The “General-Purpose AI Code of Practice» of the EU AI Office, a big leap? [in German]

Der Beitrag beleuchtet den ersten Entwurf des "General-Purpose AI Code of Practice" des EU AI Office und setzt ihn kritisch in den Kontext des komplexen EU AI Act. Es wird hinterfragt, ob dieser Verhaltenskodex tatsächlich eine Erleichterung für Anbieter von GPAI-Modellen darstellt oder ob er die Compliance-Bemühungen sogar weiter verkompliziert. Zudem wird untersucht, welche Auswirkungen der Code insbesondere auf Schweizer Anbieter hat und ob sich eine freiwillige Anpassung an die EU-Vorgaben lohnt.

 

1. DIE REGELUNG VON GENERAL PURPOSE AI MODELS NACH DEM EU AI Act

Im ersten Entwurf des EU AI Act (nachfolgend «AIA») vom Mai 2021 fanden generative AI bzw. AI-Modelle mit allgemeinem Verwendungszweck (General-Purpose AI Models, nachfolgend «GPAI-Modelle») keine Erwähnung. Das änderte sich, nachdem OpenAI am 30. November 2022 ChatGPT-3 «accessible for all» veröffentlichte und damit den aktuellen AI-Hype zu generativer AI lostrat. Seither drängten weitere Anbieter von GPAI mit Claude, Mixtral, Llama und Gemini auf den Markt. Die Frage, wie GPAI reguliert werden soll, wurde in der Folge zu einem zentralen Thema bei den finalen Verhandlungen über den AIA.

Art. 3 (63) AIA definiert «KI-Modell mit allgemeinem Verwendungszweck» als ein Modell, das mit einer grossen Datenmenge unter umfassender Selbstüberwachung trainiert wird, eine erhebliche allgemeine Verwendbarkeit aufweist, in der Lage ist, eine Vielzahl unterschiedlicher Aufgaben kompetent zu erfüllen, und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann.

Das GPAI-Modell muss vom AI-System mit allgemeinem Verwendungszweck unterschieden werden: GPAI-Modelle sind wesentliche Bestandteile von AI-Systemen, sind jedoch selbst kein AI-System. Ein GPAI-Modell wird nach der Definition von Art. 3 (66) AIA zu einem AI-System (mit allgemeinem Verwendungszweck), wenn es auf einem GPAI-Modell beruht und in der Lage ist, einer Vielzahl von Zwecken sowohl für die direkte Verwendung als auch für die Integration in andere AI-Systeme zu dienen. So ist beispielsweise der Code von GPT das Modell, die OpenAI-Online-Version von ChatGPT ist jedoch bereits ein AI-System, da das zugrunde liegende Modell mit einer grafischen Benutzeroberfläche versehen wird. Wenn Sie GPT in Form eines Chatbots in Ihre Website integrieren und ihn auf Ihre Daten abstimmen, damit der Chatbot beispielsweise als Ihr Kundendienst fungiert, dann ist Ihr Chatbot ein weiteres AI-System, und Sie sind der Anbieter dieses AI-Systems (vgl. Vgl. PETER HENSE / TEA MUSTAC, AI Act Compact, Compliance, management & use cases in corporate practice, Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, November 2024, Seite 279).

Gemäss Erwägung 98 AIA gelten Modelle mit mindestens einer Milliarde Parametern, die mit einer grossen Datenmenge unter umfassender Selbstüberwachung trainiert werden, als GPAI-Modelle im Sinne von Art. 51 ff. AIA. Ausschlaggebend ist somit v.a. eine quantitative Messgrösse, weniger, ob das GPAI-Modell bestimmte qualitative Aspekte erfüllt. Deshalb dürften v.a. die grössten GPAI-Modelle, wie die vorgenannten, von den Pflichten nach Art. 51 ff. AIA erfasst sein.

