Eine Einführung in das KI-Gesetz der EU

Update vom 11. Juli 2025: Nach Veröffentlichung des endgültigen Textes des Verhaltenskodex für allgemeine KI-Modelle möchten wir in einem Überblick unseren Umgang mit dem Inkrafttreten der für allgemeine KI-Modelle geltenden Bestimmungen am 2. August 2025 erläutern.

Im vergangenen Jahr haben wir diese Einführung in das EU-KI-Gesetz veröffentlicht, um einen ersten Einblick in unsere Vorbereitungen für die Umsetzung der neuen gesetzlichen Anforderungen zu geben.

Seitdem sind wir aktiv an der Implementierung des Textes beteiligt, indem wir an der Ausarbeitung des Verhaltenskodex für allgemeine KI mitgewirkt haben, einem Rahmenwerk für KI-Anbieter zur Einhaltung des KI-Gesetzes der EU. Nach monatelangen gemeinsamen Bemühungen von Experten, der Allgemeinbevölkerung und der Industrie wurde nun eine endgültige Version des Kodex veröffentlicht. Heute teilen wir unsere Entscheidung mit, den Verhaltenskodex zu unterzeichnen und zu nutzen, um die Einhaltung unserer relevanten Verpflichtungen gemäß dem KI-Gesetz der EU zu demonstrieren.

Mit der Unterzeichnung des Kodex implementieren wir einen konkreten Schritt unseres umfassenderen Plans zur Einhaltung des KI-Gesetzes der EU. Dies zeigt unser Versprechen, Kontinuität, Zuverlässigkeit und Vertrauen zu gewährleisten, wenn neue Vorschriften in Kraft treten. Gleichzeitig arbeiten wir weiterhin mit europäischen Unternehmen und Bürgern zusammen und stellen ihnen zunehmend leistungsfähigere und sicherere KI-Modelle zur Verfügung, damit sie von den Vorteilen der KI-Revolution profitieren können.

Die Unterzeichnung des Kodex bekräftigt viele der branchenführenden Maßnahmen in Bezug auf Sicherheit und Transparenz, die wir in den vergangenen Jahren eingeführt haben. Wir gehörten zu den ersten Unternehmen, die ein umfassendes Sicherheitsprotokoll veröffentlicht haben, in unserem Fall unser Preparedness Framework (2023), das unseren Ansatz für die sichere Bereitstellung bahnbrechender KI-Modelle darlegt. 

Im Einklang mit unserer Verpflichtung, die internen Verantwortlichkeits- und Governance-Rahmenwerke kontinuierlich zu überprüfen und zu verbessern, haben wir im April 2025 ein aktualisiertes Preparedness Framework veröffentlicht⁠.

Während wir kontinuierlich immer leistungsfähigere Technologien entwickeln und einsetzen, überwachen und mindern wir aktiv eine breite Palette neuer Risiken und realer Sicherheitsbedenken, um die Zuverlässigkeit und Sicherheit unserer Modelle zu gewährleisten. Diese Verfahren werden ständig weiterentwickelt und verbessert.

• Wir veröffentlichen bereits seit einiger Zeit ausführliche Systemkarten und technische Dokumentationen in unseren Hauptversionen. Dort wird dargelegt, was unsere Modelle können und was nicht, auf welche Risiken wir getestet haben und in welchen Bereichen noch Lernbedarf besteht.
• Dieser Sicherheits-Hub bietet öffentlichen Zugriff auf die Ergebnisse der Sicherheitsbewertung der Modelle von OpenAI.
• Unser Red-Teaming-Netzwerk holt externe Experten hinzu, um unsere Modelle einem Belastungstest zu unterziehen
• Die Modellspezifikation bietet einen Einblick in die Art und Weise, wie wir das Verhalten von Modellen so gestalten, dass es menschliche Werte und demokratische Normen reflektiert.

Diese gesamte Arbeit ist von entscheidender Bedeutung für die Festlegung von Sicherheits- und Schutzstandards in der Branche und trug zur Entwicklung eines umsetzbaren Verhaltenskodex auf Grundlage der Best Practices der Branche bei. Der Aufbau einer sicheren und verantwortungsvollen KI ist nie vollends abgeschlossen. Wir werden unseren Sicherheitsansatz Schritt für Schritt immer weiter verbessern, um sicherzustellen, dass unsere Technologie verantwortungsvoll zum Nutzen aller Menschen weltweit eingesetzt wird.

