23. Die KI-Verordnung der EU – Erfolgsmodell oder Papiertiger?

Der politische Handlungsdruck in Richtung eines regulatorischen Eingreifens entwickelte sich Ende der 2010er-Jahre. Er entstand einerseits aufgrund von Makroprozessen, also übergreifenden technologischen Entwicklungen, insbesondere der Fähigkeit, durch komplexe Systeme sowohl Bevölkerungsgruppen als auch Individuen zu kontrollieren und zu disziplinieren. Andererseits beruhte er auf einer zunehmenden Anzahl von Mikroentwicklungen, also einzelnen Fällen, die für Aufsehen sorgten, zum Beispiel das fehlerhafte und diskriminierende Auszahlen von Sozialleistungen in den Niederlanden oder dem Scrapen öffentlich verfügbarer biometrischer Daten zu kommerziellen Zwecken (EU Law Enforcement, 2021). Diese Fälle verdeutlichten das schadhafte Potential der Technologie und wiesen auf bestimmte strukturelle Probleme hin, die ein öffentliches Eingreifen rechtfertigten. Vielen der Hochrisikobereiche der KI-Verordnung liegen also konkrete Fallbeispiele zugrunde; sie sind demnach nicht aus der Luft gegriffen.

Aufgrund der zunehmenden Anzahl von Problemen und um ein Zerfasern in nationalstaatliche Initiativen zu verhindern, setzten sich einzelne Staats- und Regierungschefs frühzeitig für eine europäische Lösung ein. Beispielsweise befürwortete die frühere deutsche Bundeskanzlerin Angela Merkel im Juni 2019 ein entsprechendes Vorgehen. Ein Jahr später, im Oktober 2020, forderten die Staats- und Regierungschefs der EU-Mitgliedstaaten in einem gemeinsamen Papier die Europäische Kommission auf, einen Vorschlag zum Schutz der Grundrechte und gemeinsamen Werte zu präsentieren (European Council, 2020). Die neu gewählte Kommissionpräsidentin von der Leyen kündigte schließlich in ihrer Antrittsrede vor dem Europaparlament ein KI-Gesetz an. Der AI Act wurde schließlich im April 2021 vorgelegt (Europäische Kommission, 2021).

Parallel liefen die inhaltlichen Diskussionen auf Hochtouren. In Deutschland lieferte die Enquete-Kommission zur Künstlichen Intelligenz im Oktober 2020 ihren Abschlussbericht zu Status, Entwicklung, Potentialen und Risiken der Technologie (Deutscher Bundestag, 2020). Auf EU-Ebene konstituierte sich zeitnah ein ähnliches Gremium (Europäische Kommission, 2020). Beide Gruppen sprachen sich in ihren jeweiligen Berichten für einen risikobasierten Ansatz auf Grundlage konkreter Anwendungsfälle von KI aus. Anders gesagt: Nicht die Technologie als solche, sondern konkrete Anwendungen sollten reguliert werden, um das Prinzip der Technologieneutralität zu wahren. Dieser Ansatz wurde im Vorschlag der EU-Kommission und letztendlich im final abgestimmten Text des AI Acts aufgenommen.

Bereits in dieser Frühphase der Debatte fiel auf, dass neben dem Schutz der Grund- und Bürgerrechte stets Erwägungen der europäischen Wettbewerbsfähigkeit bzw. des europäischen Binnenmarkts berücksichtigt wurden. Hintergrund könnten Erfahrungen aus den Verhandlungen der Datenschutzgrundverordnung sein, die in den Folgejahren zunehmend als zu einseitig, kompliziert und restriktiv kritisiert wurde und die europäische Digitalwirtschaft strukturell benachteiligt. Die Entscheidung, den „Binnenmarktartikel“ des Vertrags zur Arbeitsweise der EU als rechtliche Grundlage des AI Acts zu nehmen, kann als Indiz gewertet werden, die Verhältnismäßigkeit zu wahren, um die Entwicklung dieser Schlüsseltechnologie in Europa zu ermöglichen (EUR-Lex, 2008).

