Im April 2021 hat die Europäische Kommission den Entwurf einer Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI) veröffentlicht ("KI-Gesetz"). Künftig sollen bestimmte KI-Systeme einem Konformitätsbewertungsverfahren unterliegen, andere sollen ganz verboten werden. Gleichzeitig bekräftigt die EU-Kommission ihren Willen, die EU zu einer weltweiten Spitzenposition bei KI-Technologien zu führen. Doch sind diese Ziele tatsächlich miteinander vereinbar?
Risikobasierter Regulierungsansatz
Das geplante KI-Gesetz stellt unterschiedlich strenge Anforderungen an KI-Systeme auf, korrespondierend zu den Sicherheitsrisiken des jeweiligen Systems.
Chatbots und ähnliche Systeme, die mit Menschen interagieren, unterliegen Transparenzanforderungen. Diese Systeme sollen die ihnen gegenüberstehenden Menschen darüber informieren, dass es sich um eine KI handelt. In ähnlicher Weise müssen die Nutzer von Systemen zur biometrischen Kategorisierung oder von Systemen zur Erstellung von Deepfakes die Verwendung des Systems grundsätzlich offenlegen, es sei denn die Systeme werden zur Verhinderung bzw. Verfolgung von Straftaten eingesetzt (Art. 52).
KI-basierte Sicherheitsfeatures in Medizinprodukten, Maschinen und unbemannten Luftfahrzeugen sowie KI-Anwendungen zum Betrieb kritischer Infrastrukturen und weitere Systeme stuft das KI-Gesetz als sogenannte "Hochrisiko-KI-Systeme" ein.
Für sie sollen künftig verbindliche Anforderungen an die Systemgestaltung gelten. Beispielsweise müssen die Systeme mit hochwertigen Daten trainiert, validiert und getestet werden (Art. 10) und gegen Cyberangriffe geschützt sein (Art. 15). Ferner müssen die Systeme so transparent gestaltet sein, dass die Nutzer die Ergebnisse nachvollziehen und sachgerecht nutzen können (Art. 13). Details zu diesen Pflichten werden sich erst in den nächsten Jahren ergeben, wenn die EU sogenannte harmonisierte Standards erlassen oder Industriestandards anerkannt hat (Art. 40 f.).
Hinzu kommen Prozessanforderungen für die Hersteller. Diese müssen ein Qualitätsmanagementsystem etablieren, das die Einhaltung der materiellen Anforderungen des KI-Gesetzes sicherstellt (Art. 17). Zudem müssen sie ein Risikomanagementsystem schaffen, mit dem sie über die gesamte Lebensdauer die von dem KI-System ausgehenden Risiken ermitteln und bewerten und soweit erforderlich Gegenmaßnahmen einleiten können (Art. 9).
Bevor ein Hochrisiko-KI-System auf dem Markt bereitgestellt werden darf, muss es ein Konformitätsbewertungsverfahren durchlaufen, in dem geprüft wird, ob das System diese und weitere Anforderungen erfüllt (Art. 19, 43).
In einigen wenigen Bereichen soll der Einsatz von KI verboten werden, weil ihr Einsatz aus Sicht der EU-Kommission den europäischen Werten widerspricht (Art. 5). Dies gilt beispielsweise für Systeme zum Social Scoring oder für die Verwendung biometrischer Identifizierungssysteme in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken. Letztere können jedoch im Einzelfall erlaubt werden, etwa wenn sie der gezielten Suche nach Opfern von Straftaten oder nach vermissten Kindern sowie zur Abwendung einer konkreten Lebensgefahr eingesetzt werden
Die übrigen Systeme, z. B. automatisierte Spam-Filter, unterliegen keinen besonderen Anforderungen unter dem geplanten KI-Gesetz.
Technologieförderung
Die geplanten Regelungen enthalten auch einige Elemente, mit denen die EU-Kommission KI-Systeme fördern möchte:
Beispielsweise sollen die Voraussetzungen zur Verarbeitung personenbezogener Daten erleichtert werden, etwa wenn die Anbieter von KI-Systemen Daten verarbeiten müssen, um Verzerrungen in Datensätzen zu erkennen und zu korrigieren (Art. 10 Abs. 5). Hiervon werden vor allem Anbieter von gesundheitsbezogenen KI-Systemen profitieren, da die neuen Regelungen die Verarbeitung von Gesundheitsdaten bzw. biometrischen und genetischen Daten erleichtern.
Das KI-Gesetz fordert Mitgliedstaaten auf, KI-Reallabore zu etablieren (regulatory sandbox, Art. 53). Dort sollen Anbieter ihre KI-Systeme weiterentwickeln und testen können und hierbei einen engen Kontakt zu den Regulierungsbehörden erhalten. Dadurch können die Behörden frühzeitig ein vertieftes Verständnis für neue Technologien erhalten und analysieren, ob bzw. welche Regulierung sinnvoll ist. Dieser frühzeitige Austausch zwischen der Industrie und den Behörden kann den Marktzutritt neuer KI-Systeme beschleunigen.
Fazit
Die ersten Reaktionen des EU-Parlaments deuten auf ein intensives Gesetzgebungsverfahren hin. Zwar dürften sich hierbei noch einige Details des KI-Gesetzes ändern. Aller Voraussicht nach werden die Ko-Gesetzgeber der EU jedoch den risikobasierten Ansatz des Gesetzentwurfs nicht antasten, sodass am Ende des Gesetzgebungsprozesses bestimmte KI-Anwendungen einer Regulierung unterliegen werden. Mit einem Abschluss des Gesetzgebungsverfahrens ist nach aktuellen Schätzungen Ende 2022 zu rechnen.
Eine Regulierung wird zu zusätzlichem Aufwand bei den Anbietern von KI-Systemen führen. Der EU-weite Ansatz schließt jedoch zugleich nationale Regulierungsinitiativen weitgehend aus. Dies ist von Vorteil für die Anbieter von KI-Systemen, weil diese ihre Systeme rasch EU-weit ausrollen können. Die KI-Industrie sollte das Gesetzgebungsverfahren daher konstruktiv begleiten und sich intensiv an der Erarbeitung der harmonisierten Standards beteiligen.
Dieser Beitrag ist in längerer Fassung in der ZdIW 2021, 247 erschienen.