KI-Verordnung droht mit anderen Gesetzen in Konflikt zu geraten

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

"Der AI Act als horizontaler Rechtsrahmen ergänzt sektorale Regelungen und weitere Digitalgesetze, ist jedoch nur unzureichend auf diese abgestimmt." Das ist der Kernpunkt einer jetzt veröffentlichten Studie, die der Rechtsprofessor Philipp Hacker (Frankfurt/Oder) für die Bertelsmann-Stiftung erstellt hat. Viele KI-Anwendungen, die unter die umfassenden Vorgaben der Verordnung für Systeme mit Künstlicher Intelligenz (KI) fallen, unterliegen demnach gleichzeitig bereits anderen Regularien.

Hacker nennt hier etwa die Datenschutz-Grundverordnung (DSGVO) und den Digital Services Act (DSA). Zugleich stehe der AI Act aber auch im "Spannungsverhältnis" zu Vorgaben etwa für den Finanz-, Medizin- und Automobilbereich, wenn es etwa um KI-basierte Kreditbewertungs- oder Diagnosesysteme oder Funktionen fürs autonome Fahren geht.

Der weitreichende, risikobasierte Ansatz des AI Act zielt laut dem Juristen darauf ab, KI-Anwendungen nach ihrem Risikopotenzial zu kategorisieren und für potenziell besonders gefährliche Systeme strenge Auflagen zu schaffen. Er sei dabei nicht auf Unternehmen in der EU beschränkt, sondern betreffe auch außerhalb ansässige Firmen, deren KI-Systeme in der Gemeinschaft angeboten oder deren Leistung dort genutzt werde. Bis August 2026 stehe für die Wirtschaft und die Mitgliedsstaaten die Aufgabe an, die KI-Verordnung Stück für Stück in der Praxis anzuwenden. Doch einzelne Teile passten noch nicht zusammen, geht aus dem Papier hervor: Inkonsistenzen, Überschneidungen und Unklarheiten könnten die reibungslose Umsetzung behindern und zu Rechtsunsicherheiten führen.

Durchführungsverordnungen und Leitlinien als Lösung

Konkret wittert Hacker etwa Konflikte bei den Risikoanalysepflichten des DSA und des AI Act. Diese beträfen vor allem Plattformen, die generative KI-Technologien wie große Sprachmodelle integrierten. Hier bestehe die Herausforderung, plattformspezifische und KI-bezogene Risiken miteinander abzustimmen. Bisher gebe es keine klaren Regeln zur Wiederverwendung personenbezogener Daten fürs KI-Training, arbeitet der Rechtswissenschaftler heraus. Das erschwere es, die DSGVO und den AI Act einzuhalten. Die Bürgerrechtsorganisation Privacy International ist hier gerade zu der Einschätzung gekommen, dass Modelle wie GPT, Gemini oder Claude mithilfe persönlicher Informationen "ohne ausreichende Rechtsgrundlage trainiert" worden und nicht in der Lage seien, die Betroffenenrechte aus der DSGVO zu wahren.

In der Finanzbranche könnten unterschiedliche Datenschutzanforderungen KI-gestützte Risikoanalysen erschweren, gibt Hacker zu bedenken. In der Automobilindustrie stelle die Integration von Fahrassistenzsystemen in bestehende Produktsicherheits- und Haftungsregelungen eine doppelte regulatorische Herausforderung dar. Im Gesundheitswesen könnten widersprüchliche Vorschriften bei ohnehin knappen Zulassungskapazitäten die Verbreitung KI-basierter Medizin-Anwendungen verlangsamen. Dabei gehe es etwa um die Krebserkennung oder Instrumente zum Erstellen von Arztbriefen.

Kurzfristig empfiehlt der Autor eine bessere Verzahnung bestehender Regelwerke, um Doppelungen zu vermeiden und die Effizienz zu steigern. Teils sei dies im AI Act schon gelungen, bei Finanzinstitutionen etwa mit Blick auf Qualitätsmanagementsysteme. Ein ähnliches Zusammenspiel könnte die EU-Kommission durch Durchführungsverordnungen beflügeln. Nationale Aufsichtsbehörden sollten zudem Leitlinien zur Anwendung der KI-Verordnung in spezifischen sektoralen Kontexten herausgeben. Langfristig seien nationale und europäische Ansätze nötig, um die KI-Regulierung mit anderen Rechtsakten zu harmonisieren und Widersprüche nachhaltig zu beseitigen. Ferner sollten die Rahmenwerke regelmäßig überprüft werden, um technologische und gesellschaftliche Entwicklungen angemessen zu berücksichtigen.

(mki)