23. Juli 2025 Klaus Lorbeer

KI-Regulierung mit Köpfchen

In einer Pressekonferenz vor internationalen Journalisten erklärte Christian Klein, Vorstandsvorsitzender des weltweit tätigen deutschen Softwareherstellers SAP die unterschiedliche Herangehensweise an künstliche Intelligenz in den USA und der Europäischen Union. Als er unlängst in Washington mit [...]

Regulierung ist eine Gratwanderung zwischen Innovation und Bevormundung.(c) Muhammad Daudy / Pixabay
Regulierung ist eine Gratwanderung zwischen Innovation und Bevormundung.(c) Muhammad Daudy / Pixabay

In einer Pressekonferenz vor internationalen Journalisten erklärte Christian Klein, Vorstandsvorsitzender des weltweit tätigen deutschen Softwareherstellers SAP die unterschiedliche Herangehensweise an künstliche Intelligenz in den USA und der Europäischen Union. Als er unlängst in Washington mit Politikern über KI sprach, ging es gleich um mögliche Anwendungsszenarien für Unternehmen und Wettbewerbsfähigkeit. In Brüssel hingegen denken politisch Verantwortliche laut Klein oft an einen möglichen  Missbrauch der KI und wie dieser verhindert werden könne. Solcherart landet man schnell beim Thema Regulierung. Er verstehe und befürworte die Absicht hinter dem EU Data Act und dem EU AI Act, nämlich sicherzustellen, dass die Technologie – aufbauend auf den Werten Europas – verantwortlich eingesetzt werde. Er sei, sagt Klein, auch sehr für Regulierung und gesetzliche Leitlinien, doch müssten diese überlegt erfolgen, damit sie keine zusätzliche Last für Unternehmen darstellten. »Wenn man es richtig macht, könnte das auch ein Wettbewerbsvorteil sein«, ist Klein überzeugt.

Eine Gratwanderung

Es ist ein Dilemma. Regulierung ist eine Gratwanderung und stößt bei Unternehmen selten auf Zustimmung, vielmehr auf Ablehnung. Denn gesetzliche Vorgaben, Regeln und Regulierungen werden als Beschränkung gesehen, was sie ja auch sind. Werde zu viel bis ins kleinste Detail hinein geregelt, so könnte das Innovationen verhindern und die Wettbewerbsfähigkeit schwächen, lautet die oft gehörte Argumentation der Kritiker. Das mag durchaus stimmen, doch der nationale Gesetzgeber wie auch die EU hat nicht nur die Wirtschaft und die Unternehmen im Blick, sondern die gesamte Gesellschaft. Deswegen greift die Politik bei unerwünschten Folgen des Wirtschaftens ein, seien es ungleiche Lebens- und Arbeitsbedingungen oder negative Auswirkungen auf die Umwelt. 

Dass Regulierungen sinnvoll, notwendig und weitestgehend akzeptiert sein können, zeigt beispielsweise die allgemeine Straßenverkehrsordnung. Diese Regeln bringen Ordnung in die andernfalls sehr chaotisch anmutende gemeinsame Teilnahme von Fußgängern, Auto-, Motorrad- und Radfahrern am Straßenverkehr. Zudem sind im Falle eines Unfalls auch die Verantwortlichkeiten geklärt.

Vorteil Security-Compliance

Doch auch in der IT gibt es Bereiche, wo Regulierungen mehrheitlich angenommen werden. Die Rede ist vom Sicherheitsbereich, namentlich von Regularien wie NIS2, Cyber Resilience Act oder DORA.  Laut der Cybersecurity Survey, einer Umfrage, die Open Systems im zweiten Quartal 2025 in der DACH-Region und Großbritannien unter 371 Fach- und Führungskräften aus IT, Infrastruktur und Security durchgeführt hat, sind die Aspekte Datenhoheit und regulatorische Sicherheit bei der Wahl von IT-Anbietern zunehmend ausschlaggebend.

