Das EU-Gesetz über KI ist der ehrgeizigste Versuch, künstliche Intelligenz weltweit zu regulieren. Es ist auch das umstrittenste, komplexeste und je nach Befragtem entweder das Modell einer verantwortungsvollen KI-Governance oder ein bürokratischer Albtraum, der die europäische Innovation bremsen wird.
Was das EU-Gesetz über KI wirklich sagt
Das EU-Gesetz über KI klassifiziert KI-Systeme nach Risikostufen und wendet unterschiedliche Regeln auf jede Kategorie an:
Unacceptable risk (verboten). KI-Systeme, die menschliches Verhalten manipulieren, Schwächen ausnutzen, Social Scoring durch Regierungen ermöglichen oder biometrische Identifizierung in Echtzeit in öffentlichen Räumen durchführen (mit begrenzten Ausnahmen für die Strafverfolgungsbehörden). Diese sind ohne Ausnahme verboten.
High risk. KI-Systeme, die in kritischen Bereichen eingesetzt werden — Rekrutierung, Kredit-Scoring, Bildung, Gesundheit, Strafverfolgung, Grenzkontrollen, kritische Infrastrukturen. Diese unterliegen den strengsten Anforderungen: Risikobewertungen, Datenqualitätsstandards, Transparenzpflichten, menschliche Überwachung und Registrierung in einer EU-Datenbank.
Limited risk. KI-Systeme wie Chatbots und Deepfake-Generatoren, die Transparenzanforderungen erfüllen müssen — die Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren, und der von der KI generierte Inhalt muss gekennzeichnet werden.
Minimal risk. Alles andere — Spam-Filter, KI in Videospielen, Empfehlungssysteme. Keine spezifischen Anforderungen über das bestehende Recht hinaus.
General-purpose AI (GPAI) models. Eine separat hinzugefügte Kategorie im späteren Verlauf des Gesetzgebungsverfahrens. Modelle wie GPT-4, Claude und Gemini müssen Transparenzanforderungen erfüllen, und die leistungsstärksten Modelle (Modelle mit „systemischem Risiko“) unterliegen zusätzlichen Verpflichtungen, einschließlich adversarialer Tests und Vorfallberichten.
Was jetzt passiert
Das EU-Gesetz über KI trat im August 2024 in Kraft, wird jedoch schrittweise umgesetzt:
Februar 2025: Die Verbote für KI-Systeme mit inakzeptablem Risiko traten in Kraft. Dazu gehören Social Scoring, manipulative KIs und die meisten biometrischen Identifizierungen in Echtzeit.
August 2025: Die Regeln für GPAI-Modelle traten in Kraft. Unternehmen, die allgemeine KI-Modelle bereitstellen, müssen die Transparenzanforderungen erfüllen und für Modelle mit systemischem Risiko zusätzliche Sicherheitsverpflichtungen einhalten.
August 2026: Das Gesetz gilt in vollem Umfang, einschließlich aller Anforderungen für KI-Systeme mit hohem Risiko. Dies ist der große Stichtag, auf den sich Unternehmen jetzt vorbereiten.
Die Herausforderung der Compliance
Für Unternehmen, die KI in Europa entwickeln oder bereitstellen, ist die Compliance eine große Herausforderung:
Ungewissheit bei der Klassifizierung. Zu bestimmen, ob Ihr KI-System „hohes Risiko“ hat, ist nicht immer einfach. Das Gesetz bietet Kategorien, aber es gibt viele Grenzfälle. Ein Kundenservice-Chatbot wird als minimal risk betrachtet. Ein Chatbot, der Ärzten hilft, Patienten zu diagnostizieren, ist hochriskant. Wie sieht es mit einem Chatbot aus, der allgemeine Gesundheitsinformationen bereitstellt? Die Grenze ist nicht immer klar.
Dokumentationsanforderungen. Hochrisiko-KI-Systeme erfordern umfangreiche Dokumentation — technische Dokumentation, Risikobewertungen, Daten-Governance-Dokumente und mehr. Für Unternehmen, die hastig gehandelt haben und ihre KI-Systeme nicht gründlich dokumentiert haben, stellt dies einen erheblichen nachträglichen Aufwand dar.
