Europa präsentiert strenge Gesetze für KI-Systeme, muss aber gleichzeitig Kritik wegen Überregulierung und Ausnahmen für Behörden einstecken.
DerStandard/martinjan/Midjourney

"Deal!" postete Thierry Breton auf X, vormals Twitter nach einer fast dreitätigen Marathonsitzung. Darin eine Tortengrafik und darüber die Frage "Welche Kontinente haben eine KI-Regulierung?" Der Kreis ist nur blau eingefärbt - gemeint ist die EU. Die Aussage ist freilich ein wenig getrickst: Die USA als Land haben eine von Präsident Joe Biden per Dekret verordnete KI-Regulierung, die aber nicht sonderlich weit geht. China hat seit August ebenfalls KI-Regeln. Aber Breton hat schon recht: Europa ist der erste Kontinent mit einem derartigen Regelwerk. Und: Es ist das umfassendste auf dem Planeten. Erster sind die Europäer damit aber sicher nicht.

Das muss man aber auch nicht sein, denn in Brüssel hat man sich bewusst Zeit gelassen. Hinter vorgehaltener Hand war zu hören, dass man nicht die gleichen Fehler wie bei der Datenschutzgrundverordnung machen wollte. Die DSGVO ließ zu viel Raum für nationales Gold-Plating, also die Verschärfung der Regeln, machte es aber gleichzeitig Staaten wie Irland sehr einfach das Regelwerk möglichst lax auszulegen. Die Folge: Die DSGVO musste repariert werden.

Video: Die Europäische Union bekommt ein Regelwerk für den Einsatz von Künstlicher Intelligenz.
AFP

All das soll beim AI Act nicht mehr passieren. Vielmehr noch, soll die KI-Regulierung der Union als Blaupause für andere Länder gelten. Die EU hofft also darauf, dass möglichst viele Nationen von ihr abschreiben. Gleichzeitig soll der AI Act eine Art Startrampe für Start-Ups und die Forschung sein, sagte zuständige Kommissar. Doch was sind die Regeln, die seit 2021 verhandelt wurden? Warum hat das so lange gedauert und was ändert sich das nun für die Nutzerinnen und Nutzer von ChatGPT, Bard und Midjourney?

Angst vor dem Bürokratie-Monster

Grundlage des AI Acts ist der risikobasierte Ansatz. In anderen Worten: Je mehr Schaden eine KI-Anwendung theoretisch anrichten könnte, umso enger wird das rechtliche Korsett. Chatbots wie ChatGPT gelten beispielsweise als Anwendungen mit begrenztem Risiko und müssen daher nur Transparenzverpflichtungen erfüllen. Für das zugrundeliegende Basismodell GPT muss eine technische Dokumentation erstellt werden. Diese muss Angaben zu Trainings- und Testverfahren enthalten. Ausnahmen davon gelten für Open-Source-Modelle, davon dürfte vor allem Llama 2 von Meta profitieren.

Dies war lange ein strittiger Punkt: KI-Basismodelle werden mit riesigen Datenmengen trainiert. Länder wie Deutschland oder Frankreich befürchteten durch die Transparenzverpflichtungen ein bürokratisches Monster zu erschaffen, weshalb sie Basismodelle von der Regulierung ausnehmen wollten. Beide Länder argumentierten mit möglichen Nachteilen für ihre KI-Startups Aleph Alpha aus Heidelberg und Mistral AI aus Paris. Große Konzerne wie Google könnten den Aufwand einer technischen Dokumentation deutlich leichter stemmen als kleine Unternehmen aus Europa, so die Argumentation.

Doch die Position des EU-Parlaments hat sich am Ende durchgesetzt und neben den Offenlegungspflichten müssen die Anbieter auch urheberrechtliche Bestimmungen einhalten. So soll es Künstlerinnen und Künstlern möglich sein, ihre Werke aus den Trainingsdaten von KI-Modellen löschen zu lassen. Ein Teil der Transparenzverpflichtungen umfasst auch Wasserzeichen für KI-generierte Inhalte. Für Nutzerinnen und Nutzer heißt das also, dass sie künftig darauf hingewiesen werden, dass sie es mit dem Produkt einer künstlichen Intelligenz zu tun haben.