 

Der AIA sieht diverse Anforderungen für Anbieter von GPAI-Modellen vor, die ab dem 2. August 2025 erfüllt werden müssen, darunter:

1. Erstellen einer technischen Dokumentation mitsamt der eingesetzten Trainings- und Testverfahren sowie die Ergebnisse der Bewertung des GPAI-Modells. Anhang XI AIA regelt den spezifischen Inhalt.

2. Erstellen von Informationen und Dokumentationen für downstream-Anbieter von nachgelagerten AI-Systemen, die das GPIA-Modell integrieren wollen. Diese Informationen sollen die nachgelagerten Anbieter von AI-Systemen in die Lage versetzen, die Fähigkeiten und Grenzen des GPAI-Modells zu verstehen und ihren Pflichten gemäss dieser Verordnung nachzukommen. Ferner sollen sie die in Anhang XII genannten Elemente enthalten, nämlich:

   a) Beschreibung der Aufgaben, die das GPAI-Modell erfüllen soll, sowie Beschreibung der Art und des Wesens der AI-Systeme, in die es integriert werden kann;

   b) die anwendbaren Regelungen der akzeptablen Nutzung (Acceptable Use Policy);

   c) das Release-Datum und die Vertriebsmethoden;

   d) Beschreibung dessen, wie das GPAI-Modell mit Hardware oder Software interagiert (sofern anwendbar);

   e) Angabe der Versionen der Software, die im Zusammenhang mit dem GPAI-Modell eingesetzt werden sollen (sofern anwendbar);

   f) die Architektur und die Anzahl der Parameter;

   g) Modalität und Format der Inputs oder generierten Outputs;

   h) die Lizenz.

3. Beschreibung der Bestandteile des GPAI-Modells und seines Entwicklungsprozesses, einschliesslich:

   a) die technischen Mittel (zum Beispiel Betriebsanleitungen, Infrastruktur, Instrumente), die für die Integration des GPAI-Modells in ein AI-System erforderlich sind;

   b) Modalität (zum Beispiel Text, Bild usw.) und Format von Input und Output sowie deren maximale Grösse;

   c) Informationen über die für das Trainieren, Testen und Validieren verwendeten Daten, einschliesslich der Art und Herkunft der Daten und der Aufbereitungsmethoden.

4. Umsetzung einer unternehmensinternen Richtlinie (Policy) zur Einhaltung des Urheberrechts, welches auf Ebene EU und in den Mitgliedstaaten gilt, insbesondere die Ausnahme betr. Text und Data Mining gemäss Artikel 4 Absatz 3 EU Urheberrechtsrichtlinie 2019/790.

5. Erstellen und Veröffentlichen einer Zusammenfassung der Inhalte, die für das Training des GPAI-Modells verwendet wurden. Das AI Office soll hierzu noch eine Vorlage erstellen.

Vorstehende Pflichten gelten nicht für Open Source GPAI-Modelle – ausser, diese sind als GPAI-Modelle mit systemischem Risiko gemäss Art. 51 AIA zu erachten.

Gelten die GPAI-Modelle gemäss Art. 51 AIA und Anhang XIII als solche mit systemischem Risiko, dann müssen zusätzlich folgende Anforderungen erfüllt werden:

1. Durchführung von Modellevaluationen inklusive adversarial testing, um systemische Risiken zu ermitteln und zu mindern.

2. Bewertung und Minderung von Schlüsselrisiken, die sich aus der Entwicklung, dem Inverkehrbringen oder der Verwendung ergeben können.

3. Dokumentations- und Meldepflicht bei schwerwiegenden Vorfällen.

4. Sicherstellung der angemessenen Cybersicherheit.

Es ist allerdings davon auszugehen, dass es aktuell nur eine kleine Anzahl von GPAI-Modellen mit systemischen Risiken gibt.

