KI-Regulierung in Europa: Rechtliche Herausforderungen und Perspektiven

Während in den USA die Regulierung von KI-Applikationen entweder bereits vorhanden ist oder kurz vor der Einführung steht, scheint in Europa der Weg vom ersten Entwurf des „AI Acts“ (KI-Verordnung) bis zum Inkrafttreten noch ein weiter Weg...

Laut der Federal Trade Commission (FTC), der nationalen Verbraucherschutzorganisation in den USA, ist die Regulierung von KI-Applikationen dort bereits Status Quo („Die Realität ist, dass KI (in den USA) reguliert ist“). Vor allem die Gesetze gegen unlautere und betrügerische Handelspraktiken sollen demnach auch für KI-Applikationen gelten und ermöglichen der FTC auch entsprechende Eingriffsbefugnisse gegenüber Unternehmen, die KI entwickeln, verkaufen oder nutzen. In ihrem Blog gibt die FTC auch bei der Bewerbung von KI-Applikationen die Marschrichtung mit Transparenz als einem der obersten Gebote  und der Warnung vor Irreführung vor.  Den Leitfaden, wie Nutzerdaten für das Trainieren von Algorithmen und KI-Applikationen einzusetzen sind, gibt es bereits seit 3 Jahren – auch hier ist Transparenz die Leitlinie.

Seit dem 21.04.2021 existiert auch in Europa ein Entwurf zur unionsweiten Regulierung von KI, denn „Europa soll das globale Zentrum für vertrauenswürdige künstliche Intelligenz (KI) werden“. Seither wird der Entwurf unter den verschiedenen Vorsitzen im Rat der EU diskutiert und verhandelt. Der Entwurf sieht in erster Linie ein Verbotsgesetz vor, das den Einsatz von gewissen KI-Applikationen entweder ganz verbietet oder den Einsatz an weitere u.U. weitreichendere Voraussetzungen und Sicherungsmaßnahmen knüpft. Nun soll es Ende April zur Abstimmung im Europäischen Parlament kommen, damit dessen Vertreterinnen und Vertreter im Mai mit einer finalen Position in den Trilog mit der Europäischen Kommission und dem Europäischen Rat treten können.

Außerdem scheint im Moment verstärkt diskutiert zu werden, wie sog. Large Language Models (LLM), auf denen beispielsweise Applikationen wie ChatGPT beruhen, im Rahmen der Verordnung einzuordnen sind und ob diese nicht grundsätzlich als Applikationen mit „hohem Risiko“ im Sinne des Entwurfs eingestuft werden sollten.

Zusammenfassend zur besseren Einordnung: Der momentane Entwurf verfolgt einen risikobasierten Ansatz und unterscheidet zwischen KI-Applikationen, die als (i) unannehmbares Risiko, (ii) hohes Risiko oder (iii) geringes oder minimales Risiko einzustufen sind.

KI-Applikationen (bzw. „KI-Systeme“ wie sie der Entwurf definiert) sind primär dann mit einem unannehmbaren Risiko verbunden und damit verboten, wenn der Einsatz gegen die Werte der Union verstößt, zum Beispiel durch die Verletzung von Grundrechten (z.B. bei Manipulation menschlichen Verhaltens oder Social Scoring).

Chatbots wurden in bisherigen Diskussionen zu dem Entwurf grundsätzlich eher als Applikationen mit geringem oder minimalem Risiko eingestuft, was als Rechtsfolge lediglich zu „minimalen“ Transparenzpflichten führen würde. KI-Applikationen die dagegen mit hohem Risiko einzustufen wären, müssten grundsätzlich eine Reihe zusätzlicher Anforderungen erfüllen:

• So dürften diese gem. Art. 10 „Daten und Daten-Governance“ des Entwurfs u.a. nur mit Daten trainiert werden, die eine gewisse, in dem Entwurf näher ausgeführte, Qualität aufweisen.
• Die Applikationen müssten außerdem derart konzipiert und entwickelt sein;
  • (i) dass diese u.a. automatisch die „Vorgänge und Ereignisse“ aufzeichnen/protokollieren (Art. 12 „Aufzeichnungspflichten“);
  • (ii) dass der Betrieb hinreichend transparent ist, damit der Nutzer die Ergebnisse angemessen interpretieren und verwenden kann (Art. 13 „Transparenz und Bereitstellung von Informationen für die Nutzer“);
  • (iii) dass die Applikationen während der Dauer der Verwendung von natürlichen Personen wirksam beaufsichtigt werden können (Art. 14 „Menschliche Aufsicht“) sowie;
  • (iv) dass sie im Hinblick auf ihre Zweckbestimmung ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen und in dieser Hinsicht während ihres gesamten Lebenszyklus beständig funktionieren (Art. 15 „Genauigkeit, Robustheit und Cybersicherheit“).
• Art. 16 „Pflichten der Anbieter von Hochrisiko-KI-Systemen“ legt außerdem den Anbietern solcher Applikationen weitreichende Pflichten auf – so muss beispielsweise ein Konformitätsbewertungsverfahren durchgeführt werden.

Auch ohne europäische Verordnung ist KI allerdings in der EU oder Deutschland im Moment nicht unreguliert. Selbstverständlich können bereits geltende Gesetze auch auf KI-Applikationen im jeweiligen Einzelfall Anwendung finden. Dies ist aktuell unter den Vorschriften der DSGVO bereits zu sehen: Nach dem Verbot von ChatGPT in Italien (wir berichteten) prüfen momentan auch die deutschen Datenschutzbehörden den Einsatz in Deutschland und das European Data Protection Board (EDPB) beschloss hierzu letzte Woche die Einrichtung einer Task Force zur Förderung der Zusammenarbeit und zum Austausch von Informationen über mögliche Durchsetzungsmaßnahmen der Datenschutzbehörden. Auch unter dem neuen Digital Service Act (DSA) ist es denkbar, dass bestimmte Vorschriften auf KI-Applikationen (je nach Funktionsweise auch für LLMs denkbar) Anwendung finden könnten – so beispielsweise beim Einsatz von KI-Applikationen im Rahmen von Online-Schnittstellen unter dem Verbot von „Dark Patterns“ (Art. 25 „Gestaltung und Organisation der Online-Schnittstelle“ DSA) oder hinsichtlich der Transparenzregeln für Empfehlungssysteme unter Einsatz von KI-Applikationen (Art. 27 „Transparenz der Empfehlungssysteme“ DSA).

Im Ergebnis bleibt es bei dem Thema Regulierung von KI in Europa und Deutschland in den nächsten Wochen spannend – insbesondere mit der Ende April erwarteten Abstimmung des Europäischen Parlaments zum Entwurf der KI-Vorordnung. Ende April läuft außerdem die von der italienischen Datenschutzbehörde gesetzte Frist an den Europäischen Vertreter des Unternehmens OpenAI als Anbieter von ChatGPT ab.  Bis dahin muss der Anbieter Maßnahmen präsentieren, mit denen den identifizierten Missständen Abhilfe geschaffen werden soll. Ansonsten steht bei unzureichender Erfüllung eine Strafe von bis zu 20 Millionen EUR oder 4% des weltweiten Konzernumsatzes im Raum.