Themenbild Services der RTR

AI Act Chatbot: Juristische Dokumentation

Inhaltsverzeichnis

    1 Rechtliche Einschätzung nach dem AI Act

    1.1 Sachverhalt

    Die österreichische Rundfunk- und Telekom-Regulierungs-GmbH (kurz: RTR GmbH) bietet für die Öffentlichkeit einen über ein Web-Interface zugänglichen Chatbot zum Thema „AI Act“ in deutscher Sprache an. Dieser beantwortet Fragen von Nutzer:innen zum AI Act inhaltlich. Die Antworten sollen als eine erste Hilfestellung dienen und ziehen keine Rechtsfolgen nach sich. Technisch ist dieser Chatbot als „RAG“ (Retrieval-Augmented Generation)-System umgesetzt. Als LLM wird Mistral Small 3 eingesetzt.

    Das Gesamtsystem ist als Open Source-Software (Apache-2.0-Lizenz) auf GitHub veröffentlicht.

    1.2 Sachlicher und örtlicher Anwendungsbereich

    1.2.1 Örtlicher Anwendungsbereich

    Grundsätzlich gilt für die Anwendbarkeit des AI Acts das Marktortprinzip, d.h. es gelten die Regelungen, welche für den jeweiligen Markt, auf welchem das Produkt in Verkehr gebracht wird, und zwar unabhängig vom Niederlassungsort. Dabei ist ausschlaggebend, dass das Produkt in einem Mitgliedstaat der Europäischen Union bereitgestellt oder in Betrieb genommen wird, Art. 2 Abs. 1 lit. a AIA.

    Der AI Act Chatbot wird von der RTR-GmbH, welche ihren Sitz in Wien, somit einem EU-Mitgliedsstaat hat entwickelt, und auf der Webseite dieser implementiert und der Öffentlichkeit zur Verfügung gestellt. Da der AI Act Chatbot in der EU bereitgestellt und in Betrieb genommen wird, ist der örtliche Anwendungsbereich eröffnet.

    1.2.2 Sachlicher Anwendungsbereich
    1.2.2.1 Einstufung als KI-System

    Ein RAG-System (Abkürzung „RAG“ steht für Retrieval-Augmented-Generation) basiert im Wesentlichen auf einem Large Language Modell System (sog. „LLM“) zur Auffindung relevanter Datenquellen), dass durch zusätzliche externe Wissensquellen (zB Datenbanken) erweitert wird, ohne dass das LLM aufwändig neu mit diesen zusätzlichen Daten trainiert werden muss. Die Anfangsbuchstaben RAG stehen für die einzelnen Arbeitsschritte, die das RAG-System durchläuft, um eine Antwort auf eine Benutzeranfrage zu generieren, nämlich relevante Quellen erheben („Retrieval”), Prompt erstellen („Augment“) und Antwort generieren („Generate“).

    Der Vollständigkeit halber ist auch zu erwähnen, dass es sich bei einem LLM um ein KI-Modell mit allgemeinen Verwendungszweck nach Art 3 Abs 63 AI Act handelt.  Wird ein solches KI-Modell in ein KI-System integriert, ist dieser als KI-System gem. Art 3 Z 1 AI Act einzustufen ist.Ein KI-System ist ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, die Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.

    Der von der auf der Website der RTR GmbH in ihrer Funktion als KI-Servicestelle implementierte AI Act Chatbot dient als Informationsquelle zu regulatorischen Fragen iZm dem AI Act. Die vom AI Act Chatbot verwendeten externen Wissensquellen sind der Gesetzestext des AI Acts und die Veröffentlichungen der KI-Servicestelle. Zusätzlich enthält der Chatbot eine Logik zur Auswahl von relevanten Quellen (Auffinden mittels Vektorsuche der semantischen Ähnlichkeit), sowie ein für Endnutzer:innen zugängliches User Interface. Der AI Act Chatbot ist daher als KI-System einzustufen. Beim AI Act Chatbot der RTR-GmbH handelt es sich offensichtlich um einen Chatbot, der die Fragen eines Users zum AI Act mittels vordefiniertem Prompt generiert.

    Der AI Act Chatbot unterliegt als KI-System damit grundsätzlich sachlich dem Anwendungsbereich des AI Acts.

    1.2.2.2 Ausnahme für Open Source?

    Im ersten Schritt ist zu prüfen, ob eventuell Ausnahmen vom sachlichen Anwendungsbereich des AI Acts erfüllt sind. Aufgrund der Veröffentlichung des vollständigen Source Codes unter einer Open Source-Lizenz ist konkret Art 2 Abs 12 AI Act zu prüfen. Die zu Zwecken der Förderung von freier Forschung und Entwicklung eingeführte Norm regelt, dass KI-Systeme, welche unter freien und quelloffenen Lizenzen (Open Source) bereitgestellt werden, vom sachlichen Anwendungsbereich des AI-Acts ausgenommen sind. Diese Ausnahme gilt allerdings nicht, wenn Hochrisiko-KI-Systeme (Art 6, Anhang I und III AI Act), verbotene KI-Systeme (Art 5 AI Act) und KI-Systeme mit begrenztem Risiko (Art 50 AI Act) vorliegen (vgl.: Risikostufen von KI-Systemen).

    Daher muss hier zunächst festgestellt werden, ob der AI Act Chatbot einem in Art 2 Z 12 AI Act genannten Arten von KI-Systemen zuordenbar ist. Hierfür ist zunächst zu prüfen, ob der AI Act Chatbot unter einen in Art 5 AI Act genannten Tatbestand subsumierbar ist.

    In Art 5 AI Act sind die verbotenen Praktiken im KI-Bereich geregelt. Da der von der RTR GmbH entwickelte AI Act Chatbot unter keinen Tatbestand der gegenständlichen Rechtsnorm subsumierbar ist, liegt kein verbotenes KI-System nach Art 5 AI Act vor.