 

2. PFLICHT DES AI OFFICE ZUR ERSTELLUNG VON CODES OF PRACTICE FÜR GPAI-MODELS

Am 29. Mai 2024 wurde das «Büro für Künstliche Intelligenz» (nachfolgend «AI Office») aus der Taufe gehoben.Als Teil der EU-Kommission soll es das Kompetenzzentrum für AI in der gesamten EU sein und eine Schlüsselrolle bei der Umsetzung des AIA spielen. Um seine Aufgaben wahrzunehmen, soll das AI Office mehr als 140 Mitarbeitende beschäftigen. In Zusammenarbeit mit AI-Entwicklern, Wissenschaftlern und anderen Beteiligten soll es die Ausarbeitung von Verhaltenskodizes auf dem neuesten Stand der Technik koordinieren, GPAI-Modelle testen und bewerten sowie erforderlichenfalls Sanktionen verhängen.Der AIA sieht in Art. 56 vor, dass das AI Office Codes of Practice für GPAI erstellen muss, um zur ordnungsgemässen Anwendung des AIA beizutragen. Diese Codes of Practice sollen die in den Artikeln 53 und 55 vorgesehenen Pflichten abdecken und konkretisieren.

Anbieter, die sich als «Signatory» an den Codes of Practice beteiligen und damit deren Vorgaben einhalten wollen, müssen dem EU AI Office regelmässig über ihre Compliance Bericht erstatten. Gemäss Art. 56.5 AIA soll es für KMU-Anbieter Erleichterungen geben.

Die Codes of Practice des AI Office sollen nicht blosse Verständnishilfen oder freiwillige Verhaltenskodizes für die betroffenen Marktteilnehmer sein, sondern können vielmehr von der EU-Kommission im Wege eines Durchführungsrechtsakts genehmigt werden, wodurch ihnen in der EU allgemeine Gültigkeit verliehen wird (Art. 56.6 AIA). Deshalb muss dem Erlass solcher Codes of Practice grosse Aufmerksamkeit geschenkt werden, denn sie bilden gemeinsam mit dem AIA und den sich in Erarbeitung befindlichen harmonisierten Normen den umfassenden Regelungsinhalt zur AI in der EU. Zudem wird dem AI Office die Kompetenz verliehen, alle Anbieter von GPAI-Modellen aufzufordern, die Codes of Practice zu befolgen (Art. 56.7 AIA). Wie genau man sich dieses «Ersuchen» vorzustellen hat (gleichsam als «Allgemeinverbindlichkeitserklärung»?), bleibt abzuwarten. Zusätzlich verwirrend ist die Bestimmung in Art. 53.4 AIA, wonach die Anbieter von GPAI-Modellen ihre Compliance mit den Anforderungen des AIA bis zur Veröffentlichung einer harmonisierten Norm durch die Einhaltung des Codes of Practice nachweisen können. Sobald eine harmonisierte Norm dereinst verabschiedet ist, soll die Einhaltung des Codes of Practice die Compliance wohl lediglich nachweisen, jedoch keine Vermutung der Compliance wie bei der Einhaltung einer harmonisierten Norm herbeiführen. Ungeachtet der Regelung in Art. 53.4 AIA führt die Präambel des Code of Practice aus, dass die Einhaltung dieses Codes keinen schlüssigen Beweis für die Einhaltung des AIA darstellt.

Eine weitere Herausforderung für Anbieter von GPAI dürfte zudem sein, dass das AI Office den GPAI Code «zukunftssicher» («future-proof») halten möchte: der rasche technologische Wandel dürfte eine flexible Entwicklung und Änderung der Vorschriften erfordern, weshalb das AI Office im Code beispielsweise auf dynamische Informationsquellen wie Rahmenwerke für das Risikomanagement und Leitlinien des AI Office verweisen möchte und erwartet, dass die Anbieter diese selbst überwachen und berücksichtigen. Dies dürfte die ohnehin schon komplexe Compliance mit dem AIA, den harmonisierten Standards und den Codes of Practice des AI Office zusätzlich verkomplizieren.

