Eckpunkte aus EU-Trilog zum KI-Omnibus stehen fest

„Die vereinbarten Änderungen am AI Act sind isolierte, punktuelle Anpassungen. Sie stellen weder die allgemeine Struktur der Verordnung noch voraussichtlich deren praktische Auswirkungen grundlegend infrage.“

„Zunächst zu den wichtigsten Änderungen: Erstens werden einige Bestimmungen später als geplant verbindlich. Dadurch wird Anbietern mehr Zeit zur Einhaltung eingeräumt. Zweitens wird ein Verbot von ‚Nudifying-KI‘ eingeführt, also von KI-Systemen, die Material über sexuellen Kindesmissbrauch erzeugen oder die intimen Körperteile einer identifizierbaren Person darstellen oder diese ohne ihre Einwilligung bei sexuell expliziten Handlungen zeigen. Dies ist eine begrüßenswerte Ergänzung der verbotenen Praktiken im AI Act.“

„Drittens beseitigt die politische Einigung sich überschneidende Anforderungen an KI in Maschinenprodukten. Das tut sie, indem sie klarstellt, dass diese lediglich den sektoralen Sicherheitsvorschriften entsprechen müssen. Diese Regelung betrifft allerdings nur die Medizinprodukteverordnung und nicht andere Produktregulierungsrahmen. Obwohl dies zeitweise auch zur Debatte stand. Viertens stellt die Pressemitteilung klar, dass die Einstufung als Hochrisiko-KI-System nicht greift, wenn KI nur zur Unterstützung der Nutzer oder zur Leistungsoptimierung eines Produkts eingesetzt wird. Sie ermöglicht die Verarbeitung personenbezogener Daten zur Erkennung von Verzerrungen (Bias) auch in Nicht-Hochrisiko-Systemen. Außerdem weitet sie die (sehr geringfügigen) KMU-Ausnahmen im AI Act auf kleine Unternehmen mit mittlerer Marktkapitalisierung aus.“

„Schließlich kündigt die Pressemitteilung auch eine Einigung über die Straffung der Durchsetzung in Bezug auf KI-Modelle mit allgemeinem Verwendungszweck innerhalb des AI Office der Europäischen Kommission an. Dies ist die am offensten formulierte Ankündigung der Pressemitteilung, die aus Governance-Perspektive weitreichende Auswirkungen haben könnte (und mittelfristig auch zu weiteren Anpassungen des AI Acts führen könnte). Allerdings müssen wir auch hier auf weitere Informationen warten, um zu sehen, was genau damit gemeint ist.“

„Das Verbot sogenannter ‚Nudifying-KI‘ stellt aus meiner Sicht eine sehr sinnvolle Ergänzung der bereits bestehenden Verbotstatbestände dar. Reichweite und tatsächliche Wirkkraft dieses Verbots werden allerdings maßgeblich von der konkreten Formulierung im Gesetzestext abhängen.“

„Die Bemühungen zur Vermeidung von Überschneidungen zwischen bestehenden produktregulatorischen Rahmenwerken und dem AI Act fallen letztlich eher bescheiden aus: Sie beschränken sich auf die Maschinenverordnung. Sämtliche übrigen Produktregulierungsrahmen, etwa die Medizinprodukteverordnung, unterliegen weiterhin sowohl ihren sektoralen Vorgaben als auch dem AI Act.“

„Aus Governance-Perspektive ist die angekündigte Änderung der Durchsetzung gegenüber KI-Modellen mit allgemeinem Verwendungszweck beim AI Office der Europäischen Kommission potenziell besonders interessant. Was dies konkret bedeutet, bleibt jedoch abzuwarten.“

„Von einer Aufweichung des Regulierungsrahmens zu sprechen, erscheint angesichts der Pressemitteilung übertrieben. Letztlich handelt es sich weitestgehend um punktuelle Anpassungen, deren praktische Auswirkungen überschaubar sein dürften. Letztlich bleibt der konkrete Gesetzestext abzuwarten, um die Tragweite der einzelnen Anpassungen abschließend beurteilen zu können.“

