Wenn Anleitung zur Übergriffigkeit wird
Ab dem 2. August 2025 werden Anbieter von sogenannten „General Purpose AI“ (GPAI) Modellen – wie GPT, DALL-E, Gemini und Midjourney – weitreichende Verpflichtungen gemäß dem EU-AI-Gesetz haben. Das Auftreten dieser großen (multimodalen Sprach-) Modelle Ende 2022 veranlasste die EU-Gesetzgeber, GPAI-Vorschriften hastig in das AI-Gesetz aufzunehmen. Anbieter von GPAI-Modellen müssen technische Dokumentationen bereitstellen, eine Urheberrechtspolitik umsetzen, eine Zusammenfassung der Trainingsinhalte veröffentlichen und – für besonders leistungsstarke Modelle, die systemische Risiken darstellen könnten – Risikoabschätzungen und -minderungsmaßnahmen durchführen.
Zur Demonstration der Konformität erlaubt das AI-Gesetz den Anbietern, sich auf einen „Code of Practice“ zu stützen, der derzeit von über 1000 Interessengruppen unter dem Dach des AI-Büros entworfen wird und vor August 2025 von der Europäischen Kommission angenommen werden soll.
Co-Regulierung als Kernstrategie des AI-Gesetzes
Das AI-Gesetz basiert auf dem New Legislative Framework (NLF), das auf Co-Regulierung setzt: einen strukturierten Dialog zwischen Regulierungsbehörden und Industrie zur Übersetzung allgemeiner rechtlicher Verpflichtungen in technische Standards. Anstatt technische Details in der Gesetzgebung festzulegen, definiert das AI-Gesetz wesentliche Anforderungen und überlässt die Konkretisierung den europäischen Normungsorganisationen CEN und CENELEC durch ihren gemeinsamen Ausschuss, JTC21.
Harmonisierte Standards bieten rechtliche Sicherheit: Nach ihrer Annahme durch die Kommission schafft die Einhaltung dieser Standards eine Vermutung der Konformität mit dem AI-Gesetz. Obwohl Unternehmen theoretisch ihre eigenen technischen Lösungen entwickeln können, führen die administrativen Schwierigkeiten und zusätzlichen Kosten in der Regel dazu, dass sie Standards folgen. Der Europäische Gerichtshof hat wiederholt entschieden, dass harmonisierte Standards „Teil des EU-Rechts“ sind und in Übereinstimmung mit dem Rechtsstaatlichkeit (Art. 2 TEU) entwickelt und veröffentlicht werden müssen.
Der Code of Practice als „Teil des EU-Rechts“
Obwohl harmonisierte Standards für GPAI-Modelle vorgesehen sind, befinden sich die Standardisierungsbemühungen in diesem Bereich noch in einem frühen Stadium. Um diese Lücke zu schließen, führt das AI-Gesetz ein Übergangsinstrument ein: den Code of Practice. Nach seiner Annahme durch die Europäische Kommission durch einen Durchführungsakt gewährt die Einhaltung des Codes eine Vermutung der Konformität gemäß Art. 53(4)(2) und Art. 55(2)(2) AI-Gesetz – ähnlich wie bei harmonisierten Standards. Theoretisch können Anbieter wählen, ob sie sich auf den Code stützen und die Konformität auf alternative Weise nachweisen. In der Praxis wird der Code jedoch wahrscheinlich die Interpretation und Durchsetzung der GPAI-Verpflichtungen durch die Kommission prägen.
Angesichts seiner rechtlichen und praktischen Konsequenzen besteht wenig Zweifel, dass der Europäische Gerichtshof (ECJ) den Code ebenfalls als „Teil des EU-Rechts“ anerkennen wird. Folglich muss der Code gemäß dem Rechtsstaatlichkeit (Art. 2 TEU) sowohl prozedural als auch substantiell entwickelt werden. Derzeit ist dies jedoch nicht der Fall.
Ein unregulierter Prozess mit 1.000 Interessengruppen
Während die Entwicklung harmonisierter Standards durch Verordnung 1025/2012 geregelt ist, beruht die Ausarbeitung des Codes of Practice ausschließlich auf Artikel 56 AI-Gesetz, der vage das AI-Büro ermächtigt, Interessengruppen einzuladen.
Das Ergebnis ist ein Prozess ohne strukturierte Regeln, ohne Transparenz und ohne demokratische Sicherheiten. Ursprünglich plante das AI-Büro, den Code hinter verschlossenen Türen zu entwerfen. Als Reaktion auf Kritik swingte es zum anderen Extrem und startete eine Konsultation mit nahezu 1.000 Interessengruppen – koordiniert von 10 Experten, einschließlich einiger Nicht-Europäer.
Mit einem extrem komprimierten Zeitrahmen und einer unhandlichen Anzahl von Teilnehmern blieb wenig Raum für durchdachte Überlegungen oder ausgewogene Beiträge. Besonders besorgniserregend ist, dass Akademiker – viele ohne juristische Expertise oder Erfahrung in der technischen Standardisierung – die Ausarbeitung leiten. Der Code, einmal angenommen, wird jedoch die Erwartungen an die GPAI-Verpflichtungen definieren und die Durchsetzung beeinflussen. Bemerkenswerterweise geschieht dies ohne bedeutende Beteiligung von Standardisierungsexperten, ohne Input vom Europäischen Parlament und ohne Aufsicht der Mitgliedstaaten.
