Open Source von KI-Systemen

Lesedauer 8 Minuten

Ein zentraler Aspekt des EU AI Acts betrifft die Förderung von KI-Systemen mit freier Open Source Lizenz. Entsprechende KI-Systeme fallen gar nicht erst unter den EU AI Act. Doch welche „Ausnahmen der Ausnahme“ gibt es? Und was genau muss wie offengelegt werden? Klare Angaben sind rar. Eine Spurensuche, die durchaus überraschende Ergebnisse liefert.

EU AI Act - CAIR4.eu
  • Freie und quelloffene KI-Systeme unterliegen nicht dem EU AI Act, vgl. Art. 2 (12) EU AI Act.
  • Ausnahmen: Verbotene KI, Hochrisiko-KI und im Fall von KI, die unter Artikel 50 EU AI Act fällt (z.B. Chatbots u. generative KI für Medien).
  • Im Zweifel müssen alle Komponenten offengelegt werden, damit ein KI-System unter Artikel 2 (12) EU AI Act fällt.
  • Im Bezug auf die Art der Dokumentation sind kaum Vorgaben im EU AI Act enthalten.
  • Am Ende des Beitrags werden die wichtigsten Aspekte noch einmal in einer Matrix zusammengefaßt.

Normen zu diesem Beitrag, u.a.:

  • Artikel 2 EU AI Act
  • Artikel 3 EU AI Act
  • Artikel 5 EU AI Act
  • Artikel 6 EU AI Act
  • Artikel 25 EU AI Act
  • Artikel 50 EU AI Act
  • Artikel 53 EU AI Act
  • Artikel 55 EU AI Act

Quelloffene KI-Systeme i.S.d. EU AI Acts

Artikel 2 (12) EU AI Act besagt, dass KI-Systeme i.S.v. Artikel 3 Nr. 1 EU AI Act mit freien und quelloffenen Lizenzen nicht unter den EU AI Act fallen.

Die nachfolgende Übersicht von openfuture skizziert den generellen Pfad verschiedener Open-Source-Varianten des EU AI Acts:

  1. für KI-Systeme
  2. für GPAI-Modelle

Die Übersicht zeigt:

  • Als Open-Source-Ausnahme vom EU AI Act kommen immer nur KI-Systeme in Betracht.
  • GPAI-Modelle mit allgemeinem Verwendungszweck i.S.v. Artikel 3 Nr. 63 EU AI Act fallen immer unter den EU AI Act. Sie können aber als Open Source vereinfachten Regeln unterliegen.

Da sich der vorliegende Artikel auf die Ausnahme für KI-Systeme fokussiert, ergeben sich zwei unterschiedliche Fragestellungen:

  1. Welche Open Source KI-System fällt gar nicht erst unter die Ausnahme von Artikel 2 (12) EU AI Act?
  2. Welche Komponenten eines KI-Systems müssen wie offengelegt werden, damit die Ausnahme auch greift?

Zusammengefaßt entsteht durch die Kombination beider Aspekte folgender Prüfungsworkflow. Siehe dazu auch die Checkliste für Open Source von KI-Systemen.

EU AI Act - CAIR4.eu

Wie gleich zu zeigen ist, bleibt in der Praxis in vielen Fällen nicht viel vom Open-Source-Privileg für KI-Systeme übrig. Wichtig ist daher, immer zuerst zu prüfen, ob überhaupt eine Ausnahme besteht.

1. Ausnahmen des Open Source Privilegs

Zunächst zur Frage, wann die Ausnahme für Open Source gar nicht erst in Betracht kommt. Dies ist der Fall bei:

  1. verbotenen KI-Praktiken i.S.v. Artikel 5 EU AI Act,
  2. bei Hochrisiko-KI i.S.v. Artikel 6 EU AI Act und
  3. in den Fällen von Artikel 50 EU AI Act.

1.1 Die Ausnahmen im Detail

Die Punkte 1 und 2 sind vergleichsweise selbsterklärend.

