Was steht im neuen EU-KI-Gesetz „Allgemeiner Verhaltenskodex für KI“?

Die EU-KI-GesetzDie ersten Bestimmungen des Gesetzes, beispielsweise zu verbotenen KI-Praktiken, traten im Februar 2025 in Kraft. Die schrittweise Einführung der Anforderungen erfolgt bis August 2027, wenn alle Systeme die Verpflichtungen des Gesetzes erfüllen müssen. In diesem Monat veröffentlichte das AI Office den General-Purpose AI Code of Practice für Anbieter von General-Purpose AI (GPAI)-Modellen und GPAI-Modellen mit systemischem Risiko.

Der Kodex ist ein freiwilliges Instrument, das von unabhängigen Experten entwickelt wurde. Er soll GPAI-Modellanbietern helfen, ihren Verpflichtungen aus dem Gesetz nachzukommen. Die Unterzeichner sind verpflichtet, Zusammenfassungen der Trainingsdaten zu veröffentlichen, die unbefugte Nutzung urheberrechtlich geschützter Inhalte zu vermeiden und interne Rahmenbedingungen zur Risikoüberwachung zu schaffen. Der Kodex dient als Leitfaden für den Nachweis der Einhaltung der in den Artikeln 53 und 55 des EU-KI-Gesetzes festgelegten Verpflichtungen, stellt jedoch keinen schlüssigen Nachweis für die Einhaltung dar.

Er besteht aus drei Kapiteln: Transparenz, Urheberrecht sowie Sicherheit und Schutz. In diesem Blog untersuchen wir die drei im Verhaltenskodex eingeführten Kapitel und skizzieren die nächsten Schritte für Organisationen.

Im Verhaltenskodex verwendete Schlüsselbegriffe

Systemisches Risiko: Das EU-KI-Gesetz definiert systemisches Risiko als spezifisch für hochwirksame Fähigkeiten – Modelle, die mit einer kumulierten Rechenleistung von mehr als 10^25 Gleitkommaoperationen trainiert wurden, verfügen über hochwirksame Fähigkeiten.

Verpflichtungen: Zu den Verpflichtungen, zu denen sich die Unterzeichner des Verhaltenskodex verpflichten, gehören beispielsweise:

• Dokumentation
• Einführung eines hochmodernen Sicherheitsrahmens.

Maßnahmen: Die spezifischen Maßnahmen, die die Unterzeichner ergreifen, um ihren Verpflichtungen nachzukommen und den Verpflichtungen des Verhaltenskodex nachzukommen, z. B.:

• Aktuelle Modelldokumentation
• Erstellen des Sicherheitsrahmens.

EU-KI-Gesetz GPAI-Verhaltenskodex – Transparenz

Das Kapitel Transparenz enthält eine Verpflichtung – Dokumentation – und drei Maßnahmen (1.1, 1.2 und 1.3), um die Transparenz, Integrität und Relevanz der von Anbietern von GPAI-Modellen und GPAI-Modellen mit systemischem Risiko bereitgestellten Informationen sicherzustellen.

Die Unterzeichner müssen alle im unten beschriebenen Musterdokumentationsformular genannten Informationen dokumentiert haben und die Musterdokumentation bei relevanten Änderungen aktualisieren. Unternehmen müssen außerdem frühere Versionen der Musterdokumentation bis zu zehn Jahre lang aufbewahren.

Um Transparenz zu gewährleisten, müssen Organisationen außerdem Kontaktinformationen für das AI-Büro offenlegen, damit dieses Zugriff auf die erforderlichen Informationen beantragen kann. Auf Anfrage müssen sie innerhalb eines angemessenen Zeitraums und spätestens 14 Tage nach Eingang der Anfrage aktuelle Zusatzinformationen bereitstellen.

Organisationen müssen sicherstellen, dass die von ihnen bereitgestellten Informationen auf Qualität und Integrität geprüft und als Nachweis der Einhaltung der Vorschriften aufbewahrt werden.

Was ist das Musterdokumentationsformular?

Das Kapitel Transparenz enthält ein Musterdokumentationsformular, mit dem Anbieter die notwendigen Informationen dokumentieren können, um der Verpflichtung des EU-KI-Gesetzes zur Gewährleistung ausreichender Transparenz nachzukommen. Das Formular gibt für jeden Punkt an, ob die Informationen für nachgelagerte Anbieter, das KI-Büro oder die zuständigen nationalen Behörden bestimmt sind.

Empfänger der im Musterdokumentationsformular bereitgestellten Informationen müssen die Vertraulichkeit der Informationen gemäß Artikel 78 des EU-KI-Gesetzes wahren und sicherstellen, dass Cybersicherheitsmaßnahmen zum Schutz der Informationssicherheit und -vertraulichkeit vorhanden sind.

