Das europäische KI-Gesetz führt den ersten globalen Rechtsrahmen für KI ein, der Innovation, Datenschutz und Einwilligung in Einklang bringt. Die schrittweise Einführung, der Verhaltenskodex und die Schnittstellen zur DSGVO stellen Entwickler und Technologieunternehmen vor Herausforderungen. Die Einhaltung erfordert Risikokategorisierung, Transparenz, KI-Kompetenz und eine gültige Cookie-Einwilligung und prägt die Zukunft vertrauenswürdiger, rechtskonformer KI in Europa.
Im Jahr 2024 trat der EU-Gesetzentwurf zur künstlichen Intelligenz (KI-Gesetz) in Kraft und markierte damit den weltweit ersten umfassenden Rechtsrahmen für KI. Seine erklärte Hauptaufgabe bestand laut IAPP darin, durch einen risikobasierten Regulierungsansatz vertrauenswürdige, sichere und rechtskonforme KI in Europa zu fördern. Wie bei allen Entwicklungen im KI-Bereich bestehen erhebliche Bedenken hinsichtlich Datenschutz, individueller Rechte und der Berücksichtigung von Einwilligungen in KI-Beziehungen. Wo liegt die Balance zwischen Datenschutz und den Grundsätzen des KI-Gesetzes?
Eine der Herausforderungen – und Ängste – im Zentrum dieses Spannungsfelds zwischen Regulierung und Innovation ist die Tatsache, dass die Regulierung wie üblich nur langsam mit Innovationen Schritt hält. Und der KI-Act ist nicht sofort in Kraft getreten. So traten beispielsweise Verbote inakzeptabler KI-Praktiken wie Social Scoring, unterschwelliger Manipulation und Emotionserkennung sowie die Anforderung von KI-Kompetenz Anfang 2025 in Kraft, während Verpflichtungen für risikoreiche KI-Systeme und allgemeine KI-Modelle erst im August 2026 in Kraft treten.
Trotz aller von Europa angestrebten Regulierungen gibt es in anderen Rechtsräumen Widerstand. Obwohl der US-Senat dies letztlich ablehnte, versuchte die derzeitige US-Regierung, US-Bundesstaaten bis zu zehn Jahre lang die Durchsetzung von Gesetzen zu künstlichen Intelligenzmodellen, KI-Systemen oder automatisierten Entscheidungsfindungssystemen zu verbieten. Der Punkt ist: Nicht jeder möchte den zunehmenden Einfluss von KI regulieren und überwachen.
Neben anderen undurchsichtigen Herausforderungen könnte dies verwirrende und potenziell verheerende Auswirkungen auf den Datenschutz haben, da der Einsatz von KI mit bestehenden Datenschutz- und Einwilligungsgesetzen kollidiert. Doch bevor wir uns mit diesen Bedenken befassen, werfen wir einen Blick auf die aktuelle Lage.
Verzögerte Standardisierung veranlassten die EU im Sommer 2025 zur Einführung eines freiwilligen allgemeinen KI-Verhaltenskodex. Er bietet Anbietern von GP-AI-Modellen einen praktischen Rahmen, um die Einhaltung der Verpflichtungen des KI-Gesetzes wie Transparenz, Urheberrecht, Sicherheit und systemisches Risiko nachzuweisen.
Technologieunternehmen, insbesondere Giganten wie Google und xAI, haben sich größtenteils dem Kodex angeschlossen und sich zu Teilen oder dem gesamten Kodex verpflichtet, da die Übernahme des Kodex den Unternehmen im Vergleich zu anderen Compliance-Methoden mehr Rechtssicherheit und einen geringeren Verwaltungsaufwand bietet. Trotz dieser Verpflichtungen haben alle großen Technologiekonzerne Einwände erhoben – von Google, das warnt, dass EU-Vorschriften Innovationen behindern würden, bis hin zu Meta, das den Kodex aufgrund von Mehrdeutigkeiten und regulatorischen Übergriffen vollständig ablehnt. Dies, obwohl die Europäische Kommission mehreren großen US-Unternehmen, die eine Abschwächung des Kodex fordern, privilegierten Zugang zum Kodex gewährt hat. Es scheint, dass das Endprodukt trotz aller guten Absichten des KI-Gesetzes möglicherweise nicht im besten Interesse der europäischen Bürger und ihrer Privatsphäre ist.