„Die Pressemitteilung deutet jedoch klar darauf hin, dass man sich gegen grundlegende Änderungen entschieden hat. Allenfalls lässt sich punktuell, insbesondere mit Bezug auf die Maschinenverordnung, von einer Vereinfachung sprechen. Die Maßnahmen sind jedoch größtenteils zu isoliert, um eine allgemeine Vereinfachung des AI Acts herbeizuführen.“

„Das Verbot sogenannter ‚Nudifying-KI‘ halte ich für sehr begrüßenswert. Es steht im Einklang mit dem Leitgedanken des Kapitels II des AI Acts, KI-Systeme nicht zuzulassen, die europäische Grundrechte, so etwa auch die Menschenwürde, verletzen und mit den Werten der Europäischen Union nicht vereinbar sind.“

„Im Vorfeld und während der Trilogverhandlungen gab es allerdings erhebliche Diskussionen darüber, wie dieses Verbot letztlich zu formulieren und rechtlich auszugestalten sei. Die Pressemitteilung lässt diese Frage offen. Die tatsächliche Wirkung des Verbots wird daher maßgeblich von diesen Details abhängen.“

„Soweit sich das anhand der bekannt gegebenen Eckpunkte ermessen lässt, scheinen die Trilog-Verhandlungen zu einer maßvollen, grundsätzlich sinnvollen Anpassung der KI-Verordnung geführt zu haben. Nützlich erscheint insbesondere das Herausschieben einiger Fristen für die Anwendbarkeit verschiedener Vorgaben der KI-Verordnung.“

„Im Zeitraum seit Verabschiedung der KI-Verordnung hat sich Folgendes recht deutlich herausgestellt: Das primär symbolpolitische Anliegen, die ‚weltweit erste umfassende KI-Regulierung‘ auf den regulatorischen (Rechts-)Markt zu bringen, rechtfertigt nicht die Nachteile einer noch nicht hinreichend ausgegorenen und in ihren Folgen und Anforderungen verstandenen Regulierung. Insbesondere steht zu befürchten, dass die neue Regulierung zu einem allseits abgelehnten und nach Möglichkeit umgangenen Regelwerk verkommt. So könnte sie das berechtigte Anliegen einer sachhaltigen Einhegung der Gefahren von KI-Systemen nachhaltig schädigen.“

„Der Aufschub der Anwendbarkeit bestimmter Pflichten kann sowohl Regulierungsbehörden als auch Regulierungsadressaten helfen. Das passiert, indem er hilft, das in großer Eile zusammengestrickte Regelwerk zumindest notdürftig zu durchdringen. Außerdem verknüpft er das Regelwerk mit den übrigen KI- und datenverarbeitungsbezogenen Regelungen und Durchsetzungsstrukturen hinreichend, ehe die neuen Vorgaben zur Anwendung gelangen.“

„Angesichts dieses Hintergrundes scheinen mir allerdings einige Aufschübe konkreterer und relativ leicht greifbarer Vorgaben eher unplausibel. Das gilt insbesondere für das in die KI-Systeme zu integrierende Watermarking für KI-generierte Inhalte. Hier geht es weder um technisch komplexe noch um inhaltlich sonderlich unscharfe Vorgaben. Ein Aufschub der Anwendbarkeit bringt somit keine Erkenntnis-, Umsetzungs- und Absehbarkeitsvorteile.“

„Andererseits hätte es meines Erachtens nahegelegen, die Frist für die Einrichtung von KI-Regulierungsreallaboren nach hinten zu schieben. Insoweit ist absehbar, dass ein Aufbau leistungsfähiger behördlich verantworteter Testräume – die die von diesem komplexen Instrument erhofften Mehrwerte tatsächlich erbringen können – in so kurzer Frist kaum gelingen kann. Auch hier droht also die eingangs skizzierte Gefahr eines KI-regulatorischen ‚window dressing‘ (Sachverhalte möglichst positiv inszenieren; Anm. d. Red.), das niemandem wirklich weiterhilft.“

