In den letzten Jahren gab es eine Explosion von Ethikrichtlinien im Bereich KI, passend zum Hype um die Technologie. Mindestens 175 Länder, Firmen und andere Organisationen haben Listen mit ethischen Prinzipien erstellt. Doch die meisten von ihnen beschreiben nicht, wie Anforderungen wie „Robustheit“ oder „Transparenz“ für die Praxis in gesetzliche Vorgaben umgesetzt werden könnten.
Kein Wunder also, dass alle Augen auf Brüssel gerichtet waren, als die Europäische Kommission am 21. April diesen Jahres Regelungsvorschläge zur künstlichen Intelligenz (KI) veröffentlichte. Die EU ist damit die erste einflussreiche Regulierungsbehörde, die ein großes Gesetz zur KI erarbeitet.
Es gibt nur wenige bestehende Gesetze zu KI, auf die man zurückgreifen kann. Darum entschied sich die Kommission für einen Bottom-up-Ansatz. Sie schuf eine 52-köpfige Expertengruppe, um Vorschläge zu entwickeln, sammelte weiteren Input über eine „KI-Allianz“ interessierter Parteien. Schließlich veröffentlichte die EU ein Weißbuch, zu dem jeder online Stellung nehmen konnte: 1 250 Gruppen und Einzelpersonen taten dies. Das Ergebnis ist ein mehr als 100 Seiten starkes Dokument mit 85 Artikeln und nicht weniger als neun Anhängen. Hierin wird versucht, sowohl den potenziellen Schaden von KI zu mindern, als auch die (wirtschaftlichen) Chancen zu maximieren – sehr penibel ausgearbeitet, wie die vielen Ausnahmen und Ausnahmen von Ausnahmen zeigen.
Die regulatorischen Rahmenbedingungen für KI im Überblick
Die EU-Regulatorik zielt nicht darauf ab, alle Anwendungen von KI zu regulieren, sondern konzentriert sich auf die riskantesten. Einige werden gänzlich verboten, darunter Dienste, die „sublime Techniken“ zur Manipulation von Menschen einsetzen. Andere, wie Gesichtserkennung und Kreditwürdigkeitsprüfung, werden als „hochriskant“ eingestuft und unterliegen daher strengen Regeln zur Transparenz und Datenqualität. Wie bei der DSGVO sind die Strafen für Verstöße hoch: bis zu 30 Mio. EUR oder 6 % des weltweiten Umsatzes, je nachdem, welcher Wert höher ist (im Falle eines Unternehmens von der Größe von Facebook wären das mehr als 5 Mrd. US-Dollar).
Aber der Teufel steckt bekanntlich im Detail. Gesichtserkennung zum Zweck der Strafverfolgung an öffentlichen Orten, die das Schreckgespenst einer allgegenwärtigen Überwachung aufwirft, ist verboten; aber nur, wenn sie in Echtzeit erfolgt und kein anderes „erhebliches öffentliches Interesse“ besteht, wie z. B. das Auffinden vermisster Kinder. Alle risikoreichen KI-Dienste müssen auf Rechtskonformität geprüft werden, was aber oft vom Anbieter selbst erledigt werden kann. Und die EU-Mitgliedsstaaten werden ermutigt, regulatorische „Sandkästen“ zu schaffen, in denen Firmen neuartige Dienste ausprobieren können, ohne Angst haben zu müssen, von einer Strafe getroffen zu werden.
Es überrascht nicht, dass viele interessierte Parteien unzufrieden sind. Menschenrechtler kritisieren schwammige Formulierungen und Schlupflöcher. „Es gibt ein echtes Fragezeichen, ob der regulatorische Rahmen robust genug ist“, sagt Sarah Chander von European Digital Rights. Im Gegensatz dazu beschweren sich Wirtschaftsgruppen über die regulatorische Belastung. Das Gesetz werde „die Bereiche einschränken, in denen KI realistisch eingesetzt werden kann“, warnt Benjamin Müller vom Centre for Data Innovation, einem von Tech-Firmen unterstützten Think-Tank.
Vieles wird sich allerdings noch ändern in einem Gesetzgebungsverfahren, das Jahre dauern wird, vielleicht sogar länger als die vier Jahre, die DSGVO brauchte, um vom Vorschlag zur Verabschiedung zu kommen.
Der Brüssel-Effekt: Wird die EU-Regulatorik zu KI weltweit ausstrahlen – wie bei DSGVO?
Wenn die Europäische Union eine neue technische Vorschrift erlässt, kann sich diese schnell in der ganzen Welt verbreiten. Globale Unternehmen übernehmen die typischerweise strengen Regeln für alle ihre Produkte und Märkte, um zu vermeiden, dass sie sich an mehrere Regelungen halten müssen. Andere Regierungen übernehmen mehr als eine Seite aus dem Regelbuch der EU, um lokalen Firmen zu helfen, konkurrenzfähig zu bleiben / werden. Das Paradebeispiel für das, was als „Brüssel-Effekt“ bezeichnet wird, ist die Allgemeine Datenschutzverordnung (DSGVO) der EU, die 2018 in Kraft trat und schnell zum globalen Standard wurde (Vergleiche dazu den Blogpost: IT Sicherheitsgesetze und IT Sicherheitsstandards – ein Überblick).
Diesmal dürfte es für die EU schwieriger werden, globale oder zumindest strenge Regeln aufzustellen, sagt Anu Bradford von der Columbia Law School, die ein Buch über den Brüssel-Effekt geschrieben hat. Im Falle einiger KI-Anwendungen, die keinen massiven Dateninput für das Training erfordern, könnten Anbieter entscheiden, dass es sich lohnt, spezielle (ggf. eingeschränkte) Versionen in Europa anzubieten. Und nachdem sie vom Erfolg der DSGVO eher überrascht wurden, werden die Lobbyisten ihre Anstrengungen verdoppeln, um sich in Brüssel Gehör zu verschaffen.
Doch das Schicksal des „Artificial Intelligence Act“ (AIA) wird sich wohl in Amerika entscheiden. Denn die DSGVO hat die Welt im Sturm auch deshalb im Sturm erobert, weil der Kongress zweierlei versäumt hatte: Zum einen hat er es versäumt, ein eigenes Datenschutzgesetz zu verabschieden, zum anderen hatte der Kongress sich auch nicht die Mühe gemacht hat, mit den Gesetzgebern in Brüssel zusammenzuarbeiten. Die neue Regierung will es besser machen, aber bisher läuft die transatlantische Annäherung bei KI und anderen technischen Themen nur langsam an. Nur wenn beide Seiten zusammenarbeiten, können sie Chinas Ambitionen auf technologische Vorherrschaft zurückschlagen und den digitalen Autoritarismus in Schach halten.
Dieser Artikel basiert im Wesentlichen auf einem Artikel der Englischen Ausgabe von The Economist, Ausgabe April 24th, 2021.