Diese Kritik soll nicht die technische Expertise der beteiligten Vorsitzenden und Interessengruppen oder deren Bereitschaft, unterschiedliche Perspektiven zu berücksichtigen, in Frage stellen. Das Hauptproblem ist jedoch, dass der Ausarbeitungsprozess nicht durch rechtliche Verfahrensregeln geregelt ist, sondern zu einem von oben nach unten geführten Versuch geworden ist, GPAI-Modelle innerhalb eines kurzen Zeitrahmens zu regulieren – während die Diskussionen in ISO/IEC und CEN/CENELEC über GPAI-Standards noch in einem frühen, überwiegend informellen Stadium sind.
Der Code of Practice als Trojanisches Pferd zur Umgestaltung des AI-Gesetzes?
Der Inhalt des Entwurfs ist ebenso besorgniserregend. Während sein Zweck darin besteht, Anbietern zu helfen, bestehenden Verpflichtungen nachzukommen, führt der derzeitige Entwurf über bloße Klarstellungen hinaus – indem neue Anforderungen eingeführt werden, die im AI-Gesetz nicht vorgesehen sind.
Ein Beispiel ist die vorgeschlagene Rolle von „externen Gutachtern“ vor der Veröffentlichung von GPAI-Modellen mit systemischen Risiken, die im AI-Gesetz nicht vorgesehen ist. Der Entwurf verlangt von den Anbietern, externe systemische Risikoabschätzungen, einschließlich Modellauswertungen, einzuholen, bevor sie ihre Modelle auf den Markt bringen (Verpflichtung II.11). Das AI-Gesetz selbst (Art. 55(1)(a) und Erwägungsgrund 114) auferlegt diese Anforderung nicht – es fordert lediglich adversarielle Tests von Modellauswertungen, nicht unabhängige externe Risikoabschätzungen.
Ein weiteres Beispiel betrifft das Urheberrecht: Maßnahme I.2.4. des Entwurfs verlangt von GPAI-Modellentwicklern, angemessene Anstrengungen zu unternehmen, um festzustellen, ob geschützte Inhalte von einem robots.txt-konformen Crawler gesammelt wurden – eine Verpflichtung, die im AI-Gesetz ebenfalls nicht auferlegt wird. Darüber hinaus verpflichtet Maßnahme I.2.5. die Anbieter von GPAI-Modellen, angemessene Schritte zu unternehmen, um das Risiko zu mindern, dass nachgelagerte KI-Systeme wiederholt urheberrechtsverletzende Inhalte erzeugen, und solche Nutzungen in ihren Allgemeinen Geschäftsbedingungen zu verbieten. Diese Anforderungen sind jedoch weder im AI-Gesetz noch in der Urheberrechtsrichtlinie 2019/790 zu finden, die nur die primäre Haftung (d.h. die Verantwortung der GPAI-Modellanbieter) behandelt und nicht die sekundäre Haftung, die sich aus Text- und Datenabbau ergibt.
Erneut liegt das Problem nicht darin, ob diese Anforderungen angemessen sind, sondern darin, dass der Code ausschließlich dazu dient, die Verpflichtungen des AI-Gesetzes zu klären, nicht sie neu zu definieren. Daher darf der Code nicht als Trojanisches Pferd verwendet werden, um das AI-Gesetz gemäß politischen Präferenzen umzugestalten – unter Umgehung demokratischer Verfahren.
Nächste Schritte: Den Entwurf des Codes of Practice annehmen oder nicht?
Was passiert als Nächstes? Der Code of Practice wird nur wirksam, wenn er von der Kommission durch einen Durchführungsakt gemäß Art. 56(6) AI-Gesetz genehmigt wird. Im Gegensatz zu delegierten Akten (Art. 290 TFEU) ermächtigen Durchführungsakte (291 TFEU) die Kommission nicht, die grundlegende Gesetzgebung, d.h. das AI-Gesetz, zu ändern oder zu ergänzen. Der Europäische Gerichtshof hat wiederholt bestätigt, dass Durchführungsakte „weder den legislativen Akt ändern noch ergänzen dürfen, auch nicht hinsichtlich seiner nicht wesentlichen Elemente“.
Daher dürfen die Kommission und der AI-Ausschuss den aktuellen Entwurf nicht einfach abnicken. Stattdessen sollten sowohl die Kommission als auch der AI-Ausschuss eine gründliche, kritische Überprüfung durchführen, um sicherzustellen, dass die vorgeschlagenen Maßnahmen tatsächlich notwendig für die Umsetzung sind und nicht den Bestimmungen des AI-Gesetzes widersprechen oder darüber hinausgehen.
Alles andere würde nicht nur den sorgfältig ausgehandelten politischen Kompromiss zwischen Parlament und Rat im AI-Gesetz untergraben, sondern auch zu einer verfassungswidrigen Übergriffigkeit der umsetzenden Befugnisse der Kommission führen.
