Generische AI.
1.) Einteilung
Eine weitere Klasse ist die sogenannte generische oder Allzweck- KI. Hier gibt es nun auch wieder 2 Klassen, nämlich
erstens die generische AI mit systemischem Risiko; und
die generische AI ohne systemisches Risiko.
Chat GPT wäre eine solche AI mit systemischem Risiko, weil es eine große Menge an Daten verwendet und in der Lage ist, eine Reihe der eine breite Palette von Aufgaben auszufüllen und diese in einer Vielzahl von nachgelagerten Modellen oder Anwendungen integriert werden kann.
Weiterhin unterscheidet man die sogenannte schwache AI, die sich dadurch auszeichnet, dass sie spezialisierte Funktionen und einen begrenzten Anwendungsbereich hat, von der sogenannten starken KI und der Superintelligenz. Die schwache AI unterliegt lediglich Transparenzverpflichtungen. Die starke KI und die Superintelligenz unterliegen hingegen besonderen Regelungen.
2.) Generelle Pflichten für die generische AI:
Sofern eine generische KI vorliegt, sind die in Artikel 52c genannten Pflichten zu erfüllen.
Dazu gehört die Erstellung und Pflege der technischen Dokumentation, die Trainings und Testverfahren aufführt. In der „Anlage IXa“ sind weitere Details aufgeführt. Hersteller oder Anbieter von Softwaresystemen, die generische KI integrieren wollen, sind zur Erstellung und Pflege von Informationen und Unterlagen gemäß der Anlage IXb verpflichtet. Eine besondere Bedeutung hat hier das Urheberrecht . Die Anwender einer KI, die urheberrechtliche Werke Dritter verarbeitet oder nutzt, ist verpflichtet eine unternehmenseigene Richtlinie zur Einhaltung des EU- Urheberrechts zu führen, Art 52c Abs.1 lit c. Die Nutzung von urheberrechtlich geschützten Inhalten erfordert grundsätzlich die Zustimmung des Rechteinhabers, sofern keine der Schranken Begriffsbestimmung des Urheberrechts eingreift (hierzu siehe auch die Ausnahmen für Text und Data Mining). Diese Regelung gilt auch dann, wenn der Anbieter der Software seinen Sitz außerhalb der EU hat. Verhindert werden soll also, dass zum Beispiel Google, Meta etc. Daten von europäischen Rechteinhabern verwerten und die Ergebnisse dieser Verwertung dann ihren europäischen Kunden anbieten.
Juristisch interessant in diesem Zusammenhang ist, dass das Territorialitäts- Prinzip (also das Prinzip, nachdem sich die rechtliche Zulässigkeit einer Maßnahme nach dem Ort der Vornahme der Handlung bemisst), in ein Marktort- Prinzip umgewandelt wird (die rechtliche Zulässigkeit bemisst sich nach dem nationalen Recht an dem Standort, an dem sich die Maßnahme auswirkt).
3.) Generische KI mit systemischem Risiko:
Ob eine generische KI vorliegt, wird derzeit mit dem Energieverbrauch gemessen, der für das Training der KI erforderlich ist. Das Gesetz sagt, dass dann ein systemisches Risiko vorliegt, wenn die Systeme über eine hohe Wirkungsfähigkeit verfügt, was immer dann der Fall sein soll, wenn geeignete technische Werkzeuge und Methoden, Indikatoren und Benchmarks vorliegen. Weil sich hinter dieser Ansammlung von generischen Begriffen auch nichts Gescheites verbirgt, geht man im Moment davon aus, dass von einem hohen Wirkungsgrad dann auszugehen ist, wenn die Rechenleistung für den Betrieb grösser als 10´25 Flops (Floating Point Operations per secounds) jaist. Eine solche Festschreibung ist natürlich deswegen seltsam, weil es in der Zukunft möglich sein wird, KI- Modelle auch mit geringerer Rechenleistung marktfähig zu entwickeln.
Neben diesen etwas seltsamen Versuchen, einen juristischen Tatbestand zu definieren, steht der Kommission auch die Möglichkeit zur Verfügung, eine generische KI – basierend auf einer Entscheidung der EU Kommission- als KI mit einem systemischen Risiko zu qualifizieren. Die EU- Kommission ist auch berechtigt, neue Rechtsakte zu erlassen, um Schwellenwerte zu ändern und Indikatoren zu ergänzen oder zu verbessern.
