Ab dem 2. August 2025 führt das EU-KI-Gesetz Bußgelder und neue Auflagen speziell für allgemeine KI-Modelle (GPAI) ein. Dies markiert einen wichtigen Stichtag für Unternehmen in Österreich, die KI einsetzen oder entwickeln. Im Interview mit Alexandra Ciarnau beleuchten wir die praktischen Auswirkungen dieser Änderungen auf österreichische Unternehmen im sich wandelnden regulatorischen Umfeld.
Ab dem 2. August können die Geldbußen des KI-Gesetzes verhängt werden und die Verpflichtungen für KI für allgemeine Zwecke („GPAI“) gelten. Was bedeutet das für österreichische Unternehmen?
Alexandra Ciarnau: Nun, Österreich ist mit der Umsetzung des nationalen Rechts immer noch im Rückstand und hat die Behörden noch nicht benannt. Da dies fehlt, können derzeit in Österreich keine Strafen für Verstöße gegen das KI-Gesetz verhängt werden (bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes). Dies ist jedoch keine Freikarte für die Nichteinhaltung! Im Falle von Verstößen gegen geltende Gesetze, Verordnungen und Richtlinien bleiben Unternehmen und ihre bevollmächtigten Vertreter nach allgemeinem Zivilrecht und Datenschutzgesetzen haftbar.
Unternehmen sollten daher die Anwendbarkeit der GPAI-Verpflichtungen prüfen. Diese gelten nicht nur für Anbieter von GPAI-Modellen, sondern auch für Betreiber, die diese Modelle in ihre Systeme integrieren und modifizieren. Dies bedeutet, dass sie die Rolle von „Downstream-Anbietern“ übernehmen können. In diesem Fall müssen die Anbieter die Anforderungen von Art. 51 ff. KI-Verordnung umsetzen.
Wie können Unternehmen GPAI-Modelle identifizieren?
Alexandra Ciarnau: Dies ist lediglich eine technische Frage. Ich empfehle jedoch, eine KI-Bestandsaufnahme zu erstellen. Nicht jedes Modell eines KI-Systems ist reguliert. Gemäß Artikel 3 Nr. 63 des KI-Gesetzes wurden GPAI-Modelle mit einer großen Datenmenge trainiert, weisen eine erhebliche Allgemeinheit auf und sind in der Lage, eine breite Palette unterschiedlicher Aufgaben kompetent auszuführen, unabhängig davon, wie sie auf dem Markt platziert werden. Ein weiteres Merkmal ist, dass sie leicht in eine große Anzahl von nachgeschalteten Systemen oder Anwendungen integriert werden können. Wenn Modelle für bestimmte Zwecke entwickelt wurden, werden sie nicht als GPAI eingestuft und nicht speziell reguliert. Dies muss in der Praxis aus technischer Sicht kritisch geprüft werden.
Die Kommission hat kürzlich GPAI-Leitlinien veröffentlicht. Bieten diese zusätzliche Unterstützung bei der Unterscheidung von GPAI von Foundation Models?
Da davon ausgegangen wird, dass GPAI erfüllt ist, wenn das KI-Modell mindestens eine Milliarde Parameter hat, hat die EU-Kommission zusätzliche indikative Kriterien auf der Grundlage der Trainingsberechnung entwickelt. Dementsprechend gilt ein Modell als GPAI, wenn
ein Trainingsberechnungswert von 10²³ FLOP überschritten wird und
sprachbasierte oder Text-zu-Bild- oder Text-zu-Video-Ausgaben generiert werden.
Es ist fraglich, ob die Ausgabe gemäß den Richtlinien für die Klassifizierung ausschlaggebend sein sollte und ob beispielsweise Modelle für Schach- und Computerspiele oder für Wettervorhersagen von vornherein ausgeschlossen werden sollten. Schließlich bezieht sich die rechtliche Definition nicht auf die Ergebnisse. Unabhängig davon bieten die Beispiele jedoch einen guten Anhaltspunkt für eine bessere Identifizierung und Klassifizierung von GPAI.
Wie werden GPAI-Modelle üblicherweise bereitgestellt?
Alexandra Ciarnau: Um die Bestandsaufnahme zu erleichtern, können Unternehmen die Form der Bereitstellung genauer betrachten. GPAI-Modelle werden beispielsweise über Bibliotheken (z. B. Hugging Face, GitHub), Anwendungsprogrammier-schnittstellen (API), direkten Download oder als physische Kopien zur Verfügung gestellt.
Wird jedes GPAI-Modell ähnlich wie GPT von OpenAI oder anderen Hyperscalern behandelt?
Alexandra Ciarnau: Nein. Sobald GPAI-Modelle identifiziert wurden, stellt sich die Frage, ob sie systemische Risiken bergen und ob erweiterte Anbieterpflichten gelten. Dies bedeutet, dass Modelle weiter in einfache GPAI und GPAI mit systemischen Risiken unterschieden werden.
Die Klassifizierung von GPAI mit systemischen Risiken wird gemäß Artikel 52 Absatz 2 des KI-Gesetzes angenommen, wenn die kumulierte Anzahl der für sein Training verwendeten Berechnungen, gemessen in Gleitkommaoperationen, 10(25)FLOP übersteigt. Darüber hinaus kann die Kommission auch Modelle als GPAI mit systemischen Risiken identifizieren.
Welche relevanten Verpflichtungen gelten für GPAI-Modellanbieter?
