Angesichts der weltweit wachsenden Besorgnis über künstliche Intelligenz (KI) stellt die Europäische Union (EU) der internationalen Gemeinschaft einen Regulierungsfahrplan zur Verfügung. Am 11. Mai 2023 stimmten der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres sowie der Ausschuss für Binnenmarkt und Verbraucherschutz des Europäischen Parlaments für die Verabschiedung des Gesetzes über künstliche Intelligenz. In seiner jetzigen Form stellt das Gesetz eine weltweite Premiere im Bereich des rechtlichen Risikomanagements von KI dar, das die USA und andere Nationen angesichts der rasanten Entwicklung der KI sicherlich in Betracht ziehen werden. Das Gesetz gibt den Ton für die unvermeidliche Annäherung zwischen den USA und der EU an, da der Wunsch nach transatlantischer Zusammenarbeit, regulatorischer Aufsicht, angemessenen Industriestandards und der Förderung wirtschaftlicher Partnerschaften weiterhin Priorität hat. Das KI-Gesetz wurde zwar von den Gesetzgebern im Europäischen Parlament verabschiedet, muss jedoch noch weitere Schritte durchlaufen, bevor es in Kraft treten kann.
Grundlegende Prinzipien des EU-KI-Gesetzes
Angesichts der sich ständig weiterentwickelnden Fähigkeiten der KI in den Bereichen Musikkomposition, Literatur und Gesundheitsdienstleistungen enthält der Gesetzentwurf wichtige Grundsätze zur Gewährleistung der menschlichen Kontrolle, Sicherheit, Transparenz, Rückverfolgbarkeit, Nichtdiskriminierung und Umweltfreundlichkeit von KI-Systemen. Er zielt darauf ab, eine universelle Definition für KI festzulegen, die technologieneutral ist und sowohl bestehende als auch zukünftige KI-Systeme berücksichtigt. Insbesondere schlägt das Gesetz einen risikobasierten Ansatz für die Regulierung von KI vor, bei dem die Verpflichtungen für ein KI-System mit dem Grad des Risikos korrelieren, das es darstellen kann. Das Gesetz enthält Bestimmungen, die Forschungsaktivitäten und KI-Komponenten, die unter Open-Source-Lizenzen angeboten werden, von der Regulierung ausnehmen. Die Gesetzgebung befürwortet auch regulatorische Sandkästen, d. h. von Behörden eingerichtete kontrollierte Umgebungen, in denen KI vor dem Einsatz getestet werden kann. Dieser Ansatz zielt darauf ab, den Schutz der Grundrechte mit der Notwendigkeit der Rechtssicherheit für Unternehmen und der Förderung von Innovation in Europa in Einklang zu bringen.
Aktuelle und aktuelle Ansätze in den USA
Im Gegensatz dazu beobachten die US-Bundesgesetzgeber die KI weiterhin aufmerksam und konzentrieren sich dabei stärker auf die Finanzierung von Forschungsarbeiten zur Entschlüsselung ihrer Fähigkeiten und Ergebnisse. Diese Bemühungen werden zum Teil durch die Hoffnung beflügelt, das gesamte Spektrum der KI zu verstehen, um möglicherweise Bedenken im regulatorischen Bereich auszuräumen. Schließlich können Fortschritte in der KI-Technologie dazu beitragen, einige der Risiken zu mindern, die in den Grundprinzipien des Gesetzes identifiziert wurden. Das Konzept des Föderalismus in den USA trägt zu einem ohnehin schon schwierigen Dilemma bei der Durchsetzung von Vorschriften bei, da es ein Flickenteppich aus uneinheitlichen Landesgesetzen gibt, die alle darauf hoffen, an der Schwelle zur nächsten großen technologischen Revolution zu stehen. Tatsächlich haben verschiedene Bundesstaaten bereits Gesetze zur Regulierung der Entwicklung und Nutzung von KI vorgeschlagen. Kalifornien hat beispielsweise ein Gesetz (AB 331) vorgeschlagen, das die Verwendung automatisierter Entscheidungsinstrumente (einschließlich KI) regelt und von den Entwicklern dieser KI-Instrumente und den Nutzern die Vorlage jährlicher Folgenabschätzungen verlangt.
