Der AI Act, ein wegweisendes europäisches KI-Gesetz, wurde in einem politischen Handschlag-Deal besiegelt, nachdem 20 offene Punkte in 38 Stunden intensiver Marathonverhandlungen diskutiert wurden. Dieser Prozess, bekannt als Trilog, ist charakteristisch für die politische Landschaft in Brüssel und zielt darauf ab, das Gesetzgebungsverfahren zu beschleunigen. Dabei versammeln sich die Co-Gesetzgeber – das Parlament und die Mitgliedsländer – unter der Vermittlung der Kommission, um einen gemeinsamen Kompromiss zu erarbeiten. Obwohl diese Methode theoretisch schneller ist als herkömmliche Verfahren, birgt sie das Risiko, dass Geschwindigkeit auf Kosten von Transparenz und Qualität geht.
Der AI Act, dessen Verhandlungen am 6. Dezember begannen und am 8. Dezember kurz vor Mitternacht endeten, stand unter dem Druck der spanischen Ratspräsidentschaft, noch während ihrer Amtszeit ein Ergebnis zu erzielen. Auch die Kommission hatte das Ziel, als erste eine umfassende Regulierung von Künstlicher Intelligenz erreicht zu haben. Diese Umstände schufen einen unnötigen Zeitdruck und führten zu nächtlichen, manchmal 22 Stunden andauernden Verhandlungen ohne Pause. Das Ergebnis ist ein politischer Deal, dessen Feinheiten entscheidend sein werden.
Die Debatten über den AI Act fokussierten sich auf zwei Hauptbereiche: Bürgerrechte und verbotene Anwendungen. In dieser Analyse konzentriere ich mich jedoch auf den Innovationsteil des AI Acts, der für die Entwicklung und Nutzung von KI in Europa entscheidend sein wird.
Trotz erheblicher Widerstände innerhalb des Parlaments, der Kommission und teilweise auch der Mitgliedsstaaten konnten einige innovationsfreundliche Erfolge erzielt werden. Der ausgehandelte Kompromiss ist gegenüber dem ursprünglichen Kommissionsentwurf von 2021 innovationsoffener und bedeutet weniger bürokratische Belastungen für europäische Unternehmen, sowohl für KI-Entwickler als auch für Anwender.
Ein bedeutender Erfolg war die Einschränkung der weit gefassten KI-Definition der EU-Kommission. Der AI Act definiert KI nun gemäß der OECD-Definition, wodurch internationale Anschlussfähigkeit garantiert werden soll. Dieser Definition zufolge werden Eigenschaften wie Autonomie und Machine Learning in den Vordergrund gestellt. Das Ergebnis dieser Definition ist, dass klassische Software, die nicht direkt mit Künstlicher Intelligenz zu tun hat, nicht mehr unter den AI Act fällt.
Ein weiterer wichtiger Fortschritt betrifft das Risiko-System. Nach langwierigen Verhandlungen wurde es so angepasst, dass nun nur noch Technologien als Hochrisiko eingestuft werden, die tatsächlich Risiken für Gesundheit, Sicherheit und Grundrechte darstellen. Diese Änderung hat zur Folge, dass nicht mehr jede Sprachsoftware oder KI zur Terminplanung automatisch in die Hochrisiko-Kategorie fällt, nur weil sie in einem kritischen Bereich wie einem Krankenhaus oder Kraftwerk eingesetzt wird. Dies sorgt für mehr Klarheit und ist ein wesentlicher Schritt, um Überregulierung zu vermeiden.
Der AI Act zielt darauf ab, Innovationen zu stärken, anstatt Entwicklern und Anwendern Hindernisse zu setzen. Ein signifikanter Fortschritt in diesem Zusammenhang ist die Schaffung von Reallaboren. Diese ermöglichen es KI-Entwicklern, ihre Systeme unter realen Bedingungen in einem kontrollierten Umfeld zu testen, was besonders für Startups und kleine sowie mittlere Unternehmen von großer Bedeutung ist.