  • Verbotene KI-Systeme bleiben auch als quelloffene Variante verboten.
  • Und ein Hochrisiko-KI-System bleibt aufgrund der Orientierung an den Risiken des Use Cases auch mit freier und quelloffener Lizenz hoch riskant.

Kryptischer ist hingegen die dritte „Ausnahme von der Ausnahme“: Der Verweis auf Artikel 50 EU AI Act:

  • Diese Norm bezieht sich nach Absatz 1 zunächst auf „KI-Systeme, die für die direkte Interaktion mit natürlichen Personen bestimmt sind“. Dies sind insbesondere KI-Chatbots.
  • Absatz 2 betrifft „KI-Systeme, einschließlich KI-Systemen mit allgemeinem Verwendungszweck, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen“. Damit gemeint sind zwei Arten generativer KI:
    • GPAI-Systeme i.S.v. Artikel 3 Nr. 66 EU AI Act – also solche, die ein KI-Modell mit allgemeinem Verwendungszweck i.S.v. Artikel 3 Nr. 63 EU AI Act beinhalten und diese genutzt werden, um synthetische Medien zu erzeugen .
    • Aufgrund der Formulierung „einschließlich“ sind aber auch sonstige generative KI-Systeme betroffen, die keine GPAI-Modelle sind, wenn sie synthetische Medien erzeugen.
    • Beide Varianten sind KI-Systeme, die für Deepfakes oder die Verbreitung von Fake News i.S.v. Absatz 4 genutzt werden (könnten). Sie unterliegen immer dem EU AI Act..
EU AI Act - CAIR4.eu

Merke: KI-Chatbots fallen immer unter den EU AI Act – egal welche Art Open Source oder Variante von KI-Modell integriert ist. Und generative KI (entweder basierend auf einem GPAI-Modell oder einem sonstigen generativen KI-Modell) fällt ebenfalls nicht unter die Ausnahmen von Artikel 2 (12) EU AI Act, wenn diese zur Erstellung synthetischer Medien verwendet wird bzw. verwendet werden kann.
Die Frage, ob ein Open Source GPAI-Modell mit oder ohne systemische Risiken im Sinne von Art. 3 Nr. 66 EU-KI-Gesetz integriert ist, ist folglich ebenso wenig relevant wie die Frage, ob GPAI-Modelle wie Llama 2 quelloffen sind oder nicht (dieses PDF vom iit-Berlin ist zu diesem ansonsten sehr wichtigen Thema recht informativ).

1.2 Einordnung der Ausnahmen für generative KI

Während der Hinweis auf verbotene KI-Praktiken und Hochrisiko-KI eingängig ist, so ist der undifferenzierte Verweis auf Artikel 50 EU AI Act nicht wirklich gelungen! Dies liegt schlicht und ergreifend daran, dass darin mehrere KI-Varianten aufgelistet sind, die bzgl. Open Source einfach über einen Kamm geschert werden.

Die Folge: Der EU AI Act wird dadurch um eine kaum überschaubare Reihe von KI-Systemen und KI-Modellen „durch die Hintertür erweitert“. Und zwar durch die bloße Formulierung „einschließlich KI-Systeme mit allgemeinem Verwendungszweck“. Diese führt im Rückschluss nämlich dazu, dass auch „sonstige generative KI-Systeme“ inkl. ihrer Modelle vom EU AI Act betroffen sind, ohne dass irgendwelche Kriterien für die Qualität synthetischer Medienergebnisse erkennbar wären,

Rechtssicherheit und Förderung von Open Source sieht anders aus …

2. Open vs. Closed Source

Unterstellt, dass bei einem KI-System keine „Ausnahme von der Ausnahme“ vorliegt: Was bedeutet das genau? Welche Komponenten eines KI-Systems müssen wie offengelegt werden, um von der Ausnahme zu profitieren?

