EU-KI-Gesetz: Anbieter stehen vor Unsicherheit und Innovationshürden
Ab dem 2. August 2025 müssen Anbieter von Allzweck-Künstlicher-Intelligenz (GPAI)-Modellen, die innerhalb der Europäischen Union tätig sind, die wichtigsten Bestimmungen des EU-KI-Gesetzes einhalten. Diese Anforderungen umfassen die Pflege aktueller technischer Dokumentationen und Zusammenfassungen der Trainingsdaten.
Das EU-KI-Gesetz soll den sicheren und ethischen Einsatz von KI im gesamten Block gewährleisten und verfolgt einen risikobasierten Ansatz, der KI-Systeme nach ihrem potenziellen Einfluss auf die Bürger kategorisiert. Doch mit näher rückender Frist äußern KI-Anbieter und Rechtsexperten erhebliche Bedenken hinsichtlich der mangelnden Klarheit der Gesetzgebung. Diese Unklarheit, so argumentieren sie, könnte Unternehmen selbst bei Einhaltungsabsicht Strafen aussetzen, und einige Anforderungen könnten Innovationen behindern, insbesondere für Tech-Startups.
Oliver Howley, Partner in der Technologieabteilung der Anwaltskanzlei Proskauer, hebt diese Probleme hervor. „Theoretisch sollte der 2. August 2025 ein Meilenstein für verantwortungsvolle KI sein“, erklärte er. „In der Praxis schafft er jedoch erhebliche Unsicherheit und in einigen Fällen echte kommerzielle Zurückhaltung.“
Unklare Gesetzgebung schafft Herausforderungen für KI-Anbieter
KI-Modell-Anbieter in der EU kämpfen mit einer Gesetzgebung, die „zu viel Interpretationsspielraum lässt“, bemerkt Howley. Während die zugrunde liegenden Prinzipien erreichbar sein mögen, führt die hochrangige Formulierung zu echter Mehrdeutigkeit. So definiert das Gesetz GPAI-Modelle als solche mit „signifikanter Allgemeinheit“ ohne präzise Schwellenwerte und verlangt von Anbietern die Veröffentlichung „ausreichend detaillierter“ Zusammenfassungen der Trainingsdaten. Diese Vagheit stellt ein Dilemma dar: Die Offenlegung zu vieler Details könnte das Risiko bergen, wertvolles geistiges Eigentum preiszugeben oder Urheberrechtsstreitigkeiten auszulösen.
Einige Anforderungen stellen auch unrealistische Standards dar. Der KI-Verhaltenskodex, ein freiwilliger Rahmen für Unternehmen zur Ausrichtung an das Gesetz, rät GPAI-Modell-Anbietern, Websites, die sich vom Data Mining abgemeldet haben, aus ihren Trainingsdaten herauszufiltern. Howley beschreibt dies als „einen Standard, der schon für die Zukunft schwierig genug ist, geschweige denn rückwirkend.“
Darüber hinaus fehlt dem Gesetz Klarheit darüber, wer die Compliance-Last trägt. Howley fragt: „Wenn Sie ein Open-Source-Modell für eine bestimmte Aufgabe feinabstimmen, sind Sie dann der ‚Anbieter‘? Was ist, wenn Sie es nur hosten oder in ein nachgeschaltetes Produkt integrieren? Das ist wichtig, denn es beeinflusst, wer die Compliance-Last trägt.“
Obwohl Anbieter von Open-Source-GPAI-Modellen von einigen Transparenzpflichten ausgenommen sind, gilt diese Ausnahme nicht, wenn sie ein „systemisches Risiko“ darstellen. In solchen Fällen unterliegen sie strengeren Anforderungen, einschließlich Sicherheitstests, „Red-Teaming“ (simulierte Angriffe zur Identifizierung von Schwachstellen) und Überwachung nach der Bereitstellung. Die Natur von Open-Sourcing macht es jedoch nahezu unmöglich, alle nachgeschalteten Anwendungen zu verfolgen, dennoch könnte der ursprüngliche Anbieter für schädliche Ergebnisse haftbar gemacht werden.
