AI Act: Die Ausnahmen für Open Source sind keine echten Ausnahmen
Von Befürworter:innen als Meilenstein der Regulierung gefeiert, von Gegner:innen als Innovationsbremse kritisiert: Der AI Act der EU wird ab Ende 2024 mit Verboten für besonders gefährliche AI-Anwendungen, hohen Auflagen für Hochrisiko-KI und vielen Vorschriften für all jene Unternehmen kommen, die AI-Modelle anbieten oder mit ihnen arbeiten. Die EU-Staaten wollen aber auch, das zumindest Open Source-Modelle von der KI-Verordnung ausgenommen sein sollen.
„Diese Verordnung gilt nicht für KI-Systeme, die unter freien und Open-Source-Lizenzen freigegeben werden, es sei denn, sie werden als KI-Systeme mit hohem Risiko in Verkehr gebracht oder in Betrieb genommen oder als ein KI-System, das unter Artikel 5 oder 50 fällt“, heißt es in einer korrigierten und frisch veröffentlichten Version des AI Act. Das klingt erst mal gut, denn immerhin gibt es bereits eine immer breitere Auswahl an offenen bzw. Open-Source-AI-Modellen, die veröffentlicht wurden.
Open Source fällt trotzdem unter Verbote und Hochrisiko
Wenn man sich aber ansieht, was in der EU künftig alles als Hochrisiko-KI gilt bzw. unter Artikel 5 oder Artikel 50 fällt, dann sieht man auch, dass die Ausnahmen nur für bestimmte Open-Source-Modelle gelten. Klar ist natürlich, dass verbotene AI-Praktiken nicht erlaubt werden, nur weil sie mit Open Source gemacht werden. Dazu gehören:
- biometrische Kategorisierungssysteme, die auf sensiblen Merkmalen beruhen
- ungezielte Auslesen von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsaufnahmen zur Erstellung von Gesichtserkennungsdatenbanken
- Erkennung von Emotionen am Arbeitsplatz und in der Schule
- Social Scoring
- prädiktive Polizeiarbeit (wenn sie ausschließlich auf der Erstellung von Profilen oder der Bewertung von Merkmalen einer Person beruht)
- KI, die menschliches Verhalten manipuliert oder die Schwachstellen von Menschen ausnutzt
Zudem gibt es dann eben die Hochrisikobereiche, in denen es auch für Open-Source-AI keine Ausnahmen gibt, die da wären:
- kritische Infrastrukturen
- allgemeine und berufliche Bildung
- Beschäftigung, wesentliche private und öffentliche Dienstleistungen (z. B. Gesundheitswesen, Banken)
- bestimmte Systeme in den Bereichen Strafverfolgung, Migration und Grenzverwaltung
- Justiz und demokratische Prozesse (z. B. Beeinflussung von Wahlen)
Kommerzialisierung von Open Source killt Ausnahmen
Diese Bereiche sind allesamt sehr sehr breit und umfassen viele der wichtigsten gesellschaftlichen Bereiche, von Energie über Gesundheit und Bildung bis hin zu Banken und dem Rechtssystem. Auch demokratische Prozesse und die Beeinflussung von Wahlen sind umfasst – jedes große Medium könnte als demnach ebenfalls darunter fallen.
Aber es kommt noch dicker, vor allem für jene Firmen, die sich dachten, dass sie Open Source-AI unkomplizierter einsetzen könnten als proprietäre AI-Modelle. Denn wenn man sie kommerziell anbietet oder einsetzt (also sie gegen Gebühr anbietet oder sonstwie monetarisiert), dann gelten die Open-Source-Ausnahmen auch nicht. So heißt es in dem EU-Text:
„For the purposes of this Regulation, AI components that are provided against a price or otherwise monetised, including through the provision of technical support or other services, including through a software platform, related to the AI component, or the use of personal data for reasons other than exclusively for improving the security, compatibility or interoperability of the software, with the exception of transactions between microenterprises, should not benefit from the exceptions provided to free and open-source AI components.“
Immerhin, so heißt es weiter: „Die Tatsache, dass KI-Komponenten über offene Repositories zur Verfügung gestellt werden, sollte an sich noch keine Monetarisierung darstellen“. Man kann also Open-Source-Modelle anderen via Github oder Hugging Face zur Verfügung stellen, ohne gleich wieder aus den Ausnahmen rauszufallen. Auch wichtig zu wissen: Nur, weil ein AI-Modell Open Source ist, schützt das den Anbieter nicht davor, eine Zusammenfassung der für das Modelltraining verwendeten Inhalte zu veröffentlichen und das EU-Urheberrecht einzuhalten.
Bedeutet unterm Strich: Sehr viele Open Source-AI-Anwendungen werden trotzdem unter die strengen Regularien des AI Acts fallen.
Wer mit Open Source arbeitet, bekommt meist die schlechteren AI-Modelle