Die Konvergenz von künstlicher Intelligenz und Blockchain-Technologie eröffnet nicht nur faszinierende technische Möglichkeiten – sie erzeugt regulatorische Dilemmata, für die bestehende Rechtsrahmen schlicht nicht konzipiert wurden. Dezentralisierte KI-Systeme, die Datenverifizierung über Blockchain und KI-gestütztes Management von Smart Contracts sind bereits Realität, während die rechtlichen Rahmenbedingungen für diese Hybridsysteme sich noch in einem embryonalen Stadium befinden. Das Verständnis dieser Schnittstellen ist für Unternehmen, die an diesem Technologiekreuzungspunkt tätig sind, von zentraler Bedeutung. Dieser Text ist informatorischer Natur und ersetzt keine individuelle Rechtsberatung.
Was die Konvergenz von KI und Blockchain bedeutet
Bevor die regulatorischen Fragen beleuchtet werden, ist es sinnvoll, die wesentlichen Wege zu kartieren, auf denen sich KI und Blockchain in der Praxis überschneiden:
KI zur Verbesserung von Blockchain-Netzwerken — Maschinelles Lernen wird eingesetzt zur Optimierung von Konsensalgorithmen, zur Erkennung böswilliger Akteure, zur Vorhersage von Netzwerküberlastungen und zur Verwaltung von Gaskosten. Dies ist eine vergleichsweise „stille” Konvergenz ohne dramatische regulatorische Implikationen.
Blockchain für die Auditierbarkeit von KI — Verteilte Register werden verwendet, um Datenflüsse, Modellversionen und Entscheidungen von KI-Systemen unveränderlich aufzuzeichnen. Dies ist eine technologische Antwort auf das Problem der Intransparenz von KI und kann ein wertvolles Werkzeug für die Compliance mit dem AI Act (Verordnung (EU) 2024/1689 über künstliche Intelligenz) sein.
Dezentralisierte KI (DeAI) — KI-Modelle, die über ein verteiltes Netzwerk ohne zentralisierten Betreiber trainiert, validiert und ausgeführt werden. Projekte wie Fetch.ai und SingularityNET experimentieren mit diesem Modell, während verwandte Plattformen wie Ocean Protocol (ein dezentralisierter Datenmarktplatz für KI) die dafür erforderliche Infrastruktur aufbauen.
KI in Smart Contracts — Einbettung von KI-Logik in autonom ausführbare Smart Contracts, die eigenständig auf Marktdaten, Umgebungsbedingungen oder Nutzerverhalten reagieren können.
KI-Orakel — Spezialisierte Vermittler, die Informationen aus der Außenwelt in die Blockchain-Umgebung einbringen und dabei KI zur Verifizierung, Aggregation und Interpretation dieser Informationen nutzen.
Das Zuständigkeitsproblem bei dezentralisierten Systemen
Eine der grundlegenden regulatorischen Fragen lautet: Wer ist für ein dezentralisiertes KI-System zuständig, das keine geografischen Grenzen kennt?
Für den AI Act ist die Regel vergleichsweise klar, wenn ein identifizierbarer Betreiber oder Dienstleister mit Sitz in der EU vorhanden ist oder der auf EU-Nutzer abzielt – dann finden die EU-Vorschriften auf diesen Rechtsträger Anwendung. Das Problem entsteht, wenn das System tatsächlich dezentralisiert ist: Die Entwickler sind anonym oder befinden sich in verschiedenen Jurisdiktionen, die Netzwerkvalidatoren sind global verstreut, und es gibt keine einzige Einheit, die im Sinne des AI Act als „Betreiber” des Systems angesehen werden könnte.
Der derzeitige Regulierungsansatz der EU besteht darin, einen „verantwortlichen Akteur” zu suchen, den sie als Verpflichteten benennen kann. Wenn ein solcher Akteur nicht existiert oder nicht identifizierbar ist, ist die Durchsetzbarkeit der Regulierung in der Praxis begrenzt. Dies ist eine der regulatorischen Lücken, die die Europäische Kommission und die zuständigen KI-Governance-Behörden in der EU beobachten und prüfen.
Datenschutz: DSGVO und Blockchain-Inkompatibilität
Eine der tiefgreifendsten Spannungen an der KI-Blockchain-Schnittstelle besteht zwischen der DSGVO (Datenschutz-Grundverordnung, Verordnung (EU) 2016/679) und den inhärenten Eigenschaften öffentlicher Blockchains:
Die DSGVO garantiert das Recht auf Löschung (Recht auf Vergessenwerden) – wenn eine natürliche Person die Löschung ihrer Daten verlangt, muss der Verantwortliche dies durchführen können. Eine öffentliche Blockchain ist jedoch per Definition unveränderlich – einmal gespeicherte Daten können nicht gelöscht werden.
