Die Entwicklung bei Künstlicher Intelligenz ist rasant. Mit dem AI Act kommt ein EU-Gesetz zur Regulierung von KI. Da er an vielen Stellen unkonkret bleibt, sollen Richtlinien Abhilfe schaffen.

Frankfurt. Im Dezember vergangenen Jahres haben sich das Europäische Parlament, der Rat der Europäischen Union sowie die Europäische Kommission auf einen Gesetzentwurf zur Regulierung von Künstlicher Intelligenz (KI) geeinigt. Der sogenannte AI Act soll im zweiten oder dritten Quartal dieses Jahres in Kraft treten. Eine Übergangsfrist von 24 Monaten wird voraussichtlich gelten, innerhalb derer die Anforderungen umgesetzt werden müssen.

Was genau soll nun geregelt werden? Wer glaubt, es ginge nur um die Regulierung der bekannten KI-Systeme wie OpenAIs ChatGPT, Microsofts Copilot oder Googles Gemini, hat weit gefehlt. In Zukunft soll jede Software, die KI verwendet, unter Betrachtung ihrer Risiken reguliert werden. Dabei reicht die Bandbreite  der vorgesehenen Regulierungen von gänzlichen Verboten bis zu Anforderungen, die erfüllt sein müssen, damit eine Software im Gebiet der Europäischen Union eingesetzt werden kann.

Alle anderen Systeme können zunächst einmal ohne Einschränkungen weiterbetrieben werden. KI-Systeme mit hohem Risiko hingegen unterliegen umfassenden Dokumentations-, Überwachungs- und Qualitätsanforderungen.

Sicherheitsrisiken im Blick

Ziel ist ein einheitlicher europäischer Rechtsrahmen für Künstliche Intelligenz, der auf der einen Seite die Grundrechte wahrt und auf der anderen Seite die Sicherheitsrisiken im Blick hat, die KI-Systeme mit sich bringen.

Darüber hinaus soll ein Rahmen für die zivilrechtliche Haftung geschaffen werden, der die Haftungsvorschriften an das digitale Zeitalter und die Künstliche Intelligenz anpasst. Zudem sollen die sektoralen Sicherheitsvorschriften überarbeitet werden.Der AI Act will Künstliche Intelligenz wegen ihrer Risiken regulieren, bleibt an vielen Stellen aber unkonkret. 

Abzuwarten bleibt, ob tatsächlich nur „Hochrisiko KI-Systeme“ durch den AI Act erfasst werden oder auch unkritische Systeme. Ebenso wird sich noch zeigen, ob der Ansatz, im KI-Bereich zu verbieten oder nur zu gestatten, wenn umfangreiche technische, organisatorische und rechtliche Vorgaben erfüllt werden, ein guter Ansatz ist – die Dokumentationspflichten nicht zu vergessen.

An vielen Stellen unkonkret

Herausfordernd bleibt dies auch deshalb, weil der AI Act an vielen Stellen unkonkret bleibt. Die Lücken sollen durch den Erlass von Richtlinien gefüllt werden.

Dabei stellt sich die Frage, ob das übergeordnete Ziel der Europäischen Union, Innovationen zu fördern, nicht auf der Strecke bleibt. In der jüngeren Vergangenheit sind europäische Gesetze, die Innovationen betreffen, zunehmend von Pflichten begleitet. Man denke nur an das neue Datengesetz (Data Act), das Gesetz über digitale Dienste (Digital Services Act) oder die Cybersicherheitsanforderungen an Produkte mit digitalen Elementen (Cyber Resilience Act).

Erheblicher Aufwand

Ausnahmeregelungen von den strengen Vorschriften des Datenschutzrechts lassen sich nur vereinzelt im AI Act finden. Das Urheberrecht bleibt völlig unangetastet.

Privilegierungen von kleinen und mittleren Unternehmen sind nicht vorgesehen. Sie müssen dasselbe umfangreiche Pflichtenprogramm erfüllen wie Großunternehmen. Für diese wird, anders als für Big-Tech-Unternehmen, ein erheblicher personeller, finanzieller und zeitlicher Aufwand notwendig sein, um die Anforderungen des AI Acts zu erfüllen.

In dieser Hinsicht bleibt sich die Europäische Kommission treu. Die Umsetzungsfrist von zwei Jahren erscheint lang. Weil aber unklar ist, wann die Europäische Kommission den AI Act weiter konkretisiert, ist es ratsam, sich mit den Themen jetzt schon vertraut zu machen.