Am Mittwoch (13. März) hat das Europäische Parlament das weltweit erste umfassende Gesetz über künstliche Intelligenz (KI) verabschiedet. Allerdings sind noch viele Fragen offen – insbesondere bei der Umsetzung.
„Es gibt Klarheit über das, was wir heute haben, aber es gibt einen Mangel an Klarheit darüber, was noch kommen könnte“, erklärte Kirsten Rulf, Partnerin und Associate Director bei der Boston Consulting Group. Sie bezog sich dabei auf Leitlinien, Verhaltenskodizes und delegierte Rechtsakte.
Das KI-Gesetz ist das weltweit erste seiner Art. Bei der Regulierung gestaltet sich hierbei insbesondere die rasante Weiterentwicklung der Technologie schwierig.
Ein Beispiel für diese rasante Entwicklung ist das US-Start-up-Unternehmen Cognition AI. Es veröffentlichte am Vorabend der Abstimmung über das KI-Gesetz im Parlament ein automatisiertes Tool, das komplette Softwareentwicklungsaufgaben übernehmen kann. Das hat es zuvor noch nicht gegeben.
In Anbetracht dieser rasanten Entwicklung ist das Gesetz eine Art „flüssiges Dokument“, so Rulf. Sie hatte das KI-Gesetz in ihrer früheren Funktion als politische Beraterin des Bundeskanzleramtes mitverhandelt.
Das Gesetz führt eine risikobasierte Bewertung für die Regulierung verschiedener Anwendungen von KI ein. Dabei werden einige verboten und andere unterliegen strengeren Regeln.
Wichtige Aspekte der Gesetzgebung müssen noch vereinbart werden, darunter technische Umsetzungsstandards und Leitlinien. Sie werden in den nächsten Monaten und Jahren einer Überprüfung unterzogen, um festzustellen, ob sie noch angemessen sind.
Innerhalb von sechs Monaten werden bestimmte Anwendungen der KI-Technologie verboten, aber die Liste wird nach sechs Monaten überprüft. Dazu gehören bestimmte Anwendungen der biometrischen Identifikation. Andere Kategorien, einschließlich derer, die als hochriskant eingestuft werden, sollen ebenfalls überprüft werden.
Menschenrechtsgruppen haben Bedenken geäußert, dass das Gesetz nicht weit genug geht, um Individuen zu schützen. Dies betrifft insbesondere die Verwendung von biometrischen Daten und KI im Zusammenhang mit Migration, etwa bei Identitätskontrollen.
Unternehmen drohen bei Nichteinhaltung Geldstrafen von bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes.
Die vollständige Umsetzung ist für 2026 vorgesehen. Für bereits auf dem Markt befindliche KI-Systeme gilt jedoch eine längere Umsetzungsfrist, für einige sogar bis 2030.
Es wird erwartet, dass die Unternehmen weitgehend selbst bewerten, ob ihre Systeme hochriskant sind. Zivilgesellschaftliche Organisationen befürchten jedoch, dass dies zu unzulässigen Ausnahmen führen könnte.
Festlegung von Standards
„Der Kern der Verordnung“ wird darin bestehen, wie die Standards, die den Gesetzestext in technische Spezifikationen umsetzen, festgelegt und harmonisiert werden, erklärte Sandra Wachter, Professorin für Technologie und Regulierung am Oxford Internet Institute, gegenüber Euractiv.
Ein Großteil dieser Arbeit werde von den bestehenden Gremien zur Festlegung von Standards übernommen, die sich zumeist aus Vertretern der Industrie zusammensetzten, sagte sie. Dies sei „bedauerlich“, da Stimmen aus der Zivilgesellschaft weitgehend fehlen würden, fügte sie hinzu.
Bei der Ausarbeitung des Gesetzes mussten sich die Politiker entscheiden, ob sie die Normungsgremien mit dieser Arbeit betrauen oder sie der Kommission überlassen wollten, erklärte der Co-Berichterstatter für das Dossier und rumänische Europaabgeordnete von Renew, Dragoş Tudorache.
Sie entschieden sich für die zweite Option, weil sie es für wichtig hielten, dass die Normen „die Realität vor Ort berücksichtigen.“ Mit dieser seien die Menschen, die KI entwickeln, besser vertraut als die politischen Entscheidungsträger, so der Abgeordnete.
Tudorache räumte ein, dass die Gefahr bestehe, dass die Industrie Einfluss auf die Standards nehme, doch sei dies „nicht unbedingt etwas Schlechtes. Im Gegenteil, man braucht Normen, die praktikabel sind und der Realität entsprechen.“
Er erklärte, dass die Kommission, vor allem das neu eingerichtete Europäische Büro für künstliche Intelligenz, ergänzende Standards und Leitlinien ausarbeiten könne.
Das neue KI-Büro und die Standardisierungsgremien haben bereits mit dieser Arbeit begonnen, so Tudaroche. Kodizes werden in den kommenden Monaten erwartet.
Regulatorischer Kabelsalat
Die Kommission muss festlegen, wie sich das KI-Gesetz mit den zahlreichen Verordnungen über digitale Produkte überschneidet: der Allgemeinen Datenschutzgrundverordnung (DSGVO), dem Gesetz über digitale Dienste und dem Gesetz über digitale Märkte. Außerdem überschneidet es sich mit dem Urheberrecht, der Produktsicherheit und anderen bestehenden Gesetzen.
„Es ist wie ein regulatorischer Kabelsalat […]. Die nächste Kommission wird sich darauf konzentrieren müssen, es zu entwirren“, sagte die Generaldirektorin der Industriegruppe DigitalEurope, Cecilia Bonefeld Dahl.
Viele der Anbieter von KI-Systemen haben bereits Verantwortlichkeiten als Datenverantwortliche und -verarbeiter im Rahmen der Allgemeinen Datenschutzgrundverordnung, erklärte Gabriela Zanfir-Fortuna, Vizepräsidentin für globalen Datenschutz beim Think-Tank Future of Privacy Forum, gegenüber Euractiv.
„Die Sicherstellung der Konsistenz bei der Anwendung der Regeln wird entscheidend dafür sein, dass das Gesetz tatsächlich wirksam ist“, sagte sie.
Einige Datenschutzbehörden in den Mitgliedstaaten könnten schon bald mit der Umsetzung des KI-Gesetzes konfrontiert sein. Die nationalen Behörden, die für die Umsetzung des Gesetzes zuständig sind, werden von den EU-Staaten separat bestimmt. Die Datenschutzbehörden kommen unter anderem dafür infrage.
Darüber hinaus muss der Wortlaut des Gesetzes noch präzisiert werden.
Auf LinkedIn schrieb Kai Zenner, Assistent des deutschen Europaabgeordneten Alex Voss, dass die „juristischen Dienste aller drei EU-Institutionen“ die „Qualität des Gesetzesentwurfs“ als unter dem EU-Standard befunden hätten.
„Es wird in den nächsten Jahren auf mehreren Ebenen massiv vor Gericht angefochten werden, weil eine schwache Formulierung es einem gut bezahlten Anwalt leicht macht, [dies zu tun]“, meinte ein Berater für Technologieunternehmen, der mit Euractiv unter der Bedingung der Anonymität sprach.
[Bearbeitet von Rajnish Singh]