Schliesslich ist die Formulierung in der Sanktionsbestimmung von Art. 101.1.a AIA klärungsbedürftig, wonach die Kommission gegen Anbieter von GPAI-Modellen Geldbussen von bis zu 3 % ihres gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr oder 15 Mio. EUR verhängen kann, je nachdem, welcher Betrag höher ist, wenn festgestellt wird, dass der Anbieter vorsätzlich oder fahrlässig gegen die einschlägigen Bestimmungen dieser Verordnung verstossen hat. Es ist heute recht unklar, ob mit «Bestimmungen dieser Verordnung»» lediglich der AIA sowie die dereinstigen harmonisierten Normen gemeint sind oder aber zusätzlich auch die Codes of Practice des AI Office mitsamt den dynamischen Informationsquellen, unabhängig davon, ob sie von der EU-Kommission genehmigt wurden oder nicht.

 

3. REGELUNGSINHALT DES GPAI CODE OF PRACTICE

Am 14. November 2024 hat das AI Office seinen «First Draft General-Purpose AI Code of Practice» veröffentlicht. Der Verhaltenskodex richtet sich primär an Anbieter von GPAI-Modellen, um sie bei der Einhaltung der obigen Anforderungen zu unterstützen. Der Code soll mit den EU-Prinzipien und -Werten übereinstimmen und sich an den AIA und internationale Standards halten. Das 36-seitige Dokument wurde in Zusammenarbeit mit diversen Interessensgruppen aus der Industrie, der Wissenschaft und der Zivilgesellschaft erstellt. Am Kick-Off im September nahmen beinahe 1000 interessierte Personen teil. Der GPAI Code of Practice soll in einem iterativen Prozess überarbeitet werden. Die endgültige Fassung soll im April 2025 veröffentlicht werden. Im ersten Entwurf sind Fragen enthalten, die in den weiteren Überarbeitungen noch genauer adressiert werden sollen. Verweise auf die einzelnen Bestimmungen des AIA sollen in künftigen Versionen noch eingepflegt werden. Der erste Entwurf ist bislang nur in englischer Sprache veröffentlicht worden.

Der GPAI Code of Practice beleuchtet vier Hauptbereiche: Transparenz, Einhaltung des Urheberrechts, Taxonomie von systemischen Risiken sowie Regeln für Anbieter von GPAI-Modellen mit systemischen Risiken. Es ist davon auszugehen, dass es aktuell nur eine kleine Anzahl von GPAI-Modellen mit systemischen Risiken gibt. Deshalb wird im Folgenden auf die Transparenzvorgaben und das Urheberrecht eingegangen, die sowohl für GPAI-Modelle mit als auch ohne systemisches Risiko gelten.

 

3.1 Transparenz

Als Massnahme 1 werden die Anbieter von GPAI-Modellen «ermutigt zu prüfen» («encouraged to consider»), ob Informationen und Dokumentationen, die sie gemäss Art. 53.1.a AIA zu erstellen haben und dem AI Office sowie den zuständigen nationalen Behörden auf Anfrage hin zur Verfügung stellen müssen, ganz oder teilweise der Öffentlichkeit zugänglich gemacht werden können, um die öffentliche Transparenz zu fördern. Die gleichlautende «Ermunterung» zur Veröffentlichung folgt sodann in Massnahme 2 für die Informationen, die Anbieter von GPAI-Modellen den Anbietern von nachgelagerten AI-Systemen gemäss Art. 53.1.b AIA zur Verfügung stellen.

Spannend ist hier insbesondere die Vorgabe, Informationen über die für Training, Test und Validierung verwendeten Daten abzugeben. Diese beinhaltet die Datenerfassungsmethoden, spezifische Informationen für jede Datenerfassungsmethode (z. B. Web-Crawling, Datenlizenzen, Datenkommentare, synthetisch generierte Daten, Benutzerdaten usw.), Einzelheiten über die Datenverarbeitung (z. B. ob und wie schädliche oder private Daten gefiltert werden) und spezifische Informationen über die Daten, die zum Trainieren, Testen und Validieren des Modells verwendet werden, wie den Anteil der Daten, die aus verschiedenen Datenquellen stammen, sowie die Hauptmerkmale der Trainings-, Test- und Validierungsdaten. Die Anbieter sollten ausserdem den Umfang (Anzahl der Datenpunkte) der Trainings-, Test- und Validierungsdaten für jede Datenmodalität (z. B. Text, Bilder, Videos) und die Methoden zur Erkennung ungeeigneter Datenquellen und etwaiger Verzerrungen in den Daten angeben.

