EU-Kommission stellt KI-Verordnung scharf: Bürokratie vs. Grundrechteschutz

Auf den letzten Metern drohte die EU-Verordnung zur KI-Regulierung noch einmal ernsthaft zu straucheln. Namhafte Anbieter und Mitgliedstaaten der Europäischen Union drängten darauf, Teile des Gesetzes später als vorgesehen wirksam werden zu lassen, weil die EU-Kommission mit notwendigen Vorarbeiten in Verzug war. Mit einiger Verspätung hat die Kommission erst Mitte Juli 2025 mühsam abgestimmte Handlungsempfehlungen für KI-Anbieter veröffentlicht.

Diese Empfehlungen richten sich an Anbieter von „KI-Modellen mit allgemeinem Verwendungszweck“ (General Purpose AI, GPAI). Ein Verhaltenskodex soll diesen Unternehmen helfen, ihre KI-Modelle konform mit der Verordnung zu betreiben, also „compliant“ zu sein. In Leitlinien definiert die EU-Kommission außerdem, was aus ihrer Sicht eine solche GPAI, also Allzweck-KI, sein könnte. Am heutigen 2. August wurden die in Kapitel V der KI-Verordnung enthaltenen Vorschriften für GPAI wirksam.

Unternehmensvertreter wurden derweil nicht müde, zu betonen, die Verordnung sei überbordende KI-Regulierung. Als etwa Siemens-Unternehmenschef Roland Busch im Juli von der Frankfurter Allgemeinen Zeitung gefragt wurde, was einem verstärkten KI-Einsatz bei Siemens im Wege stehe, war seine Antwort: „Ganz einfach, die europäische Gesetzgebung, zum Beispiel der europäische AI Act. Der ist der Grund, warum wir hier nicht Vollgas geben können.“

Solchen Äußerungen zum Trotz hält die EU daran fest, dass KI speziellen Regeln unterworfen sein soll. Kritiker wie der Siemens-Chef meinen, dass Europa damit von der rasanten Entwicklung in China und den USA abgehängt würde. EU-Kommissions-Vizepräsidentin Henna Virkkunen dagegen ist sicher, dass sich auf Dauer nur regulierte KI durchsetzen werde. US-Konzerne wie Alphabet und Meta sowie europäische Firmen wie Mistral forderten zwar, die Deadlines zu verschieben. EU-Kommissionssprecher Thomas Regnier stellte jedoch klar: „Es gibt keine Unterbrechung, keine Nachfrist, keine Pause.“

Mehr Klarheit?

Weil sich das, was sich unter KI verstehen lässt, auch nach den Debatten um die im Dezember 2023 verabschiedete KI-Verordnung ständig ändert, hat der Gesetzgeber wichtige Aspekte in sogenannte delegierte Rechtsakte ausgelagert. Diese kann die EU-Kommission leichter an die technische Realität anpassen als das große Gesetzeswerk selbst. An vielen Stellen schreibt die Verordnung nicht präzise vor, wie OpenAI, XAI, Meta, Mistral, Anthropic oder Alphabet und andere Anbieter ihre GPAI-Modelle kontrollieren und kontrollierbar machen sollen. Stattdessen müssen sie schwammig formulierte Regeln beachten. Dazu gehört etwa, dass Allzweck-KI-Betreiber prüfen und dokumentieren müssen, ob es systemische Risiken in ihren Modellen gibt, die Gefahren für Grundrechte der Bürger mit sich bringen.

Den großen Anbietern war das zu wenig. Sie drängten auf mehr Klarheit, die sie nun zumindest teilweise bekommen haben: Mit den Leitlinien zu GPAI hat die EU-Kommission dargelegt, wann ein KI-Modell als Allzweck-KI gilt und wann die schärferen Pflichten für systemische Risiken greifen. Eine Grenze enthält bereits der Gesetzestext selbst: 10²⁵ Gleitkommaoperationen pro Sekunde (FLOPS). Wer beim Training seines Modells oberhalb dieser Rechenpower rangiert, erzeugt damit nach Artikel 3 Nummer 67 der KI-Verordnung immer systemische Risiken.

Aber auch unterhalb davon können solche Risiken existieren – und damit vor allem Sorgfaltspflichten auf Betreiber zukommen. Unterhalb der Schwelle kommt es auf eine Beschränkung von Fähigkeiten an: Je stärker etwa Spracherkennungsmodelle oder Musikgenerierungsmodelle vom Anbieter beschränkt in ihrer Anwednung seien, desto geringer sei das systemische Risiko.

Anders sieht es bei den großen Modellen aus: Nachdem GPT4 von OpenAI die Schwelle zu 10²⁵ FLOPS schon Anfang 2023 durchbrochen hatte, sind nach Schätzungen von Experten mittlerweile fast alle LLM-Modelle der führenden Anbieter auf dem Weg, nach EU-Recht als GPAI mit systematischem Risiko eingestuft zu werden. Eines ist damit stets verbunden: Wer ein Modell dieser Trainingsgrößenordnung in der EU auf den Markt bringen will – und dies schließt auch das Anbieten via App, Website oder Wiederverkäufer grundsätzlich ein –, muss das der EU-Aufsichtsbehörde mitteilen, dem sogenannten KI-Büro der Kommission.

Die EU-Kommission betont, ihre Leitlinien nicht im stillen Kämmerlein, sondern im Rahmen einer öffentlichen Konsultation entwickelt zu haben, bei der sie Beiträge von Hunderten von Interessenträgern einholte. Die Leitlinien sind nicht einmal rechtsverbindlich, legen aber die Auslegung und Anwendung des KI-Gesetzes durch die Kommission dar, die als Richtschnur für ihre Durchsetzungsmaßnahmen dienen wird, droht sie wenig verblümt.