Unternehmen und Organisationen fragen sich selbst und auch uns vermehrt: Gilt die KI-VO nun auch für die von mir genutzte / angebotene Open Source KI? In diesem Beitrag geben wir die Antworten auf die meistgestellten Fragen.
1. Gilt die KI-VO für Open Source KI?
Um diese Frage zu beantworten, muss man sich zunächst die Frage stellen, ob die Open Source KI ein KI-System (Art. 3 Nr. 1 KI-VO) bzw. ein KI-Modell mit allgemeinem Verwendungszweck (sog. „General Purpose AI Models“ oder kurz „GPAIM“ – Art. 3 Nr. 63 KI-VO) ist.
Ist die Open Source KI als ein KI-System zu qualifizieren, dann kann der Anwendungsbereich der KI-VO nach Art. 2 Abs. 12 KI-VO ausgeschlossen sein. Die Open Source KI muss allerdings nach Art. 2 Nr. 12 KI-VO folgende Voraussetzungen erfüllen, um nicht unter die KI-VO zu fallen:
- Open Source KI ist ein KI-System;
- Bereitstellung unter freier und quelloffener Lizenz;
- Kein Inverkehrbringen / Keine Inbetriebnahme als Hochrisiko-KI-System; und
- Keine Anwendbarkeit von Art. 5 KI-VO (Verbotene Praktiken) und Art. 50 KI-VO (Pflichten für Anbieter und Betreiber bestimmter KI-Systeme).
Ist die Open Source KI bspw. ein Hochrisiko-KI-System dann gilt die KI-VO grundsätzlich ausnahmslos, da die Voraussetzungen von Art. 2 Abs. 12 KI-VO in diesem Fall nicht erfüllt sind.
Ist die Open Source KI allerdings ein GPAIM, ist nicht Art. 2 Abs. 12 KI-VO, sondern der Abschnitt ab Art. 51 ff. KI-VO relevant. Art. 53 Abs. 2 KI-VO bspw. befreit Anbieter von GPAIM von bestimmten Pflichten, wenn folgende Voraussetzungen erfüllt werden:
- Bereitstellung unter freier und quelloffener Lizenz;
- Erfüllung bestimmter inhaltlicher Vorgaben an Lizenzen (z.B. Ermöglichung des Zugangs, der Nutzung, der Änderung und Verbreitung des GPAIM);
- Öffentliches Zugänglichmachen von bspw. Parametern, Gewichten und sonstigen in der Ausnahme aufgeführten Informationen; und
- Kein systematisches Risiko der GPAI.
In der Praxis dürfte der Open Source Ansatz auf Ebene der GPAIM höhere praktische Relevanz als auf Ebene der KI-Systeme haben.
Wichtig ist, dass die GPAIM-Ausnahme nur von bestimmten Anbieterpflichten befreit (Art. 51 Abs. 1 lit a) und b) KI-VO). Andere Anbieterpflichten bleiben hingegen anwendbar. Der Anbieter bleibt beispielsweise weiterhin verpflichtet, eine Zusammenfassung mit Angaben zu den für das Training verwendeten Inhalten zu veröffentlichen.
Obwohl bei Bereitstellung eines GPAIM als Open Source lediglich einzelne Pflichten entfallen, kann dies für Anbieter von Open Source GPAIM einen Anreiz darstellen, ihr Modell als Open Source bereitzustellen, um bestimmte Anbieterpflichten der KI-VO auszuschließen.
Unternehmen und Organisationen, die den Einsatz von Open-Source-KI in Erwägung ziehen und die Vor- und Nachteile im Hinblick auf die regulatorischen Anforderungen der KI-Verordnung bewerten möchten, sollten ein besonderes Augenmerk auf diese Regelungen legen.
2. Was ist freie und quelloffene Software nach der KI-VO?
Das europäische Verständnis des Begriffs Open Source ist deutlich enger gefasst als das zum Teil in der Open Source Community vertretene Begriffsverständnis.
Anknüpfungspunkte für das Verständnis von Open Source nach der KI-VO geben die Erwägungsgründe in der KI-VO (EG 102 ff.) und die Leitlinien der Kommission zur Klarstellung der Anwendbarkeit der Verpflichtungen auf GPAIM.
Um nach dem europäischen Begriffsverständnis als Open Source zu gelten, muss die jeweilige KI-Komponente insbesondere folgende Voraussetzungen erfüllen:
- Die Lizenz muss unentgeltlich die freie Nutzung, Veränderung und Weiterverbreitung der KI-Komponente ermöglichen. Lizenzen die bspw. nur eine wissenschaftliche bzw. nichtkommerzielle Nutzung erlauben, erfüllen dieses Kriterium nicht.
- Unentgeltlichkeit meint dabei nicht nur kostenlos. Vielmehr ist jede Art der Monetarisierung ausgeschlossen. Wird die KI-Komponente bspw. über eine Website oder Plattform bereitgestellt, auf der bezahlte Werbung angezeigt wird, liegt keine Unentgeltlichkeit vor. Gleiches gilt, wenn ihm Gegenzug für die Bereitstellung personenbezogene Daten monetarisiert werden.
3. Was ist ein KI-System?
Die KI-VO definiert diesen Begriff in Art. 3 Nr. 1 KI-VO. Sehr vereinfacht gesprochen ist ein KI-System ein maschinengestütztes System, das autonom arbeiten kann, sich nach der Einführung weiterentwickeln oder verbessern kann (z.B. durch Lernen aus neuen Daten), Eingaben verarbeitet (z.B. Texte, Bilder, Zahlen) und hieraus abgeleitete Ausgaben wie bspw. Vorhersagen, Empfehlungen oder Inhalte erzeugt.
Kein KI-System sind bspw. rein regelbasierte Softwareanwendungen und klassische mathematische Modelle (ohne komplexe Lernprozesse).
4. Was ist ein GPAIM?
Die KI-VO definiert diesen Begriff in Art. 3 Nr. 63 KI-VO. Ein GPAIM ist, vereinfacht gesprochen, ein KI-Modell, das für viele verschiedene Aufgaben eingesetzt werden kann und daher nicht für eine spezialisierte Anwendung konzipiert ist. Damit ein KI-Modell allerdings als GPAIM gilt, muss es ferner mit mehr als 1023 FLOPS (Rechenoperationen) trainiert worden sein und generative Fähigkeiten haben (z.B. text-to-image oder text-to-video). Ist ein KI-Modell bspw. nur für eine ganz bestimmte Aufgabe konzipiert, ist es kein GPAIM.
Siehe auch hierzu die Leitlinien der Kommission zur Klarstellung der Anwendbarkeit der Verpflichtungen auf GPAIM.
