EAllgemein

EU AI Act: Foundation Models (Basismodelle)

Basismodelle mit breiten Fähigkeiten; besondere Transparenzpflichten

EU AI Act: Foundation Models (Basismodelle) sind nach dem EU AI Act KI-Modelle mit allgemeinen, breiten Fähigkeiten, die für viele unterschiedliche Zwecke eingesetzt und in zahlreiche Anwendungen eingebaut werden können (z. B. Text, Code, Bilder oder Audio). Für Anbieter solcher Basismodelle gelten besondere Transparenz- und Informationspflichten – bei besonders leistungsfähigen Modellen (GPAI mit systemischem Risiko) zusätzlich strengere Sicherheits- und Risikomanagement-Anforderungen.

Was bedeutet „Foundation Model“ im EU AI Act?

„Foundation Models“ (oft auch General-Purpose AI / GPAI) sind nicht auf einen einzelnen Use Case trainiert, sondern dienen als Grundlage für viele nachgelagerte Systeme. Typische Beispiele sind Large Language Model (LLM)-Modelle, die als Chatbot, in einer Suchfunktion, als Schreibassistenz oder als Agenten-Backend genutzt werden können. Auch multimodale Basismodelle (Text + Bild + Audio) fallen darunter, etwa in Multimodale KI (Multimodal AI)-Setups.

Wie funktioniert das in der Praxis (Wertschöpfungskette)?

  • Anbieter trainieren oder entwickeln ein Basismodell und stellen es z. B. via API oder als Gewichte bereit.
  • Nachgelagerte Anbieter/Integratoren bauen darauf Anwendungen, Workflows oder Produkte (z. B. ChatGPT-ähnliche Assistenz, AI Agents (KI-Agenten), Automations in n8n).
  • Deployers/Betreiber nutzen diese Anwendungen im Unternehmen (z. B. Support, HR, Marketing, Softwareentwicklung).

Der EU AI Act versucht, Pflichten entlang dieser Kette zu verteilen: Basismodell-Anbieter müssen Informationen liefern, damit nachgelagerte Akteure ihre eigenen Compliance-Pflichten erfüllen können.

Welche Transparenzpflichten sind typisch?

Der Kern: Basismodell-Anbieter müssen ausreichend Dokumentation und Hinweise bereitstellen, damit andere das Modell verantwortungsvoll einsetzen können. Dazu gehören – je nach Einordnung – u. a.:

  • Technische Dokumentation (Fähigkeiten, Grenzen, beabsichtigte Nutzung, bekannte Risiken).
  • Informationen für Integratoren, z. B. zu Datenquellen/Trainingsmethoden auf hoher Ebene, Evaluations- und Sicherheitsmaßnahmen.
  • Hinweise zu Output-Risiken wie Halluzinationen (Hallucinations) oder Missbrauch (z. B. Social Engineering).
  • Transparenz rund um Urheberrecht: z. B. eine Zusammenfassung der verwendeten Trainingsdaten (hochlevelig) und eine Policy zur Einhaltung von EU-Urheberrechtsregeln (siehe Copyright & KI (Urheberrecht)).

Was ist „systemisches Risiko“ bei Basismodellen?

Der EU AI Act unterscheidet Basismodelle, die aufgrund ihrer Leistungsfähigkeit und Verbreitung systemische Risiken auslösen können (z. B. großflächige Desinformation, Cyber-Missbrauch, kritische Abhängigkeiten). Für solche Modelle sind zusätzliche Pflichten üblich, etwa strengere Risikoanalysen, Red-Teaming (siehe Red Teaming (KI-Red-Teaming)) und kontinuierliches Monitoring (siehe Model Monitoring & Observability (LLMOps)).

Warum ist das wichtig (für Unternehmen & Teams)?

Wenn du Basismodelle in Produkte oder Automationen integrierst, beeinflusst die EU-AI-Act-Einordnung direkt, welche Nachweise, Dokumentationen und Sicherheitsmaßnahmen du brauchst. Praktisch heißt das: bessere Modell-Dokumente (z. B. Model Cards (Modellkarten)), klarere Governance (siehe AI Governance), und technische Schutzmaßnahmen wie Guardrails (KI-Leitplanken), PII Redaction (PII-Schwärzung) oder DLP-Kontrollen (siehe Data Loss Prevention (DLP) für KI).

Beispiel

Ein Unternehmen nutzt ein Basismodell via API, kombiniert es mit RAG (Retrieval-Augmented Generation) und einer Vektordatenbank (Vector Database), um interne Wissensartikel zu beantworten. Der Basismodell-Anbieter muss dafür relevante Infos zur sicheren Nutzung liefern; der Integrator muss zusätzlich sicherstellen, dass das Gesamtsystem (z. B. Datenschutz, Zugriffskontrollen, Prompt-Schutz wie Prompt Injection) die Anforderungen erfüllt.