EU-Vorschlag zur Regulierung von KI: vier Risikostufen
Irene Willi Kägi
Die Europäische Kommission hat am 21. April 2021 den weltweit ersten Rechtsrahmen für künstliche Intelligenz (KI) vorgestellt. Der Gesetzesentwurf stellt eine Weiterentwicklung des erstmals im Jahr 2018 veröffentlichten koordinierten Plans für KI dar. Ziel ist, die für die KI-Systeme geltenden Sicherheitsanforderungen zu verbessern sowie günstige Voraussetzungen für die Entwicklung von KI-Anwendungen zu schaffen. Nicht zuletzt geht es darum, die weltweite Wettbewerbsfähigkeit der EU zu steigern. Eine vierstufige Einteilung der Risiken, welche die Anwendung von KI regelt, soll dabei helfen.
Regulierung von KI-Risiken in Bezug auf die Sicherheit der Nutzer und die Grundrechte
Gemäss der Europäischen Kommission bergen die meisten KI-Systeme zwar keine oder nur geringe Risiken (2021). Nur wenige sind mit Risiken und Rechtsunsicherheiten behaftet, beispielsweise wenn sie von undurchsichtigen Algorithmen gesteuert werden. Doch unbestritten ist: Es braucht Vorschriften, welche die Risiken in Bezug auf die Sicherheit der Nutzer und die Grundrechte regeln.
Die neu geschaffene Regelung basiert auf einer viertstufigen Einteilung des Risikos bestimmter KI-Anwendungen und richtet sich unter anderem nach deren Zweck, Anzahl der potenziell betroffenen Personen sowie der Unumkehrbarkeit etwaiger Schäden. Diese soll innerhalb und ausserhalb der EU sowohl für Anbieter als auch Nutzer gelten, nicht jedoch für eine rein private, nicht gewerbliche Verwendung. Wird dagegen verstossen, "müssen die Mitgliedstaaten wirksame, verhältnismäßige und abschreckende Sanktionen, einschliesslich Geldbussen, festlegen und diese der Kommission mitteilen" (Europäische Kommission, 2021). Dabei sind die dafür definierten Schwellenwerte zu beachten.
Vier Risikostufen
- Unannehmbares Risiko: Auf der höchsten Risikostufe befinden sich nur wenige, besonders schädliche KI-Systeme, welche die Grundrechte verletzen. Damit sind sie verboten. Beispielsweise dürfen keine biometrischen Echtzeit-Fernidentifizierungssysteme zur Verfolgung von Straftätern im öffentlichen Raum eingesetzt werden. Wenn es darum geht, ein vermisstes Kind zu suchen oder einen Terroranschlag zu verhindern, kann ein Richter einen zeitlich und örtlich begrenzten Einsatz einer solchen intelligenten Überwachungskamera ausnahmsweise genehmigen. Zu den verbotenen Praktiken gehört es, als Firma oder Staat, KI-Software zu verwenden, um Menschen zu kontrollieren, zu bewerten oder zu belohnen ("Social Scoring“). Ein negatives Beispiel dafür ist Chinas Regierung, welche für systemtreues Verhalten «Punkte» verleiht, während nicht systemtreues Verhalten mit Entzug von Punkten «bestraft» wird.
- Hohes Risiko: Der zweithöchsten Risikostufe sind KI-Systeme zugeordnet, die sich nachteilig auf die Sicherheit der Menschen oder ihre Grundrechte auswirken. Dies betrifft beispielsweise kritische Infrastrukturen (KI-basierte Ampelsysteme im Verkehr) Sicherheitskomponenten von Produkten (KI-Anwendung für die roboterassistierte Chirurgie) sowie KI-Software, welche den Zugang einer Person zur Bildung (Bewertung von Prüfungen) oder zum Berufsleben (Vorsortierung von Lebensläufen bei Bewerbungen) steuert.
Solche KI-Systeme dürfen nur zum Einsatz gelangen, wenn sie einen strengen Kriterienkatalog erfüllen: Sind angemessene Risikobewertungs- und Risikominderungssysteme vorhanden? Wurde die KI-Software mit qualitativ hohen Datensätzen gespiesen, um diskriminierende Ergebnisse zu vermeiden? Gibt es eine ausführliche Dokumentation zum KI-System und seinem Zweck für die Behörde sowie Informationen für die Nutzer? Werden die Vorgänge des Systems aufgezeichnet, um ungewöhnliche Ergebnisse rückverfolgen zu können? Gibt es eine menschliche Aufsicht, welche das System überwacht und notfalls ausschalten kann? Ist das System robust, genau und vor Cyberrisiken geschützt? - Geringes Risiko: Eine Stufe weiter unten folgen die KI-Systeme mit geringem Risiko. Für diese gelten Transparenzverpflichtungen, beispielsweise wenn die Gefahr der Manipulation besteht. Ein typisches Beispiel sind Chatbots. Hier sind die Nutzer darüber in Kenntnis zu setzen, dass sie mit einer Maschine interagieren. Somit können diese frei entscheiden, ob sie die Anwendung weiter nutzen wollen oder lieber mit einem Menschen kommunizieren.
