Im Rahmen des Gesetzgebungsverfahrens der KI-Verordnung wurde der Umgang mit „Open Source KI“ immer wieder kontrovers diskutiert. Die vor kurzen verabschiedete finale Fassung der KI-Verordnung (wir berichteten) beantwortet nun vorerst abschließend die Frage, ob – und wenn ja – inwieweit deren KI-spezifische, regulatorische Anforderungen auch für „Open Source KI“ gelten. In diesem KI-Flash gehen wir dieser Frage nach und bieten eine erste Orientierungshilfe zu den insoweit relevanten Vorgaben.
Grundsatz: Die KI-Verordnung gilt nicht für „Open Source KI“, ABER …
Auf den ersten Blick klammert die KI-Verordnung „Open Source KI“ aus dem Anwendungsbereich aus. In Art. 2 (12) der KI-VO heißt es dazu: „Diese Verordnung gilt nicht für KI-Systeme, die unter freien und quelloffenen Lizenzen bereitgestellt werden, es sei denn, sie werden als Hochrisiko-KI-Systeme oder als ein KI-System, das unter Artikel 5 oder 50 fällt, in Verkehr gebracht oder in Betrieb genommen.“
Bei näherer Betrachtung enthält dieser grundsätzliche Anwendungsausschluss allerdings einige relevante Einschränkungen und Differenzierungen. Unternehmen, die den Einsatz von „Open Source KI“ in Erwägung ziehen und deren Vor- bzw. Nachteile grade im Hinblick auf die regulatorischen Hürden der KI-Verordnung bewerten möchten, sollten sich diese Grundsätze unbedingt vor Augen führen.
Handelt es sich um ein KI-System oder KI-Modell?
Die KI-Verordnung reglementiert nicht nur „KI-Systeme“, sondern enthält in Kapitel V, Art. 51 ff. gesonderte Vorgaben für Anbieter von sog. „KI-Modellen mit allgemeinem Verwendungszweck“ („General Purpose AI Models“ oder kurz „GPAIM“). Die Unterscheidung zwischen KI-System und -Modell und die abweichenden Anforderungen, die für GPAIM gelten, haben wir an anderer Stelle erläutert.
Die Unterscheidung ist für „Open Source KI“ in zweierlei Hinsicht besonders relevant: (1) Der Open Source Ansatz hat zum einen auf der „KI-Modellebene“ wohl eine weitaus größere praktische Relevanz, als auf „KI-Systemebene“; und (2) die KI-Verordnung enthält für KI-Modelle bzw. KI-Systeme im Detail differenzierte Kriterien, unter welchen Voraussetzungen das KI-Modell bzw. KI-System als „Open Source“ einzustufen ist.
Ist die Monetarisierung von KI-Komponenten ausgeschlossen?
Wie geschildert, gelten für KI-Systeme und KI-Modelle teilweise differenzierte Anforderungen im Zusammenhang mit Open Source Lizenzen (dazu sogleich). Etwas versteckt – und zwar in Erwägungsgrund 103 – gibt der Gesetzgeber allerdings eine wesentliche Weichenstellung für das Verständnis von „Open Source“ unter der KI-Verordnung vor, die für alle KI-Komponenten (also unabhängig davon, ob KI-Modell oder -System) von Bedeutung ist und damit „vor die Klammer“ gestellt werden sollte:
KI-Komponenten, die gegen Vergütung bereitgestellt werden oder in sonstiger Weise – etwa durch Vertrieb über eine Plattform (mit Ausnahme von sog. „Open Repositories“) oder durch Verwendung personenbezogener Daten – auch nur mittelbar monetarisiert werden, sind grundsätzlich nicht als „Open Source KI“ zu qualifizieren. Liegt eine solche (auch nur mittelbare) Monetarisierung vor, unterliegt der Anbieter bzw. Betreiber den Voraussetzungen der KI-Verordnung ohne Einschränkungen. Diese Ausnahme ergibt sich nicht unmittelbar aus dem Gesetzestext der KI-Verordnung und ist daher besonders zu beachten.
Inwieweit unterfallen Open Source GPAIMs der KI-Verordnung?
