Die neuen KI-Modelle von DeepSeek und die Aussicht auf deutlich geringere Kosten für das Training und die Nutzung von sogenannten Large-Language-Modellen wie ChatGPT haben den Börsenwert des US-Chipherstellers NVIDIA kurzzeitig um 600 Mrd. Dollar sinken lassen. Nur einige Tage zuvor, kurz nach dem Amtsantritt des erneut gewählten US-Präsidenten Donald Trump, folgte die Ankündigung seiner Administration, die KI-Regulierung in den USA
herunterzufahren. Gleichzeitig wollen US-Konsortien unter dem Programmtitel „Stargate“ 500 Mrd. US Doller in entsprechende KI-Infrastrukturprojekte investieren. Ob diese Zahlen nun realistisch sind oder nicht, spielt dabei keine Rolle. Selbst die Hälfte dieser Investitionen würde das gesamte deutsche IT-Jahresbudget übersteigen. Und wir reden hier nur von einem einzigen Vorhaben in den USA. Man könnte sagen, die Karten liegen nun auf dem Tisch und jeder Politiker oder Beamte sollte den damit verbundenen Knall gehört haben. Das Rennen um die weltweite Vorherrschaft im Bereich KI ist nun auch öffentlich sichtbar. Jeder, der sich etwas tiefer mit dem Thema KI beschäftigt, wird schnell zu der Erkenntnis gelangen, dass es absolut sinnvoll ist, diese zu regulieren. Das, was sich Politiker und der EU-Beamtenapparat überlegt haben, mag gut gemeint sein, nur leider verfehlt das EU-Gesetz zur Regulierung von Künstlicher Intelligenz – der sogenannte EU AI Act – meiner Meinung nach vollständig sein Ziel. Im Gegenteil, er produziert bürokratischen Mehraufwand, über den sich nur Beratungsunternehmen freuen, die perspektivisch erhebliche Umsätze mit Testaten und Prüfungen erzielen können.

Warum das KI-Gesetz der EU ins Leere läuft

Um sich das Problem zu vergegenwärtigen, muss man verstehen, worum es sich bei KI eigentlich technisch handelt. Eine KI ist nämlich nicht nur ein Computer oder ein Software-Modell allein. Eine KI ist vielmehr die Kombination eines Modells mit einer leistungsstarken IT-Infrastruktur, die in dieser Konstellation durch andere Applikationen nutzbar ist. Deshalb kann eine KI auch überall betrieben und als Service genutzt werden. Dazu ist lediglich ein technischer Zugang via Internet erforderlich. In einer mittlerweile eng vernetzten Welt, in der Menschen und Maschinen quasi ständig über das Internet verbunden sind, kann ein Nutzer unmöglich wissen, durch welche Komponenten oder Services seine Anfragen – ausgehend von einem Smartphone oder einem Computer – beantwortet werden. Wie es dem Anwender nahezu unmöglich ist, dies zu verifizieren, so wird es auch jeder Aufsichtsbehörde nicht möglich sein, das weltweit zu kontrollieren.
Ergo ist es aus technischer Sicht kaum vorstellbar, dass Trainingsmethoden von Modellen bzw. deren Nutzung ernsthaft überprüft werden können, wenn sich diese außerhalb des rechtlichen Geltungsbereiches deutscher oder europäischer Gesetzgebung befinden. Und das Internet lässt sich nun einmal nicht auf juristische Geltungsgebiete beschränken. Selbst Unternehmen, die z. B. Cloudservices nutzen, können nicht sicher sein, welche Software, Daten und Modelle diesen Services zugrunde liegen. Dass US-Konzerne es mit Datenschutz und Transparenz nicht so ernst nehmen wie es europäische Standards vorsehen, sollte mittlerweile jedem bekannt sein. Zu glauben, dass sich chinesische oder russische Staatshacker oder Firmen aus solchen Ländern an europäische (Datenschutz-)Standards halten, wäre außerordentlich naiv.

Willkommen in der Realität

Die bittere Erkenntnis ist also, dass die Nutzung von KI-Modellen und deren Trainings, gobal betrachtet, nur sehr schwer oder gar nicht zu kontrollieren ist. Selbst innerhalb der Europäischen Union halte ich eine wirksame Kontrolle für faktisch unmöglich, allein weil eine Meldepflicht beim Einsatz von Künstlicher Intelligenz nicht durchsetzbar ist. Der EU AI Act zielt daher auf KI-Modelle und KI-Anwendungen, die sich im europäischen Rechtsraum bewegen und sich auch freiwillig an geltendes Recht halten. Dabei ist es mit Sachverstand und gutem Willen keinesfalls unmöglich, sichere und vertrauensvolle KI-Anwendungen herzustellen oder zu betreiben. Es gibt in dem Bereich schon gute Leitlinien, vor dem EU AI Act, beispielsweise durch das Center for Research on Foundation Models (CRFM), ein Zusammenschluss von KI-Forschern verschiedener Universitäten. Auch können Unternehmen ihre KI-Anwendungen lokal, d.h. in eigenen oder zumindest deutschen Rechenzentren betreiben und so die volle Kontrolle über das behalten, was mit den Anwendungen und Daten geschieht. Moderne IT muss nicht immer auf dem intransparenten Cloudangebot der US-Konzerne basieren. Dieses Narrativ ist gleichermaßen falsch und aus unternehmensstrategischer Sicht sogar eher unklug. Nicht wenigen Unternehmen könnte der mangelhafte Weitblick bei der Planung der eigenen IT-Infrastruktur mittelfristig auf die Füße fallen. Gerade im Hinblick auf die aktuelle politische Entwicklung in den USA. Diejenigen Unternehmen, die in den wesentlichen IT-Bereichen auf lokale Infrastruktur und europäische IT-Partner gesetzt haben, befinden sich nun in der Poolposition.

