Die Kommission der EU hat den dritten Entwurf eines Code of Practice für General-Purpose AI-Modelle veröffentlicht:
- Mitteilung mit dem Entwurf des Code of Practice
- Code of Practice (konsolidiertes PDF)
- Minisite mit einer Aufbereitung des Entwurfs
GPAIM sind KI-Modelle mit allgemeiner Verwendbarkeit, die vermutet wird, wenn ein Modell mindestens eine Milliarde Parameter aufweist und mit einer grossen Datenmenge “unter umfassender Selbstüberwachung trainiert” wurde. Ein GPAIM ist dabei kein AI-System (AIS), auch kein AIS mit allgemeinem Verwendungszweck – zum AIS wird ein GPAIM erst durch Hinzufügung weiterer Komponenten. Die Pflichten der Anbieter von GPAIM regelt der AI Act (AIA) in einem eigenen Kapitel. Anbieter müssen u.a. eine technische Dokumentation erstellen, den Anbietern nachgelagerter AIS weitere Informationen über das GPAIM zur Verfügung stellen, über eine Strategie zur Einhaltung des EU-Urheberrechts verfügen, eine Zusammenfassung der Trainingsdaten veröffentlichen und ggf. einen Bevollmächtigten bestellen.
GPAISR sind GPAIM mit systemischen Risiken, d.h. Risiken, die aufgrund der “Reichweite” des GPAIM oder aufgrund möglicher negativer Folgen “für die öffentliche Gesundheit, die Sicherheit, die öffentliche Sicherheit, die Grundrechte oder die Gesellschaft insgesamt” erhebliche Auswirkungen haben und sich über die gesamte Wertschöpfungskette hinweg verbreiten können. GPAISR muss der Kommission gemeldet werden, und ihre Anbieter haben zusätzliche Pflichten – sie müssen das GPAIM standardisiert bewerten, systemische Risiken auf Ebene EU bewerten und reduzieren, Informationen über schwerwiegende Vorfälle und mögliche Abhilfemassnahmen dokumentieren und ggf. das AI Office und die zuständigen nationalen Behörden informieren, und ausreichende Cybersicherheit gewährleisten.
Siehe dazu unsere FAQ zum AI Act.
Vor diesem Hintergrund ist der Code of Practice ein Leitfaden, der Anbietern von GPAIM hilft, den AIA einzuhalten (Art. 56 AIA) – zur Überbrückung zwischen den Pflichten der Anbieter, die ab August 2025 gelten, und der Einführung von Standards, voraussichtlich ab August 2027. Er ist rechtlich nicht bindend, aber seine Einhaltung begründet eine Konformitätsvermutung mit den GPAI-Musteranbieterpflichten (ErwG 117: “Providers should be able to rely on codes of practice to demonstrate compliance with the obligations”). Siehe hier für weitere Informationen zum Code of Practice.
Der dritte Entwurf dürfte weitgehend ausgereift sein, wird aber bis zur finalen Verabschiedung im Mai 2025 wohl noch einige Anpassungen erfahren, durch die bis zum 30. März laufende Feedbackphase und durch Workshops.
Der Entwurf sieht 18 Verpflichtungen vor, zwei für alle GPAI-Anbieter und weitere 16 für Anbieter von GPAISR. Diese Verpflichtungen sind in drei Hauptbereiche gegliedert:
| Wer ist betroffen | Verpflichtung | Massnahme |
|---|---|---|
| Transparenz | ||
| alle GPAIM | Dokumentation (I.1) | Massnahme I.1.1: Aktuelle Modell-Dokumentation erstellen und pflegen, um die Anforderungen des Artikels 53(1)(a) und (b) des AI Act zu erfüllen. Massnahme I.1.2: Informationen bereitstellen für nachgelagerte Anbieter und die AI Office auf Anfrage, um die Integration der Modelle in AI-Systeme zu ermöglichen und die Aufsichtsaufgaben der nationalen zuständigen Behörden zu unterstützen. Massnahme I.1.3: Qualität, Sicherheit und Integrität der dokumentierten Informationen gewährleisten, um die Vertrauenswürdigkeit der Modelle sicherzustellen. Änderung: Einführung eines benutzerfreundlichen Modell-Dokumentationsformulars zur Vereinfachung der Dokumentation. |
| Urheberrecht | ||