Auch an anderer Stelle bediente sich die EU-Kommission der Erfahrungen und Mechanismen vergangener Regulierungsvorhaben, nicht zuletzt der Marktzugangsregulierung: Der AI Act ist in Methodik und Struktur nicht etwa am Datenschutz, sondern an der bestehenden Logik technischer Regulierung ausgerichtet – ein weiteres Indiz, Wettbewerbsfähigkeit und den Schutz der Grund- und Bürgerrechte in Einklang zu bringen. In geltender europäischer Marktzugangsregulierung werden technische Voraussetzungen festgelegt, auf deren Grundlage Produkte auf dem europäischen Binnenmarkt verkauft werden können. Dieses System fußt auf Selbst- und Drittstellenzertifizierung. Bei der Selbstzertifizierung verpflichten sich Akteure der Lieferkette auf die Erfüllung festgelegter Normen und Standards. Bei sicherheitskritischen Produkten, beispielsweise Auto- oder Flugzeugteilen, werden einzelne Elemente oder gesamte Systeme von Drittstellen abgenommen. Dieses System kann zu Recht als Rückgrat des europäischen Binnenmarktes und als Erfolgsmodell bezeichnet werden, denn es erlaubt einerseits Kontrolle und Verbraucherschutz und andererseits Flexibilität ohne Überregulierung. Der AI Act ist demnach keine einfache Daten- oder Datenschutzregulierung, sondern fällt eher in die Kategorie der Produktsicherheitsregulierung.

Mit Blick auf den gewählten Ansatz bleiben allerdings Fragen offen: Erstens ist KI kein Produkt im herkömmlichen Sinne, sondern betrifft komplexe softwarebasierte Systeme mit selbstlernenden Elementen und fortlaufender Entwicklung. Anders als statische Produkte mit langsamen Entwicklungszyklen müssen KI-Systeme im Prinzip fortlaufend geprüft werden. Es ist zweifelhaft, ob Marktzulassungsbehörden, die oft regional organisiert sind, diesen Erwartungen gerecht werden können. Zweitens ist noch unklar, wie die technischen Anforderungen, die KI-Systeme in hochriskanten Einsatzbereichen erfüllen müssen, im Detail aussehen werden. Die technische Umsetzung läuft derzeit auf Ebene der internationalen, europäischen und nationalen Standardisierungsorganisationen auf Hochtouren. Aus diesem Grund gibt es derzeit kein umfassendes und kohärentes Bild technischer Umsetzbarkeit und Verhältnismäßigkeit. Drittens stellt sich die Frage, wie Systeme verlässlich geprüft werden können, wenn man die komplexe, teils opake Funktionsweise der Systeme und den Mangel an Fachkräften berücksichtigt, die eine umfassende Prüfung zeitnah und kostengünstig liefern müssten. Die EU hat sich auf einen Weg festgelegt, der in der Vergangenheit gut funktioniert hat. Es bleibt abzuwarten, ob dies auch in Zukunft der Fall sein wird.

Der AI Act lässt viel Spielraum für Interpretationen verschiedener Kernbereiche der Regulierung. Positiv gewertet ermöglicht dieser Ansatz Flexibilität bei der Umsetzung; andererseits wird er zu Rechtsunsicherheiten führen. Ein Beispiel ist die Definition von KI, die sich weitestgehend auf die Arbeit internationaler Organisationen wie der OECD beruft. Hier gibt es abweichende Interpretationen, wann ein Softwaresystem gemäß der Legaldefinition als KI im Sinne der KI-Verordnung eingestuft werden müsste. Die Kommission wird hierzu Leitlinien veröffentlichen, um Klarheit zu schaffen.