    Im nächsten Schritt ist zu prüfen, ob ein Hochrisiko-KI-System gemäß Art 6 AI Act vorliegt. Ein Hochrisiko-KI-System stellt im Hinblick auf die Wahrscheinlichkeit eines Schadenseintritts und auch des Schadensausmaßes an individuellen oder öffentlichen Interessen ein hohes Risiko dar. Hochrisiko-KI-Systeme gemäß Art 6 AI Act sind allerdings aufgrund des bestehenden erhöhten Risikos nicht per se verboten, sondern ihr Inverkehrbringen bzw ihre Inbetriebnahme ist nur unter Einhaltung bestimmter Anforderungen erlaubt. Derartige KI-Systeme sind unter anderem im Anhang I und III des AI Acts aufgelistet.

    Ein KI-System gilt dann als Hochrisiko-KI-System, wenn die in Art 6 Abs 1 lit a und b  sowie in Abs 2 AI Act aufgezählten Bedingungen erfüllt sind. In Art 6 Abs 1 lit a und b AI Act wird definiert, dass ein Hochrisiko-KI-System vorliegt, wenn das KI-System als Sicherheitsbauteil eines der unter Anhang I der Harmonisierungsrechtsvorschriften der Union fallenden Produkts verwendet werden soll oder das KI-System selbst ein solches Produkt ist. In Art 6 lit b AI Act wird geregelt, dass ein Produkt, dessen Sicherheitsbauteil das KI-System ist oder das KI-System selbst als Produkt im Hinblick auf das Inverkehrbringen oder die Inbetriebnahme dieses Produkts gemäß den in Anhang I aufgelisteten Harmonisierungsrechtsvorschriften der Union einer Konformitätsbewertung unterzogen werden muss. Unter Sicherheitsbauteil versteht man laut der Legaldefinition in Art 3 Z 14 einen Bestandteil eines Produkts oder KI-Systems, der eine Sicherheitsfunktion für dieses Produkt oder KI-System erfüllt oder dessen Ausfall oder Störung die Gesundheit und Sicherheit von Personen oder Eigentum gefährdet.

    Zusätzlich zu den oben ausgeführten Bedingungen sind gem. Art 6 Abs 2 AI Act jene in Anhang III des AI Acts aufgezählten KI-Systeme als hochriskant einzustufen.

    Da den obigen Ausführungen zu Folge der AI Act Chatbot weder selbst als Sicherheitsbauteil einzustufen ist, noch ein Produkt nach Anhang I des AI Acts darstellt und auch nicht unter die in Anhang III genannten Anwendungsfälle subsumierbar ist, liegt kein als Hoch-Risiko-KI-System einzustufendes KI-System vor.

    Aus dem AI Act sind für KI-Systeme, die keine Hochrisiko-Systeme sind, nur in explizit geregelten Fällen, rechtliche Vorgaben abzuleiten. Diese sind ua KI-Systeme zur direkten Interaktion mit natürlichen Personen (Art 50 Abs 1 AI Act) und KI-Systeme, die synthetische Audi-, Bild-, Video- und Textinhalte erzeugen bzw manipulieren (Art 50 Abs 2, Art 50 Abs 4 AI Act).

    Da der AI Act Chatbot direkt mit natürlichen Personen interagiert und auf konkrete im Hinblick auf im Zusammenhang mit dem AI Act stehende Fragen automatische Antworten anhand der dem RAG-System zur Verfügung stehenden externen Wissensquellen (Rechtstext des AI Acts und Veröffentlichungen der KI-Servicestelle) generiert, sind die Tatbestände des Art 50 Abs 1 und Abs 2 zu prüfen. Näheres dazu ist dem Punkt 1.4. zu entnehmen.

    1.2.2.3 KI-Modell mit allgemeinem Verwendungszweck, KI-System mit allgemeinen Verwendungszweck

    Abschließend ist zu prüfen ob der AI Act Chatbot unter die Legaldefinition „KI-Systeme mit allgemeinem Verwendungszweck“ gem Art 3 Z 66 AI Act bzw „KI-Modelle mit allgemeinem Verwendungszweck gem Art 3 Z 63 AI Act subsumierbar ist.

    KI-Systeme mit allgemeinem Verwendungszweck sind KI-Systeme, die auf einem KI-Modell mit allgemeinem Verwendungszweck beruhen und in der Lage sind einer Vielzahl von Zwecken sowohl für die direkte Verwendung als auch für die Integration in andere KI-Systeme zu dienen.

    KI-Modelle mit allgemeinem Verwendungszweck (sog „GPAI-Modelle“)sind KI-Modelle, die eine erhebliche allgemeine Verwendbarkeit aufweisen und in der Lage sind, unabhängig von der Art und Weise ihres Inverkehrbringens ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen und in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden können. Davon ausgenommen sind zu Forschungs- und Entwicklungszwecken oder Konzipierung von Prototypen eingesetzte KI-Modelle. Die Besonderheit steckt bei diesen darin, dass sie verändert und KI-Systemen als Basis zur Verfügung gestellt werden können.

    Der AI Act Chatbot beruht zwar auf einem LLM, dient aber nur einem eingeschränkten bzw expliziten Zweck, nämlich der Beantwortung von Fragen zum AI Act. Somit ist weder der Tatbestand des Art 3 Z 66 noch Z 63 AI Act erfüllt. Während das verwendete LLM ein KI-Modell mit allgemeinem Verwendungszweck darstellt, ist der AI Act Chatbot aufgrund des eingeschränkten Zwecks weder als KI-System mit allgemeinem Verwendungszweck noch als KI-Modell mit allgemeinem Verwendungszweck einzustufen.

    1.2.2.4 Zwischenergebnis

    Da es sich beim AI Act Chatbot um ein KI-System handelt, das den Bestimmungen des Artikel 50 unterliegt (siehe unten), kommt die Ausnahme für freie und quelloffene Lizenzen nicht zur Anwendung. Auch der sachliche Anwendungsbereich für den AI Act ist damit eröffnet.

    1.3 Risikostufe

    Für KI-Systeme bestehen verschiedene Risikostufen, je nach dem, welchen potenziellen Einfluss sie haben oder welche Gefahren von ihnen ausgehen können.

