Viele der letzten Bestimmungen des EU-KI-Gesetzes treten voraussichtlich 2026 in Kraft. Ab dem 2. August gilt der Großteil des EU-KI-Gesetzes für Betreiber von KI-Systemen aller Ebenen, mit Ausnahme von Artikel 6 Absatz 1 und den in Artikel 111 Absatz 1 genannten Systemen. Ab diesem Zeitpunkt findet das Gesetz Anwendung auf Betreiber von risikoreichen KI-Systemen, die vor diesem Datum auf den Markt gebracht oder in Betrieb genommen wurden.
Um Unternehmen bei der Einhaltung der Transparenzanforderungen gemäß Artikel 50 zu unterstützen, hat die Europäische Kommission den zweiten Entwurf des Verhaltenskodex für die Transparenz KI-generierter Inhalte veröffentlicht. Dieser von unabhängigen Experten erstellte, freiwillige Kodex behandelt wichtige Aspekte für Anbieter und Anwender von KI-Systemen, die Inhalte generieren, die unter Artikel 50 fallen, und unterstützt Organisationen beim Nachweis der Einhaltung der Verordnung.
Der Kodex besteht aus zwei Abschnitten. Abschnitt 1 enthält Regeln zur Kennzeichnung und Erkennung von KI-generierten und -manipulierten Inhalten und gilt für Anbieter von KI-Systemen. Abschnitt 2 enthält hingegen Regeln zur Kennzeichnung von Deepfakes sowie von KI-generierten und -manipulierten veröffentlichten Texten und gilt für Anwender von KI-Systemen.
Im Verhaltenskodex verwendete Schlüsselbegriffe
Konzert – Einleitender Text am Anfang eines Abschnitts, der die Gründe für seine operativen Bestimmungen darlegt.
Verpflichtungen: Die Verpflichtungen, zu denen sich die Unterzeichner des Verhaltenskodex verpflichten, z. B. die Umsetzung bestimmter Maßnahmen, um sicherzustellen, dass die Ergebnisse ihrer KI-Systeme als KI-generiert oder manipuliert erkennbar sind.
Maßnahmen und Untermaßnahmen: Die konkreten Maßnahmen, die die Unterzeichner ergreifen müssen, um die im Verhaltenskodex dargelegten Verpflichtungen zu erfüllen.
Abschnitt 1: Regeln zur Kennzeichnung und Erkennung von KI-generierten und manipulierten Inhalten
Abschnitt 1 ist für Anbieter von KI-Systemen anwendbar und bezieht sich auf Artikel 50(2) und (5) des EU-KI-Gesetzes.
Die spezifischen Ziele von Abschnitt 1 des Kodex bestehen darin, als Leitfaden für den Nachweis der Einhaltung der Verpflichtungen gemäß dem Gesetz zu dienen, wobei die Einhaltung des Kodex jedoch keinen endgültigen Beweis für die Erfüllung dieser Verpflichtungen darstellt. Dieser Abschnitt soll Anbieter von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textdateien generieren, bei der Erfüllung ihrer Verpflichtungen unterstützen und den Marktüberwachungsbehörden die Überprüfung der Einhaltung ermöglichen.
Verpflichtung 1: Mehrschichtige Kennzeichnung von KI-generierten Inhalten
Mit Verpflichtung 1 verpflichten sich die Unterzeichner des Kodex, alle von KI-Systemen generierten oder bearbeiteten Audio-, Bild-, Video- oder Textinhalte, die sie in der Europäischen Union in Verkehr bringen oder in Betrieb nehmen, maschinenlesbar zu kennzeichnen. Dies gilt für die Ergebnisse generativer KI-Systeme und umfasst universelle KI-Systeme.
Die Maßnahmen der Verpflichtung 1 umfassen daher Folgendes:
Implementierung eines mehrschichtigen Bewertungsansatzesund sicherzustellen, dass diese Ausgaben mit mindestens zwei Ebenen maschinenlesbarer aktiver Markierung versehen werden.
