Illustration: Absmeier
Nach Angaben der EU soll die Kombination aus dem ersten Rechtsrahmen für Künstliche Intelligenz und einem neuen koordinierten Plan mit den Mitgliedstaaten die Sicherheit und die Grundrechte der Menschen und Unternehmen in Europa gewährleisten. Ziel ist es, gleichzeitig die Einführung von KI, Investitionen und Innovationen in der gesamten EU zu fördern. Die neue KI-Verordnung soll dafür sorgen, dass die Europäer dem Angebot der KI vertrauen können. Angemessene und flexible Regeln werden demnach den spezifischen Risiken von KI-Systemen Rechnung tragen und den weltweit höchsten Standard setzen. Der koordinierte Plan der EU skizziert die notwendigen politischen Änderungen und Investitionen auf Ebene der Mitgliedstaaten, um Europas Position bei der Entwicklung einer auf den Menschen ausgerichteten, nachhaltigen, sicheren, integrativen und vertrauenswürdigen KI zu stärken.
Andreas Riepen ist Head Central Europe bei Vectra AI, einem Anbieter von Cybersicherheit auf Basis künstlicher Intelligenz. Er nimmt drei wesentliche Fragen rund um die KI-Pläne der EU:
Warum ist ein solches Gesetz notwendig?
Das EU-KI-Gesetz ist ein ehrgeiziger Versuch, einen Rechtsrahmen für KI zu schaffen, der noch nie so dringend gebraucht wurde. KI-Systeme werden rasch in Produkte und Dienstleistungen auf zahlreichen Märkten integriert. Die Vertrauenswürdigkeit und Interpretierbarkeit dieser Systeme kann jedoch ziemlich undurchsichtig sein, mit schlecht verstandenen Risiken für die Nutzer und die Gesellschaft im weiteren Sinne. Auch wenn einige der bestehenden rechtlichen Rahmenbedingungen und der Verbraucherschutz relevant sein mögen, unterscheiden sich Anwendungen, die KI-Systeme nutzen, so sehr von herkömmlichen Verbraucherprodukten, dass sie grundlegend neue rechtliche Mechanismen erfordern.
Das übergeordnete Ziel des Gesetzentwurfs besteht darin, die kritischsten Risiken, die sich aus der Nutzung und dem Versagen von KI ergeben, zu antizipieren und abzumildern. Dies reicht von einem vollständigen Verbot von Systemen, die als »inakzeptabel risikobehaftet« eingestuft werden, bis hin zu einer strengen Regulierung von Systemen mit »hohem Risiko«. Eine weitere, weniger beachtete Folge des Rahmens besteht darin, dass er den Märkten Klarheit und Gewissheit darüber verschaffen könnte, welche Vorschriften bestehen und wie sie angewendet werden. So könnte der Rechtsrahmen tatsächlich zu mehr Investitionen und Marktbeteiligung im KI-Sektor führen.
Seit der Verabschiedung der EU-Datenschutzgrundverordnung (DSGVO) ist nun mehr als ein halbes Jahrzehnt vergangen, ohne dass in den USA ein ähnliches Bundesgesetz in Erwägung gezogen wird. Dennoch hat die DSGVO zweifellos das Verhalten multinationaler Unternehmen beeinflusst, die entweder ihre Datenschutzrichtlinien für EU- und Nicht-EU-Umgebungen aufspalten oder einfach eine einzige Richtlinie auf der Grundlage der DSGVO weltweit anwenden mussten. Sollten die USA beschließen, eine Gesetzgebung zur Regulierung von KI vorzuschlagen, werden sie zumindest von dem EU-Gesetz beeinflusst werden.
Wie kann die Kommission bestimmen, welche Arten von KI als »hohes Risiko« eingestuft werden?
Leider nennt der KI-Rechtsakt eine Reihe von Anwendungsbereichen, in denen der Einsatz von KI als risikoreich gelten würde, ohne notwendigerweise die risikobasierten Kriterien zu erörtern, die zur Bestimmung des Status künftiger KI-Anwendungen verwendet werden könnten. Die scheinbar ad hoc getroffenen Entscheidungen darüber, welche Anwendungsbereiche als »risikoreich« gelten, scheinen daher gleichzeitig zu spezifisch und zu vage zu sein.
Zu den aktuellen Hochrisikobereichen gehören bestimmte Arten der biometrischen Identifizierung, der Betrieb kritischer Infrastrukturen, Beschäftigungsentscheidungen und einige Strafverfolgungsaktivitäten. Es ist jedoch nicht klar, warum nur diese Bereiche als risikoreich eingestuft wurden. Ebenso ist nicht beschrieben, welche Anwendungen von statistischen Modellen und maschinellen Lernsystemen in diesen Bereichen einer strengen Regulierungsaufsicht unterliegen sollten.
Schließlich ist es wahrscheinlich, dass in Zukunft Präzisierungen und rechtliche Präzedenzfälle erforderlich sein werden, um klare Grenzen zwischen den Risikokategorien zu ziehen. So sieht das Gesetz beispielsweise »Praktiken, die ein erhebliches Potenzial zur Manipulation von Personen durch unterschwellige Techniken außerhalb ihres Bewusstseins haben«, als inakzeptables Risiko an. Es ist jedoch nicht unbedingt klar, ob dies auch die bereits weit verbreitete Nutzung von KI einschließt, die Inhalte für Nutzer auswählt, um deren Verweildauer auf einer Website zu maximieren. Unklarheiten wie diese müssen zweifellos beseitigt werden, doch wird dies mit einem bestehenden Rechtsrahmen viel einfacher sein als ohne.
Warum ist es wichtig, dass der Gesetzentwurf vorschreibt, dass die Menschen benachrichtigt werden, wenn sie auf Deepfakes, biometrische Erkennungssysteme oder KI-Anwendungen stoßen, die behaupten, ihre Gefühle lesen zu können?
Auch wenn es gut ist, dass der Gesetzentwurf vorschreibt, dass Menschen benachrichtigt werden müssen, wenn sie auf Deepfakes, biometrische Erkennungssysteme usw. stoßen, gibt es einige potenzielle Probleme zu beachten. Erstens könnten die von Deep Fakes und Sprachmodellen wie GPT-3 erzeugten Inhalte so allgegenwärtig und mit jedem Aspekt unseres Lebens verwoben werden, dass die Kennzeichnung aller Fälle der Verwendung dieser Modelle zu einer allgemeinen Alarmmüdigkeit führen könnte. Darüber hinaus wird es eine Reihe von schwer zu beantwortenden Fragen zu Systemen geben, die in den unscharfen Grenzen dieser Anwendungen leben. Dennoch ist es zweifellos ein guter Anfang, von den Verbrauchern zu verlangen, dass sie besser erkennen können, wann sie durch biometrische Daten klassifiziert werden und wann sie mit KI-generierten Inhalten interagieren und nicht mit echten Menschen oder echten Inhalten.