UK verabschiedet sich von einem einheitlichen KI-Gesetz: Was die fragmentierte Regulierungsstrategie für Unternehmen bedeutet

Die britische Regierung hat ihren Kurs in der KI‑Regulierung neu ausgerichtet. Statt eines zentralen, umfassenden KI‑Gesetzes wird das Vereinigte Königreich Künstliche Intelligenz über mehrere, thematisch und sektoral zugeschnittene Gesetzesvorhaben steuern. Dazu gehören insbesondere neue Regeln gegen missbräuchliche „Nudification“-Apps im Rahmen der Violence‑Against‑Women‑and‑Girls‑(VAWG)‑Strategie, die Nutzung des bestehenden Online Safety Act zur Regulierung von KI‑Chatbots sowie neue „AI Growth Labs“ für kontrollierte Pre‑Market‑Tests von KI‑Systemen.

Für Unternehmen bedeutet dies: KI‑Compliance in Großbritannien wird kein einheitliches Regelwerk folgen, sondern mehreren Regimen gleichzeitig. Das erhöht die Komplexität, schafft aber zugleich Spielräume für innovationsfreundliche Testumgebungen.

1. Kontext: Was hat die UK-Regierung beschlossen – und was wurde verworfen?

1.1 Der ursprüngliche Plan eines zentralen KI-Gesetzes

Nach mehreren Strategiepapieren und dem vielbeachteten UK AI Safety Summit war über Monate von einem spezifischen KI‑Gesetz die Rede, das insbesondere Hochrisiko‑Modelle adressieren sollte. Im Raum standen unter anderem:

• Pflichten zur Bereitstellung großer Foundation Models für Tests durch das AI Safety Institute,

• spezifische Anforderungen an Transparenz und Risikomanagement für Basismodelle,

• eine klar erkennbare zentrale Rechtsgrundlage, ähnlich – wenn auch weniger umfassend – als der EU AI Act.

Im politischen Prozess hat sich nun gezeigt, dass die Regierung vor einem umfassenden, eigenständigen KI‑Rahmengesetz zurückschreckt. Ein Grund ist die Sorge, Großbritannien gegenüber den USA und internationalen Tech‑Investitionen unattraktiv zu machen, wenn die Regulierung als zu restriktiv wahrgenommen würde.

1.2 Fragmentierung statt Kodifikation: Die neuen Bausteine

Statt einer „AI‑Verfassung“ setzt die UK‑Regierung nun auf drei zentrale Pfeiler, die in den letzten Tagen konkretisiert wurden:

1. Verbot von „Nudification“-Apps und Deepfake-Nacktbildern im VAWG-Kontext

- Im Rahmen der aktualisierten VAWG‑Strategie wird die Erstellung und Bereitstellung von Tools, die reale Personen mittels KI nackt darstellen („nudification tools“), unter Strafe gestellt.

- Ziel ist insbesondere der Schutz von Frauen, Mädchen und Minderjährigen vor Deepfake‑Missbrauch, inklusive einer engeren Zusammenarbeit mit Tech‑Unternehmen, um die Erstellung und Verbreitung solcher Inhalte technisch zu unterbinden.

1. Nutzung des Online Safety Act zur Regulierung von KI-Chatbots

- Der bereits in Kraft befindliche Online Safety Act 2023 verpflichtet Online‑Dienste, systematisch Risiken durch illegale und bestimmte schädliche Inhalte zu analysieren und zu mitigieren.

- KI‑gestützte Chatbots, Recommendation Engines und generative Systeme, die Nutzern Inhalte bereitstellen oder Interaktionen ermöglichen, fallen unter diese Pflichten, sofern sie im Anwendungsbereich des Gesetzes liegen.

- Ofcom hat hierzu detaillierte Codes und Guidance für die Umsetzung der neuen Pflichten veröffentlicht; Plattformen müssen bis spätestens März 2025 umfassende Risikobewertungen vorgenommen und geeignete Maßnahmen implementiert haben.