    Angesichts der oben genannten Gründe handelt es sich beim AI Act Chatbot um ein KI-System mit begrenztem Risiko. Damit gehen gewisse Transparenzpflichten nach dem AI Act einher.  Je nach Rolle in der Wertschöpfungskette (Art 25 AI Act) müssen Anbieter und Betreiber solcher KI-Systeme Maßnahmen ergreifen, die für die Erfüllung dieser Pflichten notwendig sind. 

    Zudem sind auch KI-Modelle in Risikostufen eingeteilt. Auch hier gilt die Regel – je höher das Risiko, desto strikter die Regeln.

    Die sogenannten GPAI-Modelle unterliegen dementsprechend spezifischen Anforderungen. Ihre Anbieter unterliegen Informations- und Dokumentationspflichten.

    Näheres zu den expliziten Transparenzpflichten können dem Punkt 1.4. entnommen werden.

    1.4 Rolle und Pflichten

    1.4.1 Rolle

    Wie bereits in Punkt 1.3. erwähnt, befinden sich in der KI-Wertschöpfungskette gem Art 25 AI Act unterschiedliche Akteure. Dabei ist ua zwischen Anbieter, Betreiber und Nutzer zu unterscheiden.

    Anbieter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und entweder das KI-System bzw -Modell unter eigenem Namen oder eigener Handelsmarke in Verkehr bringt oder das KI-System im eigenen Namen oder unter eigener Handelsmarke in Betrieb nimmt. Dabei wird nicht zwischen entgeltlicher und unentgeltlicher Vorgehensweise unterschieden.

    Betreiber ist eine natürliche oder juristische Person, Behörde Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung einsetzt. Ausgenommen davon ist der Einsatz eines KI-Systems für persönliche Zwecke.

    Daraus resultiert, dass ein Akteur gleichzeitig Anbieter und Betreiber sein kann, wenn er das selbst entwickelte KI-System auch in eigener Verantwortung verwendet.

    Der AI Act Chatbot wird von der RTR-GmbH in eigener Verantwortung auf ihrer eigenen Webseite zur Verfügung gestellt und ist für Nutzeranfragen iZm dem AI Act gedacht. Durch die Eingabe eines Prompts erlangt der Nutzer eine automatisch generierte Antwort auf Textbasis. Daher ist grundsätzlich der Anwendungsbereich des Art 50 Abs 1 und 2 eröffnet. Zu beachten ist hier, dass es sich dabei um explizite Anbieterpflichten handelt. Die Rolle des Anbieters (Art 3 Z 3 AI Act) hier durch die RTR GmbH erfüllt.

    Weiters ist noch zu klären, ob die Rolle des Anbieters eines KI-Modells mit allgemeinem Verwendungszweck erfüllt ist.  Dies ist unseren Ausführungen oben in Punkt 1.2.2.3 zu folge zu verneinen.

    Bei vorliegendem KI-System handelt es sich um die Verwendung eines bestehenden LLMs, welches durch eine externe Wissensbasis bei der Generierung von Antworten auf Kundenanfragen unterstützt wird. Die Einbettung der Wissensbasis geschieht demnach über s.g. „In-Context-Learning“ – weder wurden die Modellparameter durch „Fine-Tuning“ adaptiert, noch wurde eine Adaptierung über Zwischenschaltung eines LoRA („Low-Rank Adaptation“) durchgeführt. Das KI-Modell wird demnach unverändert verwendet.

    Den obigen Erkenntnissen und dem (Entwurf) „Praxisleitfaden GPAI“ des AI Office‘ ist abzuleiten, dass durch die alleinige Verwendung eines bestehenden LLMs innerhalb eines KI-Systems nicht die Rolle des Anbieters eines GPAI-Modells/GPAI-Systems erfüllt. Dies trifft auch auf den Anwendungsfall der RTR-GmbH zu.

    Abschließend ist zu beurteilen, ob die RTR-GmbH die Rolle des Betreibers eines KI-Systems erfüllt. Da die RTR-GmbH den AI Act Chatbot in eigener Verantwortung verwendet, ist sie auch als Betreiber gem. Art 3 Z 4 AI Act einzustufen.

    1.4.2 Pflichten

    Abhängig von der jeweiligen Rolle in der KI-Wertschöpfungskette (Art 25 AI Act), regelt der AI Act unterschiedliche Pflichten. Dabei ist auch zu beachten welche Art an KI-Systemen oder welche KI-Modelle konkret vorliegen.

    Hinsichtlich der GenAI-Systeme sind in Art 50 AI Act diverse Pflichten für Anbieter und Betreiber normiert. Sobald ein KI-System zum Einsatz kommt, welche für die direkte Interaktion mit natürlichen Personen konzipiert und entwickelt ist, müssen Anbieter solcher KI-Systeme gewisse Transparenzpflichten erfüllen. Dabei handelt es sich um die Verpflichtung, den mit einem KI-System interagieren Nutzer auch davon ausdrücklich zu informieren, wenn es nicht ohnehin aus Sicht einer angemessen informierten, aufmerksamen und verständigen natürlichen Person aufgrund der vorliegenden Umstände und dem Zusammenhang der Nutzung eindeutig erkennbar ist (Art 50 Abs 1 AI Act). Die Anbieter von KI-Systemen haben auch dafür Sorge zu tragen, dass die Ausgaben des KI-Systems (Audio-, Bild-, Video- oder Textinhalte) in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind (Art 50 Abs 2 AI Act).

    Die RTR GmbH als Anbieter eines KI-System muss daher grundsätzlich den Transparenzpflichten des Art 50 Abs 1 und Abs 2 AI Act entsprechen.

    1.4.2.1 Transparenzpflichten nach Art 50 Abs 1 AI Act

    Der Benutzeroberfläche  der Webseite der RTR-GmbH über welche der AI Act Chatbot erreichbar ist, ist deutlich die Bezeichnung „KI-Servicestelle AI Act Chatbot“ zu entnehmen. Daher ist aus Sicht einer angemessen informierten, aufmerksamen und verständigen Person offensichtlich erkennbar, dass es sich um eine KI-Interaktion handelt. Damit wird der Transparenzpflicht gem Art 50 Abs 1 AI Act entsprochen. Zudem kann nach Angabe des Prompts im Eingabefeld des AI Act Chatbots und der Betätigung des Buttons „Frage stellen“ mitverfolgt werden, wie der AI Act Chatbot arbeitet und weiter unten auf der Webseite die Antwort Zeile für Zeile generiert. Damit ist auch erkennbar, dass ein synthetischer Text erstellt wird. Außerdem enthält dieser Text auch zusätzlich den Hinweis darauf, dass es sich um eine KI-generierte Antwort handelt.

