Umsetzung des AI Acts: Chancen der KI für Wirtschaft ausschöpfen
Nach der Verabschiedung der europäischen Verordnung über Künstliche Intelligenz (AI Act) durch den EU-Rat am 21. Mai 2024 und der Veröffentlichung im Amtsblatt beginnt innerhalb eines Jahres die Umsetzung in nationales Recht. Nachdem sich die IHK-Vollversammlung bereits in ihrer Sitzung im Juni 2024 für eine frühzeitige Einbindung der Wirtausgesprochen hat, fordert die IHK nun gezielte rechtliche Vereinfachung und Harmonisierung mit bestehenden EU-Regularien
In ihrer IHK-Positionen fordert sie nachdrücklich eine zügige, klare, innovationsfreundliche und bürokratiearme Umsetzung des AI Acts.
Webinarreihe "Künstliche Intelligenz verstehen und nutzen
Chancen der KI für Wirtschaft ausschöpfen
Der AI Act der Europäischen Union soll klare Regeln für den sicheren und verantwortungsvollen Umgang mit KI schaffen. KI bietet großes Potenzial für die Zukunftssicherung der hiesigen Wirtschaft. Im internationalen Vergleich verlieren die EU-Länder jedoch zunehmend den Anschluss bei der Entwicklung von Hightech.
Mit der Verabschiedung der Verordnung im Frühjahr 2024 begann die kritische Phase der Umsetzung. Zunehmend wird jedoch klar, dass der AI Act durch seine Komplexität und rechtlichen Unklarheiten die KI-Innovation und -Nutzung in europäischen Unternehmen erheblich ausbremsen kann. Im Juni 2025 forderte die IHK daher eine klare Vereinfachung und Harmonisierung des AI Acts.
Vorschläge für eine Verschlankung der KI-Verordnung
Die Wirtschaft braucht gezielte rechtliche Vereinfachungen und Harmonsisierung des AI Acts mit bestehenden EU-Regularien. Europa kann es sich nicht leisten, im deutlich dynamischer gewordenen internationalen KI-Wettbewerb weiter abzufallen.
Um einen innovationsfreundlichen sowie klareren, einfacheren regulatorischen Rahmen zu erzielen, fordern wir folgende Maßnahmen:
Obwohl der AI Act sich neben einer vertrauenswürdigen KI auch zum Ziel gesetzt hat, in Europa KI-Innovation zu unterstützen, fokussiert das Gesetz selbst fast ausschließlich auf die Minderung der Risiken. Im Ergebnis müssen Unternehmen verfügbare Ressourcen in die regulatorische Compliance stecken, statt ihren Fokus auf innovative Vorhaben legen zu können. Hier braucht es eine deutliche Verlagerung des Fokus der KI-Aktivitäten der EU:
- Innovationsfokus: Statt umfassender weiterführender Detaillierung der Regulierung sollen vorhandene Ressourcen mehr auf Maßnahmen für Innovation gelegt werden – zur Stärkung der Entwicklung von KI-Systemen ebenso wie in der breiten Anwendung dieser. Die vorgesehenen Maßnahmen des AI Continent Action Plans, bspw. die geplante Apply AI Strategie, müssen zielführend ausgestaltet und schnell wirksam werden sowie für die Wirtschaft niedrigschwellig nutzbar sein.
- Kooperationsfokus: Innovationsmaßnahmen müssen viel mehr als bisher auf die Kooperation zwischen den EU-Mitgliedsstaaten wie auch mit vertrauenswürdigen internationalen Partnern setzen, um ausreichend Wirkung entfalten zu können. So sollten z.B. Sandboxes oder KI-Fabriken durch mehrere EU-Länder gemeinsam aufgebaut werden, um Standards und Nutzung in einem funktionierenden digitalen Binnenmarkt sicher zu stellen.
