Das EU-Parlament könnte kurz davor stehen, einigen strikten Bedingungen für den Einsatz biometrischer Identifizierungstechnologien zuzustimmen. Als Teil der Verhandlungen zum KI-Gesetz wurde für die Technologie ursprünglich ein Verbot in Erwägung gezogen.
Die biometrische Fernidentifizierung (Remote Biometric Identification, RBI) war ein kritischer Streitpunkt in den Verhandlungen zum KI-Gesetz – ein EU-Gesetzesentwurf, mit dem Systeme der künstlichen Intelligenz auf der Grundlage ihres Schadenspotenzials reguliert werden sollen.
Der KI-Gesetzesentwurf befindet sich in der letzten Phase des EU-Gesetzgebungsverfahrens, den sogenannten Trilogen, bei dem EU-Parlament, Rat und Kommission die endgültigen Bestimmungen ausarbeiten.
Am Freitag (3. November) haben die Büros der Co-Berichterstatter des Europäischen Parlaments Dragoș Tudorache und Brando Benifei einen Kompromisstext in Umlauf gebracht, in dem das vollständige Verbot der Echtzeit-RBI im Austausch gegen Zugeständnisse bei anderen Teilen des Dossiers gestrichen wurde.
Eine ähnliche Version wurde am Sonntag von der spanischen Präsidentschaft des EU-Ministerrats an die Mitgliedsländer in Umlauf gebracht. Euractiv konnte beide Dokumente einsehen.
Biometrische Fernidentifizierung (RBI)
Im ursprünglichen Vorschlag schlug die Kommission vor, die RBI-Technologie in Echtzeit nur in bestimmten Fällen zuzulassen, beispielsweise beim Aufspüren einer vermissten Person, bei der Verhinderung eines Terroranschlags oder beim Auffinden von Verdächtigen in einem schweren Verbrechen.
Im Europäischen Parlament stimmte eine parteiübergreifende Mehrheit für ein völliges Verbot des Einsatzes dieser Systeme in Echtzeit, da man eine Massenüberwachung befürchtete. Die EU-Staaten hingegen wollten den Strafverfolgungsbehörden einen gewissen Spielraum für den Einsatz dieser Technologie lassen.
Der jüngste Kompromiss sieht jedoch vor, dass die Ausnahmesituation mit einigen Änderungen wieder eingeführt wird. Für das Aufspüren eines Verdächtigen sieht der Text nun vor, dass die Straftat in einem zuvor festgelegtem Verzeichnis aufgeführt und mit einer Höchststrafe von mindestens fünf Jahren geahndet sein muss.
Diese schweren Straftaten sind in einem neuen Anhang aufgeführt und umfassen Terrorismus, Menschen-, Drogen- und Waffenhandel, sexuelle Ausbeutung von Kindern, Mord, Entführung, Verbrechen, die unter den Internationalen Strafgerichtshof fallen, Geiselnahme und Vergewaltigung.
Darüber hinaus können die Strafverfolgungsbehörden die zulässigen Einsatzmöglichkeiten von Echtzeit-RBI nur dann anwenden, wenn sie das System in der öffentlichen EU-Datenbank registrieren und eine Folgenabschätzung für die Grundrechte durchgeführt haben.
In der Regel sollte eine Justizbehörde die Verwendung von Echtzeit-RBI-Systemen validieren. In Ausnahmefällen kann die Genehmigung jedoch auch nachträglich innerhalb von 48 Stunden eingeholt werden.
Sowohl im Text des Parlaments als auch im Text des Rates wird die Rolle der nationalen Behörden bei der Überwachung der Nutzung von RBI durch Strafverfolgungsbehörden erwähnt. Die Kommission wird dabei ermächtigt, Vertragsverletzungsverfahren gegen EU-Staaten einzuleiten, wenn die Bestimmungen nicht eingehalten werden.
Verbotene Praktiken
Im Gegenzug für die Zugeständnisse bei der biometrischen Fernidentifizierung konnte das EU-Parlament eine Erweiterung der Liste der verbotenen KI-Anwendungen erzielen.