Noch komplizierter wird es bei der Risikoeinstufung verbotener KI. Während vernetzte Datenbanken, über die Bürgerinnen und Bürger automatisiert kontrolliert und diszipliniert werden, klar als Sozialkreditsysteme eingestuft werden können, ist die unterschwellige Beeinflussung vulnerabler Gruppen – die ebenfalls verboten ist – weniger klar messbar. Entscheidend ist eine bestimmte Schadensschwelle, die eine Anwendung der KI-Verordnung auslösen würde. Welche Schäden hier in Frage kommen, wird voraussichtlich über Rechtsprechung definiert. Fakt ist, dass Empfehlungssysteme (recommender systems) oder Dark Patterns, welche Konsumenten zu einem bestimmten Verhalten verleiten, nicht in den Anwendungsbereich der Regulierung fallen, da diese bereits von anderer Gesetzgebung, zum Beispiel im Bereich der Plattformregulierung, abgedeckt werden.

Auch bei KI-Anwendungen auf Grundlage biometrischer Daten gibt es Grauzonen. Anwendungen, bei denen Individuen in Echtzeit an öffentlichen Orten identifiziert werden, sind verboten, allerdings mit Ausnahmen (Europäisches Parlament, 2024b). Die Kategorisierung von Personen aufgrund bestimmter Eigenschaften oder das Ableiten von Gemütszuständen am Arbeitsplatz oder in Bildungseinrichtungen sind ebenfalls nicht erlaubt. Allerdings kann es hier eine Unterscheidung zwischen emotionalen Zuständen und sentimentalen Zuständen geben. Es bleiben also Schwierigkeiten bei der Abgrenzung, die ebenfalls Leitlinien zur besseren Umsetzung erfordern.

Der wichtigste Teil der KI-Verordnung betrifft hochriskante KI-Anwendungen. Hier gibt es zwei wesentliche Stränge, zum einen eine in Sicherheitsbauteile integrierte KI, die bereits durch produktspezifische Regulierung abgedeckt wird (z. B. Luftfahrt, Maschinen, Spielzeug etc.) und von einer Drittstelle technisch geprüft werden muss. Dieses Vorgehen ist eindeutig, auch wenn unklar sein könnte, welche Bauteile als sicherheitsrelevant gelten. Der zweite Strang ist komplexer. Der AI Act definiert verschiedene hochriskante Bereiche, in denen die Anwendung von KI-Systemen einen Hochrisikostatus nach sich zieht. Allerdings gibt es an dieser Stelle eine wesentliche Einschränkung: KI-Systeme innerhalb eines hochriskanten Bereichs gelten nicht als hochriskant im Sinne des Acts, sollten diese kein signifikantes Risiko für die Gesundheit, Sicherheit oder Grundrechte von Personen darstellen, beispielsweise wenn die KI lediglich eine unterstützende Funktion ausführt (Europäisches Parlament, 2024c). Dies ist ein weiteres Beispiel für die Interpretationsoffenheit der Verordnung und die damit einhergehenden Unsicherheiten.

Obwohl der Einsatz biometrischer KI-Systeme gemäß Artikel 5 des AI Acts verboten ist, gibt es Einschränkungen, die den Einsatz „unter Auflagen“ ermöglichen. Solche Systeme gelten demnach als hochriskante KI-Anwendungen und müssten die entsprechenden technischen Anforderungen erfüllen (Europäisches Parlament, 2024d). In diesem Fall wird unterschieden zwischen biometrischer Identifizierung, Kategorisierung und dem Ableiten emotionaler Zustände. KI-Systeme zur Verifizierung einer Person, deren einziger Zweck die Bestätigung der Identität ist (one-to-one verification, z. B. das Einloggen ins Telefon), fallen nicht in den Hochrisikobereich. Sollten die Daten mit einer Datenbank abgeglichen werden, handelt es sich um Identifizierung und wäre entweder verboten oder hochriskant.