Viele Begriffe wie z.B. die Definitionen von KI, Hochrisiko-KI, verbotene KI und den daraus resultierenden Maßnahmen des AI Acts sind weiterhin uneindeutig und warten auf Konkretisierung und Standardisierung. Erste vorliegende Leitfäden zur Konkretisierung wie auch die vorgeschlagenen Normen sind jedoch sehr umfassend und erhöhen den bürokratischen Aufwand für Unternehmen.
- Klarheit schaffen: Bei der Konkretisierung in Leitfäden und Standards muss auf Einfachheit, Klarheit und Umsetzbarkeit gesetzt werden. Dabei müssen die horizontal geltenden Leitfäden und Standards auch für spezifische KI-Produkte eindeutig anwendbar sein. Gesetzliche Vorgaben, Standards und Normen müssen zu den Regeln anderer EU-Rechtsakte konsistent, kohärent und komplementär sein. Eine geringe Anzahl sollte die wichtigsten Anforderungen abdecken.
- Unsicherheiten ausräumen: Bestehende rechtliche Fragen zu konkreten Anforderungen sollten eindeutig geklärt werden, ohne den bürokratischen Aufwand für Unternehmen zu erhöhen. So braucht es z.B. Klarheit darüber, ab welchem Grad von Finetuning ein Rollenwechsel von Betreiber zu Anbieter stattfindet. Ebenso fehlt eine klare Auslegung des vorgesehenen Grandfathering bzw.des Bestandsschutzes für bereits in Verkehr oder in Betrieb genommene Hochrisiko-KI-Systeme basierend auf Art.111 Abs. 2 desAI Acts. Hier ist zu klären, was als wesentliche Konzeptionsänderung verstanden wird, die den festgelegten Bestandsschutz auflöst.
- Einfache, verbindliche Unterstützung: Vor allem kleine und mittlere Unternehmen haben keine eigenen Rechtskompetenzen und benötigen pragmatische Unterstützung in der Umsetzung des AI Acts. Hierfür müssen das AI Office und der AI Act Service Desk praxisnahe, interdisziplinäre Kompetenzen aufbauen. Umfassendere, komplexere Konkretisierungen sollen durch eigene oder zertifizierte externe unterstützende digitale Tools – wo möglich passende KI-Lösungen – dabei helfen, schnell, verständlich und insbesondere verbindlich die für sie relevanten Vorgaben zu erkennen.
- Praxisbeispiele statt theoretische Guidelines: Das „Living repository to foster learning and exchange on AI literacy” zeigt, wie konkrete Umsetzungsunterstützung für Unternehmen aussehen kann. Diese Beispiele sollten kontinuierlich erweitert und für Unternehmen verbindliche Rechtssicherheit schaffen.
Die in den letzten Jahren entstandenen Digitalgesetze der EU sind nicht ausreichend aufeinander abgestimmt. UnterschiedlicheZielrichtungen sowie Lücken und Überlappungen führen zu rechtlichen Unsicherheiten bei Unternehmen. Darüber hinaus sinddiverse Begriffe und Maßnahmen in den verschiedenen Regulierungen ähnlich, aber nicht einheitlich und generieren damit Doppelarbeitbei Unternehmen. Hier gilt es schnell Klarheit zu schaffen und die Verpflichtungen aus den verschiedenen Regulierungeneffizienter ineinandergreifen zu lassen:
- Datennutzung: Der Grundsatz der Datenminimierung aus der Datenschutzgrundverordnung (DSGVO) steht dem Bedarf von KIentgegen. Es braucht Rechtssicherheit für die Verarbeitung von personenbezogenen Daten mit KI in allen Verarbeitungsstufen. Sofordern z.B. die Performanzanforderungen des Art. 15 des AI Acts für Hochrisiko-KI-Systeme ein angemessenes Maß an Genauigkeit.Dazu können auch sensible Daten notwendig sein, deren Nutzung nicht im Einklang mit der DSGVO steht. Hierfür braucht es neueAnsätze wie z.B. rechtssichere Datenräume. Das Verhältnis zu Art. 5 Abs. 1 lit. b) HS 2 (Alt.2) „wissenschaftliche Zwecke“ soll geklärtund hierbei auch privatwissenschaftlichen Unternehmen eine gesicherte Datenverarbeitung ermöglicht werden.