Digital signierte Metadaten, unmerkliche Wasserzeichentechniken, die in den Inhalt integriert sind, sowie Fingerprinting- oder Protokollierungsfunktionen sind allesamt erforderliche Methoden zur Kennzeichnung KI-generierter Inhalte, sofern diese in einem Format erstellt oder exportiert werden, das diese Techniken unterstützt. Beispielsweise sollten Unterzeichner des Kodex Informationen darüber, ob der Inhalt KI-generiert oder KI-manipuliert wurde, als Teil der Metadaten für Audio-, Bild-, Video- oder Dokumentdateien hinzufügen.
Nichtentfernung der maschinenlesbaren Markierung Die Unterzeichner sind verpflichtet, nach besten Kräften die Kennzeichnungen von Inhalten zu erhalten, die von ihrem KI-System erzeugt oder manipuliert wurden, indem sie, soweit technisch möglich, auf die Änderung oder Entfernung bestehender Metadaten verzichten.
Transparenz der Herkunftskette ist eine optionale Maßnahme, die die Unterzeichner dazu anregt, Provenienzstandards anzuwenden, die weitere Informationen über die Provenienzkette von KI-generierten oder manipulierten Inhalten in verschiedenen Arbeitsabläufen liefern, sofern dies technisch möglich ist.
Optionale Funktionalität für wahrnehmbare Markierungen (für Deepfakes und KI-generierte und manipulierte veröffentlichte Texte) Anbieter von generativen KI-Systemen, die Deepfakes und KI-generierte und manipulierte veröffentlichte Texte erzeugen können, werden ermutigt, eine optionale Funktionalität in der Benutzeroberfläche ihres Systems bereitzustellen und eine integrierte Option zu implementieren, die es Anwendern und anderen Nutzern ermöglicht, nach eigenem Ermessen direkt eine wahrnehmbare maschinenlesbare Markierung oder ein Etikett auf eine generierte Ausgabe anzuwenden.
Verpflichtung 2 – Erkennung der Kennzeichnung von KI-generierten Inhalten
Verpflichtung 2 sieht vor, dass die Unterzeichner des Kodex Maßnahmen ergreifen, um die Erkennung von Audio-, Bild-, Video- oder Textinhalten (oder einer Kombination davon) zu ermöglichen, die von ihrem KI-System generiert oder manipuliert wurden. Sie müssen außerdem sicherstellen, dass diese Informationen klar, eindeutig und leicht zugänglich über Tools oder APIs bereitgestellt werden.
Zu den Maßnahmen der Verpflichtung 2 gehören:
Erkennungsmechanismen für die aktive Markierung, die Anwendern, Endnutzern und anderen Dritten zur Verfügung gestellt werden. Diese Maßnahme verpflichtet die Unterzeichnerstaaten, eine Schnittstelle kostenlos zur Verfügung zu stellen, über die Anwender von KI-Systemen, Benutzer, Endbenutzer und andere berechtigte Parteien überprüfen können, ob Inhalte von ihrem KI-System generiert oder manipuliert wurden.
forensische Erkennungsmechanismen ist eine optionale Maßnahme, die die Unterzeichnerstaaten dazu anregt, die Entwicklung forensischer Detektoren zu unterstützen, die in der Lage sind, die Ergebnisse generativer KI-Modelle, die auf dem Unionsmarkt verfügbar sind, zu erkennen, auch wenn diese in Systeme integriert sind.
Klare und zugängliche Offenlegung der Verifizierungs- und Erkennungsergebnisse Die Unterzeichner sind verpflichtet sicherzustellen, dass die Ergebnisse der Erkennung und Verifizierung klar und verständlich präsentiert werden, sodass sie für Personen, die die Herkunft der Inhalte überprüfen möchten, leicht nachvollziehbar sind. Dies umfasst die Gewährleistung, dass die Ergebnisse Informationen auf Basis von Wasserzeichen, Metadaten, forensischen Analysen oder anderen Verfahren liefern.