| alle GPAIM | Urheberrechtsrichtlinie (I.2) | Massnahme I.2.1: Aktuelle Urheberrechtsrichtlinie erstellen und umsetzen, um die Einhaltung der unionsrechtlichen Vorschriften über Urheber- und verwandte Schutzrechte sicherzustellen. Massnahme I.2.2: Identifizierung und Einhaltung von Rechten, die gemäss Artikel 4(3) der Richtlinie (EU) 2019/790 reserviert sind. Massnahme I.2.3: Implementierung von Technologien zur Erkennung und Einhaltung von Urheberrechten. Massnahme I.2.4: Schaffung von Prozessen zur Bearbeitung von Urheberrechtsverletzungen. Massnahme I.2.5: Dokumentation der Einhaltung von Urheberrechten. Massnahme I.2.6: Regelmässige Überprüfung und Aktualisierung der Urheberrechtsrichtlinie. Änderung: Schärfere Anforderungen an die Identifizierung und Einhaltung von Urheberrechten. |
| Safety and Security | ||
| GPAISR | Risikoidentifizierung und ‑analyse (II.1) | Massnahmen zur kontinuierlichen Identifizierung systemischer Risiken mithilfe der Risikotaxonomie des CoP. Analyse der Wahrscheinlichkeit und Schwere der Risiken sowie Kategorisierung in Risikostufen. Änderung: Detailliertere Risikotaxonomie und ‑analyse im dritten Entwurf. |
| GPAISR | Beweissammlung und Modellbewertung (II.2) | Massnahmen zur Sammlung von Beweisen für systemische Risiken und zur Bewertung der Fähigkeiten und Grenzen der KI-Modelle gemäss den Regeln des CoP. Änderung: Schärfere Anforderungen an die Beweissammlung und Modellbewertung. |
| GPAISR | Risikobewertungszyklus (II.3) | Massnahmen zur kontinuierlichen Risikobewertung während des gesamten Lebenszyklus des Modells. Änderung: Betonung der kontinuierlichen Überwachung. |
| GPAISR | Risikominderung (II.4) | Massnahmen zur Zuordnung jeder Risikostufe zu angemessenen Sicherheits- und Sicherheitsmassnahmen. Änderung: Detailliertere Massnahmen zur Risikominderung. |
| GPAISR | Sicherheits- und Sicherheitsberichte (SSR) (II.5) | Massnahmen zur Erstellung und regelmässigen Aktualisierung von Sicherheits- und Sicherheitsberichten zur Dokumentation von Risiko- und Minderungsbeurteilungen. Änderung: Regelmässige Aktualisierung der Berichte. |
| GPAISR | Risikogovernance (II.6) | Massnahmen zur Zuweisung von Verantwortung und Ressourcen für systemische Risiken auf Exekutiv- und Vorstandsebene. Änderung: Stärkere Betonung der Governance. |
| GPAISR | Sicherheitsmassnahmen zur Verhinderung unbefugten Zugriffs (II.7) | Massnahmen zur Umsetzung von Sicherheitsmassnahmen, die mindestens dem RAND SL3-Sicherheitsziel entsprechen. Änderung: Konkrete Sicherheitsziele festgelegt. |
| GPAISR | Sicherheits- und Sicherheitsberichte (II.8) | Massnahmen zur Erstellung von Sicherheits- und Sicherheitsberichten, die die Ergebnisse der systemischen Risikobewertung und ‑minderung enthalten. Änderung: Detailliertere Berichte. |
| GPAISR | Systemische Risikominderung durch Design (II.9) | Massnahmen zur Implementierung von Designprinzipien zur Minimierung systemischer Risiken. Änderung: Betonung von Fairness und Transparenz. |
| GPAISR | Kontinuierliche Überwachung und Aktualisierung (II.10) | Massnahmen zur kontinuierlichen Überwachung und regelmässigen Aktualisierung der Modelle. Änderung: Stärkere Betonung der kontinuierlichen Überwachung. |
| GPAISR | Zusammenarbeit mit externen Partnern (II.11) | Massnahmen zur Zusammenarbeit mit externen Partnern zur Identifizierung und Minderung systemischer Risiken. Änderung: Erhöhte Bedeutung der Zusammenarbeit. |
| GPAISR | Serious Incident Reporting (II.12) | Massnahmen zur Überwachung, Dokumentation und Meldung von schwerwiegenden Vorfällen. Änderung: Präzisere Meldemechanismen. |
| GPAISR | Non-Retaliation-Schutz (II.13) | Massnahmen zum Schutz von Mitarbeitern, die Risiken melden. Änderung: Stärkere Betonung des Schutzes. |
| GPAISR | Benachrichtigungen (II.14) | Massnahmen zur regelmässigen Benachrichtigung der AI Office über die Umsetzung der Verpflichtungen. Änderung: Regelmässige Berichterstattung. |
| GPAISR | Dokumentation (II.15) | Massnahmen zur Dokumentation relevanter Informationen gemäss dem AI Act. Änderung: Detailliertere Dokumentationsanforderungen. |
| GPAISR | Öffentliche Transparenz (II.16) | Massnahmen zur Veröffentlichung von Informationen zur öffentlichen Transparenz über systemische Risiken. Änderung: Erhöhte Transparenz. |