- Trainingsdaten gegen Diskriminierung: Der AI Act will Diskriminierung beim Einsatz von KI-Systemen reduzieren. Hierzu brauchtes entsprechende Trainingsdaten. Gemäß Art. 9 der DSGVO dürfen besonders geschützte Daten nur mit expliziter gesetzlicher Ausnahmeverarbeitet werden. Art. 10 Abs. 5 des AI Acts stellt eine solche Ausnahme dar – allerdings nur für Hochrisiko-KI-Systeme. Diese Ausnahme soll mit entsprechenden Schutzmaßnahmen auf KI-Modelle mit allgemeinem Verwendungszweck (GPAI-Modelle)und Nicht-Hochrisiko-Systeme ausgeweitet werden.
- Automatisierte Entscheidungen: Art. 22 Abs. 2 DSGVO eröffnet Gestaltungsmöglichkeiten für allgemeine wie sektorspezifischeAusnahmen auf EU- wie auf nationaler Ebene für automatisierte Entscheidungen. Diese Möglichkeiten sollten umfassend ausgeschöpftwerden.
- Maßnahmen modular angleichen: Die DSGVO und der AI Act fordern z.B. für teilweise überlappende Situationen ähnlicheMaßnahmen. Um erheblichen Aufwand zu reduzieren, sollen diese möglichst deckungsgleich und modular integrierbar gestaltetwerden. Dies gilt z.B. für die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und die Risikoabschätzung bei Hochrisikoanwendungendes AI Acts oder für die Anforderungen zur IT-Sicherheit in Art. 32 DSGVO und Art. 15 AI Act.
- Unterschiedliche Verantwortlichkeiten: Zwischen KI-Anbietern (AI Act) und Betreibern (DSGVO) sollten mit Blick auf HaftungspflichtenVerantwortlichkeiten eindeutiger abgestimmt werden.
- Ganzheitliche Risikoanalyse: Der Digital Service Act (DSA) erfordert ebenso wie der AI Act Risikoanalysen. Bei gleichzeitigemAnwendungsbereich beider Verordnungen sollten die Möglichkeiten einer ganzheitlichen Risikoanalyse geprüft werden, um aufeinmal Anforderungen des AI Acts sowie des DSAs abzudecken.
- Nationale Verzahnung: Ohne Gold-Plating sollen auf nationaler Ebene die Durchführungsgesetze zu den EU-Digitalakten(AI Act, DSGVO, DSA…) verknüpft werden, um Synergieeffekte und eine deutliche Arbeitserleichterung für Unternehmen zu schaffen.
Der AI Act als horizontale Regulierung gilt auch für KI-Systeme in Bereichen, die bereits durch sektorale Regulierung auf klassischeGefahren z.B. auf Gesundheit und Sicherheit eingehen. Dabei bestehen sektorspezifische Regeln und der AI Act mit ähnlichen aberoft nicht gleichen Anforderungen nebeneinander und führen zu unnötigen Doppelarbeiten und Unklarheiten. So ist bspw. Art. 10 des AI Acts weitgehend identisch mit Art. 174 der Capital Requirements Regulation (CRR), jedoch legt keine Normung da, welche Elemente von Art. 10 als durch Art. 174 CRR abgedeckt gelten sollen. Eine Harmonisierung und Klärung des Zusammenspiels sektoraler Regulierungen mit dem Act ist dringend erforderlich. Hierfür können unterschiedliche Ansätze aufgegriffen werden:
- Lex Specialis präzisieren: Im Falle eines Konflikts zwischen EU-Rechtsvorschriften soll die Empfehlung aus dem Draghi Competitiveness Report umgesetzt werden, wonach die sektorale / spezifischere Vorschrift automatisch Vorrang hätte.
- Konkrete Ausweisung Lead Act: Damit würde die Einhaltung der sektoralen Regulierung, z.B. die Medizinprodukteverordnung(MDR), auch alle Anforderungen aus dem AI Act automatisch mit umfassen. Wo nötig können einzelne Vorgaben aus dem AI Act,die signifikant über die sektorale Regulierung hinausgehen, explizit als verpflichtend benannt werden. Das kann das AI Office miteiner Durchführungsverordnung direkt umsetzen.
- Konkrete Ausweisung einzelner Anforderungen: In Art. 17 Abs. 4 des AI Acts wird klar geregelt, welche Ansprüche des AI Actsdurch die Einhaltung des Finanzdienstleistungsrechts abgedeckt sind und welche zusätzlichen Anforderungen aus dem AI Act nochzu erfüllen sind. Eine solche Regelung braucht es für alle betreffenden sektoralen Regelungen und überlappenden Anforderungen.
- KI in sektorale Regulierung integrieren: Alternativ könnten KI-Themen in sektorale Regulierungen integriert werden. Ein zentralerKoordinator sollte dazu die Einheitlichkeit der KI-Behandlung zum AI Act sicherstellen.
Der aktuell vorliegende AI Act könnte an einigen Stellen einfacher und reduzierter gestaltet werden, ohne seine grundsätzliche Zielsetzungzu verlieren. In der Diskussion zum geplanten Omnibusgesetz zur Digitalgesetzgebung sollten Möglichkeiten hierzu erörtert werden:
- Asymmetrische Regulierung: Die Möglichkeiten einer nach Größe des Unternehmens abgestuften Regulierung sollten geprüftwerden, um Chancen zu nutzen, KMUs und Startups weniger zu belasten.
- Haftung statt Regulierung: Eine kritische Prüfung der vorliegenden Regulierung sollte abwägen, welcher Regelumfang Bestandhaben sollte und wo ein Weglassen bereits über andere vorhandene Gesetze ausreichend geregelt wäre. So könnte man z.B. erwägen, Haftungsregeln in Verbindung mit Verboten, Regeln für GPAI und Transparenzanforderungen zu belassen, aber spezifischeprozedurale und substantielle Regelungen für Hochrisiko-KI (Art. 8 – 27) zu streichen.
- Moratorium erwägen: Das gestaffelte Vorgehen des AI Acts erweist sich als Herausforderung in der Umsetzung. Es wird erwartet,dass die festgelegte Zeitschiene durch die Europäische Kommission nicht gehalten werden kann und wichtige Guidelines, Normen und Standards sich teilweise erheblich verspäten. Dies hätte Auswirkung auf die Vorbereitungsphase für Unternehmen und auf dieAufsichts- und Vollzugsvorschriften des AI Acts, die ab 3. August 2026 gelten. Es ist davon auszugehen, dass durch das Omnibuspaketzur europäischen Digitalpolitik, das für Ende 2025 angekündigt wurde, weitere Änderungen zu erwarten sind. Deshalb sollte eine Aussetzung des AI Acts oder zumindest der Bußgelder in Erwägung gezogen werden.
IHK-Forderungen für eine erfolgreiche AI Act Umsetzung
Damit die europäische und damit auch die bayerische Wirtschaft von den Chancen der KI-Entwicklung und -Nutzung umfassend profitieren kann, muss die Umsetzung möglichst einheitlich, innovationsfreundlich, bürokratiearm und rechtssicher erfolgen. Dies gilt es nun im weiteren Prozess konsequent sicherzustellen.
Umsetzung und Pflichten schnell konkretisieren
An erster Stelle ist es wichtig, dass die im AI Act vorgesehenen Vorschriften, Standards und Pflichten nun schnell, innovationsfreundlich und rechtlich klar konkretisiert werden, damit die Wirtschaft genügend Zeit hat, sich vorzubereiten. Sonst droht, dass Unternehmen sich auf Grund hoher Komplexitäten und Unklarheiten gegen die Entwicklung und Nutzung von KI-Systemen entscheiden. Deshalb muss die Politik zügig aktiv werden:
Der AI Act sieht vor, dass die Mitgliedstaaten innerhalb von 12 Monaten die zuständige Behörde ernennen müssen (Artikel 70). Wenn diese sich dann erst noch aufbauen und organisieren muss, während die Unternehmen bereits die Verpflichtungen für KI-Systeme mit hohem Risiko vorbereiten, ist zu befürchten, dass wichtige Ansprechpartner zur Klärung von Fragen fehlen.
Gleichzeitig müssen die zuständigen Verwaltungseinheiten mit ausreichenden und kompetenten Ressourcen aufgestellt werden. Dafür müssen entsprechende Mittel in der Haushaltsplanung vorgesehen und qualifizierte Fachkräfte frühzeitig gewonnen werden.
Wir fordern die Benennung einer zentralen, nationalen KI-Behörde für Deutschland. Es darf keinen regionalen Flickenteppich wie bei der DSGVO durch die Zersplitterung der Aufsicht in 16 Bundesländer geben.
Die Definition von KI ist unscharf und die Anforderungen der jeweiligen Risikoeinstufungen sind komplex. Auslegungsprobleme, wie z. B. bei der Bewertung eines Hochrisiko-KI-Systems (Artikel 6) oder auch, ob eine Software unter die KI-Definition fällt, sind zu erwarten. Auslegungsspiel?räume dürfen dabei nie zulasten der Innovationskraft ausgefüllt werden. Die Anforderungen müssen frühzeitig verständlich konkretisiert werden, damit Unternehmen genügend Zeit haben, sich richtig vorzubereiten. Ziel muss dabei sein, Unklarheiten und daraus resultierende bürokratische und finanzielle Belastungen zu vermeiden. Das bedeutet zum Beispiel:
- Die Leitlinien für die Bewertung einer Hochrisiko-KI müssen schnell festgelegt werden und nicht erst zum spätest möglichen Zeitpunkt18 Monate nach Inkrafttreten (Artikel 6). Andernfalls blieben Unternehmen nur noch 6 Monate für die Prüfung sowie die Erfüllung alle Pflichten.
- Die Einführung von Qualitätsmanagement-Systemen (Artikel 17) soll proportional zur Größe des Anbieters erfolgen. Kleine und mittlere Unternehmen (KMU) brauchen hier schnell eine Konkretisierung, wie die Anforderungen an sie aussehen, um sich auf diese einzustellen.
Innovationen und „AI made in Europe“ stärken
Trotz des gegenteilig lautenden politischen Ziels der EU besteht durch die neuen Pflichten die Gefahr, dass KI-Innovationen durch den AI Act ausgebremst werden. In der Umsetzung sollten die Chancen innovativer Technologien und „AI made in Europe“ daher in den Fokus rücken und Anreize für die Entwicklung und Verbreitung europäischer KI-Anwendungen geschaffen werden. Grundsätzlich sollte Titel V „Maßnahmen zur Unterstützung der Innovation“ des AI Acts für die Politik eine übergeordnete Rolle spielen:
Um die Chancen innovativer Technologien zu nutzen, brauchen Unternehmen auch die Möglichkeit, diese zu entwickeln. Verbesserte Finanzie?rungsmöglichkeiten, v. a. großvolumige Venture-Capital Fonds, attraktive steuerliche Behandlung von Investitionen in Start-ups (z. B. für Mitar?beiter), aber auch Zugang zu Supercomputing-Infrastruktur, wie bspw. Exascale-Supercomputer, sollten parallel zur inhaltlichen Umsetzung des
AI Acts vorangetrieben werden.
Vor allem KMU, welche vor den hohen Compliance-Anforderungen zurückschrecken, können von (regulatorischen) Sandboxes profitieren. Der Bund sowie der Freistaat sollten die Möglichkeiten aus Artikel 57 voll ausnutzen, um Unternehmen die Möglichkeiten zu bieten, KI-Systeme zu entwickeln und deren Compliance in sogenannten „real world conditions“ zu prüfen. Diese Sandboxes sollten so bald wie möglich zur Verfügung stehen und nicht erst, wie vorgesehen, 24 Monate nach Inkrafttreten der Verordnung.