Auch in anderen Bereichen muss das Risikolevel je nach konkreter Anwendung bestimmt werden, zum Beispiel beim Einsatz von KI im Betrieb kritischer Infrastrukturen. In diesem Fall könnte KI innerhalb eines klar abgegrenzten Bereichs eingesetzt werden, um den Betrieb umweltschonender und effizienter zu gestalten. Die Frage, ab welchem Punkt die Systeme den Highrisk-Anwendungsfall ausrufen würden, bleibt recht unklar. Faktisch ist also das oft bemühte Bild der Risikopyramide nicht korrekt, da es keine klare Trennlinie zwischen geringem Risiko, Hochrisiko und verbotener KI gibt. Der Übergang – wie am Beispiel Biometrie beschrieben – ist oft fließend und benötigt eine Einschätzung von Fall zu Fall.

Im Endergebnis einigte man sich auf folgende Systematik: GPAI-Modelle (oft geläufig unter dem Begriff Foundation-Modell) sind systemische KI-Modelle, die viele Anwendungen ermöglichen und eine Art Infrastruktur darstellen. Diese Modelle werden durch technische Schwellenwerte bestimmt, damit nur die größten Modelle erfasst werden (Europäisches Parlament, 2024e). Die Entwickler dieser Modelle müssen grundlegende Anforderungen zu Transparenz, Cybersicherheit und Nachhaltigkeit erfüllen (Europäisches Parlament, 2024f). Regulierungsbehörde dieser Modelle wird das neu geschaffene AI Office, das innerhalb der Europäischen Kommission aufgebaut wird. Entwickler dieser Systeme müssen mit der Behörde in einen fortlaufenden und transparenten Dialog über technologische Entwicklungen und Features treten. Angestoßen durch den sogenannten „Hiroshima Prozess“ der G7-Staaten erarbeitet die EU derzeit Vorgaben in einem Code of Conduct, der dynamisch angepasst werden kann. Das hat aus Sicht des Regulierers den Vorteil, dass auf Veränderung nicht durch eine Öffnung des gesamten AI Acts reagiert werden muss. Für GPAI-Modelle von Open-Source-Entwicklern gelten zudem Ausnahmeregelungen, die insbesondere Metas Llama-Modell zugutekommen könnten. Der Ansatz, KI-Modelle auf Grundlage technischer Schwellenwerte zu bestimmen, beispielsweise Rechenkapazität, wurde von verschiedenen Experten mit der Begründung kritisiert, dass sich diese bei der rasanten Entwicklung von KI schnell als obsolet erweisen könnten.

GPAI-Modelle unterscheiden sich von GPAI-Systemen (die ebenfalls für verschiedene Zwecke eingesetzt werden können) durch die technischen Parameter der Systeme (Europäisches Parlament, 2024e). GPAI-Systeme können zwar auch bereichsübergreifend für verschiedenste Zwecke eingesetzt werden, basieren aber auf GPAI-Modellen. GPAI-Systeme müssen keine separaten Anforderungen erfüllen, sondern richten sich nach den Anforderungen hochriskanter KI-Systeme, sollten sie in entsprechenden Bereichen eingesetzt werden. Abschließend gibt es KI-Systeme, die für einen Zweck innerhalb eines klaren Bereichs eingesetzt werden.

Die Komplexität dieser Systematik ergibt sich aus der Vielschichtigkeit einer herkömmlichen KI-Wertschöpfungskette gepaart mit der Frage, wer wann für das Erfüllen der technischen Anforderungen verantwortlich ist. Es prallen zwei Argumentationslinien aufeinander: Entwickler von GPAI-Systemen (nicht zu verwechseln mit den Modellen) behaupten, sie könnten nicht wissen, für welchen Zweck die Systeme letztlich eingesetzt werden, und sollten daher nicht in die Verantwortung genommen werden. Anwender von KI-Systemen erwidern, dass sie nicht die Verantwortung für die technische Funktionsweise eines komplexen Systems übernehmen könnten, da ihnen nicht die notwendigen Informationen, Ressourcen und Expertisen zur Verfügung stünden. Im Endergebnis ergibt sich ein kompliziertes System, in dem Erfüllungsaufwand, Kontrolle und Garantie der technischen Anforderungen unter bestimmten Voraussetzungen entlang der KI-Lieferkette weitergeleitet werden.