Aussagen wie diejenige der früheren CTO von OpenAI, Mira Murati, im Interview mit dem Wall Street Journal vom März 2024 im Zusammenhang mit den Trainingsdaten für SORA («creating video from text»), in welchem sie sinngemäss Youtube-Videos sowie Daten von Social Media Netzwerken als «public available data» bezeichnete, welche somit von OpenAI wohl zum Training von SORA benutzt worden seien, dürften dann so kaum mehr vorkommen. Diese Vorgaben beziehen sich auf Anhang XI, 1.2.(c) und Anhang XII 2. c), sind jedoch nur teilweise identisch und deshalb nicht zwingend weiterführend oder der Klarheit dienend.

Problematisch ist zudem, dass die Anhänge von der EU-Kommission durch delegierte Rechtsakte relativ einfach abgeändert werden können (Art. 97 sowie E. 101 E. 173 AIA), was wiederum eine Anpassung des GPAI Code of Practice erforderlich macht. Zu hoffen wäre, dass die Vorgaben vereinheitlicht werden.

Im Sinne der Transparenz ist dies sicherlich ein löblicher Gedanke, die gesetzlich verlangten Informationen öffentlich verfügbar zu machen. Wie jedoch die berechtigten Interessen an der Geheimhaltung von geschäftssensitiven Informationen und Immaterialgüterrechten gewahrt werden sollen, wird im GPAI Code of Practice nicht erläutert. Zudem geht die Ermunterung (Pflicht?) über den Wortlaut des AIA hinaus.

Sodann gibt der GPAI Code of Practice vor, welche Elemente die Acceptable Use Policy (AUP), welche die Anbieter von GPAI-Modellen gemäss Anhang XI zu erstellen haben, mindestens enthalten soll. Diese AUP soll sich sowohl an die Nutzer des GPAI-Modells als auch an die Anbieter nachgelagerter AI-Systemen richten. Diese Elemente sind:

• Eine Zweckerklärung, die erklärt, warum die AUP existiert (dies sollte sich wohl nicht darin erschöpfen zu erklären, dass Anhang XI eine solche vorsieht);

• Der Geltungsbereich, für wen die Richtlinie gilt und welche Ressourcen sie abdeckt;

• Hauptverwendungszwecke und Nutzer;

• Zulässige Verwendungszwecke mit einer Auflistung der zulässigen Tätigkeiten und Aufgaben, einschliesslich AI-Anwendungen mit hohem Risiko gemäss Anhang III, in die das GPAI-Modell gegebenenfalls integriert werden soll oder kann;

• Unzulässige Verwendungszwecke mit Angabe der verbotenen Handlungen;

• Sicherheitsmassnahmen, die eine Beschreibung der Sicherheitsprotokolle enthalten, die die Nutzer der AI-Systeme für allgemeine Zwecke befolgen müssen;

• Überwachung und Datenschutz, Erläuterung, warum und wie der Anbieter des GPAI-Modells die Nutzung seines GPAI-Modells überwacht und welche Auswirkungen diese Überwachung auf die Privatsphäre des Nutzers hat;

• Abmahnung und Kriterien für die Aussetzung oder den Entzug von Nutzungsrechten bei Nichteinhaltung der AUP;

• Kriterien für die Kündigung von Nutzerkonten und Verweis auf geltende Gesetze und Vorschriften für die Durchsetzung;

• Bestätigung, die von nachgeschalteten Anbietern verlangt, dass sie bestätigen, dass sie die AUP gelesen und verstanden haben und sich mit deren Einhaltung einverstanden erklären.

