Benjamin Brake leitete bis Juni 2025 die Abteilung Digital- und Datenpolitik im Bundesministerium für Digitales und Verkehr. Vorher verantwortete er rund zehn Jahre die politischen Beziehungen des IT-Dienstleisters IBM im deutschsprachigen Raum.
KIR 2025, 349 Die Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO) wurde 2024 nach einem nächtelangen, von maßgeblichen Akteuren öffentlichkeitswirksam begleiteten, Trilog verabschiedet. Rund anderthalb Jahre später lohnt ein Blick auf die ursprünglichen Absichten dieses nicht nur von seinen Unterstützern wie dem damaligen EU-Kommissar Thierry Breton als historisch und bahnbrechend bezeichneten Rechtsaktes: Neben Sicherheit, Transparenz und Verantwortlichkeiten sollten Innovation und Wettbewerbsfähigkeit in diesem Sektor gestärkt werden. So heißt es in der europäischen KI-Strategie an prominenter Stelle, man werde „jetzt erhebliche Anstrengungen unternehmen um … die Wettbewerbsfähigkeit Europas im Bereich der KI [sicherzustellen]“.
Der Anspruch war einheitliche Vorschriften und Regeln für Künstliche Intelligenz (KI), also von Technologien, die das Arbeits- und Privatleben zunehmend durchdringen. Dies geschieht mitunter unbemerkt, und ohne dass dabei gleich ein manipulativer Wille unterstellt werden sollte. Wie viele herausragende Künstler hätten wir alle nie kennengelernt, wenn Spotify seine hybriden Empfehlungssysteme nicht kontinuierlich verbessern würde? Ähnlich unbemerkt, aber deutlich kontroverser, ist die Echtzeit-Fernidentifizierung, bei der jeder damit rechnen muss, dass Aufnahmen im öffentlichen Raum mit Datenbanken abgeglichen werden. Eine durch Sozialpsychologen und Beziehungswissenschaftler noch einzuordnende Entwicklung sind (romantische) Beziehungen, die Menschen zu Chatbots entwickeln.
Es erschließt sich von selbst, dass diese drei willkürlich ausgewählten Beispiele nicht über einen Kamm geschert werden können, weshalb die EU-Kommission einen risikobasierten Ansatz gewählt hat. Spätestens ab 2023 wurde die gesamte Diskussion dann aber vom Aufkommen großer „wirkmächtiger“ Sprachmodelle und generativer KI dominiert. Techniken, die nicht nur analysieren, sondern Texte, Bilder, Codes oder Musik produzieren. Diese Entwicklung führte zum ersten Mal seit den Zeiten der DS-GVO zu einer verstärkten politischen Aufmerksamkeit, die über die interessierten Kreise hinausging. Leider nicht mit dem Resultat besserer Regulierung. Im Gegenteil: Die Arbeiten an der Verordnung wurden plötzlich von Ängsten vor einer allwissenden und sich gegen die Menschheit richtenden KI dominiert – Skynet lässt grüßen.
Zwischenstaatliche Initiativen wie der AI Safety Summit sprossen aus dem Boden und lenkten die Aufmerksamkeit weg von konkreten Fragen der Sicherheit von KI-Produkten und -Services hin zu theoretischen Endzeitszenarien. Bestrebungen einer Gruppe von EU-Staaten – darunter auch Deutschland – generative KI aus dem Regelungsbereich der KI-VO herauszunehmen und auch aufgrund der hohen Dynamik dieser Technologie über eine regulierte Selbstregulierung in europäischen und internationalen Standardisierungsgremien zu adressieren, fanden kein Gehör.
Somit wurden abschließend Regeln sowohl für KI-Modelle mit allgemeinen Verwendungszwecken (GPAI) gefunden, wie auch für den Chatbot vom Bürgeramt oder das HR-Tool beim Elektrofachgeschäft. Das Ziel blieb: Die Steigerung der Wettbewerbsfähigkeit der EU auf dem Gebiet der KI. Anderthalb Jahre später ist es vielleicht noch etwas zu früh für eine Bilanz, ob dies wirklich gelungen ist. Aber erste Anzeichen deuten darauf hin, dass es weiterer Anstrengungen auf drei Ebenen bedarf.