72 Prozent der teilnehmenden Führungskräfte gaben an, dass die oben genannten Regularien ihre Strategie und Anbieterwahl bereits aktiv beeinflussen. Operative Herausforderungen wie Multi-Cloud-Sicherheit und Fachkräftemangel beschäftigen dabei rund 61 Prozent der Verantwortlichen, während Kriterien wie Vendor-Lockin (23 Prozent) oder Kosten (25 Prozent) nicht mehr die größte Bedeutung haben. Stattdessen rücken Integrität und Vertrauen (64 Prozent) sowie Datenschutz und Privatsphäre (62 Prozent) zunehmend in den Fokus. 

48 Prozent der Befragten bevorzugen Anbieter mit Sitz in der EU – ein klares Zeichen für die steigende Bedeutung von digitaler Souveränität. Besonders in Deutschland (58 Prozent) und regulierten Branchen wie dem Finanzsektor (54 Prozent) ist der strategische Wandel hin zu europäischen Lösungen besonders stark ausgeprägt. Das zeige, dass das Thema digitale Souveränität aus der Fachabteilung in den Vorstand gewandert ist, erklärt Daniel Gerber, Vorstandsvorsitzender von Open Systems, und konstatiert: »Wir sehen einen klaren Paradigmenwechsel: Compliance ist kein Abschlusskriterium mehr – sie beeinflusst Strategie, Architektur und Anbieterwahl von Beginn an.« Markus Ehrenmann, CTO von Open Systems, pflichtet dem bei, wenn er sagt: »Sicherheitsverantwortliche reagieren nicht mehr nur auf Regulierung – sie bauen Teams und Architekturen gezielt darum auf. Dafür fordern sie zunehmend Plattformen mit EU-Hosting, Zero Trust und integrierter Audit-Readiness.«

Warum wird also Regulierung in der IT-Security positiv betrachtet und im KI-Bereich eher abgelehnt? Bei der Security geht es für CEOs und CTOs um den Schutz des eigenen Unternehmens, der durch die vorgeschriebenen Regulierungsmaßnahmen nachvollziehbar erhöht wird. Das wird als klarer Nutzen gesehen. Die Auswirkungen von KI sind viel umfassender und dementsprechend breiter sind die Regulierungen. Diese beginnen schon beim Training der KI (Datenschutz), regeln  wo und wie KI eingesetzt werden kann und reichen bis zur Schaffung eines fairen Wettbewerbs und Verhinderung von Marktmonopolen. Klar, dass das KI-Anbieter wie OpenAI, Google, Meta oder Amazon sehr kritisch sehen, aber auch KI einsetzende Unternehmen, die sich um mögliche Marktchancen geprellt sehen und den mit der Einhaltung der Gesetze einhergehenden Verwaltungsvorschriften- und IT-Aufwand oft als Schikane betrachten.

KI in den USA und Europa

Während Europa versucht den KI-Bereich mit Gesetzen, die den Schutz der Bürgerrechte sicherstellen und das Risiko vermindern helfen sollen, zu regulieren, dominiert in den USA, der Heimat der großen KI-Anbieter OpenAI, Google und Co.,  ein eher marktwirtschaftlicher Ansatz. Die Regulierung von KI erfolgt weitgehend sektorbezogen und durch bereits bestehende Aufsichtsbehörden, etwa FTC, FDA oder NIST. Ein umfassender Rechtsrahmen auf Bundesebene fehlt bisher. Stattdessen setzen die USA auf Innovationsförderung, freiwillige Standards und branchenspezifische Leitlinien – und natürlich jeder Menge Präzedenzfälle. Hier erzielte Anthropic jüngst einen Erfolg. Anfang Juli erlaubte ein Richter die Verwendung von urheberrechtlich geschütztem Material zum Training von Claude, des KI-Sprachmodells von Anthropic, mit der Begründung es handele sich um »Fair Use«. 