Letztendlich erfüllt der Kodex seinen angeblichen Zweck – die Erleichterung der Einhaltung – aufgrund dieser Art von Unternehmenseinmischung, die den Kodex eher als politische Haltung denn als technisches Instrument betrachtet.
Entwickler müssen sich während der schrittweisen Einführung mit Unklarheiten auseinandersetzen. Alles scheint sich zu verändern, was die Einhaltung der Vorschriften erschwert (das Gegenteil dessen, was der KI-Gesetzesentwurf erreichen sollte). Für Entwickler und Technologieunternehmen bedeuten KI und der KI-Gesetzesentwurf die Einführung einer Reihe neuer Schritte.
Zu diesen Schritten gehören die Einführung unterschiedlicher Risikokategorisierungen und die Dokumentation des Systemdesigns, die Gewährleistung von Transparenz und Urheberrechtsschutz, die Vermittlung von KI-Kompetenzen für Mitarbeiter und betroffene Nutzer sowie die Einführung und Nutzung regulatorischer KI-Sandboxen.
Obwohl der KI-Act in erster Linie eine Produktsicherheitsverordnung und kein Datenschutzgesetz ist, weist er zahlreiche Schnittstellen zur DSGVO auf. Von KI verarbeitete Daten müssen weiterhin den Rechten und Schutzbestimmungen der DSGVO entsprechen. Die cookiebasierte Verarbeitung personenbezogener Daten erfordert eine gültige Rechtsgrundlage, d. h. eine ausdrückliche Einwilligung und/oder ein berechtigtes Interesse. Und genau hier stoßen einige KI-Funktionen auf Schwierigkeiten.
Die Einwilligung ist das Herzstück der meisten Online-Transaktionen und -Interaktionen – die meisten Verbraucher sind mit Cookie-Bannern vertraut und müssen sich darin zurechtfinden und entscheiden, welche Cookies sie akzeptieren oder ablehnen. KI bringt für Entwickler und Unternehmen eine ganze Reihe neuer Überlegungen mit sich, die möglicherweise nicht bedacht haben, dass KI-Systeme bei Änderungen der Datenverarbeitungszwecke eine neue, spezifische Einwilligung benötigen. Das heißt, wenn Nutzerdaten oder Cookie-Daten zum Trainieren oder Validieren von KI-Systemen zweckentfremdet werden, ist die bestehende Einwilligung ungültig. Dies geschieht zu einem Zeitpunkt, an dem die EU-Regulierungsbehörden die Anforderungen an die Cookie-Einwilligung verschärfen und bei Nichteinhaltung höhere Bußgelder verhängen. Dies wirkt sich auf KI-Projekte aus, die auf Cookie-basiertem Tracking oder Personalisierung basieren – und macht eine gültige Einwilligung und klare Offenlegung wichtiger denn je.
Die europäische KI-Governance-Landschaft entwickelt sich weiter, ist aber noch in der Entwicklung und im Wandel. Für Entwickler und Technologieunternehmen bedeutet das:
Ihre Rolle und Risikokategorie verstehen – sind Sie Anbieter, Betreiber oder Importeur?
Dokumentations- und Transparenzstrategien vorbereiten – auch unter Berücksichtigung des freiwilligen Verhaltenskodex.
Interne KI-Kompetenz priorisieren und funktionsübergreifende Compliance-Allianzen zwischen Datenschutz-, Rechts- und F&E-Teams aufbauen.
Sicherstellen, dass Daten- und Cookie-Praktiken den DSGVO-Standards entsprechen, insbesondere im Hinblick auf Einwilligung und die Weiterverwendung von Daten für KI.
Die sich entwickelnde Durchsetzung, die Richtlinien und die Bemühungen der EU-Regulierungsbehörden zur Vereinfachung im großen Maßstab beobachten, um eine reibungslose Einführung zu unterstützen.
Wie bei der DSGVO können die anfänglichen Compliance-Herausforderungen überwältigend erscheinen. Eine frühzeitige Anpassung, der Aufbau einer starken Governance und die Priorisierung von Transparenz helfen Unternehmen jedoch nicht nur, die Vorschriften einzuhalten, sondern auch eine führende Rolle bei der Entwicklung einer ethischen und vertrauenswürdigen KI zu übernehmen, die den Einwilligungsvorschriften entspricht.
©2025 CookieHub ehf.