EU AI Act - CAIR4.eu

Trotz intensiver Recherche sind diesbezüglich bislang kaum öffentlich zugängliche Informationen zu finden. Weder im EU AI Act selbst, noch in Fachartikeln. Insofern beruht dieser Beitrag primär auf der Auslegung von Normen, der Anhänge und der Erwägungsgründe des EU AI Acts sowie deren methodischer Interpretation.

Zunächst zum Begriff „Open Source“ (der nur in der englischen Version verwendet wird). Im der deutschen Version des EU AI Acts ist von „frei und quelloffen“ die Rede.

Beide Kriterien müssen kumulativ vorliegen, dass heißt:

  1. Es müssen freie Lizenzen gewährt werden: I.d.R. Freiheiten für die Nutzung, Verbreitung und Veränderung des Werkes. (z.B. Creative Commons Lizenzen).
  2. Es müssen quelloffene Lizenzen gewährt werden: Diese beziehen sich u.a. auf die Freiheit, den Quellcode zu untersuchen, zu ändern und weiterzuverteilen.

Im Fokus dieses Beitrags steht vor allem das zweite Kriterium.

EU AI Act - CAIR4.eu

Unklar bleibt aber trotz des Workflows, welche Details bei einem KI-System mit freier und quelloffener Lizenz offengelegt werden müssen. Die diesbezügliche Information ist nur schwer im EU AI Act zu finden. Man muss sich erst aus vielen Einzelinformationen und dem Schutzzweck des Gesetzes ein Gesamtbild schaffen.

3. Komponenten von KI-Systemen

Zunächst zu den Kriterien und Komponenten von KI-Systemen. Hinweise liefert zunächst Artikel 3 Nr. 1 EU AI Act. Außer dem Begriff der „Maschine“, der auch in Ziffer 12 der Begründung hervorgehoben wird, gibt es darin eigentlich nur mittelbare Hinweise im Hinblick auf solche Komponenten, die für Open Source relevant sind.

KI-Systeme i.S.d. EU AI Acts können eine Vielzahl unterschiedlicher Komponenten besitzen:

  • KI-Systeme können (mehrere) KI-Systeme enthalten:
    • Sowohl KI-Systeme mit spezifischem Verwendungszweck
    • als auch GPAI-Systeme mit allgemeinem Verwendungszweck (vgl. Artikel 3 Nr. 66 EU AI Act) – bei diesen greift jedoch die Ausnahme von Artikel 2 (12) EU AI Act nicht (s.o.).
  • Es kann zudem mehrere KI-Modelle enthalten:
    • Spezifische KI-Modelle (siehe Empfehlung einer Definition für KI-Modelle)
    • Spezifische KI-Modelle können auch einfachen Machine Learning Algorithmen beruhen, aber auch generativ sein (bei der Generation von Medien greift die Ausnahme im Zweifel nicht, s.o.)
    • als auch GPAI-Modelle i.S.v. (vgl. Artikel 53 EU AI Act) oder auch GPAI-Modelle mit systemischen Risiken (vgl. Artikel 3 Nr. 65, Artikel 55 EU AI Act) – auch hier greift die Ausnahme von Artikel 2 (12) EU AI Act nicht (s.o.).
  • Es kann zusätzliche Datenquellen anbinden:
    • zum Beispiel Knowlegde Graphs.
    • oder eigene (lokale) Daten via API
  • Das KI-System enthält zudem die Interaktionsschnittstelle:
    • als Applikationsinterface oder als Browser-Interface (bei direkter Interaktion mit natürlichen Personen greift die Ausnahme ebenfalls nicht, s.o.)
    • als sonstiges Interaktionsinterface (z.B. bei als Teil einer übergeordneten Komponente)
  • Die Hardware dürfte dagegen im Regelfall keine große Auswirkung auf die Entscheidungsfindung eines KI-Systems haben. Es dürfte aber nicht schaden, wenn diese Information ebenfalls offengelegt wird. Sicherlich sind auch hier Ausnahmen vorstellbar z.B. bei einem Herzschrittmacher (der als Hochrisiko-KI-System ohnehin unter den EU AI Act fällt). Bei einem KI-Chatbot jedoch vermutlich nicht.