Anm und Kritik: Beim Lesen des Tatbestandes darüber können wir erkennen, was eigentlich eine generische KI mit einem systemischen Risiko sein soll, hier kann man sich als normaler Jurist nur am Kopf kratzen. Die Tatbestände sind hochgradig generisch ausgeführt (man könnte auch sagen: schwammig) und werden an technische Parameter gebunden, die sich schnell ändern können oder die EU- Kommission erhält die Möglichkeit, nachträglich den Tatbestand des systemischen Risikos zu konkretisieren.
Insgesamt scheint der gesamte Bereich der Tatbestandsbeschreibung dessen, was eine generische KI mit einem systemischen Risiko ist, noch stark verbesserungsfähig zu sein. Da das aber der Hauptanwendungsfall der KI- Verordnung hätte sein sollen, kann man sich schon fragen, wo hier die Ratio des Gesetzgebers ist. In Anlehnung an einen in der IT gerne verwendeten Terminus würde ich sagen, dass diese Regelung eine „Bananenregelung“ ist, die eben erst im Laufe der Zeit bei den Adressaten reift. Ohne den Einsatz von Teams von Juristen und Technikern wird man kaum bestimmen können, ob man unter den Anwendungsbereich der generischen KI mit systemischen Risiko fällt oder nicht. Und wenn eine juristische Regelung zum Zeitpunkt ihres Erlasses eine solche Aussage rechtfertigt, dann ist die juristische Regelung noch nicht reif für den Markt.
4.) Rechtsfolgen bei der Nutzung von generischer KI mit einem systemischen Risiko:
Neben den oben geschilderten Pflichten, die schon für eine „Allzweck- generische- KI“ gelten, müssen neben den Mindestanforderungen noch folgende weitere Pflichten eingehalten werden:
- Durchführung von Modellbewertung nach standardisierten und dem Stand der Technik entsprechenden Protokollen und Durchführung von Dokumentationen von Tests der KI- Systeme zur Identifizierung und Minderung systemischer Risiken. Einzelheiten siehe Artikel 52d Abs. 1 Lit a. KI- VO.
- Bewertung und Minderung möglicher systemischer Risiken, die aus der Entwicklung, dem „in Verkehr bringen“ oder der Nutzung mit systemischem Risiko entspringen, Dokumentation von allen schwerwiegenden Vorfällen und das Sichern eines angemessenen Niveaus an Cyber- Sicherheit und physikalischen Schutzmaßnahmen.
Diese Dokumentationspflichten können den Anbietern von generischer KI hohe Kosten verursachen. Die KI- Verordnung erlaubt für „KMUs“ und „Startups“ andere Verfahren, wobei noch unklar ist, welche anderen Verfahren gemeint sind und wie diese umzusetzen sind. Im Moment sind vermutlich nur wenige Unternehmen in der Lage, die aus der KI- Verordnung folgenden Dokumentationspflichten zu erfüllen, schlicht, weil diese zu hohe Kosten nach sich ziehen. Genau das ist einer der Hauptkritikpunkte an der KI -Verordnung. Indessen in den USA und China die KI- Modelle gefördert werden, ohne entsprechende Hemmnisse, bedeutet für die Entwicklung einer marktfähigen KI in Europa eben ein anderes finanzielles Engagement.
Insofern hat man überlegt, zu fingieren, dass die oben genannten Pflichten durch die Einhaltung von Verhaltenskodizes erfüllt werden können. Diese Kodizes werden in Zusammenarbeit zwischen Industrie und den EU- Mitgliedstaaten im Rahmen von KI- Ausschüssen erstellt. Daneben sollen Standards erstellt werden, die durch einzelne beliehene Stellen festgelegt werden sollen. Wie immer, wird aber die Qualität dieser Regulierung von den jeweiligen Verantwortlichen abhängen. Und wie in der Vergangenheit gezeigt, müsste sich erst einmal eine Interessensvertretung für die KMUs bilden und finden, die hinreichende finanzielle und personelle Möglichkeiten hat, an der Entwicklung entsprechender Regelungswerke mitzuwirken.
Somit ist wieder zu erwarten, dass auch bei der Entwicklung von den Verhaltenskodizes die großen Unternehmen das Sagen haben werden.