Europäische KI-Regulierung : Guter Wille darf nicht zur Innovationsbremse werden

Öffentliche Debatten über KI-Regulierung kreisen vor allem um Anwendungen, die in der KI-Verordnung unter den Anhang III fallen. Dort geht es etwa um den Einsatz von KI im Bildungswesen, bei der Strafverfolgung oder beim Arbeitnehmermanagement. Diese KI-Anwendungen gelten zu Recht als hoch riskant: Ein KI-Produkt sollte weder Abiturnoten herbeihalluzinieren noch Unschuldige als Schwerkriminelle ausweisen. Deshalb sind klare Regeln wichtig.

Auch im für die Industrie so wichtigen Produktsicherheitsrecht geht es um viel: Medizingeräte, Industriemaschinen und Aufzüge dürfen Leib und Leben der Anwender nicht gefährden. Künstliche Intelligenz bringt hier tatsächlich neue Herausforderungen mit sich, wenn sie auf Mustererkennung und Wahrscheinlichkeiten statt auf deterministischen Abläufen beruht. Es ist auch aus Sicht unserer Industrieunternehmen richtig, diesen Einsatz „Industrieller KI“ zu regulieren. Die große Frage ist allerdings: Wo und wie?

Reicht die sektorale Regulierung aus?

Viele KI-Aspekte sind bereits in anderen Rechtsakten geregelt: von der DSGVO über das Produkthaftungsrecht – welches seit Neuestem auch Software umfasst – bis hin zu den sektoralen Produktsicherheitsrechtsakten. Letztere sind auch im Anhang I(A) der KI-Verordnung aufgeführt. Produkte, die hierunter fallen, gelten als „hoch riskant“, wenn sie zwei Bedingungen erfüllen: Es muss sich dabei um ein KI-Sicherheitsbauteil handeln und es muss drittstellenpflichtig sein. Für diese Hochrisiko-KI gelten strenge Anforderungen, beispielsweise mit Blick auf das Qualitäts- und Risikomanagement, die Dokumentation und die menschliche Aufsicht.

Ein Problem: Was genau ein Sicherheitsbauteil ist, ist in den meisten dieser Rechtsakte gar nicht beschrieben. Die Maschinenverordnung definiert das zwar, weicht dabei allerdings von der KI-Verordnung ab. Für Unternehmen hat dies ernste wirtschaftliche Konsequenzen, denn sie wissen nicht, ob ihre Produkte überhaupt betroffen sind. Die Leitlinien der EU-Kommission dazu liegen trotz gegenteiliger Versprechen immer noch nicht vor. Unklar bleibt auch, was die Unternehmen genau tun müssen: Die harmonisierten europäischen Normen, die hierfür eine Orientierung bieten würden, verspäten sich ebenfalls.

Das liegt vor allem daran, dass der AI Act keine einfache Ergänzung des Produktsicherheitsrechts ist, sondern – auch aufgrund einer weiten KI-Definition – beinahe jede Art von moderner Software noch einmal neu regelt. Dass beispielsweise Medizingeräte bereits seit langem KI-Software einsetzen, ist davon unberücksichtigt.

Was die Maschinenverordnung vorgibt

Schon jetzt verpflichtet die Maschinenverordnung die Hersteller, Systeme so zu bauen, dass sicherheitsrelevante Abläufe vorhersehbar, robust und kontrollierbar sind. Seit der letzten Überarbeitung gilt dies über einen Passus zum „selbst-entwickelnden Verhalten“ auch explizit für KI. Das aktuelle Vorhaben des EU-Parlaments will deshalb relevante Bestimmungen in die Sektorregulierung integrieren, um etwaige Lücken zu schließen.

Doppelregulierung entsteht zurzeit auf jeder Ebene: Compliance-Abteilungen müssen neben der Sektorregulierung auch die KI-Verordnung beachten, obwohl Industrieprodukte nichts mit Desinformation oder Deep Fakes zu tun haben. Hinzu kommen sich doppelnde Anforderungen – etwa beim Risiko- und Qualitätsmanagement – sowie Unsicherheiten beim Zusammenspiel. Allein für die Medizinprodukteverordnung hat die EU-Kommission einen Katalog mit 36 Fragen erstellt, der Unklarheiten adressieren soll, aber viele zentrale Punkte offenlässt.

Auch bei den Konformitätsbewertungsverfahren kommt es zu Dopplungen. Das Durchführungsgesetz der Bundesregierung sieht ein hybrides Marktüberwachungssystem vor. Die Stellen, die sich um bereits regulierte Produkte kümmern, sollen nun auch für die Anforderungen der KI-Verordnung sorgen. Damit kommt allerdings auch viel Arbeit auf die Bundesnetzagentur zu. Sie muss die jeweiligen KI-Auslegungen der einzelnen Sektoren koordinieren. Eine Integration der KI-Anforderungen in die Sektorregulierung würde die Dinge sicher auch hier erleichtern.

AI Act lässt Fragen offen

Ohne Frage bedeutet dieser Einarbeitungsprozess Aufwand. Dabei muss unter anderem sichergestellt werden, dass die zukünftigen KI-Anforderungen der Funkanlagenrichtlinie nicht denen der Maschinenverordnung widersprechen. Dies ist allerdings allemal einfacher, als zusätzlich noch Strafverfolgungssoftware und HR-Tools im Blick zu halten. Außerdem ist es keineswegs so, als würde die KI-Verordnung zurzeit Rechtssicherheit bieten: fehlende Leitlinien und einander widersprechende oder fehlende Definitionen zeigen, dass so oder so noch viele Hausaufgaben zu erledigen sind.

In der Zwischenzeit gibt es zudem keinen Grund zur Sorge: Industrielle KI muss auch jetzt schon die Schutzziele der jeweiligen Sektorregulierung erfüllen. Das ist natürlich auch im Sinne der Industrie selbst, die zurecht stolz auf den hohen Sicherheitsstandard ihrer Produkte ist.

Das Institut der deutschen Wirtschaft (IW) hat berechnet, dass industrielle KI-Anwendungen 2035 auf eine Marktgröße von 380 Milliarden Euro kommen werden. Anders gesagt: An der KI-Regulierung entscheidet sich die Zukunft des Wirtschaftsstandorts Deutschland. Die Verschiebung des Anhangs I(A) in den Anhang I(B) der KI-Verordnung öffnet den Weg, industrielle KI genau dort zu regulieren, wo auch andere Sicherheitsaspekte von Industrieprodukten erfasst werden: In der jeweiligen Sektorregulierung. KI in Industriesensoren vergibt keine Abiturnoten und verurteilt keine Straftäter – sie sollte daher auch anders reguliert werden.

Sarah Bäumchen ist Mitglied der ZVEI-Geschäftsleitung. Sie leitet das Berliner Büro des ZVEI und übernimmt unter anderem maßgeblich Verantwortung für die politische Kommunikation des Verbands der Elektro- und Digitalindustrie. Zuvor steuerte die Public-Affairs-Expertin in der FDP-Bundeszentrale die interne und externe Kommunikation der Partei und arbeitete in der Bundestagsfraktion als Bereichsleiterin für den Arbeitskreis Wirtschaft.