Ein Jahr AI-Act: Zwischen regulatorischer Ambition und digitaler Realität
Am 1. August 2024 trat die KI-Verordnung der Europäischen Union – der sogenannte AI-Act – in Kraft. Als weltweit erstes umfassendes Gesetz zur Regulierung künstlicher Intelligenz wurde es von der EU-Kommission als Meilenstein gefeiert. Ein Jahr später zeigt sich jedoch ein differenziertes Bild: Die Erwartungen an das Regelwerk waren hoch, die Befürchtungen zahlreich – und die Realität komplexer als gedacht.
Die Grundidee des AI-Acts ist ebenso ambitioniert wie notwendig: KI-Systeme sollen entlang ihres Risikoprofils reguliert werden, wobei Hochrisiko-Anwendungen besonders strengen Anforderungen unterliegen. Ziel ist es, Grundrechte zu schützen, Transparenz zu schaffen und Vertrauen in KI-Technologien zu fördern. Doch die Umsetzung dieses Anspruchs hat die europäische IT-Branche vor erhebliche Herausforderungen gestellt.
Bereits die Definition dessen, was als KI-System gilt, ist weit gefasst. Nach Ansicht der Hamburger Datenschützer, fallen darunter auch schon Empfehlungsalgorithmen in sozialen Medien, Targeting-Mechanismen im AdTech-Bereich und automatisierte Bewertungssysteme, die das Verhalten oder die Persönlichkeit von Menschen kategorisieren.
Besonders kritisch sind dabei Anwendungen, die menschliche Autonomie untergraben oder emotionale Zustände ausnutzen – etwa durch sogenannte „Dark Patterns“ oder Dopamin-Loops bei Jugendlichen.
Die Liste verbotener Praktiken ist lang und umfasst unter anderem biometrische Massenüberwachung, manipulative Systeme zur Verhaltenssteuerung sowie KI-gestützte soziale Bewertung. Diese Verbote sind in Artikel 5 der Verordnung kodifiziert und wurden durch die „Guideline zum AI-Act verbotene Anwendungen“ der EU-Kommission konkretisiert. Die Eu-Kommission versteht darunter Techniken, die geeignet sind, das Verhalten von Menschen in einer Weise zu beeinflussen, die ihre Fähigkeit, eine fundierte Entscheidung zu treffen, deutlich beeinträchtigt, wodurch sie dazu veranlasst werden, sich in einer Weise zu verhalten oder eine Entscheidung zu treffen, die sie andernfalls nicht getroffen hätten. Menschen sollen in ihrer Fähigkeit, fundierte, autonome Entscheidungen zu treffen, geschützt werden. KI darf Einzelpersonen nicht dazu verleiten, sich in einer Weise zu verhalten oder eine Entscheidung zu treffen, die sie andernfalls nicht getroffen hätten. Geringfügige oder vernachlässigbare Auswirkungen sind dabei wohl hinzunehmen, nicht aber eine erhebliche Veränderung oder Behinderung der Entscheidungsfindung und der freien Auswahl, auch in Bezug auf die Meinungs- und Überzeugungsbildung.
Besonders gefährlich wird dies dann, wenn das manipulative Ziel wie in den meisten Fällen nicht der eigentliche Verwendungszweck des Systems ist. Häufig ist dies weder transparent noch wird es als solches in den vom Anbieter bereitgestellten Informationen (z. B. in der Betriebsanleitung, in Werbe- oder Verkaufsmaterialien und Erklärungen sowie in der technischen Dokumentation) angegeben. Das Verbot des Art 5 Abs. 1 lit a.) AI-Act soll auch dann greifen, wenn keine solche Absicht vorliegt, aber die Wirkung der von einem KI-System eingesetzten Technik(en) geeignet ist, das Verhalten einer Person oder einer Gruppe von Personen in einem solchen Umfang zu verändern, dass deren individuelle Autonomie und freie Auswahl untergraben wird.
Gleichzeitig existieren zahlreiche Ausnahmen – etwa für nationale Sicherheitsinteressen, Forschung und private Nutzung –, die den Anwendungsbereich einschränken und Interpretationsspielräume eröffnen.
Ein zentrales Problem in der Praxis ist aber die bestehende Rechtsunsicherheit. Wie auch der KI-VO Datenschutz-Praxisleitfaden der Hamburger Datenschutzbehörde ausführt, fehlen bislang verbindliche Leitfäden und Instrumente zur Umsetzung der Verordnung. Unternehmen, insbesondere KMUs, sind auf daher umfassende Beratung angewiesen, um Sanktionen zu vermeiden. Die Verordnung verlangt unter anderem ein kontinuierliches Monitoring von KI-Systemen über deren gesamten Lebenszyklus hinweg – ein Aufwand, der viele überfordert.