EU-KI-Gesetz GPAI-Verhaltenskodex – Urheberrecht

Kapitel Zwei des Verhaltenskodex befasst sich mit dem Urheberrecht und enthält eine Verpflichtung – die Urheberrechtsrichtlinie – und fünf Maßnahmen, die die Unterzeichner umsetzen müssen, um die Einhaltung des EU-Rechts zum Urheberrecht und verwandten Schutzrechten gemäß Artikel 53 des EU-KI-Gesetzes zu gewährleisten.

Im Großen und Ganzen umfasst dieses Kapitel:

• Festlegung einer Urheberrechtsrichtlinie
• Maßnahmen zur Einhaltung der EU-Urheberrechtspolitik und der Rechtevorbehalte
• Minderung des Risikos von Urheberrechtsverletzungen bei KI-Modellausgaben
• Einrichtung einer Anlaufstelle für die Kommunikation mit Rechteinhabern und die Einreichung von Beschwerden.

Um die Anforderungen dieses Kapitels zu erfüllen, müssen die Unterzeichner eine Urheberrechtsrichtlinie für GPAI-Modelle, die sie auf dem EU-Markt anbieten, implementieren, regelmäßig aktualisieren und diese Richtlinie in einem einzigen Dokument zusammenfassen. Sie müssen außerdem sicherstellen, dass sie innerhalb ihrer Organisation Verantwortlichkeiten für die Umsetzung und Aufrechterhaltung der Urheberrechtsrichtlinie festlegen.

Organisationen, die sich dem Verhaltenskodex anschließen möchten, müssen außerdem sicherstellen, dass sie beim Crawlen des Internets nur legal zugängliche, urheberrechtlich geschützte Inhalte reproduzieren und extrahieren. Dies beinhaltet den Ausschluss von Websites, die von Gerichten oder Behörden in der EU als urheberrechtlich geschützt eingestuft werden. Zu diesem Zweck wird eine Liste dieser Websites öffentlich zugänglich gemacht.

Dementsprechend müssen Organisationen beim Crawlen im Internet Rechtevorbehalte beachten. Dazu können sie beispielsweise Webcrawler einsetzen, die die Anweisungen in der robots.txt-Datei einer Website lesen und befolgen. Diese Datei gibt an, auf welche Bereiche der Website die Crawler zugreifen dürfen. Darüber hinaus sollten Organisationen weitere geeignete maschinenlesbare Protokolle zur Angabe von Rechtevorbehalten identifizieren und einhalten.

EU-KI-Gesetz GPAI-Verhaltenskodex – Sicherheit und Schutz

Das dritte und letzte Kapitel des Verhaltenskodex ist das umfassendste. Es beschreibt Praktiken zum Management systemischer Risiken und unterstützt Anbieter bei der Einhaltung der Verpflichtungen des EU-KI-Gesetzes für GPAI-Modelle, die ein systemisches Risiko darstellen. Dieses Kapitel enthält zehn Verpflichtungen, die sich aus mehreren Maßnahmen zusammensetzen:

Annahme, Implementierung und Aktualisierung eines geeigneten Sicherheitsrahmens Um die Prozesse und Maßnahmen zum systemischen Risikomanagement zu skizzieren, die Organisationen implementiert haben, um sicherzustellen, dass die aus ihren Modellen resultierenden systemischen Risiken akzeptabel sind.

Identifizierung systemischer Risiken: Organisationen müssen einen strukturierten Prozess implementieren, um systemische Risiken zu identifizieren, die sich aus ihren KI-Modellen ergeben, und systemische Risikoszenarien für jedes identifizierte systemische Risiko entwickeln.

Systemische Risikoanalyse, Dazu gehören das Sammeln modellunabhängiger Informationen, das Durchführen von Bewertungen, das Modellieren des systemischen Risikos, das Abschätzen des systemischen Risikos und das Durchführen einer Überwachung nach der Markteinführung.

Bestimmung der Akzeptanz systemischer Risiken, Dazu gehören die Festlegung von Akzeptanzkriterien, die Feststellung, ob systemische Risiken, die von einem KI-Modell ausgehen, akzeptabel sind, und die Entscheidung, ob auf Grundlage der Feststellung der Akzeptanz systemischer Risiken mit der Entwicklung und Nutzung fortgefahren werden soll.

Implementierung von Sicherheitsmaßnahmen während des gesamten Lebenszyklus des Modells, um sicherzustellen, dass die vom Modell ausgehenden systemischen Risiken akzeptabel sind, beispielsweise durch die Änderung des Modellverhaltens im Interesse der Sicherheit.

Implementierung von Sicherheitsmaßnahmen wie beispielsweise ein angemessenes Maß an Cybersicherheitsschutz. Organisationen sollten außerdem sicherstellen, dass systemische Risiken, die durch unbefugten Zugriff auf, Verwendung oder Diebstahl von Modellen entstehen, akzeptabel sind.

