Brüssel (KNA) Gut zwei Jahre ist es her, dass der Europäische Rat aus allen 27 EU-Mitgliedstaaten die KI-Verordnung verabschiedet hat. Weltweit ist es das erste Regelwerk für den Einsatz sogenannter Künstlicher Intelligenz. Vielfach wurde die KI-Verordnung der Europäischen Union (AI Act) deshalb auch über den grünen Klee gelobt. Die Hoffnung, mit der Verordnung sowohl KI-Herstellern als auch Betreibern klare Grenzen zu setzen, ist nach wie vor groß. Passiert ist bislang allerdings wenig. Am Anfang stand ein Problem. Oder besser gesagt: viele Probleme. KI-Systeme, insbesondere große Sprachmodelle, die vor einigen Jahren einen regelrechten Hype um die Technik ausgelöst haben, haben diverse Schattenseiten: hoher Energieverbrauch, Ausbeutung von Datenarbeitern in Ländern des globalen Südens, massenhafte Urheberrechtsverletzungen bei Entwicklung und Training der Modelle. Außerdem sind diese häufig von Verzerrungen geprägt. Denn KI-Systeme basieren auf Trainingsdaten, die ihrerseits Vorurteile und Ressentiments enthalten können. Dementsprechend kann auch der KI-Output diskriminierend sein. Für die KI-Verordnung hatte die EU sich deshalb eine besondere Regulierung überlegt: Die Verordnung ordnet KI-Systeme verschiedenen Risikostufen zu. Einsatzgebiete mit niedrigem Risiko müssen weniger Vorgaben erfüllen oder bleiben unreguliert. Demgegenüber stehen Hochrisikosysteme, die Grundrechte verletzen oder sogar Leben gefährden können. Dazu zählen Systeme, die unter anderem für kritische Infrastruktur, wie etwa für den Betrieb von Wasser-, Gas- oder Stromnetzen und im Gesundheitswesen eingesetzt werden; außerdem Modelle, die bei der Strafverfolgung, Migrationskontrolle und im Bildungsbereich zum Einsatz kommen. Fachleute sind sich zwar einig darin, dass mit der Verordnung ein großer Schritt in Richtung eines verantwortungsvollen Umgangs mit KI erfolgt ist. Biometrische Echtzeit-Überwachung, also die automatisierte Erkennung von Gesichtern via Überwachungskamera, wird damit EU-weit ganz verboten, genauso wie Sozialkredit-Systeme, die das Fehlverhalten von Bürgern analysieren und bewerten können. Obwohl es gerade im Bereich der Hochrisiko-KI immer noch Kritik daran gibt, dass Hersteller selbst bewerten sollen, ob ihr Produkt in diese Kategorie fällt: Die Verordnung hätte durchaus das Potenzial, Techriesen wie OpenAI in Schach zu halten. Doch die EU-Kommission trödelt: Statt mit der Durchsetzung der Verordnung anzufangen, versucht die Kommission seit Herbst in Verhandlungen mit dem Europäischen Parlament, die Anbieter zu entlasten. Ursprünglich sollte die Bewertung der Hochrisikosysteme ab August 2026 erfolgen. Nun will die Kommission die Frist erst für Dezember 2027 ansetzen - und hat in diesem Punkt das Europäische Parlament bereits auf ihrer Seite. Das geht aus dessen Positionspapier vom März hervor. Ausschlaggebend für den Vorstoß der Kommission dürfte der globale KI-Wettlauf sein. So setzen US-amerikanische Unternehmen wie OpenAI und Anthropic den europäischen Markt stark unter Druck. Der italienische Wirtschaftswissenschaftler und ehemalige italienische Ministerpräsident Mario Draghi attestierte der EU bereits 2023, beim Thema Forschung und Entwicklung von Technologien den Anschluss zu verlieren. Im Gespräch mit dem KNA-Mediendienst erklärt eine Sprecherin der EU-Kommission, man habe durch die Fristverlängerung auf die Herausforderungen reagiert, die Unternehmen bei der Umsetzung der KI-Verordnung angemeldet hätten. Daher sei eine solche Fristverlängerung von bis zu 16 Monaten sinnvoll. Doch damit zögert die Kommission die Regulierung von und den Schutz vor den negativen Auswirkungen von Hochrisiko-KI hinaus - zulasten potenziell Betroffener. Bei KI-Systemen, die in Medizin oder Justiz eingesetzt werden, soll die Frist sogar auf den Dezember 2028 verschoben werden. Das alles geschieht zu einer Zeit, in der die Verordnung ohnehin noch in den Kinderschuhen steckt. Einerseits sind Teile des Regelwerks bereits in Kraft getreten. So gilt der Artikel 5, der unter anderem manipulative KI oder biometrisches Scraping regulieren soll, seit Februar 2025 und könnte seit August 2025 durchgesetzt werden. Bislang ist jedoch kein Fall bekannt geworden, in dem die Kommission gegen einen Anbieter vorgegangen