Grundprinzipien des EU-KI-Gesetzes
Vier Risikostufen
KI-Anwendungen werden in vier Risikostufen eingeteilt: inakzeptables Risiko, hohes Risiko, begrenztes Risiko und minimales oder kein Risiko.Jede Anwendung, die ein inakzeptables Risiko darstellt, ist standardmäßig verboten und darf in der EU nicht eingesetzt werden. Dazu gehören KI-Systeme, die unterschwellige Techniken oder manipulative Taktiken einsetzen, um Verhalten zu verändern, Schwachstellen von Einzelpersonen oder Gruppen auszunutzen, biometrische Daten auf der Grundlage sensibler Merkmale zu kategorisieren, soziale Bewertungen oder Vertrauenswürdigkeit zu bewerten, Straftaten oder Ordnungswidrigkeiten vorherzusagen, Gesichtserkennungsdatenbanken durch gezieltes Scraping zu erstellen oder zu erweitern oder Emotionen in den Bereichen Strafverfolgung, Grenzmanagement, Arbeitsplätze und Bildung zu erschließen. Zu den Anwendungen mit minimalem Risiko gehören dagegen Systeme, die für das Produkt-/Bestandsmanagement eingesetzt werden, oder KI-fähige Plattformen wie Videospiele. Zu den Systemen mit begrenztem Risiko gehören Chatbots oder andere KI-basierte Systeme, die die erforderlichen Offenlegungsstandards erfüllen, um den Nutzern die Möglichkeit zu geben, alternativ mit einem Menschen zu sprechen.
Risikoreiche Anwendungen
Das KI-Gesetz identifiziert die folgenden Verwendungszwecke als risikoreich:
- Biometrische Identifizierung und Kategorisierung natürlicher Personen: KI-Systeme, die für die „Echtzeit“- und „nachträgliche“ biometrische Fernidentifizierung natürlicher Personen vorgesehen sind.
- Verwaltung und Betrieb kritischer Infrastrukturen: KI-Systeme, die als Sicherheitskomponenten bei der Verwaltung und dem Betrieb des Straßenverkehrs sowie der Versorgung mit Wasser, Gas, Heizung und Strom eingesetzt werden sollen.
- Bildung und Berufsausbildung:KI-Systeme, die dazu bestimmt sind, über den Zugang zu Bildungs- und Berufsausbildungseinrichtungen zu entscheiden oder natürliche Personen diesen Einrichtungen zuzuweisen; KI-Systeme, die dazu bestimmt sind, Schüler und Studenten in Bildungs- und Berufsausbildungseinrichtungen zu bewerten und Teilnehmer an Tests zu bewerten, die üblicherweise für die Zulassung zu Bildungseinrichtungen erforderlich sind.
- Beschäftigung, Arbeitnehmermanagement und Zugang zur Selbstständigkeit:KI-Systeme, die für die Rekrutierung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere für die Ausschreibung von Stellenangeboten, die Sichtung oder Filterung von Bewerbungen oder die Bewertung von Bewerbern im Rahmen von Vorstellungsgesprächen oder Tests; KI, die für Entscheidungen über die Beförderung und Beendigung von arbeitsbezogenen Vertragsverhältnissen, für die Zuweisung von Aufgaben sowie für die Überwachung und Bewertung der Leistung und des Verhaltens von Personen in solchen Verhältnissen verwendet werden soll.
- Zugang zu und Inanspruchnahme von wesentlichen privaten Dienstleistungen und öffentlichen Dienstleistungen und Leistungen:KI-Systeme, die von Behörden oder im Auftrag von Behörden verwendet werden sollen, um die Berechtigung natürlicher Personen für öffentliche Unterstützungsleistungen und -dienstleistungen zu bewerten sowie solche Leistungen und Dienstleistungen zu gewähren, zu reduzieren, zu widerrufen oder zurückzufordern; KI-Systeme, die zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Festlegung ihrer Kreditwürdigkeit verwendet werden sollen, mit Ausnahme von KI-Systemen, die von kleinen Anbietern für den eigenen Gebrauch in Betrieb genommen werden; KI-Systeme, die zur Entsendung oder zur Festlegung der Priorität bei der Entsendung von Notfall-Ersthelfern, einschließlich Feuerwehrleuten und medizinischen Hilfskräften, verwendet werden sollen.
- Strafverfolgung:KI-Systeme, die von Strafverfolgungsbehörden für verschiedene Zwecke eingesetzt werden sollen, darunter die Erstellung individueller Risikobewertungen, die Erkennung von Deepfakes, die Bewertung der Zuverlässigkeit von Beweismitteln, die Vorhersage des Auftretens oder Wiederauftretens einer tatsächlichen oder potenziellen Straftat, die Erstellung von Profilen natürlicher Personen und die Durchführung von Kriminalitätsanalysen.
- Migration, Asyl und Grenzkontrollmanagement:KI-Systeme, die von zuständigen Behörden für verschiedene Zwecke eingesetzt werden sollen, beispielsweise zur Erkennung des emotionalen Zustands einer natürlichen Person, zur Risikobewertung, zur Überprüfung der Echtheit von Reisedokumenten und zur Unterstützung bei der Prüfung von Anträgen auf Asyl, Visa und Aufenthaltsgenehmigungen.
- Rechtspflege und demokratische Prozesse:KI-Systeme, die Justizbehörden bei der Recherche und Auslegung von Sachverhalten und Gesetzen sowie bei der Anwendung von Gesetzen auf konkrete Sachverhalte unterstützen sollen.
