AI Act reguliert jetzt allgemeine KI-Modelle

„Der AI Act ist durchaus ein Erfolg, da insbesondere die bislang anwendbaren Vorschriften viel Sinn ergeben. Das betrifft die Verpflichtungen zu KI-Kompetenz sowie die Verbote, die etwa chinesisches Social Scoring oder massenhafte, KI-basierte Überwachung durch Polizei oder Strafverfolgungsbehörden verhindern sollen. Auch die GPAI-Regeln (Regeln für general purpose AI, allgemein anwendbare KI, zum Beispiel große Sprachmodelle; Anm. d. Red.) sind grundsätzlich sehr zu befürworten. Im Detail hätte man natürlich andere Formulierungen wählen können, gerade zum Beispiel bei der unklaren Definition des systemischen Risikos. Sogenannte Halluzinationen von KI-Modellen sind daher möglicherweise gar nicht erfasst, obwohl sie erhebliche grundrechtliche und gesellschaftliche Relevanz haben.“

„Dass erste Regeln schon anwendbar sind, merkt man auch in der Praxis. Viele Unternehmen haben in Schulungen für ihr Personal investiert, was zunächst einmal positiv ist. Gerade hinsichtlich der GPAI-Regeln helfen auch die neu veröffentlichten Leitlinien den nachgelagerten Anbietern und Anwendern sehr. Und der Praxisleitfaden stellt global einen neuen Standard für die Anbieter der fortschrittlichsten Modelle dar, insbesondere im Bereich der AI Safety. Dennoch bleibt für eine erhebliche Anzahl von Unternehmen ein Unbehagen angesichts möglicher Compliance-Kosten, gerade wenn sie im Hochrisikobereich tätig sind. Das ist verständlich, und umso wichtiger ist es, dass die technischen Standards gut gemacht sind und rechtzeitig publiziert werden. Und dass beim AI Office der EU und bei der Bundesnetzagentur hinreichende Beratungskapazitäten geschaffen werden.“

„Jede Regulierung verursacht natürlich gewisse Kosten. Aber empirische Studien und theoretische Arbeiten zeigen zunehmend, dass der AI Act wirklich nicht das Problem ist, wenn es um das KI-Wettrennen geht [1]. Hier muss man vielmehr auf den Zugang zu absolut erstklassigen KI-Talenten, die weniger ausgebaute Venture-Capital-Kapazität in Europa sowie die Versorgung mit Chips schauen. Wenn man alles auf den AI Act schiebt, macht man es sich zu einfach. Empirische Studien zeigen in der Tat, dass zum Beispiel Umweltregulierung grüne Innovationen begünstigen kann [2]. Gerade China zeigt auch, dass trotz extrem intensiver Regulierung ein weltweit mit führendes KI-Ökosystem aufgebaut werden kann.“

„Das Letzte, was wir brauchen, ist jetzt eine erneute komplette Unsicherheit oder ein Einknicken vor möglichen Forderungen der US-Regierung. Natürlich sollte alles dafür getan werden, im Rahmen des Simplifikations-Prozesses der EU-Kommission Dopplungen und Widersprüche im ausufernden Dickicht der EU-Digitalregulierung zu reduzieren. Aber den Kern des AI Acts, wie auch des Digital Services Acts (DSA) und des Digital Markets Acts (DMA), dürfen wir dafür nicht opfern.“

„An sich ist der AI Act ja nicht alleine. Technologieneutrale Regulierung wie etwa die Datenschutz-Grundverordnung (DSGVO) oder das Antidiskriminierungsrecht stehen ihm zur Seite. Aber auch der AI Act selbst operiert mit teilweise bewusst vagen Rechtsbegriffen, die laufend durch Behörden und Rechtsprechung an aktuelle Entwicklungen angepasst werden können. Wichtig ist jedoch, dass Leitlinien dann auch regelmäßig aktualisiert werden, genauso wie die einzelnen Kapitel des Praxisleitfadens für GPAI-Modelle.“

