Gilt der EU AI Act auch fürs Labor? Was Forschende jetzt wissen müssen

Im Labor fühlt sich Regulierung oft weit weg an. Doch wenn KI aus der Sandbox tritt, wird’s schnell juristisch. Der EU AI Act verspricht Sicherheit, ohne Innovation zu bremsen. Aber was heißt das für Unis, Max-Planck-Institute oder freie Labs? Diese Einordnung zeigt, wo Forschung wirklich frei bleibt, wo Pflichten beginnen und wie Open‑Source‑Releases klug gestaltet werden. Kurz: Wie AI Act Forschung praktisch trifft – und wie Teams jetzt clever vorbauen.

Der AI Act richtet sich primär an Anbieter und Betreiber von Systemen, die „in Verkehr gebracht“ oder „in Betrieb genommen“ werden. Reine Forschung im Haus bleibt weitgehend frei – solange Modelle intern bleiben und nicht als Produkt, Service oder behördlicher Einsatz nach außen treten. Entscheidend ist also nicht die Technikgröße, sondern der Kontext: Wer nutzt das System, zu welchem Zweck, mit welchen Folgen?

„Forschung ist geschützt – bis sie zur Anwendung wird. Ab dann zählen Pflichten, nicht Absichten.“

Für Universitäten heißt das: Ein Prototyp im abgeschotteten Cluster fällt anders als eine öffentliche Demo‑API. Sobald Dritte Zugriff haben oder ein Modell in einer realen Umgebung Entscheidungen stützt, rückt der AI Act näher. Verbotene Praktiken (z. B. bestimmte manipulative Techniken) sind schon heute tabu. High‑Risk‑Pflichten greifen erst, wenn entsprechende Einsatzzwecke vorliegen – etwa im Bildungs-, Gesundheits- oder Arbeitskontext.

Zur Orientierung hilft die folgende Mini‑Matrix. Sie ersetzt keine Rechtsberatung, schärft aber den Blick für die Schwelle zwischen Forschung und Inbetriebnahme.

Wichtig: Der Gesetzestext arbeitet risikobasiert. Eine FLOPs‑Schwelle gibt es nicht. Maßgeblich ist, was ein System tut – nicht, wie groß es ist. Das klingt abstrakt, hilft aber, Forschungsarbeit nicht unnötig zu fesseln.

Der AI Act erkennt den Wert freier Software und offener Modelle an. Offen geteilte Komponenten gelten nicht automatisch als „Inverkehrbringen“. Damit bleibt kollaborative Forschung möglich – Forks, Repos, Preprints. Doch es gibt Grenzen: Wird eine Open‑Source‑Komponente als Teil eines Systems bereitgestellt, das in sensiblen Bereichen eingesetzt wird, können reguläre Pflichten greifen. Die Grenze verläuft nicht am Lizenztyp, sondern am Einsatz.

Für Labs heißt das: Release‑Schriften sollten den Forschungszweck klar festhalten, Nutzungsrisiken benennen und keine impliziten Dienstleistungsversprechen abgeben. Wer Hosting, Support oder eine Demo mit echtem Personenbezug anbietet, nähert sich dem Regulierungsbereich. Auch Transparenzpflichten können relevant werden – etwa Hinweise auf Trainingsdaten, bekannte Limitationen und getestete Schutzmaßnahmen.

Spannend ist der Graubereich: Ein Modell steht öffentlich, wird aber „nur zu Forschungszwecken“ angeboten. Sobald Dritte es für Entscheidungen über Menschen nutzen, kann sich die Risikolage ändern. Deshalb empfehlen sich Zugangsbeschränkungen für riskante Modelle, klar formulierte Nutzungsbedingungen und eine dokumentierte Risikoabwägung vor dem Release. Offene Wissenschaft bleibt möglich – mit bewusster Governance.

Zusätzliche Schnittstellen sind zu beachten: Datenschutzrecht (GDPR) endet nicht an der Labortür, genauso wenig wie Ethik‑Standards für sensible Datensätze. Wer mit Gesundheits-, Bildungs‑ oder Arbeitsdaten experimentiert, sollte Ethik‑Voten, Einwilligungen und Anonymisierung sauber dokumentieren. Offenheit ist gut. Nachvollziehbarkeit ist besser.