Die technischen Anforderungen für den Einsatz hochriskanter KI sind keineswegs trivial, aber derzeit schwer im Detail zu benennen. Der AI Act legt lediglich übergeordnete technische Prinzipien fest, von Risikomanagementsystemen, Data Governance und technischer Dokumentation bis hin zu Cybersecurity-Prozessen, die erfüllt werden müssen, um rechtskonform zu sein (Europäisches Parlament, 2024g). Es liegt an den beauftragten europäischen Standardisierungsorganisationen zu bestimmen, an welchen Stellen internationale Standards bereits vorhanden sind bzw. fehlende Details ausgearbeitet werden müssen.

Durch technische Standards sollen Rahmenbedingungen geschaffen werden, die eine Selbstzertifizierung von KI-Systemen ermöglichen. In bestimmten Fällen wird eine Drittstellenzertifizierung erforderlich sein. Es ist bereits absehbar, dass der Erfüllungsaufwand für Hersteller, Weiterentwickler und Anwender komplex und eng verknüpft sein wird mit Fragen der Haftung für durch KI-Systeme entstandene Schäden. Es drohen hohe Sanktionen bzw. zivilrechtliche Ansprüche.

Für Anwender wird es wichtig sein, sich nicht in zu einseitige Abhängigkeitsverhältnisse zu begeben, die dazu führen könnten, dass sie für Anforderungen verantwortlich sind, auf die sie keinen Einfluss haben und über die sie nicht die notwendigen Informationen besitzen (und deshalb auf die ursprünglichen Entwickler angewiesen wären). Entwickler andererseits müssen zusehen, keine sensiblen technischen Informationen, intellektuellen Eigentumsrechte oder Geschäftsgeheimnisse weiterleiten zu müssen, um die Kunden in die Lage zu versetzen, die Anforderungen des AI Acts zu erfüllen. Ein funktionierender und verlässlicher Mechanismus zum Teilen notwendiger Informationen entlang der Lieferkette wird ein Schlüsselfaktor zur erfolgreichen Umsetzung der KI-Verordnung sein.

Der abschließende Teil des AI Acts betrifft die Rechtsdurchsetzung. Neben dem bereits erwähnten AI Office, das derzeit zentral innerhalb der EU-Kommission aufgezogen wird, um sich hauptsächlich mit großen GPAI-Modellen zu befassen, werden nationale Regulierungsbehörden eine wichtige Rolle spielen. Diese Behörden müssen auf nationaler Ebene bestimmt werden und ein institutionalisiertes Netzwerk bilden, das Konformität überprüft und Best Practices austauscht. Den Unterbau bilden drei separate Gremien:

Leitlinien, Einschätzungen zu konkreten Fällen und strategische Dokumente sollen im komplexen Zusammenspiel dieser Gruppen erarbeitet werden. Dieses institutionelle Setup orientiert sich am Datenschutz. Auch dort bildet ein mitgliedstaatenübergreifendes, europäisches Board das Rückgrat. Diesmal soll das Zerfasern der Aufsicht aber von Beginn an verhindert werden (in Deutschland gibt es beispielsweise 17 zuständige Behörden mit teilweise unterschiedlichen Einschätzungen konkreter Sachverhalte). Der sogenannte One-Stop-Shop-Mechanismus soll reformiert werden, damit sich Zuständigkeiten besser verteilen lassen. Andernfalls landen die meisten Fälle bei der zuständigen Behörde der europäischen Niederlassung eines internationalen Unternehmens (oft Irland). Angesichts des großen Interpretationsspielraums wichtiger Passagen des AI Acts wird entscheidend sein, ob es den zuständigen Behörden gelingt, ein effizientes System zu schaffen, das in der Lage ist, schnelle, kohärente und verlässliche Einschätzungen zu liefern. Dafür müssen entsprechende Ressourcen freigemacht, Prozesse aufgebaut und Fachleute gefunden werden. Andernfalls droht lähmende Bürokratie mit negativer Wirkung auf die Wettbewerbsfähigkeit europäischer Unternehmen.

