Die geplante Regulierung von KI Foundation-Modellen und General Purpose KI

Das Europäische Parlament macht ernst: Voraussichtlich Mitte Juni sollen weitreichende Dokumentations-, Transparenz- und Registrierungspflichten für die Anbieter von KI-Foundation-Modellen im Entwurf der neuen KI-Verordnung sowie Pflichten für die Anbieter von General Purpose KI wie Chat GPT beschlossen werden, die von den federführenden Ausschüssen letzte Woche verabschiedet wurden.

In der zweiten Jahreshälfte beginnen dann voraussichtlich die Trilogverhandlungen mit der EU Kommission und dem Rat, sodass die finale Version der KI Verordnung bis Ende des Jahres auf den Weg gebracht werden könnte.

Auch wenn die jetzt von den beiden Parlamentsausschüssen für bürgerlichen Freiheiten, Justiz und Inneres (LIBE) sowie für Verbraucherschutz (IMCO) vorgesehene Ausdehnung der weitreichenden Verpflichtungen für Foundation-Modelle und GenPurpose KI daher noch nicht in Stein gemeißelt sind, zeichnet sich eine klare Tendenz der beabsichtigten Regulierungsansätze für zwei Konzepte ab, die in der KI eine wichtige Rolle spielen.

Insbesondere für die Foundation-Modelle wir GPT-3, also große Sprachmodelle, mit denen die technischen Grundlagen für die stimmige Verarbeitung von Texten generiert werden, sind weitreichende Verpflichtungen vorgesehen. Reguliert werden soll daher mithin vor allem die Grundlagentechnologie, im übertragenen Sinne also die Schienen, auf denen dann Anwendungen wie ChatGPT aufsetzen. Oder wie die KI Verordnung es in den Erwägungsgründen ausdrückt:

"KI-Systeme mit spezifischem Verwendungszweck oder General Purpose AI können die Implementierung eines Foundation-Modells sein. Das bedeutet, dass jedes Foundation-Modell in zahllosen nachgelagerten KI- oder General Purpose AI Systemen wiederverwendet werden kann."

Für die Entwicklung und das Inverkehrbringen von Foundation-Modellen wie GPT3 oder die erst Anfang Mai vorgestellte Google Technologie PaLM2 würde danach zukünftig folgendes gelten:

Bereits bevor ein solches Modell im Markt verfügbar gemacht oder in Betrieb genommen wird, müssen die Anbieter die Einhaltung sämtlicher Verpflichtungen sicherstellen. Wäre die KI Verordnung also in der jetzt vorliegenden Version in Kraft, müssten Modelle wie GPT3 oder PaLM2 wohl wieder vom Markt genommen werden. Dies würde im Übrigen nicht nur für das Foundation-Modell selbst gelten, denn die Verpflichtungen gelten unabhängig davon, ob sie als eigenständiges Modell, oder eingebettet in ein KI-System oder ein Produkt bereitgestellt werden.

Es sind äußerst weitreichende und komplexe Verpflichtungen vorgesehen

Anbieter müssen durch geeignete Gestaltung, Prüfung und Analyse nachweisen können, dass die Identifizierung und Reduzierung vorhersehbarer Risiken des Modells für die wichtigsten gesellschaftlichen Güter (u.a. Sicherheit, Umwelt, Rechtstaatlichkeit) nicht nur vor, sondern auch während der Entwicklung mit geeigneten Methoden berücksichtigt wurde. Dazu können beispielsweise unabhängige Experten hinzugezogen werden. Soweit gleichwohl Risiken verbleiben, sind diese zu dokumentieren. Dies könnte bei großen Sprachmodellen beispielsweise für die missbräuchliche Nutzung zur Erstellung von Fake News gelten.