    1.4.2.2 Transparenzpflichten nach Art 50 Abs 2 AI Act

    Als Anbieter eines KI-Systems trifft die RTR-GmbH grundsätzlich auch eine Kennzeichnungspflicht gemäß Art 50 Abs 2 AI Act. Die Ausgaben des KI-Systems sind auf der Benutzeroberfläche auch entsprechend gekennzeichnet, nämlich in Form eines Hinweises, dass es sich um KI-generierte Antworten handelt.

    Dem rechtlichen Erfordernis – soweit technisch möglich - die Ausgaben in einem maschinenlesbaren Format auszuweisen, kann die RTR-GmbH derzeit nicht nachkommen. Die Implementierung eines technischen Wasserzeichens (siehe ErwG 133 AI Act) ist nach dem Stand der Technik für die RTR-GmbH nicht mit verhältnismäßigem Aufwand umzusetzen. Die RTR-GmbH behält sich daher vor, eine erneute Evaluierung der technischen Möglichkeiten vor Inkrafttreten der gegenständlichen Bestimmung, am 02.08.2026, durchzuführen.

    1.4.2.3 Sonstige Transparenzpflichten nach Art 50 Abs 4

    Die Transparenzpflichten des Betreibers eines KI-Systems, welches synthetische Audio-, Bild, Video- oder Textinhalte erzeugt oder manipuliert sind aus Art 50 Abs 4 UA 2 AI Act abzuleiten. Dabei ist zu beachten, dass bei derartigen Textinhalten, diese Verpflichtung nur dann besteht, wenn über Angelegenheiten von öffentlichem Interesse informiert wird und keine menschliche oder redaktionelle Überprüfung stattfindet.

    In Art 50 Abs 4 AI Act ist die Offenlegungspflicht eines Betreibers hinsichtlich durch ein KI-System erzeugter oder manipulierter Inhalte (Deepfakes) geregelt. Dabei ist zu beachten, das bei derartigen Textinhalten, diese Verpflichtung nur dann besteht, wenn über Angelegenheiten von öffentlichem Interesse informiert wird.

    Der AI Act Chatbot generiert Textinhalte basierend auf den Trainingsdaten (Retrieval) welche allerdings weder veröffentlicht werden noch Informationen enthalten, die vom öffentlichen Interesse sind. Daher liegt kein Anwendungsfalls des Art 50 Abs 4 AI Act vor.

    1.5 Verpflichtung zur KI-Kompetenz

    Die Legaldefinition des Begriffs „KI-Kompetenz“ ist in Art 3 Z 56 AI Act zu finden und lautet wie folgt:

     „… die  Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.“

    Aus Art 4 AI Act ist die Pflicht für Anbieter, Betreiber und Betroffene von KI-Systemen abzuleiten, wonach sie aufgefordert werden Maßnahmen zu ergreifen, die ihr Personal und andere Personen, die sich in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befassen, über ein ausreichendes Maß an KI-Kompetenz verfügen.  Welche Maßnahmen das sein können, hängt vom eingesetzten KI-System oder KI-Modell und dessen Risikostufe ab. Die technischen Kenntnisse der Mitarbeiter:innen, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, sind zu berücksichtigen. Daher kann festgehalten werden, dass die KI-Kompetenz ein interdisziplinäres Feld ist nicht nur technische, sondern auch rechtliche und ethische Aspekte umfasst (siehe Erwägungsgrund 20 AIA). Diese Kompetenz ist nachzuweisen, sobald eine KI zum Einsatz kommt und betrifft damit alle relevanten Akteure auf der KI-Wertschöpfungskette um die angemessene Einhaltung und ordnungsgemäße Durchsetzung der Verordnung sicherzustellen. Dabei erfolgt keine Unterscheidung zwischen KI-Systemen und -Modellen oder Risikoklassen.

    Demzufolge unterliegt die RTR-GmbH als Akteur in der KI-Wertschöpfungskette (Art 25 AI Act) als Anbieter und Betreiber eines AI Act Chatbots ebenso der Verpflichtung nach Art 4 AI Act und muss geeignete Maßnahmen ergreifen um die geforderte KI-Kompetenz nachzuweisen. Das Personal insbesondere Entwickler und Betreuer des Chatbots müssen entsprechende Ausbildungen oder Schulungen nachweisen. Zusätzlich ist sicherzustellen, dass Nutzer des AI Act Chatbots, die im Auftrag der RTR-GmbH sich mit dem KI-System beschäftigen auch über die notwendige KI-Kompetenz verfügen.

    Im Rahmen des gesetzlichen Auftrages gemäß § 20c KOG und § 194a TKG (BGBl.Nr. 6/2024), hat die RTR-GmbH die KI-Servicestelle eingerichtet, welche zum Kompetenzaufbau bei der Konzeption und der Nutzung von Künstlicher Intelligenz dient.

    Die KI-Servicestelle besteht aus Techniker:innen, Ökonom:innen und Jurist:innen, die über die entsprechenden Ausbildungen bzw das entsprechende Wissen für den KI-Einsatz verfügen. Die erforderliche KI-Kompetenz kann die RTR-GmbH daher durch die eingerichtete KI-Servicestelle nachweisen. Dies gilt auch für das betreuende Entwicklungsteam des AI Act Chatbots, welches aus Techniker:innen und Jurist:innen der KI-Servicestelle besteht.

    2 Datenschutzrechtliche Aspekte des AIA RAG der KI-Servicestelle

    Das RAG-System basiert auf einem Large Language Modell System (sog. „LLM“), dass durch zusätzliche externe Wissensquellen (zB Datenbanken) erweitert wird, ohne dass das LLM neu mit diesen zusätzlichen Daten trainiert werden muss.

