Regulierung von künstlicher Intelligenz – praxisnah oder Zukunftsmusik?

Im Jahre 1996 wurde das Wort „Homepage“ durch die Gesellschaft für deutsche Sprache e. V. noch zu einem der Wörter des Jahres nominiert. Heute sind Begriffe wie Internet of Things, Industrie 4.0 und künstliche Intelligenz nicht mehr aus unserem Vokabular wegzudenken. 2007 kam das erste iPhone auf den Markt; heute bedient es in Deutschland einen Marktanteil beim Absatz von Smartphones von über 30%. Dies verdeutlicht die stetig steigende Bedeutung der Digitalisierung für die Wirtschaft und die Gesellschaft.

Die zielgerichtete Nutzung von Technologien schafft wirtschaftlichen Vorsprung und fördert den gesamtgesellschaftlichen Wandel, der alle Alters- und Nutzergruppen betrifft.

Eine Technologie, die sich mit besonderer Geschwindigkeit entwickelt, ist die künstliche Intelligenz („KI“): 2016 gelang es zwei neuronalen Netzwerken der Google-Dachgesellschaft Alphabet Inc., sich selbst beizubringen, abhörsicher miteinander zu kommunizieren. Im Juni 2022 gab ein Mitarbeiter von Google an, eine dort entwickelte KI habe ein Bewusstsein erlangt und könne als empfindungsfähige Person bezeichnet werden.

Digitalisierung eröffnet neue Chancen und Märkte, birgt aber auch neuartige Risiken. Um diesen zu begegnen und dabei das Potenzial zukunftsweisender Technologien nicht unverhältnismäßig einzuschränken, legte die Europäische Kommission bereits im vergangenen Jahr den Entwurf für eine Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz („KI-VO“) vor.

Der Entwurf der KI-VO basiert auf den Leitlinien, die von der Präsidentin des Europäischen Parlaments unter anderem im „Weißbuch zur KI – ein europäisches Konzept für die Exzellenz und Vertrauen“ veröffentlicht wurden. Flankiert wird die KI-VO zudem von Entschließungen zur KI in Bezug auf Ethik, zivilrechtliche Haftung und zum Urheberrecht sowie zu den Bereichen Strafrecht, Bildung, Kultur und für den audiovisuellen Bereich.

(1)   Anwendungsbereich der KI-VO

Der Entwurf der KI-VO nimmt vorrangig Anbieter von KI-Systemen in die Pflicht, die KI-Systeme innerhalb der EU in den Verkehr bringen oder in Betrieb nehmen, und zwar unabhängig davon, ob sie in der EU niedergelassen sind oder nicht. Nutzer von KI-Systemen unterliegen den Vorschriften der KI-VO hingegen nur dann, wenn sie in der Union ansässig oder niedergelassen sind. Darüber hinaus sieht der Verordnungsentwurf eine Anwendbarkeit auch auf Anbieter und Nutzer in Drittstaaten vor, sofern das vom KI-System hervorgebrachte Ergebnis innerhalb der EU verwendet wird. Diese Ausweitung des räumlichen Anwendungsbereichs auf Anbieter und Nutzer außerhalb der EU erinnert an das durch die Datenschutz-Grundverordnung normierte Marktortprinzip und soll auch im Fall der KI-VO eine Umgehung von EU-Recht verhindern.

In sachlicher Hinsicht zeichnet sich ein sehr weiter Anwendungsbereich ab. Nach der KI-VO sollen KI-Systeme Softwaresysteme sein, die durch Ansätze des maschinellen Lernens oder logik- und wissensbasierter oder statistischer Ansätze entwickelt wurden und die für einen gegebenen Satz von durch den Menschen definierten Zielen Ausgaben wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen erzeugen können, die die Umgebung beeinflussen, mit denen sie interagieren.

Diese Definition konzentriert sich auf die zugrunde liegende Technologie der Software, die in Annex 1 der KI-Verordnung für den jeweiligen Geltungszeitpunkt abschließend definiert ist.

(2)   Die Risiko-Klassifizierung der KI

Die KI-VO geht von einem risikobasierten Ansatz aus, wonach gilt: Je höher die mit dem Einsatz von KI verbundenen Risiken, desto höher sind auch die regulatorischen Anforderungen an das jeweilige KI-System.

Die Systeme mit unannehmbarem Risiko nach Art. 5 Abs. 1 KI-VO gliedern sich in vier Untergruppen. Zwei davon beschreiben manipulative Systeme, um Personen unterschwellig und außerhalb ihrer bewussten Wahrnehmung zu beeinflussen oder die Schwäche oder Schutzbedürftigkeit von Personengruppen aufgrund ihres Alters, ihrer körperlichen oder geistigen Behinderung auszunutzen, um im Ergebnis Personen physischen oder psychischen Schaden zuzufügen. Die dritte Untergruppe beschreibt das Verbot von Social-Scoring, soweit dieses von Behörden oder in deren Auftrag betrieben wird. Die ersten drei Untergruppen sind in ihrer Anwendung absolut untersagt, für die vierte Untergruppe, den Einsatz von biometrischer Echtzeit-Fernidentifikation im öffentlichen Raum, ist die Anwendung für Zwecke der Strafverfolgung oder Strafvereitelung teilweise möglich.