„Grundsätzlich zu begrüßen ist meines Erachtens auch der Versuch, eine halbwegs einheitliche Anwendung und Durchsetzung der Vorgaben der KI-Verordnung zu begünstigen. Denn auf Durchsetzungsebene bewährt sich erst jede Form unionsweit einheitlicher, harmonisierender Regulierung.“

„Dass dieser Versuch bei KI-Systemen mit allgemeinem Zweck zu einer Zentralisierung von Aufsichtszuständigkeiten bei der Kommission im AI Office führt, ist ebenso absehbar wie problematisch. Föderalisierte, dezentrale Aufsichtsstrukturen entsprechen der Grundanlage des Unionsrechts (indirekter Vollzug). Sie haben wesentliche Vorteile mit Blick auf Nähe zum regulierten Gegenstand, Lernfähigkeit von Strukturen (bottom-up) und Akzeptanz durch die Regulierungsadressaten. Auch in föderalen Strukturen kann man hinreichende Einheitlichkeit durch kluge gesetzliche Regulierung und Überwachung erreichen. Die Gleichsetzung von ‚streamlined enforcement‘ (regulatorischer Ansatz; Anm. d. Red.) und Zentralisierung bei der Kommission ist ein Irrtum und eine besorgniserregende Entwicklung der gesamten EU-Digitalregulierung.“

„Der Versuch einer besseren Abstimmung auf andere KI-bezogene Regelwerke erscheint mir grundsätzlich sinnvoll. Das gilt insbesondere mit Blick auf das Datenschutzrecht und Sektorregelungen. Es bringt wenig, verschiedene Regelwerke und Aufsichtsstrukturen so komplex einander überlappen zu lassen. Denn so wissen weder Aufsichtsbehörden noch Regulierungsadressaten, was gilt und was zu tun ist. Eine hinreichende Abgrenzung stärkt meines Erachtens die praktischen Wirksamkeiten. Das gilt sowohl für die Vorgaben der KI-Verordnung als auch für die schärfer von ihr abgegrenzten Sektor- und Datenschutzregelungen.“

„Allerdings lässt sich anhand der Eckpunkte nicht bewerten, ob die schärfere und klarere Abgrenzung tatsächlich gelungen ist. Das könnte auch nur behauptet werden, um künftig von als politisch lästig empfundenen Vorgaben der KI-Verordnung oder des Datenschutzrechts abzuweichen.“

„Die Schärfung und Einengung des Begriffs der Hochrisiko-Systeme scheint mir ebenfalls grundsätzlich zu begrüßen zu sein. Denn ein risikobasierter, nach Risiko-Stufen vorgehender Regulierungsansatz ergibt nur Sinn, wenn er nicht nach dem Motto ‚viel hilft viel‘ oder ‚better safe than sorry‘ allzu Vieles in die höchste erlaubte Risikokategorie packt. Damit würde er sich in Widerspruch zum eigenen Differenzierungsansatz setzen. Auch hier droht ein Abnutzungs- und Gewöhnungseffekt. Es droht eine Schwächung der normativen Kraft der Vorgaben für Hochrisiko-Systeme, wenn sie zu inflationär anwendbar sind. Ob die Abgrenzung und Fokussierung auf das wirklich besonders ‚Gefährliche‘ gelungen ist beziehungsweise gelingen wird, lässt sich auch hier anhand der abstrakten Eckpunkte nicht ermessen.“

„Der Ansatz, das Problem der Erstellung sexualisierter Deepfakes systembezogen zu lösen, scheint mir grundsätzlich klug und erfolgversprechend zu sein. Systembezogen bedeutet, dass man entsprechende Sicherungen in KI-Systemen verlangt und einbaut.“