Zunächst müssen die europäischen Vertreter auf einem Gebiet tätig werden, dass nur mittelbar mit der KI-VO und ihrer Umsetzung zu tun hat. Bei der Frage nach dem europäischen USP wird immer wieder – mitnichten nur im Bereich der KI – herausgestrichen, dass Europa seinen eigenen Weg finden müsse. Dieser dürfe nicht der als ungebremst wahr genommene (Daten-)Kapitalismus der USA und noch viel weniger die durch staatliche Oppression getriebenen Innovationen Chinas sein. Vielmehr müsse ein grundrechtszentrierter, den Menschen in den Mittelpunkt rückende Ansatz gefunden bzw. gestärkt werden. Dieser Ansatz hat durchaus etwas für sich, nur dass damit die Konkurrenzfähigkeit europäischer Produkte und Dienstleistungen nicht gestärkt wird. Im Gegenteil: Diese Debatte – ebenso wie die unzähligen Subventionsprogramme – lenkt ab von dringend notwendigen institutionellen Reformen. Die Vereinigten Staaten und China mögen sich in zentralen Parametern unterscheiden, eines haben sie aber gemeinsam: Es sind, insbesondere im Vergleich zur EU, echte Binnenmärkte. Das gilt im Hinblick auf Steuersysteme, aber auch bei Sozialsystemen, der Regulierung von Arbeitsmärkten, des Kapitalmarktes oder der Banken. Ein möglichst stark integrierter (Binnen-)Markt ist aber konstitutive Voraussetzung für die Investitionen in neue Geschäftsmodelle und deren Skalierung – nicht nur im Bereich der KI, aber vor allem im Bereich verbraucherorientierter Services und Produkte, mit denen US-amerikanische und chinesischer Unternehmen reüssieren.
Dass sich dies kurzfristig nicht umsetzen lässt, liegt auf der Hand, weshalb der Hebel eher aufseiten der Rechtsumsetzung und -auslegung zu suchen ist. Zu oft wird die Auslegung des Unionsrechts (zunächst) mitgliedstaatlichen Gerichten oder Regulierungsbehörden überlassen. Dies verschärft das Problem zusätzlich. Die EU hat mit dem DSA und dem DMA jetzt zum ersten Mal Schritte zu einer einheitlicheren Auslegung unternommen und Kriterien bestimmt, nach denen einige Unternehmen – manche vermuten (nicht ganz zu Unrecht) vor allem nicht-europäische – unter die direkte Zuständigkeit der EU-Kommission fallen. Auch wenn die EU-Kommission ihrer postulierten Unabhängigkeit durch die Zwitterstellung als Normgeber und Regulierer einen Bärendienst erweist und diesem Manko nur durch eine baldige Trennung beider Bereiche begegnet werden kann, so ist dies doch ein Schritt in die richtige Richtung. Im Bereich der KI hat man mit dem KI-Büro (AI-Office) ebenfalls eine solche Instanz vorgesehen, die für eine einheitliche Anwendung der KI-VO innerhalb der EU sorgen soll. Allerdings ist fraglich, ob dies eine vergleichbare Verbindlichkeit wie bei DSA und DMA entfalten kann. Erschwerend kommt hinzu, dass der (politische) Fokus auf besonders wirkmächtigen KI-Systemen eh schon knappe Ressourcen binden wird.
Zweitens muss neben einer einheitlicheren Rechtsdurchsetzung auch eine Anpassung der Digital-Gesetzgebung erfolgen. Man führe sich vor Augen, dass der gesamte Kanon relevanter Rechtsakte jünger als zehn Jahre ist. Nach dem regulatorischen Urknall der DS-GVO im Jahre 2018 folgten in schneller und nicht abschließender Reihung NIS 1 und 2, CSA, DGA, DSA, DMA, DA und schließlich die KI-VO. Insbesondere die letzte EU-Kommission legte ein Tempo vor, das auf Kosten der Gründlichkeit ging. Das gilt insbesondere für die Wechselwirkungen zwischen den erwähnten Regeln. So bestehen gerade im Verhältnis zwischen DS-GVO und KI-VO bei Anwendern häufig Unklarheiten im Hinblick auf die Verwendung personenbezogener Daten zum Training von KI, den Rechtsgrundlagen für (automatisierte) Entscheidungen oder den Transparenzpflichten. Ähnliches gilt für das Verhältnis von DA zu DS-GVO. Hier ist nicht abschließend geklärt, wie mit gemischten Datensätzen – also solchen, die sowohl personenbezogene als auch nicht-personenbezogene Anteile enthalten – umgegangen werden soll. Der Einwand, all diese Fragen werden sich durch Rechtsprechung klären, mag richtig sein. Im Umkehrschluss bedeutet er aber, dass die Wirkung von Rechtsakten, die Unternehmen Rechtssicherheit im Umgang mit Daten und KI geben sollen, zunächst erheblich eingeschränkt bleibt.
