Am 18. September startete unsere gemeinsame Dialogreihe „KI-Verordnung: Wege zur Umsetzung“ mit dem Weizenbaum Institut. Die erste Ausgabe thematisierte das Ökosystem der EU-Digitalgesetze und deren Zusammenspiel.

In der ersten Ausgabe unserer Dialogreihe zur Umsetzung der KI-Verordnung ( AI Act) ging es um das Zusammenspiel der EU-Digitalgesetze: Data Governance Act, Digital Services Act, Digital Markets Act, Data Act und Artificial Intelligence Act. Ziel war es, ein tieferes Verständnis darüber zu erlangen, wie diese EU-Rechtsakte zusammenwirken, um Über- und Doppelregulierungen zu vermeiden und Orientierung im komplexen Regulierungsumfeld zu schaffen. Mit dabei waren Prof. Max von Grafenstein (Humboldt Institut für Internet und Gesellschaft, HIIG), Prof. Dr. Hannah Ruschemeier (FernUniversität Hagen) und Pia Sombetzki (Algorithmwatch).

Drei zentrale Erkenntnisse aus der Session waren:

  • Mit der Finalisierung des AI Acts in der letzten Legislaturperiode hat die EU in den letzten Jahren ein Gesamtpaket an digitaler Gesetzgebung erschaffen, das bei guter Umsetzung die digitale Souveränität Europas stärken kann.
  • Wichtig dabei ist es, jetzt die Gesetzestexte nicht isoliert, sondern im Einklang mit den anderen Gesetzen zu betrachten, um Regulierungsarbitrage zu vermeiden.
  • Der komplexe Rahmen erfordert eine enge Zusammenarbeit aller relevanten Akteur:innen, einschließlich Wissenschaft, Politik, Zivilgesellschaft und Wirtschaft. Nur durch einen interdisziplinären Ansatz, der verschiedene Perspektiven und Fachkenntnisse integriert, können wir die Herausforderungen der Digitalgesetze angemessen angehen und effektiv umsetzen.

Regulierung des Digitalen für mehr digitale Souveränität

Im ersten Impuls erläuterte Prof. Dr. Max von Grafenstein die Struktur des EU-Digitalgesetze-Ökosystems. Die Datenschutz-Grundverordnung (DSGVO) bildet das Fundament des Datenschutzes, indem sie strenge Vorschriften für die Verarbeitung personenbezogener Daten festlegt. Der Digital Services Act (DSA) und der Digital Markets Act (DMA) konzentrieren sich auf die Regulierung von Onlineplattformen und digitalen Märkten und stellen besondere Anforderungen an große Plattformbetreiber, um faire Wettbewerbsbedingungen sicherzustellen.

Ergänzend dazu schafft die KI-Verordnung Regelungen für den verantwortungsvollen Einsatz von Künstlicher Intelligenz (KI), während der Data Governance Act (DGA) und der Data Act den Zugang zu und die Nutzung von Daten regeln, um Datenmonopole zu verhindern und kleine sowie mittlere Unternehmen (KMU) zu stärken. Zusammen bilden diese Gesetze ein Regelwerk, das, wenn es gut umgesetzt wird, die digitale Souveränität Europas und den europäischen digitalen Binnenmarkt stärkt.

DSGVO und AI Act

Prof. Hannah Ruschemeier verglich in ihrem Impuls die seit 2016 bestehende Datenschutz-Grundverordnung mit der KI-Verordnung. Ersteres hat Elemente, die auch Aspekte der Regulierung von KI abdecken, insgesamt sind beide Regulierungstexte jedoch nicht vollständig aufeinander abgestimmt, was Herausforderungen für Unternehmen und Nutzer:innen mit sich bringen kann. Während die DSGVO vor allem den Schutz personenbezogener Daten und die Rechte der Betroffenen in den Mittelpunkt stellt, zielt der AI Act darauf ab, sichere, transparente und ethische KI-Systeme zu gewährleisten.

Ein wesentlicher Unterschied liegt im Anwendungsbereich: Die DSGVO ist auf die Verarbeitung personenbezogener Daten beschränkt, wohingegen der AI Act sämtliche KI-Systeme reguliert, unabhängig davon, ob sie Daten verarbeiten oder nicht. Dadurch kann es passieren, dass ein KI-System unter den AI Act fällt, ohne dass die Vorgaben der DSGVO greifen. Zudem verfolgt die DSGVO einen personenbezogenen Ansatz, bei dem die Rechte der Datenbetroffenen im Vordergrund stehen, während der AI Act ein produktorientiertes Regulierungsmodell verfolgt, das Anforderungen an die Sicherheit und Transparenz der KI-Systeme stellt. Die Verantwortlichkeiten unterscheiden sich ebenfalls: Die DSGVO regelt klar die Pflichten für Datenverantwortliche und Datenverarbeiter, wohingegen der AI Act die Hauptverantwortung bei den Anbietern von KI-Systemen sieht, insbesondere bei Hochrisikoanwendungen, für die strenge Auflagen gelten. Diese unterschiedlichen Schwerpunkte machen eine abgestimmte Umsetzung erforderlich, um sicherzustellen, dass die verschiedenen Vorschriften in der Praxis ineinandergreifen und ein konsistenter Rechtsrahmen entsteht.