„Denn bei dieser sozialen Praxis handelt es sich um ein Problem, das gerade aus den neuen technischen Möglichkeiten und deren leichter Verfügbarkeit über KI-Anwendungen erwächst. Den Versuch, sich das Gegenüber nackt und in sexualisierter Pose vorzustellen, hat es wahrscheinlich schon immer gegeben. Auch, diese Vorstellung zeichnend, malend oder anderweitig manifest zu machen. Nur reichten bis vor Kurzem die Fähigkeiten, dies wirklichkeitsgetreu in die Tat umzusetzen, bei den allermeisten Menschen nicht aus. Es ist daher grundsätzlich sinnvoll, dieses Problem nicht über neue Verbote – insbesondere strafrechtlicher Art – gegenüber den Nutzern solcher technischen Möglichkeiten zu lösen. Sondern dadurch, dass man die Bereitstellung dieser Möglichkeiten reguliert.“

„Ob es klug ist, ein solches KI-Einsatzszenario in Anbetracht einer derart kurzfristig entbrannten und womöglich auch bald wieder abschwellenden öffentlichen Debatte in den Verbotskatalog des Artikel 5 der KI-Verordnung aufzunehmen, steht auf einem anderen Blatt. Man sollte insoweit bedenken, dass sich die Kategorisierung als schlechthin verbotenes KI-Risiko-System nur per europäischem Gesetz ändern lässt und als seltener Grenzfall angelegt ist. Daher ist gerade bei der Ergänzung des Verbotskatalogs des Artikel 5 der KI-Verordnung besonderes Augenmaß geboten.“

„Wer die Diskussion der vergangenen Monate verfolgt hat, ist durch die bekannt gewordenen Eckpunkte des Verhandlungsergebnisses wenig überrascht. Zu den wichtigsten Änderungen gehören zweifellos das Hinausschieben der Anwendbarkeit zentraler Bestimmungen zu Hochrisiko-KI-Systemen und der Kennzeichnung KI-generierter Inhalte. Außerdem zählt dazu das Verbot sogenannter Nudifier Apps – wie sie durch den Skandal um die Anwendung ‚Grok‘ traurige Bekanntheit erlangt haben – sowie eine Reihe punktueller Änderungen und Vereinfachungen. Letztere umfassen neben einer neu gefassten Regelung zur Datenverarbeitung im Interesse des Aufspürens und Verhinderns von Bias und Diskriminierung auch eine teilweise Neuordnung des Verhältnisses zu sektorspezifischem Produktsicherheitsrecht. Außerdem umfassen sie die Erstreckung von KMU-Privilegien auf sogenannte ‚Small Mid-Cap‘-Unternehmen und die Bündelung von Zuständigkeiten.“

„Die Folgen der erwähnten Änderungen ergeben sich aus der Natur der jeweiligen Maßnahme. Das Hinausschieben der Geltung beispielsweise ist wenig erfreulich, war angesichts der eingetretenen Verzögerungen etwa bei Standards, Leitlinien und Verhaltenskodizes aber letztlich unvermeidbar.“

„Zur Verschiebung einzelner Anwendungen aus dem AI Act in die Sektorregelung muss man zunächst vorausschicken, dass das Zusammenspiel zwischen AI Act und sektorspezifischem Produktsicherheitsrecht extrem unklar ausgestaltet war. Hier bestand also Klärungsbedarf – etwa dahingehend, was alles ein ‚Sicherheitsbauteil‘ ist.“

„Um das Verhandlungsergebnis zuverlässig bewerten zu können, müsste ich den konkreten Wortlaut sehen. Nur dann kann ich beurteilen, was die Änderung konkret bedeutet, beispielsweise für die Sicherheit von KI-Spielzeug für Kinder. Im schlimmsten Fall sind jetzt hier große Risiken ausgeblendet. Aber es kann auch sein, dass man mit entsprechender Auslegung zum richtigen Ziel gelangt.“

„Die Rede von einer ‚Lockerung von Datenschutzbestimmungen‘ halte ich schon im Ansatz für verfehlt. Wir sind uns alle einig, dass KI möglichst keine verzerrten Ergebnisse liefern und möglichst nicht diskriminieren soll – insbesondere nicht aufgrund geschützter Merkmale wie sexueller Orientierung oder Weltanschauung oder aufgrund des Gesundheitszustands.“