Im Prinzip spiegelt der gewählte Ansatz zwei grundsätzliche Entwicklungen der europäischen Digitalgesetzgebung wider: Zum einen übernimmt die Kommission zunehmend die Aufgaben einer zentralen Regulierungsbehörde mit dem Ziel, Entscheidungsprozesse zu beschleunigen und die einheitliche Anwendung zu garantieren. Die Kommission reagiert damit auf das strukturelle Ungleichgewicht zwischen global agierenden, mächtigen Digitalkonzernen und einer kleinteiligen nationalen Rechtsdurchsetzung, die leicht gelähmt und fragmentiert werden kann. Dass die Kommission gleichzeitig die Gesetze schreibt und durchsetzt, ist beispielsweise auch in der Plattformregulierung zu beobachten. Der Erfolg dieses Ansatzes ist schwer zu bewerten, da sich die Institutionen in der Aufbauphase befinden. Zum anderen greift die EU zunehmend auf dynamische Regulierungsinstrumente, wie Selbstverpflichtungen für große KI-Modelle, zurück, um auf technologische Entwicklungen schneller reagieren zu können. Dieses Vorgehen macht grundsätzlich Sinn, wenn man das Innovationstempo der Technologien berücksichtigt. Innerhalb normaler Gesetzgebungsverfahren wäre es von vornherein ausgeschlossen, Schritt zu halten. Dennoch bleiben auch hier Fragen zur Transparenz und Rechtsunsicherheit, die es zu beachten gilt.

Andere innovative Regulierungsmethoden, wie Reallabore oder der Umgang mit Open-Source-Modellen, sind ebenfalls noch nicht bewertbar. Durch Reallabore soll ein Umfeld geschaffen werden, um Technologien in einem klar begrenzten Raum, zum Beispiel einem bestimmten Krankenhaus, im Alltagsbetrieb zu testen und Lehren zu ziehen – ein grundsätzlich interessanter Ansatz, dessen Gelingen davon abhängen wird, wie viel Flexibilität Behörden zu geben bereit sind. Unternehmen werden kaum Gefallen an dieser Idee finden, sobald sie ihre intellektuellen Eigentumsrechte und Geschäftsgeheimnisse offenbaren müssen. Der Umgang mit Open Source ist neben den GPAI-Systemen der schwierigste Teil des AI Acts, denn Open Source entzieht sich per definitionem der Logik der Produktsicherheit. Hier gilt es, im engen Austausch mit der Open-Source-Community ein System zu entwickeln, um diese Art von Systemen verhältnismäßig zu regulieren, ohne sie ihrer Stärken zu berauben.

