Die Europäische Kommission hat einen weiteren Großentwurf zur IT-Regulierung präsentiert. Diesmal geht es nicht um Plattformen wie beim Digital Services und beim Digital Markets Act, nicht um Telekommunikation, nicht um E-Privacy, nicht um audiovisuelle Medien, nicht ums Urheberrecht, nicht um Data Governance, nicht um freien Datenfluss und Clouds (um hier nur die aktuelleren Initiativen zu nennen), sondern um Künstliche Intelligenz (KI).
Die Begründung ist wie immer: Es gibt eine neue Technologie, sie bietet große Möglichkeiten, birgt auch Gefahren, deren Bewältigung eine (erhebliche) gesetzgeberische Aktivität auf europäischer Ebene verlangt: hier einen Verordnungsentwurf samt neun Anhängen mit insgesamt circa 125 Seiten. Dieser gilt, wie (fast) immer, neben all jenen Regeln, die ohnehin schon in Kraft sind, hier insbesondere der Datenschutzgrundverordnung, die (voll) weiter anwendbar bleibt und ihrerseits schon Regeln enthält, die in eine ähnliche Richtung weisen - wie insbesondere das Verbot automatisierter Entscheidungen (Art. 22 DSGVO).
Die Ziele sind, wie immer, ambitioniert. Europa werde durch diese wegweisenden Regeln zur Speerspitze globaler Regulierung, wodurch Europas Vorreiterrolle bei der Entwicklung der Technologien weiter bestärkt werde. Europa werde Weltklasse bei der Schaffung sicherer, vertrauenswürdiger, den Menschen in den Mittelpunkt stellender KI.
Schwammige Kategorisierung
Zu diesem Zweck wird durch die Verordnung ein risikobasierter Ansatz verfolgt: KI-Systeme, die unannehmbare Risiken bringen, sind verboten, solche mit hohem Risiko werden einem anspruchsvollen Zulassungsverfahren unterworfen, solche mit geringem Risiko verlangen nur Transparenz beim Einsatz und solche mit minimalem Risiko bleiben weitgehend unreguliert.
Wer diese Differenzierung liest, erkennt sofort, wie schwierig es sein wird, zwischen den Kategorien zu unterscheiden. Profitieren werden davon zunächst (und vor allem) Juristinnen und Juristen, die mit solchen Abgrenzungsfragen befasst sind. Das sieht übrigens auch Vizepräsidentin Vestager in einer vom Presseclub Concordia veranstalteten Podiumsdiskussion so.
Auslegungsbedürftige Terminologien
Die Differenzierungen werden auch deshalb so schwierig sein, weil die Terminologie - selbst für europäische Verhältnisse - ungewöhnlich auslegungsbedürftig ist. Schon die Definition dessen, was ein KI-System ist, in Anhang 1, ist so breit, dass die (halbernste) Diskussion entstanden ist, ob darunter auch Algorithmen als solche fallen können.
Was gut für Juristinnen und Juristen ist, ist aber selten gut für Unternehmen, die mit diesen Unsicherheiten leben müssen, und noch seltener gut für Bürgerinnen und Bürger, deren Interessen geschützt werden sollen.
Zum Beispiel:
Der Entwurf verbietet besonders riskante KI. Dazu zählen unter anderem biometrische Echtzeitidentifikationssysteme im öffentlichen Raum (Art. 5 Abs. 2). Wir alle sollen sicher davor sein, im öffentlichen Raum (durch Strafverfolgungsbehörden) automatisiert und (künstlich) intelligent getrackt, identifiziert und verfolgt zu werden.
Jedoch:
Das Verbot soll nicht gelten, wenn die Echtzeitidentifikation für Zwecke der Strafverfolgung zwingend erforderlich ("strictly necessary") wäre, bei Delikten, die mit einer Mindestfreiheitsstrafe von mindestens drei Jahren bedroht wären. Es soll nicht gelten, wenn vor einer spezifischen, substantiellen und imminenten Bedrohung des Lebens oder der körperlichen Unversehrtheit oder vor einer terroristischen Gefahr zu bewahren wäre oder wenn gezielt nach bestimmten potentiellen (!) Opfern von Straftaten gesucht würde, inklusive (?!) abgängigen Kindern.
Schwächung statt Stärkung?
Welcher Bahnsteig, welcher Flughafen, welche Innenstadt wäre dann nicht erst recht durch KI überwachbar oder - vielleicht - sogar verpflichtend zu überwachen, in Einzelfällen sogar ohne vorherige richterliche Genehmigung? Die anzustellenden - abstrakten - Gesichtspunkte, die in der Abwägung konkret anzuwenden wären, bevor, während oder nachdem die KI eingesetzt wurde, machen eine volle Seite - Seite 44 - des Entwurfs aus. Am Ende der Lektüre bleibt, neben Optimismus hinsichtlich der Beschäftigungssituation für Juristen, Ratlosigkeit, was - konkret - hier verboten werden soll und werden wird und welche Auswirkungen dies haben soll.
Die Positionen werden hier, wie bei ähnlichen Beispielen (von der Vorratsdatenspeicherung, dem "Cracken" von Handys bis zum Verbot starker Verschlüsselung) denkbar weit gefächert sein - der Europäische Datenschutzbeauftragte hat sich schon postwendend entsprechend positioniert: Ja zur Regulierung als solcher, Nein zum Ausbleiben eines Totalverbots derartiger Technologien.
Es ist zu erwarten, dass die weiteren politischen Abstimmungsprozesse, insbesondere mit dem Rat und dem Parlament, einen Text erzeugen werden, der die Beantwortung der Frage, was denn nun wirklich verboten werden soll (und muss), noch weiter erschweren wird. Man wird darauf achten müssen, dass am Ende nicht das Gegenteil dessen steht, was intendiert ist: eine Schwächung der (digitalen) Grundrechte bei gleichzeitiger Schwächung des Technologiestandorts Europa. (Nikolaus Forgó, 3.5.2021)
Weitere Beiträge des Bloggers