„Um das zu verhindern, muss ich das System entsprechend trainieren und später testen. Zu einem gewissen Grad kann ich das mit den Daten fiktiver Personen tun. Aber manchmal brauche ich auch Daten realer Personen. Das soll nun nicht nur bei Hochrisiko-KI wie Systemen zur Kreditwürdigkeitsprüfung möglich sein, sondern auch allgemein, wenn sehr strenge Bedingungen erfüllt sind.“

„Ich halte diesen Teil der Regulierung für sinnvoll und der Sache nach begrüßenswert. Das soll aber nicht heißen, dass die Erstellung sexualisierter Deepfakes ohne Einwilligung der Betroffenen nach bislang geltendem Recht erlaubt gewesen wäre. Ein punktuelles Verbot in Artikel 5 des AI Act diente der Bewusstseinsbildung, eröffnete neue Sanktionsmöglichkeiten und hat auch in Bezug auf das Gesamtsystem der Regulierung wenig Auswirkungen. Will heißen, dass man mit einem solchen Verbot wenig falsch machen kann.“

„Zu Haftungsfragen ist generell zu sagen, dass der AI Act keine Haftungsregelungen im Sinne einer Haftung auf Schadensersatz enthält. Sondern dies bleibt weiterhin dem nationalen Recht sowie punktuellen unionsrechtlichen Regelungen, wie Artikel 82 der DSGVO, überlassen. Das harmonisierte neue Produkthaftungsrecht ist meist nicht einschlägig. Denn dieses erfasst primär nur Personen- und Sachschäden. Damit es greift, müsste es bei einem Opfer etwa zu einer medizinisch diagnostizierten Depression kommen.“

„Grundsätzlich ist die Einigung zu begrüßen. Sie setzt eine Reihe von wichtigen und richtigen Prioritäten.“

„Die größte Änderung ist sicherlich die partielle Herausnahme der Regeln für ‚industrielle KI‘ aus dem AI Act. Sie ist bereits sektoral streng reguliert. Das gilt zum Beispiel für Maschinen. Das entspricht einer Forderung, die wir vergangenes Jahr in einer Studie der Bertelsmann-Stiftung [1] erhoben haben. Diese basierte auf Interviews mit Expert:innen.“

„Meiner Ansicht nach ist dies die architektonisch bessere Lösung, unter zwei Bedingungen. Erstens müssen die sektoralen Regulierungsakte nun tatsächlich überarbeitet werden, mit einem Fokus auf der Sicherstellung von menschlicher Aufsicht. Wir brauchen also vor allem Äquivalente zu Artikel 14 und Artikel 26 in den sektoralen Akten. Es kommt daher entscheidend auf die ‚Safeguards‘ an, die im Detail noch ausgearbeitet werden müssen.“

„Zweitens muss dies bindend innerhalb des zeitlichen Rahmens bis zum Inkrafttreten der Regeln im AI Act geschehen, die sonst gegolten hätten (2. August 2028). Das ist machbar, muss nun aber unverzüglich umgesetzt werden, unter Einbezug von unabhängigen Expert:innen. Die zuvor bestehende horizontale Regelung im AI Act würde mit den bestehenden sektoralen Regeln vielfach konfligieren und unnötige Doppelungen und Abweichungen bringen. Daher ist es rechtstechnisch klarer und sauberer, die einzelnen Akte selbst zu überarbeiten.“

„Bedeutsam sind auch die neuen Verbote für ‚Nudifier Apps‘. Dahinter steht der absolut nachvollziehbare und wichtige Wille zur Bekämpfung sexualisierter digitaler Gewalt. Das Verbot von Anwendungen, die ihrem Zweck nach genau darauf zielen, und von deren Betrieb ist vollkommen richtig.“

„Schwierig umzusetzen wird allerdings die Regelung, dass GPAI-Modelle (KI-Modelle mit allgemeinem Verwendungszweck, General-Purpose AI; Anm. d. Red.) verboten sind, die solche Bilder ermöglichen und keine hinreichenden Sicherheitsmaßnahmen aufweisen. Grundsätzlich ist dies auch der richtige Ansatz. Man wird jedoch ausbuchstabieren müssen, welche Maßnahmen erforderlich sind (zum Beispiel angelehnt an den jeweiligen State of the Art), und ob bestimmte Anwendungen (zum Beispiel im Bereich Bademode) ausgenommen sind. Ein Verbot ist das schärfste Schwert, also müssen die Details sitzen. Hier liegt noch viel Arbeit vor allen Beteiligten, die aber grundsätzlich gut investiert ist, da es um ein herausragend wichtiges gesellschaftliches Gut geht.“