- Minimales Risiko: KI-Systeme der untersten Stufe stellen kein oder nur ein minimales Risiko für die Bürgerrechte oder die Sicherheit dar. Für diese bestehen keine zusätzlichen rechtlichen Verpflichtungen. Anbieter solcher Systeme, wie KI-basierte Videospiele oder Spamfilter, können freiwillig den Anforderungen an vertrauenswürdige KI nachkommen.
Rezeption des KI-Gesetzesentwurfes
Die Reaktionen auf den KI-Gesetzesentwurf der Europäischen Kommission sind kontrovers. Obwohl im Vergleich zu früheren Entwürfen von einer Verschärfung gesprochen werden kann (Finke, 2021), geht die neue Verordnung für manche nicht weit genug. Beispielsweise fordert die Europäische Datenschutzbehörde (European Data Protection Supervisor) einen strengeren Ansatz bei der automatisierten Erkennung menschlicher Merkmale im öffentlichen Raum - etwa von Gesichtern, aber auch von Gang, Fingerabdrücken, DNA und Stimme (2021). Als Grund wird zum einen die unvorhersehbare Entwicklung von KI-basierten biometrischen Erkennungssysteme angeführt. Zum andern sei die Gefahr bei solchen Systemen gross, die Privatsphäre des Einzelnen zu verletzen. Hinzu kommen Stimmen, welche die Bewertung von Menschen durch KI-basierte Systeme verbieten wollen. Zu gross sei die Gefahr der Diskriminierung. So sollen in der Vergangenheit weibliche User der Apple-Kreditkarte im Vergleich zu männlichen Usern bei gleichem Vermögen und gleichem Einkommen weniger oft Kredit erhalten haben (Herwartz, 2021).
Demgegenüber halten andere Kritiker den neuen KI-Verordnungsvorschlag für eine Überregulierung (Finke, 2021). Mit einer zu restriktiven Regulierung könne sich das Potenzial von KI nicht genügend entfalten. Damit würde man die Augen vor den zukünftigen Anwendungsmöglichkeiten von KI verschliessen.
Wie weiter?
Setzt die EU mit ihrem Gesetzesentwurf schon bald den globalen Standard zur Regulierung von KI? Oder hält die entfachte Kontroverse das Inkrafttreten noch lange auf? Fakt ist: Vorerst müssen das Europäische Parlament und die Mitgliedstaaten dem Gesetzesvorschlag für ein europäisches Konzept für künstliche Intelligenz zustimmen. Erst dann wird das KI-Gesetz in der gesamten EU rechtskräftig. Wann das sein wird, ist ungewiss. Der Grat zwischen maximaler Ausschöpfung von KI und maximaler Sicherheit scheint schmal und das Ziel doch so nah. Spannend bleibt, welche Drehungen und Wendungen der Entwurf noch nehmen wird. Auf jeden Fall hat die EU in den Bemühungen um eine koordinierte rechtlich-ethische Regulierung von KI-Anwendungen enorme Fortschritte gemacht und das hat ein grosses Lob verdient. Das neue KI-Gesetz wird die Entwicklung von neuen digitalen Strategien und Geschäftsmodellen nachhaltig beeinflussen.
Quellen und weiterführende Informationen
BHO Legal (2021). Das europäische KI-Gesetz: der Entwurf für die Verordnung.
Datenschutz.org. (2023). KI-Gesetz: EU-Parlament beschließt Regeln zu Künstlicher Intelligenz.
Europäische Kommission. (2021). Neue Vorschriften für künstliche Intelligenz – Fragen und Antworten.
Finke, B. (14.04.2021). Hoffnung und Furcht. Süddeutsche Zeitung.
Finke, B. (21.04.2021). Was das neue KI-Gesetz der EU vorsieht. Süddeutsche Zeitung.
Reiche, M. (2021). EU will Künstliche Intelligenz zähmen. Tagesschau.
###
Haben Sie schon einen Bachelor in Law und möchten Ihr Wissen in Rechtswissenschaften vertiefen und weiter vernetzen? Oder streben Sie eine Spezialisierung an? Der Master of Law der ZLS Zurich Law School bietet eine praxisorientierte juristische Ausbildung für Berufs- und Familientätige.
Diese Seite teilen
CAS FH in KI-Management (Künstliche Intelligenz / Artificial Intelligence)
Certificate of Advanced Studies (CAS)
CAS FH in Legal Technology Management
Certificate of Advanced Studies (CAS)