Open-Source KI-Tools und EU AI Act: Ausnahmen und Pflichten

Art. 2 Abs. 12 und Erwägungsgrund 12 EU AI Act sehen Erleichterungen für Open-Source-KI-Modelle vor. Grundsätzlich gilt: Wer ein Open-Source-KI-Modell veröffentlicht (Weights, Parameter), muss nicht alle Dokumentationspflichten eines kommerziellen Anbieters erfüllen. Die Ausnahme gilt jedoch nicht für GPAI-Modelle mit systemischem Risiko – selbst wenn Open Source. Und: Wenn Sie ein Open-Source-Modell finetunen und kommerziell einsetzen, werden Sie zum Anbieter mit allen zugehörigen Pflichten.

Für konkrete Open-Source-Modelle gilt: Meta Llama ist unter Llama Community License veröffentlicht – die Ausnahme für systemisches Risiko greift nicht, da Llama 3 70B+ die Trainings-FLOP-Schwelle möglicherweise erreicht. Mistral AI veröffentlicht viele Modelle unter Apache 2.0. Als Nutzer solcher Modelle in Ihrer eigenen Infrastruktur sind Sie Betreiber und müssen den Einsatz im konkreten Kontext bewerten. Fallen Ihre Anwendungsgebiete in Anhang III, gelten alle Hochrisiko-Anforderungen – unabhängig davon, ob das Modell Open Source ist.

Wenn Sie Open-Source-Modelle selbst hosten (on-premise oder private Cloud), haben Sie mehr Kontrolle über Datenschutz und Compliance. Vorteile: keine Datenübertragung an externe Anbieter, volle Kontrolle über Logging und Monitoring, anpassbare Sicherheitsmaßnahmen, potenziell DSGVO-freundlicher als Cloud-Dienste. Herausforderungen: Sie tragen die volle Verantwortung für die technische Dokumentation, Risikomanagement und menschliche Aufsichtsmechanismen müssen selbst implementiert werden, höherer operativer Aufwand.

Kritisch: Wenn Sie ein Open-Source-Modell modifizieren (Finetuning, RLHF, Quantisierung für spezifische Zwecke) und diese modifizierte Version kommerziell oder öffentlich einsetzen, können Sie nach Art. 3 Nr. 3 EU AI Act zum Anbieter werden. Als Anbieter müssen Sie alle Anforderungen erfüllen: technische Dokumentation, Konformitätsbewertung bei Hochrisiko, CE-Kennzeichnung, EU-Datenbankregistrierung. Die Grenze zwischen "Einsatz" und "Entwicklung" eines Open-Source-Modells ist fließend – lassen Sie dies juristisch bewerten.

Praktische Schritte für den rechtskonformen Einsatz von Open-Source-KI: (1) Klären Sie, ob Ihr Einsatzfall unter den Geltungsbereich des EU AI Act fällt, (2) Prüfen Sie Anhang III für den konkreten Einsatzbereich, (3) Dokumentieren Sie Ihre Modellauswahl und Begründung, (4) Implementieren Sie interne Kontrollmechanismen auch für Open-Source-Modelle, (5) Prüfen Sie die Lizenz auf kommerzielle Nutzbarkeit, (6) Bei Hochrisiko: erstellen Sie technische Dokumentation und führen Sie eine Konformitätsbewertung durch. Open Source bedeutet nicht "keine Compliance-Pflichten" – es bedeutet andere und oft geringere Anbieter-Pflichten, aber gleiche Betreiber-Pflichten.