1. AI Growth Labs für Pre-Market-Tests

- Vorgesehen ist der Aufbau spezieller „AI Growth Labs“ als regulatorische Sandboxes für KI‑Anwendungen.

- Unternehmen sollen dort KI‑Systeme vor Markteintritt testen können – inkl. Safety‑, Ethik‑ und Compliance‑Checks – in enger Abstimmung mit Aufsichtsbehörden.

- Ziel ist, Innovation und Wachstum zu fördern, ohne erst nachträglich auf unerwünschte Folgen reagieren zu müssen.

Zusätzlich werden gesetzgeberische Aktivitäten im Bereich Strafrecht und Kindeswohl verstärkt, u. a. mit neuen Befugnissen zur Bekämpfung von KI‑erzeugten Missbrauchsdarstellungen von Kindern und zur Autorisierung spezialisierter Prüfinstitutionen.

2. Detaillierte Analyse: Auswirkungen, Risiken und Chancen

2.1 Fragmentierte Regulierung als Governance-Paradigma

Die UK verfolgt einen „Regulation by use case“‑Ansatz: Anstatt ein allgemeines KI‑Rahmengesetz zu schaffen, werden gezielte Vorschriften für besonders risikoreiche Einsatzfelder erlassen – etwa Online‑Sicherheit, sexualisierte Gewalt, Kindesmissbrauch, Desinformation oder biometrische Systeme.

Vorteile dieses Ansatzes:

• Flexibilität: Die Regierung kann schnell auf neue Risiko‑Cluster reagieren, ohne umfangreiche Kodifikationen neu öffnen zu müssen.

• Domänenspezifische Expertise: Fachressorts (Innenministerium, Digitalministerium, Justiz, Regulierungsbehörden wie Ofcom) können für ihre Bereiche spezifische Regeln setzen.

• Geringere Einstiegshürden für Innovation: Es gibt kein allumfassendes Lizenz‑ oder Zertifikatserfordernis für den Betrieb von KI‑Systemen allgemein.

Nachteile aus Unternehmenssicht:

• Zersplitterte Compliance-Landschaft: Unternehmen müssen mehrere Gesetze, Verordnungen und regulatorische Leitlinien parallel monitoren (Online Safety Act, Strafrecht, Datenschutz, VAWG‑bezogene Gesetze, Wettbewerbsrecht etc.).

• Intransparente Risikoklassifizierung: Es gibt keine einheitliche Definition von „Hochrisiko‑KI“ – das Risikoprofil hängt vom jeweiligen Anwendungsfall und dem relevanten Gesetz ab.

• Höherer Abstimmungsaufwand für globale Governance: Der Kontrast zu eher zentralisierten Ansätzen – etwa dem EU AI Act – erhöht den Aufwand für konzerneinheitliche Richtlinien.

2.2 VAWG-Strategie und Verbot von Nudification-Apps

Die Entscheidung, „nudification apps“ explizit zu verbieten, ist ein markantes Beispiel für zielgerichtete KI‑Regulierung.

Kernpunkte der neuen Regeln:

• Strafbarkeit der Entwicklung, Bereitstellung und Verbreitung von Tools, die Bilder realer Personen per KI nackt darstellen oder sexualisieren.

• Ergänzende Maßnahmen:

- Verpflichtung bzw. Erwartung an große Plattformen, derartige Inhalte proaktiv zu erkennen und zu entfernen.

- Förderung technischer Schutzmechanismen auf Endgeräten, um Kindern das Erstellen und Teilen von Nacktbildern zu erschweren beziehungsweise zu verhindern.

• Einbettung in eine breitere Strategie zur Halbierung von Gewalt gegen Frauen und Mädchen innerhalb eines Jahrzehnts.

Implikationen für Unternehmen:

• App‑Stores und Plattformen müssen ihre Prüfprozesse anpassen, um KI‑Tools mit Nudification‑Funktionalitäten zu identifizieren und zu sperren.

• KI‑Start-ups im Imaging‑Bereich sind gefordert, Use‑Case‑Einschränkungen („safety by design“) zu implementieren – z. B. Verhinderung des Uploads realer Personen oder Erkennung von Minderjährigen in Eingangsbildern.