Wir werden bei der Umsetzung des KI-Gesetzes in den kommenden Monaten und Jahren eng mit dem KI-Büro der EU, den zuständigen Behörden und unseren Kunden zusammenarbeiten, um gemeinsam die Vorteile der KI für die europäische Gesellschaft und Wirtschaft zu sichern.

Update: Am 25. September 2024 haben wir die drei Kernverpflichtungen des EU-KI-Pakts unterzeichnet.

1. Übernahme einer KI-Governance-Strategie, um die Einführung von KI in der Organisation zu fördern und auf die künftige Einhaltung des KI-Gesetzes hinzuarbeiten;
2. soweit möglich ein Mapping der KI-Systeme durchführen, die in Bereichen bereitgestellt oder eingesetzt werden, die gemäß dem KI-Gesetz als Hochrisikobereiche gelten würden;
3. Bewusstsein und KI-Kompetenz ihrer Mitarbeiter und anderer Personen, die in ihrem Auftrag mit KI-Systemen in Berührung kommen, fördern und dabei deren technisches Fachwissen, Erfahrung, Ausbildung und Training sowie den Kontext berücksichtigen, in dem KI-Systeme eingesetzt werden sollen, sowie Berücksichtigung von Personen oder Personengruppen, die vom Einsatz der KI-Systeme betroffen sind.

Wir sind davon überzeugt, dass der Schwerpunkt des KI-Pakts auf KI-Kompetenz, -Einführung und -Governance die richtigen Prioritäten setzt, um sicherzustellen, dass die Vorteile der KI großflächig zum Einsatz kommen. Darüber hinaus stehen sie im Einklang mit unserer Mission, sichere Spitzentechnologien bereitzustellen, die allen zugute kommen.

Das KI-Gesetz der EU⁠(wird in einem neuen Fenster geöffnet) ist ein wichtiger Regulierungsrahmen, der die Entwicklung, den Einsatz und die Nutzung von KI in ganz Europa regeln soll. Der Fokus liegt dabei stark auf Sicherheit, um eine vertrauenswürdige Einführung von KI in Europa zu fördern und gleichzeitig Gesundheit, Sicherheit und Grundrechte zu schützen. Das Gesetz führt neue Anforderungen ein, basierend auf den mit KI-Systemen verbundenen Risiken. Ein besonderer Schwerpunkt sind dabei Hochrisiko- und inakzeptable Anwendungsfälle sowie Verpflichtungen für Allzweck-KI-Modelle und -Systeme (GPAI). 

Obwohl das Gesetzgebungsverfahren abgeschlossen ist und das Gesetz im August 2024 in Kraft treten wird, sind weitere Leitlinien und Durchführungsgesetze erforderlich, um den Geltungsbereich des Gesetzes zu definieren, insbesondere im Hinblick auf GPAI-Modelle wie das von OpenAI. 

OpenAI hat sich der Einhaltung des Gesetzes voll und ganz verpflichtet – nicht nur, weil es sich um eine rechtliche Anforderung handelt, sondern auch, weil das Ziel des Gesetzes mit unserer Mission übereinstimmt, sichere KI zum Wohl der gesamten Menschheit zu entwickeln und einzusetzen. Wir sind stolz auf die Einführung von Modellen, die sowohl hinsichtlich ihrer Leistungsfähigkeit als auch ihrer Sicherheit branchenführend sind. Wir glauben an einen ausgewogenen, wissenschaftlichen Ansatz, bei dem Sicherheitsmaßnahmen⁠ von Anfang an in den Entwicklungsprozess integriert werden. Unsere Teams decken ein breites Spektrum an technischen Bemühungen zur Bewältigung von KI-Sicherheitsherausforderungen ab, darunter die Bewertung von Modellen im Rahmen unseres Preparedness Framework⁠ vor ihrer Bereitstellung, internes und externes Red-Teaming⁠, Überwachung⁠ auf Missbrauch nach der Bereitstellung, Bug Bounty⁠ und Cybersecurity⁠Förderungsprogramme sowie Beiträge zu Authentizitätsstandards⁠. 