„Wenn ich einen Wunsch frei hätte, würde ich insbesondere die Definition des systemischen Risikos ändern. Daran hängt, ob die Anbieter besonders großer Modelle –etwa Google, OpenAI, Meta, xAI oder DeepSeek – diese Risiken überhaupt in Betracht ziehen und verringern müssen. Momentan kommen als systemische Risiken leider nur solche in Betracht, die spezifisch für die fortschrittlichsten großen KI-Modelle sind. Viele sehr problematische KI-Risiken, wie etwa großflächige Diskriminierung, Intransparenz oder Halluzinationen, sind aber gar nicht spezifisch für die absoluten Top-Modelle, sondern treten bei praktisch allen GPAI-Modellen auf. Die Definition muss daher so angepasst werden, dass auch Risiken erfasst werden, die zwar erhebliches Schadenspotenzial haben und durch die Wertschöpfungskette propagiert werden, die aber sowohl bei den fortschrittlichsten als auch bei den weniger fortschrittlichen Modellen auftreten können. Das ist meiner Ansicht nach ein echter Geburtsfehler des AI Acts, der sich noch rächen könnte.“

„Dass sich die Europäische Union darum bemüht, einen Rahmen zu schaffen, der gewährleistet, dass bei KI-Anwendungen der Schutz der Grundrechte gemäß der EU-Charta gewährleistet ist, halte ich für äußerst sinnvoll. Wie vermutlich bei allen Umsetzungen von EU-Gesetzen bestehen aktuell noch einige Unklarheiten und Unsicherheiten. Ich hoffe, dass in Deutschland bei der nationalen Umsetzung Lehren aus der Erfahrung bei der Umsetzung der DSGVO gezogen werden und der Prozess möglichst schlank und transparent für Unternehmen gemacht wird. Und dass KI-Kompetenz für Unternehmen zur Pflicht wird. In diesem Bereich haben sich in den letzten Jahren schon viele neue Anbieter positioniert. Allerdings beobachte ich hier große Qualitätsunterschiede. Aus meiner Sicht wäre es sinnvoll, dass hier öffentliche Hand und Anbietende zusammenarbeiten, um relevante Inhalte, zielgruppenspezifisch notwendige methodische Tiefe, die Qualität der Vermittlung und Evaluationskonzepte zur Prüfung, ob die angestrebten Kompetenzziele erreicht wurden, zu gewährleisten.“

„Meiner Meinung nach führen Unklarheiten eher zu Hemmnissen als ein Gesetz selbst. Aus Perspektive der Forschung sehe ich eher Chancen für innovative Methodenentwicklung ‚Made in Europe‘, die sich von Produkten aus den USA und China abhebt und unterscheidet. Die im Rahmen der Vorbereitung des AI Acts entwickelten Ethik-Leitlinien liefern viele Impulse für Forschung und Entwicklung. In den Leitlinien werden sieben Anforderungen an vertrauenswürdige KI-Systeme gestellt: Vorrang menschlichen Handelns und menschliche Aufsicht, technische Robustheit und Sicherheit, Schutz der Privatsphäre und Datenqualitätsmanagement, Transparenz, Vielfalt, Nichtdiskriminierung und Fairness, gesellschaftliches und ökologisches Wohlergehen und Rechenschaftspflicht.“

„Eine Umsetzung von Systemen, die menschliche Aufsicht und Kontrolle ermöglichen, ist nicht trivial und es gibt aktuell keine guten Lösungen. Beispielsweise zeigt eine 2024 in Nature Human Behaviour erschienene Meta-Analyse [3], dass aktuell die Performanz der besten Menschen und der besten KI-Methoden in fast allen Anwendungen der Leistung von Mensch-KI-Teams überlegen ist. Die Gestaltung entsprechender Schnittstellen ist eine interdisziplinäre Aufgabe, bei der Mensch-Computer-Interaktion, Kognitionsforschung und KI-Forschung zusammenarbeiten müssen [4] . Insbesondere werden Methoden der erklärbaren Künstlichen Intelligenz benötigt, die modelltreu sind und sich gleichzeitig kontextabhängig an den Informationsbedarf des menschlichen Gegenübers anpassen können [5] [6] [7]. (Modelltreue einer Erklärung meint, dass die Erklärung möglichst gut abbildet, aufgrund welcher Information ein KI-Modell für eine spezielle Eingabe eine bestimmte Ausgabe geliefert hat.) Zudem werden human-in-the-loop-Ansätze benötigt, bei denen menschliche Expertinnen und Experten bei fehlerhaften Ausgaben gezielt Korrekturen und Rückmeldungen an ein KI-System geben können [6].“