Sie sollten außerdem sicherstellen, dass die Ergebnisse der Erkennungsmechanismen und gegebenenfalls deren Benutzerschnittstellen auch für Menschen mit Behinderungen zugänglich sind.
Förderung des Wissens über KI-gestützte Bewertungstechnologien und Verifizierung Die Unterzeichner werden dazu angehalten, sicherzustellen, dass Anwendern und anderen Nutzern allgemeinverständliche Dokumentationen und weitere relevante Informationen (ausgenommen Geschäftsgeheimnisse) zur Verfügung gestellt werden, um sie bei fundierten Entscheidungen über die einzusetzenden Markierungs- und Erkennungsmechanismen zu unterstützen. Sie werden außerdem dazu angehalten, gegebenenfalls Schulungsmaterialien zur KI-Kompetenz für Endnutzer bereitzustellen.
Verpflichtung 3 – Maßnahmen zur Erfüllung der Anforderungen an Kennzeichnungs- und Erkennungstechniken
Verpflichtung 3 verpflichtet die Unterzeichnerstaaten, sicherzustellen, dass die eingesetzten technischen Lösungen zur Kennzeichnung und Erkennung von KI-generierten oder manipulierten Inhalten effektiv, interoperabel, robust und zuverlässig sind. Sie sollen die höchstmögliche Effektivität, Interoperabilität, Robustheit und Zuverlässigkeit der Kennzeichnungs- und Erkennungslösungen anstreben und diese im Rahmen des technisch Machbaren erreichen.
Effektivität Erfordert von den Unterzeichnern die Implementierung von Kennzeichnungs- und Erkennungslösungen, die zweckmäßig sind und es den Menschen effektiv ermöglichen, zwischen KI-generierten oder manipulierten Inhalten und von Menschen verfassten Inhalten zu unterscheiden.
Zuverlässigkeit Die Unterzeichner des Kodex sind verpflichtet, Markierungs- und Erkennungslösungen zu implementieren, die in verschiedenen Kontexten und Anwendungsfällen ein hohes Maß an Zuverlässigkeit gewährleisten. Dies umfasst die Berücksichtigung zweier Komponenten: die Genauigkeit der Markierungserkennung unter kontrollierten Bedingungen und die Abhängigkeit der Genauigkeit der Markierungs- und Erkennungslösungen von Länge, Entropie und Semantik des Inhalts.
Robustheit Die Unterzeichner sind verpflichtet, Markierungs- und Erkennungslösungen zu implementieren, die eine hohe Robustheit gegenüber gängigen Manipulationen und Angriffen gewährleisten. Dies umfasst die Gewährleistung, dass ihre Markierungs- und Erkennungsverfahren auch typischen Verarbeitungsvorgängen wie Spiegeln, Zuschneiden, Komprimieren, Bildschirmaufnahmen usw. standhalten. Die Unterzeichner sollten zudem die Robustheit ihrer Markierungs- und Erkennungslösungen gegenüber Angriffen bewerten und die Bedrohungsanalysen regelmäßig aktualisieren.
Flexibel Kommunikation Die Unterzeichner des Kodex sind verpflichtet, technische Lösungen zur Kennzeichnung und Erkennung von KI-generierten oder manipulierten Inhalten zu implementieren, die über verschiedene Vertriebskanäle und technologische Umgebungen hinweg funktionieren. Ziel dieser Maßnahme ist die vollständige Interoperabilität der Kennzeichnungs- und Erkennungslösungen verschiedener KI-Systemanbieter durch gemeinsame Kennzeichnungs- und Erkennungsstandards.
Weiterentwicklung des Stands der Technik bei Markierung und Detektion Die Unterzeichner werden ermutigt, in wissenschaftliche Forschung und Entwicklung zu investieren, um den Stand der Technik bei Kennzeichnungs- und Erkennungsmechanismen für KI-generierte und manipulierte Inhalte zu verbessern. Dies hängt von ihren Kapazitäten und Ressourcen ab.
