EU-Verhaltenskodex für KI – Reaktion von Experten

Das EU-KI-Amt hat den endgültigen Verhaltenskodex für allgemeine KI veröffentlicht. Der Kodex vereinfacht die Einhaltung des EU-KI-Gesetzes und dient als Ausgangspunkt für ein dringend benötigtes Regelwerk zur Regulierung der leistungsfähigsten und gefährlichsten KI-Modelle.

Zu Beginn zeigte der multistakeholderorientierte Ansatz bei der Ausarbeitung des Kodex, dass es möglich ist, eine inklusive und effiziente Governance für allgemeine KI zu etablieren. Dies ist eine bedeutende Leistung der EU und ihrer dynamischen Ökosysteme aus Wissenschaft, Zivilgesellschaft und KMU. Leider hat das Ende des Prozesses die Erwartungen nicht erfüllt. Nach Abschluss des offiziellen Entwurfsverfahrens am 2. Mai erhielt eine kleine Gruppe führender US-Technologieanbieter exklusiven Zugang zu einer vierten Entwurfsrunde und konnte durch intensive Lobbyarbeit wesentliche Änderungen am Text durchsetzen. Dieser geschwächte endgültige Kodex geht zu Lasten der europäischen Bürger und Unternehmen und verpasst Chancen, die Sicherheit und Rechenschaftspflicht für KI weltweit voranzubringen. Er untergräbt auch alle anderen Interessengruppen, deren Engagement und Bemühungen im Interesse der Öffentlichkeit aufgrund der Lobbyarbeit der US-amerikanischen Big Tech-Unternehmen ignoriert wurden.

Eine erste Fassung des Kodex ist hier verfügbar. Allerdings wird er wahrscheinlich im nächsten Jahr, wenn nicht sogar früher, überarbeitet werden müssen, falls es zu einem schweren Unfall oder neuen technologischen Durchbrüchen kommt. Derzeit gibt es vier Aspekte, die wir für eine künftige Überprüfung und Überarbeitung als besonders vorrangig erachten.

1. Das KI-Amt erhält wichtige Informationen erst, wenn ein Modell auf dem EU-Markt freigegeben wird. Anbieter müssen ihren Modellbericht mit wesentlichen Informationen, wie z. B. den mit einem Modell verbundenen Risiken, erst nach der Bereitstellung vorlegen. Dies perpetuiert die Mentalität der Anbieter, erst zu handeln und dann zu fragen, was bedeutet, dass potenziell gefährliche Modelle zu europäischen Nutzern gelangen, ohne dass sie vom KI-Amt einer sinnvollen Prüfung unterzogen werden. Wenn ein Anbieter anschließend gegen die Vorschriften verstößt, muss das KI-Amt die Rücknahme vom Markt verlangen, was ungerechtfertigte innovationsfeindliche Rhetorik schürt. Wir sind der Ansicht, dass Meldeverfahren einen konstruktiven Dialog zwischen dem KI-Amt und den Anbietern während der gesamten Entwicklungsphase ermöglichen sollten, in dem mindestens acht Wochen vor der Freigabe ein vorläufiger Modellbericht und andere wichtige Informationen ausgetauscht werden.
2. Kein sinnvoller Schutz mehr für Whistleblower. Whistleblower und Informanten sind eine wichtige Informationsquelle für Behörden in Branchen mit intensiven Kapital- und Marktkräften. In einer Welt, in der KI-Unternehmen alles über uns wissen und wir fast nichts über sie wissen, beeinträchtigt der Verzicht auf Insiderinformationen die Fähigkeit der Behörden erheblich, von rücksichtslosem Verhalten einiger KI-Unternehmen zu erfahren. Dies gilt umso mehr, als gerade die betroffenen Anbieter bereits besorgniserregende Praktiken gegenüber Whistleblowern an den Tag gelegt haben, inmitten einer Kultur des Risikos und der Vergeltung. Das KI-Amt muss sich verpflichten, ein sicherer Hafen für Whistleblower zu sein und dabei die gleichen Standards anzuwenden, die die Whistleblower-Schutzrichtlinie von den EU-Mitgliedstaaten verlangt. Dies gilt sowohl für die Informationsbeschaffung und Überwachung als auch für eine kosteneffiziente und angemessene Priorisierung der Durchsetzung.
3. Anbieter müssen keine Notfallvorsorge mehr gewährleisten. Obwohl die Entwicklung von Plänen und Verfahren zur Schadensbegrenzung in Notfällen in anderen risikoreichen Branchen gängige Praxis ist, müssen Anbieter von GPAISR-Modellen solche Protokolle nicht mehr entwickeln. Angesichts der weitreichenden Verbreitung dieser Modelle kann sich Schaden mit beispielloser Geschwindigkeit in der gesamten Gesellschaft ausbreiten. Um den Schaden zu begrenzen, beispielsweise wenn ein Modell von einer Sicherheitsverletzung oder einer gefährlichen Fehlfunktion betroffen ist, ist es unerlässlich, dass Anbieter im Voraus planen und Notfallmaßnahmen festlegen.
4. Die Anbieter haben bekommen, was sie wollten: einseitige Entscheidungsfreiheit über die grundlegendsten Aspekte des Risikomanagements. Ihre Lobbyarbeit zur Änderung des Kodex hat zu überwiegend ergebnisorientierten Regeln geführt, die sich darauf verlassen, dass die Anbieter konsequent das Richtige tun, anstatt sich in ihrem Risikomanagement gegenseitig zu unterbieten. Die Anbieter sind nun letztendlich dafür verantwortlich, systemische Risiken zu identifizieren, Schwellenwerte für inakzeptable Risiken festzulegen und Meilensteine für die kontinuierliche Modellbewertung zu bestimmen. Angesichts dieser Entscheidungsfreiheit müssen sie nun der Welt beweisen, dass sie dieses Vertrauen verdienen.

