KI-Regulierung zwischen Chancen und Risiken

Was die EU plant

von - 28.11.2021
Anders als die bestehenden Regeln konzentriert sich die EU-Vorlage nicht auf einzelne Anwendungsbereiche, sondern definiert in einem sogenannten horizontalen Ansatz Risikoklassen, die unabhängig vom konkreten Einsatzgebiet sind. Dabei teilt die EU KI-Systeme in drei Gruppen ein:
Verbotene Anwendungen: KI darf unter anderem nicht dafür eingesetzt werden, um Menschen ohne deren Wissen zu manipulieren, wenn dabei ein psychischer oder physischer Schaden für den Betroffenen oder eine andere Person entsteht. Auch bei besonders schutzbedürftigen Personenkreisen wie älteren sowie körperlich oder geistig eingeschränkten Menschen ist der Einsatz verboten, sofern eine Schwäche ausgenutzt werden soll, um der Person oder einem Dritten zu schaden. Die Anwendung von Social-Scoring durch Behörden soll ebenfalls untersagt sein. „Social-Scoring ist schon datenschutzrechtlich unzulässig, dieses Verbot ist meiner Ansicht nach daher vor allem ein politisches Signal“, erklärt Georg Borges vom Lehrstuhl für Bürgerliches Recht, Rechtsinformatik, deutsches und internationales Wirtschaftsrecht sowie Rechtstheorie und Direktor des Instituts für Rechtsinformatik an der Universität des Saarlandes. „Es soll den Unterschied zwischen den Rechtsvorstellungen in der Europäischen Union und in China verdeutlichen.“ Auch der Einsatz sogenannter biometrischer Echtzeit-Fern­identifizierungssysteme (siehe Kasten auf Seite 54) zur Strafverfolgung soll beschränkt werden. Borges hält das im Grundsatz für sinnvoll: „Es gibt bestimmte KI-Systeme, die wir in der Gesellschaft nicht haben möchten, und es ist gut, wenn der Gesetzgeber das klarstellt.
Hochrisiko-KI-Systeme: Hierunter fallen unter anderem Anwendungen zur biometrischen Identifizierung und Kategorisierung von Personen, die Verwaltung kritischer Infrastrukturen, Maßnahmen im beruflichen Umfeld, die Dienste von Behörden, die Beurteilung der Kreditwürdigkeit, die Priorisierung von Rettungsmaßnahmen, Strafverfolgung, Migration und Asyl sowie Rechtspflege und demokratische Prozesse. In Anhang III des Gesetzes findet sich eine detaillierte Liste der als Hochrisiko klassifizierten KI-Systeme. Für diese Lösungen sollen besonders hohe Anforderungen an Robustheit, Sicherheit und Genauigkeit gelten. Alle Vorgänge sind zu dokumentieren, die Betroffenen angemessen zu informieren. Werden Hochrisiko-KI-Systeme allerdings in bereits regulierte Produkte wie Flugzeuge, Kraftfahrzeuge oder Eisenbahnsysteme integriert, gelten die bestehenden Rechtsrahmen. Näheres dazu findet sich in Anhang II. „Wir haben bewusst einen Ansatz gewählt, wo wir versuchen, nicht zu überlappen, sondern uns nahtlos einzufügen und komplementär und kohärent zu sein“, betont Irina Orssich, Head of Sector AI Policy bei der Europäischen Kommission auf einer Online-Veranstaltung der Gesellschaft für Informatik.
KI-Anwendungen mit geringem oder minimalem Risiko: Bei KI-Systemen mit geringem Risiko wie Chat­bots sieht das Gesetz eine Transparenzpflicht vor. Borges hält diese Transparenzanforderungen für einen „interessanten Versuch, dessen Erfolg wir noch nicht abschätzen können“: „Es ist jedenfalls nicht schlecht, wenn der Betreiber eines KI-Systems dem Verbraucher gegenüber klarstellen muss, dass er mit einer Maschine redet und nicht mit einem Menschen.“ Lösungen wie KI-basierte Spamfilter oder Videospiele gelten als wenig oder gar nicht riskant und sollen nicht reguliert werden. „Wir glauben, dass grundsätzlich der Großteil aller KI überhaupt keiner verbindlichen Regelung unterworfen wird, weil sie einfach keine Gefahr für Grundrechte oder die Sicherheit bedeutet“, sagt KI-Expertin Orssich.
