„Sie wollen eine Genehmigung für den Einsatz Ihrer künstlichen Intelligenz beantragen?“, fragte der Beamte mit monotoner Stimme. „Sehr gut, sehr gut. Ich werde Ihre Anfrage an das KI-Regulierungsgremium weiterleiten, aber ich muss Sie warnen, dass der Prozess lang und kompliziert ist.“ Jene Erzählung spuckt der Chatbot ChatGPT aus, wenn er um einen kafkaesken Text zur Regulierung von KI gebeten wird.
Regierungen weltweit befassen sich schon seit geraumer Zeit mit der Frage, wie KI unter Kontrolle gebracht werden kann – ohne dabei Innovationen zu unterbinden. So geschieht das etwa in der EU, wo seit April 2021 ein Gesetzesentwurf der Kommission auf dem Tisch liegt. Auch der EU-Rat einigte sich im Dezember bereits auf eine Position zum „AI Act“, wie das Gesetz konkret bezeichnet wird.
Suche nach den „richtigen Filtern“
Nun ist das EU-Parlament am Zug. Ein verbindliches europäisches Regelwerk für KI gibt es nämlich noch nicht, wenngleich sie in vielen Bereichen bereits eingesetzt wird: sei es in der Landwirtschaft und Medizin, der öffentlichen Verwaltung und bei Onlineshopping sowie Übersetzungstools.
Die „richtigen Filter“ müssten angewandt werden, sagte der liberale EU-Parlamentarier Dragos Tudorache (Renew) etwa unlängst bei einer Digitalkonferenz in Brüssel. Tudorache ist als Koberichterstatter im EU-Parlament für das KI-Gesetz zuständig und beschäftigt sich als solcher auch mit den Gefahren, die KI mit sich bringt.
„Wir müssen die Balance zwischen Innovation und Regulierung finden“, forderte der österreichische Staatssekretär für Digitalisierung, Florian Tursky, der ebenso an der Konferenz teilnahm. Der „AI Act“ komme zum richtigen Zeitpunkt, so Tursky. Dass Unternehmen Rechtssicherheit erhalten, sei bei all dem zentral. Gelingt der EU die Regulierung von KI, so die Hoffnung vieler, könnte das Vorbildwirkung über die Grenzen der EU hinweg haben – wie bereits bei der DSGVO, die den Umgang mit Daten im Internet weltweit veränderte.
EU will künstliche Intelligenz regeln
Die enormen Fortschritte bei künstlicher Intelligenz (KI) machen der EU-Kommission so große Sorgen, dass sie jetzt ihren Gesetzesvorschlag zum Thema verschärfen will. Das könnte auch Verbote bedeuten.
Was der „AI Act“ regulieren will
Aber wie soll das geschehen? Und warum ist das Vorhaben so heikel? Zunächst einmal zum Herzstück des Gesetzes: In dem Entwurf der Kommission werden KI-Anwendungsbereiche in vier Kategorien unterteilt: minimales, begrenztes, hohes und inakzeptables Risiko.
In die Kategorie inakzeptables Risiko fallen etwa Social-Scoring-Systeme, die das Verhalten von Menschen bewerten und aus China bekannt sind, sowie Systeme, die zur Manipulation oder Massenüberwachung genutzt werden. Sie sind dem Gesetzesentwurf zufolge verboten. Über jene Kategorisierung herrscht im Grunde Einigkeit.
Gestritten wird vielmehr über die nächste Risikostufe: Hochrisikosysteme, die etwa in der vorausschauenden Polizeiarbeit und der Grenzkontrolle zum Einsatz kommen, sollen dem Entwurf zufolge bestimmten Regeln unterliegen. Demnach müssen sie Mindeststandards bei der Transparenz und Sicherheit erfüllen sowie von menschlichen Kontrollinstanzen überprüft werden. Für Anwendungen mit begrenztem Risiko gelten besondere Transparenzpflichten.
Expertin ortet „Wilden Westen“
Laut Nikolett Aszodi von der NGO Algorithm Watch gebe es bei der Ausgestaltung des „AI Act“ noch Luft nach oben. Im Zusammenang mit KI spricht sie von einem „Wilden Westen“. „Wir als Gesellschaft wussten nicht und wissen nach wie vor nicht, welche Art von Systemen verwendet wird“, kritisiert Aszodi.
Aszodi definiert gleich mehrere Kritikpunkte. So sehe der „AI Act“ zwar eine Datenbank, in der Anbieter von KI-Systemen jene Systeme auch registrieren müssen, allerdings gebe es nur sehr eingeschränkte Transparenz, was die tatsächlichen Anwendungsbereiche betreffe, kritisiert die Expertin. „So wie es derzeit aussieht, müssen nur öffentliche Behörden Hochrisikoanwendungen registrieren“, sagt sie. Private Akteure könnten das umgehen.