Für die Zukunft fordern wir die Europäische Kommission, den KI-Ausschuss und die Anbieter von GPAI nachdrücklich auf, dafür zu sorgen, dass die Europäer die KI-Vorschriften erhalten, die sie wollen und dringend benötigen.

1. Wir fordern die Europäische Kommission nachdrücklich auf, die Einbeziehung unabhängiger Wissenschaftler und der Zivilgesellschaft bei der Ausarbeitung des Mechanismus zur Überprüfung und Aktualisierung des Kodex zu institutionalisieren. Lassen Sie uns die Dynamik und Wirksamkeit eines echten Multi-Stakeholder-Dialogs fortsetzen.
2. Der KI-Beirat muss sicherstellen, dass die Fristen für die Einführung der GPAI-Vorschriften, beginnend im August 2025, wie im EU-KI-Gesetz vereinbart, eingehalten werden.
3. Schließlich appellieren wir an die Anbieter von GPAI-Modellen. Wenn sie es ernst meinen, dem öffentlichen Interesse zu dienen, müssen sie hart daran arbeiten, die im Kodex festgelegten Sicherheitsziele zu erreichen. Es ist an der Zeit, dass ihre Ingenieure die Ärmel hochkrempeln, um eine umfassende und konstruktive Einhaltung der Vorschriften zu gewährleisten, und nicht ihre Anwälte, um Schlupflöcher zu finden und eine gute Regierungsführung zu umgehen. Jetzt müssen sie ihren Worten Taten folgen lassen.“

Autor: Nick Moës, Executive Director of The Future Society

Nick Moës, Geschäftsführer und Sekretär des Vorstands von The Future Society. Nick lebt in Brüssel und ist ausgebildeter Ökonom mit Schwerpunkt auf den Auswirkungen der allgemeinen künstlichen Intelligenz (GPAI) auf Geopolitik, Wirtschaft und Industrie. Bei The Future Society ist er für das Management, die Strategie und die Einbindung von Stakeholdern zuständig. Zuvor hat er die europäischen Entwicklungen im Bereich der Rechtsvorschriften für KI untersucht und beobachtet und war aktiv an der Ausarbeitung des EU-KI-Gesetzes und der Schaffung von Mechanismen zu dessen Durchsetzung beteiligt.

ÜBER DEN VERHALTENSKODEX

Der AI Code of Practice ist ein freiwilliger, ko-regulatorischer Rahmen, der im Rahmen des EU-Gesetzes über künstliche Intelligenz (AI Act) entwickelt wurde, dem weltweit ersten umfassenden Gesetz zur Regulierung künstlicher Intelligenz. Der Kodex zielt speziell auf die Regulierung von GPAI-Systemen ab, wie z. B. große Sprachmodelle wie ChatGPT von OpenAI oder Gemini von Google, die in einer Vielzahl von Anwendungen eingesetzt werden können und erhebliche systemische Risiken bergen.

Der Kodex dient als vorläufiges Governance-Instrument, während verbindliche Verpflichtungen für GPAI-Anbieter entwickelt und umgesetzt werden. Er enthält frühzeitige Leitlinien dazu, wie die Sicherheit, Transparenz und Rechenschaftspflicht für leistungsstarke KI-Systeme gewährleistet werden können, bevor der vollständige Rechtsrahmen in Kraft tritt. Obwohl der Kodex nicht verbindlich ist, wird erwartet, dass er einen starken Einfluss darauf haben wird, wie das Europäische KI-Amt Risiken interpretiert und das KI-Gesetz in Zukunft durchsetzen wird. Er legt wichtige Erwartungen fest, wie leistungsstarke KI-Systeme in der EU bewertet und eingesetzt werden sollen, und zielt darauf ab, nachgelagerte Risiken für Nutzer, Start-ups und die Öffentlichkeit zu verringern. Obwohl der Kodex freiwillig ist, hat die Kommission kürzlich gewarnt, dass Unternehmen, die ihn nicht unterzeichnen, mit Komplikationen rechnen müssen.

Der Kodex wurde in einem Multi-Stakeholder-Prozess unter Beteiligung von KI-Entwicklern, der Zivilgesellschaft, Forschern und EU-Institutionen erstellt. Er umfasst wesentliche Schutzmaßnahmen wie externe Bewertungen, Risikostufenklassifizierung, Sicherheitstests und öffentliche Transparenz – insbesondere für Modelle, die missbraucht werden oder weitreichenden Schaden verursachen könnten. Rund 1.000 Interessengruppen aus EU-Ländern, Gesetzgeber, führende KI-Unternehmen, Rechteinhaber und Medien sowie digitale Rechtegruppen haben sich zu drei verschiedenen Entwürfen geäußert.

Der Kodex besteht aus drei Abschnitten. Die ersten beiden Abschnitte, Transparenz und Urheberrecht, gelten für alle Anbieter von GPAI-Modellen.

---