Die Liste der Elemente, die eine AUP ausgenommen werden können, kann als Checkliste dienen und mag insofern hilfreich sein. Inwiefern sich diese Elemente allerdings inhaltlich von altbekannten AUP unterscheiden und weshalb es notwendig sein soll, diese Elemente im Zusammenhang mit der Transparenz vorzuschreiben, ist nicht ganz ersichtlich; AUPs werden letztlich im Eigeninteresse eines Anbieters erstellt, um schädliche oder widerrechtliche Nutzungen durch individuelle Nutzer, mit welchem der Anbieter keinen direkten Vertrag eingegangen ist (sondern bspw. nur mit dessen Arbeitgeberin), zu unterbinden.

 

3.2 Urheberrecht

Gemäss Art. 53.1.c AIA sind Anbieter von GPAI-Modellen verpflichtet, eine Strategie zur Einhaltung des Urheberrechts der EU und der Mitgliedstaaten zu erstellen, insbesondere zur Ermittlung und Einhaltung eines gemäss Artikel 4 Absatz 3 der Urheberrechtsrichtlinie (EU) 2019/790 geltend gemachten Rechtsvorbehalts (Text and Data Mining, TDM). Mit «Strategie» dürfte wohl eher eine unternehmensinterne Policy, mithin arbeitsrechtlich eine Mitarbeiterweisung, gemeint sein.

Der GPAI Code of Practice sieht in Massnahme 3 nun vor, dass mit der Policy die Einhaltung des Urheberrechts über den gesamten Lebenszyklus des GPAI-Modells sichergestellt werden soll, insbesondere auch bei Änderungen und Fine Tuning sowie der Verwendung neuer Trainingsdaten. Zudem soll die Policy die unternehmensinternen Verantwortlichkeiten für die Umsetzung und Überwachung der Policy zuweisen.

Sodann werden die Anbieter von GPAI-Modellen verpflichtet, eine angemessene urheberrechtliche Due-Diligence-Prüfung durchzuführen, bevor sie einen Vertrag mit einem Dritten über die Nutzung von Datensätzen für die Entwicklung eines GPAI-Modells schliessen. Diese Due Diligence soll sich auch auf die Prüfung des TDM-Rechtsvorbehalts erstrecken.

Schliesslich muss der Anbieter auch die Einhaltung des Urheberrechts im nachgelagerten Bereich sicherstellen, damit ein AI-System, in welches das GPAI-Modell des Anbieters integriert wird, keinen urheberrechtsverletzenden Output erzeugt. Technisch sieht das AI Office vor, dass die Anbieter von GPAI-Modellen ein Overfitting ihrer GPAI-Modelle vermeiden sollen. Zudem sollen sie Anbieter von nachgelagerten AI-Systemen vertraglich dazu verpflichten, Massnahmen zu ergreifen, damit der Output nicht mit urheberrechtlich geschützten Werken identisch oder ihnen erkennbar ähnlich ist. Überraschenderweise soll aber genau diese Massnahme nicht für KMU gelten. Es ist nicht ersichtlich, weshalb die Vermeidung von Overfitting sowie vertragliche Einschränkungen gegenüber den nachgelagerten Anbietern für KMU (und Startups?) eine Überforderung darstellen soll. Sofern diese Massnahmen für grössere Unternehmen als Pflichten zur Vermeidung von Urheberrechtsverletzungen geeignet sein sollen, ist nicht nachvollziehbar, weshalb sie nicht generell gelten sollen. Hier bleibt eine Inkonsistenz, die den ohnehin komplexen Prozess der Compliance weiter verkomplizieren könnte.

Anbieter von GPAI verpflichten sich zudem, für die Gewinnung von Daten nur Crawler einzusetzen, die die im Robot Exclusion Protocol (robots.txt) enthaltenen Anweisungen lesen und befolgen.

