Im Gastblog zeigen Lukas Feiler und Beat König, welchen Regelungen künstliche Intelligenz (KI) in der EU bereits jetzt unterworfen ist und wieso ein neues Gesetzespaket mehr Rechtsunsicherheiten als Lösungen für wahrgenommene "KI-Probleme" bietet.

In den letzten Wochen haben sich die Forderungen politischer Akteure überschlagen, das Gesetzespaket der Europäische Kommission zu künstlicher Intelligenz ("AI Act") so rasch wie möglich zu verabschieden. Abgeordnete des Europäischen Parlaments einigten sich schließlich auf einen Entwurf, über den bald im Plenum abgestimmt wird. Der AI Act bekommt dann in Verhandlungen mit dem Rat seinen letzten Feinschliff, bevor er final verabschiedet werden soll.

Der AI Act soll künstliche Intelligenz in verschiedene Risikostufen einteilen und davon abhängig unterschiedliche regulatorische Anforderungen bis hin zu vollständiger Transparenz, formeller Prüfung des Algorithmus durch eine Konformitätsbewertungsstelle und Anforderungen hinsichtlich der Quantität und Qualität der Trainingsdaten vorsehen. Gänzlich verboten werden sollen darüber hinaus bestimmte Praktiken im Bereich der KI, wie zum Beispiel die Bewertung von Personen auf Grundlage ihres sozialen Verhaltens (sogenanntes Social Scoring). Erst im Europäischen Parlament hinzugekommen ist nun auch, dass bei generativen KIs wie ChatGPT oder Midjourney künftig offengelegt werden müsste, ob urheberrechtliche geschützte Trainingsdaten verwendet wurden.

KI bereits reguliert

Dabei reguliert bereits das geltende Recht KI – und zwar ziemlich streng. Konkret sieht Artikel 22 der Datenschutz-Grundverordnung (DSGVO) ein grundsätzliches Verbot aller automatisierten Einzelentscheidungen vor, die entweder rechtliche Wirkungen entfalten oder Betroffene auf sonstige Weise erheblich beinträchtigen. Die automatisierte Kündigung eines Versicherungsvertrages durch den Versicherer, die automatisierte Ablehnung einer Bewerbung durch Arbeitgeberinnen oder Arbeitgeber sowie die automatische Reduktion des persönlichen Überziehungsrahmens beim Girokonto durch die kontoführende Bank sind alles Beispiele von durch die DSGVO bereits jetzt schon streng regulierten Themenbereichen.

Derartige Entscheidungen sind nach der DSGVO ausnahmsweise nur dann zulässig, wenn entweder die Zustimmung der betroffenen Person vorliegt, die Entscheidung für den Abschluss oder die Durchführung eines Vertrages notwendig ist oder eine gesetzliche Ermächtigung vorliegt. Da es in Österreich derzeit keine diesbezüglichen gesetzlichen Ermächtigungen gibt, ist das enge Korsett, das die DSGVO schnürt, voll anwendbar.

Hüben wie drüben: Transparenz

Selbst wenn eine vollautomatisierte Einzelentscheidung dieser Art gerechtfertigt ist, wäre sie aber dennoch nur zulässig, wenn eine hinreichende Transparenz gegeben ist und die Entscheidung einer menschlichen Überprüfung zugeführt werden kann. Die DSGVO verlangt, dass auf Anfrage einer betroffenen Person die involvierte Logik des Algorithmus in einfach verständlicher Weise dargelegt werden muss. Darüber hinaus müssen Betroffene das Recht erhalten, ein Einschreiten einer Person seitens des Unternehmens sowie eine manuelle Überprüfung der Entscheidung zu erwirken. Zu diesem Zweck haben Betroffene auch das Recht, ihren Standpunkt darzulegen, der bei der Überprüfung entsprechend berücksichtigt werden muss.

Auch der AI Act setzt auf Transparenz. Neben hohen Transparenzanforderungen für Hochrisiko-KIs gelten etwa auch für KIs, die mit Menschen interagieren, Informationspflichten: So muss etwa menschlichen Gesprächspartnerinnen und Gesprächspartnern eines KI-gestützten Chatbots spätestens zum Zeitpunkt der ersten Interaktion klar mitgeteilt werden, dass sie es mit einer KI zu tun haben. Auch bei KIs zur Erstellung überzeugender Bilder oder Audio- und Videofälschungen (sogenannter Deepfakes) soll grundsätzlich offengelegt werden müssen, wenn die Inhalte künstlich erzeugt oder manipuliert wurden.

Wer die Anforderungen der DSGVO missachtet, dem drohen hohe Strafen. Diese können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes betragen. Mit dem AI Act tritt neben die Strafdrohung der DSGVO in Zukunft noch eine weitere Strafdrohung. Denn bei Verstößen gegen den AI Act könnten Geldstrafen von bis zu 30 Millionen Euro oder sechs Prozent des weltweiten Konzernumsatzes verhängt werden.

In der Praxis erfüllen viele vollautomatisierte Einzelentscheidungen schon jetzt die oben dargestellten und bereits geltenden Anforderungen nicht. Dies liegt maßgeblich daran, dass viele Unternehmen sich mit dem geltenden Recht und seinen Auswirkungen auf KI-Systeme noch nicht hinreichend vertraut gemacht haben. Der Fokus in der aktuellen Diskussion auf neue gesetzliche Regulierungen in Form des AI Acts anstatt auf die geltenden Bestimmungen ist hierbei wenig hilfreich.

Mangelnde Rechtsdurchsetzung

Dass sich viele Unternehmen noch nicht ausreichend mit den Auswirkungen des geltenden Rechts auf ihre KI-Systeme auseinandergesetzt haben, liegt auch daran, dass sich die Aufsichtsbehörden der meisten EU-Mitgliedsstaaten bisher nicht ausreichend mit der Durchsetzung des geltenden Rechts gegenüber KI-Systemen befasst haben.

Dies kann man den Aufsichtsbehörden nicht zum Vorwurf machen, weil diese – wie auch die österreichische Datenschutzbehörde – nicht über hinreichende Personalressourcen verfügen, um sich in der Praxis mit derart technisch und rechtlich herausfordernden Fällen eingehend zu beschäftigen.

Anstatt in Europa die Effektivität des bestehenden Rechts zu erhöhen, indem mehr Ressourcen für die Durchsetzung desselben zur Verfügung gestellt werden, werden immer mehr neue Regulierungen geschaffen. Man würde meinen, mehr Regeln bieten klarere Verhältnisse. Leider ist aber allzu oft das Gegenteil der Fall.

AI Act als Softwareregulierung

Die Definition von KI-Systemen ist im neuen AI Act derart weit und unpräzise formuliert, dass sie auch schlicht mit "Software" übersetzt werden könnte. Die konkreten regulatorischen Anforderungen, die sich aus der Verwendung von "KI-Systemen" (denk: "Software") ergeben, sind in vielerlei Hinsicht in den Entwürfen unklar gestaltet.

Mit der Verabschiedung des AI Act würde neben die schon bestehende KI-Regulierung durch die DSGVO ein weiteres Gesetz treten, das mehr Fragen aufwirft, als es beantwortet. Die hohen Strafdrohungen aus der DSGVO, gepaart mit jenen aus dem AI Act, in Kombination mit einer erhöhten Rechtsunsicherheit werden dem Wirtschaftsstandort Europa mehr schaden als nützen. (Lukas Feiler, Beat König, 16.5.2023)