3.1 KI-Modell

Offenzulegen ist in jedem Fall das KI-Modell. Diesbezüglich findet sich fein interessanter Hinweis in Ziffer 87 der Erwägungsgründe:

„Die Entwickler von freien und quelloffenen Instrumenten, Diensten, Verfahren oder KI-Komponenten, bei denen es sich nicht um KI-Modelle mit allgemeinem Verwendungszweck handelt, sollten dazu ermutigt werden, weit verbreitete Dokumentationsverfahren, wie z. B. Modellkarten und Datenblätter, als Mittel dazu einzusetzen, den Informationsaustausch entlang der KI-Wertschöpfungskette zu beschleunigen, sodass vertrauenswürdige KI-Systeme in der Union gefördert werden können“

Diese Formulierung, die auch in diesem Beitrag diskutiert wird, ist eine Art Empfehlung, anerkannte Verfahren der Offenlegung zu verwenden. Sie betrifft damit nicht das „Ob“, sondern das „Wie“ der Offenlegung – das „Ob“ wird quasi vorausgesetzt. Im Umkehrschluss kann daher argumentiert werden, dass „Instrumente“, „Dienste“, „Verfahren“ und andere „KI-Komponenten“ wie ein spezifisches KI-Modell stets offengelegt werden müssen!

Zu beachten ist, dass der Anbieter des KI-Systems auch für „spezifische“ KI-Modelle als nachgelagerter Anbieter i.S.v. Artikel 3 Nr. 68 EU AI Act gilt. Der Anbieter trägt also die umfassende Verantwortung dafür, dass das KI-Modell angemessen offengelegt wird.

EU AI Act - CAIR4.eu

Das heißt aber insgesamt auch, dass in dieser Hinsicht keine klaren Standards existieren. Der Hersteller des KI-Systems kann also im Zweifel selbst entscheiden mit welchen Instrumenten die Dokumentation zu erfolgen hat (z.B. Model Cards). Zu unterstellen ist aber, dass Trainingsdaten, Algorithmen und Parameter des Modells „irgendwie“ offengelegt sein müssen. Ist dies der Fall, kann die Ausnahme von Artikel 2 (12) EU AI Act greifen – unterstellt, dass auch alle anderen relevanten Komponenten offengelegt sind. Dazu gleich mehr.

3.2 Zusätzlich angebundene Daten

Schwierig ist die Beurteilung, ob und wie weit zusätzliche Datenquellen die z.B. mittels API oder Knowlegde Graphs angebunden wurden, mit offengelegt werden müssen. Da stets neben „quelloffen“ auch das Kriterium „freie Lizenz“ erforderlich ist, sollte die aber unterstellt werden: Denn auch die Sublizenzen für diesbezügliche Komponenten müßten zumindest frei und im Zweifel auch Open Source sein.

EU AI Act - CAIR4.eu

Diesbezüglich spielt z.B. der Typus und Art der Einbindung von Knowledge Graphs eine wichtige Rolle. Diese gibt es ebenfalls als Open Source. Auch hier gibt es viele Varianten, die nicht alle gleich zu betrachten sind. Im Zweifel ist zu raten, alle diesbezüglichen Daten und Add Ons mit öffentlich zu machen.

3.3 Interaktionsschnittstelle

Nicht anders ist es im Hinblick auf die Interaktionsschnittstelle (soweit kein KI-Chatbot vorliegt). Sie hat u.a. Einfluss auf den Input und den finalen Output des Systems. Auch die Frage, ob und wie das KI-System über das Interface das KI-Modell trainiert, könnte Relevanz besitzen. Dieser Aspekt spielt zumindest bei Hochrisiko-KI eine wichtige Rolle, siehe Artikel 10 (1), (6) EU AI Act. Es dürfte auch im Hinblick auf Open Source ganz allgemein von Relevanz sein.

