M&A: Die Einhaltung des AI-Gesetzes tritt in die Due-Diligence-Phase ein
Am 1. August 2024 trat die EU-Verordnung über Künstliche Intelligenz (AI Act) offiziell in Kraft, mit einer schrittweisen Umsetzung zwischen 2025 und 2026. Ab dem 2. Februar des letzten Jahres gelten die Vorschriften über nicht nachhaltige KI-Praktiken und Verpflichtungen zur KI-Kompetenz. Ab dem 2. August gelten die Regeln für allgemeine Künstliche Intelligenz Modelle (GPAI), und bis zum 2. August dieses Jahres werden die Regeln für Hochrisiko-KI (mit einer Fristverlängerung für einige Produkte bis 2027) in Kraft treten.
Dieser neue risikobasierte regulatorische Rahmen verwandelt KI von einer bloßen innovativen Technologie in ein Objekt präziser Regulierung, indem Anforderungen an Rückverfolgbarkeit, menschliche Aufsicht und Verantwortlichkeit eingeführt werden, mit erwarteten Geldstrafen von bis zu 35 Millionen Euro oder 7 % des globalen Umsatzes.
In der Zwischenzeit hat Italien L.132/2025 verabschiedet, um die Prinzipien von Menschlichkeit, Transparenz und Sicherheit zu stärken, insbesondere in kritischen Sektoren. Das Gesetz schreibt die Rückverfolgbarkeit algorithmischer Entscheidungen, menschliche Kontrolle, besseren Schutz von Minderjährigen, spezifische Informationspflichten sowie die Kriminalisierung illegaler Praktiken wie Deepfakes vor.
Entwicklung der Due Diligence
Seit letztem Jahr ist Künstliche Intelligenz ein regulierter Faktor von großer Relevanz in außergewöhnlichen Transaktionen, der im Rahmen der Analyse von Verträgen und Risiken während der Due Diligence bewertet wird. Wir erleben somit eine Evolution von technologischer Due Diligence hin zu „AI-Risiko-Due-Diligence“: Es reicht nicht mehr aus zu überprüfen, ob das Ziel Künstliche Intelligenz-Systeme verwendet, sondern es ist notwendig, deren Typen, Zwecke, die Rolle des Unternehmens (Lieferant, Integrator oder Benutzer), die technologische Lieferkette, die verwendeten Modelle und Datensätze, die Nutzungsrechte und Abhängigkeiten von Dritten zu kartieren.
Dies ermöglicht eine Klassifikation der Systeme gemäß der Taxonomie des AI Act (inakzeptabel, hoch, begrenzt, minimales Risiko) und eine Schätzung der Verpflichtungen, Kosten und Einhaltungszeiten, die direkte Auswirkungen auf den Geschäftsplan nach der Übernahme haben.
Risiken und Herausforderungen
In Anbetracht dieses neuen regulatorischen Umfelds tauchen neue „rote Flaggen“ auf: die Verwendung von KI-Systemen in kritischen Entscheidungen ohne angemessenes Maß an Governance und menschlicher Aufsicht; schlecht dokumentierte historische Datensätze hinsichtlich Herkunft, Lizenzen und Qualität; kritische Abhängigkeiten von Drittanbietern ohne angemessene vertragliche Schutzmaßnahmen; und das Fehlen von Verfahren zur Überwachung und Verwaltung von KI-bezogenen Vorfällen. Diese kritischen Punkte bringen rechtliche, reputationsbezogene und operationale Risiken mit sich und beeinflussen die Bewertung von Vermögenswerten, was zu Preisnachlässen oder zum vollständigen Abbruch einer Transaktion führen kann.
AI-Due-Diligence, einschließlich Audits der Trainingsdaten, Überprüfung von Einwilligungen, Lizenzen sowie Analyse von Code und Dokumentation, ist nun unerlässlich und kann nicht auf die Phase nach dem Abschluss verschoben werden.
Vertragliche Anpassungen
Die vertragliche Seite passt sich ebenfalls entsprechend an. Zu den traditionellen Repräsentationen und Garantien werden nun spezifische Klauseln hinzugefügt, wie die korrekte Klassifizierung und Einhaltung der Systeme gemäß dem AI Act (einschließlich des Fehlens verbotener Praktiken gemäß Abschnitt 5); Eigentum an Rechten an den verwendeten Daten und Technologien, versteckte Abhängigkeiten in der Lieferkette und schließlich das Fehlen von regulatorischen Verstößen.
Bei Vorliegen von Compliance-Lücken kommen Abhilfeklauseln, aufschiebende Bedingungen, Preisänderungen oder spezifische Entschädigungen zum Einsatz, um das regulatorische Risiko zuzuweisen, sowie Governance-Beschränkungen vor dem Abschluss, um die Einhaltung und den Transaktionswert zu bewahren.
Fazit
Der Fokus auf „AI-Bereitschaft“ wächst auch im Bereich des Risikokapitals: verbesserte Offenlegungsrechte, Governance-Klauseln und Verpflichtungen zur Zuweisung von Ressourcen für die Einhaltung erscheinen in Term Sheets. Die Einhaltung von KI wird zunehmend zu einem Indikator für die Managementreife von Unternehmen und eine Form des Schutzes zum Zeitpunkt des Ausstiegs.
Zusammenfassend lässt sich sagen, dass die Einhaltung von KI eine Rolle als Werthebel übernimmt: Sie reduziert Rabatte und Strafen, beschleunigt Verhandlungen, erhöht die Attraktivität für Investoren, einschließlich grenzüberschreitender Investoren, und stärkt das Vertrauen in den Markt. Der Wert eines Technologieunternehmens hängt mittlerweile nicht nur vom Algorithmus ab, sondern auch von der Fähigkeit, diesen nachhaltig und konform zu entwickeln, wodurch Compliance von einer regulatorischen Verpflichtung zu einem echten Wettbewerbsvorteil transformiert wird.
