AI-Act wirft Europa im Standortwettbewerb zurück

Nur wer über die wichtigsten AI-Unternehmen und -anwendungen selbst verfügt, wird auch global die Regulierung von Artificial Intelligence (AI) mitbestimmen können. Durch den AI-Act wird das für Europa zukünftig jedoch schwieriger.

Nach über drei Jahren der Verhandlungen tritt der AI-Act am 01.08.2024 in Kraft und wird ab dem 02.08.2026, mit ein paar Ausnahmen, dann für alle Unternehmen rechtlich bindend sein. KI-Systeme mit unannehmbarem Risiko wie z.B. „Social Sourcing“ werden dadurch komplett verboten. Hochrisikosysteme, die der Gesundheit, der Sicherheit oder den Grundrechten von Personen schaden könnten, sind zwar grundsätzlich erlaubt, unterliegen aber strengen Vorschriften wie etwa der Einrichtung eines Risikomanagementsystems oder der Durchführung einer Grundrechte-Folgenabschätzung. Modelle mit allgemeinem Verwendungszweck, die nur Text und Bilder generieren, wie z.B. GPT-4, werden ebenfalls durch eine Dokumentationspflicht reguliert.

Überwacht werden die Regeln durch das neue KI-Büro der EU-Kommission mit über 140 Beamten. Hinzu kommen noch ein KI-Gremium aus Vertretern der Mitgliedsstaaten, ein Beratungsforum mit Vertretern aus Zivilgesellschaft, Wirtschaft und Forschung sowie schließlich noch ein wissenschaftliches Gremium an Sachverständigen. Zusätzlich dazu muss auch noch auf nationaler Ebene jeder Mitgliedsstaat eine nationale Aufsichtsstruktur bis 2025 etabliert haben.

Der Wirtschaftrat kritisiert, dass mit dem Gesetz noch zahlreiche Standards wie z.B. für das Risikomanagementsystem fehlen und Unternehmen im Zweifel ihre AI-Tätigkeiten aussetzen müssen, wenn sie die noch zu definierenden Standards vor 2026 dann nicht mehr rechtzeitig umgesetzt bekommen. Konkret fordert der Wirtschaftsrat, dass die zuständigen Organisationen für Normierung, CEN und CENELEC, zügig für Klarheit bei den Standards sorgen. Andernfalls muss die Umsetzung des AI Acts ausgesetzt werden.

Außerdem sind aufgrund zu großer Interpretationsspielräumen nationale Sonderwege bei der Umsetzung zu befürchten – ähnlich wie schon bei der DSGVO. International operierende Unternehmen stellt das dann vor die Herausforderung, dass sie die unterschiedliche Umsetzung in allen 27 EU-Mitgliedsstaaten prüfen und getrennt anwenden müssen. Der Wirtschaftsrat fordert, dass Kriterien (z.B. welche Anwendungen unter Hochrisikosysteme fallen) und Standards einheitlich von den Mitgliedsstaaten angewendet werden und folglich der AI-Act in allen Mitgliedsstaaten gleichermaßen umgesetzt wird. Andernfalls wiederholen wir die Fehler der DSGVO.

Zudem wird mit dem AI-Act eine überdimensionale Bürokratiemaschinerie in Gang gesetzt, welche in den nächsten Jahren mindestens 39 weitere Rechtstexte vorsieht und eine Vielzahl an neuen Beamten beansprucht. Der Wirtschaftsrat fordert deshalb, dass die 39 weiteren Rechtstexte vorab nochmal genaustens auf ihre Praxistauglichkeit geprüft werden und es in der Umsetzung keine nationalen Alleingänge gibt. Die hohe personelle Ausstattung der einzelnen Gremien zur Überwachung und Umsetzung des Gesetzes sollte ebenfalls nochmal geprüft werden. Andernfalls ist zu befürchten, dass der neue AI-Act in der Umsetzung nicht nur teuer wird, sondern innovative Unternehmen in ihren Innovationsbestrebungen lähmt.