Belastende Anforderungen und Auswirkungen auf Innovation
Es wachsen Bedenken, dass Transparenzanforderungen Geschäftsgeheimnisse preisgeben und Innovationen in Europa ersticken könnten. Während große Akteure wie OpenAI, Anthropic und Google sich zum freiwilligen Verhaltenskodex bekannt haben, hat Google diese Bedenken geäußert, und Meta hat sich öffentlich geweigert, den Kodex aus Protest zu unterzeichnen.
Howley beobachtet, dass einige Unternehmen bereits Produktstarts verzögern oder den Zugang zum EU-Markt einschränken, nicht weil sie mit den Zielen des Gesetzes nicht einverstanden sind, sondern weil der Compliance-Weg unklar ist und die potenziellen Kosten der Nichteinhaltung zu hoch sind. Startups, die keine interne Rechtsberatung für umfangreiche Dokumentationen haben, sind besonders anfällig.
„Für frühe Entwickler kann das Risiko einer rechtlichen Exposition oder eines Feature-Rollbacks ausreichen, um Investitionen gänzlich von der EU abzulenken“, warnt Howley. Er schlägt vor, dass die Ziele des Gesetzes zwar lobenswert sind, seine Umsetzung jedoch unbeabsichtigt die verantwortungsvolle Innovation verlangsamen könnte, die es fördern soll. Dies hat auch potenzielle geopolitische Auswirkungen, da die Opposition der US-Regierung gegen die KI-Regulierung im Gegensatz zum Streben der EU nach Aufsicht steht, was die Handelsbeziehungen belasten könnte, wenn US-Anbieter Durchsetzungsmaßnahmen ausgesetzt sind.
Begrenzter Fokus auf Voreingenommenheit und schädliche Inhalte
Trotz erheblicher Transparenzanforderungen fehlen dem Gesetz obligatorische Schwellenwerte für Genauigkeit, Zuverlässigkeit oder reale Auswirkungen. Howley weist darauf hin, dass selbst Modelle mit systemischem Risiko nicht auf der Grundlage ihrer tatsächlichen Ausgaben reguliert werden, sondern auf der Robustheit ihrer Dokumentation. „Ein Modell könnte jede technische Anforderung erfüllen… und dennoch schädliche oder voreingenommene Inhalte produzieren“, stellt er fest.
Wichtige Bestimmungen, die ab dem 2. August 2025 in Kraft treten
Ab dem 2. August 2025 müssen Anbieter von GPAI-Modellen spezifische Regeln in fünf Schlüsselbereichen einhalten:
Benannte Stellen: Anbieter von Hochrisiko-GPAI-Modellen müssen sich darauf vorbereiten, mit „benannten Stellen“ für Konformitätsbewertungen zusammenzuarbeiten. Hochrisiko-KI-Systeme sind solche, die eine erhebliche Bedrohung für Gesundheit, Sicherheit oder Grundrechte darstellen. Dazu gehören KI, die als Sicherheitskomponenten in EU-regulierten Produkten verwendet wird oder in sensiblen Kontexten wie biometrischer Identifizierung, kritischer Infrastruktur, Bildung, Beschäftigung und Strafverfolgung eingesetzt wird.
GPAI-Modelle: Alle GPAI-Modell-Anbieter müssen technische Dokumentationen, eine Zusammenfassung der Trainingsdaten, eine Richtlinie zur Einhaltung des Urheberrechts, Leitfäden für nachgeschaltete Bereitsteller und Transparenzmaßnahmen, die Fähigkeiten, Einschränkungen und den beabsichtigten Verwendungszweck darlegen, pflegen. GPAI-Modelle, die ein „systemisches Risiko“ darstellen – definiert als Überschreitung von 10^25 Gleitkommaoperationen (FLOPs) während des Trainings und als solche von der EU AI Office benannt (z.B. OpenAI’s ChatGPT, Metas Llama, Googles Gemini) – unterliegen strengeren Verpflichtungen. Dazu gehören Modellbewertungen, Vorfallmeldungen, Risikominderungsstrategien, Cybersicherheitsmaßnahmen, Offenlegung des Energieverbrauchs und Überwachung nach der Markteinführung.