Die Kritik aus der Wirtschaft ist entsprechend laut. Laut einem aktuellen Beitrag auf t3n fordern Vertreter der europäischen Industrie und Digitalwirtschaft ein zweijähriges Moratorium für den AI-Act und fordern die EU-Kommission auf, die Wirtschaft bei der Umsetzung des AI-Acts weitergehend zu unterstützen. Die Vorschriften, die ab dem 2. August 2025 für sogenannte GPAI-Modelle (General Purpose AI) gelten sollen, seien zu komplex und ressourcenintensiv. Die Sorge: Europas Wettbewerbsfähigkeit könnte leiden, wenn Unternehmen auf einfachere Lösungen aus dem Silicon Valley zurückgreifen.
Diese Befürchtung ist nicht von der Hand zu weisen. Der AI-Act stellt hohe Hürden für die Entwicklung und Nutzung von KI-Systemen auf. Für viele Geschäftsleitungen stellt sich die Frage, ob es nicht günstiger sei, auf bereits etablierte Produkte außerhalb der EU zurückzugreifen. Dies konterkariert das Ziel der Verordnung, Innovationen in Europa zu fördern – insbesondere durch Startups und mittelständische Unternehmen.
Gleichzeitig zeigt sich, dass einige der ursprünglich geäußerten Ängste nicht eingetreten sind. So wurde befürchtet, dass der AI-Act zu einem Innovationsstopp führen könnte. Tatsächlich hat sich die Forschung und Entwicklung in vielen Bereichen fortgesetzt – wenn auch unter veränderten Rahmenbedingungen. Die KI und deren breiter Einsatz schafft nicht neue Datenschutzprobleme sondern verschärft lediglich die bestehenden.
Der AI-Act bietet also insofern auch die Chance, bestehende Regelwerke zu überdenken und neu zu justieren. Ein weiterer positiver Aspekt ist dabei die Etablierung klarer Verantwortlichkeiten. Ein Meilenstein wird dabei die Einrichtung einer zentralen Aufsichtsbehörde sein, die ab August 2025 ihre Tätigkeit aufnehmen wird. Diese soll nicht nur Sanktionen verhängen, sondern auch beratend tätig sein und die Umsetzung der Verordnung begleiten.
Was erwartet uns nun also zum 2. August 2025? Die nächste Stufe des AI-Acts tritt in Kraft und betrifft insbesondere GPAI-Modelle. Unternehmen müssen dann nachweisen, dass ihre Systeme keine verbotenen Praktiken anwenden, transparent dokumentiert sind und einer Risikoanalyse unterzogen wurden. Die Aufsichtsbehörden erhalten erstmals die Möglichkeit, Sanktionen zu verhängen – ein Schritt, der die Verbindlichkeit des Regelwerks deutlich erhöht.
Die politischen Stimmen zum AI-Act sind geteilt. Der Verband der Internetwirtschaft eco e.V. bezeichnete die Verordnung als „historischen Meilenstein“, mahnt jedoch in seiner aktuellen Stellungnahme rechtssichere Rahmenbedingungen und mehr Gestaltungswillen an. Auch die Risk Management & Rating Association (RMA) sowie der Gesamtverband der versicherungsnehmenden Wirtschaft (GVNW) betonen die Notwendigkeit, den AI-Act an die rasante Entwicklung generativer KI-Systeme anzupassen. Sie sehen in der Verordnung zwar eine wichtige Grundlage zur Stärkung der Grundrechte, fordern aber Nachbesserungen, um den Anforderungen der Praxis gerecht zu werden.
Ob der AI-Act ein Hemmschuh für die europäische IT-Branche ist, lässt sich also nicht pauschal beantworten. Er ist zweifellos ein regulatorischer Kraftakt, der Ressourcen bindet und Prozesse verlangsamt. Doch er schafft auch Rechtssicherheit, fördert Vertrauen und setzt Standards, die langfristig Wettbewerbsvorteile bringen können. Entscheidend wird sein, ob die EU bereit ist, den AI-Act flexibel weiterzuentwickeln – etwa durch praxisnahe Leitlinien, vereinfachte Verfahren und eine stärkere Einbindung der Wirtschaft.
Die kommenden Monate werden zeigen, ob der AI-Act seine Balance zwischen Regulierung und Innovationsförderung findet. Klar ist: Die europäische IT-Branche steht an einem Wendepunkt. Der AI-Act sollte kein statisches Regelwerk, sondern ein dynamischer Prozess sein, denn seine Akzeptanz in Unternehmen und die Schaffung von Vertrauen beim Anwender hängt davon ab, wie klug und pragmatisch er gestaltet wird.