    Der von der auf der Website der RTR GmbH in ihrer Funktion als KI-Servicestelle implementierte AI Act Chatbot dient als Informationsquelle zu regulatorischen Fragen iZm dem AI Act sowie als anschauliche Information über die Funktionsweise eines RAG-KI-Systems. Die vom AI Act Chatbot verwendeten externen Wissensquellen sind der Gesetzestext des AI Acts und die Veröffentlichungen der KI-Servicestelle.

    Zwar stellen die dem RAG-System als externe Wissensbasis zugrundeliegenden Informationen lediglich den Gesetzestext des AI Acts und die Veröffentlichungen des KI Servicestelle, welche unter ki.rtr.at abrufbar sind, dar, allerdings bildet die Basis des RAGs ein frei verfügbares großes Sprachmodell (LLM), etwa Llama3.1, Mistral8x7B oder Phi3.

    Die Frage ist erstens, wie damit umgegangen wird, falls der ursprüngliche Provider in der Entwicklungsphase unrechtmäßig personenbezogene Daten verarbeitet hat, um das KI-Modell zu entwickeln und dieses ggf. nicht anonymisiert wurde.

    Zweitens, beantwortet der AI Act Chatbot nur inhaltliche Fragen zum AI Act, allerdings stellt sich hier auch die Frage, sofern Nutzeranfragen personenbezogene Daten beinhalten, inwiefern dies datenschutzrechtlich problematisch ist.

    2.1 Zur ersten Frage: Nutzung eines Sprachmodells

    Zum diesem Thema gibt es eine Einschätzung des Europäische Datenschutzausschuss (EDSA, eng. European Data Protection Board „EDPB“): Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models (https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en zuletzt abgerufen am 16.01.2024.)

    Grundsätzlich stellt auch der EDPB darauf ab, dass die Frage, wie damit umzugehen ist, sofern der ursprüngliche Provider in der Entwicklungsphase unrechtmäßig personenbezogene Daten verarbeitet hat, auf Einzelfallbasis zu beurteilen ist. Allerdings sollte laut EDPB die Rechtswidrigkeit der ursprünglichen Verarbeitung keine Auswirkungen auf den späteren Betrieb des Modells haben, sofern nachgewiesen werden kann, dass anschließend während des Betriebs des KI-Modells keine personenbezogenen Daten verarbeitet werden.

    2.1.1 Anonymität der Daten im Modell

    Sofern jedoch solche personenbezogenen Daten verarbeitet werden, welche nach der Entwicklungsphase im Systembetrieb erhoben wurden, nachdem das Modell anonymisiert wurde, gilt die DSGVO (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, para 135. Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, para 135.).  Denn der EDPB betrachtet auch solche Modelle, welche in einem nicht-personenbezogenen Kontext verwendet werden, als nicht anonym. Denn personenbezogene Daten aus den Trainingsdaten oder des Training-Datasets können weiterhin in den Parametern des Modells „absorbiert“ sein, als mathematische Objekte (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 31, 134, 135.).  Dennoch soll die Unrechtmäßigkeit der ursprünglichen Verarbeitung keine Auswirkungen auf die spätere Verarbeitung haben (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 134, 135.).

    Anonym bedeutet hingegen, dass die Daten niemals in Bezug zu einem identifizierten oder identifizierbaren Individuum standen und personenbezogene Daten so anonymisiert wurden, dass die betroffene Person nicht mehr identifizierbar ist (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 27, 35 ff.; WP29 Opinion 05/2014 on Anonymisation Technique.). Dafür sollte bewiesen werden, dass mit angemessenen Mitteln personenbezogene Daten aus dem Training nicht extrahiert werden können und kein Output sich auf die betroffenen Personen bezieht, deren Daten für das Training genutzt wurden (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, para 38.).

    Um dies zu prüfen, sollten folgende Punkte evaluiert werden, um zu analysieren, ob ein „anonymes“ Modell vorliegt:

    a. die Eigenschaften der Trainingsdaten selbst, des KI-Modells und des Trainingsverfahrens;

    b. den Kontext, in dem das KI-Modell freigegeben und/oder verarbeitet wird;

    c. die zusätzlichen Informationen, die eine Identifizierung ermöglichen würden und der betreffenden Person zur Verfügung stehen;

    d. die Kosten und der Zeitaufwand, die die Person benötigt, um diese zusätzlichen Informationen zu erhalten oder zu beschaffen (falls sie ihr nicht bereits vorliegen); und

    e. die zum Zeitpunkt der Verarbeitung verfügbare Technologie sowie die technologischen Entwicklungen (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, para 41.)

    Konkrete Mittel zur Anonymisierung sind Randomisierungs- und Generalisierungstechniken, dazu zählen K-Anonymität, L-Diversität, T-Closeness, stochastische Überlagerung, Vertauschung und differential Privacy. Diese werden zusammen mit ihren jeweiligen Schwachstellen in der Stellungnahme 5/2014 zu Anonymisierungstechniken ausführlich erläutert (WP29 Opinion 05/2014 on Anonymisation Techniques.).

    Vorliegend ist es möglich, dass während der Entwicklungsphase des LLMs - Llama3.1, Mistral8x7B oder Phi3 -, auf welchem das RAG-System basiert, unrechtmäßig personenbezogene Daten verarbeitet wurden. Wir gehen derzeit davon aus, dass unser Modell nicht anonym ist.

    Bei der Entwicklung des RAG-Systems wurden jedoch keine personenbezogenen Daten miteinbezogen, weil nur Gesetzestexte und Texte der KI-Servicestelle als Basis dienen. Zusätzlich wird durch die Anpassung der Prompts erreicht, dass das verwendete Modell keine personenbezogenen Daten in Ausgaben berücksichtigt (So wurde im Prompt die Anweisung der Beschränkung auf den AI Act wiederholt aufgenommen. Durch Beispieltexte wird weiter erreicht, dass sich eine Beantwortung auf den AI Act konzentriert.). Somit ist mit dem EDPB anzunehmen, dass die ursprüngliche eventuelle unrechtmäßige Verarbeitung keine Auswirkungen auf die Rechtmäßigkeit des RAG hat.

