kirill_makarov - stock.adobe.com

Ein rechtlicher Blick auf die EU-Verordnung zu KI

Die EU-Verordnung zur künstlichen Intelligenz wird bereits stark diskutiert. Erfahren Sie hier, was geplant ist, welcher Ansatz verfolgt wird und wo das Gesetz Anwendung findet.

Künstliche Intelligenz (KI) soll Unternehmen und im Großen und Ganzen der Gesellschaft in allen Bereichen des Lebens Erleichterungen bringen. Die Beispiele für Einsatzmöglichkeiten sind mehr als zahlreich und reichen von schnellerer Diagnostik im Gesundheitswesen über optimale Qualitätskontrolle in Produktionsfirmen zu autonomen Transportmitteln.

Da die Möglichkeiten endlos scheinen, birgt die künstliche Intelligenz auch Gefahren, da sind sich viele Experten einig. Stephen Hawking sah in der Entwicklung einer vollständigen künstlichen Intelligenz das Ende der Menschheit: „The development of full artificial intelligence could spell the end of the human race.” Elon Musk bezeichnete sie als gefährlicher als Nuklearwaffen: „Mark my words – A.I. is far more dangerous than nukes.“

Es lässt sich trefflich über das Für und Wider zum Einsatz von KI streiten, Fakt ist aber, dass jeder technische Fortschritt natürlich auch auf mögliche Risiken untersucht werden muss.

So wurde bereits in verschiedenen Untersuchungen festgestellt, dass KI durchaus diskriminierend sein kann, je nach den Lernalgorithmen, die verwendet wurden. Allerdings sind die Entwicklungen im Bereich der KI noch nicht so weit gediehen, dass morgen eine Armee von Terminators zur Rebellion aufruft, nichtsdestotrotz beschäftigen sich bereits jetzt Gremien mit den eventuellen Folgen von KI und versuchen entsprechende Regularien zu definieren, die Schäden für Menschen und Unternehmen oder böswilligen Missbrauch verhindern sollen.

So ist derzeit die Europäische Union dabei, eine entsprechende Verordnung zu formulieren. Ein Webinar der Anwaltsfirma Luther gab einen Einblick in den rechtlichen Rahmen und in die Bemühungen der EU, die Computerweekly.de hier zusammenfassen möchte.

Begrifflichkeit und Definitionsversuch

Um bestimmte Standards und Regularien aufzusetzen, müssen sich die Verantwortlichen auf eine Terminologie einigen und darauf, was diese genau definiert. Dies ist bei künstlicher Intelligenz nicht ganz einfach. Viele Lösungen, die laut Anbieter KI nutzen, verfügen oft nur über Machine-Learning- oder Deep-Learning-Algorithmen. Hier müssen klare Definitionen geschaffen werden.

Die Europäische Kommission hat in ihrem Weißbuch den KI-Begriff wie folgt beschrieben:

„Künstliche-Intelligenz-(KI)-Systeme sind vom Menschen entwickelte Software- (und möglicherweise auch Hardware-) Systeme, die in Bezug auf ein komplexes Ziel auf physischer oder digitaler Ebene agieren, indem sie ihre Umgebung durch Datenerfassung wahrnehmen, die gesammelten strukturierten oder unstrukturierten Daten interpretieren, Schlussfolgerungen daraus ziehen oder die aus diesen Daten abgeleiteten Informationen verarbeiten und über die geeignete(n) Maßnahme(n) zur Erreichung des vorgegebenen Ziels entscheiden. KI-Systeme können entweder symbolische Regeln verwenden oder ein numerisches Modell erlernen, und sind auch in der Lage, die Auswirkungen ihrer früheren Handlungen auf die Umgebung zu analysieren und ihr Verhalten entsprechend anzupassen.“

In einem Entwurf des Artificial Intelligence Act (Artikel 3, Nr.1) wird KI so definiert:

„System der künstlichen Intelligenz (KI-System) ist eine Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren.“

Vereinfacht ausgedrückt geht es bei der KI um den Wechsel von Automatisierung hin zur Autonomie des Systems, das letztlich optimiert und wenn möglich in Echtzeit Ergebnisse liefert oder Prozesse steuert. Dabei wird bereits zwischen schwacher und starker KI unterschieden. Die schwache KI zeichnet sich durch diese Eigenschaften aus:

  • Verfolgt eine klar abgrenzte Aufgabenstellung
  • (sehr) beschränkte Lernfähigkeit
    In der Regel Mustererkennung
  • Beispiele:
    • Spracherkennung,
    • Bilderkennung,
    • Digitale Assistenten,
    • Autonomes Fahren

Starke KI wird wie folgt umrissen:

  • Universell einsatzbereit
  • übersteigt die kognitiven Fähigkeiten von Menschen (Singularität)
  • Beispiele gibt es derzeit nicht, da solche Systeme noch nicht existieren

Es ist augenscheinlich nicht einfach, KI klar zu bestimmen und gerade in der juristischen Literatur wird sie gern als „Black Box“ bezeichnet. Mittlerweile gibt es bestimme Verfahren, mit denen erklärbar gemacht werden soll, wie KI funktioniert. Dies wird als „Explainable AI“ beschrieben. Eine klare Definition, was KI ist und kann, ist die Grundvoraussetzung, um Standards und Verordnungen zu definieren und dann auch rechtlich einschätzen zu können.

