Der EU AI Act ist in erster Linie darauf ausgelegt, KI-Systeme basierend auf ihren Anwendungen risiko-basiert zu regulieren. Darüber hinaus gibt es Bestimmungen zur Regulierung der größten und leistungsstärksten KI-Modelle, unabhängig von ihren spezifischen Anwendungsfällen.
Als risikobasierte Verordnung kategorisiert der EU AI Act GPAIs basierend darauf, ob sie vorhersehbare negative Auswirkungen haben (was bekanntermaßen schwer vorherzusagen ist) oder ob sie eine bestimmte Rechenschwelle überschreiten.
Diese Schwelle wird in FLOPs gemessen, was für “floating-point operations per second” (Gleitkommaoperationen pro Sekunde) steht. Konkret liegt die Schwelle bei 10^25 FLOPS. Zur Veranschaulichung: Dies entspricht der Rechenleistung einer Billion High-End-Laptops zusammen.
Aktuelle und zukünftige Auswirkungen
Welche KI-Modelle wären betroffen, wenn der EU AI Act heute vollständig in Kraft treten würde? Die Antwort lautet: sehr wenige. Denn der Act richtet sich primär an Hochrisiko-KI-Systeme, und viele der derzeit verwendeten Modelle fallen nicht unter diese strengen Regulierungen. Da die Entwicklung von KI jedoch weiterhin rapide voranschreitet, könnte diese Verordnung bald eine größere Anzahl von Modellen umfassen. Dazu könnten zukünftig auch Modelle wie OpenAIs GPT-4 und Google DeepMinds Gemini gehören, sobald die spezifischen Regulierungen für GPAI-Modelle im August 2025 in Kraft treten.
Anforderungen für GPAI-Modelle
Fällt ein GPAI-Modell unter die zu regulierende Kategorie, muss es die folgenden Anforderungen erfüllen:
- Zusammenfassung des Trainingsmaterials:Eine detaillierte Zusammenfassung der verwendeten Trainingsdaten wird gefordert. Dies soll dazu beitragen, die Quellen und die Art der Daten zu verstehen, mit denen das KI-Modell trainiert wurde.Hierfür gibt es konkrete Vorschläge bezüglich des Umfangs und möglichen Formats.
- Opt-Out-Mechanismus:Ein Opt-Out-Mechanismus, der es Einzelpersonen ermöglicht, ihre Daten von der Nutzung im Training auszuschließen, soll etabliert werden. Dies respektiert die Privatsphäre persönlicher Daten und gibt den Einzelpersonen die Kontrolle über ihre Informationen. Konkret ist eine flächendeckende Umsetzung schwierig vorstellbar und wirft Fragen nach Trainingsdaten für entweder neuere oder bestehende leistungsfähigere Modelle (beide Kategorien werden auf eine enorme Masse an Daten angewiesen sein) auf.
- Technische Dokumentation:Eine umfassende technische Dokumentation, die den Aufbau des Modells beschreibt, soll Aufschluss über dessen Funktionsweise ermöglichen. Dies sollte Informationen zur Architektur, zu den Algorithmen und Methoden sowie zu den Leistungskennzahlen des Modells enthalten.
- Cybersicherheitskontrollen und Vorfallmeldung:Robuste Cybersicherheitsmaßnahmen sind erforderlich, um das KI-System und dessen Daten vor unbefugtem Zugriff und anderen Bedrohungen zu schützen. Zusätzlich sollte ein systematischer Vorfallmeldeprozess etabliert und dokumentiert sein. Sicherheitsverletzungen oder Vorfälle müsseninnerhalb von 15 Tagen nach dem Bekanntwerden gemeldetwerden.
Diese Punkte bringen ein wenig Klarheit, werfen aber auch eine Menge Fragen auf. Sie haben konkrete Fragen zum EU AI Act und zu General Purpose AI Systemen? Dann schreiben Sie uns eine Nachricht an info@advisori.de.