Verpflichtung 4 – Testen, Verifizieren und Einhalten
Verpflichtung 4 sieht vor, dass sich die Unterzeichner verpflichten, Test-, Verifizierungs- und Compliance-Prozesse einzurichten, aktuell zu halten und umzusetzen.
Zu den Verpflichtungsmaßnahmen 4 gehören:
Compliance-Rahmenwerk Dies verpflichtet die Unterzeichnerstaaten, einen Compliance-Rahmen zu erstellen, umzusetzen und zu aktualisieren, der die Kennzeichnungs- und Erkennungsprozesse sowie die Maßnahmen beschreibt, die die Unterzeichnerstaaten ergreifen, um die Einhaltung von Artikel 50 Absatz 2 und 5 des EU-Gesetzes über künstliche Intelligenz (EU-AI-Gesetz) sicherzustellen. Diese Maßnahme sollte verhältnismäßig und unter Berücksichtigung der Größe und der Ressourcen des Anbieters umgesetzt werden.
Das Prüfung, Verifizierung und Überwachung Die Maßnahme verpflichtet die Unterzeichner, die Markierungs- und Erkennungslösungen vor ihrer Markteinführung unter realen Bedingungen auf ihre Konformität mit den in Abschnitt 1 des Kodex beschriebenen Anforderungen und Maßnahmen zu testen. Nachgelagerte Anbieter von generativen KI-Systemen dürfen sich auf die Testergebnisse eines vorgelagerten Modells oder eines Drittanbieters von Markierungs- und Erkennungstechniken stützen.
Training Die Unterzeichnerstaaten sind verpflichtet, den Mitarbeitern, deren Aufgaben für die Einhaltung von Artikel 50(2) und (5) des EU-KI-Gesetzes relevant sind, die an der Konzeption und Entwicklung von KI-Systemen und -Modellen beteiligt sind und die dafür verantwortlich sind, dass die in Abschnitt 1 des Kodex festgelegten Maßnahmen wirksam umgesetzt werden, eine angemessene Schulung anzubieten.
Zusammenarbeit mit den Marktüberwachungsbehörden Die Unterzeichnerstaaten des Kodex sind verpflichtet, mit den zuständigen Marktüberwachungsbehörden zusammenzuarbeiten, um die Einhaltung von Artikel 50(2) und (5) des EU-KI-Gesetzes und ihrer Verpflichtungen gemäß Abschnitt 1 des Kodex nachzuweisen.
Abschnitt 2: Regeln für die Kennzeichnung von Deepfakes und KI-generierten und manipulierten veröffentlichten Texten
Abschnitt 2 ist für Anwender von KI-Systemen anwendbar und bezieht sich auf Artikel 50(4) und (5) des EU-KI-Gesetzes.
Die spezifischen Ziele von Abschnitt 2 des Kodex bestehen darin, als Leitfaden für den Nachweis der Einhaltung der Verpflichtungen von Anwendern generativer KI-Systeme gemäß dem Gesetz zu dienen. Die Einhaltung des Kodex ist jedoch kein abschließender Beweis für die Erfüllung dieser Verpflichtungen. Dieser Abschnitt soll Anwender von KI-Systemen, die Bild-, Audio- oder Videoinhalte generieren oder manipulieren, die Deepfakes oder Texte darstellen, bei der Erfüllung ihrer Verpflichtungen unterstützen und den Marktüberwachungsbehörden die Überprüfung der Einhaltung ermöglichen.
Verpflichtung 1 – Offenlegung von KI-generierten und manipulierten Deepfakes und veröffentlichten Texten
Verpflichtung 1 sieht vor, dass die Unterzeichnerstaaten die künstliche Herkunft von KI-generierten oder manipulierten Deepfake-Dateien oder veröffentlichten Texten zu Angelegenheiten von öffentlichem Interesse stets offenlegen.
