regulierung in der EU mitbestimmen. Es geht darum, an welche Regeln sich mächtige KI-Modelle wie ChatGPT, Meta AI oder Gemini halten sollen. Wie transparent müssen die Systeme sein? Wie gut müssen sie die Daten schützen, die Nutzer*innen ihnen anvertrauen?

Die Grundlage dafür ist die neue KI-Verordnung (AI Act) der Europäischen Union, die nun schrittweise in Kraft tritt. Das Gesetz selbst ist aber an vielen Stellen deutungswürdig. Deshalb sollen jetzt Leitlinien und ein Verhaltenskodex klären, wie genau die EU-Kommission diese Regeln anwenden will – und was Unternehmen tun müssen, um Ärger zu vermeiden. Die wichtigsten Fragen und Antworten.

Für wen gelten Leitlinien und Kodex?

Die Leitlinien und der Kodex beziehen sich auf KI-Modelle mit allgemeinem Verwendungszweck (auf Englisch: „General-Purpose AI Models“). Gemeint sind Anwendungen wie ChatGPT oder Meta AI, die sich für erstaunlich viele verschiedene Dinge einsetzen lassen, indem sie beispielsweise Texte, Töne, Bilder oder Videos generieren.

Besser greifbar wird das anhand einiger Beispiele, welche KI-Modelle aus Sicht EU-Kommmission nicht darunterfallen. Den Leitlinien zufolge sind das etwa Modelle, die einfach nur…

• einen Text in Audio umwandeln,
• Schach spielen,
• das Wetter vorhersagen oder
• Soundeffekte erstellen.

Bei solchen und weiteren KI-Modellen ist der Verwendungszweck nicht allgemein, sondern schmal.

Als weiteres Kriterium nennt die EU die Rechenleistung, die beim Training eines KI-Modells zum Einsatz kam, gemessen in der Einheit FLOP („Floating Point Operations“). Der Schwellenwert von 10²³ FLOP ist demnach ein Indikator für ein KI-Modell mit allgemeinem Verwendungszweck.

Ob man das in einigen Jahren noch genauso sieht? Die Leitlinien bezeichnen es selbst als eine „nicht zuverlässige Annäherung“, die sich mit dem technologischen Fortschritt verändern könne.

Was sollen betroffene KI-Anbieter machen?

Die Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck lassen sich auf drei Bereiche herunterbrechen. Ausführlich beschrieben werden sie im KI-Verhaltenskodex.

• Erstens sollen KI-Anbieter Transparenz schaffen, etwa über die Größe des Modells, die Trainingsdaten, den Energieverbrauch und die unternommenen Versuche, Fehler und Verzerrungen („bias“) einzudämmen.
• Zweitens sollen KI-Anbieter Urheberrechte wahren. Sie sollen zum Beispiel keine Inhalte von Websites erfassen, deren Betreiber dem widersprechen; und sie sollen Maßnahmen ergreifen, um möglichst keine Inhalte erzeugen, die ihrerseits Urheberrechte verletzen.
• Drittens sollen KI-Anbieter sich um Sicherheit und Gefahrenabwehr kümmern. Als konkrete Gefahren nennt der Kodex etwa Diskriminierung, das Abfließen sensibler Daten, die Erstellung illegaler Inhalte oder auch der Einfluss auf die öffentliche mentale Gesundheit. All das sind Aspekte, die beispielsweise Nachrichtenmedien mit Blick auf ChatGPT und ähnliche Modelle längst diskutieren.

Sind Leitlinien und Kodex verpflichtend?

Nein, die KI-Leitlinien und der Verhaltenskodex sind nicht verpflichtend – aber wer sich nicht daran hält, kann trotzdem Probleme bekommen. Das klingt paradox, lässt sich aber erklären, wenn man die Funktion der Regelwerke genauer betrachtet.

Die Grundlage für alles ist die KI-Verordnung, auf die sich Kommission, Rat und Parlament im legislativen Prozess geeinigt haben. Sie ist das Gesetz. Ob jemand gegen dieses Gesetz verstößt oder nicht, das entscheiden im Zweifel Gerichte. Die KI-Verordnung ist aber, wie so viele Gesetze, sehr allgemein formuliert und deutungswürdig.