Ein anderer Fall wurde ebenfalls diesen Juli entschieden. Die vor einem Jahr eingebrachte Klage von dreizehn US-Autoren und -Autorinnen, darunter die Schriftstellerin und Schauspielerin Sarah Silverman, der Schriftsteller und Fotograf Richard Kadrey und der Schriftsteller Christopher Golden, gegen das unerlaubte Trainieren von Llama, dem KI-Modell von Meta, mit den urheberrechtlich geschützten Werken der Kläger. Der Richter vertrat zwar die Meinung, dass das Trainieren einer KI mit urheberrechtlich geschütztem Material illegal sei, jedoch konnte dadurch kein Marktschaden für die Autoren nachgewiesen werden. Da sich die Klage auf den Marktschaden bezog, wurde Meta im Sinne des Fair Use freigesprochen. Der Richter wies aber auch darauf hin, dass die Anwälte die falschen Argumente vorgebracht hätten und das Urteil nur diese dreizehn Autoren und Autorinnen beträfe. Die Klagen in den USA gehen also weiter – auch gegen andere KI-Anbieter wie OpenAI oder Microsoft sind diesbezüglich Rechtsverfahren anhängig.

In der Europäischen Union versucht man indes künstliche Intelligenz mit dem EU AI Act in den Griff zu bekommen und gilt damit weltweit als Vorreiter in Sachen KI-Regulierung. Das Gesetz verfolgt einen risikobasierten Ansatz, es kategorisiert KI-Systeme also in Risikostufen – minimales, hohes und unannehmbares Risiko – und definiert je nach Risikokategorie spezifische regulatorische Anforderungen. 

Die Kernmerkmale des EU AI Acts

Risikobasierter Ansatz: Systeme mit hohem Risiko, etwa in den Bereichen Gesundheit, Strafverfolgung oder Finanz, unterliegen strengen Vorgaben hinsichtlich Transparenz, Nachvollziehbarkeit, Datenqualität und menschlicher Aufsicht.

Verbot besonders gefährlicher Systeme: Dazu gehören etwa KI-Anwendungen zur »sozialen Bewertung« (Social Scoring) von Personen oder biometrische Echtzeitüberwachung im öffentlichen Raum, wobei es hier Ausnahmeregelungen gibt.

Pflichten für Anbieter und Nutzer: Unternehmen müssen Konformitätsbewertungen durchführen und bei Hochrisiko-KI detaillierte Dokumentationen bereitstellen.

Sanktionen bei Verstößen: Diese reichen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

Im Allgemeinen werden diese Vorgaben auch von Unternehmen begrüßt, der Teufel liegt jedoch im Detail. Sepp Hochreiter, KI-Pionier und Forscher an der Johannes KeplerUniversität (JKU) Linz, bescheinigt dem AI Act zwar gute Ideen, wie eben den risikobasierten Ansatz, sieht aber auch Schwächen. Hier moniert Hochreiter »vor allem die schlechte Definition von KI. Hier gilt nach wie vor, dass jede mathematische Funktion künstliche Intelligenz ist. Demnach wäre y=2*x eine KI. Das ist absurd«. Es sei wichtig, dass alle Marktteilnehmer gleich behandelt würden. Es bestehe die Gefahr, so der KI-Experte, »dass europäische Unternehmen gegenüber den außereuropäischen Marktteilnehmern aus den USA oder China benachteiligt werden, wenn der AI Act nicht sorgfältig umgesetzt wird. Die Rechtsunsicherheit ist ein Hemmnis.« 

Hochreiter ist nicht der einzige Kritiker. Christian Klein von SAP rät, solche Gesetzesvorlagen immer an der Unternehmensrealität zu testen, damit man nicht zu stark reguliere, so dass die Anwendung der Technologie derart beschränkt werde, dass dies de-facto einen Wettberwerbsnachteil für weltweit tätige europäische Unternehmen bedeute.  Seiner Meinung nach brauche es »eine viel engere Zusammenarbeit zwischen der Kommission, den lokalen Regierungen und natürlich dem privaten Sektor«. 