Des Weiteren dürften bei der Entwicklung nur Datensätze verarbeitet und einbezogen werden, die Gegenstand von für Foundation-Modelle geeignete Data Governance-Maßnahmen waren, insbesondere Maßnahmen zur Prüfung der Eignung der Datenquellen und möglicher Verzerrungen ("biases") sowie geeignete Maßnahmen, um diese Bias Problematik abzuschwächen.

Foundation-Modelle müssten darüber hinaus so entwickelt werden, dass eine angemessene Performance, Vorhersagbarkeit und Interpretierbarkeit sichergestellt ist. Daneben ist (Cyber)sicherheit zu gewährleisten und die Einhaltung sämtlicher Parameter ist zu dokumentieren und durch umfassende Tests während der Konzeption und Entwicklung sowie unter Einbeziehung unabhängiger Experten sicherzustellen.

Auch im Hinblick auf nachhaltige Programmierung und Entwicklung von Foundation-Modellen sind umfangreiche Verpflichtungen vorgesehen:

Sie sind unter Anwendung der geltenden Normen zur Verringerung des Energieverbrauchs, des Ressourcen- und Abfallverbrauchs sowie nach den Anforderungen an Energieeffizienz zu entwickeln, sobald die EU Kommission die entsprechenden Standards dazu veröffentlicht hat. Dabei müssen auch die Messung und Aufzeichnung des Energie- und Ressourcenverbrauchs der Anwendung sowie sonstiger Umweltauswirkungen ermöglicht werden.

Schließlich ist eine umfassende technische Dokumentation und eine verständliche Gebrauchsanweisung zu erstellen, um die nachgeschalteten Anbieter in die Lage zu versetzen, ihren eigenen Transparenzverpflichtungen nachzukommen.  Hinzu kommt die Verpflichtung zur Einrichtung eines Qualitätsmanagementsystems, um die Einhaltung sämtlicher Vorgaben zu gewährleisten und zu dokumentieren.

Ein weiterer, wichtiger Regulierungsschritt ist die vorgesehene Registrierungspflicht von Foundation-Modellen in der neu einzuführenden EU-Datenbank. Die bei der Registrierung zu machenden Angaben werden umfangreich in einem eigenen Annex der KI Verordnung geregelt.

Weitere Verpflichtungen für Generative AI Anbieter

Für Generative AI Anbieter, die auf KI Anwendungen auf Grundlage eines Foundation-Modells anbieten, sind weitere Verpflichtungen vorgesehen. Sie müssen die nach der KI Verordnung vorgesehen allgemeinen Transparenzverpflichtungen einhalten und das Basismodell so trainieren, konzipieren und entwickeln, dass eine angemessene Absicherung gegen die Erzeugung von Inhalten gewährleistet ist, die gegen EU-Recht verstoßen.

Zudem soll eine ausreichend detaillierte Zusammenfassung von verwendeten Trainingsdaten veröffentlicht werden, die urheberrechtlich geschützt sind.

Für die Entwickler von Foundation-Modellen und General Purpose KI ergeben sich damit insgesamt äußerst umfangreiche Dokumentationsverpflichtungen, die allerdings teilweise äußerst vage formuliert sind. Was ist ein geeignetes Data Governance Modell, das die Nutzung von verzerrten Trainingsdaten regelt, um der Problematik der Bias zu begegnen? Wie sieht ein den Vorgaben der Verordnung genügendes Qualitätsmanagementsystem aus? Wie soll nachgewiesen werden, dass eine Prüfung und Reduzierung möglicher Risiken für Europäische Grundrechte erfolgt ist? Insbesondere stellt sich bereits hier die Frage nach der Durchsetzbarkeit all dieser Verpflichtungen. Die Vorgaben enthalten so viel Spielraum und Interpretationsmöglichkeiten, dass die Feststellung der Verletzung der Verpflichtungen als Voraussetzung für die Verhängung von Bußgeldern bereits jetzt schwierig erscheint und damit erhebliche Rechtsunsicherheiten mit sich bringen kann.