Wir bedanken uns vorab bei den Autor*innen Maximilian Vonthien, Sara Kapur und David Rappenglück sowie den Experten Philipp Heinzke und Björn Herbers von CMS sowie Oliver Stuke und Lars Bennek von Capgemini Invent für die Zusammenarbeit.

Open Source Modellen genießen im AI Act sowie im Code of Practice eine Sonderstellung: Anbieter solcher Modelle sind von den Pflichten nach Artikel 51 bis 56 AI Act befreit. Der Code of Practice sowie die begleitenden Guidelines der Kommission (https://digital-strategy.ec.europa.eu/en/library/guidelines-scope-obligations-providers-general-purpose-ai-models-under-ai-act) finden auf Open Source Modelle keine Anwendung. Das bedeutet jedoch nicht, , dass Open Source Modelle gänzlich out of Scope des AI Act lägen. Welche Ausnahmen und Gegenausnahmen gelten werden im Folgenden dargestellt.

Abbildung 1: Open Source Anbieter von GPAI unter dem EU AI Act und dem Code of Practice

Voraussetzungen für die Open Source Qualifikation

Die Ausnahme nach Artikel 53 Abs. 2 AI Act setzt voraus, dass das Modell:

  1. unter einer freien und quelloffenen Lizenz veröffentlicht wird, die Zugang, Nutzung, Änderung und Verbreitung gestattet, und
  2. folgende technische Informationen öffentlich zugänglich gemacht werden:
    • Parameter einschließlich der Gewichte
    • Informationen über die Modellarchitektur
    • Informationen über die Modellnutzung

Erwägungsgrund 102 rechtfertigt diese regulatorische Privilegierung mit der Annahme eines “hohen Maßes an Transparenz und Offenheit“.

Monetarisierung als Ausschlusskriterium

Erwägungsgrund 103 normiert eine weitere Einschränkung: Die bloße Bereitstellung über offene Repositories (z.B. GitHub, GitLab, Hugging Face) begründet nicht automatisch die Open Source Qualifikation.

Die Ausnahme nach Artikel 53 Abs. 2 AI Act gilt daher nicht bei:

  1. Direkter Monetarisierung durch Preissetzung, oder
  2. Indirekter Monetarisierung, z.B. Technical Support, Zusatzdienste (API-Zugang, erweiterte Features) oder Plattformbereitstellung (z.B. Managed Services), oder
  3. Datenmonetarisierung durch Verwendung personenbezogener Daten (außer bei Nutzung für Sicherheit, Kompatibilität oder Interoperabilität).

Ausnahme von der Ausnahme: Systemisches Risiko

Open Source Modelle mit systemischem Risiko (ab 10²⁵ FLOPs Trainingsaufwand gemäß Artikel 51 Abs. 2 AI Act) fallen nicht unter die Ausnahme. Diese Modelle unterliegen ausschließlich den Transparenzpflichten nach Artikel 53 Abs.1 AI Act, nicht jedoch den weitergehenden Pflichten nach Artikel 55 AI Act (insbesondere keine Pflicht zur Bewertung und Minderung systemischer Risiken, zum adversarial testing oder zur Cybersicherheit). Dies stellt eine erhebliche regulatorische Erleichterung gegenüber geschlossenen Modellen mit systemischem Risiko dar.

Compliance-Strategie für Open Source Anbieter

Die Privilegierung nach Artikel 53 Abs. 2 AI Act gilt nur wenn kein systemisches Risiko besteht. Beachtenswert ist dabei, dass der Schwellenwert von 10²⁵ FLOPs schnell durch technologische Entwicklung oder durch Modellverbesserungen überschritten werden kann.

Das ist gerade für die Einhaltung der Pflichten relevant, Denn eine nachträgliche Dokumentation zur Erfüllung der Transparenzpflichten des Artikel 53 Abs.1 AI Act ist praktisch schwer umsetzbar, insbesondere wenn während des Trainings keine systematische Datenerfassung erfolgte.

Empfehlenswert ist daher eine proaktive Compliance-Strategie, die folgendes umfassen sollte:

  • Orientierung an den drei Kapiteln des Code of Practice
  • Dokumentation gemäß den Guidelines der Kommission
  • Erhebung der im Model Documentation Form geforderten Informationen, insbesondere:
    • Art der Lizenzierung
    • Trainingsprozess, -daten und -methoden
    • Computational Resources
    • Energieverbrauch (Training und Inferenz)

Diese “vorweggenommene Compliance” minimiert das Risiko einer späteren Rechtsverletzung und erleichtert eine eventuelle Neueinstufung.

Welche Modelle qualifizieren als Open Source?

Die kumulative Anwendung der Tatbestandsmerkmale führt zu einer engen Auslegung.

Als Open-Source-Modelle dürften in erster Linie solche gelten, die vollständig frei von kommerziellen Interessen  sind und ihre Trainingsdaten, Gewichte etc. offenlegen. Viele der derzeit als “Open Source” bezeichneten Modelle mit kommerziellem Background dürften hingegen an den Anforderungen scheitern.

Bewertung und Ausblick

Im Ergebnis ist davon auszugehen, dass ein Großteil der als “Open Source” vermarkteten GPAI-Modelle die rechtlichen Anforderungen des AI Act nicht erfüllt. Daraus ergibt sich Folgendes:

  1. Für Anbieter: Überprüfung der Geschäftsmodelle auf Vereinbarkeit mit Artikel 53 Abs. 1 lit. b) AI Act
  2. Für Downstream-Nutzer: Keine Privilegierung bei Finetuning nicht-qualifizierter Modelle (vgl. vorheriger Artikel zu Deployer/Provider-Übergang)
  3. Für den Markt: Voraussichtliche Neuordnung der “Open Source AI”-Landschaft in den kommenden Monaten

Die tatsächliche Rechtsanwendung durch Marktüberwachungsbehörden und die Rechtsprechung des EuGH werden die praktische Tragweite der Norm weiter präzisieren.