Governance: Dieser Abschnitt definiert die Regulierungs- und Durchsetzungsstruktur sowohl auf EU- als auch auf nationaler Ebene. GPAI-Modell-Anbieter müssen mit Stellen wie der EU AI Office und nationalen Behörden zusammenarbeiten, um die Einhaltung zu gewährleisten, Aufsichtsanfragen zu beantworten und an der Risikoüberwachung und Vorfallmeldung teilzunehmen.
Vertraulichkeit: Anfragen der Behörden nach Daten von GPAI-Modell-Anbietern müssen rechtlich begründet, sicher gehandhabt und Vertraulichkeitsschutz unterliegen, insbesondere für geistiges Eigentum, Geschäftsgeheimnisse und Quellcode.
Strafen: Nichteinhaltung kann zu erheblichen Geldstrafen führen. Verstöße gegen verbotene KI-Praktiken (z.B. Manipulation menschlichen Verhaltens, Social Scoring, biometrische Echtzeit-Identifizierung in der Öffentlichkeit) können Strafen von bis zu 35 Millionen Euro oder 7% des weltweiten jährlichen Gesamtumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Andere Verstöße, wie solche im Zusammenhang mit Transparenz oder Risikomanagement, können zu Geldstrafen von bis zu 15 Millionen Euro oder 3% des Umsatzes führen. Die Bereitstellung irreführender oder unvollständiger Informationen an Behörden kann zu Geldstrafen von bis zu 7,5 Millionen Euro oder 1% des Umsatzes führen. Für KMU und Startups gilt der niedrigere Betrag des Festbetrags oder Prozentsatzes. Strafen berücksichtigen die Schwere, den Einfluss, die Zusammenarbeit und die Absicht des Verstoßes.
Es ist wichtig zu beachten, dass diese Verpflichtungen zwar am 2. August 2025 beginnen, aber eine einjährige Nachfrist gilt, was bedeutet, dass Strafen für Nichteinhaltung erst ab dem 2. August 2026 durchgesetzt werden.
Phasenweise Umsetzung des EU-KI-Gesetzes
Das EU-KI-Gesetz wurde am 12. Juli 2024 veröffentlicht und trat am 1. August 2024 in Kraft, seine Bestimmungen werden jedoch schrittweise angewendet:
2. Februar 2025: Bestimmte KI-Systeme, die als inakzeptables Risiko eingestuft wurden (z.B. Social Scoring, biometrische Echtzeit-Überwachung in der Öffentlichkeit), wurden verboten. Unternehmen müssen auch sicherstellen, dass ihre Mitarbeiter ein ausreichendes Maß an KI-Kompetenz besitzen.
2. August 2026: Die Durchsetzungsbefugnisse treten formell in Kraft. GPAI-Modelle, die nach dem 2. August 2025 auf den Markt gebracht werden, müssen konform sein. Regeln für bestimmte gelistete Hochrisiko-KI-Systeme gelten auch für solche, die nach diesem Datum auf den Markt gebracht oder seitdem wesentlich modifiziert wurden.
2. August 2027: GPAI-Modelle, die vor dem 2. August 2025 auf den Markt gebracht wurden, müssen die volle Konformität erreichen. Hochrisiko-Systeme, die als Sicherheitskomponenten in EU-regulierten Produkten verwendet werden, müssen ebenfalls strengere Verpflichtungen erfüllen.
2. August 2030: KI-Systeme, die von öffentlichen Organisationen der Hochrisikokategorie verwendet werden, müssen vollständig konform sein.
31. Dezember 2030: KI-Systeme, die Komponenten spezifischer groß angelegter EU-IT-Systeme sind und vor dem 2. August 2027 auf den Markt gebracht wurden, müssen konform gemacht werden.
Trotz der Forderungen von Tech-Giganten wie Apple, Google und Meta, die Umsetzung des Gesetzes um mindestens zwei Jahre zu verschieben, hat die EU diesem Antrag nicht stattgegeben.