Wir werden bei der Umsetzung des neuen Gesetzes in den kommenden Monaten eng mit dem KI-Büro der EU und anderen relevanten Behörden zusammenarbeiten in der Hoffnung, dass die von uns aufgebaute Expertise dazu beitragen wird, die Ziele des Gesetzes im Hinblick auf den Einsatz sicherer und nützlicher KI voranzubringen.  

In diesem Beitrag geben wir einen Überblick über einige Kernthematiken des KI-Gesetzes, mit besonderem Fokus auf verbotene und risikoreiche Anwendungsfälle.

Das KI-Gesetz tritt am 1. August 2024, 20 Tage nach seiner Veröffentlichung im EU-Amtsblatt, in Kraft. Während die meisten Bestimmungen des Gesetzes erst 24 Monate nach Inkrafttreten wirksam werden, gibt es mehrere wichtige Fristen zu beachten: 

• Verbote unzulässiger Praktiken werden 6 Monate nach Inkrafttreten wirksam (Februar 2025) 
• Verhaltenskodizes, die viele der zur Einhaltung des Gesetzes erforderlichen Umsetzungsdetails enthalten, müssen innerhalb von 9 Monaten nach Inkrafttreten (Mai 2025) finalisiert werden. 
• Die meisten allgemeinen KI-Verpflichtungen werden 12 Monate nach Inkrafttreten (August 2025) wirksam. 
• Für die meisten Hochrisiko-KI-Systeme gelten die Verpflichtungen 24 Monate nach Inkrafttreten (August 2026). 

Für bereits bestehende GPAI-Systeme, die nicht wesentlich verändert wurden, und bestimmte KI-Systeme, die Komponenten von IT-Großsystemen sind (aufgeführt in Anhang X des KI-Gesetzes), gilt eine längere Umsetzungsfrist von 36 Monaten (August 2027).

Das KI-Gesetz bezieht sich grundsätzlich auf „KI-Systeme“, die im Gesetz wie folgt definiert werden: „Maschinenbasierte Systeme, die für den Betrieb mit verschiedenen Autonomiegraden entwickelt wurden, nach der Bereitstellung Anpassungsfähigkeit aufweisen können und aus den empfangenen Eingaben für explizite oder implizite Ziele schlussfolgern, auf welche Weise Outputs wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert werden können, die physische oder virtuelle Umgebungen beeinflussen können.“  Diese Definition steht insgesamt im Einklang mit der OECD-Definition von „KI-Systemen“ aus dem Jahr 2023 und der Definition, die in der Executive Order 14110 der Biden-Regierung zur sicheren, geschützten und vertrauenswürdigen Entwicklung und Nutzung künstlicher Intelligenz verwendet wird.  

Wichtig zu erwähnen ist, dass das KI-Gesetz zwischen Anbietern und Bereitstellern von KI-Systemen unterscheidet. Anbieter sind Organisationen wie OpenAI, die ein KI-System oder ein allgemeines KI-Modell entwickeln. Hierzu gehören auch Unternehmen, die ein KI-System oder ein allgemeines KI-Modell entwickeln lassen und auf den Markt bringen oder das KI-System unter ihrem eigenen Namen oder ihrer eigenen Marke in Betrieb nehmen, ob kostenpflichtig oder nicht. 

Bereitsteller sind Kunden oder Partner, die diese Systeme oder Modelle in ihren eigenen Anwendungen einsetzen, beispielsweise um GPT‑4o in einen bestimmten Anwendungsfall zu integrieren. Auch, wenn die meisten Verpflichtungen nach dem KI-Gesetz bei den Anbietern und nicht den Bereitstellern liegen, muss man beachten, dass ein Bereitsteller, der ein KI-Modell in sein eigenes KI-System integriert, im rechtlichen Sinne zum Anbieter werden kann, beispielsweise indem er seine eigene Marke auf einem KI-System verwendet oder das KI-System auf eine Weise ändert, die vom Anbieter nicht beabsichtigt war.