wäre. Andererseits gibt es schon jetzt Fälle, die das Regelwerk zwar eigentlich adressiert, die aber nicht unter der Verordnung verhandelt werden können. Anfang 2026 machte das KI-System Grok von Elon Musk Schlagzeilen. Hier konnten Nutzer massenhaft und innerhalb von Sekunden Nacktbilder erstellen - meist von Frauen und Mädchen, ohne deren Wissen und Zustimmung. Fachleute bezeichnen diese Bilder oder Videos als sexualisierte Deepfakes und zählen sie zum Spektrum digitaler Gewalt. "Der Grok-Skandal hat das Dilemma perfekt illustriert", so Tobias Voßberg gegenüber dem KNA-Mediendienst. Er ist Rechtsanwalt und Fachanwalt für Gewerblichen Rechtsschutz. Zusammen mit Benedikt Raquet spricht er regelmäßig im Podcast "Jura & KI" darüber, wie das Recht den Einsatz von KI bestimmt. Die Kommission habe sich im Grok-Fall auf das Digital Services Act verlassen müssen. Die KI-Verordnung zur Kennzeichnung von Deepfakes greift laut Sprecherin der Kommission erst ab August 2026. "Wir hatten den größten Deepfake-Fall seit Bestehen der Verordnung und genau das Instrument, das dafür geschaffen wurde, war noch nicht einsatzbereit." Die Umsetzung der KI-Verordnung scheint insgesamt schleppend zu verlaufen - bis hinein ins bürokratische Klein-Klein. Laut Voßberg hätten beispielsweise bis März 2026 lediglich acht von 27 Mitgliedstaaten wie vorgesehen einen Ansprechpartner zur Marktüberwachung bei der Kommission gemeldet. Mindestens zwölf Mitgliedstaaten haben die Frist zur Benennung ihrer Aufsichtsbehörden verpasst. Neben Frankreich und Irland gehört Deutschland zu den Ländern, die Ende 2025 den AI Act noch nicht in nationales Recht überführt hatten. Erst diesen Februar hat das Bundeskabinett einen Regierungsentwurf beschlossen, die Verabschiedung durch den Bundestag steht noch weiterhin aus. Dagegen sei Finnland Vorreiter, so Voßberg, aber auch Spanien mit der Institution AESIA (Agencia Espanola de Supervisión de Intelligencia Artificial). Sie habe bereits 16 Leitfäden zur Umsetzung des AI-Acts veröffentlicht. Die Durchsetzung der Verordnung sollen in Zukunft mehrere Behörden auf EU-Ebene und auf nationaler Ebene gemeinsam übernehmen. Doch auch die sind noch nicht alle einsatzbereit. Das AI Office in Brüssel soll sich um die großen Sprachmodelle wie die von OpenAI, Meta und Google kümmern. Daneben gibt es das European Artificial Intelligence Board. Die Aufgaben des Boards liegen unter anderem darin, Expertise und Best Practices einzubringen und zu beraten, wie die Vorgaben am besten und im Einklang mit anderen EU-Richtlinien auf KI-Systeme angewendet werden. Dazu arbeitet es etwa eng mit dem europäischen Datenschutzbeauftragten zusammen. Letzterer kontrolliert auch den Einsatz von KI-Systemen der europäischen Organe und fungiert damit auch als KI-Aufsicht. Dem Office wie auch dem Board gehören Vertreter der EU-Mitgliedstaaten an. Sie koordinieren die Kommunikation zwischen diesen Gremien und der Kommission. Die KI-Verordnung sieht zudem einen wissenschaftlichen Ausschuss (Scientific Panel) sowie ein Beratungsforum (Advisory Forum) vor. Diese befinden sich noch im Aufbau. Die Kommission rief im vergangenen Juni Experten dazu auf, sich zu bewerben. Auch auf nationaler Ebene gibt die Verordnung Vorgaben für die Aufsicht der Behörden. Diese sollen die KI-Systeme auf den nationalen Märkten engmaschig überwachen und dürfen dazu auch Zugriff auf den Quellcode eines KI-Systems verlangen. Bei Verstößen können sie den Einsatz eines Systems einschränken, bis der Hersteller es entsprechend den Anforderungen angepasst hat. Die Aufteilung der Durchsetzung auf das AI Office in Brüssel und die nationalen Behörden klinge sinnvoll, funktioniere "aber nur, wenn diese Behörden existieren und entsprechend ausgestattet sind. Bei den meisten Mitgliedstaaten ist das Stand heute nicht der Fall", erklärt Voßberg. Dabei soll laut Kommission die Durchsetzung auf nationaler Ebene im August 2026 beginnen. In der deutschen Umsetzung der EU-Verordnung kommt der Bundesnetzagentur eine entscheidende Rolle zu. Wie auch schon bei der Umsetzung des Digital Services Acts laufen hier alle deutschen Fäden aus Bund und Ländern zusammen. Zumindest, sobald es mit der Umsetzung der EU-Verordnung dann irgendwann mal so richtig losgeht.
