Zurück zur Übersicht
11.02.2025Fachbeitrag

Update IP, Media & Technology Nr. 114

Der Praxisleitfaden für KI-Modelle mit allgemeinem Verwendungszweck – Inhalte, Leitgedanken und Regelungsstrukturen der ersten beiden Entwürfe im Überblick

Am 19. Dezember 2024 hat die EU-Kommission den zweiten Entwurf eines Praxisleitfadens für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) veröffentlicht.

Er bildet eine Momentaufnahme in einem intensiv vorangetriebenen Ausarbeitungsprozess: Der erste Entwurf wurde bereits am 17. November 2024 veröffentlicht, der dritte Entwurf soll in der Woche vom 17. Februar 2025 folgen und die endgültige Fassung des Leitfadens muss spätestens zum 2. Mai 2025 vorliegen. Bis dahin wird der Entwurf unter Verständigung zwischen den vier, mit unabhängigen Experten besetzen Arbeitsgruppen und circa 1000 Interessenträgern fortlaufend weiterentwickelt.

Dieser Beitrag soll einen Überblick über das geben, was voraussichtlich bestehen bleibt. Ein Überblick über die Leitprinzipien, Regelungsstrukturen und Themenschwerpunkte der ersten beiden Entwürfe soll den Einstieg in die Arbeit mit dem finalen Praxisleitfaden ab spätestens Mai 2025 erleichtern.

I. Inhalte

Der Praxisleitfaden soll den Anbietern von GPAI-Modellen die Umsetzung der sie betreffenden Pflichten aus der EU-Verordnung über künstliche Intelligenz (KI VO) erleichtern.

1. Einführung: GPAI-Modelle und ihre Anbieter

Neben KI-Modellen wie AlphaZero, die nur einen Verwendungszweck haben (in diesem Fall Schachspielen), gibt es KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI, GPAI), die viel mehr können, z. B. recherchieren, programmieren, Bilder erzeugen und Zeitungsartikel schreiben. Dazu zählen etwa GPT-4, Dall-E oder Midjourney.  In der KI VO werden zwei Gruppen von GPAI-Modellen unterschieden: „normale“ Modelle und Modelle mit systemischem Risiko, bei denen besonders negative Auswirkungen für die öffentliche Gesundheit, demokratische Prozesse oder die öffentliche Sicherheit drohen.

Anbieter ist jeder, der ein GPAI-Modell entwickelt (bzw. entwickeln lässt) und unter eigenem Namen in Betrieb nimmt und jeder, der ein GPAI-System in Verkehr bringt. Dabei ist ein KI-Modell der algorithmische Kern, z. B. GPT-4, und das KI-System die umschließende Struktur, welche das KI-Modell etwa durch Benutzerschnittstellen praktisch anwendbar macht, z. B. ChatGPT. Anbieter von ChatGPT ist beispielsweise OpenAI.

2. Anbieterpflichten

Entsprechend ist der Praxisleitfaden in zwei Abschnitte unterteilt: (1.) Pflichten für Anbieter von GPAI-Modellen und (2.) Pflichten für Anbieter von GPAI-Modellen mit systemischem Risiko. Dabei gelten die Ausführungen zu GPAI-Modellen ohne systemisches Risiko allgemein, d. h. auch für GPAI mit systemischem Risiko. Die Anbieterpflichten nach der KI VO verdichten sich umso stärker, je risikoreicher das GPAI-Modell ist (eine Veranschaulichung zeigt das SCHAUBILD).

a. Pflichten für Anbieter von GPAZ

Für Anbieter von GPAI-Modellen schreibt die KI VO in Art. 53 Abs. 1 eine Reihe von Pflichten vor, die auf Transparenz, Urheberrechtsschutz und fortwährende Verantwortung „entlang der Wertschöpfungskette“ abzielen (d. h. vom Hersteller über den Verarbeiter bis hin zum Endverbraucher). Nicht verpflichtet sind lediglich Anbieter von Open-Source-Modellen (Art. 53 Abs. 2 S. 1 KI VO).

Um Transparenz und Verantwortung entlang der Wertschöpfungskette herzustellen, müssen Anbieter wichtige Informationen über die Funktionsweise des jeweiligen GPAI-Modells sammeln sowie Behörden und/oder Dritten zu Verfügung stellen, die das Modell weiterverwerten (Art. 53 Abs. 1 lit. a, b KI VO). Der zweite Entwurf enthält eine Übersicht darüber, welche Informationen konkret offengelegt werden müssen (S. 12 ff.). Demnach muss u. a. eine Acceptable Use Policy (AUP) für das jeweilige GPAI-Modell vorgelegt werden – auch dafür gibt der Entwurf die wesentlichen Elemente vor (S. 18 f.).

