Die stille Auswirkung des KI-Gesetzes der EU auf Unternehmensrollen
Seit über einem Jahrzehnt präsentiert sich die Europäische Union als Hüterin der digitalen Zivilisation. Während Silicon Valley die Motoren gebaut hat und Shenzhen die Replikation perfektioniert hat, hat Brüssel das Regelwerk verfasst. Nach der Einführung der Datenschutz-Grundverordnung (DSGVO), die die Welt im Hinblick auf Datenschutzüberlegungen verändert hat, hat die EU nun ihr nächstes großes legislatives Experiment enthüllt: das Künstliche Intelligenz-Gesetz (KI-Gesetz).
Auf den ersten Blick scheint das KI-Gesetz eine Angelegenheit des Kontinents zu sein, ein europäischer Versuch, Algorithmen innerhalb seiner Grenzen zu zähmen. Doch sein Umfang ist weit ehrgeiziger, da seine Verpflichtungen für jede KI-Anwendung gelten, die den europäischen Markt berührt – unabhängig davon, ob sie in Kalifornien entwickelt, in New York eingesetzt oder in Bangalore programmiert wurde. So wie die DSGVO zu einem globalen Vorbild wurde, wird das KI-Gesetz weitreichende Auswirkungen auf Verträge, Compliance-Rahmenbedingungen und Governance-Praktiken weltweit haben.
Implikationen für die Unternehmensführung: Ein Wandel der Rollen
Eine einfache, aber möglicherweise beunruhigende Behauptung ist, dass das KI-Gesetz die Pflichten dreier oft übersehener Akteure in der Unternehmensführung neu gestaltet – Vorstandssekretäre, Compliance-Beauftragte und unternehmensinterne Rechtsberater. Ihre Arbeit wird darüber entscheiden, ob KI-Governance zu einer bedeutungsvollen Unternehmenspraxis wird oder lediglich ein formaler Akt bleibt.
Traditionell waren Vorstandssekretäre Hüter der Protokolle, Wächter der Verfahren und Facilitatoren von Vorstandsdiskussionen. Unter dem KI-Gesetz müssen sie dafür sorgen, dass die Aufsicht über KI in den Vorstandssitzungen Einzug hält. Ein Beispiel: Ein US-Multinational, das KI-gestützte Kreditbewertungssysteme in Europa einsetzt, muss diese Systeme, die als hochriskant gelten, einer Konformitätsbewertung, Risikodokumentation und Überwachung unterziehen. Jemand muss sicherstellen, dass diese Anforderungen tatsächlich den Direktoren zu Gehör gebracht werden, und das ist oft der Sekretär, dessen Aufgabe sich von der bloßen Protokollierung von Beschlüssen hin zu der Notwendigkeit entwickelt, was diskutiert werden muss, zu gestalten.
Compliance-Beauftragte hingegen haben die Aufgabe, sicherzustellen, dass KI-Systeme kontinuierlich auf Risiken bewertet, auf Fehlfunktionen überwacht und präzise dokumentiert werden. Dies führt zu einem klassischen Dilemma der modernen Regulierung: Verantwortung ohne Kontrolle. Zudem entwickeln sich KI-Systeme ständig weiter. Ein Betrugsüberwachungsalgorithmus, der über Nacht mit neuen Daten retrainiert wird, könnte sich erheblich von dem ursprünglich genehmigten Modell unterscheiden. Compliance-Beauftragte müssen daher Rahmenbedingungen schaffen, die in der Lage sind, nicht nur ein Produkt, sondern auch ein sich bewegendes Ziel zu auditieren.
Für US-Unternehmen verdoppeln sich die Risiken. Ein Vorfallbericht, der in Europa eingereicht wird – sei es eine Fehlfunktion, eine Feststellung von Vorurteilen oder eine regulatorische Geldbuße – bleibt nicht in Europa. Er wandert weiter. Wertpapierklageanwälte in New York könnten diese Offenlegung als wesentliche Unterlassung gemäß Regel 10b-5 umformulieren. Kläger in Delaware könnten sie als Beweis für ein Caremark-Flagge nutzen. Der Compliance-Beauftragte operiert somit in einer Situation, in der ein Bericht an Brüssel möglicherweise als Beweismittel in einem US-Gerichtsverfahren dient.
Das KI-Gesetz verwandelt auch die Rolle des General Counsel (GC) von einem rechtlichen Berater zu einem institutionellen Torwächter. Jede vertragliche Klausel mit einem KI-Anbieter gewinnt an Bedeutung: Wer trägt die Haftung, wenn das Modell diskriminiert? Wer muss Dokumentationen für Konformitätsbewertungen vorlegen? Wie sind Indemnitäten strukturiert, wenn EU-Regulierungsbehörden Geldbußen verhängen? Diese Fragen sind alles andere als abstrakt. Sie müssen in Echtzeit entworfen, verhandelt und durchgesetzt werden. Zudem erfordert das KI-Gesetz grundlegende Auswirkungenseinschätzungen für hochriskante KI. GCs müssen mit Datenschutzbeauftragten sowie HR- und technischen Teams zusammenarbeiten, um zu demonstrieren, dass KI-Systeme die Grundrechte auf Non-Diskriminierung, Datenschutz und rechtliches Gehör respektieren.
Die breitere Lehre für US-Unternehmensleiter und politische Implikationen
Für GCs und CLOs in den Vereinigten Staaten bedeutet das, dass KI nicht mehr nur ein technisches Problem, sondern auch ein Governance-Problem, ein Treueproblem und letztendlich ein Reputationsproblem ist.
Das KI-Gesetz hat den Unternehmensrollen neue Funktionen zugewiesen: der Sekretär als Hüter der KI-Aufsicht, der Compliance-Beauftragte als Navigator des Unmöglichen und der GC als Torwächter der Grundrechte. Das KI-Gesetz offenbart auch die Unvermeidlichkeit einer transatlantischen Konvergenz in der Unternehmensführung. Europa reguliert durch Statute; die Vereinigten Staaten regulieren durch Rechtsstreitigkeiten. Gemeinsam lassen sie den Unternehmen wenig Raum, sich zu verstecken.
Für politische Entscheidungsträger besteht die Herausforderung darin, diese Systeme in Einklang zu bringen. Für Unternehmen ist es zwingend erforderlich, diese zu internalisieren. Die Einbettung der KI-Aufsicht in das Enterprise-Risikomanagement, die Angleichung der Offenlegungspraktiken über Kontinente hinweg und die Verhandlung robuster Anbieterverträge sind keine optionalen Best Practices mehr.
Fazit
Das KI-Gesetz bleibt, wie jede ehrgeizige Gesetzgebung, ein Werk im Gange. Doch seine Bedeutung für die Unternehmensführung in den USA ist bereits klar: Es rekonstruiert vertraute Rollen, intensiviert Treuepflichten und vereint EU-Regulierung mit US-Haftung. Für GCs und CLOs ist dies nicht nur Compliance. Die Frage für Führungskräfte ist nicht, ob sie sich vorbereiten sollten, sondern wie schnell sie ihre Governance-Strukturen an eine regulatorische Welle anpassen können, die nicht an den Grenzen Europas Halt macht.