DSA und AI Act

Grundsätzlich regulieren der AI Act und der Digital Services Act (DSA) unterschiedliche Bereiche der Technologien. Was die beiden Texte unterscheidet oder verbindet, analysierte Pia Sombetzki im dritten Impuls unseres Events. Der DSA reguliert Vermittlungsdienste wie Onlineplattformen und zielt auf ein sicheres und vertrauenswürdiges Onlineumfeld ab, in dem Plattformen Verantwortung übernehmen müssen. Hier geht es um Sorgfaltspflichten, Risikobewertungen und die Sicherstellung von Transparenz. Plattformen müssen beispielsweise nachvollziehbar dokumentieren, wie sie mit systemischen Risiken (wenn eine Plattform über 10.000 Geschäftskund:innen hat) umgehen, die die Grundrechte der Nutzer:innen betreffen könnten. Unter systemische Risiken fällt dabei unter anderem die Verbreitung illegaler Inhalte über Plattformen und Suchmaschinen. Dieses Problem kann tatsächliche oder vorhersehbare negative Auswirkungen auf die Ausübung von Grundrechten haben. Zudem gibt es Risiken für den zivilen Diskurs, für Wahlprozesse und für die öffentliche Sicherheit. Auch geschlechtsspezifische Gewalt, der Schutz der öffentlichen Gesundheit, die Sicherheit von Minderjährigen sowie schwerwiegende Folgen für das physische und psychische Wohlbefinden der Menschen sind betroffen.  Sowohl der DSA als auch der AI Act verlangen von Plattformen, Risiken zu bewerten und zu verringern, die mit der Nutzung von KI-Systemen verbunden sind. Die Regeln zur Inhaltsmoderation im DSA und die Anforderungen für hochriskante KI-Systeme im AI Act können sich überschneiden, besonders bei der moderierten Inhaltskontrolle durch KI. Allerdings legt der AI Act Vorgaben für Anbieter von KI-Systemen fest, während die Anforderungen an die Anwender:innen weniger im Fokus stehen. Im Gegensatz dazu nutzt der DSA die Anzahl der Endnutzer:innen als Maßstab für die Kategorisierung von sehr großen Onlinepattformen (Very Large Online Platforms, VLOP) und Suchmaschinen (Very Large Online Search Engines, VLOSE).

Zweite Ausgabe der Dialogreihe „KI-Verordnung: Wege zur Umsetzung

Wir danken allen Speaker:innen für die wertvollen Beiträge in der ersten Ausgabe. Weiter geht es am 30. Oktober 2024, zwischen 14.00 bis 15.30 Uhr mit dem „Scope des Durchführungsgesetz der KI-Verordnung“. Es werden referieren Dr. Amélie Heldt-Hennemann (Bundeskanzleramt), Prof. David Roth-Isigkeit  (Deutsche Universität für Verwaltungswissenschaften Speyer) und Kai Zenner (Europäisches Parlament). Zur Anmeldung geht es hier entlang.

Bertelsmann Stiftung x Weizenbaum Institut – zur Kooperation

Die europäische KI-Verordnung ist seit dem 1. August 2024 in Kraft getreten. Seitdem liegt der Ball vor allem bei den Mitgliedstaaten: Wie packen wir in Deutschland die Umsetzung an? Für unsere Politiker:innen heißt es: Ärmel hochkrempeln und ran an den Text! Die KI-Verordnung ist nämlich keine leichte Lektüre, sondern ein langes Regelwerk mit komplexen Facetten. Den Überblich bei der nationalen Umsetzung zu behalten ist dabei essenziell. Um im Verordnungsdschungel einen Beitrag zu leisten und Wege in der Umsetzung aufzuzeigen, starten das Weizenbaum Institut und wir, das Projekt reframe[Tech] der Bertelsmann Stiftung, eine neue Dialogreihe. In dieser werden Expert:innen aus Politik, Verwaltung, Wissenschaft, Zivilgesellschaft und Wirtschaft in sieben Terminen zusammenkommen, um sich über die vielschichtigen Inhalte, den Auswirkungen, den Einzelheiten und Hintergründen zu den Umsetzungsanforderungen und -optionen der KI-Verordnung vertraut zu machen und um eine kohärente nationale Umsetzung zu gewährleisten.


Die Kurzzusammenfassungen der Artikel sind unter einer Creative Commons Namensnennung 4.0 International Lizenz.