    2.1.2 Rechtmäßigkeit der Verarbeitung personenbezogener Daten aus der Entwicklungsphase

    Allerdings ist die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, die während der Entwicklungsphase verarbeitet wurden und als Parameter im zugrundeliegenden LLM zumindest noch als mathematische Objekte vorhanden sein können und damit potentiell ausgegeben werden könnten, zu prüfen. Um die Rechtmäßigkeit zu überprüfen, sollte der Dreistufentest (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 66-81.) angewendet werden:

    (1) berechtigtes Interesse (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 67-69.)

    a) ist rechtmäßig;

    b) ist klar und präzise formuliert; und

    c) ist real und gegenwärtig (d. h. nicht spekulativ).

    (2) Erforderlichkeit ( Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 70-75.)

    a) Ermöglichung des berechtigten Interesses durch die Verarbeitungstätigkeit, und

    b) keine milderes Mittel
    - die Menge der verarbeiteten personenbezogenen Daten und 
    - ob sie zur Verfolgung des berechtigten Interesses verhältnismäßig ist, 
    - unter Berücksichtigung des Grundsatzes der Datensparsamkeit.

    (3) Angemessenheit (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, para 76.)

    Beurteilung, ob das/die berechtigte(n) Interesse(e) nicht durch die Interessen oder Grundrechte und -freiheiten (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 77-81.) der betroffenen Personen überwiegt

    2.1.2.1 Berechtigtes Interesse

    Ein berechtigtes Interesse (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 67-69.) an der Verarbeitung der personenbezogenen Daten im Rahmen des RAG ist rechtmäßig, wenn es klar und präzise formuliert, real und gegenwärtig (d. h. nicht spekulativ) ist.

    Hier müsste das berechtigte Interesse allerdings gem. Art. 6 Abs. 1 lit. e DSGVO mit der Ausübung einer gesetzlichen Aufgabe im öffentlichen Interesse, die dem Verantwortlichen übertragen wurde, ersetzt werden. Dies ist darin begründet, weil es sich beim Verantwortlichen um die RTR-GmbH handelt, also eine Behörde, die sich nicht auf Art. 6 Abs. 1 lit. f DSGVO berufen kann (Knyrim, Der DatKomm, 39. Lfg., Kastelitz/Hötzendorfer/Tschohl, Art. 6 Rn. 45-47.).  Der RTR-GmbH wurde gemäß § 20c KOG und § 194a TKG (BGBl. I Nr. 6/2024) i.V.m. Art. 6 Abs. 3 lit. b DSGVO den Auftrag mit der in der RTR eingerichtete Servicestelle für Künstliche Intelligenz als Ansprechpartner und Informationshub einer breiten Öffentlichkeit zum Thema KI zu dienen. Sie unterstützt auch bei der Umsetzung des europäischen AI Act. Sie soll Informationen zu regulatorischen Rahmenbedingungen beim Einsatz von künstlicher Intelligenz sowie den Aspekten im Hinblick auf Cybersecurity, Datenökonomie und deren Einsatz im Medienbereich geben. Mit dem RAG soll einem breiten Nutzerkreis ein interaktiver Zugang zu Informationen zum AI Act gewährt werden, also als Informationsquelle zu regulatorischen Fragen dienen, als auch die Funktionsweise eines RAG veranschaulicht werden und damit eine Förderung des Wissensaufbaus zu KI erfolgen, d.h. die RTR-GmbH handelt hier in Ausübung ihres gesetzlichen Auftrags gemäß § 194a Abs 1 Z 3 TKG 2021.

    2.1.2.2 Erforderlichkeit

    Die Verarbeitung personenbezogener Daten im Rahmen des RAG ist auch erforderlich (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 70-75.), d.h. die Ausübung des gesetzlichen Auftrags, in Form des Zugänglichmachens von Informationen, wird durch die Verarbeitungstätigkeit ermöglicht.

    Dies ist durch kein milderes Mittel möglich, insbesondere nicht durch bloße zur Verfügungstellung der Informationen auf der Website der RTR, da durch das RAG-System erste Antworten auf konkrete regulatorische Anfragen gegeben werden sollen und gleichzeitig demonstriert werden soll, welche Vorteile und inhärente Einschränkungen ein RAG mit sich bringt. Damit keine etwaigen personenbezogenen Daten bei Anfragen ausgegeben werden, welche während der Entwicklungsphase des zugrundeliegenden LLM verarbeitet wurden, werden durch die Einbettung und die Gestaltung des System-Prompts Vorkehrungen getroffen.

    Zur Ausübung des gesetzlichen Auftrags ist die Verarbeitung personenbezogener Daten auch verhältnismäßig, da diese nur in einem geringen Maße stattfindet, sofern durch die konkreten darauf abzielenden Anfragen indiziert, und nicht Hauptziel des hier zur Verfügung gestellten RAGs ist.

    2.1.2.3 Angemessenheit

    Letztlich ist die Verarbeitung der personenbezogenen Daten im Rahmen des RAG auch angemessen (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, para 76.), d.h. das Betreiben eines RAGs steht nicht außer Verhältnis zu dem verfolgten Zweck der Information über regulatorischen Fragen. Die Interessen bzw. Grundrechte und -freiheiten (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 77-81.) der betroffenen Personen werden dadurch nicht unzumutbar belastet. Vorliegend wird das Zugänglichmachen von Informationen zu regulatorischen Fragen rund um den AI Act durch die Verarbeitungstätigkeit ermöglicht. Zudem wird die Ausgabe personenbezogener Daten durch das GPAI-Modell durch Vorkehrungen verhindert, die die Einbettung und Gestaltung des System-Prompts betreffen.

