In die aktuelle Fassung der KI-VO wurden durch das Parlament weitere Regelung zu Pflichten und Verantwortlichkeiten entlang der KI-Wertschöpfungskette aufgenommen und Anforderungen an Basismodelle sowie Pflichten für deren Anbieter festgelegt.
Im Entwurf der Kommission für ein Gesetz über Künstliche Intelligenz (KI-Verordnung, AI Act) waren neben Pflichten für Anbieter,* Händler, Einführer und Anwender von Hochrisiko-KI-Systemen weitere Pflichten für weitere Beteiligte in der KI-Wertschöpfungskette von Hochrisiko-KI-Systemen bereits angelegt. Durch die derzeitige Fassung der Verhandlungsposition des Parlaments werden diese Pflichten weiter konkretisiert und erweitert.
Neu und insbesondere für generative KI-Modelle relevant sind auch Regelungen zu Anforderungen an Basismodelle und Pflichten für deren Anbieter, wenn sie Teil der KI-Wertschöpfungskette von Hochrisiko-KI-Systemen sind.
Pflichten und Verantwortlichkeiten entlang der KI-Wertschöpfungskette
Um das Vertrauen in die Wertschöpfungskette eines Hochrisiko-KI-Systems zu stärken und die Sicherheit für sämtliche Beteiligte im Hinblick auf die Einhaltung der Anforderungen an Hochrisiko-KI-Systemen und relevanten Pflichten zu erhöhen, werden die Pflichten und Verantwortlichkeiten einer KI-Wertschöpfungskette durch die KI-Verordnung geregelt.
Anbieterpflichten können auch für Händler, Einführer, Anwender und sonstige Dritte gelten
Wenn Händler, Einführer, Anwender oder sonstige Dritte ein Hochrisiko-KI-System unter eigenem Namen oder ihrer Marke in Verkehr bringen oder in Betrieb nehmen, gelten sie als Anbieter im Sinne der KI-Verordnung und unterliegen den Anbieterpflichten des Art. 16 (Art. 28).
Das gilt auch, wenn sie die Zweckbestimmung eines Hockrisiko-KI-Systems verändern oder eine wesentliche Änderung an einem Hockrisiko-KI-System vornehmen und dieses dabei weiterhin ein Hochrisiko-KI-System bleibt oder eine wesentliche Änderung an einem sonstigen KI-System oder dessen Zweckbestimmung vornehmen und es dadurch zu einem Hochrisiko-KI-System wird.
In diesen Fällen gilt der ursprüngliche Anbieter nicht mehr als Anbieter im Sinne der KI-Verordnung und ist damit für die betreffenden Hochrisiko-KI-Systeme nicht verantwortlich (Art. 28 Abs. 1, Abs. 2). Der ursprüngliche Anbieter soll dem neuen Anbieter in diesen Fällen alle erforderlichen Dokumentationen und Unterlagen bereitstellen, die für die Erfüllung der Anforderungen und Pflichten der KI-Verordnung erforderlich sind.
Die Vorschrift ist auch auf die Anbieter von Basismodellen, wenn diese direkt in ein Hockrisiko-KI-System integriert sind, anwendbar.
Um zu vermeiden, für ein „zweckentfremdetes″ Inverkehrbringen oder Inbetriebnahme einer generativen KI verantwortlich zu sein, sollten Anbieter generativer KI-Systeme für ihre KI-Systeme daher – unabhängig von einer Klassifizierung als Hochrisiko-KI-System – eine Zweckbestimmung im Sinne der KI-Verordnung festlegen. Zweckbestimmung ist dabei die Verwendung, für die ein KI-System laut Anbieter bestimmt ist, einschließlich der besonderen Nutzungsumstände und Nutzungsbedingungen entsprechend den Angaben des Anbieters in der Gebrauchsanweisung, im Werbe- oder Verkaufsmaterial und in diesbezüglichen Erklärungen sowie in der technischen Dokumentation (Art. 3 Nr. 12).