Die Unterzeichnerstaaten können dies tun, indem sie das einheitliche EU-Symbol verwenden, sobald dieses verfügbar ist, oder indem sie ein alternatives Symbol oder eine alternative Kennzeichnungslösung wählen, die den in den folgenden Maßnahmen festgelegten Anforderungen entspricht:
Designanforderungen für Symbole, Beschriftungen oder Haftungsausschlüsse Der Kodex enthält eine Liste mit Anforderungen an die Gestaltung visueller Symbole und Beschriftungen. Dazu gehört das Hauptelement, das großgeschriebene „KI“, gegebenenfalls ergänzt durch einen kurzen Text, der die Art des KI-Einsatzes erläutert, beispielsweise „mit KI generiert“. Bei reinen Audioinhalten müssen die Unterzeichner einen kurzen hörbaren Haftungsausschluss einfügen. Weitere Informationen zu den spezifischen Anforderungen finden Sie im Kodex.
Platzierungsanforderungen für Symbole, Beschriftungen oder Haftungsausschlüsse Unterzeichner sind verpflichtet, das Symbol, die Kennzeichnung oder den Haftungsausschluss an einer geeigneten und gut sichtbaren Stelle anzuzeigen, die dem Format und Kontext des Inhalts entspricht. Weitere Informationen zu den spezifischen Anforderungen finden Sie im Verhaltenskodex.
Optionale Verwendung eines EU-Symbols und Beteiligung an dessen Entwicklung ist eine optionale Verpflichtung, die die Unterzeichnerstaaten dazu anregt, das EU-weite Symbol zu verwenden und die Entwicklung eines einheitlichen EU-Labels zu unterstützen, das fortschrittlichere und nutzbarere Informationen über die KI-generierten oder manipulierten Elemente von Inhalten bereitstellen soll.
Verpflichtung 2 – Verhältnismäßige Einhaltung, Sensibilisierung und Überprüfung
Zur Einhaltung der Verpflichtung 2 müssen die Unterzeichner verhältnismäßige interne Prozesse, Sensibilisierungsmaßnahmen und Überprüfungsmechanismen für die ordnungsgemäße Umsetzung der Kennzeichnung von Deepfakes und Textveröffentlichungen im Anwendungsbereich von Artikel 50 Absatz 4 des EU-KI-Gesetzes implementieren.
Interne Compliance verpflichtet die Unterzeichnerstaaten, eine angemessene interne Dokumentation zu erstellen, anzupassen oder aufrechtzuerhalten, aus der hervorgeht, wie sie die Offenlegungspflichten gemäß den vorgenannten Abschnitten des EU-KI-Gesetzes umsetzen.
Sensibilisierung und Schulung verpflichtet die Unterzeichnerstaaten, angemessene und verhältnismäßige Anstrengungen zu unternehmen, um sicherzustellen, dass das Bewusstsein für die Offenlegungspflichten gemäß Artikel 50 Absatz 4 und 5 des EU-AI-Gesetzes bei denjenigen Personen gewahrt wird, die direkt mit der Umsetzung von Kennzeichnungsmaßnahmen oder der Überwachung der Einhaltung der Maßnahmen in Abschnitt 2 des Kodex befasst sind.
Überprüfung, Rückmeldung und Zusammenarbeit mit den Behörden verpflichtet die Unterzeichnerstaaten, die effektive Umsetzung der Offenlegungspflichten durch Überprüfungs- und Feedbackmechanismen zu unterstützen, beispielsweise durch die Bereitstellung von Kanälen, über die Einzelpersonen oder vertrauenswürdige Dritte, wie etwa unabhängige Faktenprüfer, fehlerhafte oder fehlende Angaben melden können.