• Telekommunikations‑ und Gerätehersteller sehen sich mit politischem Druck konfrontiert, on‑device‑Schutzmechanismen (z. B. Erkennung und Blockierung von Nacktbildern auf Kindergeräten) einzuführen.

2.3 Online Safety Act als Hebel für KI-gestützte Dienste

Mit dem Online Safety Act verfügt Großbritannien bereits über einen mächtigen Hebel zur Regulierung digitaler Dienste. KI‑Systeme werden dort nicht als eigene Kategorie, sondern als Risikotreiber für bereits definierte Schutzgüter betrachtet.

Relevante Pflichten für Anbieter, die KI einsetzen:

• Risikobewertung: Identifikation von Risiken, dass KI‑Chatbots, generative Systeme oder Empfehlungsalgorithmen illegale oder schädliche Inhalte fördern, erzeugen oder verbreiten.

• Prozedurale Maßnahmen: Einführung von Moderationsprozessen, Safety‑Policies und technischen Filtern, um entsprechende Risiken zu minimieren.

• Transparenz und Governance: Benennung einer verantwortlichen Führungsperson für die Einhaltung der Pflichten; Dokumentationspflichten über getroffene Maßnahmen.

Für KI‑Chatbots bedeutet dies praktisch:

• Training- und Prompt‑Filter müssen so gestaltet werden, dass die Generierung illegaler Inhalte (z. B. Hassrede, Terrorpropaganda, sexualisierte Gewalt gegenüber Kindern) minimiert wird.

• Konversationslogs und Metriken zur Risikokontrolle werden zu Compliance‑Artefakten.

• Relevante Dienste sollten „Age Assurance“ und Mechanismen zur Unterbindung schädlicher Interaktionen mit Minderjährigen einführen.

2.4 AI Growth Labs: Chancen und offene Fragen

Die geplanten AI Growth Labs sind als regulatorische Sandboxen zu verstehen, in denen Unternehmen KI‑Systeme unter Aufsicht testen können, bevor sie breit ausgerollt werden.

Chancen für Unternehmen:

• Zugang zu Behörden‑Feedback in einer frühen Entwicklungsphase (z. B. Ofcom, Datenschutzbehörde, gegebenenfalls spezialisierte KI‑Sicherheitsstellen).

• Möglichkeit, Risikomodelle und Kontrollen iterativ zu schärfen, bevor sie in Breitenbetrieb gehen.

• Potenzieller Reputationsvorteil, wenn Produkte aus offiziell unterstützten Testumgebungen hervorgehen.

Offene Punkte:

• Wie verbindlich sind die in den Growth Labs erzielten Abstimmungen später im Vollzug? (Rechts- vs. Soft‑Law‑Charakter)

• Welche Sektoren und Unternehmensgrößen haben Zugang – nur „strategische“ KI‑Akteure oder auch KMU?

• Wie wird mit geistigem Eigentum und sensiblen Trainingsdaten in diesen Umgebungen umgegangen?

3. Praktische Beispiele und Szenarien

3.1 Beispiel 1: Soziale Plattform mit KI-Generierung

Ein soziales Netzwerk mit Nutzerbasis in UK führt einen generativen KI‑Assistenten ein, der Bilder, Texte und Videos auf Basis von Nutzereingaben erzeugt.

Regulatorische Berührungspunkte:

• Online Safety Act:

- Pflicht zur Risikobewertung, ob die KI illegale oder schädliche Inhalte erzeugen oder verstärken kann.

- Verpflichtung zur Implementierung von Filtermechanismen und sicherem Design (z. B. Blockierung bestimmter Prompts, Klassifizierer zur Inhaltskontrolle).

• VAWG-/Nudification-Verbot:

- Der Assistent darf nicht zur Erzeugung von Deepfake‑Nacktbildern realer Personen genutzt werden.

- Technische Maßnahmen zur Erkennung entsprechender Prompts und Eingabebilder sind erforderlich.

Operative Konsequenzen:

• Aufbau eines interdisziplinären Teams aus Legal, Policy und ML‑Engineering zur Gestaltung der Prompt‑ und Outputfilter.

• Einführung von Governance‑Mechanismen: regelmäßige Audits der KI‑Outputs, Dokumentation von Fehlfunktionen, Meldewege für Betroffene.

3.2 Beispiel 2: FinTech mit KI-basiertem Kundenservice

Ein FinTech-Unternehmen setzt KI‑Chatbots im Kundensupport ein, u. a. für Beratung zu Zahlungen, Krediten und Kontosicherheit.

Relevante Regelungsbereiche:

• Online Safety Act: sofern der Dienst als „user-to-service“-Interaktion im Anwendungsbereich liegt, muss geprüft werden, ob etwa Betrugsanreize, Hassrede oder andere illegale Inhalte auftreten können.

• Finanzaufsichtsrecht und Verbraucherschutz: Auch ohne spezifisches KI‑Gesetz bleiben bestehende Informations‑, Transparenz‑ und Beratungspflichten bestehen; KI darf diese nicht unterlaufen.

Praktische Anforderungen:

• Definition, welche Themen der Bot autonom bearbeiten darf und wo ein „Human‑in‑the‑Loop“ zwingend greift.

• Logging und Audit‑Fähigkeit, um regulatorische Prüfungen (z. B. Falschauskunft zu Produkten) nachvollziehbar beantworten zu können.

3.3 Beispiel 3: EU-Unternehmen mit KI-Produkten in UK

Ein EU‑Anbieter von KI‑gestützten HR‑Tools (z. B. CV‑Screening) bringt sein Produkt in Großbritannien auf den Markt.

Regulatorische Doppelbelastung:

• In der EU fällt das Tool (je nach Ausgestaltung) potenziell unter „Hochrisiko‑KI“ im Sinne des EU AI Act, mit Anforderungen an Risikomanagement, Datenqualität, Transparenz und Governance.

• In UK gibt es kein äquivalentes, horizontales KI‑Gesetz – aber:

- Datenschutzrecht (UK‑GDPR),

- Gleichbehandlungs‑ und Antidiskriminierungsgesetze,

- ggf. arbeitsrechtliche Informations‑ und Beteiligungsrechte.

Konsequenz:

• Das Unternehmen muss zwei unterschiedliche Compliance‑Logiken managen:

- EU: zentraler, stark formalisiertes KI‑Regime.

- UK: mehrere, teils sektorale und themenspezifische Gesetze ohne KI‑Sondergesetz.

4. Geschäftliche Relevanz: Was Unternehmen jetzt tun sollten

4.1 UK-spezifische KI-Compliance-Strukturen aufbauen

Unternehmen, die KI in UK einsetzen oder vertreiben, sollten kurzfristig:

1. Regulatorische Kartierung (Regulatory Mapping):

- Identifikation aller relevanten Gesetze und Aufsichtsbehörden pro Use Case (z. B. Online Safety Act, Straf- und Sexualstrafrecht, Datenschutz, Verbraucherschutz, Sektoraufsicht).

- Abgleich mit bestehenden internen Richtlinien.

1. Use-Case-basierte Risikoanalyse:

- Kategorisierung der KI‑Anwendungen nach Risikoniveau (z. B. Interaktion mit Minderjährigen, potenzieller Einfluss auf finanzielle oder gesundheitliche Entscheidungen, Inhaltserzeugung).

- Zuordnung der jeweils relevanten Rechtsregime.

1. Governance und Verantwortlichkeiten:

- Benennung von Verantwortlichen für KI‑Risiken auf Management‑Ebene, insbesondere dort, wo der Online Safety Act explizit Senior Accountability fordert.

- Aufbau eines bereichsübergreifenden „AI Risk Committee“ oder Integration in bestehende Risiko‑Gremien.

4.2 Produktplanung und Roadmaps anpassen

Die Fragmentierung hat direkte Auswirkungen auf Produktstrategien:

• Feature-Design mit Blick auf Verbotstatbestände:

- Funktionen, die Deepfake‑ oder Nudification‑ähnliche Fähigkeiten bieten könnten, müssen entweder ausgeschlossen oder strikt kontrolliert werden.

• „Safety by Design“ als Standard:

- Implementierung von Altersverifikation, Inhaltsfiltern, Abuse‑Detection und Reporting‑Funktionen bereits in der Konzeptionsphase.

• Nutzung von AI Growth Labs:

- Prüfung, ob kritische oder innovative KI‑Projekte von der Teilnahme an Growth Labs profitieren können, um frühzeitiges Feedback der Regulatoren zu erhalten.

4.3 Cross-Border-Governance zwischen EU, UK und USA harmonisieren

Für international agierende Unternehmen ist die Koordination zwischen EU‑AI‑Act, UK‑Ansatz und US‑Regelungen (weitgehend exekutiv‑ oder sektoral getrieben) entscheidend.

Empfohlene Schritte:

• Entwicklung eines globalen Mindeststandards für KI-Sicherheit und Ethik, der über die strengsten Anforderungen (z. B. EU AI Act) kalibriert ist und in weniger regulierten Märkten als „Best Practice“ dient.

• Festlegung eines gemeinsamen Daten‑ und Modell-Governance-Rahmens, der u. a. Trainingsdatenqualität, Bias‑Kontrollen, Modellversionierung, Monitoring und Incident‑Response abdeckt.

• Aufbau eines Regulatory Intelligence‑Prozesses, der Gesetzesinitiativen in UK, EU und USA kontinuierlich beobachtet und in Produkt‑ und Compliance‑Entscheidungen einspeist.

5. Fazit und Handlungsempfehlungen

Die Entscheidung der UK‑Regierung, auf ein umfassendes KI‑Gesetz zu verzichten und stattdessen auf mehrere themenspezifische Regelungsstränge zu setzen, verschiebt die Compliance‑Last verstärkt auf Unternehmen. Diese müssen stärker selbst interpretieren, wie bestehende Gesetze auf KI‑Systeme anzuwenden sind.

Für Organisationen mit Aktivitäten im Vereinigten Königreich ist es daher zentral, KI‑Risiken nicht isoliert, sondern im Zusammenspiel mehrerer Rechtsregime zu betrachten – und Governance‑Strukturen so aufzusetzen, dass sie sowohl innovationsfähig als auch prüffest bleiben.

Wichtigste Takeaways für Entscheider

• Kein einheitliches KI-Gesetz in UK: Unternehmen müssen mit einer Vielzahl von Gesetzen und Leitlinien arbeiten, statt mit einem zentralen Regime.

• Starker Fokus auf Schutz vor digitaler Gewalt: Das Verbot von Nudification‑Apps und die VAWG‑Strategie adressieren KI‑Missbrauch explizit – vor allem zum Schutz von Frauen, Mädchen und Kindern.

• Online Safety Act als zentrales Steuerungsinstrument: KI‑Chatbots und generative Dienste geraten über bestehende Online‑Sicherheitsregeln unter Druck; Risikobewertungen und Safety‑by‑Design werden Pflicht.

• AI Growth Labs schaffen Chancen für frühe Abstimmung: Unternehmen können kritische KI‑Produkte in regulierten Testumgebungen erproben, müssen aber offene Fragen zur Verbindlichkeit und zum IP‑Schutz berücksichtigen.

• Cross-Border-Governance wird komplexer: Abweichende Ansätze in EU, UK und USA erfordern einheitliche interne Standards bei gleichzeitiger lokaler Feinjustierung.

• Jetzt handeln, nicht abwarten: Wer frühzeitig KI‑Governance, Risikoanalysen und Produktdesign an die fragmentierte UK‑Landschaft anpasst, reduziert künftigen Anpassungsaufwand und regulatorische Risiken deutlich.

Häufig gestellte Fragen (FAQ)

Was bedeutet es, dass das Vereinigte Königreich auf ein einheitliches KI-Gesetz verzichtet?

Statt eines zentralen KI-Gesetzes reguliert das Vereinigte Königreich Künstliche Intelligenz über mehrere themen- und sektorspezifische Gesetze, etwa im Bereich Online-Sicherheit, Strafrecht oder Gewalt gegen Frauen und Mädchen. Für Unternehmen heißt das, sie müssen verschiedene Rechtsquellen gleichzeitig berücksichtigen, statt sich an einem einzigen KI-Rahmengesetz zu orientieren.

Wie funktioniert der „Regulation by use case“-Ansatz der UK-Regierung bei KI?

Beim „Regulation by use case“-Ansatz werden nicht KI als Technologie allgemein, sondern konkrete, risikoreiche Einsatzfelder reguliert – zum Beispiel Nudification-Apps, KI-Chatbots oder Deepfakes. Je nach Anwendungsfall greifen unterschiedliche Gesetze und Aufsichtsbehörden, was einerseits Flexibilität schafft, andererseits aber die Compliance-Planung komplexer macht.

Welche Rolle spielt der Online Safety Act für KI-gestützte Dienste in Großbritannien?

Der Online Safety Act 2023 verpflichtet Online-Dienste, systematisch Risiken durch illegale und schädliche Inhalte zu bewerten und zu minimieren – auch wenn diese durch KI-Chatbots oder generative Systeme entstehen. Anbieter müssen unter anderem Risikobewertungen durchführen, Moderations- und Filtermechanismen implementieren und klare Governance-Strukturen für die Einhaltung dieser Pflichten etablieren.

Was ist der Unterschied zwischen der britischen KI-Regulierungsstrategie und dem EU AI Act?

Der EU AI Act ist ein horizontales, einheitliches KI-Regime mit klaren Kategorien wie Hochrisiko-Systemen und umfassenden Vorgaben zu Risikomanagement und Transparenz. Die UK-Strategie setzt dagegen auf mehrere bestehende und neue Gesetze ohne zentrales KI-Gesetz, wodurch Unternehmen eher nach Themenfeldern (z. B. Online-Sicherheit, Datenschutz, Strafrecht) als nach einer einheitlichen KI-Klassifikation steuern müssen.

Welche Auswirkungen hat das Verbot von Nudification-Apps auf Unternehmen?

Unter dem Dach der VAWG-Strategie wird die Entwicklung, Bereitstellung und Nutzung von KI-Tools, die reale Personen nackt darstellen oder sexualisieren, strafbar. Plattformen, App-Stores und KI-Anbieter müssen ihre Produkt- und Prüfprozesse anpassen, etwa durch strenge Use-Case-Beschränkungen, technische Erkennung von Missbrauch und proaktive Entfernung entsprechender Inhalte.

Was sind „AI Growth Labs“ und welchen Nutzen haben sie für Unternehmen?

AI Growth Labs sind als regulatorische Sandboxes geplant, in denen KI-Systeme vor dem Markteintritt unter Aufsicht getestet werden können. Unternehmen erhalten dort frühzeitiges Feedback von Aufsichtsbehörden, können Risikomodelle und Kontrollmechanismen iterativ schärfen und ihre Produkte mit einem gewissen „Regulatory by Design“-Anspruch entwickeln, müssen aber offene Fragen zu Verbindlichkeit und IP-Schutz beachten.

Was sollten Unternehmen jetzt konkret tun, um KI-Compliance in UK sicherzustellen?

Unternehmen sollten zunächst ein UK-spezifisches Regulatory Mapping für alle KI-Use-Cases erstellen und diese nach Risikoniveau und relevanten Gesetzen (Online Safety Act, Strafrecht, Datenschutz etc.) kategorisieren. Darauf aufbauend empfiehlt sich der Aufbau klarer Governance-Strukturen, die Integration von „Safety by Design“ in Produktroadmaps sowie die Abstimmung der UK-Strategie mit EU- und US-Anforderungen im Rahmen einer globalen KI-Governance.