    Außerdem muss bei der Beurteilung der Rechtmäßigkeit der Verarbeitung berücksichtigt werden, was für Auswirkungen dies auf die Person hat (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 82-90.) bzw. ob die betroffenen Personen vernünftigerweise damit rechnen mussten, dass ihre personenbezogenen Daten verarbeitet werden. Dies kann der Fall sein, wenn personenbezogene Daten öffentlich zugänglich waren, ferner spielt die Art der Beziehung zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen eine Rolle, ebenso wie die Art des Dienstes, der Kontext, in dem die personenbezogenen Daten erhoben wurden, die Quelle, von der die Daten erhoben wurden (d. h. die Website oder der Dienst, auf der/dem die personenbezogenen Daten erhoben wurden, und die dort angebotenen Datenschutzeinstellungen), die potenzielle weitere Verwendung des Modells und die Frage, ob die betroffenen Personen überhaupt wissen, dass ihre personenbezogenen Daten online sind ( Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, paras 92-95.).

    Es kann davon ausgegangen werden, dass viele Informationen, z.B. über Personen des öffentlichen Lebens im Internet frei zugänglich zu finden sind und eventuell ein LLM damit trainiert wurde. Der Schutz der Privatsphäre tritt in aller Regel zurück, soweit sich jemand selbst damit einverstanden zeigt, dass bestimmte, gewöhnlich als privat angesehene Angelegenheiten öffentlich gemacht werden, z.B. bei Prominenten oder anderen Personen des öffentlichen Lebens. Die Grenze des allgemeinen Persönlichkeitsrechts kann hier aus dem EGMR-Urteil „Caroline von Monaco gegen Deutschland“ (EGMR, 24.06.2004 - No. 59320/00; weitere Urteile zur Abgrenzung: EGMR, Große Kammer, Urteil vom 7. Februar 2012, Az. 40660/08 und 60641/08 (Von Hannover II), EGMR, Große Kammer, Urteil vom 7. Februar 2012 (Axel Springer AG), Az. 39954/08.) abgeleitet werden, auch wenn es um die Abwägung zwischen dem Schutz des Privatlebens und der Meinungsäußerungsfreiheit geht. Denn es ist ausschlaggebend, inwieweit Daten zu einer Debatte beitragen, die die Allgemeinheit interessieren und die mit Wissen und/oder Einwilligung der betroffenen Personen veröffentlicht wurden oder ob die betroffene Person ein öffentliches Amt ausübt.

    Aufgrund der technischen Ausgestaltung kann im Wesentlichen davon ausgegangen werden, dass sich personenbezogene Daten im Modell auf Personen des Öffentlichen Interesses beschränken: Die lokal ausführbaren Modelle haben eine Dateigröße von knapp 10 bis hin zu einigen 10 Gigabyte ( Insbesondere Mixture-of-Experts-Modelle ermöglichen größere Modelle auch bei wenig verfügbarem GPU-Speicher.). Zum Vergleich: Allein die englischsprachige Wikipedia hat etwa 20 Gigabyte im komprimierten Zustand (https://en.wikipedia.org/wiki/Wikipedia:Database_download). Durch die um Größenordnungen kleinere Dateigröße eines Modells im Vergleich zu den Trainingsdaten kommt es daher zwangsläufig zu einer verlustbehafteten Wiedergabe der ursprünglichen Daten. Sind personenbezogene Daten in solchen kleinen Modellen enthalten, müssen diese entsprechend oft auch in Trainingsdaten vorhanden sein, damit sie im verlustbehafteten Training oder Model Distillation (Damit wird der Vorgang bezeichnet, mit dem aus einem großen Modell ein kleines Modell entsteht.) in das resultierende Model übergeführt werden. Das wird idR nur bei Personen des Öffentlichen Interesses der Fall sein.

    Somit kann davon ausgegangen werden, dass selbst wenn die ursprüngliche Verarbeitung personenbezogener Daten in der Entwicklungsphase des LLM eventuell nur teilweise unrechtmäßig erfolgte, jedenfalls diese Unrechtmäßigkeit – auch laut dem EDPB – keine Auswirkung auf die Rechtmäßigkeit der etwaigen Verarbeitung personenbezogener Daten während der Nutzung des RAGs hat bzw. diese Verarbeitung auf rechtmäßige Art und Weise erfolgt, v.a. da technische Vorkehrungen getroffen werden, dass keine personenbezogenen Daten ausgegeben werden, d.h. solche personenbezogenen Daten werden dann verarbeitet, wenn Eingaben getätigt werden, die nichts mit dem Zweck des RAGs, die Ausgabe von regulatorischen Informationen, zu tun haben. In diesem Falle dient die Verarbeitung personenbezogener Daten dazu, eben diese vor Ausgabe durch technische Vorkehrungen zu schützen und ist somit rechtmäßig.

    2.2 Zur zweiten Frage: Verarbeitung von Nutzerdaten

    An der Verarbeitung von personenbezogenen Daten, die Nutzer:innen selbst in den RAG eingeben, beruht auf der Ausübung einer gesetzlichen Aufgabe, die im öffentlichen Interesse gem. Art. 6 Abs.1 lit. e DSGVO liegt. Dies ist darin begründet, da der RTR-GmbH gemäß § 20c KOG und § 194a TKG (BGBl. I Nr. 6/2024) i.V.m. Art. 6 Abs. 3 lit. b DSGVO der Auftrag übertragen wurde mit der in der RTR eingerichtete Servicestelle für Künstliche Intelligenz als Ansprechpartner und Informationshub einer breiten Öffentlichkeit zum Thema KI zu dienen. Sie unterstützt auch bei der Umsetzung des europäischen AI Act. Sie soll Informationen zu regulatorischen Rahmenbedingungen beim Einsatz von künstlicher Intelligenz sowie den Aspekten im Hinblick auf Cybersecurity, Datenökonomie und deren Einsatz im Medienbereich geben. Mit dem RAG soll einem breiten Nutzerkreis ein interaktiver Zugang zu Informationen zum AI Act gewährt werden, also als Informationsquelle zu regulatorischen Fragen dienen, als auch die Funktionsweise eines RAG veranschaulicht werden und damit eine Förderung des Wissensaufbaus zu KI erfolgen, d.h. die RTR-GmbH handelt hier in Ausübung ihres gesetzlichen Auftrags gemäß § 194a Abs 1 Z 3 TKG 2021. Zur weiteren Begründung der entsprechenden Erforderlichkeit und Angemessenheit siehe bitte die Ausführungen unter 2.1.2.2 und 2.1.2.3.