Außerdem führt sie an, dass bei den Risikominimierungsmaßnahmen für Anbieter, die im Gesetzesentwurf vorgesehen sind, ein zu technischer Ansatz verfolgt werde. Man könne aus technischer Sicht zwar ein perfektes System haben, dieses könne zugleich aber dennoch diskriminierend sein.
Sie plädiert deshalb dafür, den soziopolitischen Kontext einer Anwendung ausreichend zu berücksichtigen. Mehrfach wurde in letzter Zeit etwa davor gewarnt, dass Maschinen keine neutralen Entscheidungen treffen und sich allzu oft in Genderklischees verfangen (Stichwort: „AI Bias“).
ChatGPT als Hochrisiko?
Ein besonderes Augenmerk liegt in der Debatte nun auch auf dem Umgang mit Allzweck-KI und der Frage, ob ChatGPT und Co. als hochriskant eingestuft werden sollen, weil diese beispielsweise Desinformationen verbreiten könnten. Das Problem: Jene Systeme haben mehr als nur einen Anwendungsbereich, weshalb es besonders schwierig ist, sie zu regulieren.
Gegen eine Regulierung von Allzweck-KI machen sich einem Bericht der NGO Corporate Europe Observatory zufolge etwa Tech-Riesen wie Google und Microsoft stark. Dem Bericht zufolge würden jene Unternehmen intensiv in Brüssel dafür lobbyieren, Allzweck-KI von dem Gesetz auszuklammern. Das ist nicht ohne Grund: Microsoft investierte Milliarden in die Macher von ChatGPT und OpenAI – und auch Google entwickelt entsprechende KI.
So überrascht es auch kaum, dass gerade die Diskussion über die Definition von künstlicher Intelligenz erbittert geführt wird. Jeder einzelne Begriff – wie beispielsweise das Wort „maschinenbasiert“ – wird da auf die Waagschale gelegt. „Es macht einen Unterschied, ob das Gesetz zwei oder 50 Prozent aller KI-Systeme in Europa betrifft“, sagt Aszodi dazu.
Streit über die richtige Definition
Im Grunde gibt es zwei Seiten: Die einen fordern eine recht eng gefasste Definition von KI, die simplere Systeme ausschließt. Sie fürchten, dass eine Überregulierung in dem Bereich ein Ersticken von Innovation in der EU zur Folge hätte. Als Marktführer gelten immerhin schon jetzt die USA und China. Im Vergleich mit den beiden Großmächten werden in der EU nur geringe Summen in die Entwicklung von KI gesteckt.
Auf der anderen Seite stehen jene, die sich für eine sehr breite Definition von KI aussprechen. Eine breite Definition würde Unternehmen Rechtssicherheit geben, den Markt harmonisieren und dennoch Innovation ermöglichen, erklärt Aszodi.
Warnung vor Schlupflöchern
Simplere Systeme seien ebenso in der Lage, Grundrechte zu verletzen, gibt sie zu bedenken. Als Beispiel führt die Expertin das Tool SyRI an, mit dem das niederländische Sozialministerium vor wenigen Jahren nach Sozialbetrügern gesucht hatte. Es wurde mit Daten gefüttert und sollte automatisiert Sozialbetrug feststellen – gefahndet wurde allerdings nur in ärmeren Gegenden. Das System war fehlerhaft und diskriminierend, kritisiert Aszodi. 2020 ordnete ein Gericht den Stopp des Systems an.
Vor Schlupflöchern warnt Aszodi zudem im Bereich der verbotenen Anwendungen. Hier führt sie einen weiteren heiklen Punkt an: Verboten soll etwa die biometrische Echtzeitfernerkennung im öffentlichen Raum sein. Damit ist etwa die automatische Gesichtserkennung durch KI gemeint.
Aber: Deutschland hatte sich zuletzt etwa dafür starkgemacht, den Einsatz von KI zur nachträglichen biometrischen Identifizierung – beispielsweise zur Beweiswürdigung – nicht auszuschließen. Kritiker befürchten, dass es zum Missbrauch biometrischer Daten zur Massenüberwachung kommen könnte. In einer Demokratie habe so etwas keinen Platz, kritisiert Aszodi.
Weiterer Fahrplan
Baustellen gibt es also viele. Fest steht, dass Vertreter des EU-Parlaments in den kommenden Wochen noch heftig über die richtige Definition, nötige Verbote und Schlupflöcher debattieren werden. Im Mai oder Juni könnte dieses dann eine gemeinsame Position zum Entwurf verabschieden. Erst im Anschluss können die Trilog-Verhandlungen zwischen Parlament, Kommission und Ländern beginnen. In Kraft treten dürfte das Gesetz wohl frühestens im Jahr 2025.