Erstellen eines Sicherheitsmodellberichts vor der Markteinführung eines Modells und dessen Aktualität. Organisationen können einen einzigen Modellbericht für mehrere Modelle erstellen, wenn die Prozesse und Maßnahmen zur systemischen Risikobewertung und -minderung für ein Modell ohne Bezugnahme auf die anderen Modelle nicht verständlich sind. KMU können den Detaillierungsgrad ihrer Modellberichte reduzieren, um Größen- und Kapazitätsbeschränkungen Rechnung zu tragen.

Verteilung der Verantwortung für systemische Risiken indem Verantwortlichkeiten für das Management der systemischen Risiken von Modellen auf allen Ebenen der Organisation definiert werden und indem denjenigen, denen die Verantwortung für das Management systemischer Risiken übertragen wurde, entsprechende Ressourcen zugewiesen werden.

Meldung schwerwiegender Vorfälle, durch die Implementierung von Prozessen und Maßnahmen zur Verfolgung, Dokumentation und unverzüglichen Meldung schwerwiegender Vorfälle an das AI-Büro (und gegebenenfalls die zuständigen nationalen Behörden). Die Unterzeichner sollten zudem die notwendigen Ressourcen für solche Prozesse und Maßnahmen bereitstellen.

Zusätzliche Dokumentation und Transparenz – einschließlich der Dokumentation der Umsetzung dieses Kapitels und der erforderlichen Veröffentlichung zusammengefasster Fassungen ihrer Rahmen- und Modellberichte. Die zusätzliche Dokumentation umfasst eine detaillierte Beschreibung der Modellarchitektur, ihrer Integration in KI-Systeme, der gemäß diesem Kapitel durchgeführten Modellbewertungen und der implementierten Sicherheitsmaßnahmen.

Einhaltung des Verhaltenskodex mit ISO 42001

Der Verhaltenskodex ist freiwillig. Er bietet Anbietern von GPAI-Modellen und GPAI-Modellen mit systemischem Risiko jedoch eine Möglichkeit, die Einhaltung der rechtlichen Verpflichtungen des EU-KI-Gesetzes nachzuweisen.

Wenn Ihr Unternehmen plant, den Verhaltenskodex einzuhalten, ISO 42001 Der ISO 42001-Standard bietet einen Best-Practice-Rahmen für den Aufbau, die Wartung und die kontinuierliche Verbesserung eines KI-Managementsystems (AIMS) und kann auch die umfassendere Einhaltung des EU-KI-Gesetzes unterstützen. Der ISO XNUMX-Standard soll sicherstellen, dass Organisationen spezifische Aspekte im Zusammenhang mit KI berücksichtigen, darunter Sicherheit, Schutz, Fairness, Transparenz, Datenqualität und die Qualität von KI-Systemen während ihres gesamten Lebenszyklus.

Während sich der GPAI-Verhaltenskodex an Anbieter von KI-Modellen und nicht an Systeme richtet, bietet ISO 42001 Organisationen eine Grundlage für die Implementierung eines ethischen und transparenten AIMS, das sowohl KI-Modelle als auch -Systeme abdeckt.

Es gibt zahlreiche Überschneidungen zwischen den Anforderungen der Norm und den im Verhaltenskodex beschriebenen Maßnahmen und Verpflichtungen. So verlangt die Norm ISO 42001 beispielsweise von Organisationen, KI-Risiken zu identifizieren und zu behandeln (Abschnitt 6.1.2. KI-Risikobewertung, Abschnitt 6.1.3. KI-Risikobehandlung und Abschnitt 8.3. KI-Risikobehandlung).

Die Implementierung von ISO 42001 umfasst auch die Erstellung von Dokumentations- und Aufzeichnungsprozessen, die alle Aspekte des AIMS abdecken, einschließlich Richtlinien, Verfahren, Leistungsdaten und Compliance-Aufzeichnungen. Dies steht im Einklang mit den Dokumentationsanforderungen in Kapitel XNUMX des Verhaltenskodex.

Ein robustes, ISO 42001-konformes AIMS kann es Organisationen ermöglichen, die Einhaltung des Verhaltenskodex und des EU-KI-Gesetzes problemlos nachzuweisen und zu dokumentieren.

Nächste Schritte

Die Umsetzung der notwendigen Maßnahmen zur Einhaltung des Verhaltenskodex kann eine Herausforderung sein. Jetzt ist es an der Zeit, Ihre bestehenden KI-Dokumentationsbemühungen, die Urheberrechtskonformität und das systemische Risikomanagement zu überprüfen und Lücken zwischen Ihrem aktuellen Management und den im Verhaltenskodex geforderten Maßnahmen zu identifizieren.

Wenn Ihr Unternehmen die Einhaltung der ISO 42001-Norm in Erwägung zieht, kontaktieren Sie mich um zu sehen, wie ISMS.online Ihnen helfen kann. Machen Sie den nächsten Schritt in Richtung verantwortungsvolles, methodisches KI-Management und stellen Sie sicher, dass Sie KI-Modelle und -Systeme ethisch, sicher und im Einklang mit Ihren gesetzlichen Verpflichtungen gemäß dem EU-KI-Gesetz einsetzen.