Für GPAIM gilt der einleitend erwähnte Art. 2 (12) der KI-Verordnung von vorneherein nicht. Allerdings enthält die KI-Verordnung für GPAIM eine ähnliche „Open-Source-Ausnahme“, und zwar in Art. 53 (2): Danach gelten die besonderen Pflichten für Anbieter von GPAIM nicht für KI-Modelle, „die im Rahmen einer freien und quelloffenen Lizenz bereitgestellt werden, die den Zugang, die Nutzung, die Änderung und die Verbreitung des Modells ermöglicht und deren Parameter, einschließlich Gewichte, Informationen über die Modellarchitektur und Informationen über die Modellnutzung, öffentlich zugänglich gemacht werden.Diese Ausnahme gilt nicht für KI-Modelle mit allgemeinem Verwendungszweck mit systemischen Risiken.“
Handelt es sich um ein GPAIM mit systemischem Risiko kommt es nicht mehr darauf an, ob das KI-Modell im Wege einer Open Source-Lizenz bereitgestellt wird. Der Anbieter hat die Anforderungen für GPAIM mit systemischem Risiko in jedem Fall zu erfüllen. Bei KI-Systemen gilt dasselbe Prinzip mit der einzigen Ausnahme, dass insoweit eine abweichende Risikoklassifizierung gilt (dazu mehr sogleich).
Ist ein systemisches Risiko nicht gegeben, ist im Einzelnen zu prüfen, ob die Voraussetzungen für eine freie und quellenoffene Bereitstellung des GPAIM erfüllt sind. Art. 53 (2) der KI-Verordnung legt die Anforderungen an die Inhalte einer Open Source-Lizenz im Detail fest. Damit soll insbesondere ein sog. „open washing“ verhindert werden, dass also Anbieter ihr KI-Modell als „Open Source“ bewerben, letztlich aber eine kommerzielle Nutzung in den Lizenzbedingungen weitgehend eingeschränkt wird.
Besonders bemerkenswert ist, dass für Anbieter von Open Source GPAIM geringere Transparenzanforderungen gelten, als sie für proprietäre GPAIM zu beachten sind. Anbieter von Open Source GPAIM sind nämlich von den Vorgaben in Art. 51 (1) a) und b) der KI-Verordnung befreit. Dies kann wiederum Anreiz für KI-Entwickler sein, KI-Modelle unter einer Open Source-Lizenz bereitzustellen und insoweit (teilweise) den Anforderungen für KI-Systeme zu „entgehen“.
Inwieweit unterfallen Open Source KI-Systeme der KI-Verordnung?
Ähnlich wie bei GPAIMs, kommt es auch bei KI-Systemen zunächst auf die Risikobewertung an. Gemäß Art. 2 (12) der KI-Verordnung gelten für KI-Systeme, die als Hochrisiko-KI-System einzustufen sind oder die in Art. 5 (Verbotene Praktiken) oder Art. 50 (z.B. KI-Systeme zur direkten Interaktion mit Nutzern) speziell adressiert sind, die Anforderungen der KI-Verordnung grundsätzlich ausnahmslos. Hier kommt es also nicht mehr darauf an, ob es sich um Open Source KI-Systeme handelt, oder nicht.
Fällt das KI-System nicht in eine dieser Kategorien, ist wiederum zu prüfen, ob das KI-System tatsächlich „unter freien und quelloffenen Lizenzen bereitgestellt“ wird. Auch dies erfordert wieder eine Bewertung im Einzelfall. Für KI-Systeme gilt jedoch – anders als bei den GPAIM – nicht die zusätzliche Anforderung, dass dort spezifische Informationen über das „Modell“ (wie Gewichtung, usw.) offengelegt werden müssen. Basiert das KI-System teilweise auf Open Source KI-Modellen, kann im Einzelfall auch die Abgrenzung der jeweiligen Verantwortlichen schwierig sein.
Fazit zur weiteren Handhabung
Der Handlungsspielraum für den (wertschöpfenden) Einsatz von „Open Source KI“ ist – außerhalb des Anwendungsbereichs der KI-Verordnung – wie der vorstehende Überblick verdeutlicht, deutlich eingeschränkt. Unternehmen, die den Einsatz oder die Bereitstellung von KI als Open Source (-Komponenten) beabsichtigen, müssen daher damit rechnen, in vielen Fällen auch (bestimmten) Pflichten der KI-Verordnung zu unterfallen. Jedenfalls sollte sorgfältig im Einzelfall geprüft werden, welche Anforderungen der KI-Verordnung insoweit möglicherweise nicht – oder letztlich eben doch – erfüllt werden müssen.
Gerne unterstützen wir Sie bei allen damit zusammenhängenden Fragen zur Umsetzung Ihres KI-Projekt!
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