Das DSGVO-Recht auf Berichtigung unrichtiger Daten steht vor derselben Einschränkung.
Schwierigkeiten entstehen auch bei der Identifizierung des Verantwortlichen in dezentralisierten Netzwerken – wer ist der „Verantwortliche” im Sinne der DSGVO, der für die Wahrung der Rechte der betroffenen Personen zuständig ist?
Es gibt zwei grundlegende rechtliche Ansätze, die diskutiert werden: Erstens werden alle personenbezogenen Daten außerhalb der Kette (Off-Chain) gespeichert, und auf der Blockchain werden lediglich Hash-Werte (überprüfbare Prüfsummen) erfasst, was das Unveränderlichkeitsproblem für personenbezogene Daten beseitigt. Der zweite Ansatz ist die Verwendung von Permissioned-Blockchain-Lösungen anstelle öffentlicher Blockchains, bei denen die Gruppe der Teilnehmer bekannt und identifiziert ist und bei denen Kontroll- und Löschmechanismen implementiert werden können.
Beide Ansätze bringen Kompromisse hinsichtlich Funktionalität, Transparenz und Dezentralisierung mit sich.
AI Act und dezentralisierte KI: Anwendung ohne identifizierbaren Betreiber
Der AI Act definiert den „Anbieter” als einen Rechtsträger, der ein KI-System entwickelt oder es unter eigenem Namen auf dem Markt bereitstellt. Bei einer dezentralisierten KI, die anonym von einer Gemeinschaft entwickelt wurde und auf einem verteilten Netzwerk ausgeführt wird, ist es schwierig festzustellen, wer im Sinne des Akts als Anbieter anzusehen wäre.
Potenzielle Kandidaten für die regulatorische Verantwortung in solchen Systemen umfassen:
- Frontend-Anwendungen und Schnittstellen, die Nutzern den Zugang zur dezentralisierten KI ermöglichen – diese Vermittler sind typischerweise identifizierbar und können unter die Verpflichtungen des AI Act fallen
- Tokenisierte Governance-Strukturen, die wesentliche Entscheidungen über das System treffen – eine DAO (Decentralized Autonomous Organization, dezentralisierte autonome Organisation) als potenzieller „Anbieter”
- Validatoren und Knoten, die KI-Inferencing ausführen – obwohl auch hier die Zuweisung von Verantwortung rechtlich ungewiss ist
Dies bleibt zum Zeitpunkt der Veröffentlichung dieses Textes eine aktive regulatorische Frage ohne abschließende Antworten; ausführlichere Leitlinien des Europäischen Ausschusses für Künstliche Intelligenz werden erwartet.
Smart Contracts mit KI-Komponenten: Wer haftet
Smart Contracts werfen bereits für sich genommen Haftungsfragen auf, da sie nach der Bereitstellung kaum veränderbar sind und automatisch ausgeführt werden. Wenn eine KI-Komponente hinzukommt – etwa eine dynamische Preisgestaltung auf Basis eines ML-Modells (Machine Learning, maschinelles Lernen), das sich im Laufe der Zeit weiterentwickelt – wird die Haftungsfrage noch komplexer.
Relevante regulatorische Fragen umfassen:
Die Klassifizierung der KI-Komponente eines Smart Contracts gemäß dem AI Act – handelt es sich um ein Hochrisiko-System? Wenn sie in einen finanziellen Smart Contract eingebettet ist, ist dies möglicherweise der Fall.
Haftung für Codefehler – wer ist verantwortlich, wenn ein Fehler im Smart Contract einen finanziellen Schaden der Nutzer verursacht? In Abwesenheit einer zentralisierten Einheit gestaltet sich eine Klage äußerst schwierig.
Die regulatorische Behandlung automatisierter Finanzentscheidungen – MiFID II (Richtlinie 2014/65/EU über Märkte für Finanzinstrumente) und MiCA (Markets in Crypto-Assets, Verordnung (EU) 2023/1114 über Märkte für Kryptowerte) verlangen ein gewisses Maß an menschlicher Aufsicht über Finanztransaktionen, was in direkter Spannung zur Autonomie von Smart Contracts steht.
Datenverifizierung und KI-Orakel: Eine regulatorische Lücke
KI-Orakel, die externe Daten in Blockchain-Ökosysteme einbringen (Vermögenspreise, Wetterdaten, Sportergebnisse usw.), spielen eine wesentliche Infrastrukturrolle im DeFi (Decentralized Finance, dezentralisiertes Finanzwesen) und in blockchain-basierten Smart Contracts. In der aktuellen Regulierung sind sie jedoch nahezu unsichtbar.
Offene Fragen sind: Unterliegt ein Orakel, das Finanzpreise liefert, der MiFID II als Marktdatenanbieter? Fungiert eine KI, die Daten für ein Orakel aggregiert und filtert, als Hochrisiko-KI-System? Wer haftet für Schäden, die durch manipulierte oder fehlerhafte Orakeldaten verursacht wurden, die automatische Finanztransaktionen ausgelöst haben?
Dies ist ein Bereich, in dem die Regulierung der Technologie zweifellos hinterherhinkt und in dem die Rechtsunsicherheit nach wie vor hoch ist.
Häufig gestellte Fragen (Q&A)
Müssen Projekte, die KI und Blockchain in der EU kombinieren, mit dem AI Act konform sein? Wenn ein identifizierbarer Anbieter oder Betreiber vorhanden ist, der auf EU-Nutzer abzielt oder seinen Sitz in der EU hat, findet der AI Act auf die KI-Komponenten des Systems Anwendung. Die Blockchain-Komponente selbst unterliegt nicht dem AI Act, wohl aber KI-Funktionalitäten, die in Blockchain-Systeme integriert sind.
Wie behandelt MiCA Kryptoprojekte, die KI zur Entscheidungsfindung nutzen? MiCA konzentriert sich auf Kryptowerte und entsprechende Dienstleistungen, nicht auf die technische Implementierung. CASPs (Crypto-Asset Service Provider, Kryptowertedienstleister), die KI in internen Prozessen einsetzen (z. B. zur Betrugserkennung oder zur automatisierten Portfolioverwaltung), unterliegen MiCA ohne spezifische KI-bezogene Bestimmungen, müssen jedoch auch die geltenden AI-Act-Anforderungen beachten, sofern diese KI-Systeme unter die Hochrisikokategorien fallen.
Kann Blockchain das Problem der Transparenz von KI-Systemen lösen? Blockchain kann zur Transparenz beitragen, indem sie wesentliche Daten über das KI-System (Modellversion, Eingabedaten für konkrete Entscheidungen, Testergebnisse) unveränderlich erfasst. Blockchain löst jedoch nicht das Problem der inneren Intransparenz von ML-Modellen – sie zeichnet lediglich zuverlässig auf, was ihr aufgetragen wird aufzuzeichnen, kann aber die Logik einer KI-Entscheidung nicht selbst erklären.
Gibt es eine EU-Regulierung speziell für dezentralisierte KI-Systeme? Zum Zeitpunkt der Veröffentlichung dieses Textes gibt es keine EU-Regulierung, die speziell für dezentralisierte KI-Systeme konzipiert wurde. Der AI Act findet jedoch direkt auf dezentralisierte KI-Systeme Anwendung, wenn diese in seinen definierten Risikobereich fallen (Hochrisiko-KI-Systeme oder Allzweck-KI-Modelle), während MiCA vollständig dezentralisierte Systeme ohne Intermediäre ausdrücklich von seinem direkten Anwendungsbereich ausschließt, auf teilweise dezentralisierte Systeme mit einem identifizierbaren Intermediär jedoch Anwendung findet. Erhebliche Lücken bestehen weiterhin; die regulatorische Entwicklung in diesem Bereich wird aktiv beobachtet, und ergänzende Leitlinien werden erwartet.
Schlussfolgerung
Die Schnittstelle von künstlicher Intelligenz und Blockchain-Technologie ist eine Zone hoher Rechtsunsicherheit, die gleichzeitig die größten Innovationsmöglichkeiten bietet. Unternehmen, die an diesem Kreuzungspunkt tätig sind, müssen die regulatorischen Pflichten, die für jede Komponente ihres Systems gelten, sorgfältig prüfen – und nicht nur das System als Ganzes. In der Praxis verringert die proaktive Identifizierung regulatorischer Lücken und verantwortlicher Rechtsträger, verbunden mit Dokumentation und architektonischen Entscheidungen, die die Compliance erleichtern (wie die Off-Chain-Speicherung personenbezogener Daten), das regulatorische Risiko erheblich.
Wenn Sie Projekte entwickeln oder in Projekte investieren, die KI und Blockchain kombinieren, und eine regulatorische Analyse Ihres konkreten Modells wünschen, vereinbaren Sie eine Beratung mit unserem Team, das die Entwicklung beider Regulierungsbereiche verfolgt.
Quellen: – https://eur-lex.europa.eu/eli/reg/2024/1689/oj (AI Act, Verordnung (EU) 2024/1689) – https://eur-lex.europa.eu/eli/reg/2023/1114/oj (MiCA, Verordnung (EU) 2023/1114) – https://www.weforum.org/agenda/2023/11/ai-blockchain-synergy-unleashing-decentralized-intelligence/ – https://www.ibm.com/blogs/research/2023/07/ai-and-blockchain-synergy/ – https://www.brookings.edu/articles/the-interplay-of-blockchain-and-ai/