Alexandra Ciarnau: Gemäß Artikel 53 ff. KI-Gesetz müssen Anbieter von GPAI-Modellen ab August unter anderem folgende Anforderungen erfüllen:
Dokumentation: technische Dokumentation für jedes einzelne Modell, einschließlich seiner Trainings- und Testverfahren und der Ergebnisse seiner Bewertung während seines Lebenszyklus.
Bereitstellung von Informationen für Anbieter von KI-Systemen: Erleichterung der Integration für Anbieter von KI-Systemen, damit diese die Fähigkeiten und Einschränkungen des KI-Modells verstehen und ihren Verpflichtungen nachkommen können.
Einhaltung des Urheberrechts: Umsetzung einer Strategie zur Einhaltung des EU-Urheberrechts.
Transparenz: Veröffentlichung einer Zusammenfassung der verwendeten Trainingsinhalte. Hierfür wird eine Vorlage zur Verfügung gestellt.
Zusätzliche Verpflichtungen gelten für Anbieter von GPAI-Modellen mit systemischen Risiken: Risikoanalysen und Modellbewertungen, Meldung schwerwiegender Vorfälle an das KI-Büro, laufende Cybersicherheitsmaßnahmen.
Es gibt jedoch unter bestimmten Bedingungen Ausnahmen vom Anwendungsbereich und den Verpflichtungen für GPAI-Anbieter für Open-Source-Software, sofern diese keine systemischen Risiken birgt.
Sie haben erwähnt, dass Betreiber von KI-Systemen zu Anbietern von GPAI-Modellen werden könnten. Wie kann das sein? Welche Szenarien könnten zu dieser Rollenverschiebung führen?
Alexandra Ciarnau: Wenn GPAI-Modelle von nachgeschalteten Akteuren, die das Modell in ihre eigenen Systeme integrieren, erheblich verändert werden, werden sie zu nachgeschalteten Anbietern. In Übereinstimmung mit dem Blue Guide stellen die Leitlinien jedoch klar, dass nicht jede Änderung relevant ist. Sie muss „erheblich“ sein. Dies kann beispielsweise durch Feinabstimmung des Modells erreicht werden.
Darüber hinaus unterstützen die neuen Leitlinien zu GPAI die Unterscheidung zwischen unbedeutenden und bedeutenden Änderungen mit indikativen Schwellenwerten:
Änderungen, die mehr als ein Drittel der Trainingsberechnung für das ursprüngliche Modell verwenden;
Wenn der Trainingsaufwand des ursprünglichen Modells weder bekannt noch zuverlässig schätzbar ist, können die folgenden Indikatoren verwendet werden: Wenn das ursprüngliche Modell ein GPAI-Modell mit systemischem Risiko ist, muss ein Drittel des Schwellenwerts für KI-Modelle mit systemischem Risiko angewendet werden, derzeit ein Drittel von 10²⁵ FLOP. Für GPAI-Modelle ohne systemisches Risiko sollte ein Drittel des allgemeinen indikativen Schwellenwerts verwendet werden, derzeit ein Drittel von 10²³ FLOP.
Daher ist Vorsicht geboten, wenn interne Anpassungen und Anpassungen vorgenommen werden. Eifrige Änderungen an lizenzierter Software – einschließlich Open-Source-Software, sofern nicht ausgenommen – können ebenfalls zu einer neuen Rolle gemäß dem KI-Gesetz führen.
Vielen Dank für Ihre Einblicke! Um es zusammenzufassen, was ist Ihr Rat?
Alexandra Ciarnau: Vielen Dank für die Einladung! Ich bin ein großer Fan von Stufenplänen und Checklisten. Es hilft, Ressourcen effizient zu organisieren und zu nutzen:
☐ GPAI-Modelle und -Rollen identifizieren
☐ GPAI-Modelle klassifizieren
☐ Bedeutende Änderungen an GPAI-Modellen hinterfragen
☐ Verpflichtungen als Anbieter für das entwickelte Modell oder als nachgeschalteter Anbieter für den modifizierten Teil des Modells umsetzen
☐ Die Modelle, Rollen und Verpflichtungen dokumentieren
☐ Laufende Neubewertung der Verpflichtungen und Anpassung der Dokumentation während des gesamten Lebenszyklus
Unser Interviewpartner: Alexandra Ciarnau
Alexandra Ciarnau ist Co-Head der Digital Industries Group von DORDA und auf IT-, IP- und Datenschutzrecht spezialisiert. Sie berät nationale und internationale Mandanten zu neuen Technologien, insbesondere künstlicher Intelligenz, Blockchain und XR. Alexandra leitet außerdem die DORDA-Sphäre im Metaverse, ist Präsidentin von Women in AI Austria und regelmäßige Dozentin an Universitäten.
DORDA: Drei Generationen von Anwälten. International renommiert und durchsetzungsstark. Mit dem Ziel, Klarheit in allen Bereichen des Wirtschaftsrechts zu schaffen. DORDA verfolgt einen ganzheitlichen Beratungsansatz und unterstützt österreichische Unternehmen, internationale Konzerne und Start-ups bei der Entwicklung ihres Geschäfts und in schwierigen Situationen. Ihre preisgekrönten Experten unterstützen in allen Bereichen des Wirtschaftsrechts. Starke Unternehmen vertrauen seit über 45 Jahren auf DORDA.