Die EU hat sich zum Ziel gesetzt, mit der KI-Verordnung den regulatorischen „Goldstandard“ zu setzen. Im Gegensatz zum Datenschutz sind diesmal allerdings andere Rechtsräume ähnlich weit vorangeschritten. Allein im Asien-Pazifik-Raum gibt es mindestens fünf unterschiedliche Ansätze einflussreicher Akteure. Im Gegensatz zur EU, die einen horizontalen „Blanket“-Ansatz verfolgt, wählt China ein zielgerichteteres Vorgehen zu Deepfakes, Recommender-Systemen oder generativer KI. China möchte ebenfalls eigene Governance-Modelle im Rahmen internationaler Kooperationen fördern. Hier gibt es Spannungspotential. Hongkong benutzt existierende, sektorspezifische Regeln, um diese mit Blick auf Genauigkeit, Verantwortlichkeit, Cybersicherheit oder Urheberrechtsfragen anzupassen. Singapur entwickelt einen Rechtsrahmen mit Blick auf generative KI auf Grundlage innovativer Regulierungsinstrumente, wie Reallaboren, Selbstverpflichtungen und Integration existierender Compliance-Prozesse, z. B. von Finanzbehörden oder der Datenschutzaufsicht. Auch Japan verfolgt einen spezifischeren und strategischen Ansatz auf Grundlage ethischer Prinzipien. Australien hat zurzeit keinen regulatorischen Rahmen, sondern bezieht sich auf Prinzipien, die freiwillig umgesetzt werden können. Der Elefant im Raum sind jedoch die USA unter Donald Trump: Dort hat seit der letzten Präsidentschaftswahl ein Paradigmenwechsel stattgefunden, sodass dort über ein Moratorium einschränkender KI-Regeln verhandelt wird, um sich im systemischen Wettbewerb mit China keinen Nachteil zu verschaffen und ins Hintertreffen zu geraten. Die steigende Konkurrenz statt einer engen Partnerschaft beider Seiten hat zwei unmittelbare Auswirkungen: Zum einen wird der Druck auf Europa erhöht, in Sachen Wettbewerbsfähigkeit nicht noch weiter den Anschluss zu verlieren. Zum anderen wird die europäische KI-Regulierung mittlerweile als „Verhandlungsmasse“ im laufenden Handelsstreit zwischen den USA und der EU gesehen, da die Amerikaner die Regeln als diskriminierend und nicht-tarifäre Handelshemnisse interpretieren. Obwohl die EU bereits klargemacht hat, dass bei bestehenden EU-Gesetzen kein Handlungsspielraum bestehe, wird auch hier abzuwarten sein, ob und wie ein umfassendes Abkommen zustande kommt, das auch Einfluss auf KI-Regulierung haben könnte. 

Seit der Einführung von ChatGPT im November 2022 ist die Zahl der Gesetze und Verordnungen von knapp 20 auf knapp 70 gestiegen (Digital Policy Alert, 2023). Auch auf internationaler Ebene laufen parallele Prozesse, von der G7-Selbstverpflichtung im Rahmen der Hiroshima Communiqués bis zum internationalen Vertrag zu KI des Europarats (European Council, 2023). Zusätzlich vergeht kaum eine Woche ohne eine neue wegweisende Konferenz zum Thema KI-Sicherheit oder -Governance, wie etwa die Konferenz in England im geschichtsträchtigen Bletchley Park. Für Unternehmen ist es schwierig, den Durchblick zu bewahren, und sie sind auf Hilfe angewiesen, wie diese Regeln zusammenhängen und umzusetzen sind. Gleichzeitig wird es für die EU wichtig sein, für den eigenen Ansatz im Rahmen internationaler Partnerschaften zu werben.

Letztendlich wird der Erfolg des AI Acts davon abhängen, ob es europäischen Unternehmen gelingt, bei KI-Entwicklung und -Anwendung ein entscheidendes Wörtchen mitzureden. Aus diesem Grund muss Regulierung praxisnah im Einklang mit Förderung und Investitionen gedacht werden. Regulierung sollte als Teil eines komplexen Puzzles gesehen werden. Wichtig ist neben der Verfügbarkeit von Fachkräften auch eine breite Akzeptanz in der Bevölkerung und bei der Innovationsförderung. In Europa gibt es diesbezüglich interessante Entwicklungen: 2022 wurden in der EU und UK 10,2 Mrd. € an privatem Kapital eingesammelt (Europäisches Parlament, 2024h). Stand 2023 umfasst das Startup-Ökosystem 6300 KI-Startups in der EU mit unterschiedlichen Anwendungen (10,6 % im Bereich generativer KI) und geographischem Fokus (20 % in Deutschland, 17,5 % in Frankreich, 11 % in den Niederlanden) (AppliedAI, 2023). Regierungen versuchen, diese Entwicklungen durch öffentliche Gelder zu fördern. Im Jahr 2023 versprach der französische Präsident Macron auf der französischen Tech-Leitmesse Vivatech beispielsweise 500 Mio. Euro Förderung für heimische KI-Unternehmen (France24, 2023).