„Die Verschiebung der Fristen trägt dem Umstand Rechnung, dass wesentliche Compliance-Voraussetzungen noch nicht verfügbar sind, vor allem die technischen Standards. Das ist bedauerlich, die Verschiebung ist aber letztlich für eine klare Compliance-Perspektive realistisch.“

„Sinnvoll ist auch die Möglichkeit, sensitive Daten für Debiasing, also für die Reduzierung von Diskriminierung, auch außerhalb von Hochrisikoanwendungen verwenden zu können. Daran scheitert es sonst häufig in der Praxis, wie ich aus eigener Erfahrung bestätigen kann. Auch hier sind aber die Safeguards wichtig, also eine strikte Begrenzung auf das, was wirklich für Debiasing nötig ist. Dies müsste auch bei einer eventuellen Sonderregelung für sensitive Daten zu Zwecken des KI-Trainings im Daten-Omnibus so gehandhabt werden (Entwurf zu Artikel 9(k) DSGVO), über die heute aber nicht verhandelt wurde.“

„Unverändert und nach wie vor sehr problematisch werden wichtige Verpflichtungen der KI-Verordnung in Bezug auf Hochrisiko-Systeme aufgeschoben. Das schwächt europäische Anbieter/innen gegenüber den jetzt schon so dominanten außereuropäischen KI-Anbietern noch weiter.“

„Nun gibt es zwar ein neues verbindliches Datum, ab wann Hochrisiko-Systeme reguliert werden. Allerdings ist dieses noch mindestens eineinhalb Jahre weit weg. Hält man sich vor Augen, dass es generative KI für den breiten Markt überhaupt erst seit drei Jahren gibt, fragt man sich, wie dann noch effektive Regulierung gelingen können soll. Und außerdem sind diese Zeitpunkte ja auch wieder neu verhandelbar. Damit wird die KI-Verordnung unnötig zahnlos gemacht.“

„Zudem wird die Möglichkeit spezifischer und konkurrierender KI-Regelungen in speziellen Rechtsakten klarer geregelt. Im Prinzip soll es bei der allgemeinen Anwendbarkeit der KI-Verordnung bleiben. Die Kommission kann aber mit Durchführungsrechtsakten die Anwendbarkeit der KI-Verordnung zugunsten des spezifischen Rechts zurückdrängen. Im Bereich der Anwendbarkeit von KI in Maschinen kann die Kommission künftig über solche Durchführungsrechtsakte besondere Anforderungen für Hochrisiko-Anwendungen zugunsten von Sicherheit und Gesundheit vorsehen.“

„Positiv zu bewerten ist, dass zum einen die Verpflichtung zur transparenten Deklarierung von KI-Inhalten deutlich weniger nach hinten geschoben wurde als zunächst vorgesehen. Und auch die Einführung von neuen Vorschriften, die KI-Anwendungen untersagen, die etwa Kindesmissbrauch und sexuelle Praktiken betreffen, ist positiv zu beurteilen. Das sind zum Beispiel sogenannte Deepfakes. Allerdings enthält die Formulierung hier offenkundig sehr unscharfe Bezeichnungen.“

„Die EU nimmt ihre Einflussmöglichkeiten auf den KI-Anwendungsmarkt weiterhin nicht so ernst, wie sie es zur Förderung der europäischen Wirtschaft könnte. Die Verschiebung wesentlicher Verpflichtungen ist keine Vereinfachung, sondern benachteiligt potenziell rechtstreue Unternehmen. Grundsätzlich ist die Möglichkeit zu begrüßen, für bestimmte Bereiche Regelungen zu präzisieren. Allerdings muss sichergestellt sein, dass dies nicht von den Grundprinzipien der KI-Verordnung abweicht. Dies ist auch weiterhin nicht gewährleistet.“