Professor Georg Borges
Universität des Saarlandes
Foto: Iris Maria Maurer, www.silbersalz.com
„Das Gesetz weist erhebliche konstruktive Mängel auf und darf auf keinen Fall so in Kraft treten.“
Das KI-Gesetz will aber nicht nur regulieren, sondern auch Innovationen fördern und für eine größere Verbreitung von KI sorgen. Bis 2030 sollen der EU-Digitalstrategie zufolge 75 Prozent aller europäischen Unternehmen KI einsetzen – laut einer Studie des Branchenverbands Bitkom sind es in Deutschland aktuell gerade einmal 6 Prozent (siehe Grafik). Zu den im KI-Gesetz genannten Fördermaßnahmen gehören sogenannte KI-Reallabore für die Entwicklung, Erprobung und Validierung neuer KI-Lösungen. In ihnen dürfen unter bestimmten Voraussetzungen auch personenbezogene Daten verwendet werden. Kleine Unternehmen und Start-ups sollen einen bevorzugten Zugang zu diesen Reallaboren erhalten.
Wenig Nachfrage: Erst 6 Prozent der deutschen Unter­nehmen setzen Künstliche Intelligenz ein.

(Quelle: Bitkom Research )
Der Entwurf sieht außerdem die Gründung eines Europäischen Ausschusses für Künstliche Intelligenz vor, der die Zusammenarbeit der nationalen Aufsichtsbehörden koordiniert und die EU-Kommission berät.
Professor Antonio Krüger
Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI) Saarbrücken
Foto: DFKI GmbH / Armindo Ribeiro
„Das Entscheidende bei der KI ist die Anwendung“
Antonio Krüger, Geschäftsführer und Leiter des Forschungsbereichs Kognitive Assistenzsysteme am Deutschen Forschungszentrum für Künst­liche Intelligenz (DFKI) in Saarbrücken, erklärt, warum er eine EU-weite Regulierung von KI prinzipiell befürwortet und was am vorliegenden Entwurf verbessert werden müsste.
com! professional: Herr Professor Krüger, Sie haben sich nach Bekanntwerden des aktuellen Gesetzesentwurfs im April positiv zur geplanten KI-Regulierung der EU geäußert. Wo sehen Sie die größten Chancen für Wirtschaft und Gesellschaft?
Professor Antonio Krüger: Ein Regulierungsrahmen gibt der Wirtschaft Sicherheit und Orientierung gegenüber dem Markt und dem Kunden und schafft klare Regeln und Vertrauen. Das ist ein Riesengewinn und kann am Ende international ein Wettbewerbsvorteil sein. Ähnliches hat man ja auch bei der Datenschutz-Grundverordnung (DSGVO) gesehen. Wenn uns eine smarte Regulierung gelingt, die auf die Bedürfnisse des KI-Ökosystems zugeschnitten ist, wird sich die ganze Welt daran orientieren. Schließlich will jeder in Europa seine Produkte auf den Markt bringen.
com! professional: Gibt es überhaupt ähnliche Initiativen in anderen Industrieländern?
Krüger: Ich denke, wir sind hier durchaus Vorreiter. Das hängt auch damit zusammen, dass in anderen Regionen mit starker KI-Forschung, also vornehmlich Nordamerika und China, abweichende Vorstellungen von Regulierung herrschen. Die USA sind beispielsweise immer gut damit gefahren, wenig vorzuschreiben und dadurch ein hohes Maß an Innovation zu ermöglichen. In China wird durchaus reguliert, aber auf Basis anderer Werte als der unseren. Wir in Europa haben eine bestimmte Vorstellung davon, wie wir leben wollen, und müssen Regeln finden, die dazu passen. Das ist immer eine Abwägung. Wir wollen genügend Freiheit, um Innovationen zuzulassen, aber auch unsere zentralen Werte schützen. Dieses Abwägen finden Sie in den USA oder China eher weniger.
com! professional: Die EU scheint sich allerdings immer weniger auf gemeinsame Werte einigen zu können. Ungarns Ministerpräsident Viktor Orbán etwa macht keinen Hehl aus seiner Sympathie für China …
Krüger: Ich bin relativ optimistisch, dass wir im Bereich der KI einen guten Kompromiss finden, der die Balance zwischen Innovationsfähigkeit und demokratischen Rechten wahrt. Genau für solche Herkules­aufgaben haben wir die EU. Was wir nicht wollen, ist, dass KI von den Menschen als bedrohlich wahrgenommen wird. Künstliche Intelligenz ist eine der Schlüsseltechnologien für die nächsten 50 Jahre. Wenn man aber KI nicht nur entwickeln, sondern auch vermarkten möchte, dann muss ein Markt da sein. Daher dürfen wir die bereits vorhandene Technik-Skepsis nicht noch befeuern. Da kann eine KI-Regulierung ungemein helfen.
com! professional: Gibt es aus Ihrer Sicht auch Kritikpunkte am aktuellen Entwurf?
Krüger: Natürlich ist der aktuelle Vorschlag der EU-Kommission an vielen Stellen noch verbesserungswürdig, auch wenn ich die Grundtendenz nach wie vor gut finde. Im europäischen KI-Netzwerk CLAIRE (Confederation of Laboratories for Artificial Intelligence Research in Europe) haben wir dazu eine Stellungnahme verfasst. Das ist ein langes Dokument geworden. Daran sieht man schon, dass es erhebliche Bedenken gibt.
com! professional: Was kritisieren Sie konkret?
Krüger: Der Entwurf wurde in erster Linie von Politikern und Juristen formuliert, und das merkt man ihm sehr stark an. Aus Sicht der KI-Experten ist er an manchen Stellen noch zu unstrukturiert. Wo auf jeden Fall nachgebessert werden muss, ist die Definition von KI-Systemen. Das muss unbedingt noch einmal mit der KI-Gemeinschaft abgestimmt werden. Wir halten es auch nicht für förderlich, die Regulierung entlang von Technologien zu formulieren.
Das Entscheidende bei der KI ist letztendlich die Anwendung – wie verhält sie sich, wo wird sie eingesetzt und zu welchem Zweck? Eine Regulierung anhand dieser Fragen hätte auch den Vorteil, dass man leichter an bestehende Rechtsrahmen anschließen könnte. Die Regulierung muss außerdem besser auf bereits geltende Gesetze abgestimmt werden, die sich mit der Verarbeitung von Daten befassen, insbesondere mit der DSGVO.
Innovationen entstehen dort, wo Daten für die Analyse zur Verfügung stehen. Es muss daher möglich sein, ausreichend Daten zu erhalten, zum Beispiel über freiwillige Datenspenden von Bürgern. Auch wird in dem Entwurf zu wenig über Maßnahmen gesprochen, die Innovationen treiben und generieren können.
com! professional: Ist es denn Aufgabe der Regulierung, Innovationen zu fördern?
Krüger: Das kann man nicht trennen. Die Regulierung soll ja nicht nur schützen, sondern auch ein Enabler für Innovationen sein. Das steht auch so im Text, es wird aber nicht konkret gesagt, wie das gelingen soll.
com! professional: Viele Rechtsbegriffe bleiben recht unbestimmt. Müssen wir ähnlich wie bei der DSGVO Jahre warten, bis der Europäische Gerichtshof oder andere Gerichte Klarheit darüber schaffen, wie das KI-Gesetz auszulegen ist?
Krüger: Ich bin kein Jurist, aber es steht sicher zu befürchten, dass die Gerichte umso mehr bemüht werden müssen, je schwammiger die Formulierungen im Gesetzestext sind.
com! professional: Das Center of Data Innovation warnt in einer Studie davor, dass durch die Regulierung Kosten von 30 Milliarden Euro auf die europäische Wirtschaft zukämen. Was halten Sie von solchen Prognosen?
Krüger: Ich finde solche Zahlen schwierig. Entscheidend ist, dass der Innovationsgedanke in der Regulierung berücksichtigt wird. Wenn wir das Regelwerk nicht als Innovationsförderer verstehen, sondern nur als reinen Verhinderer, dann haben wir ein Problem. Es ist klar, dass wir Regeln benötigen, das fordert auch die Wirtschaft. Nur so können wir garantieren, dass KI-Systeme erklärbar, transparent und so weit wie möglich diskriminierungsfrei sind. Da geht das Gesetz auch in eine richtige Richtung. Es steht aber zu wenig Konkretes darin, wie der Zugang zu Daten auch für kleine Unternehmen ermöglicht werden soll. Konzerne können komplexe Regeln viel einfacher umsetzen als kleine Unternehmen, das Problem kennen wir auch aus anderen Regelwerken wie der DSGVO. Freiräume sind daher ganz wichtig, das kommt uns noch zu kurz.
com! professional: Was müsste noch geschehen, um Europa in der KI-Forschung und -Anwendung einen Spitzenplatz zu sichern?
Krüger: Da gibt es nicht die eine Maßnahme. Ich glaube, was in Europa fehlt, ist selbstbewusster aufzutreten und in der Forschung Strukturen zu entwickeln, die ein deutliches Signal setzen. Die EU täte gut daran, ein zentrales Leuchtturmprojekt für KI aufzusetzen, das die nationalen und föderalen Initiativen ergänzt und einen physischen Ort schafft, der die notwendige Infrastruktur für Spitzenforschung bietet, aber auch als Begegnungs­stätte für die wissenschaftliche Community dient. Ein solches „AI Centre“ mit den Schwerpunkten Trustable, Explainable und Human-centric AI hätte eine große Anziehungskraft für Talente in der ganzen Welt. Es wäre ein hervorragendes Signal dafür, dass KI in Europa großgeschrieben wird und dass Forschung hier immer auch mit Sinnhaftigkeit und Werten verknüpft ist.
Professor Antonio Krüger
Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI) Saarbrücken
Foto: DFKI GmbH / Armindo Ribeiro
„Die EU täte gut daran, ein zentrales Leuchtturmprojekt für KI aufzusetzen.“

Grundsätzliche Zustimmung …

Viele Experten begrüßen prinzipiell den Vorstoß der EU. „Das KI-Gesetz bietet auf jeden Fall Chancen für eine notwendige Arrondierung des Rechtsrahmens. Die Grundelemente sind vernünftig und zu begrüßen, das ist schon einmal eine große Leistung“, sagt Rechtsinformatik-Professor Borges. Er sieht das KI-Gesetz bei der Frage des Persönlichkeitsschutzes auch als wichtige Ergänzung zur Datenschutz-Grundverordnung: „Es gibt persönlichkeitsrechtliche Pro­bleme, die nicht durch den klassischen Datenschutz abgedeckt sind. Hier greift das KI-Gesetz ein, indem es nicht die Verwendung von Daten, sondern die Manipulation von Bürgern verbietet.“ Borges hält das für richtig: „Ich begrüße es sehr, dass das KI-Gesetz den Persönlichkeitsschutz in Bezug auf verletzende Einwirkungen regelt und nicht nur auf die Vorfrage der Verwendung von Daten.“
Gartner-Analyst Willemsen sieht die geplante KI-Regulierung in erster Linie als Teil einer größeren Strategie: „Mit der Datenschutz-Grundverordnung hat die Europäische Union bereits die Grundlage für die Verarbeitung von Daten gelegt. Initiativen wie das KI-Gesetz, aber auch der Digital Markets und der Digital Services Act sowie insbesondere der Data Governance Act treiben diese Entwicklung weiter voran und sollen einen einheitlichen europäischen Markt ermöglichen.“
Professor Christiane Wendehorst
Universität Wienmetrischer
Foto: Christiane Wendehorst / Universität Wien
„Die Europäische Kommission hat sich sichtlich um einen Kompromiss bemüht, der eine Reihe von Problemen adressiert, ohne Europa als Technologiestandort zu gefährden.“
Ähnlich positiv äußert sich auch Stephan Dreyer, Senior Researcher Medienrecht & Media Governance an der Universität Hamburg, gegenüber dem Journalistenverbund Science Media Center Germany (SMC): „Die Verordnung ist eine hoch spannende Entwicklung in einem Regulierungsfeld, das weltweit erst zaghaft in den Blick genommen wird. Die EU-Kommission zeigt hier, dass sie die gesellschaft­liche Relevanz der strukturverändernden Potenziale des Einsatzes von KI-Systemen erkannt hat und in möglichst grundrechtswahrende Bahnen lenken will.“ Christiane Wendehorst, Professorin für Zivilrecht an der Universität Wien und von 2018 bis 2019 Co-Vorsitzende der Datenethikkommission der deutschen Bundesregierung, begrüßt den Entwurf ebenfalls: „Die Europäische Kommission hat sich hier sichtlich um einen Kompromiss bemüht, der eine Reihe von Problemen adressiert, ohne Europa als Technologiestandort zu gefährden.“

… aber auch Kritik

Wissenschaftler, Juristen und Wirtschaftsvertreter sehen im vorliegenden Entwurf allerdings auch deutlichen Verbesserungsbedarf. „Das Gesetz weist erhebliche konstruktive Mängel auf und darf auf keinen Fall so in Kraft treten“, sagt Georg Borges von der Uni Saarbrücken. Er bezweifelt außerdem die Allgemeingültigkeit, die der Titel „KI-Gesetz“ suggeriert: „Das weckt Erwartungen, die weit über das hi­nausgehen, was das Gesetz zu leisten vermag.“ Borges zufolge handelt es sich beim KI-Gesetz im Wesentlichen um eine Erweiterung des Produktsicherheitsrechts. „Es regelt in erster Linie das Risikomanagement beim Inverkehrbringen von KI-Systemen, verbietet bestimmte Anwendungen und stellt Transparenzpflichten auf, befasst sich aber weder mit Fragen der Haftung noch mit den recht­lichen Wirkungen von KI.“ Zu Borges’ Hauptkritikpunkten zählt die Vorstellung, Anbieter und Nutzer von KI-Systemen ließen sich strikt trennen: „Der Entwurf macht den Anwender von KI zum passiven Konsumenten, der nur der Bedienungsanleitung folgt“, bemängelt der Rechtsexperte. „Es gehört aber zum legitimen Recht eines Nutzers, neue Anwendungsbereiche für ein Produkt zu finden und es anders einzusetzen als vorgesehen.“  Das Gesetz erschwere einen  solchen zweckändernden Einsatz erheblich. „Das ist nicht sachgerecht.“
Gartner-Analyst Willemsen mahnt, KI nicht losgelöst von anderen Aspekten des Alltags zu betrachten: „Hier entstehen Regeln für eine Parallelwelt ‚mit KI‘, die in anderen Gesetzen wie etwa der DSGVO schon reguliert sind.“ So ergäben sich beispielsweise Forderungen nach einer erklärbaren und transparenten KI bereits aus den Fundamenten, die mit der Datenschutz-Grundverordnung gelegt wurden. „Eine KI-Regulierung sollte vor allem die Aspekte im Blick haben, bei denen durch die eingesetzten Technologien gravierende Effekte auf die Betroffenen entstehen.“
Rechtsbegriffe im EU-Gesetz
Eine Auswahl der wichtigsten Begriffsbestimmungen aus dem KI-Gesetzentwurf:
Anbieter: Eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System entwickelt oder entwickeln lässt, um es unter ihrem eigenen Namen oder ihrer eigenen Marke – entgeltlich oder unentgeltlich – in Verkehr zu bringen oder in Betrieb zu nehmen.
Biometrische Daten: Mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen.
Biometrisches Fernidentifizierungssystem: KI-System, das dem Zweck dient, natürliche Personen aus der Ferne durch Abgleich der biometrischen Daten einer Person mit den in einer Referenzdatenbank gespeicherten biometrischen Daten zu identifizieren, ohne dass der Nutzer des KI-Systems vorher weiß, ob die Person anwesend sein wird und identifiziert werden kann, und unabhängig davon, welche Technik, Verfahren oder Arten biometrischer Daten dazu verwendet werden.
Echtzeit-Fernidentifizierung: Biometrische Identifizierung von Personen „live“ oder „near live“, beispielsweise über Videoüberwachungssysteme.
Öffentlicher Raum: Physischer Bereich, der prinzipiell öffentlich zugänglich ist, egal ob er sich in öffentlichem oder privatem Besitz befindet. Dazu gehören neben öffentlichen Plätzen auch Geschäfte, Einkaufszentren, Kinos und Theater, nicht aber Privathäuser, private Clubs, Büros, Lager oder Fabriken.
KI-System: Software, die mit Methoden des maschinellen Lernens, logik- und wissensgestützten Konzepten, statistischen Verfahren sowie Bayesschen Schätz-, Such- und Optimierungsmethoden entwickelt wurde, um Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen zu generieren, die für die Beeinflussung des Umfelds genutzt werden können.
Nutzer: Eine natürliche oder juristische Person, Behörde, Einrichtung oder sons­tige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI- System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet.
Quelle: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union, 2021/0106 (COD); ergänzt, verändert
Seite
  1. Teil: KI-Regulierung zwischen Chancen und Risiken
  2. Teil: Was die EU plant
  3. Teil: Milliardenkosten durch Regulierung?
Verwandte Themen

Mehr zum Thema