Anbieter von GPAI, die auch eine Online-Suchmaschine im Sinne von Artikel 3 (j) Digital Services Act (EU) 2022/2065 (DSA) anbieten, haben wiederum geeignete Massnahmen zu ergreifen, um sicherzustellen, dass ein gemäss dem Robot Exclusion Protocol ausgesprochener Crawler-Ausschluss die Auffindbarkeit der Inhalte in ihrer Suchmaschine nicht beeinträchtigt.

Anbieter von GPAI-Modellen sollen maschinenlesbare Mittel zur Kennzeichnung von urheberrechtlichen Rechtevorbehalten auf Quellen- und/oder Werksebene (TDM Art. 4.3 Urheberrechtslinie) identifizieren und umsetzen sowie Instrumente zur Rechtekennzeichnung implementieren.

Anbieter von GPAI-Modellen müssen auf Aufforderung der Kommission mit relevanten Einrichtungen und Akteuren zusammenarbeiten, um interoperable Standards für maschinenlesbare Rechtsvorbehalte zu entwickeln. Die Kommission organisiert und leitet diese Treffen und kann technische Lösungen empfehlen; KMU sind von der Verpflichtung ausgenommen, können jedoch freiwillig teilnehmen.

Zudem sollen Anbieter von GPAI-Modellen raubkopierte Quellen von ihren Crawling-Aktivitäten ausschliessen, etwa durch die Nichtberücksichtigung von Websites, die auf der Überwachungsliste der Kommission aufgeführt sind. Sie sollen zudem Ausschlusslisten der zuständigen Behörden in ihren jeweiligen Ländern beachten.

Schliesslich werden die Anbieter von GPAI-Modellen unter Massnahme 5 zu angemessener Transparenz über ihre Massnahmen zur Einhaltung des Urheberrechts verpflichtet. Sie sollen auf ihrer Website Informationen über Massnahmen zur Ermittlung und Einhaltung von Rechtsvorbehalten gemäss Art. 4.3 Urheberrechtsrichtlinie veröffentlichen und mindestens den Namen der verwendeten Crawler und deren robots.txt-Funktionen bekanntgeben. Zudem haben sie für die Rechteinhaberinnen und die Verwertungsgesellschaften eine zentrale Anlaufstelle zu schaffen, um diesen die Einreichung und Bearbeitung von Beschwerden zu ermöglichen.

Damit das AI Office die Einhaltung der Pflichten überprüfen kann, haben die Anbieter von GPAI-Modellen dem AI Office Informationen über die für Training, Tests und Validierungen verwendeten Datenquellen sowie über die Genehmigungen für den Zugang zu geschützten Inhalten und deren Nutzung für die Entwicklung ihrer GPAI-Modelle auf Anfrage hin zur Verfügung stellen.

 

4. WÜRDIGUNG

Der GPAI Code of Practice richtet sich nach den Grundsätzen und Werten der EU und soll mit dem AIA und internationalen Ansätzen abgestimmt sein. Die im Code enthaltenen Massnahmen, Untermassnahmen und KPIs sollen in einem angemessenen Verhältnis zu den Risiken stehen, d.h. sie sollten (a) geeignet sein, um das gewünschte Ziel zu erreichen, (b) notwendig sein, um das gewünschte Ziel zu erreichen, und (c) keine übermässige Belastung im Verhältnis zu dem angestrebten Ziel darstellen.

