Im Auftrag des Projektes reframe[Tech] - Algorithmen fürs Gemeinwohl der Bertelsmann Stiftung hat Prof. Dr. Philipp Hacker in der Studie „Der AI Act im Spannungsfeld digitaler und sektoraler Regulierung“ sowohl die wesentlichen Knackpunkte als auch Synergien zwischen dem AI Act und relevanten bestehenden Gesetzen untersucht. Denn viele KI-Anwendungen, die unter die horizontalen Vorgaben des AI Act fallen, unterliegen gleichzeitig anderen digitalen und sektoralen Anforderungen. Anhand ausgewählter Digitalgesetze – wie der Datenschutz-Grundverordnung (DS-GVO) und dem Digital Services Act (DSA) – auf der einen Seite sowie sektoraler Gesetzgebung im Finanz-, Medizin- und Automobilbereich auf der anderen Seite, beleuchtet die Studie die aktuellen Herausforderungen in Bezug auf den AI Act.
Wichtige Erkenntnisse lauten:
Die Risikoanalysepflichten des DSA und des AI Act können sich überschneiden, insbesondere bei Plattformen, die generative KI-Technologien integrieren. Hier besteht die Herausforderung, plattformspezifische und KI-bezogene Risiken miteinander abzustimmen.
Bisher gibt es keine klaren Regeln zur Wiederverwendung personenbezogener Daten für das Training von generativer KI. Das erschwert es, sowohl die Vorgaben der DS-GVO als auch die Anforderungen des AI Act zu erfüllen.
In der Finanzbranche könnten unterschiedliche Anforderungen des Datenschutzes und des AI Act zu Überschneidungen führen, die KI-gestützte Risikoanalysen erschweren.
Im Gesundheitswesen könnten widersprüchliche Anforderungen, bei ohnehin schon knappen Kapazitäten in den Zulassungsmechanismen, die Verbreitung KI-basierter Medizin-Anwendungen verlangsamen. Dazu zählen beispielsweise KI-Systeme zur Krebsdiagnose oder zum Erstellen von Arztbriefen.
Jeder dieser Bereiche zeigt, dass der Anpassungsbedarf und die Notwendigkeit von Nachjustierungen je nach Sektor unterschiedlich stark ausgeprägt sind. Dennoch lassen sich über alle digitale und sektorale Rechtsrahmen hinweg gemeinsame strukturelle Maßnahmen identifizieren:
Kurzfristig sollte eine bessere Verzahnung bestehender Regelwerke erfolgen, um Doppelungen zu vermeiden und die Effizienz zu steigern. In einem Fall ist dies im AI Act bereits gut gelungen: Bei Finanzinstitutionen reichen die bestehenden Regeln zur internen Organisation bereits explizit aus, um die Anforderungen des AI Act an ein Qualitätsmanagementsystem zu erfüllen – solange sie die EU-Vorgaben einhalten. Ähnliche Verzahnungen könnten weitgehend durch Durchführungsverordnungen der Europäischen Kommission entstehen. Ebenso ließen sie sich durch Leitlinien der nationalen Aufsichtsbehörden zur Anwendung des AI Act in spezifischen sektoralen Kontexten erreichen.
Langfristig sind sowohl nationale als auch europäische Ansätze erforderlich, um die KI-Regulierung mit anderen Rechtsakten zu harmonisieren und regulatorische Widersprüche nachhaltig zu beseitigen. Darüber hinaus sollte eine regelmäßige Überprüfung der regulatorischen Rahmenwerke erfolgen, um sicherzustellen, dass technologische und gesellschaftliche Entwicklungen angemessen berücksichtigt werden.