Ist Open-Source-KI nicht vom AI Act reguliert?
Nur teilweise. Die Open-Source-Ausnahme des AI Act gilt für Systeme mit minimalem und begrenztem Risiko. Bei Hochrisiko-Anwendungen gelten dieselben Pflichten wie für kommerzielle Modelle.
Open-Source-KI erlebt einen Aufschwung, von Llama über Mistral bis DeepSeek. Die verbreitete Annahme, Open-Source sei regulierungsfrei, stimmt nur eingeschränkt. Der AI Act unterscheidet nach Anwendung, nicht nach Lizenz.
Wann Open-Source unreguliert bleibt
Bei Systemen der Risikoklassen „minimal" und „begrenzt" gibt es im AI Act eine Ausnahme für Open-Source-Modelle. Das gilt für:
- Allgemeine Forschung und Entwicklung
- Hobbyanwendungen
- Systeme, die nicht in regulierten Bereichen eingesetzt werden
Wann Open-Source genauso streng reguliert ist
Sobald das Modell in einem Hochrisiko-Bereich eingesetzt wird, gelten alle AI-Act-Pflichten, unabhängig von der Lizenz. Hochrisiko heißt beispielsweise:
- Personalauswahl und HR-Entscheidungen
- Kreditentscheidungen
- Medizinische Diagnose oder Behandlungsunterstützung
- Strafverfolgung und Justiz
- Kritische Infrastruktur
Wer ein Open-Source-Modell in diesen Bereichen einsetzt, übernimmt als Betreiber die gleichen Dokumentations-, Transparenz- und Kontrollpflichten wie bei kommerzieller KI.
Was das für Unternehmen bedeutet
Open-Source bringt Kostenvorteile und Kontrolle über die Infrastruktur. Es entbindet aber nicht von Compliance. Wer ein Llama-Modell für HR-Automatisierung aufsetzt, hat dieselben Pflichten wie ein Unternehmen, das OpenAI nutzt.
Der Prüfschritt
Vor der Entscheidung für Open-Source die Risikoklasse der geplanten Anwendung prüfen. Danach entscheidet sich, ob die Lizenz einen Compliance-Vorteil bringt oder nicht.