„Ein Gesetz für ein Technologiefeld zu entwickeln, bei dem nie auszuschließen ist, dass grundsätzlich neue Ansätze entwickelt werden, ist tatsächlich eine Herausforderung. Allerdings gilt dies vergleichbar für andere Bereiche wie etwa die Gentechnik. Tatsächlich war der Gesetzentwurf auf Europäischer Ebene schon weit gediehen, als Ende 2022 mit der Veröffentlichung von ChatGPT völlig neue Herausforderungen entstanden. Entsprechend musste hier reagiert und nachgebessert werden. Der vorgelegte Verhaltenskodex soll genau für KI-Systeme mit allgemeinem Verwendungszweck – general purpose AI (GPAI) – Orientierung liefern. Allerdings sind – zumindest für mich als Person ohne juristischen Hintergrund – viele Aspekte im AI Act wie auch in den zusätzlichen Vorgaben nicht völlig klar. Beispielsweise sollen Systeme mit nicht akzeptablem Risiko verboten werden. Dazu gehören Social-Scoring-Systeme und manipulative Systeme. Wie man aber genau bewerten will, wann beispielsweise ein KI-Chatbot manipulativ ist, ist sicher nicht trivial.“

„Obwohl der AI Act in aller Munde ist und einige zentrale Vorschriften wie zum Beispiel zu verbotenen KI-Praktiken bereits seit Februar 2025 direkt anwendbar sind, sind die Auswirkungen in der Praxis bislang kaum spürbar. Dies liegt zum einen daran, dass viele Vorschriften erst in den nächsten Monaten ‚scharf gestellt‘ werden, also unmittelbar gelten – und manche erst in ein bis zwei Jahren. Zum anderen gibt der AI Act an vielen Stellen nur einen allgemeinen Rahmen vor, der durch die Kommission, Standardisierungsorganisationen und die mitgliedstaatlichen Behörden weiter konkretisiert werden muss.“

„Inwieweit der AI Act wie beabsichtigt ein hohes Schutzniveau in Bezug auf die Gesundheit, Sicherheit und die Grundrechte gewährleistet, lässt sich daher gegenwärtig nicht verlässlich sagen.“

„Auch die wirtschaftlichen Auswirkungen werden ganz unterschiedlich eingeschätzt. Im Fall der Hochrisiko-KI-Systeme ging die Europäische Kommission beispielsweise davon aus, dass die jährlichen Compliance-Kosten für Anbieter bei etwa 6000 bis 7000 Euro und für professionelle Nutzer bei 5000 bis 8000 Euro liegen. Einige Thinktanks gehen dagegen von sehr viel höheren Zahlen aus – so sollen die jährlichen Compliance-Kosten für kleine und mittlere Unternehmen (KMU), die ein Hochrisiko-KI-System einsetzen, einer Schätzung zufolge beispielsweise bei bis zu 400.000 Euro liegen.“

„Der AI Act beruht auf einem risikobasierten Ansatz nach dem Motto: Je höher das Risiko, das von einem KI-System für die Gesundheit und die Grundrechte ausgeht, desto schärfer die Regeln. Dieser Ansatz ist grundsätzlich geeignet, eine ausgewogene Balance zwischen Regulierung und Innovation herzustellen. Einige zentrale Normen des AI Acts folgen jedoch nicht einem strikt risikobasierten Ansatz. Deshalb besteht in der Tat gerade für kleinere und mittlere Unternehmen in Europa die Gefahr, dass Innovation gehemmt wird. Umso wichtiger ist es, dass bei der Implementierung des AI Acts jetzt eine Überregulierung vermieden und darauf geachtet wird, die Verordnung nach Maßgabe eines echten risikobasierten Ansatzes zu implementieren.“

„Vor welchen Schwierigkeiten der Gesetzgeber steht, eine sich rasant entwickelnde Technologie wie Künstliche Intelligenz zu regulieren, zeigte sich bereits während der Trilogverhandlungen Ende 2022 nach Veröffentlichung von ChatGPT durch OpenAI. Da der von der Kommission vorgelegte Verordnungsentwurf ChatGPT und Co nicht ausreichend berücksichtigt hatte, wurden ‚mit heißer Nadel‘ vollständig neue Vorschriften für diese Technologie geschaffen. Der AI Act hinkt dennoch hinter den gegenwärtigen Entwicklungen her. So werden beispielsweise die besonderen Risiken, die von Agentic AI ausgehen, nicht adressiert. Zusätzliche Leitlinien und der Verhaltenskodex können hier nur bedingt Abhilfe schaffen, da beide letztlich unverbindlich sind. Die Kommission hat die Möglichkeit, durch sogenannte delegierte Rechtssetzung diesen Entwicklungen Rechnung zu tragen. Insgesamt sollte vor Einführung neuer Regeln aber erst einmal abgewartet werden, wie sich die gegenwärtigen Regeln in der Praxis auswirken, um eine vorschnelle Überregulierung zu vermeiden.“