Verpflichtung 3 – Angemessene Offenlegung für künstlerische, kreative und ähnliche Werke
Verpflichtung 3 verpflichtet die Unterzeichnerstaaten, Maßnahmen zur Offenlegung von Deepfake-Inhalten zu ergreifen, die Bestandteil künstlerischer, kreativer, satirischer, fiktionaler oder vergleichbarer Werke oder Programme sind. Die Offenlegung muss in angemessener Weise erfolgen, die die Darstellung oder den Genuss des Werkes nicht beeinträchtigt. Konkrete Vorschläge zur Platzierung finden sich im Kodex.
Verpflichtung 4 – Menschliche Überprüfung, redaktionelle Kontrolle und Verantwortung in Bezug auf KI-generierte oder manipulierte Textveröffentlichungen
Um die Einhaltung von Verpflichtung 4 sicherzustellen, sollten die Unterzeichner eine Mindestdokumentation erstellen, anpassen oder pflegen, aus der hervorgeht, dass die KI-generierten oder manipulierten Texte, die zum Zweck der Information der Öffentlichkeit über Angelegenheiten von öffentlichem Interesse veröffentlicht werden, vor der Veröffentlichung einer menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und dass eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung trägt.
Die Dokumentation sollte die Identifizierung der Person mit redaktioneller Verantwortung einschließlich ihres Namens, ihrer Funktion und ihrer Kontaktdaten sowie eine Übersicht über die Maßnahmen zur Sicherstellung einer angemessenen menschlichen Überprüfung enthalten.
Einhaltung des Verhaltenskodex mit ISO 42001
Der Verhaltenskodex ist freiwillig. Er bietet Anbietern und Anwendern von KI-Systemen jedoch die Möglichkeit, ihre Einhaltung der rechtlichen Transparenzpflichten des EU-KI-Gesetzes nachzuweisen.
Das ISO 42001 Standard Der Standard bietet einen Best-Practice-Rahmen für den Aufbau, die Wartung und die kontinuierliche Verbesserung eines KI-Managementsystems (AIMS) und unterstützt zudem die Einhaltung der EU-KI-Richtlinien. Er soll sicherstellen, dass Organisationen spezifische KI-bezogene Aspekte berücksichtigen, darunter Sicherheit, Fairness, Transparenz, Datenqualität und die Qualität von KI-Systemen während ihres gesamten Lebenszyklus.
ISO 42001 bietet Organisationen eine Grundlage für die Implementierung eines ethischen und transparenten KI-Managementsystems (KI-Managementsystem), das KI-Modelle, -Systeme und deren Einsatz umfasst. Ein robustes, ISO 42001-konformes KI-Managementsystem ermöglicht es Organisationen, die Einhaltung des Verhaltenskodex und des EU-KI-Gesetzes einfach nachzuweisen und zu pflegen.
Einhaltung des EU-KI-Gesetzes: Verhaltenskodex zur Transparenz KI-generierter Inhalte
Die Umsetzung der erforderlichen Maßnahmen zur Einhaltung des Verhaltenskodex kann eine Herausforderung darstellen. Organisationen sollten zumindest die für eine transparente KI-Kennzeichnung und -Erkennung vorgeschriebenen Maßnahmen ergreifen, die Dokumentation ihrer menschlichen Kontrollprozesse überprüfen und die Lücken zwischen ihrem aktuellen Transparenzansatz und den im Verhaltenskodex geforderten Maßnahmen identifizieren.
Wenn Ihr Unternehmen die ISO 42001-Zertifizierung anstrebt, kontaktieren Sie uns, um zu erfahren, wie ISMS.online Sie dabei unterstützen kann. Gehen Sie den nächsten Schritt hin zu einem verantwortungsvollen und systematischen KI-Management und stellen Sie sicher, dass die KI-Nutzung in Ihrem Unternehmen den rechtlichen Verpflichtungen des EU-KI-Gesetzes entspricht.
Erweitern Sie Ihr Wissen
Blog: Könnte ISO 42001 zum De-facto-KI-Regulierer Großbritanniens werden?
Webinar: Lehren aus einer der weltweit ersten ISO 42001-Zertifizierungen