Hier kommen die Leitlinien ins Spiel. Die EU-Kommission schreibt: Die Leitlinien „verdeutlichen“, wie die Kommission das Gesetz auslegt. Schließlich ist es die Kommission – genauer gesagt: das KI-Büro (AI Office) – das als Regulierungsbehörde über etwaige Verstöße wacht und entsprechende Verfahren einleitet. Doch selbst die Leitlinien sind noch recht allgemein formuliert.

Hier kommt der KI-Verhaltenskodex ins Spiel. Er buchstabiert genauer aus, welche Anforderungen betroffene KI-Systeme erfüllen sollen. Doch auch das ist zunächst freiwillig. Auf die Bedeutung des Kodex geht die EU-Kommission in ihren Leitlinien näher ein. Demnach „können“ betroffene Anbieter die Einhaltung ihrer Verpflichtungen aus der KI-Verordnung nachweisen, indem sie dem Kodex folgen. Wer das lieber nicht tun möchte, müsste auf anderen Wegen den Beweis erbringen, das Gesetz einzuhalten.

Man kann sich diesen Kodex also wie eine Musterlösung vorstellen – für alle, die sich möglichst nicht mit Aufsichtsbehörden anlegen wollen. Der Meta-Konzern will sich anscheinend mit Aufsichtsbehörden anlegen und hat bereits angekündigt, den Kodex nicht befolgen zu wollen. Schon während der Kodex entstand, beklagten Beobachter*innen, wie Konzern-Lobbyist*innen die Regeln zu ihren Gunsten verwässern.

Sind nun alle Fragen geklärt?

Überhaupt nicht. Die Leitlinien zeigen eher auf, auf welchen Ebenen es Konflikte geben wird. Gerade Unternehmen mit starken Rechtsabteilungen dürften versuchen, sich gegen Auflagen und Verpflichtungen zu wehren.

• Bevor ein Mensch ein KI-System nutzt, war oftmals eine Reihe von Akteur*innen beteiligt: vom Training des KI-Modells über den Betrieb eines konkreten Dienstes wie ChatGPT bis hin zu spezifischen Anwendungen, die mittels Schnittstellen funktionieren. Wer genau muss sich nun an die Leitlinien und den Kodex halten? Die EU-Kommission versucht das in den Leitlinien anhand von Beispielen zu verdeutlichen. Konflikte um konkrete Einzelfälle dürften unvermeidbar sein.
• Manche KI-Modelle mit allgemeinem Verwendungszweck will die EU-Kommission besonders ins Visier nehmen. Sie gelten zusätzlich als „systemisches Risiko“ und stehen deshalb unter verschärfter Aufsicht. Entscheidend für diese Einstufung ist laut Leitlinien etwa, ob ein KI-Modell zu den „fortschrittlichsten“ gehört. Durch diese vage Formulierung kann die EU-Kommission zwar flexibel auf technologischen Wandel reagieren. Aber sie gibt widerspenstigen Unternehmen auch Gelegenheit, sich gegen eine unliebsame Einstufung zu wehren.
• Die Leitlinien weisen selbst darauf hin, dass harmonisierte Standards noch fehlen. Dieser Prozess ist komplex und wird dauern. Der Verhaltenskodex sei nur ein temporäres Werkzeug. Gerade wenn Regulierungsstandards den wirtschaftlichen Interessen von Konzernen im Weg stehen, ist eine jahrelange Lobbyschlacht um jedes Detail zu erwarten.

Welchen Zeitplan gibt es für Leitlinien und Kodex?

Wer EU-Regulierung verfolgt, braucht viel Geduld. Es gibt drei wichtige Stichtage über die nächsten drei Jahre:

• Schon sehr bald, am 2. August 2025, treten die Verpflichtungen der KI-Verordnung für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck in Kraft, wie die EU-Kommission auf einer Infoseite erklärt. Das ganz ist aber eher eine Übergangsphase.
• Denn erst ein Jahr später, ab dem 2. August 2026, treten auch die Durchsetzungsbefugnisse der EU-Kommission in Kraft. Das heißt: Erst ab dann müssten säumige Unternehmen damit rechnen, eventuell Ärger von der Regulierungsbehörde zu bekommen, etwa durch Geldbußen.
• Für bereits verfügbare KI-Modelle – von ChatGPT bis Meta AI – gibt es eine noch längere Schonfrist. Denn wer sein KI-Modell schon vor dem 2. August 2025 auf den Markt gebracht hat, muss die Verpflichtungen aus der KI-Verordnung erst in zwei Jahren erfüllen, also ab dem 2. August 2027.