Verbote von „Social Scoring“
Im Zusammenhang mit dem KI-Gesetz bezieht sich „Social Scoring“ auf die Praxis, Personen anhand ihres Sozialverhaltens oder ihrer Persönlichkeitsmerkmale zu bewerten, wobei häufig eine Vielzahl von Informationsquellen herangezogen wird. Dieser Ansatz wird verwendet, um Personen zu bewerten, zu kategorisieren und zu benoten, was sich auf verschiedene Aspekte ihres Lebens auswirken kann, beispielsweise auf den Zugang zu Krediten, Hypotheken und anderen Dienstleistungen. Der aktuelle Entwurf sieht ein Verbot des Social Scoring durch öffentliche Behörden in Europa vor. Der Europäische Wirtschafts- und Sozialausschuss (EWSA) hat jedoch Bedenken geäußert, dass dieses Verbot nicht für private und halbprivate Organisationen gilt, wodurch diese möglicherweise weiterhin Social-Scoring-Praktiken anwenden könnten. Der EWSA hat ein vollständiges Verbot des Social Scoring in der EU sowie die Einrichtung eines Beschwerde- und Rechtsbehelfsmechanismus für Personen gefordert, die durch ein KI-System Schaden erlitten haben.
Unklare Grenzen – Unrechtmäßige soziale Bewertung vs. angemessene Datenanalyse
Der EWSA hat außerdem darauf gedrängt, dass im KI-Gesetz zwischen dem, was als Social Scoring gilt, und dem, was als akzeptable Form der Bewertung für einen bestimmten Zweck angesehen werden kann, unterschieden werden sollte. Die Grenze könne dort gezogen werden, wo die für die Bewertung verwendeten Informationen nicht angemessen relevant oder verhältnismäßig seien. Darüber hinaus betont der EWSA, dass KI die menschliche Entscheidungsfindung und Intelligenz verbessern und nicht ersetzen sollte, und kritisiert, dass das KI-Gesetz diesen Standpunkt nicht ausdrücklich zum Ausdruck bringt.
Grundlagen großer Sprachmodelle
Ein wichtiger Aspekt des Gesetzes betrifft die Regulierung von „Grundlagenmodellen“ wie GPT von OpenAI oder Bard von Google. Diese Modelle haben aufgrund ihrer fortschrittlichen Fähigkeiten und der potenziellen Verdrängung qualifizierter Arbeitskräfte die Aufmerksamkeit der Regulierungsbehörden auf sich gezogen. Anbieter solcher Grundlagenmodelle sind verpflichtet, Sicherheitsüberprüfungen, Datenverwaltungsmaßnahmen und Risikominderungsmaßnahmen durchzuführen, bevor sie ihre Modelle veröffentlichen. Darüber hinaus müssen sie sicherstellen, dass die für die Schulung ihrer Systeme verwendeten Trainingsdaten nicht gegen das Urheberrecht verstoßen. Die Anbieter solcher KI-Modelle wären außerdem verpflichtet, Risiken für Grundrechte, Gesundheit und Sicherheit, Umwelt, Demokratie und Rechtsstaatlichkeit zu bewerten und zu mindern.
Auswirkungen auf US-Unternehmen
Die Vereinigten Staaten können davon ausgehen, dass einige der Grundsätze des Gesetzes sowohl in Gesetzesvorlagen auf Bundes- als auch auf Landesebene auftauchen werden, da das Land versucht, das durch KI verursachte Chaos unter Kontrolle zu bringen. Aufgrund langjähriger transatlantischer Partnerschaften, die auf der Etablierung von Handel und Wirtschaft basieren, sind viele US-Unternehmen mit den höheren Standards der EU in Bereichen wie Produktsicherheitsvorschriften und bestimmten Datenrechten bestens vertraut. Daher ist davon auszugehen, dass sich dieser Trend mit dem Wachstum des Handels zwischen den Nationen fortsetzen wird. Die EU wird wahrscheinlich weiterhin von US-Unternehmen die Einhaltung der Vorschriften verlangen, um Geschäfte über den Atlantik hinweg tätigen zu können, und wir können davon ausgehen, dass der Geltungsbereich dieser Vorschriften nun auch KI umfasst. Es gibt zwar unzählige Möglichkeiten, wie sich diese Konzepte manifestieren können, wie beispielsweise die KI-Grundrechtecharta von Präsident Biden, aber durch die Übernahme bestimmter Bestimmungen des Gesetzes könnten die Bundesstaaten dazu ermutigt werden, ihre eigenen Regulierungssysteme für den Einsatz von KI zu entwickeln. Unternehmen müssen angesichts der Veränderungen in den USA weiterhin aufmerksam die sich wandelnden Regulierungsstrukturen und neuen Durchsetzungsmechanismen beobachten. Das ultimative Ziel des EU-Vorschlags ist es, einen Regulierungsrahmen für KI-Unternehmen und Organisationen, die KI einsetzen, zu schaffen und so ein Gleichgewicht zwischen Innovation und dem Schutz der Bürgerrechte zu ermöglichen.