Um den Schutz des Urheberrechts zu gewährleisten, welches etwa durch das Training einer KI mit urheberrechtlich geschützten Werken verletzt werden kann, müssen Anbieter zudem eine Strategie zur Einhaltung des Urheberrechts vorlegen (Art. 53 Abs. 1 lit. c KI VO). Dafür enthält der zweite Entwurf ab S. 20 formelle und inhaltliche Anforderungen.

b. Pflichten für Anbieter von GPAI mit systemischem Risiko

Für Anbieter von GPAI-Modellen mit systemischem Risiko gelten die verschärften Anforderungen aus Art. 55 KI VO. Den besonders schwerwiegenden Risiken dieser GPAI-Modelle soll mit diversen (Präventiv-)Maßnahmen begegnet werden, insbesondere mit Risikobewertungs- und Risikominderungsmaßnahmen, Maßnahmen zur Gewährleistung von Cybersicherheit und Berichtspflichten bei schwerwiegenden Vorfällen (Art. 55 Abs. 1 KI VO).

Der zweite Entwurf enthält zunächst Indikatoren für das Vorliegen eines systemischen Risikos, insbesondere Fallgruppen und typische Risikoquellen (S. 29 ff.) Außerdem enthält der Entwurf auf S. 33 ff. Vorgaben für eine Sicherheitsrichtlinie („Safety and Security Framework“) mithilfe der Anbieter die Erfüllung seiner Pflichten gem. Art. 55 Abs. 2 S. 1 KI VO nachweisen kann. Zuletzt werden konkrete Risikobewertungs- und Risikominderungsmaßnahmen zum Schutz vor systemischen Risiken vorgeschlagen. Dazu gehören technische und Governance-bezogene Maßnahmen, z. B. die Einrichtung eines Risikoausschusses im Betrieb und die Durchführung von Background-Checks bei Mitarbeitern, die Zugang zu unveröffentlichten Trainingsparametern haben.

II. Leitgedanken

Die Ausarbeitung des Praxisleitfadens soll deduktiv verlaufen: Erst werden allgemeine Leitgedanken festgelegt, dann werden entlang dieser Grundsätze konkrete Maßnahmen entwickelt.

Die wichtigsten Leitgedanken des Praxisleitfadens sind:

1. Verhältnismäßigkeit

Gemäß Art. 56 Abs. 4 KI VO sollen die Verfasser des Praxisleitfadens sicherstellen, dass die darin verfolgten Ziele eindeutig festgelegt werden, die Verwirklichung dieser Ziele durch die getroffenen Regelungen gewährleistet ist und dass die Bedürfnisse und Interessen aller interessierten Kreise auf Unionsebene gebührend berücksichtigt werden.

Die Regulierungsdichte richtet sich insbesondere nach der

  • Wahrscheinlichkeit und Schwere des drohenden Risikos:  Die Anforderungen sollen z. B. abgeschwächt werden, wenn GPAI-Anbieter nachweisen können, dass die Wahrscheinlichkeit des Schadenseintritts gering ist;
  • Größe des Anbieters: kleine und mittelständischen Anbieter von GPAI (insb. Startups) sollen aufgrund ihrer typischerweise geringeren finanziellen Ressourcen privilegiert werden.

2. Effektivität

Der Praxisleitfaden soll seine Leitfunktion langfristig erfüllen, indem er

  • konkret und eindeutig ist: Zweideutige oder vage Ausdrücke sollen vermieden werden, stattdessen werden spezifische „wenn – dann“-Regelungen getroffen;
  • entwicklungsoffen ist, um nicht von dem rasanten technologischen Fortschritt abgehängt zu werden.

3. Harmonie

Übereinstimmung mit Vorgaben der KI VO, des europäischen Primärrechts und internationalen Ansätzen der KI-Regulierung (z. B. Standards, die von Organisationen für KI-Sicherheit entwickelt wurden).

4. Sicherheit und Innovation

Zuletzt soll sichergestellt werden, dass in der EU ein sicheres und innovationsförderndes Umfeld für GPAI entsteht. Insbesondere sollen sich GPAI-Anbieter gegenseitig austauschen und unterstützen können, indem sie z. B. gemeinsame „Best Practice“-Standards oder Sicherheitsrichtlinien nutzen.