Zusätzlich zu diesem inzwischen altbekannten (und dennoch häufig im konkreten Anwendungsfall wenig greifbaren) risikobasierten Ansatz gesellt sich ein weiteres «Verhältnismässigkeitsprinzip» hinzu: die Verhältnismässigkeit in Bezug auf die Grösse des Anbieters von GPAI. Die Massnahmen und Leistungsindikatoren im Zusammenhang mit den Pflichten der Anbieter sollen abhängig von deren Unternehmensgrösse sein und KMU und Startups, die über weniger finanzielle Mittel verfügen als diejenigen, die an der Spitze der KI-Entwicklung stehen, gegebenenfalls vereinfachte Wege zur Einhaltung der Vorschriften ermöglichen. Dieser Ansatz steht im Einklang mit dem AIA, der an zahlreichen Stellen Erleichterungen für KMU inklusive Startups vorsieht. Grundsätzlich dürfte dieser Ansatz zu begrüssen sein, sollten doch die weniger finanzstarken Marktteilnehmer nicht durch (Über-)Regulierung vom Markt ausgeschlossen werden. Allerdings darf diese Losung nicht missverstanden werden: Gesetze wie beispielsweise das Urheberrecht oder das Datenschutzrecht sind ungeachtet der Unternehmensgrösse einzuhalten. Kapitel II Erwägung d in fine, wonach die Massnahmen des GPAI Code of Practice zur Einhaltung des Urheberrechts auch den Interessen von KMU und Startups angemessen Rechnung tragen, trägt hier nicht zur Klarheit bei. Schliesslich ist zu beachten, dass der AIA zwar einige Compliance-Erleichterungen und Fördermassnahmen für KMU-Anbieter und Startups (vgl. zu letzterem etwa Art. 62 AIA) vorsieht. Allerdings finden sich keine solchen Erleichterungen bei GPAI-Modellen, denn Compliance-Erleichterungen für Anbieter von GPAI-Modellen sind beschränkt auf Open Source GPAI-Modelle, die keine systemischen Risiken aufweisen. Dass die Pflichten nach Art. 53 AIA laut AI Office für KMU und Startups lediglich «verhältnismässig» gelten sollen, ist eine etwas überraschende Interpretation und geht an der Sache vorbei: OpenAI startete 2015 mit neun Mitarbeitenden, die vom Wohnzimmer des Co-Gründers Greg Brockman aus arbeiteten.

 

5. FAZIT AUS SCHWEIZER SICHT

Der "General-Purpose AI Code of Practice" stellt einerseits einen ersten wichtigen Schritt dar, um Anbietern von GPAI-Modellen eine Orientierungshilfe bei der Einhaltung der komplexen Regelungen des EU AI Act zu geben. Andererseits bleibt fraglich, ob der Code den Anbietern wirklich die erhoffte Erleichterung bringt oder die Compliance mit dem bereits sehr anspruchsvollen regulatorischen Rahmen sogar weiter erschwert, insbesondere wenn er über die Anforderungen des AIA hinausgeht oder inkongruent mit diesen ist.

Die Aufforderung, den Code "zukunftssicher" zu halten und auf dynamische Informationsquellen wie Risikomanagement-Rahmenwerke und Leitlinien des AI Office zu verweisen, birgt weitere Herausforderungen. Anbieter müssen nicht nur die gesetzlichen Anforderungen des AIA, sondern auch die sich potenziell kontinuierlich ändernden Vorgaben des Codes of Practice im Auge behalten, was den Administrationsaufwand erheblich erhöht. Die Unsicherheit über die Verbindlichkeit bestimmter Massnahmen sowie die unklare Abgrenzung zwischen gesetzlich vorgeschriebenen und freiwilligen Compliance-Elementen tragen kaum zur Rechtssicherheit der Anbieter bei.

Insgesamt lässt sich festhalten, dass der "General-Purpose AI Code of Practice" ein gut gemeinter, aber unzureichend ausgearbeiteter Versuch ist, die Einhaltung der ohnehin komplexen Anforderungen des AIA zu erleichtern.

Für Schweizer Anbieter von GPAI stellt sich die Frage, ob sie sich am Code of Practice GPAI orientieren sollten, selbst wenn sie nicht direkt in den Anwendungsbereich des AIA fallen. Die Anforderungen des Codes of Practice GPAI hoch und erfordern eine erhebliche Investition in Ressourcen, um die geforderten Dokumentationen, Transparenzvorgaben und urheberrechtlichen Due-Diligence-Prüfungen zu erfüllen. Für Schweizer Anbieter, die primär ausserhalb des EU-Marktes agieren, könnten diese Anforderungen eine unverhältnismässige Belastung darstellen, die den Nutzen einer freiwilligen Anpassung überwiegt.