Komplexität der Lieferkette. Wenn Sie ein Drittanbieter-KI-Modell (wie GPT-4) in einer Hochrisiko-Anwendung verwenden, haben Sie und der Anbieter des Modells Compliance-Verpflichtungen. Die Koordination der Compliance über die gesamte KI-Lieferkette ist eine neue Herausforderung.
Ungewissheit bei der Durchsetzung. Jedes EU-Mitgliedsland richtet seine eigene KI-Regulierungsbehörde ein. Inwieweit diese Behörden das Gesetz durchsetzen und wie sie mehrdeutige Bestimmungen interpretieren, bleibt abzuwarten.
Die globale Auswirkung
Das EU-Gesetz über KI hat Auswirkungen über Europa hinaus:
Der Brüsseler Effekt. So wie die DSGVO zu einem de facto globalen Datenschutzstandard geworden ist, beeinflusst das EU-Gesetz über KI die Regulierung von KI weltweit. Unternehmen, die in Europa tätig sein wollen, müssen sich anpassen, und viele finden es einfacher, die EU-Standards global anzuwenden, als unterschiedliche Ansätze für verschiedene Märkte aufrechtzuerhalten.
Wettbewerbsbedenken. Kritiker argumentieren, dass das Gesetz europäische Unternehmen im Vergleich zu amerikanischen und chinesischen Wettbewerbern benachteiligt, die mit weniger Regulierung konfrontiert sind. Befürworter entgegnen, dass verantwortungsvolle KI-Entwicklung einen langfristigen Wettbewerbsvorteil darstellt.
Normenbildung. Das Gesetz fördert die Entwicklung von Normen für KI — technische Spezifikationen für Risikobewertungen, Tests, Dokumentation und Transparenz. Diese Normen werden die KI-Entwicklungspraktiken weltweit beeinflussen.
Was Unternehmen tun sollten
Wenn Sie KI entwickeln oder bereitstellen und eine europäische Exposition haben:
Klassifizieren Sie Ihre KI-Systeme. Bestimmen Sie, zu welcher Risikokategorie jedes System gehört. Das bestimmt Ihre Compliance-Verpflichtungen.
Beginnen Sie jetzt mit der Dokumentation. Warten Sie nicht bis zur Frist im August 2026. Eine nachträgliche Compliance-Dokumentation zu erstellen, ist viel schwieriger, als sie während Ihrer Entwicklung aufrechtzuerhalten.
Überprüfen Sie Ihre KI-Lieferkette. Verstehen Sie, welche Modelle und Komponenten von KI Sie verwenden, woher sie stammen und welche Compliance-Verpflichtungen sie mit sich bringen.
Engagieren Sie sich in der Normenentwicklung. Die technischen Normen, die die Compliance definieren werden, sind noch in der Entwicklung. Beiträge aus der Industrie sind wichtig.
Planen Sie Transparenz ein. Nutzer müssen informiert werden, wenn sie mit einer KI interagieren. Der von der KI generierte Inhalt muss gekennzeichnet werden. Integrieren Sie diese Fähigkeiten jetzt in Ihre Produkte.
Meine Meinung
Das EU-Gesetz über KI ist unvollkommen, aber wichtig. Es ist der erste ernsthafte Versuch, einen rechtlichen Rahmen für KI zu schaffen, und es zwingt die Industrie, sorgfältiger über Risiken, Transparenz und Verantwortung nachzudenken.
Die Umsetzung wird chaotisch sein. Es wird Verwirrung über die Klassifizierung, Streitigkeiten über die Durchsetzung und Beschwerden über die Compliance-Kosten geben. Aber die Alternative — keine Regulierung — ist schlimmer. KI-Systeme treffen wichtige Entscheidungen über das Leben von Menschen, und ein gewisses Maß an Kontrolle ist notwendig.
Unternehmen, die Compliance als Gelegenheit betrachten, bessere, vertrauenswürdigere KI-Systeme zu entwickeln, werden besser positioniert sein als diejenigen, die sie als Belastung ansehen, die es zu minimieren gilt.
🕒 Published: