A. Einleitung
Die Europäische Union hat im März dieses Jahres einen Rechtsrahmen für Künstliche Intelligenz verabschiedet und stellt heraus, dass es sich hierbei um das weltweit erste Gesetz handelt, das auf künstlicher Intelligenz beruhenden Produkten einen Rahmen gibt. Es soll zugleich Innovationen auf diesem Gebiet fördern, aber auch die Risiken, die hiermit verbunden sind, adressieren und eindämmen. Die Regelung setzt daher nicht bei der Art der Technologie selbst an, sondern verfolgt einen anwendungsbezogenen, risikobasierten Ansatz.
Inzwischen liegt eine deutsche Fassung des von Rat und Parlament verabschiedeten Textes der KI-Verordnung (Artificial Intelligence Act) vor (Dokument P9_TA(2024)0138 v. 13.03.2024). Die nachfolgende Darstellung fußt auf dieser Fassung mit dem Vorbehalt, dass sich bis zur Veröffentlichung der endgültigen Fassung im EU-Amtsblatt noch sprachliche/redaktionelle Änderungen ergeben können.
Von Nahem betrachtet erweist sich die Verordnung mit ihren Anhängen und Ermächtigungen zu delegierten Rechtsakten als sehr ausdifferenziert und systematisch komplex, so dass hier nur ein notwendigerweise unvollständiger Überblick über den Regelungsgehalt gegeben werden kann.
B. Hintergrund
Nach Antritt ihres Amtes hatte Kommissionspräsidentin von der Leyen 2019 ein Regulierungskonzept zum Umgang mit KI angekündigt. Anfang 2020 ist auf dieser Grundlage ein Weißbuch der Kommission veröffentlicht worden, das sich zum Ziel gesetzt hat, einerseits die Nutzung von Künstlicher Intelligenz in Europa zu fördern, gleichzeitig aber die hiermit verbundenen Risiken ins Auge zu nehmen. Die Verordnung über Künstliche Intelligenz ist Teil eines Maßnahmenpakets, das daneben auch eine Überarbeitung von Produktsicherheitsvorschriften und eine Regelung von Haftungsfragen im Zusammenhang mit KI-Systemen umfasst. Die besondere Herausforderung, einen Rechtsrahmen für einen sich höchst dynamisch entwickelnden Bereich zu schaffen, zeigte sich bereits im Laufe des Gesetzgebungsprozesses, der ab Ende 2022 von einem in so kurzer Zeit höchst unvorhersehbaren öffentlichkeitswirksamen Erfolg des Sprachmodells Chat-GPT begleitet wurde und den weiteren Fortgang der Arbeiten sowie die Struktur des Regelungswerks damit maßgeblich beeinflusst hat.
C. Anwendungsbereich und Definitionen
Ein KI-System wird in Art. 3 Abs. 1 der KI-Verordnung als maschinengestütztes System definiert, das für einen autonomen Betrieb ausgelegt ist und konzeptionelle Anpassungsfähigkeit, also Lernfähigkeit besitzt, und das aus den Eingaben, die es erhält, zielorientiert ableitet, wie es Ergebnisse (z.B. Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen) erzeugen kann, die die physischen oder virtuellen Umgebungen beeinflussen können. Diese Definition ist denkbar breit angelegt, ursprünglich angelehnt an die Definition der OECD, und soll damit angesichts der zu erwartenden schnellen Fortentwicklung zukunftsfähig und offen bleiben.
Zum Verständnis der Regelungen ist hiervon der Begriff des KI-Modells zu unterscheiden. Grob dargestellt handelt es sich bei einem KI-System um das gesamte für eine KI-Anwendung notwendige Ökosystem einschließlich der Hardwarekomponenten; das KI-Modell ist dagegen nur ein Teil dessen, nämlich das zugrunde liegende mathematische Modell (Erw. 97).
Art. 2 bestimmt den sehr weiten persönlichen und geographischen Anwendungsbereich. Die Verordnung findet neben Nutzern im Wesentlichen auf diejenigen Anwendung, die solche Systeme in den Wirtschaftsverkehr einbringen oder betreiben. Als „Anbieter“ unterfällt derjenige der Verordnung, der ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickelt, in Verkehr bringt oder entgeltlich oder unentgeltlich für eigene oder fremde Zwecke in Betrieb nimmt (Art. 3 Abs. 3, Art. 11). Ein „Betreiber“ ist nach Absatz 4 derjenige, der ein KI-System in seinem Herrschaftsbereich einsetzt, soweit dies im beruflichen oder gewerblichen Kontext erfolgt. Der Oberbegriff des „Akteurs“ nach Absatz 8 umfasst diese Rollen, aber auch weitere wie den Hersteller oder den Importeur.
Von der Regulierung erfasst ist damit die gesamte Lieferkette. Der breite Anwendungsbereich ist von dem Interesse getragen, das gewünschte Schutzniveau lückenlos zu erreichen und einen fairen Wettbewerb zu ermöglichen. Daher sind die Regelungen auch auf Anbieter und Betreiber aus Drittländern anwendbar, wenn die Erzeugnisse des Systems in der EU verwendet werden (Art. 2 Abs. 1c).
Open Source-Anwendungen werden in Art. 2 Abs. 12 privilegiert, allerdings nur wenn sie nicht als Hochrisikosystem in Verkehr gebracht werden. Wissenschaftliche Forschung und Entwicklung solcher AI-Systeme ist laut Art. 2 Abs. 6 von der Regulierung auch ausgenommen, ebenso wie der rein private Gebrauch von AI (Art. 2 Abs. 10).
Banken und Sparkassen dürften in der Praxis dann in den persönlichen Anwendungsbereich der Regeln fallen, wenn sie im Rahmen ihres Bankgeschäfts oder zu internen Zwecken, wie etwa im Personalwesen, KI-Systeme einsetzen oder weiterentwickeln und damit als Anbieter oder Betreiber nach den Art. 2 Abs. 1b, Art. 3 Abs. 4 und Abs. 8 anzusehen sind. Darauf zu achten ist, dass einem Betreiber unter Umständen auch die Pflichten eines Anbieters zukommen können (vgl. dazu unter F.). Für die Zukunft ist im Übrigen mit ergänzenden aufsichtlichen Regelungen zu rechnen, wie die derzeit konsultierte 8. Novelle der Mindestanforderungen an das Risikomanagement zeigt, die in Abschnitt 4.3.5 explizit auch interne Modelle einbezieht.
D. Anforderungen an alle KI-Systeme
Einige wenige Regelungen gelten für alle zulässigen KI-Systeme.
Generell erwartet die KI-Verordnung von deren Anbietern und Betreibern angemessene Expertise auf dem Gebiet der künstlichen Intelligenz (Art. 4). Wenn Systeme auf direkte Interaktion mit natürlichen Personen gerichtet sind, müssen Anbieter diese im Regelfall so gestalten, dass diese über ihren Kontakt mit einem KI-System informiert werden (Art. 50 Abs. 1). Sollten die Systeme, Ton, Bild, Video oder Text generieren, wie bei auf KI zurückgreifende Chatbots, muss der Output vom Betreiber mit einem entsprechenden Hinweis bzw. Wasserzeichen markiert werden (Absätze 2, 3). Treffen beide Kriterien nicht zu und handelt es sich nicht um Hochrisikosysteme (unten unter F.), enthält die Verordnung keine weiteren Vorgaben; wohl aber empfiehlt sie in Art. 95 vor allem Anbietern und Betreibern solcher Systeme, einen freiwilligen Verhaltenskodex für vertrauenswürdige KI zu schaffen und zu befolgen.
E. Modelle mit allgemeinem Verwendungszweck
Die KI-Verordnung stuft KI-Systeme bzw. die diesen zugrunde liegenden Modelle danach ein, ob sie einen bestimmten oder begrenzten Verwendungszweck haben oder verschiedensten Zwecken dienen können (Systeme mit allgemeinem Verwendungszweck = General Purpose AI (GPAI)). Hintergrund ist die schon genannte stürmische Entwicklung der dem Publikum zur Verfügung stehenden Sprachmodelle wie ChatGPT, Bing oder nun Gemini, die den europäischen Gesetzgeber mitten im Gesetzgebungsverfahren veranlasst hat, solche Modelle und Systeme gesondert zu behandeln.
General Purpose AI (GPAI)-Modelle werden in Art. 3 Abs. 63 und die auf ihnen basierenden Systeme in Absatz 66 definiert. Es handelt sich dabei um allgemein verwendbare KI-Modelle, die sehr unterschiedliche Aufgaben kompetent erfüllen können, unabhängig davon, ob sie direkt zur Anwendung gelangen oder in ein anderes System integriert werden.
Ungeachtet ihrer weiteren Einordnung müssen GPAI-Modelle zunächst Standardanforderungen wie technische Dokumentationen, Transparenz gegenüber nachgelagerten Anbietern und gegenüber einem neuen EU AI-Büro zu den genutzten Trainingsdaten erfüllen (Art. 53). Im Übrigen gelten dann, wenn die Modelle direkt mit natürlichen Personen in Beziehung treten, allgemeine Anforderungen wie ein Hinweis auf die Interaktion mit KI (Art. 50, vgl. bereits oben unter D.).
Weitere Anforderungen gelten für GPAI-Modelle, bei denen die Existenz eines systemischen Risikos angenommen wird. Die Verordnung sieht zur Bestimmung dieses Risikos einen gestuften Ansatz vor. Grundsätzlich ist ein systemisches Risiko anzunehmen, wenn das Modell über hohe Wirkungskapazitäten verfügt (Art. 51 Abs. 1). Gemäß Art. 3 Abs. 64 ist das als gegeben anzusehen, wenn das Modell zu den „technologisch fortschrittlichsten“ gehört, was bei großen generativen KI-Modellen mit einer Gesamtrechenleistung von mehr als 1025 FLOPs in Art. 51 Abs. 2 gesetzlich vermutet wird. Diese Einordnung als GPAI mit systemischem Risiko kann nach einer vom Anbieter verlangten Notifizierung von der Kommission bestätigt oder verworfen werden (Art. 52 Abs. 2). Die Kommission kann aber auch aufgrund einer eigenen Einschätzung auch Modelle geringerer Leistung als gleichwertig einstufen (Art. 51 Abs. 1b). In Anhang XIII der KI-Verordnung finden sich hierzu detaillierte Kriterien. Außerdem kann die Kommission in delegierten Rechtsakten andere Grenzen festlegen (Art. 51 Abs. 3). Ist die Einordnung als Modell mit systemischem Risiko erfolgt, sind Modellevaluierungen, Maßnahmen zur Eindämmung von Systemrisiken, unverzügliche Meldungen schwerwiegender Vorfälle und ergriffener Gegenmaßnahmen sowie risikoadäquat erhöhte Maßnahmen zur Mitigierung von Cyberrisiken erforderlich (Art. 55).
Dass GPAI-Modelle in modifizierter Form bestimmten Zwecken zugeführt werden könnten, hat der Gesetzgeber erkannt und klarstellend geregelt, dass dann eine neue Kategorisierung mit den entsprechenden Pflichten zu erfolgen hat (Art. 25 Abs. 1 c).
F. Risikobasierter Ansatz für spezifische Verwendungszwecke von KI-Systemen
Für alle anderen KI-Systeme außer GPAI wählt die Verordnung einen risikobasierten Ansatz je nach Verwendungszweck und befasst sich in Ergänzung der allgemeinen, für alle KI-Systeme auch geringen Risikos geltenden Regelungen (vgl. dazu bereits oben unter D.) mit zwei weiteren Kategorien höheren bzw. unannehmbaren Risikos.
Zunächst wird in Art. 5 ein Verbot für bestimmte Einsatzzwecke oder Praktiken künstlicher Intelligenz mit unannehmbar hohem Risiko ausgesprochen. Dabei handelt es sich etwa um Verfahren zur unterschwelligen Beeinflussung von Personen, zur Ausnutzung von Schwächen, die in der betroffenen Person oder ihrer wirtschaftlichen oder sozialen Situation begründet liegen, zur Bewertung sozialen Verhaltens und vergleichbare Praktiken mit einschneidender Grundrechtsrelevanz.
Im Anschluss widmet sich die Verordnung in den Art. 6 bis 27 den Modellen mit hohem Risiko. In der vorliegenden Entwurfsfassung ist dies nicht eindeutig aus dem Wortlaut der Artikel erkennbar, dies dürfte sich aber aus der systematischen Stellung in diesem Kapitel ergeben.
Art. 6 definiert zunächst Hochrisikosysteme insbesondere unter Verweis auf die von der Kommission zu aktualisierende Liste in Annex III, lässt aber Ausnahmen zu, wenn das konkrete System geringere Gefahren für Sicherheit oder die Grundrechte der Betroffenen bedeutet; in diesen Fällen erwartet die Verordnung allerdings eine entsprechende Dokumentation (Absätze 3 f.).
Aus Bankenperspektive kommen als Einsatzbereiche mit hohem Risiko insbesondere Verwendungszwecke im Personalbereich (berufliche Bildung, Personalrekrutierung und -einsatz, Anhang III Nr. 3 und 4) sowie der Kreditwürdigkeitsprüfung (Anhang III Nr. 5 b) in Betracht. Beachtung finden sollte im Hinblick auf die beabsichtigte laufende Fortentwicklung der Kriterien aber auch, dass die kritische Infrastruktur in Anhang III Nr. 2 Erwähnung findet.
Bevor Hochrisiko-KI-Systeme in der EU in Verkehr gebracht oder anderweitig in Betrieb genommen werden dürfen, müssen die Anbieter ihr System einer Konformitätsbewertung unterziehen, wobei meist eine interne Prüfung ausreichend ist (Art. 43 Abs. 2 i.V.m. Annex III und VI). Damit können sie nachweisen, dass ihr System den verbindlichen Anforderungen an vertrauenswürdige KI entspricht (Art. 47).
Anbieter (vgl. Art. 8 Abs. 2) von KI-Systemen mit hohem Risiko müssen für den gesamten Lebenszyklus des Systems ein Risikomanagement etablieren (Art. 9); es müssen angemessene Verfahren zum Umgang mit Trainingsdaten (Art. 10) geschaffen werden, es muss eine technische Dokumentation existieren und aktuell gehalten werden (Art. 11), der Gebrauch des Systems muss automatisiert aufgezeichnet werden (Art. 12), Betreiber des Systems müssen angemessen über den Umgang mit dem System informiert werden (Art. 13), es muss die Möglichkeit einer menschlichen Kontrolle während der gesamten Nutzungszeit geben (Art. 14), und die Systeme müssen angemessen akkurat, robust und sicher vor Cyberangriffen ausgestaltet sein (Art. 15).
Im nächsten Abschnitt widmet sich die Verordnung vor allem nicht unmittelbar systembezogenen Pflichten der Anbieter zu. Hierzu gehören unter anderem eine Anbieterkennzeichnung, ein Qualitätsmanagement, Dokumentations- und Aufbewahrungspflichten und das Ergreifen von Korrekturmaßnahmen bei Verstößen gegen die Anforderungen. Große praktische Relevanz kann entfalten, dass diese Pflichten auf andere Personenkreise wie zum Beispiel auch Betreiber ausgeweitet werden, wenn sie ihren Namen mit dem Hochrisikosystem in Verbindung bringen oder das System selbst signifikant oder dessen Zweckrichtung verändern (Art. 25).
Wer Hochrisikosysteme als Betreiber einsetzt, muss gemäß Art. 26 im Rahmen seiner Möglichkeiten für eine angemessene, insbesondere auch kompetente und mit Entscheidungsbefugnissen versehene menschliche Kontrolle sorgen (Absatz 2). Für Finanzinstitute gelten die Anforderungen allerdings bereits bei Beachtung der entsprechenden für sie geltenden bankaufsichtlichen Regelungen als erfüllt (Absatz 5).
Der Betreiber ist nach Absatz 7 als Arbeitgeber verpflichtet, die Arbeitnehmervertretung über den KI-Einsatz zu informieren und nach Absatz 9 dazu, mit den ihm nach Art. 13 vom Anbieter zur Verfügung gestellten Daten eine datenschutzrechtliche Folgenabschätzung vorzunehmen.
Dass Betreiber zur Zusammenarbeit mit den Behörden verpflichtet sind, wird deklaratorisch erwähnt (Art. 26). Für viele Hochrisiko-KI-Systeme greift die Pflicht, das System in einer EU-Datenbank zu registrieren (Art. 49, 71); darunter sind zum Beispiel auch Systeme, die im Personalbereich oder bei der Kreditwürdigkeitsprüfung ihren Einsatz finden.
Ist ein Betreiber dem öffentlich-rechtlichen Bereich zuzuordnen, kann besonders bei Kreditwürdigkeitsprüfungen und im Versicherungsbereich Art. 27 einschlägig sein, der eine Bewertung der Grundrechtsfolgenabschätzung des eingesetzten Systems vorsieht.
G. Reallabore und kontrollierte Tests
Um Innovationen zu fördern, erwartet die Verordnung die Errichtung von Reallaboren (Sandboxes) unter nationaler Aufsicht (Art. 57) und ermöglicht Tests unter realen Bedingungen in einem kontrollierten Umfeld für einen begrenzten Zeitraum (Art. 60). Derlei Tests von Hochrisiko-KI-Systemen dürfen in der Regel höchstens sechs Monate dauern. Vor dem Testen muss ein Plan aufgestellt und der Marktüberwachungsbehörde zur Genehmigung vorgelegt werden. Die Behörde ist angehalten, diesen binnen 30 Tagen zu prüfen, sonst wird die Genehmigung fingiert. Beteiligte müssen ihrer Teilnahme am Test zustimmen (Art. 61). Von den Mitgliedstaaten werden weitere Fördermaßnahmen erwartet, die zum Beispiel auch eine wettbewerblich fragliche Vorzugsbehandlung von Start-up-Unternehmen erfassen (Art. 62).
H. Neue Institutionen und Zuständigkeiten
Die Verordnung errichtet ein neues institutionelles System zur Erfassung und Überwachung von KI-Aktivitäten.
Auf europäischer Ebene wird die Kommission ein neues Europäisches Amt für Künstliche Intelligenz (Art. 64) einrichten. Das Amt soll systematisch Fachwissen und Fähigkeiten der Union im Bereich der künstlichen Intelligenz entwickeln und zur Umsetzung und Anwendung der Rechtsvorschriften der Union im Bereich der künstlichen Intelligenz beitragen, indem es die Kommission und die nationalen Marktaufsichtsbehörden unterstützt und in einzelnen Fällen selbst Marktaufsichtsfunktionen übernimmt. Insbesondere soll das Amt die neuen Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) durchsetzen und ihre Anwendung überwachen (Art. 75, Erw. 161 f.)
Ein neu zu errichtender Europäischer Ausschuss für künstliche Intelligenz (Art. 65 f.) besteht aus Repräsentanten der zuständigen nationalen Aufsichtsbehörden; darüber hinaus nehmen Vertreter des Europäischen Datenschutzbeauftragten sowie des AI-Büros teil. Der Ausschuss hat die Aufgabe, eine reibungslose, wirksame und einheitliche Umsetzung des neuen Regelwerks zu erleichtern und erinnert in Teilen funktional an die im Bankbereich etablierten Regulatoren EBA und ESMA, bleibt aber zunächst hinter deren Zuständigkeiten weit zurück.
Zusätzliches technisches Fachwissen wird von einem Beratungsforum (Art. 67) zur Verfügung gestellt, in dem eine ausgewogene Auswahl von Interessenträgern aus Industrie, Start-ups, KMU, Zivilgesellschaft und Wissenschaft vertreten ist. Hier ist eine Nähe zu den „Stakeholder Groups“ oben genannter Regulatoren erkennbar.
Den Mitgliedstaaten kommt bei der Anwendung und Durchsetzung der Vorschriften eine Schlüsselrolle zu. Behörden in den Mitgliedstaaten sollen diejenigen Stellen überwachen, die Konformitätsprüfungen national vornehmen und sich untereinander abstimmen. Die Kommission wird dies europaweit überwachen und koordinieren. Dazu sollte jeder Mitgliedstaat eine oder mehrere zuständige nationale Behörden benennen, die die Anwendung und Umsetzung der Verordnung beaufsichtigen und die Marktüberwachung wahrnehmen (Art. 70). Im Falle der deutschen Kreditwirtschaft wird das voraussichtlich die BaFin sein. Die Kommission wird darüber hinaus Branchenverbände zur Aufstellung freiwilliger Verhaltenskodizes für den Einsatz der KI anhalten.
I. Sanktionen
In den Art. 99 ff. werden die Mitgliedstaaten verpflichtet, Sanktionen für Verstöße gegen die Bestimmungen der Verordnung zu erlassen. Wird gegen das Verbot bestimmter KI-Modelle in Art. 5 verstoßen, können Bußgelder bis zu 35 Mio. Euro oder, falls höher, sogar 7% des gesamten weltweiten Vorjahresumsatzes ausgesprochen werden; sonstige Verstöße können zu Bußen von bis zu 15 Mio. Euro oder, falls höher, 3% des gesamten weltweiten Vorjahresumsatzes führen. Dies ist etwa der Fall bei Verstößen gegen grundlegende Pflichten von Betreibern von Hochrisiko-Modellen in den Art. 16, 24, 26 sowie gegen die Transparenzpflichten von Anbietern und Betreibern von Hochrisikomodellen und GPAI-Modellen in Art. 50. Weitere Pflichtverstöße werden mit geringeren Bußgeldern geahndet. Privilegiert werden auch kleine und mittlere Unternehmen, bei denen der jeweils betraglich geringer ausfallende Bußgeldrahmen zur Anwendung gelangen soll (Absatz 6), was aus wirtschaftspolitischen Gründen zwar nachvollziehbar, angesichts des auf Dritte gerichteten Schutzzwecks allerdings Zweifel an der Konformität mit Gleichheitsgrundsätzen weckt.
J. Weiteres Verfahren
Zum Redaktionsschluss war die Verordnung von Rat und Parlament verabschiedet, aber noch nicht im Amtsblatt veröffentlicht. Sie wird am zwanzigsten Tag nach der Veröffentlichung in Kraft treten (Art. 113). Die Verordnung soll dann grundsätzlich 24 Monate später anwendbar sein. Bereits sechs Monate nach Inkrafttreten tritt das Verbot unerwünschter Praktiken in Kraft, zwölf Monate danach werden u.a. die Verpflichtungen in Bezug auf KI-Modelle mit allgemeinem Verwendungszweck (GPAI) anwendbar. AI-Systeme, die nach Art. 6 Abs. 1 als Sicherheitskomponenten anzusehen sind, sollen erst nach drei Jahren als Hochrisiko-KI qualifiziert werden.
K. Bewertung und Ausblick
Trotz ihres weitreichenden Anspruchs regelt die Verordnung bei Weitem nicht alle sich beim Umgang mit künstlicher Intelligenz aufdrängenden Fragen. Ausgeklammert sind insbesondere Fragen der Haftung im Umgang mit KI-Systemen, die in der KI-Haftungs-Richtlinie (COM/2022/496) einer harmonisierten Regelung in den EU-Mitgliedstaaten zugeführt werden sollen. Dieses Legislativvorhaben ist derzeit zurückgestellt und dürfte nun wieder aufgegriffen werden. Es drängen sich weitere Fragen des Urheberrechtsschutzes auf, etwa der Urheberschaft von Trainingsdaten oder auch von Ergebnissen auf Basis fremder Daten oder von Prompts. Im Hinblick auf den Verbraucherschutz wird in Art. 2 Abs. 7 klargestellt, dass datenschutzrechtliche Regulierung durch die Verordnung nicht derogiert, sondern insbesondere durch die speziellen Anforderungen an Trainingsdaten für Hochrisikosysteme in Art. 10 ergänzt wird. Auf jeden Fall ist auch mit weiteren sektoralen Regelungen für die Finanzindustrie zu rechnen. Die bereits angesprochene MaRisk-Novelle zeugt bereits hiervon.
Die nächsten Monate werden zeigen, ob die Regulierung den Anspruch einlösen kann, der künstlichen Intelligenz zugleich einen rechtssicheren Rahmen zu bieten als auch innovationsfreundlich zu bleiben. Im Einzelnen ist die Verordnung höchst komplex ausgefallen und wird für die Beteiligten zu einem spürbaren Umfang von Melde-, Informations- und Registrierungspflichten führen. Pars pro toto sei hier die ausufernde Fülle an Definitionen genannt, die bei Lichte betrachtet nicht in allen Fällen so extensiv hätten sein müssen und überambitioniert wirken.
Angesichts der dynamischen Fortentwicklung der Technik war es wohl notwendig, der Administrative an entscheidenden Stellen – etwa bei der Bestimmung, ob Hochrisikosysteme vorliegen – sehr große Spielräume einzuräumen und damit bei der Rechtssicherheit und Planungssicherheit für Investitionen Zugeständnisse zu machen. All dies macht verständlich, warum kritische Stimmen vor Wettbewerbsnachteilen durch die Verordnung gegenüber dem außereuropäischen Ausland warnen. Hier wird es vor allem auf die gelebte Praxis ankommen, einen vernunftgeleiteten Umgang mit dem Rechtstext zu finden, der berücksichtigt, dass sich Europa auch in einem globalen Wettbewerb der Jurisdiktionen befindet. Insoweit sollten sich alle Beteiligten zu einem verantwortlichen Umgang mit KI und der nun geltenden Leitplanken aufgefordert fühlen und nicht nach noch detaillierteren, aber dann auch stark die Dynamik behindernden Klarstellungen rufen. Deutlich ist schon jetzt aber geworden, dass der Rechtstext weltumspannend auf Aufmerksamkeit stößt und damit maßgebliche Wirkung entfalten wird.