Der rechtliche Rahmen

Da KI zahlreiche Vorteile wie die Automatisierung von Lebensbereichen (zum Beispiel Medizin, Transport) bringen soll, könnte die Frage auftauchen, warum eine Regulierung beziehungsweise eine Verordnung notwendig ist. Aber eben genau da liegt der Punkt: Da die KI in so viele Bereiche unseres Lebens involviert ist und sein wird, bedarf es einer einheitlichen Regelung, was künstliche Intelligenz darf und was nicht.

Das Verhalten von KI ist nicht immer zuverlässig vorhersehbar, daher kann es zu Kontrollverlust und Programmierfehlern kommen. Die Regulierung soll diese eingeschränkte Kontrollierbarkeit ausgleichen und so für Transparenz sorgen sowie das Korrektiv darstellen. Das heißt, dass die Algorithmen, die Datenbasis und die Geschäftsmodelle der KI-Systeme die vorgegebenen Kriterien erfüllen müssen.

Damit soll sichergestellt werden, dass das Erreichen auch gesellschaftspolitischer Ziele durch die KI demokratisch ausgestaltet wird. Allerdings könnte eine Überregulierung ein Hemmschuh für weitere Innovationen sein und eventuell zu einem Wettbewerbsnachteil im internationalen Vergleich führen. Daher ist bei der Ausformulierung der neuen Verordnung Umsicht gefragt.

Vorboten für die KI-Regulierung gab beziehungsweise gibt es bereits. So gibt es bereits Gesetzpassagen für autonomes Fahren sowie im Medizin-, Urheber-, Verwaltungs- und Arbeitsrecht.

Regulatorischer Rahmen

Es sind bereits erste Schritte in Richtung Gesetzesfassung unternommen worden. Neben dem angestrebten Artificial Intelligence Act gibt es die folgenden Bestrebungen und Initiativen:

  • KI-Strategie der Bundesregierung vom 15. November 2018
  • Datenethikkommission (Expertengremium) – Abschlussbericht vom 23. Oktober 2019 an Bundesregierung
  • Ethik-Leitlinien für vertrauenswürdige KI (Hochrangige unabhängige Expertengruppe für KI, eingesetzte durch Europäische Kommission) („High-Level Expert Group on AI der EU“)
  • Weißbuch zur Künstlichen Intelligenz – ein europäisches Konzept für Exzellenz und Vertrauen (Europäische Kommission)
  • Konsultation zu Produkthaftungsrichtlinie der EU
  • Digital Services Act
  • Digital Markets Act
  • Data Governance Act/ Data Act
  • EU-Initiative zur Regulierung von Plattformarbeit

Auch im Koalitionsvertrag 2021 bis 2025 finden sich Vorhaben, künstliche Intelligenz näher zu verfolgen. So identifizierte die Bundesregierung die KI eindeutig als Schlüsseltechnologie der nächsten Jahre und setzt sich hier verschiedene Schwerpunkte, unter anderem die Förderung von Spätphasen-Start-ups, die Schaffung eines Dateninstituts und die konsequente Digitalisierung der Verwaltung. Derzeit fehlen aber noch klare Ideen, wie der Datenschutz harmonisiert und der Zugang zu Daten verbessert werden soll. Ebenso gibt es zurzeit keine ausformulierten Pläne, wie Start-ups einen vereinfachten Zugang zu öffentlichen Aufträgen erhalten sollen.

Um positive Auswirkungen von KI voranzutreiben, sind verschiedene Vorhaben geplant:

  • Gründung eines Dateninstituts zum Vorantreiben von Datenverfügbarkeit und Standardisierung
  • Schaffung eines Datengesetzes
  • Verpflichtung von Verkehrsunternehmen und Mobilitätsanbietern, ihre Echtzeitdaten unter fairen Bedingungen bereitzustellen

Diese politischen Bestrebungen verdeutlichen, welche Bedeutung der Technologie eingeräumt wird und die Wichtigkeit, potenzielle Probleme von vornherein zu verhindern.

Verordnungsentwurf der EU-Kommission

Zu den Zielsetzungen des neuen KI-Gesetzes gehören der Vorschlag für eine „Verordnung zur Festlegung harmonisierter Vorschriften für KI – Gesetz über künstliche Intelligenz – und zur Änderung bestimmter Rechtsakte der Union“ sowie die weltweite Vorreiterstellung bei der Implementierung eines Regelwerks zur KI. Dabei soll die künstliche Intelligenz nicht als Gegenstand im Mittelpunkt stehen, sondern ihre Anwendungen.