III. Regelungsstrukturen

Die Regelungen orientierten sich an einer klaren Struktur von „Maßnahmen – Unter-Maßnahmen – Leistungsindikatoren“ („Measure – Sub-Measures – Key Performance Indicators/KPIs“). Demnach soll jede (ggf. noch abstrakt formulierte) Maßnahme in konkrete Unter-Maßnahmen zerteilt werden, die ihrerseits durch konkrete Leistungsindikatoren messbar gemacht werden. Das ergibt die Formel „Der Anbieter muss Maßnahme A ergreifen, indem er die Unter-Maßnahmen B, C und D ausführt, welche anhand der Leistungsindikatoren E, F und G gemessen werden“. Das kann konkret so aussehen: „Der Anbieter setzt eine Strategie zum Schutz des Urheberrechts ein (Maßnahme), indem er eine solche Strategie entwirft, aktualisiert und veröffentlicht (Unter-Maßnahme), was sich daran messen lässt, dass er seine Strategie in einem Dokument darstellt, darin alle Änderungen dokumentiert und eine Zusammenfassung auf seiner Webseite hochlädt (KPIs)“ (eine Veranschaulichung zeigt das SCHAUBILD).

IV. Fazit

Der zweite Entwurf des Praxisleitfadens für KI-Modelle mit allgemeinem Verwendungszweck ist ein wichtiger Schritt in Richtung eines klaren und praktisch umsetzbaren Regelwerks für Anbieter von GPAI-Modellen. Auch wenn bis zu der finalen Fassung bis spätestens zum 2. Mai 2025 noch einige Änderungen zu erwarten sind, stehen die voraussichtlichen Grundpfeiler des Praxisleitfadens:

Inhalt: Der Praxisleitfaden konkretisiert die Anbieterpflichten für GPAI-Modelle und GPAI-Modelle mit systemischem Risiko. Für Anbieter von GPAI-Modellen bietet er v. a. nähere Vorgaben für die Ausarbeitung einer Strategie zum Schutz des Urheberrechts und dazu, welche Informationen offengelegt werden müssen, um Transparenz und Verantwortung entlang der Wertschöpfungskette zu gewährleisten. Für Anbieter von GPAI-Modellen mit systemischem Risiko bietet er Indikationen für das Vorliegen eines systemischen Risikos, Vorgaben für eine Sicherheitsrichtlinie und diverse andere Risikoermittlungs- und Risikominderungsmaßnahmen.

Leitgedanken: Alle Maßnahmen sollen verhältnismäßig (v. a. angemessen unter Berücksichtigung der Wahrscheinlichkeit und Schwere des drohenden Risikos und der Größe des Anbieters), konkret, eindeutig und entwicklungsoffen sein, mit geltendem EU-Recht übereinstimmen und im Ergebnis ein innovationsförderndes und zugleich sicheres Umfeld für GPAI in der EU schaffen.

Regelungsstrukturen: Die einzelnen Bestimmungen folgen einer klaren Struktur von „Maßnahmen – Unter-Maßnahmen – Leistungsindikatoren“ („Measure – Sub-Measures – Key Performance Indicators/KPIs“), wobei jedes Element das vorangegangene konkretisiert.

Der Beitrag wurde in Zusammenarbeit mit unserer Wissenschaftlichen Mitarbeiterin, Lena Rosenau, erstellt.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dominik Eickemeier
Köln

Ansprechpartner

Dominik Eickemeier
Köln

Weitere Artikel

19.02.2025
EDSA-Leitlinien zur Pseudonymisierung: Ein Leitfaden für den datenschutzkonformen Umgang mit personenbezogenen Daten
13.02.2025
Verabschiedung fehlgeschlagen – Wie geht es weiter mit NIS2-Umsetzungsgesetz und KRITIS-Dachgesetz?
28.01.2025
Schadensersatz für unsichere Datentransfers
23.01.2025
Kopplungsangebote im Healthcare-Sektor – Rechtliche Fallstricke aus wettbewerbsrechtlicher Sicht
20.01.2025
Das Barrierefreiheitsstärkungsgesetz (BFSG) Teil 1: Folgen für Webseiten und Apps
16.01.2025
So coachen Sie rechtssicher im Verbraucherrecht: AGB und Widerrufsrecht im Fokus
03.01.2025
EU-Digitalrecht 2025 – Diese Neuerungen sollten Beachtung finden
20.12.2024
Europäischer Datenschutzausschuss veröffentlicht Stellungnahme zum Einsatz von KI-Modellen
11.12.2024
Wonach haften Plattformbetreiber? – Das Verhältnis zwischen Art. 17 DSM-RL, UrhDaG und DSA
06.12.2024
Neues vom Bundesgerichtshof zum Schadensersatz beim sog. Scraping – eine Lose/Lose-Situation für Unternehmen und Verbraucher?
02.12.2024
Haftung des Verantwortlichen für (Unter-)Auftragsverarbeiter – aktuelle Rechtsprechung zu vermeidbaren Haftungsrisiken
27.11.2024
Neue Vorgaben zur Barrierefreiheit: Betroffene Unternehmen müssen bis Juni ihren Webauftritt überarbeiten

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.