Der Fokus der Verordnung richtet sich jedoch auf solche KI-Systeme, mit denen ein hohes Risiko assoziiert wird und deren Ausfall oder Störung besonders schwerwiegende Folgen für das Leben oder die Gesundheit von natürlichen Personen haben würde. Als hochriskant gelten nach Art. 6 KI-VO zum einen solche KI-Systeme, die als Sicherheitskomponente in einem gemäß Anhang II zur KI-VO regulierten Produkt, das einer Konformitätsbewertung bedarf, verwendet werden oder ein solches Produkt darstellen, z. B. Kraftfahrzeuge und Medizinprodukte.

Zusätzlich enthält Anhang III zur KI-VO eine Liste von KI-Systemen, die ebenfalls als hochriskant klassifiziert werden, weil sie aufgrund ihrer technischen Funktionalität mit einem besonders hohen Risiko verbunden sind (z. B. biometrische Identifizierung von natürlichen Personen) oder in besonders sensiblen Bereichen eingesetzt werden sollen (z. B. Betrieb im Straßenverkehr oder in der Wasser-, Gas-, Wärme- und Stromversorgung). Darüber hinaus gelten auch in den Bereichen der Rechtspflege, Asyl, Strafverfolgung oder des Personalmanagements eingesetzte KI-Systeme als hochriskant.

Soll ein Hochrisiko-KI-System entwickelt werden oder wurde es bereits entwickelt und soll auf den Markt gebracht werden, muss gem. Art. 9 KI-VO ein Risikomanagementsystem eingerichtet werden. Nach dessen Einrichtung verpflichtet die KI-VO jedoch auch zu regelmäßiger systematischer Aktualisierung über die gesamte Lebenszeit des Hochrisiko-KI-Systems hinweg. Eine weitergehende Regulierung betrifft die Daten, mit denen KI-Systeme trainiert werden. Diese Daten müssen den Qualitätskriterien von Art. 10 Abs. 2 bis 5 KI-VO entsprechen, indem sie unter anderem auf mögliche Verzerrungen (Bias) untersucht werden und den Ansprüchen an die Datenqualität entsprechen, wie etwa Repräsentativität, Genauigkeit, Vollständigkeit und Fehlerfreiheit. Diese sehr strengen Voraussetzungen sind jedoch im Einzelfall daran zu messen, ob die Anforderungen im Hinblick auf den beabsichtigten Zweck erforderlich sind.

Hochrisiko-KI-Systeme sollen nach Art. 14 Abs. 1 KI-VO zudem so konzipiert und entwickelt werden, dass sie durch eine menschliche Instanz wirksam beaufsichtigt und kontrolliert werden können. Die Verordnung fordert ferner Aufzeichnungspflichten zur automatischen Protokollierung von Vorgängen und Ereignissen während des KI-Betriebs, Transparenz- und Informationspflichten gegenüber Nutzern von KI und Anforderungen an die Genauigkeit, Robustheit und Cybersicherheit, um ein beständiges Funktionieren der KI für den gesamten Lebenszyklus zu gewährleisten.

Handelt es sich bei der KI um ein System mit geringem Risiko, wie etwa bei Chatbots oder anderen Systemen, die für die Interaktion mit natürlichen Personen entwickelt wurden, müssen gleichwohl nach Art. 52 KI-VO Transparenzpflichten erfüllt werden, die in erster Linie die Offenlegung von KI-Nutzung bezwecken. Dies betrifft vor allem Anbieter sog. Deepfakes oder Chatbots.

(3)   Rechtsdurchsetzung

Zur Durchsetzung der Regulierungen in der KI-VO werden nach Art. 63 KI-VO Kompetenzen auf Marktüberwachungsbehörden der jeweiligen Mitgliedsstaaten verteilt, welche nach Art. 71 KI-VO Sanktionen erlassen können, deren Höhe je nach Verstoß variieren. Für die Bereitstellung falscher, unvollständiger oder irreführender Angaben gegenüber nationalen Behörden können bis zu EUR 10 Mio. oder bei Unternehmen auch bis zu 2% des weltweiten Jahresumsatzes als Geldbuße verhängt werden. Diese Sanktionen steigern sich bis hin zu Verstößen bei Missachtung des Verbots der Verwendung von KI mit unannehmbarem Risiko, bei denen Bußgelder bis zu EUR 30 Mio. oder bis zu 6% des weltweiten Jahresumsatzes als Geldbuße verhängt werden können.

(4)   Fazit und Ausblick

Mit der KI-VO gelingt dem Gesetzgeber ein weiterer, wichtiger Schritt, um den Schutz von Bürgerrechten vereinbar zu machen mit dem Bestreben, die Nutzung und Entwicklung von KI zu stärken und zu fördern.

Gleichwohl ließ der im vergangenen Jahr von der Europäischen Kommission vorgelegte Erstentwurf noch Raum für Verbesserungen und Konkretisierungen. Bis heute befassen sich die zahlreichen, am Gesetzgebungsprozess beteiligten Interessengruppen weiterhin mit Gestaltungs- und Umsetzungsfragen.

Auch, wenn der Zeitpunkt der endgültigen Verabschiedung der KI-VO oder deren Inkrafttreten noch nicht bekannt ist, steht fest: KI-Anbieter werden mit neuen, zusätzlichen regulatorischen Herausforderungen konfrontiert werden und teils langwierige, kostenintensive Transformationsprozesse im eigenen Unternehmen umsetzen müssen.

Unternehmen sind daher insbesondere vor dem Hintergrund der hohen Sanktionsandrohungen sowie der fortschreitenden Verbreitung von KI gut beraten, sich frühzeitig mit der neuen KI-VO auseinanderzusetzen und sich mit den künftig geltenden rechtlichen und technischen Herausforderungen des neuen Rechtsrahmens zu befassen.

Autor: Ingmar Pönitz