Artikel 62 ermöglicht eine Anpassung der Gebühren für die Konformitätsbewertung für KMU sowie Start-ups. Diese Möglichkeit sollte umfang?reich und nach ausgewogenen Kriterien ausgeschöpft werden.
Auch die öffentliche Hand selbst sollte KI zur Optimierung ihrer Verwaltungsprozesse nutzen. So trägt sie bei zu mehr Vertrauen in die Technolo?gie, zur Stärkung von KI-Innovationen und zu effizienteren Verwaltungsprozessen.
Bürokratieaufwachs vermeiden
KI-Unternehmen, v. a. KMU, sehen sich mit großen Unklarheiten sowie bürokratischen und finanziellen Belastungen konfrontiert. Bei der
Umsetzung gilt es deshalb zwingend darauf zu achten, nicht noch mehr Bürokratiebelastung für Unternehmen aufzubauen:
- Regulierungen harmonisieren: Es muss Konsistenz und Kohärenz mit der existierenden Gesetzgebung herbeigeführt werden, sonst stehen Unternehmen vor nicht lösbaren unterschiedlichen rechtlichen Anforderungen oder werden doppelt belastet. Es ist daher wichtig, dass die Verpflichtungen aus dem AI Act eng mit den Standards bzw. Verpflichtungen weiterer Regelwerke (DSGVO, Data Act etc.) abgestimmt werden. Ein „die DSGVO bleibt unberührt“ erhöht die Rechtsunsicherheit statt die Entwicklung und Nutzung von KI zu fördern. Als horizontale Verordnung muss der AI Act außerdem mit bestehenden sektoralen Regulierungen (z. B. für Medizintechnik, Maschinen-VO etc.) abgestimmt werden.
- Unternehmen bei Umsetzung unterstützen: Zur zügigen Beseitigung von Unklarheiten und Nutzung der Erfahrung anderer Organisationen sollten ausreichend Kapazitäten bereitgestellt werden, um Unternehmen z. B. durch FAQs, Leitfäden, Checklisten und Beratung in der Umsetzung des AI Acts und bei einer Konformitätsbewertung zu unterstützen. Durch Service Level Agreements der involvierten Behörden sollen planbare Prozesse und Antwortzeiten geschaffen werden.
Europa- und bundesweit einheitliche Umsetzungsstandards durchsetzen
Deutschland ist nun gefordert, für eine einheitliche europäische Umsetzung zu sorgen. Startups und KMU, die EU-weit tätig sind, wären über?fordert, wenn sie ihre Angebote an 27 unterschiedliche AI Act-Auslegungen ausrichten müssten. Gleichzeitig kann sich die deutsche Politik ein sogenanntes „Gold Plating“ in der Regulierung oder Auslegung nicht leisten. Dies verstärkt die Gefahr, dass Unternehmen sich in anderen Ländern in oder sogar außerhalb der EU niederlassen. Deutschland muss bei der Umsetzung sparsam und zielführend agieren:
Deutschland sollte mit entsprechender Kapazität bereits auf EU-Ebene, z. B. im AI-Office, durch engagierte Mitarbeit für eine zielführende, harmonisierte Umsetzung sorgen.
Wo der AI Act Raum für ergänzende nationale Regulierungen zulässt, sollte dies auf keinen Fall genutzt werden, um die KI-Entwicklung und -Nutzung zu erschweren. So darf beispielsweise keine nationale Regelung der Genehmigungsfiktion entgegenstehen, die bei dem vorgesehenen „real world testing“ außerhalb der Sandboxes (Artikel 60) nach 30 Tagen greift.
Für eine zügige und einheitliche Umsetzung soll die nationale Aufsichtsbehörde auf Bundesebene etabliert und auf keinen Fall – wie bei der DSGVO – auf die Bundesländer übertragen und uneinheitlich organisiert werden.