Der EU AI Act (AIA), der diesen Sommer in Kraft getreten ist, enthält Grundsätze für Anbieter von General Purpose AI (GPAI)-Modellen. Konkrete, umsetzbare Auslegungen dieser Grundsätze für GPAI-Anbieter werden im Mai 2025 verfügbar sein, wenn das European AI Office seinen GPAI Code of Practice veröffentlicht. Die Ausrichtung am GPAI Code of Practice kann GPAI-Anbietern eine „Vermutung der Konformität“ mit Teilen des AIA verschaffen, bis das European AI Office harmonisierte Standards veröffentlicht.

Daher war es für GPAI-Anbieter aufschlussreich, den ersten Entwurf des GPAI Code of Practice, veröffentlicht auf der Website der Europäischen Kommission am 14. November einzusehen. Der Entwurf ist das Ergebnis kollaborativer Arbeit innerhalb und zwischen vier Arbeitsgruppen seit dem 30. September:

1: Transparenz und urheberrechtsbezogene Regeln

2: Risikoidentifizierung und -bewertung für systemische Risiken

3: Technische Risikominderung für systemische Risiken

4: Governance-Risikominderung für systemische Risiken

Mit dem Vorbehalt, dass dies lediglich der erste von vier Entwürfen in einem iterativen Prozess ist, der bis zum endgültigen Text im Mai 2025 führt, ist der 36-seitige Entwurf des Code of Practice in mindestens drei Punkten bemerkenswert.

1. Anbietereinstufung

Erstens erkennt er die Bedeutung der GPAI-Anbietereinstufung an. Während OpenAI, Google, Anthropic, Meta, Cohere und Mistral die naheliegendsten Beispiele für GPAI-Anbieter sind, beschreibt der AIA auch Situationen, in denen Organisationen, die GPAI-Modelle verwenden, als Anbieter gelten können (zum Beispiel, wenn sie ihren eigenen Namen oder ihre eigene Marke auf ein solches Modell setzen). Ein Graubereich im AIA ist, ob eine Organisation, die solche Modelle feinabstimmt, dadurch zum Anbieter wird. Zwar weist der Entwurf des Code of Practice darauf hin, dass die Endfassung zu diesem Thema Orientierung bieten wird, er stellt jedoch klar, dass selbst dann, wenn eine Organisation aufgrund der Feinabstimmung als Anbieter gilt, ihre Anbieterpflichten auf die Auswirkungen der Feinabstimmung beschränkt bleiben.

2. Taxonomie systemischer Risiken

Zweitens skizziert er eine übergeordnete Taxonomie systemischer Risiken von GPAI-Systemen, die Typ, Art und Quelle umfasst. Der AIA stuft bestimmte KI-Systeme als systemische Risiken ein (etwa wenn „die kumulierte für ihr Training verwendete Rechenleistung, gemessen in Gleitkommaoperationen, größer als 10(^25) ist“). Die vom Entwurf des Code of Practice skizzierte Taxonomie umfasst a) Risikotyp-Felder, die von „Cyberdelikt“ bis „großflächiger Diskriminierung“ reichen, b) Felder zur Risikobeschaffenheit, darunter Herkunft, die das Risiko treibenden Akteure und Absicht, sowie c) Risikquellen-Felder wie „gefährliche Modellfähigkeiten“. Auch wenn die Taxonomie nur auf hoher Ebene skizziert ist, vermittelt sie einen Einblick in die Überlegungen zu systemischen Risiken, mit denen sich das European AI Office voraussichtlich befassen wird.

3. Transparenz

Drittens schafft er ein gewisses Maß an Klarheit hinsichtlich der Arten von „technischer Dokumentation“ und „Informationen“, die GPAI-Anbieter gemäß Artikel 53 des AIA mit Betreibern und dem European AI Office teilen müssen. Diese reichen von „Richtlinien zur akzeptablen Nutzung“ bis zu „Architektur und Anzahl der Parameter“. Auch wenn es hilfreich ist, dass diese Elemente ausformuliert und anhand der Anhänge des AIA referenziert werden, variiert der Detaillierungsgrad für jedes einzelne Element erheblich.

Das Dokument befasst sich außerdem mit Urheberrechtsfragen sowie mit Risikobewertungen und Risikominderungen für GPAI-Systeme, die systemische Risiken darstellen.

Bemerkenswert ist auch, dass das European AI Office diesen ersten Entwurf veröffentlicht hat, da er sich voraussichtlich erheblich weiterentwickeln wird. Dies erfolgte möglicherweise, um Organisationen dabei zu unterstützen, den Entwurfsprozess bei der Entwicklung ihrer AIA-Compliance nachzuverfolgen, und um den öffentlichen, kollaborativen und iterativen Charakter des Vorgehens zu betonen. Zu diesem Zweck heißt es in dem Dokument: „Obwohl der erste Entwurf inhaltlich noch knapp ist, zielt dieser Ansatz darauf ab, den Stakeholdern eine klare Vorstellung von der möglichen Form und dem Inhalt des endgültigen Code of Practice zu vermitteln.“

Enzai steht Ihnen gerne zur Seite

Die AI-GRC-Plattform von Enzai kann Ihrem Unternehmen dabei helfen, KI im Einklang mit bewährten Verfahren sowie aufkommenden Vorschriften, Standards und Frameworks wie dem EU AI Act, dem Colorado AI Act, dem NIST AI RMF und ISO/IEC 42001 einzusetzen. Wenn Sie mehr erfahren möchten, nehmen Sie hier Kontakt auf.

Enzai ist die führende Enterprise-KI-Governance-Plattform, die speziell dafür entwickelt wurde, Organisationen den Übergang von abstrakten Richtlinien zu operativer Aufsicht zu ermöglichen. Unsere KI-Risikomanagement-Plattform bietet die spezialisierte Infrastruktur, die erforderlich ist, um agentische KI-Governance zu steuern, ein umfassendes KI-Inventar zu führen und die Einhaltung des EU AI Act sicherzustellen. Durch die Automatisierung komplexer Workflows versetzt Enzai Unternehmen in die Lage, die KI-Adoption mit Zuversicht zu skalieren, während die Ausrichtung an globalen Standards wie ISO 42001 und NIST gewahrt bleibt.