    2.3 Self-Hosting oder Fremd-Hosting

    Die obigen Ausführungen gelten gleich für alle LLMs, unabhängig davon, ob es sich um Remote-Lösungen oder On-Premise-Lösungen handelt. Auch bei On-Premise-Lösungen ist es deshalb sinnvoll, Dokumentation des LLM-Anbieters aufzubewahren: Etwa Erklärungen, dass ein rechtskonformes Training stattgefunden hat und Beschreibungen, wie dieses durchgeführt wurde etc.

    Zur Abwägung zwischen Cloud- und On-Premise-Lösung: Eine On Premise-Lösung ist datenschutzrechtlich grundsätzlich zu bevorzugen, da der Verarbeitungs- und Speicherort selbst bestimmt werden kann und insbesondere personenbezogene oder sonstige strategische oder geschäftliche Daten die jeweilige Institution nicht verlassen. Zudem sind die DSGVO-Bestimmungen zum internationalen Datenverkehr nicht anwendbar, wenn der Speicherort innerhalb der EU liegt. Dies kann die Komplexität des Einsatzes reduzieren.

    3 Zusätzlich zu beachten

    3.1 Urheberrechtlichen Aspekte

    3.1.1 Allgemeines zum Urheberrecht

    Das Urheberrecht schützt eigentümliche geistige Schöpfungen, sogenannte Werke (§ 1 Abs 1 UrhG). Daher kann festgehalten werden, dass bloße Ideen und Konzepte keinen urheberrechtlichen Schutz genießen. Schutzwürdige Werke können im Bereich der bildenden Kunst, Literatur, Musik und Filmkunst bestehen. Urheber nach § 10 UrhG ist der Schöpfer eines Werkes, der nur eine natürliche Person sein kann.

    3.1.2 Urheberrecht im Zusammenhang mit KI

    Aus den in Punkt 2.2.1 erlangten Erkenntnissen lässt sich ableiten, dass jene Schöpfungen Werke darstellen, in denen die menschliche Kreativität zu erkennen ist. Daraus resultiert daher, dass eine KI an sich kein Urheber sein kann, weil es sich bei dieser um keine natürliche Person handelt.

    Daraus ist aber nicht ableitbar, dass überhaupt kein urheberrechtlicher Schutz besteht. Wichtig ist jedenfalls eine IP-Compliance-Prüfung iZm KI-Systemen insbesondere LLMs durchzuführen. Dabei ist zu beachten, ob urheberrechtlich geschützte Daten verwendet werden, regulatorische Anforderungen für die Verwendung solcher Daten bzw für die Ausgaben des KI-Systems aufgrund der Verwendung derartiger Daten bestehen.

    Eine mögliche Verletzung der Urheberrechte kann uU bei Training von KI vorliegen, wenn urheberrechtlich geschützte Inhalte als Grundlage für das Training verwendet werden. Dabei wirft sich auch die Frage auf, ob das Verwenden solcher Inhalte eine Vervielfältigung nach § 15 UrhG darstellt. Wenn man dies bejaht, muss in weiterer Folge auch sichergestellt werden, dass die Nutzer der Inhalte beim Trainieren von KI über die erforderlichen Rechte verfügen oder gar nicht davon Gebrauch machen. Beachtlich ist auch, dass durch die unrechtmäßige Verwendung urheberrechtlicher Inhalte die Ausgaben der KI zu einer Urheberrechtsverletzung führen.

    Weiters ist zu beachten, dass KI-generierte Inhalte (Texte, Bilder, Videos) urheberrechtlichen Schutz genießen können. Dabei ist in erster Linie festzustellen, ob es sich um ein Werk iSd Art  1 UrhG handelt und daher einer:m Urheber zuzuordnen ist. Jene Ausgaben, die auf bestimmte Nutzer zurückzuführen sind, können uU (Einzelfallbetrachtung) in den Schutzbereich des UrhG fallen. Ein „Prompt“ also die Nutzeranfrage selbst kann uU auch geschützt sein, wenn das Vorliegen eines Werkes bejaht wird.

    Regulatorische Anforderungen hinsichtlich des urheberrechtlichen Schutzes sind im AI Act lediglich für KI-Modelle mit allgemeinem Verwendungszweck vorgesehen (Art 53 Abs 1 lit c AI Act). Die Anbieter solcher KI-Modelle müssen eine Strategie zur Einhaltung des Urheberrechts und der damit zusammenhängender Rechte nachweisen.

    3.1.2.1 Urheberrecht iZm dem AI Act Chatbot

    Im Falle des AI Act Chatbots ist eine schöpferische Leistung nicht erkennbar. Der Prompt des Benutzers dient lediglich der Ausgabe von Antworten zu Anwendungsfällen der Regelungen des AI Acts. Die Antwort (Generative) des AI Act Chatbots ist nicht als Werk einzustufen.  Eine Urheberrechtverletzung ist mangels Vorliegens urheberrechtlich geschützter Daten in der Ausführung (AI Act und Inhalte der KI-Servicestelle – Website) ebenfalls zu verneinen. Zudem werden die Ausgaben des AI Act Chatbots auch nicht veröffentlicht oder anderweitig verwertet.

    3.2 Softwarelizenzrecht

    Der gesamte Code des AI Act Chatbots wird unter der Apache Public License 2.0 veröffentlicht. Diese permissive Open Source-Lizenz erlaubt eine (auch kommerzielle) Nutzung der gesamten Lösung durch Dritte, auch ohne einer etwaigen Rücksprache mit der RTR-GmbH. Diese Lizenz umfasst den gesamten Code der Software, nicht aber etwa Logos oder Marken der RTR-GmbH. Die, wie in der Programmierung üblichen, zahlreich verwendeten Softwarekomponenten (etwa weitere Open Source-Lösungen Dritter) werden automatisiert erfasst und auf Kompatibilität zur Apache Public License 2.0 geprüft. Die Liste aller verwendeten Softwarebestandteile wird bei jedem Build-Vorgang automatisch neu generiert, der Letztstand ist hier abrufbar.