Unakzeptables Risiko

Noch strengere Regeln stehen Unternehmen bevor, deren KI-Systeme laut Ansicht der EU "systemische Risiken" beinhalten. Diese müssen künftig ein angemessenes Risikomanagement nachweisen sowie höheren Ansprüchen in Sachen Cybersicherheit genügen. Systeme zur Personalauswahl fallen beispielsweise unter diese Kategorie. Diese gelten als risikoreich, weil sie möglicherweise menschliche Vorurteile aus dem Trainingsmaterial übernehmen und Bewerberinnen schon nach Aussehen, Hautfarbe oder Geschlecht aussortieren könnten.

Manche KI-Anwendungen verbietet der AI Act von vorneherein, weil ihr Risiko als unakzeptabel eingestuft wird. Darunter fallen Systeme zur Verhaltensmanipulation, die ungezielte Erfassung von Gesichtern aus Sozialen Medien oder von Überwachungskameras sowie Systeme zur Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen. Auch Social Scoring wie es in China schon durchgeführt wird, ist in Europa verboten. Ebenso auf der roten Liste steht so genanntes "Predictive Policing" also der Versuch mögliche Straftaten mittels KI vorherzusagen.

Die Lücke bei der Massenüberwachung

Ganz so verboten, wie die Union diese Praktiken darstellt, sind sie aber nicht. Strafverfolgungsbehörden dürfen sehr wohl auch auf KI-Systeme mit hohem Risiko zurückgreifen – selbst dann, wenn sie den Regeln des AI Acts widersprechen. Im Regelwerk ist jetzt von einem "Notfallverfahren" die Rede. Selbst biometrische Massenüberwachung ist erlaubt, wenn die Behörden ausreichend darlegen, warum die Maßnahme notwendig ist. Das kann etwa die Abwehr von drohenden Terroranschlägen sein. Auch die Suche nach Personen, die schwerster Straftaten verdächtig werden, ist eine solche Ausnahme.

Als "schwerste Straftaten" definiert der Entwurf Verbrechen, für die drei Jahre Haft oder mehr drohen. In Österreich wären damit also nicht nur Mörder und Terroristen betroffen, sondern auch die Suche nach Einbrechern, Geldfälschern oder Handtaschendieben mittels KI-Massenüberwachung wären theoretisch möglich. Vor allem Frankreich forderte die Ausnahmen für die Gesichtserfassung, meint man damit doch die Olympischen Spiele 2024 sicherer gestalten zu können. Die invasive Form der Überwachung wurde vom französischen Parlament bereits gebilligt.

Damit nicht 27 nationale Alleingänge im Umgang mit künstlicher Intelligenz entstehen, wird innerhalb der EU-Kommission eine eigene KI-Behörde eingerichtet. Diese ist vor allem für die Regulierung von Basis- und General-Purpose-Modellen zuständig. Dieser Behörde wird ein wissenschaftliches Beratergremium zur Seite gestellt. Darüber hinaus wird es noch einen KI-Ausschuss geben, der von den Mitgliedsländern besetzt wird. Außerdem wird ein Beraterforum für Vertreter der Industrie, Zivilgesellschaft und Wissenschaft eingesetzt.

KI-gestützte Waffensysteme werden im AI Act übrigens nicht reguliert, obwohl das Thema mit den Kriegen im Nahen Osten und der Ukraine heiß diskutiert wird. Militär- und Verteidigungsfragen sind aber Sache der einzelnen Mitgliedsländer und die Union hat keinerlei Durchgriffsrecht. Jedes Land darf also selbst entscheiden, ob und wie es Waffen mit künstlicher Intelligenz ausstattet und einsetzt.

Hohe Strafen

Die Geldbußen für Verstöße gegen digitale Regulierung innerhalb der EU fallen traditionell hoch aus und der AI Act ist da keine Ausnahme. Wenn ein Unternehmen verbotene KI-Systeme auf den Markt bringt, drohen sieben Prozent des Jahresumsatzes oder 35 Millionen Euro Strafe, je nachdem, welche Summe höher ist. Andere Verstöße gegen den AI Act werden mit drei Prozent oder 15 Millionen Euro geahndet. Erteilt ein Unternehmen falsche Informationen werden 1,5 Prozent oder 7,5 Millionen Euro fällig.

Als nächstes werden noch die feineren Details der Regulierung ausgearbeitet. In einigen Wochen wird der Kompromissvorschlag den Vertretern der Mitgliedsstaaten offiziell vorgelegt. Bis der AI Act tatsächlich wirksam wird, vergehen aber noch mindestens zwei Jahre. (Peter Zellinger, 10.12.2023)