Auch zahlreiche Branchenverbände in Europa forderten eine Überarbeitung des Gesetzes, da es ihrer Ansicht nach Innovationen verunmöglicht. Doch die Zeit drängt. Der EU AI Act wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat am 1. August 2024 in Kraft. Die Anwendung des Gesetzes soll gestaffelt im Zeitraum von zwei Jahren umgesetzt werden. Seit Februar 2025 müssen Mitarbeiter über die im Unternehmen eingesetzten KI-Systeme nachweislich geschult werden. Ab dem 2. August 2026 gelten die übrigen Verpflichtungen, wie etwa Transparenzpflichten für generative Systeme.

Durch die geballte Kritik hat die EU-Kommission immerhin anklingen lassen, den Einführungszeitpunkt zu überdenken. Insbesondere KMU, die die große Mehrheit europäischer Unternehmen, liegen der EU-Kommission am Herzen, weswegen man auch den »Leitfaden für kleine Unternehmen zum AI Act« veröffentlicht hat (https://artificialintelligenceact.eu/de/small-businesses-guide-to-the-ai-act). Spezielle Förderungen werden zudem von der EU, aber auch den einzelnen Mitgliedsstaaten zur Verfügung gestellt. Tatsächlich beschränkt sich die EU nicht nur auf Regulierungen, sondern strebt auch eine führende Rolle im Bereich Hard- und Software sowie in der Forschung an. Erwähnenswert sind hier die Initiativen für Startups und Scaleup für digitale Innovationen sowie das Chip-Gesetz, laut dem die EU bis 2030 einen Anteil von 20 Prozent am Weltmarkt für Mikrochips erreichen will. Abgerundet wird dies durch Horizon Europe, das wichtigste EU-Förderprogramm für Forschung und Innovation.

Christian Klein ist allerdings der Überzeugung, dass es weniger weitere Rechenzentren und europäische Chips brauchen, sondern dass vor allem Startups gefördert werden sollten, die KI-Anwendungsfälle für die unterschiedlichen Branchen entwickeln.

Vertrauen und Ethik

Wie in der Cybersecurity Survey bereits erwähnt haben Integrität und Vertrauen sowie Datenschutz und Privatsphäre für IT-Verantwortliche mittlerweile eine hohe Bedeutung. Tatsächlich kann, wie die deutsche Sozialwissenschaftlerin Birgit Weber in ihrem Aufsatz »Zwischen Regulierung und Deregulierung« schreibt, »ohne grundsätzliche ethische Orientierung kaum ein Gemeinwesen dauerhaft existieren. Die Vertragspartner müssen darauf vertrauen können, dass die Verträge verlässlich eingehalten werden (Reziprozität) und dass weder betrogen wird noch Schwächere ausgebeutet werden (Fair Play).« 

Hier hakt die Europäische Union ein und will europäische Alternativen zu den Lösungen der US-Tech-Unternehmen entwickeln. Lösungen, die einer klugen Regulatorik unterliegen, auf Transparenz und einer menschenzentrierten KI aufbauen, und die das demokratische und wirtschaftlich prosperierende Zusammenleben der Bürger und Bürgerinnen in der EU sichern. Obgleich der Gesetzgeber in diesem Unterfangen zugegebenermaßen eine große Rolle spielt, kommt es auch auf die Unternehmen an. 

Außerdem können die einzelnen Gesetze nicht isoliert voneinander gesehen werden. Datenschutz, Securityund künstliche Intelligenz greifen ineinander, genauso können die unterschiedlichen Gesetze nicht isoliert voneinander gedacht werden.

Gegenwärtig ist der Gegenwind aus den USA und zum Teil auch aus China enorm. Mit einer klugen Regulatorik im KI-Bereich kann die Europäische Union zu einem weltweiten Vorbild werden. Doch bis dahin ist noch viel zu tun.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*