Red Flags in der AI

von | 6. April 2025 | AI, Checklisten, ICP, Red Flags!

In Anhang Nr. 3 zu Teil 732 wurde durch das Framework for Artificial Intelligence Diffusion eine neue Warnung (Red Flag Nr. 28) hinzugefügt, um Compliance-Hinweise für Exporteure, Re-Exporteure und innerstaatliche Transferierende von KI-Model Weights bereitzustellen. Diese Maßnahme soll helfen, die Exportkontrollen des BIS einzuhalten.

Die neue Red Flag 28 richtet sich insbesondere an US-amerikanische Anbieter von Cloud-Diensten (Infrastructure as a Service, IaaS) und soll helfen, Situationen zu erkennen, in denen das Training eines fortgeschrittenen KI-Modells für eine US-Tochtergesellschaft eines ausländischen Unternehmens – sowie die anschließende Übertragung der Model Weights an diese Tochtergesellschaft – ein erhebliches Risiko der Umgehung darstellen könnte.

In bestimmten Fällen besteht ein erhebliches Risiko, dass die Model Weights unerlaubt aus den USA exportiert werden – und damit gegen die Vorschriften des BIS verstoßen.

Red Flag 28 beschreibt konkret folgendes Szenario: Wenn eine US-Tochtergesellschaft eines Unternehmens, das nicht in einem der in Anhang Nr. 5 Teil 740 Absatz (a) gelisteten Länder (also „niedrigrisiko“ Länder) ansässig ist, einen US-IaaS-Anbieter nutzt, um ein fortgeschrittenes KI-Modell zu trainieren, das unter ECCN 4E091 fällt, dann entsteht der begründete Verdacht, dass die Model Weights anschließend ohne erforderliche Genehmigung an das Mutterunternehmen weitergeleitet werden könnten.

Beispiel: Ein US-IaaS-Provider stellt einem unabhängigen KI-Entwicklungsunternehmen Infrastruktur (z. B. Cluster fortschrittlicher ICs) zur Verfügung, um ein Modell zu trainieren. Nach Abschluss des Trainings werden die Model Weights an das Unternehmen übergeben.

Wird dieser Service für eine US-Tochtergesellschaft eines Unternehmens mit Sitz in einem lizenzpflichtigen Zielland (laut ECCN 4E091) erbracht, besteht ein hohes Risiko, dass die Model Weights an das ausländische Mutterunternehmen weitergeleitet werden – was einen Verstoß gegen die EAR darstellen kann. In diesem Fall könnte der IaaS-Anbieter möglicherweise Beihilfe zu einem Exportverstoß leisten.

Das BIS empfiehlt daher Exporteuren, Re-Exporteuren, Transferierenden und insbesondere IaaS-Anbietern, im Rahmen ihrer Compliance-Programme:

  • zu prüfen, ob Model Weights exportiert, reexportiert oder intern weitergegeben werden,
  • ob für das jeweilige Zielland eine Lizenzpflicht besteht, und
  • gegebenenfalls eine Exportlizenz zu beantragen oder ihre Kunden rechtzeitig über die Pflicht zur Beantragung zu informieren.

Quelle:
Federal Register / Vol. 90, No. 9 / Wednesday, January 15, 2025 / Rules and Regulations, Framework for Artificial Intelligence Diffusion, S. 4556

Supplement No. 3 to Part 732 Nr. 28 CFR - Red Flags

28. You will be providing Infrastructure-as-a-Service (IaaS) products or services, or other computing products or services, to assist in training an AI model with  captured by ECCN 4E091 for an entity headquartered, or whose ultimate parent is headquartered, in any destination other than those listed in paragraph (a) of supplement no. 5 to part 740 of the EAR. Such assistance creates a substantial risk that such AI , due to their digital nature, will be exported or reexported to a destination for which a license is required and, if a license is not obtained, that the IaaS provider will have aided and abetted in a violation of the EAR. In such cases, the IaaS provider should inquire if the customer intends to export the model and if so, apply for a license as required or inform the customer of their obligation to do so prior to export.

Aktuelle Informationen zu AI

Bei Fragen stehe ich Ihnen gerne zur Verfügung.

Prof. Dr. Darius O. Schindler

Stabelstr. 8 | 76133 Karlsruhe
mail@us-exportrecht.com

Telefon: +49 (0)721 85 140 840