Ein weiterer wichtiger Aspekt ist die klare Ausnahme von Forschung und Entwicklung sowie Open Source-KI bis zu einem gewissen Grad vom AI Act. Diese Ausnahmeregelungen sind Teil der innovationsfreundlichen Verbesserungen, die in den letzten zwei Jahren hart erkämpft wurden. Zusätzlich konnten einige negative Vorschläge abgewendet werden, wie beispielsweise die Pflicht zur öffentlichen Grundrechtskonsultation für alle Anwender von Hochrisiko-KI-Systemen und das generelle Verbot der Nutzung personenbezogener Daten für das Training von KI-Systemen.
Besonders hervorzuheben ist die Verhinderung einer pauschalen Hochrisiko-Einstufung von Allzweck-KI-Systemen („General Purpose AI“, kurz GPAI), wie beispielsweise ChatGPT. Statt einer pauschalen Hochrisiko-Klassifizierung, die eine massive Überregulierung zur Folge gehabt hätte, verfolgt die EU nun einen Ansatz, der klare Verantwortlichkeiten entlang der KI-Wertschöpfungskette festlegt. Im Rahmen dieses „Burden-Sharing“-Ansatzes müssen GPAI-Anbieter Informationen mit Unternehmen teilen, die diese Systeme in eigene Hochrisiko-KI einbauen. Dies ermöglicht es den Unternehmen, die Anforderungen des AI Act zu erfüllen.
Diese Regelung ist besonders für europäische Unternehmen wichtig, da sie es ihnen ermöglicht, sichere Systeme zu entwickeln, ohne die gesamten Compliance-Kosten tragen oder für Fehlfunktionen von GPAI-Systemen verantwortlich sein zu müssen. Vor allem kleinere und mittlere Unternehmen, die GPAI-Systeme in eigene Anwendungen integrieren, profitieren von dieser regulatorischen Entlastung.
Die Einigung bezüglich der Regulierung von General Purpose AI-Modellen (GPAI), auch als Foundation Models bekannt, erreicht nicht das Optimum. Eine von der deutschen Bundesregierung geforderte Selbstregulierung erlangte keine Mehrheit im Parlament. Die aktuell vorgesehene zweistufige Lösung für GPAI-Modelle ist immerhin ein Fortschritt gegenüber pauschal hohen Auflagen. Dabei gelten strenge Anforderungen nur für wirkmächtige Modelle, während die Vorgaben für das untere Level als zu umfangreich und bürokratisch kritisiert werden. Ein entscheidender Punkt ist die Festlegung der Grenze, ab der Modelle als wirkmächtig gelten. Als hartes Kriterium wurde die Rechenleistung von 10^25 FLOP festgelegt, was allerdings als unzureichend angesehen wird, da die Entwicklung leistungsfähigerer, kleinerer Modelle absehbar ist. Daher wurde ein Klassifizierungssystem durch die EU-Kommission eingeführt, das verschiedene Faktoren berücksichtigt. Die genaue Ausgestaltung dieser Grenze ist für eine praxisnahe Umsetzung entscheidend.
Neu ist die Idee eines Code of Practice, den die spanische Ratspräsidentschaft als Übergangslösung vorschlug. Dies soll Unternehmen ermöglichen, gesetzeskonform zu sein, bis Standards entwickelt werden. Ein solcher Code oder Standards bieten gerade kleinen und mittelständischen Unternehmen eine leichtere Umsetzung der gesetzlichen Anforderungen im Vergleich zu Konformitätsprüfungen. Die genaue Entstehung des Code of Practice bleibt allerdings unklar. Sollte dieser hauptsächlich von großen Tech-Unternehmen geprägt werden, wäre dies für Start-Ups und Mittelstand weniger hilfreich. Zudem muss der Code of Practice schnell entwickelt werden, da der AI-Act zwei Jahre nach Verabschiedung vollständig greifen soll.
Der finale Text des AI Act wird in den kommenden Wochen auf technischer Ebene finalisiert. Dabei sind die Details ausschlaggebend. Charakteristisch für den Trilog ist, dass politische Einigungen oft Interpretationsspielraum lassen. Die finale Ausgestaltung wird entscheiden, ob der AI Act die notwendigen Mehrheiten im Rat und Parlament erhält. Der AI Act wird nun von den Mitgliedsländern und Parlamentsfraktionen genau geprüft, wobei um jedes Wort und jede Formulierung gerungen wird. Am Ende wird sich zeigen, ob die EU nicht nur bei der KI-Regulierung, sondern auch bei Innovation und Bürgerrechten führend sein wird.