Der EU AI Act räumt Open Source GPAI-Modellen eine Sonderstellung ein – jedoch nur unter strengen Bedingungen. Wir beleuchten, welche Anforderungen erfüllt sein müssen, wo Fallstricke lauern und wie Anbieter durch proaktive Compliance rechtliche Risiken minimieren können.

Wir bedanken uns vorab bei Autor*innen Maximilian Vonthien, Sara Kapur und David Rappenglück sowie den Experten Philipp Heinzke und Björn Herbers von CMS sowie Oliver Stuke und Lars Bennek von Capgemini Invent für die Zusammenarbeit.

Rechtliche Sonderstellung von Open Source Modellen

Open Source Modellen wird im AI Act sowie im Code of Practice eine Ausnahmestellung eingeräumt: Anbieter solcher Modelle sind von den Pflichten nach Artikel 51 bis 56 AI Act befreit. Der Code of Practice sowie die begleitenden Guidelines der Kommission (https://digital-strategy.ec.europa.eu/en/library/guidelines-scope-obligations-providers-general-purpose-ai-models-under-ai-act) ist auf Open Source Modelle entsprechend nicht anwendbar. Allerdings kann nicht davon ausgegangen werden, dass Open Source Modelle gänzlich out of Scope des AI Acts lägen. Welche Ausnahmen und Gegenausnahmen gelten werden im Folgenden dargestellt.

Abbildung 1: Open Source Anbieter von GPAI unter dem EU AI Act und dem Code of Practice

Voraussetzungen für die Open Source Qualifikation

Die Ausnahme nach Artikel 53 Absatz 1 lit. b) AI Act setzt voraus, dass das Modell:

  1. Unter einer freien und quelloffenen Lizenz veröffentlicht wird, die Zugang, Nutzung, Änderung und Verbreitung gestattet, und
  2. Folgende technische Informationen öffentlich zugänglich gemacht werden:
    • Parameter einschließlich der Gewichte
    • Informationen über die Modellarchitektur
    • Informationen über die Modellnutzung

Erwägungsgrund 102 präzisiert den Hintergrund: Die Annahme eines “hohen Maßes an Transparenz und Offenheit” rechtfertigt die regulatorische Privilegierung.

Monetarisierung als Ausschlusskriterium

Erwägungsgrund 103 normiert eine weitere Einschränkung: Die bloße Bereitstellung über offene Repositories (z.B. GitHub, GitLab, Hugging Face) begründet nicht automatisch die Open Source Qualifikation.

Die Ausnahme nach Artikel 53 Absatz 1 lit. b) AI Act gilt nicht bei:

  1. Direkter Monetarisierung durch Preissetzung
  2. Indirekter Monetarisierung durch:
    • Technical Support
    • Zusatzdienste (z.B. API-Zugang, erweiterte Features)
    • Plattformbereitstellung (z.B. Managed Services)
  3. Datenmonetarisierung durch Verwendung personenbezogener Daten
    • Ausnahme: Nutzung ausschließlich für Sicherheit, Kompatibilität oder Interoperabilität

Ausnahme von der Ausnahme: Systemisches Risiko

Open Source Modelle mit systemischem Risiko (ab 10²⁵ FLOPs Trainingsaufwand gemäß Art. 51 Abs. 1 lit. b AI Act) fallen nicht unter die Ausnahme (Erwägungsgrund 104). Diese Modelle unterliegen ausschließlich den Transparenzpflichten nach Artikel 53 Absatz 1 AI Act, nicht jedoch den weitergehenden Pflichten nach Artikel 55 (insbesondere keine Pflicht zur Bewertung und Minderung systemischer Risiken, zum adversarial testing oder zur Cybersicherheit). Dies stellt eine erhebliche regulatorische Erleichterung gegenüber geschlossenen Modellen mit systemischem Risiko dar.

Compliance-Strategie für Open Source Anbieter

Die Privilegierung nach Artikel 53 Absatz 1 lit. b) AI Act gilt nur solange kein systemisches Risiko besteht. Der Schwellenwert von 10²⁵ FLOPs kann durch technologische Entwicklung oder durch Modellverbesserungen überschritten werden.

Regulatorisches Risiko: Eine nachträgliche Dokumentation zur Erfüllung der Transparenzpflichten des Artikel 53 Absatz 1 AI Act kann sich als praktisch unmöglich erweisen, insbesondere wenn während des Trainings keine systematische Datenerfassung erfolgte. Erwägungsgrund 112 erkennt diese Problematik ausdrücklich an: “da es nach der Veröffentlichung des Open-Source-Modells schwieriger sein kann, die erforderlichen Maßnahmen zur Einhaltung der Verpflichtungen gemäß dieser Verordnung umzusetzen.”

Empfehlung: Eine proaktive Compliance-Strategie sollte umfassen:

  • Orientierung an den drei Kapiteln des Code of Practice
  • Dokumentation gemäß den Guidelines der Kommission
  • Erhebung der im Model Documentation Form geforderten Informationen, insbesondere:
    • Art der Lizenzierung
    • Trainingsprozess, -daten und -methoden
    • Computational Resources
    • Energieverbrauch (Training und Inferenz)

Diese “vorweggenommene Compliance” minimiert das Risiko einer späteren Rechtsverletzung und erleichtert eine eventuelle Neueinstufung.

Welche Modelle qualifizieren als Open Source?

Die kumulative Anwendung der Tatbestandsmerkmale führt zu einer restriktiven Auslegung:

Voraussichtlich qualifiziert wären Modelle, die gänzlich von kommerziellen Interessen losgelöst sind und Trainingsdaten, Gewichte etc. offen legen. Zahlreiche “Open Source” Modelle mit kommerziellem Background dürften an den Monetarisierungsausschlüssen scheitern.

Bewertung und Ausblick

Dies führt dazu, dass ein Großteil der als “Open Source” vermarkteten GPAI-Modelle die rechtlichen Anforderungen des AI Act nicht erfüllt. Daraus ergibt sich Folgendes:

  1. Für Anbieter: Überprüfung der Geschäftsmodelle auf Vereinbarkeit mit Art. 53 Abs. 1 lit. b) AI Act
  2. Für Downstream-Nutzer: Keine Privilegierung bei Finetuning nicht-qualifizierter Modelle (vgl. vorheriger Artikel zu Deployer/Provider-Übergang)
  3. Für den Markt: Voraussichtliche Neuordnung der “Open Source AI”-Landschaft in den kommenden Monaten

Die tatsächliche Rechtsanwendung durch Marktüberwachungsbehörden und die Rechtsprechung des EuGH werden die praktische Tragweite der Norm präzisieren.