In Anlehnung an das berüchtigte ClearviewAI-Beispiel wurde die Formulierung hinzugefügt, um „KI-Systeme [zu verbieten], die Gesichtserkennungsdatenbanken durch das ungezielte und großflächige Auslesen von Gesichtsbildern aus dem Internet oder CCTV-Aufnahmen erstellen oder erweitern.“
In ähnlicher Weise haben die Abgeordneten ein Verbot für Systeme verhandelt, welche biometrische Kategorisierungstechnologien nutzen, um sensible Informationen über Menschen abzuleiten, wie etwa politische Ausrichtung oder sexuelle Orientierung. Technologien zur Erkennung von Emotionen sollen auch am Arbeitsplatz und im Bildungsbereich verboten sein.
Unterschiedliche Auffassungen gibt es nach wie vor bei der Nutzung von KI für die vorausschauende Polizeiarbeit, für die sich die Abgeordneten ein Verbot wünschen, während die Mitgliedstaaten sie als Hochrisikoanwendung beibehalten wollen.
Ausnahmen für Strafverfolgungsbehörden
Der EU-Rat hat mehrere wichtige Ausnahmeregelungen für Strafverfolgungsbehörden eingeführt.
Die Nutzer müssen den Betrieb von KI-Modellen mit hohem Risiko überwachen und die Vertreiber informieren, wenn sie einen schwerwiegenden Vorfall feststellen. Die EU-Staaten haben eine Formulierung eingeführt, die besagt, dass sich diese Verpflichtung nicht auf sensible operative Daten von Strafverfolgungsbehörden erstreckt – eine Präzisierung, die anscheinend vom Parlament akzeptiert wurde.
Außerdem sollten öffentliche Einrichtungen keine Hochrisikosysteme verwenden, die nicht in der EU-Datenbank enthalten sind. In diesem Fall scheint der Kompromiss darin zu bestehen, die Ausnahme für Strafverfolgungs- und Grenzkontrollbehörden zu streichen.
Die Abgeordneten scheinen auch akzeptiert zu haben, dass Strafverfolgungs- und Katastrophenschutzbehörden in Ausnahmefällen eine KI-Anwendung mit hohem Risiko verwenden können, auch wenn diese noch nicht der Konformitätsbewertung unterzogen wurde.
Bestimmungen, die darauf abzielen, die Offenlegung sensibler operativer Daten zu verhindern, scheinen ebenfalls vereinbart worden zu sein, beispielsweise in Bezug auf die Menge an Informationen, die an die EU-Datenbank und die Untersuchungen der Marktaufsichtsbehörden übermittelt werden müssen.
Ausnahme für die nationale Sicherheit
Auf Druck Frankreichs hat der Rat eine weitreichende Ausnahmeregelung vom Anwendungsbereich des KI-Gesetzes für Systeme angenommen, die von einer Einrichtung im Bereich des Militärs, der Verteidigung oder der nationalen Sicherheit genutzt oder zur Verfügung gestellt werden.
In einem informellen Diskussionsvorschlag (Non-Paper) vom letzten Monat erklärte die Kommission, dass diese Formulierung gegen den EU-Vertrag verstößt. Damals schlug die EU-Kommission auch einen Kompromisstext vor, der weitgehend in das aktuelle Dokument übernommen wurde, allerdings mit zwei wesentlichen Änderungen.
Folgender Satz wurde hinzugefügt: „Diese Verordnung gilt nicht für KI-Systeme, die ausschließlich für militärische Zwecke entwickelt oder genutzt werden.“
Gleichzeitig wurde die Formulierung beibehalten, die besagt, dass „diese Verordnung die Zuständigkeiten der Mitgliedstaaten in Bezug auf ihre Tätigkeiten in den Bereichen Militär, Verteidigung oder nationale Sicherheit unberührt lässt.“ Der Hinweis, dass dies im Einklang mit dem EU-Recht stehen muss, wurde jedoch gestrichen.
Es besteht die Möglichkeit, dass eine andere Formulierung gesucht wird, die mit der Ausnahmeregelung für die nationale Sicherheit des Datenschutzgesetzes im Einklang steht.
[Bearbeitet von Nathalie Weatherald/Kjeld Neubert]