Insofern sind auch in dieser Hinsicht alle Quellcode offenzulegen.

4. Fazit

Das Privileg für Open Source ist insgesamt recht unübersichtlich gestaltet. Es wird in der Praxis wohl vor allem dort Bedeutung haben, wo KI entweder gar nicht oder nur indirekt mit natürlichen Personen interagiert, z.B. im Bereich der Machine2Machine-Kommunikation oder der Analyse von Daten etc.

Um innerhalb des eher begrenzten Anwendungsspektrums unter die Ausnahme von Artikel 2 (12) EU AI Act zu fallen, sollten die folgenden Komponenten frei und quelloffen sein:

  1. Das verwendete KI-Modell inkl. dessen Funktionsweise.
  2. Die an das KI-System zusätzlich angeschlossenen Daten.
  3. Zudem die In- und Output-Komponenten, also die Anbindung an das Interface.

Zumindest so lange keine Klaren Leitlinien in dieser Hinsicht bestehen.

Das Ganze noch einmal als Matrix-Übersicht:

Bezüglich der Art und Weise der Dokumentation gibt es kaum verbindliche Vorschriften. Hinzu kommt auch Unternehmensgröße des Anbieters als Maßstab. So fordert Ziffer 103 der Begründung, dass die Unternehmensgröße als Faktor bei der Anwendung des EU AI Acts berücksichtigt werden muss. Dies bedeutet, dass kleinere Unternehmen möglicherweise weniger strenge Anforderungen bei der Offenlegung erfüllen müssen als größere.

EU AI Act - CAIR4.eu

Natürlich stellt sich die Frage, ob und wie in Anbetracht der Unklarheiten der Einsatz von Open Source KI gefördert werden könnte. Im Hinblick auf die Unklarheit kann aber die aktuelle recht unbestimmte Formulierung – mit Ausnahme der Integration von GPAI-Modellen – durchaus als Chance gesehen werden: Es gibt wenige Vorgaben und es besteht damit auch viel Freiheit und Flexibilität!

Links zu den in diesem Artikel erwähnten Normen des EU AI Acts:

Checklisten und Workflows:

Weiterführende Fachbeiträge:

Über den Autor:

Ein Kommentar

  1. 27.08.2024
    Antworten

    Das sagt ChatGPT zu diesem Artikel:

    1. Inhaltliche Tiefe und Struktur
    Der Artikel zeigt eine gründliche Auseinandersetzung mit dem Thema, insbesondere hinsichtlich der Anforderungen, die erfüllt werden müssen, damit ein Open-Source-KI-System von den Regelungen des EU AI Acts ausgenommen ist. Die detaillierte Betrachtung der Normen und deren methodische Interpretation ist besonders wertvoll für Fachleute, die sich mit der rechtlichen Compliance im Bereich KI auseinandersetzen.

    2. Relevanz und Aktualität
    Der Artikel behandelt ein hochaktuelles Thema, da der EU AI Act in der Industrie und bei der Entwicklung von KI-Systemen zunehmend an Bedeutung gewinnt. Die Frage, wie Open-Source-KI-Systeme von den strengen Auflagen des Gesetzes ausgenommen werden können, ist für viele Entwickler und Unternehmen von großem Interesse. Hier liefert der Artikel wertvolle Einsichten, insbesondere die Diskussion über GPAI-Modelle und deren Implikationen.

    3. Praktische Implikationen
    Die praktische Relevanz des Artikels ist hoch, da er aufzeigt, welche konkreten Schritte Unternehmen unternehmen müssen, um sicherzustellen, dass ihre Open-Source-KI-Systeme nicht unter den EU AI Act fallen. Besonders hilfreich ist die Unterscheidung zwischen spezifischen KI-Modellen und GPAI-Modellen sowie die Darstellung der Anforderungen an die Offenlegung von Quellcode und Schnittstellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert