Prostock-studio - stock.adobe.co

AI Act: Zwischen Notwendigkeit und Überregulierung

Die EU arbeitet mit Hochdruck am AI Act, um ein Gesetz und somit juristische Richtlinien zu schaffen. Der Beitrag erklärt, was der AI Act ist und wo es zu Problemen kommen kann.

Dass Produkte, Anwendungen und Systeme mit künstlicher Intelligenz oder maschinellem Lernen nicht nur Vorteile bringen, wird vielen Anwendern nach den ersten Anwendungsversuchen schnell klar. Deswegen wird auf verschiedenen Ebenen an Richtlinien und Standards gearbeitet. Dazu gehören unter anderem Organisationen wie das Fraunhofer Institut (wir berichteten).

Aber auch auf Gesetzesebene soll im Europäischen Raum klare Rahmenbedingungen für den Einsatz von KI geschaffen werden. Dazu wird derzeit im Europäischen Parlament an einem Gesetz gearbeitet, dem Europäischen Artificial Intelligence Act, kurz AI Act. 

Der Artificial Intelligence Act (AIA)

Der AI Act Gesetzesvorschlag der Europäischen Union zur Regulierung von künstlicher Intelligenz (KI). Der offizielle Name lautet Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und wurde am 21. April 2021 von der Europäischen Kommission vorgestellt.

Der Zweck des AI Act besteht darin, einen rechtlichen Rahmen für den Umgang mit KI in der EU zu schaffen, um sicherzustellen, dass sie sicher, ethisch und rechtmäßig eingesetzt wird. Der Vorschlag enthält eine Reihe von Regeln und Anforderungen für die Anwendung von KI in verschiedenen Bereichen, darunter auch strenge Regeln für bestimmte Hochrisiko-Anwendungen.

Einige der Hauptpunkte des AI Act umfassen:

  • Definitionen: Der Gesetzesvorschlag definiert den Begriff der Künstlichen Intelligenz und unterscheidet zwischen verschiedenen Arten von KI-Systemen.
  • Hochrisiko-KI-Systeme: Es werden spezifische Anforderungen für KI-Systeme festgelegt, die als hochriskant eingestuft werden, wie beispielsweise KI in sicherheitskritischen Bereichen, Verkehr, Gesundheit und Verwaltung der Rechtspflege. Solche Systeme müssen strenge Anforderungen erfüllen, um ihre Sicherheit, Transparenz und Rechenschaftspflicht zu gewährleisten.
  • Verbote und Beschränkungen: Der AI Act verbietet bestimmte Arten von KI-Anwendungen, die als grundlegende Rechte und Freiheiten gefährdend angesehen werden, wie beispielsweise die automatisierte soziale Wertung von Einzelpersonen oder die Manipulation von Verhalten durch subtile Techniken.
  • Transparenz und Daten: Der Vorschlag betont die Bedeutung von Transparenz und legt bestimmte Anforderungen für die Dokumentation, das Training und die Nutzung von Trainingsdaten für KI-Systeme fest.

Der AI Act befindet sich derzeit noch im Gesetzgebungsprozess der EU und muss von den EU-Mitgliedstaaten und dem Europäischen Parlament angenommen werden, bevor er offiziell Gesetzeskraft erlangt. Es können sich noch Änderungen am endgültigen Text ergeben.

Die neuen Regularien gelten für Anbieter, die KI-Systeme in der Union in Verkehr bringen oder in Betrieb nehmen. Gemeint sind damit alle juristischen Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System entwickeln oder entwickeln lassen. Sie richten sich aber auch an Nutzer von KI-Systemen, die sich in der EU befinden. Das umfasst auch natürliche, und somit Privatpersonen

Neben der Begriffsfestlegung für KI beschäftigt sich der AI Act auch mit der Einordnung in Risikogruppen. Momentan sind drei Risikokategorien vorgeschlagen:

  • Ein unannehmbares Risiko
  • Ein hohes Risiko und (Hochrisiko-KI-Systeme)
  • ein geringes oder minimales Risiko

Je höher die Risikogruppe, desto strenger die Regulierungen, denen diese KI-Lösung dann unterliegt. Beispiele für KI-Systeme mit geringem oder minimalem Risiko sind Suchalgorithmen, Chatbots oder Videospiele. Hochrisikosysteme werden im Artikel 8 des Entwurfs beschrieben und können beispielsweise Anwendungen im juristischen oder Medizinbereich sein. Der vollständige Gesetzesentwurf kann hier eingesehen werden.

Natürlich handelt es sich derzeit nur um einen Entwurf, der noch die Prüfung und wahrscheinlich zahlreiche Änderungen sowie Präzisierungen durchlaufen muss. Die EU macht mit dem Entwurf deutlich, dass sie sich der Gefahr, dass KI-Anwendungen beispielsweise zur Beeinflussung und Überwachung von Menschen missbräuchlich eingesetzt werden können, bewusst ist. Das Europäische Parlament steht allerdings unter hohem Druck, das Gesetz sobald als möglich zu verabschieden, da immer mehr KI-Lösungen zum Einsatz kommen und hier dringend Handlungsbedarf besteht, um Missbrauch oder falsche KI-Resultate zu verhindern.

Am 14. Juni 2023 haben die Mitglieder des Europäischen Parlaments (MdEP) die Verhandlungsposition des Parlaments zum KI-Gesetz angenommen, und die Gespräche mit den EU-Ländern im Rat begonnen. Es gibt jedoch keine Angaben darüber, wann der AI Act offiziell verabschiedet und umgesetzt wird. 

Der Europäische AI Act wird zum Fall für Juristen

Noch vor Inkrafttreten des AI Act beschäftigen sich zahlreiche Gremien und Organisationen mit dem Gesetzesentwurf, um sich ein Bild über mögliche Auswirkungen des gesetztes zu machen. Das ruft natürlich auch Rechtsanwälte und Kanzleien auf den Plan, die vor allem die Hürden der Gesetzesumsetzung betrachten und alle möglichen Faktoren berücksichtigen, die eventuell zu Problemen bei der Umsetzung der Regularien führen könnten.

Computerweekly.de sprach mit Rechtsanwalt Dr. Nils Lölfing von der Wirtschaftskanzlei Bird & Bird, der bereits seit 10 Jahren im juristischen Technologieumfeld tätig ist, über den AI Act, mögliche Schwierigkeiten und Potenziale für KI-Anbieter und -Nutzer.

Zunächst muss man sich mit der Definition zu KI oder auch ML beschäftigen, da viele Unternehmen nicht unbedingt erkennen, dass sie KI-Anwendungen nutzen. „Das beginnt beispielsweise mit Cloud Services“, erläutert Lölfing.“Manche Unternehmen wissen nicht, dass hier eine KI läuft und dass sie sich damit auseinandersetzen müssen. Ein Gespräch mit dem Cloud Service Provider kann hier Aufklärung bringen.“

Er weist daraufhin, dass es viele weitere unterschiedliche Fragestellungen im Zusammenhang mit künstlicher Intelligenz gibt, die unmittelbar das Thema betreffen, zum Beispiel wenn Firmen selbst Algorithmen entwickeln wollen. Im Gesundheitswesen ist das ein großes Thema. Hier hat die Bundesregierung ein großes Interesse daran, Innovationen in dem Bereich zu fördern, wohlwissend, dass die aktuellen Regelungen deutlich zu konservativ sind. „Wenn wir zum Beispiel über die DSGVO sprechen, wie man Daten nutzen darf oder wie die man Daten auch zum Trainieren von Algorithmen nutzen darf, um zum Beispiel im Gesundheitswesen neue Produkte und Dienstleistungen anbieten und überhaupt entwickeln zu können, werden einem da große Stein in den Weg, was letztlich dem gesellschaftlichen Wohlstand ja nicht förderlich sein kann“, sagt Dr. Nils Lölfing.

Die Gefahr einer Überregulierung besteht

Der AI Act verfolgt zurzeit einen Top-Down-Ansatz, das heißt, dass die Regularien klar von oben, also vom Parlament, kommen und Input oder Feedback von unten, im ersten Schritt nicht berücksichtigt wird. Das könnte laut Lölfing zu einer Überregulierung durch den AI Act führen. Eine zu allgemeingültige, sektorübergreifende Gesetzesvorlage hätte den gleichen Effekt, da nicht auf spezifische Anforderungen der KI eingegangen würde. Der Rechtsexperte sieht hier die unbedingte Notwendigkeit von sektorspezifischen oder nach Anwendungsfällen orientierten Regularien. Dies ist beispielsweise in den USA der Fall, aber auch in Großbritannien. Dort wurde bereits im Sommer gegen diesen Ansatz (Top-Down, sektorübergreifend) entschieden. Damit soll ein klares Signal an die EU gesendet werden, dass Großbritannien überzeugt davon ist, dass Innovationen durch eine solche Regelung geschwächt oder gar verhindert werden könnten. Hier wird an einem abstrakten Kriterienkatalog für KI gearbeitet. Dieser ist aber nicht verbindlich, sondern an dem sich die Regulierungsbehörden, die für die jeweiligen Sektoren zuständig sind, beispielsweise Finanzen, Gesundheit oder Transport, mit konkreten Maßnahmen an die Unternehmen wenden. Damit sollen Probleme adressiert und Tipps gegeben werden, wie diese unter dem geltenden Recht zu lösen sind.

„Das ist dann mehr so ein Trial-and-Error-Ansatz, weil man hier schon ausprobiert, wo tatsächlich im jeweiligen Bereich oder Sektor die Risiken liegen, so Lölfing. „Damit kann man Schutzlücken identifizieren, die vorher nicht absehbar waren. In dem Fall kann man die Regulierungen nachbessern.“

Auch der AI Act wird Anpassungen benötigen. KI-Lösungen sind eine sich weiterentwickelnde Instanz und das macht eine starre Standardisierung quasi unmöglich. Anwendungen, die heute als harmlos eingestuft sind, könnten nach mehreren Jahren und Updates eventuell riskanter werden, was dann Anpassungen und Änderungen in der Gesetzgebung notwendig macht.

Ein weiteres Beispiel für das Risiko einer Überregulierung ist ChatGPT von OpenAI. Dieses allgemeine Sprachmodell kann in zahlreichen Einsatzgebieten genutzt werden, die nicht absehbar waren. Das umfasst auch eine bösartige Nutzung der KI. Auf so etwas ist die Verordnung nicht vorbereitet.

„Hier muss sich die Kommission oder die EU-Gesetzgeber den Vorwurf machen lassen, dass sie eben nicht technologieneutral genug vorgegangen sind, sondern diesen konkreten Fall der analytischen KI vor Augen hatten und das regulieren wollten“, erklärt Dr. Nils Lölfing. „Mit zunehmender Nutzung von generativer KI müssen die gesetzgebenden Gremien ihren Blickwinkel erheblich erweitern.“

Eine Regulierung von KI-Anwendungen ist dringend nötig, aber noch immer ist nicht der gesamte Spielraum, dem man sich gegenübersieht, definiert. Für Lölfing ist ein Kernpunkt, die Balance zwischen Recht und gesellschaftlichem Mehrwert zu finden. Nur, wenn die gesetzlichen Vorgaben auch Innovationen zulassen und nicht zu beschränkend sind, lässt sich eine nützliche und sichere KI-Umgebung aufbauen.

Erfahren Sie mehr über Künstliche Intelligenz (KI) und Machine Learning (ML)