Die EU-Kommission hat diese Problematik erkannt und angekündigt, den Kanon digitalpolitischer Gesetze einer Prüfung zu unterziehen und, wo nötig, Anpassungen vorzunehmen. Mit dem sog. „Digital-Omnibus“ soll eine effizientere und unternehmensfreundlichere Umsetzung der Digitalpolitik gefördert werden. Der im Mai 2025 vorgelegte Entwurf unterscheidet sich allerdings von den zum Jahreswechsel geweckten Erwartungen, dass auch die Rechtstexte einer Anpassung unterzogen werden, obwohl dies – nicht nur nach Aussage betroffener Industrien – dringend notwendig wäre. So verweist unter anderem der Bitkom auf rechtliche Unklarheiten und fordert Anpassungen der KI-VO bzw. eine Verschiebung des Inkrafttretens. Was nun vorliegt, bleibt deshalb hinter dem Notwendigen zurück, da es in erster Linie administrative Erleichterungen für kleine und mittel ständische Unternehmen bei bestehenden Rechtsvorschriften (insbesondere Aufzeichnungspflichten gem. DS-GVO) zielt – wichtig, aber nicht ausreichend. Weder werden die erwähnten problematischen Wechselwirkungen adressiert noch die Chance genutzt, für die Rechtsdurchsetzung, zB der DS-GVO, ähnlich dem DSA und DMA bestimmte Referenzwerte zu definieren, entlang derer bestimmte Unternehmen zentral von EU-Institutionen reguliert werden.
Allerdings würde auch die geforderte Klarheit der Rechtstexte bzw. deren Abgrenzung nie zu der geforderten Eindeutigkeit führen. Hier tritt der Wunsch nach einem möglichst klaren, zu einzelfallbezogenen Vorschriften neigenden Regelwerk in Konflikt mit abstrakt-generellen Normen, die Interpretierbarkeit erlauben. Letzteres sollte gerade bei einer sich schnell entwickelnder Materie wie der Digitalisierung das Mittel der Wahl sein. Dennoch sollte der Wunsch der Anwender nach Hilfestellung nicht ignoriert werden. Deshalb bedarf es – drittens – praktischer Richtlinien und technischer Standards. Letztere sollten im Idealfall in etablierten europäischen und internationalen Standardisierungsgremien erarbeitet und nicht politisch vorgegeben werden.
Die Ampelkoalition hatte dies erkannt und mit dem „Deutschen Strategieforum Standardisierung“ und „MissionKI“ zwei Initiativen ins Leben gerufen, die die Rolle der deutschen Industrie in Standardisierungsgremien stärken und Unter nehmen helfen sollen, ihre Produkte und Services sicher und geprüft in den Markt zu bringen.
MissionKI richtet sich gezielt an die mittelständische Wirtschaft und trägt damit der Tatsache Rechnung, dass „KI made in Germany“ eher nicht das nächste Large Language Model (LLM) ist, sondern die Weiterentwicklung und Festigung von Marktführerschaft bei hoch spezialisierten, international nachgefragten Produkten. In Qualitäts- und Innovationszentren in Berlin und Kaiserslautern wird deshalb an entwicklungsnahen und freiwilligen KI-Qualitätsstandards gearbeitet. Damit diese Arbeit nicht losgelöst von europäischen und internationalen Normungsarbeiten geschieht, sind Organisationen wie das TÜV AI.Lab, der VDE oder Fraunhofer IAIS an Bord.
Über die Mitgliedschaft dieser Organisationen im „Deutschen Strategieforum Standardisierung“ wird sichergestellt, dass die Überlegungen auf nationaler Ebene Einfluss in die Gestaltung der internationalen Normungslandschaft finden. Denn wer Standards definiert, der definiert Märkte und stärkt im besten Fall die Wettbewerbsfähigkeit der deutschen und europäischen Wirtschaft. Womit wir wieder beim ursprünglichen Anliegen der KI-VO wären.
Europa muss sich klar darüber werden, dass seine Wettbewerbsfähigkeit von mutigen Schritten auf den Ebenen der institutionellen Reform, des regulativen Rahmens und der konkreten Umsetzung abhängig sind. Dies betrifft nicht nur die Digitalpolitik. Auch in anderen Bereichen zeigt die EU eine Tendenz, junge Technologien streng, statt pragmatisch zu regulieren – und so deren Wachstum im Binnenmarkt zu verlangsamen. Der grüne Wasserstoff ist hier ein warnendes Beispiel.
Man muss sich dabei die Haltung von Tübingens Oberbürgermeister Boris Palmer nicht komplett zu eigen machen, der das Überleben unseres Wirtschaftsraums zuletzt auch an die „Rücknahme der Totregulierung der KI durch EU-Datenschutz“ knüpfte. Aber Normgeber auf allen Ebenen sollten sich immer vor Augen führen, welche Konsequenzen unklare, sich widersprechende und praxisferne Regeln für die Zukunft unseres Wohlstands haben können.