Verwendung soll die Verordnung sowohl auf persönlicher als auch auf sachlicher Ebene finden. Zum persönlichen Anwendungsbereich zählen Anbieter und Nutzer von KI-Systemen innerhalb und außerhalb der EU, wenn KI-System in der EU in Verkehr gebracht oder in Betrieb genommen werden oder wenn Menschen in der EU von dessen Nutzung betroffen sind. Im sachlichen Bereich orientiert man sich hier an den wichtigsten Funktionsmerkmalen des KI-Systems.

Dazu gehört Software, die im Zusammenhang mit der im Anhang I der Verordnung gelisteten Techniken entwickelt wurde und im Hinblick auf eine Reihe von vorgegebenen Zielen Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen (zum Beispiel Machine Learning). Es ist weiterhin geplant, den Anhang I fortlaufend anzupassen, um auf technologische und marktbezogene Entwicklungen reagieren zu können.

Der konzeptionelle Ansatz der Verordnung ist risikobasiert. Je höher das Gefahrenpotential des KI-Systems, desto umfangreicher die regulatorischen Anforderungen. Die allgemeinen Regeln der Produkthaftung gegenüber dem Endverbraucher sollen davon unberührt bleiben. Die Verpflichtung soll für alle Wirtschaftsteilnehmer, unabhängig ihres Niederlassungsortes, gelten, die in der EU KI-gestützte Produkte oder Dienstleistungen anbieten.

Das Konzept ist in vier Risikofelder unterteilt: unannehmbares Risiko, hohes Risiko, geringes Risiko und minimales Risiko. Die Risikoniveaus werden wie folgt beschrieben.

Unannehmbares Risiko (Artikel 5)

Dies stellt das stärkste Risikopotenzial dar. Ein Beispiel hierfür sind behördliche Überwachungs- und Bewertungssysteme zur Evaluierung des sozialen Verhaltens (Social Scoring). Die Rechtsfolgen dieses Artikels wäre, dass diese Art der KI überhaupt nicht eingesetzt werden darf.

Hohes Risiko (Artikel 6 und folgende)

Ein hohes Risiko kann sich aus zwei verschiedenen Konstellationen ergeben: Einerseits aus der KI, die als Sicherheitskomponente von Produkten verwendet wird und einer Konformitätsbewertung durch Dritte unterliegt. Ein Beispiel dafür sind bestimmte medizinische Produkte. Andererseits kann dies KI sein, die in spezifischen Bereichen eingesetzt wird und ein erhebliches Schadenspotenzial aufweist, zum Beispiel CV-Software für Rekrutierungsverfahren (oder bisher auch schon einfache Fahrzeugassistenten). Rechtlich bedeutet dies, dass Vorgaben der Artikel 8 bis 15 der Verordnung eingehalten werden müssen und dass Verfahrensanforderungen aufgestellt und befolgt werden müssen, die das Risiko minimieren.

Geringes Risiko

Geringe Risiken sieht die Verordnung in Systemen, die mit natürlichen Personen interagieren, wie beispielsweise Chatbots. Als Rechtsfolge sollten bestimmte Transparenzerfordernisse erstellt werden, dies allerdings auf freiwilliger Basis.

Minimales Risiko

Die Verordnung hat bislang keine konkreten Systeme für diese Kategorie nominiert, aber ein Beispiel könnten Spamfilter sein. Rechtlich ist hier eine Möglichkeit zur freiwilligen Unterwerfung der Verhaltensregeln angedacht.

KI-Gesetz: Was die Zukunft bringt

Das neue Gesetz ist noch im Entstehen und noch sind einige Hürden zu meistern. Derzeit gibt es noch zahlreiche unbestimmte Rechtsbegriffe, die nicht vollständig geklärt sind. Zudem kann es auch noch zu einer Änderung beziehungsweise Ausweitung der Definition kommen, und zwar dergestalt, dass auch „einfache“ Software unter diesen Begriff fällt. Es gibt darüber hinaus auch Zweifel an der er praktikablen Umsetzung bisher vorgesehener Vorgaben, zum Beispiel beim Umgang mit CE-Zertifizierungen bei lernenden Systemen. Auch die fehlende Auseinandersetzung mit datenschutzrechtlichen Fragen stellt ein großes Hindernis auf dem Weg zum Artificial Intelligence Act dar.

Eine Beschlussfassung ist bislang für den November 2022 geplant, obwohl nicht klar ist, ob sich dieser Zeitrahmen einhalten lässt. Mittlerweile liegen bereits Reaktionen aus diversen Mitgliedsstaaten der EU sowie der JURI-Bericht vor. Diese Beiträge sollen die Schaffung der Verordnung weiter voranbringen.

Dieser Artikel basiert auf dem Webinar „Die wichtigsten Rechtsfragen und aktuellen Trends zur Künstlichen Intelligenz“ von Christian Kuß und Dr. Kuuya Josef Chibanguza, Rechtsanwälte und Partner der Firma Luther.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de
Close