General‑Purpose‑AI (GPAI) – also Modelle, die für viele Zwecke einsetzbar sind – bekommen im AI Act eigene Pflichten. Nach EU‑Leitfäden greifen erste Anforderungen für Anbieter solcher Modelle ab August 2025. Für Universitäten ist das relevant, wenn sie breite Basismodelle veröffentlichen oder bereitstellen. Wieder gilt: Nicht die Parameterzahl, sondern die Nutzung und Verbreitung entscheiden, ob ein Modell als GPAI‑Angebot wahrgenommen wird.

Forschende sollten prüfen, ob sie als „Anbieter“ auftreten: Wird das Modell selbst veröffentlicht, dokumentiert und mit Ressourcen gepflegt? Gibt es begleitende Dienste wie Hosting? Dann sind Transparenz und Dokumentation Pflichtprogramm – inklusive Beschreibung von Trainingsdatenquellen, Evaluierungen, Limitations und Sicherheitsmaßnahmen. Wer nur intern forscht, bleibt entspannter. Doch mit dem öffentlichen Release steigt die Verantwortung sichtbar.

Unklar bleibt manches Detail, weil die EU weitere Durchführungsakte und Leitlinien vorbereitet. Diese Dokumente präzisieren oft, wie Pflichten praktisch nachzuweisen sind. Bis dahin hilft gesunder Pragmatismus: lieber zu viel als zu wenig dokumentieren, Ergebnisse reproduzierbar machen, Red‑Team‑Tests festhalten und klare Warnhinweise geben. Das schützt nicht nur rechtlich, sondern verbessert auch die Wissenschaft.

Und die AI Act Forschung allgemein? Sie profitiert von offenen Klauseln zugunsten legitimer Forschung, muss aber bei Übergängen in die Anwendung aufpassen. Besonders, wenn Systeme in Bereichen eingesetzt werden, die Menschen unmittelbar betreffen. Wer früh Compliance mitdenkt, spart später Zeit – und Nerven.

Gute Nachricht: Viele Anforderungen lassen sich mit einfachen Routinen abdecken. Diese sieben Schritte sind ein praxistauglicher Start für Labs, Chair‑Groups und unabhängige Teams. Sie passen zu kleinen wie großen Projekten und wachsen mit.

Erstens: Zweckbindung klären. Dokumentieren Sie, dass ein Projekt ausschließlich der Forschung dient – inklusive Ziel, Datenquellen und Ausschlüssen. Zweitens: Zugang trennen. Interne Tests bleiben intern; öffentliche Demos brauchen Guardrails und Hinweise. Drittens: Dokumentation. Legen Sie Model‑ und Data‑Cards an, führen Sie Changelogs und fügen Sie Evaluierungen hinzu. Viertens: Risiko‑Check. Wo entstehen Personenwirkungen? Gibt es sensible Kontexte? Halten Sie Entscheidungen nachvollziehbar fest.

Fünftens: Open‑Source mit Plan. Lizenz, Readme, Nutzungsbedingungen und klare „No‑Production“-Hinweise, wenn passend. Sechstens: Sicherheit. Red‑Team‑Ergebnisse, Missbrauchsszenarien und Mitigations notieren; bei potenziell gefährlichen Modellen über gestaffelte Freigaben nachdenken. Siebtens: Monitoring. Verfolgen Sie EU‑Guidance, nationale Hinweise und passen Sie Ihre Prozesse halbjährlich an. So bleibt Ihr Labor handlungsfähig, auch wenn die Auslegung präziser wird.

Diese Schritte ersetzen keine juristische Beratung. Sie schaffen aber die Basis, damit Forschung offen bleiben kann – und Verantwortliche bei Bedarf schnell nachweisen, was sie warum getan haben. Genau hier entfaltet Regulierung ihren produktiven Kern: Sie zwingt uns, besser zu erklären, wie unsere Systeme funktionieren.

Der AI Act schützt legitime Forschung, setzt aber klare Grenzen, sobald Prototypen zu Anwendungen werden. Open Source bleibt möglich, solange Einsatz und Kontext bedacht sind. GPAI‑Pflichten rücken näher, vor allem bei breiten Basismodellen. Wer heute dokumentiert, trennt und testet, senkt morgen sein Risiko. So bleibt Forschung frei – und verantwortungsvoll.