KI wird von vielen als Grundlagentechnologie gesehen, gleichzusetzen mit der Entdeckung der Dampfmaschine oder des elektrischen Stroms – und mit dem Potential, wirtschaftliche Kräfteverhältnisse nachhaltig zu verändern. Es kommt wenig überraschend, dass KI in der derzeitig angespannten geopolitischen Situation als wichtiger Faktor gesehen wird. China ist beispielsweise äußert aktiv und hat jüngst ein Kooperationsabkommen mit afrikanischen Staaten abgeschlossen, um Anwendungen in Sektoren wie Landwirtschaft oder Bildung zu fördern. Europa muss zusehen, dass es bei wesentlichen Elementen der KI-Entwicklung, zum Beispiel Daten, Halbleitern oder Rechenkapazitäten, eigene Kapazitäten entwickelt und verlässliche Partnerschaften aufbaut.

Angesichts der komplexen Gemengelage lassen sich Erfolgsaussichten und Zielerfüllung der KI-Verordnung nicht abschließend einschätzen. Sicher ist: Eine bereits erkennbare Errungenschaft der KI-Verordnung ist es, einige besonders schädliche Anwendungen zu verbieten und ein Bewusstsein für notwendige Governance-Strukturen in Unternehmen zu schaffen. Im Unterschied zur Datenschutzverordnung jedoch ist die Regulierung von KI weltweit vorangeschritten. Europa ist nicht automatisch Frontrunner; stattdessen muss sich der AI Act im Wettbewerb mit anderen Modellen behaupten. Die Qualität der Verordnung wird von Praktikabilität, Schnelligkeit, Klarheit und Verlässlichkeit bei der Umsetzung abhängen. Die KI-Verordnung wird nur zum Erfolgsmodell, wenn sie die Wettbewerbsfähigkeit der europäischen Wirtschaft erhöht, denn KI als Grundlagentechnologie wird die Entwicklung von Unternehmen stark beeinflussen (im Guten wie im Schlechten). Die KI-Verordnung sollte dieser Entwicklung Rechnung tragen.

Abschließend betrachtet war die erste Phase der AI-Regulierung zwar komplex, aber vergleichsweise klar. Die zweite Phase – Implementierung, Selbstverpflichtungen, technische Regulierung, Zertifizierung etc. – wird komplizierter, zumal zusätzliche Diskussionen in Bereichen des Arbeitsschutzes, der Haftung, der Wettbewerbspolitik und des Urheberrechts zu erwarten sind. Zudem gibt es zunehmenden Druck europäischer Wirtschaftsunternehmen, die Implementierung des AI Acts zu Verzögern, bis die zugrundeliegenden technischen Standards bekannt sind. Die Begründung lautet, dass man nichts umsetzen könne, was noch derart unklar sei. Aus europäischer Sicht sollte KI-Regulierung als Teil eines umfassenden Systems gesehen werden, in dem sich Regulierung, die Entwicklung eigener – infrastruktureller und anwendungsorientierter – Kapazitäten, (Weiter-)Bildung, öffentliche Förderung und Diplomatie ergänzen. Ein erster Erfolg könnten aus EU-Sicht die laufenden Ausschreibungen zu AI Factories, Gigafactories und Supercomputing sein, bei denen die Erwartungen im Bereich privatwirtschaftlichen Interesses übertroffen wurden; dies beweist, dass die Prioritätensetzung zumindest verstanden und geteilt wird. Europa sollte den Blick dennoch weiterhin verstärkt über den eigenen geografischen Tellerrand richten, um auf Entwicklungen flexibel reagieren zu können, aus den Best Practices anderer Akteure zu lernen und so am Ende dieses technologischen Marathons vorne mitzumischen.