Anforderungen an den Vertragsinhalt von Anbietern und sonstigen Beteiligten der KI-Wertschöpfungskette
In einer KI-Wertschöpfungskette werden von einer Vielzahl von Beteiligten Werkzeuge, Dienste, Komponenten oder Prozesse bereitgestellt, die dann von dem Anbieter in ein KI-System implementiert werden (z.B. Bereitstellung und Verarbeitung von Datensätzen, Model Training, Model Retraining, Model Testung, Integration in Software oder andere Aspekte der Entwicklung von KI-Systemen). Angesichts der Komplexität von KI-Wertschöpfungsketten soll die KI-Verordnung daher sicherstellen, dass einem Anbieter von Hochrisiko-KI-Systemen alle relevanten Informationen, Fachkenntnisse und Training zur Verfügung gestellt werden (Erwägungsgrund 60).
Anbieter von Hochrisiko-KI-Systemen und Dritte, die Werkzeuge, Dienste, Komponenten oder Prozesse bereitstellen (z.B. APIs, Plattformbetreiber), mit denen Hochrisiko-KI-Systeme verwendet oder in diese integriert werden, müssen daher schriftlich festlegen, welche Informationen, technischen Fähigkeiten und sonstigen Zugänge oder Unterstützungen der Dritte als Beteiligter der KI-Wertschöpfungskette nach dem allgemein anerkannten Stand der Technik benötigt, damit der Anbieter die Anforderungen und Verpflichtungen der KI-Verordnung erfüllen kann (Art. 28 Abs. 2a). Die Kommission soll hierzu unverbindliche Mustervertragsklauseln zur Verfügung stellen.
Geschäftsgeheimnisse sollen gewahrt werden und dürfen nur offengelegt werden, wenn im Voraus erforderliche Maßnahmen zur Wahrung der Vertraulichkeit getroffen wurden (Art. 28 Abs. 2b)
Vor dem Hintergrund eines Verhandlungsungleichgewichts, das für Start-ups und kleinere Unternehmen bestehen kann, enthält Art. 28a – vergleichbar mit einer AGB-Kontrolle zwischen Verbrauchern und Unternehmen – einen Katalog an Vertragsbedingungen, die im Zusammenhang mit der Lieferung von Werkzeugen, Dienstleistungen, Komponenten oder Prozessen für ein Hochrisiko-KI-System, die als unfair angesehen werden können (unfairness test). Solche unfairen Bestimmungen (nur die einzelne Klausel, nicht der gesamte Vertrag) sind nicht bindend, wenn sie einseitig und unter Ausnutzung der stärkeren Verhandlungsposition (take it or leave it) gegenüber einem Start-up oder kleinen oder mittelständischen Unternehmen gestellt wurden. Die KI-Verordnung nennt dabei unfaire Klauseln, die als Maßstab für die Beurteilung der Unfairness herangezogen werden sollen, wie Haftungsausschlüsse oder -beschränkungen für Vorsatz und grobe Fahrlässigkeit, ein Ausschluss von Rechtsmitteln bei Nichterfüllung vertraglicher Pflichten oder Haftung und einseitige Beurteilungsrechte hinsichtlich der ausreichenden Bereitstellung technischer Dokumentationen und Informationen im Einklang mit dem Vertrag und der Auslegung von Vertragsbestimmungen.
Pflichten für Anbieter von Basismodellen
Die wachsende Relevanz von Basismodellen innerhalb einer KI-Wertschöpfungskette sowie die potenziellen Auswirkungen einer mangelnden Kontrolle nimmt das Parlament zum Anlass, die rechtliche Situation von Anbietern von Basismodellen zu klären (Erwägungsgrund 60g). In der aktuellen Fassung werden daher nun Anforderungen an Basismodelle und Pflichten für ihre Anbieter festgelegt (Erwägungsgrund 60e f., Art. 28 b).
Basismodelle (foundation models) sind Modelle von KI-Systemen, die auf breiter Datenbasis trainiert wurden, auf eine allgemeine Verwendung ausgelegt sind und für vielfältige unterschiedliche Aufgaben angepasst werden können (Art. 3 Nr. 1c). KI-Systeme mit oder ohne spezifische Zweckbestimmung – und damit auch Hochrisiko-KI-Systeme – können dabei die Umsetzung eines Basismodells sein, das potenziell in unzähligen nachgelagerten KI-Systemen weiterverwendet werden kann.