Aber wie soll der EU AI Act unsere Gesellschaft vor KI-Modellen und Anwendungen beschützen, die nicht mit der gebotenen Sorgfalt erstellt oder betrieben werden? Wie gehen wir mit Services wie DeepSeek um, die in China verwaltet werden und ein datenschutzrechtlicher Alptraum sind? Die Daten-Trassen (oder Datenautobahnen) des Internets sind offen für alle.

Daraus resultiert, dass unsere gegenwärtige Rechtsordnung und die damit verbundene Gesetzgebung keine guten Mechanismen bieten, um die vor uns liegenden digitalen Probleme zu lösen – das haben bisher weder Politik noch Gesellschaft wirklich verstanden. Um es klar zu sagen: Ich halte eine rechtliche Regulierung für absolut sinnvoll und geboten, gleichwohl sehe ich die notwendige Kontrolle und Durchsetzung dieser Regeln nicht. Unsere klassischen Gewalten der Legislative und Exekutive kommen hier an die Grenzen des Machbaren.

Mit KI verhält es sich in etwa wie mit der Kernenergie. Sie wurde erfunden und nun ist sie da, um zu bleiben. Im Falle der Atombombe ist jedem die Zerstörungskraft durch die historischen Beispiele von Hiroschima und Nagasaki klar geworden. Genau aus diesem Grund gab es in den 1960er-Jahren relativ schnell einen großen, beinahe weltweiten Konsens zu der Frage, ob es wohl sinnvoll sei, eine Zugangsbeschränkung für Atomwaffen zu schaffen. Der Atomwaffensperrvertrag war das Ergebnis und ist eine von den meisten Ländern der Welt ratifizierte Vereinbarung, an die sich (mit wenigen Ausnahmen) die Staatengemeinschaft auch gehalten hat.

Was hat das mit KI zu tun?

Zum einen halte ich das negative Potenzial von KI für gleichermaßen zerstörerisch wie das einer Atombombe, wenn auch auf eine ganz andere Art. Besonders gefährdet durch eine unregulierte KI ist nämlich die demokratische Grundordnung, da perfekt getrimmte Falschinformationen massenhaft erzeugt werden können und völlig unkontrolliert, aber gezielt dazu genutzt werden könnten, die öffentliche Meinung nachhaltig zu manipulieren. Zum anderen kann eine Regulierung von KI – aus den zuvor genannten Gründen – nur weltweit erfolgreich sein. Jedoch werden China, Russland und aktuell wohl auch die USA kaum dafür zu gewinnen sein, in dieser Frage mit der EU an einem Strang zu ziehen.

Aber wie könnte man KI wirksam regulieren?

Es gibt nach meiner Ansicht nur eine mögliche Stellschraube, deren Justierung wir nutzen könnten. Diese Stellschraube wäre der internationale Datenverkehr, der für sich genommen reguliert beziehungsweise teilweise aktiv beschränkt werden müsste. Also eine Art europäische Data Governance Policy, bei der die Aufsichtsbehörden den Datenfluss regulieren und überwachen. Dazu ist aber ein breiter Diskurs erforderlich, welcher in mehrerlei Hinsicht herausfordernd wäre, da es in letzter Konsequenz auch um die potenzielle Einschränkung von Freiheiten im Internet geht. Das wiederum dürfte nur schwer mit unserem demokratischen Grundverständnis von Freiheit vereinbar sein. Man würde am Ende des Tages ein sehr mächtiges Werkzeug erschaffen, dessen potenziell negative Wirkungen enorm wären.

Die allgemeine Unbedarftheit und idealistische Vorstellung, dass das Internet alle Informationen zugänglich und frei verfügbar macht und dabei eine durchweg positive Wirkung entfalten wird, fällt uns leider auf die Füße. Nicht nur undemokratische Strukturen können sich derzeit frei am öffentlich zugänglichen Fundus bedienen. Auch die Macht der Tech-Giganten über uns alle ist durch deren Datensammelwut in Kombination mit ihrer technischen Überlegenheit in ungeahnte Dimensionen vorgedrungen. Nun wird diese Allmacht mit Trumps Schützenhilfe und durch chinesische Staatsinteressen regelrecht entfesselt. Hinzu kommt, dass sich viele deutsche Unternehmen und leider auch der deutsche Staat durch ihre allzu sorglosen Cloudstrategien in die Abhängigkeit der US-Konzerne begeben haben. Die Prognose ist deshalb eher düster.