“Je größer das Risiko, desto strenger die Regeln.” – Wie die EU-Kommission künstliche Intelligenz regulieren möchte
Es gilt, die richtige Balance zwischen dem Schutz der Rechte der EU-Bürgerinnen und Bürger und der Förderung von Innovation in KI durch europäische Unternehmen zu finden.
1984 gab es weder das Internet noch künstliche Intelligenz (KI) in der Form, in der wir sie heute kennen und verstehen. Trotzdem jagte ein als Killerroboter aus der Zukunft maskierter steierischer Bodybuilder in “The Terminator” Millionen Menschen Angst und Schrecken ein. Werden in der Zukunft intelligente und humanoide Roboter jagt auf Menschen machen, die sich gegen ein System auflehnen? Der Terminator kehrte aus dem damals sehr fernen, mittlerweile aber nicht mehr ganz so fernen Jahr 2029 in die Vergangenheit zurück, um den Verlauf der Geschichte zu ändern. Zeitreisen sind weiterhin nur in Hollywood möglich und Roboter, die Menschen ähneln sollen, werden vor allem in der Pflege eingesetzt. Trotzdem bekommen wir immer häufiger die Macht von selbstlernenden Algorithmen zu spüren.
Aus diesem Grund hat es sich die EU-Kommission zum Ziel gesetzt, wenn schon nicht die Entwicklung, doch zumindest die Zukunft der künstlichen Intelligenz mitzubestimmen. Am 21. April 2021 stellte die EU-Kommission eine Reihe von Grundregeln für die Anwendung von sog. künstlicher Intelligenz vor. Der Vorschlag umfasst 108 Seiten: Diese Grundregeln sollen nach dem Willen der EU-Kommission letztlich in eine EU-Verordnung Einzug finden und damit in allen EU-Mitgliedstaaten unmittelbar gelten. Worum geht es dabei?
Die EU-Kommission möchte sicherstellen, dass Innovation auf der einen Seite und Sicherheit und Grundrechte der EU-Bürger auf der anderen Seite in Einklang gebracht werden. Der Arbeitstitel lautet “vertrauenswürdige KI”. Dafür hat sie mehrere Risikokategorien entwickelt.
Der Anwendungsbereich der geplanten Verordnung ist weit. Sie soll greifen, wenn die KI-Systeme in der EU in Verkehr gebracht werden, sich Nutzer in der EU befinden oder der Output in der EU verwendet wird (Artikel 2).
Verboten sein sollen KI-Systeme, die eine klare Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen darstellen (Artikel 5). Hierunter fallen Anwendung und Systeme, die Menschen manipulieren, um den freien Willen zu umgehen oder die Behörden eine Bewertung des sozialen Verhaltens (Social Scoring) ermöglichen.
Nicht verboten, aber mit einem hohen Risiko versehen, sind KI-Systeme in den Bereichen kritische Infrastrukturen, Zugang zu Schul- und Berufsausbildung oder bei Einstellungen, wichtigen Dienstleistungen wie der Kreditvergabe oder Sicherheitskomponenten von Produkten, wie beispielsweise bei roboterassistierter Chirurgie (Artikel 6).
Auch wenn der Staat den Grundrechten der Bürger gegenübersteht, wie bei der Strafverfolgung, Migration, Asyl, Grenzkontrolle oder der Rechtspflege, besteht ein hohes Risiko. In diesen Fällen müssen KI-Systeme strenge Vorgaben erfüllen, bevor sie in der EU auf den Markt gebracht werden dürfen (Artikel 8 ff.). Hierzu gehören etwa ein Risikomanagementsystem, Anforderungen an Logs, Informationen für die Nutzer und die Überwachung durch eine natürliche Person. Die Vorgaben wie die Protokollierung der Vorgänge (Artikel 12), um die Rückverfolgbarkeit von Ergebnissen zu ermöglichen, zielen insbesondere darauf ab, die Ergebnisse nachvollziehbar und überprüfbar zu machen. Letztlich sollen über sichere Systeme möglichst präzise Ergebnisse generiert werden und diese zugleich einer menschlichen Kontrolle zugänglich sein, um Vertrauen zu schaffen.
Eine biometrische Erkennung von Bürgerinnen und Bürgern soll grundsätzlich verboten sein (Artikel 5). Ausnahmen sollen nur in eng umgrenzten Fällen gelten, beispielsweise zur Abwehr einer konkreten, erheblichen und unmittelbaren Gefahr für das Leben oder die körperliche Unversehrtheit natürlicher Personen, die Suche nach einem vermissten Kind oder bei unmittelbarer terroristischer Bedrohung.
Unterhalb der Schwelle von Hochrisiko-KI-Systemen sollen Transparenzpflichten gelten (Artikel 52). In diese Kategorie “geringes Risiko” sollen etwa KI-Systeme fallen, die mit natürlichen Personen interagieren sollen, wie Chatbots. Den Nutzern soll dann bewusst gemacht werden, dass sie es mit einem Algorithmus und nicht mit einem Menschen zu tun haben. Gleiches gilt für Systeme zur Emotionserkennung bzw. zur biometrischen Kategorisierung.
Keine Regulierung soll in Bereichen erfolgen, in denen nur ein minimales Risiko besteht. Das soll nach Einschätzung der EU-Kommission bei der großen Mehrheit der KI-Systeme der Fall sein. Als Beispiele nennt sie Videospiele oder Spamfilter.
Den nationalen Marktüberwachungsbehörden gibt der Konzeptvorschlag scharfe Schwerter an die Hand. Sie können von den Anbietern alle Informationen und Dokumente herausverlangen, um nachvollziehen zu können, dass das KI-System die Vorgaben für den Hochrisikobereich erfüllt. Der Rahmen für Geldbußen bei Verstößen gegen die Vorgaben der geplanten Verordnung soll bis zu 6 % des weltweiten Jahresumsatzes betragen (Artikel 71).
Hinsichtlich Ansatz und Struktur erinnert der Vorschlag an die DS-GVO. Sie soll sicherstellen, dass die Rechte der EU-Bürgerinnen und Bürger gewahrt werden, wenn sie mit KI in Kontakt kommen. Technisch werden die Anforderungen die Hersteller vor Herausforderungen stellen. Ziel für den weiteren Gesetzgebungsprozess sollte es sein, die richtige Balance zwischen dem Schutz der Rechte der EU-Bürgerinnen und Bürger und der Förderung von Innovation in KI durch europäische Unternehmen zu finden.
Dr. Nicolai Behr, RA, ist Partner bei Baker & McKenzie Partnerschaft von Rechtsanwälten und Steuerberatern mbB in München. Er ist Head of Innovation und Co-Head Compliance.