Anbieter von Basismodellen sollen vor dem Inverkehrbringen oder Inbetriebnahme sicherstellen, dass das Basismodell die Anforderungen des Art. 28b erfüllt – unabhängig davon, ob es alleinstehend, als Teil eines KI-Systems oder Produktes, als Open Source, Dienstleistung oder über andere Vertriebskanäle bereitgestellt wird.
Dazu gehören:
Im Zusammenhang mit generativen KI-Systemen werden außerdem zusätzliche Pflichten geregelt für Anbieter von Basismodellen, die in generativen K-Systemen verwendet werden, und für Anbieter, die ein Basismodell in ein generatives KI-System implementieren (Art. 28b Abs. 4):
Die Verpflichtungen sollen nicht zu einer pauschalen Einstufung von Basismodellen als Hochrisiko-KI-Systeme führen, sondern gewährleisten, dass die KI-Verordnung ihre Ziele erreicht (Erwägungsgrund 60g). Basismodelle, die für eine engere, weniger allgemeine und begrenzte Reihe von Anwendungen entwickelt wurden und nicht für ein breites Spektrum von Aufgaben angepasst werden können (z.B. einfache multi-purpose Systeme), sollen daher nicht als Basismodelle im Sinne der KI-Verordnung gelten.
Überwachung und Zertifizierung von Hochrisiko-KI-Systemen
Unabhängige Stellen sollen als Konformitätsbewertungsstellen mit der Überwachung und Zertifizierung von KI-Systemen beauftragt werden und die Konformität der KI-Systeme mit den Anforderungen der KI-Verordnung überprüfen (Art. 33). Dazu muss ein Antrag bei der von den Mitgliedsstaaten einzurichtenden Behörde gestellt und ein Notifizierungsverfahren durchlaufen werden (Art. 30 ff.).
Spezifische Anforderungen an die Konformitätsbewertung eines Hochrisiko-KI-Systems sind in Art. 40 ff. geregelt. Von einer notifizierenden Stelle erteilte Bescheinigungen sind maximal für 5 Jahre gültig und können durch die notifizierende Stelle ausgesetzt oder widerrufen werden (Art. 44). Die Mitgliedsstaaten sollen ein Einspruchsverfahren gegen Entscheidungen der Konformitätsbewertungsstelle einrichten (Art. 45).
Zahlreiche Regelungen für Hochrisiko-KI-Systeme
Die Entwicklung und der Einsatz von Hochrisiko-KI-Systemen wird durch die KI-Verordnung nicht nur durch die Anforderungen und Pflichten für ihre Anbieter, Anwender, Einführer und Händler, sondern auch durch die in der aktuellen Fassung erweiterten Verantwortlichkeiten und Pflichten sonstiger Beteiligter einer KI-Wertschöpfungskette, insbesondere Anbieter von Basismodellen, umfangreich reguliert.
Welche weiteren Pflichten Anwender – insbesondere generativer KI – treffen können, welche Rechte Betroffenen zustehen und welche Sanktionen bei Verstößen gegen die KI-Verordnung drohen, wird in einem weiteren Teil dieser Beitragsreihe dargelegt.
Auch vor der Rechtsberatung macht KI keinen Halt. Dies hat CMS bereits früh erkannt: Wie künstliche Intelligenz die Arbeit in Kanzleien verändert (cmshs-bloggt.de). Auf unserer Innovationen-Homepage und in unserem CMS To Go Podcast „Einfach.Innovativ“ erhalten Sie weitere Informationen.
In unserem CMS-Blog informieren wir Sie in unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend mit aktuellen Beiträgen zu diesen Themen. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge informiert. Weitere Informationen finden Sie zudem auf unserer Insight-Seite: Implikationen für Künstliche Intelligenz und Recht | CMS Deutschland.
Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.