„Soweit aktuell erkennbar, ist dies ein guter und wichtiger Schritt (gemeint sind die schärferen Regelungen für KI-Systeme, mit denen sexualisierte Inhalte erstellt werden können; Anm. d. Red.). Die Begrenzung auf bestimmte Anwendungen ist sinnvoll, auch wenn hier noch weitere Anwendungsbereiche vergleichbarer Regelung bedürfen. Dazu zählen etwa politischer Einsatz, Diskriminierung und Diskreditierung von Personen. Hier bestehen allerdings begrifflich noch einige Unschärfen. Es fehlt weiterhin eine KI-Haftungsregelung, welche Geschädigten den Zugang zu Gerichten vereinfacht und eine klare Beweislastverschiebung zulasten der KI-Betreiber regelt.“

„Der KI-Omnibus führt für europäische Unternehmen nach jetzigem Stand zu keiner wesentlichen Vereinfachung. Gerade für kleine und mittlere Unternehmen bleiben die erheblichen Compliance-Kosten der KI-Verordnung bestehen. Dadurch haben sie gegenüber außereuropäischen Big-Tech-Anbietern weiterhin einen klaren Wettbewerbsnachteil.“

„Die angekündigte ‚Vereinfachung‘ beschränkt sich im Wesentlichen auf die Verschiebung einzelner Anwendungsfristen, die punktuelle Beseitigung regulatorischer Überschneidungen der KI-Verordnung mit sektorspezifischem Recht sowie die Einführung eines neuen Verbots sexualisierter Deepfakes. Das ist keine strukturelle Entlastung. Solange auf Ebene der Europäischen Union (EU) weiterhin mehr als hundert digitale Rechtsakte in inkohärenter Weise zur Anwendung kommen, bleibt der regulatorische Aufwand ein zentrales Innovationshemmnis.“

„Eine Lockerung der Datenschutzbestimmungen oder weitreichende neue Ausnahmen für Hochrisiko-Systeme sind nach den bislang bekannten Eckpunkten nicht erkennbar. Positiv zu bewerten ist der Ansatz, einzelne Anwendungen aus der KI-Verordnung in bestehende sektorale Regelwerke zu überführen. Denn dies kann Doppelregulierung reduzieren. Gerade an den Schnittstellen zwischen horizontalem KI-Recht und sektorspezifischer Regulierung besteht erheblicher Vereinfachungsbedarf. Der Kompromiss greift allerdings deutlich zu kurz. Wichtige Bereiche wie das Medizinprodukterecht waren von den Verhandlungen von vornherein ausgenommen. Stattdessen hat die Kommission zum Medizinprodukterecht einen separaten Vorschlag vorgelegt, der nun außerhalb des Omnibus-Verfahrens verhandelt werden muss.“

„Dieses Verbot ist grundsätzlich richtig und notwendig (gemeint sind die schärferen Regelungen für KI-Systeme, mit denen sexualisierte Inhalte erstellt werden können; Anm. d. Red.). Denn der Einsatz solcher Systeme greift massiv in Persönlichkeitsrechte ein und birgt erhebliches Missbrauchspotenzial.“

„Der Regulierungsansatz stößt jedoch dort an Grenzen, wo generative KI-Systeme sowohl für legitime als auch für missbräuchliche Zwecke eingesetzt werden können. Der Trilog-Kompromiss verlangt von Anbietern angemessene Schutzmechanismen gegen offensichtlichen Missbrauch. Er lässt aber offen, welche technischen und organisatorischen Maßnahmen hierfür konkret ausreichend sind. Damit bleibt für Anbieter erhebliche Rechtsunsicherheit bestehen.“

„Hinzu kommt das Problem der internationalen Durchsetzbarkeit: Europäische Verbote verlieren an Wirkung, wenn entsprechende Tools außerhalb des europäischen Rechtsraums entwickelt und weltweit online verfügbar gemacht werden.“