Auch Organisationen außerhalb der EU müssen das KI-Gesetz unter verschiedenen, teilweise sehr weitreichenden Bedingungen einhalten.  Das Gesetz gilt beispielsweise unter folgenden Umständen: 

• Ein Anbieter führt ein KI-System oder GPAI-Modell auf dem EU-Markt ein, unabhängig davon, ob das Unternehmen seinen Sitz in der EU oder einem anderen Land hat. 
• Bereitsteller eines KI-Systems haben ihren Sitz in der EU oder befinden sich innerhalb der EU. 
• Anbieter und Bereitsteller von KI-Systemen wurden in einem Drittland gegründet oder haben dort ihren Sitz, die vom KI-System erzeugten Ergebnisse werden jedoch innerhalb der EU verwendet.

Die große extraterritoriale Reichweite des KI-Gesetzes bedeutet, dass nichteuropäische Unternehmen sich an das Gesetz halten müssen, um EU-Kunden zu bedienen, unabhängig davon, ob sie ihren Sitz innerhalb der EU haben.

Das KI-Gesetz stützt sich auf einen risikobasierten Rahmen mit spezifischen Anforderungen für KI-Systeme mit hohem und inakzeptablem Risiko. Das Gesetz verpflichtet Unternehmen dazu, die Risikostufe ihrer KI-Systeme zu klassifizieren, um die entsprechenden regulatorischen Verpflichtungen zu ermitteln, und legt verschiedene Kategorien oder Stufen von KI-Systemen fest, die jeweils unterschiedliche Verpflichtungen mit sich bringen.

Bestimmte KI-Praktiken, die als inakzeptables Risiko für die Rechte von Einzelpersonen gelten, sind vollständig untersagt. Zu diesen Praktiken gehören:   

• Die Bereitstellung unterschwelliger, manipulativer oder irreführender Techniken, um Verhaltensweisen zu verzerren und fundierte Entscheidungen zu beeinträchtigen, was in erheblichem Schaden resultiert. 
• Ausnutzung von Schwachstellen aufgrund von Alter, Behinderungen oder sozioökonomischen Umständen, um das Verhalten zu verzerren und so erheblichen Schaden zu verursachen. 
• Biometrische Kategorisierungssysteme, die auf sensible Merkmale wie Rasse, politische Meinungen, Gewerkschaftsmitgliedschaft, religiöse oder philosophische Überzeugungen, Sexualleben oder sexuelle Orientierung schließen lassen (mit einigen Ausnahmen zum Kennzeichnen oder Filtern rechtmäßig erworbener Datensätze und für den Einsatz in der Strafverfolgung) 
• Soziale Bewertungssysteme, beispielsweise Systeme, die Einzelpersonen oder Gruppen auf der Grundlage ihres Sozialverhaltens oder ihrer persönlichen Eigenschaften bewerten oder klassifizieren und ihnen dadurch Schaden verursachen. 
• Bewertung des Risikos einer Person, Straftaten zu begehen, ausschließlich auf Grundlage von Profilen oder Persönlichkeitsmerkmalen (mit wenigen Ausnahmen) 
• Zusammenstellung von Gesichtserkennungsdatenbanken durch ungezieltes Scraping von Gesichtsaufnahmen aus dem Internet oder Videoüberwachungsaufnahmen
• Das Deuten von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen 
• Biometrische Fernidentifizierung in Echtzeit an öffentlichen Orten für die Strafverfolgung (mit bestimmten Ausnahmen).

Das Gesetz erlegt Systemen strenge Verpflichtungen für Systeme auf, die nach seiner Einschätzung eine erhebliche Bedrohung für die Gesundheit, Sicherheit oder die Grundrechte von Einzelpersonen darstellen und als Hochrisiko-KI (HRAI) eingestuft werden. Hierzu zählen: a) Systeme, die Sicherheitskomponenten eines Produkts sind, das anderen EU-Gesetzen unterliegt, und b) bestimmte Anwendungsfälle, etwa Systeme, die den Zugang oder die Zulassung zu Bildungseinrichtungen bestimmen, Arbeitnehmer anwerben oder auswählen oder die Leistung von Arbeitnehmern überwachen, die Berechtigung für öffentliche Unterstützung oder die Kreditwürdigkeit ermitteln, den Anspruch auf und die Preisgestaltung für Krankenversicherungen beurteilen usw.  

HRAI-Systeme müssen strenge regulatorische Anforderungen erfüllen. Dies umfasst z. B. die Einrichtung eines Systems zur Risikoverwaltung für die kontinuierliche Bewertung von Risiken und Minderungsstrategien während des gesamten Lebenszyklus eines HRAI-Systems, umfassende Data-Governance-Maßnahmen zur Prüfung und Bewertung von Verzerrungsrisiken, die Erstellung einer ausführlichen technischen Dokumentation vor der Markteinführung des Systems sowie fortlaufende Überwachungspflichten. 

Für andere KI-Systeme, die keine inakzeptablen oder hohen Risiken bergen, gelten nur begrenzte Anforderungen, beispielsweise Verpflichtungen im Bezug auf Transparenz. Das Gesetz schreibt beispielsweise vor, dass Personen informiert werden müssen, wenn sie mit einem KI-System wie einem Chatbot interagieren, und dass künstlich manipulierte Bilder, Audio- oder Videoinhalte klar gekennzeichnet werden müssen. Die meisten KI-Systeme auf dem Markt fallen wahrscheinlich in diese Kategorie.

Für Anbieter allgemeiner KI-Modelle und -Systeme wie OpenAI gelten spezielle Anforderungen. Diese müssen: 

• Eine detaillierte technische Dokumentation des Modells erstellen und diese dem AI-Büro auf Anfrage zur Verfügung stellen
• Eine Dokumentation für Bereitsteller zusammenstellen, die das GPAI-Modell zur Entwicklung ihrer eigenen KI-Systeme verwenden
• Richtlinien zur Einhaltung des EU-Urheberrechts implementieren
• Eine Zusammenfassung der Inhalte bereitstellen, die zum Trainieren des GPAI-Modells verwendet wurden. 

Zusätzlich müssen Anbieter von GPAI-Modellen mit Funktionen mit hohen Auswirkungen, die als „systemische Risiken“ gelten (z. B. Modelle, die mit einer großen Rechenleistung trainiert werden, technisch definiert als 10^25 FLOPs), Folgendes beachten: 

• Durchführung von Modellbewertungen, um systemische Risiken zu identifizieren und zu mindern, und kontinuierliche Beurteilung und Minderung der bestehenden Risiken
• Modelle an die EU-Kommission melden, die die Kriterien dieser Kategorie erfüllen
• Schwerwiegende Vorfälle überwachen und melden 
• Geeignete Cybersicherheitsmaßnahmen für das Modell und seine physische Infrastruktur implementieren

Anbieter von GPAI-Modellen können sich auf einen Verhaltenskodex stützen, um die Einhaltung der Anforderungen des KI-Gesetzes nachzuweisen. Diese Verhaltenskodizes werden voraussichtlich die Grundlage für die genauen Einzelheiten der Umsetzung dieser Verpflichtungen bilden, und wir werden mit dem KI-Büro der EU zusammenarbeiten, um diese Kodizes in den kommenden neun Monaten zu entwickeln. 

OpenAI verpflichtet sich zur Einhaltung des KI-Gesetzes der EU, und wir werden bei der Umsetzung des Gesetzes eng mit dem neu formierten KI-Büro der EU zusammenarbeiten. In den kommenden Monaten werden wir weiterhin technische Dokumentationen und andere Leitlinien für nachgelagerte Anbieter und Bereitsteller unserer GPAI-Modelle vorbereiten und gleichzeitig die Sicherheit der Modelle verbessern, die wir auf dem europäischen Markt und darüber hinaus anbieten.   

Wenn deine Organisation herausfinden möchte, wie sie das KI-Gesetz einhalten kann, sollten zunächst alle betroffenen KI-Systeme klassifiziert werden. Identifiziere die von deinem Unternehmen verwendeten GPAI- und anderen KI-Systeme, lege deren Klassifizierung fest und überlege, welche Verpflichtungen sich aus deinen Anwendungsfällen ergeben. Du solltest ebenfalls ermitteln, ob du im Hinblick auf die betreffenden KI-Systeme Anbieter oder Bereitsteller bist. Diese Fragen können durchaus komplex sein, daher empfiehlt es sich, sich an eine Rechtsberatung zu wenden.