01/2024 – Fachartikel von Yahya Mohamed Mao, Swiss GRC AG & Michael Widmer, Swiss Infosec AG
Im November 2023 haben Deutschland, Frankreich und Italien, drei wichtige Akteure in der Europäischen Union, eine bahnbrechende Vereinbarung über die Regulierung der künstlichen Intelligenz (KI) getroffen. Wie Euronews berichtete, stellt diese Vereinbarung einen wichtigen Schritt bei der Gestaltung der Zukunft der KI in der EU dar. Sie stellt nicht nur eine gemeinsame Anstrengung der grossen EU-Volkswirtschaften dar, sondern ist auch ein strategischer Schritt, um die rasante Entwicklung der KI-Technologien mit den notwendigen rechtlichen Rahmenbedingungen in Einklang zu bringen. Dieser Konsens ist besonders bemerkenswert im Zusammenhang mit den allgemeinen Bemühungen der EU, einen einheitlichen und effektiven Ansatz für die KI-Governance zu schaffen und unterstreicht das Engagement der Union, die globale Diskussion in diesem kritischen und sich ständig weiterentwickelnden Bereich anzuführen.
Am 9. Dezember2023 erzielten die Vertreter des Europäischen Parlaments und des Rates nach mehrtägigen Debatten eine Einigung über den AI Act. Es muss jedoch noch vom Parlament und vom Rat formell verabschiedet werden, bevor es voraussichtlich anfangs 2024 in Kraft treten kann. Frankreich, Deutschland und Italien gehörten zu den grösseren Mitgliedstaaten, die sich anfänglich gegen die Verordnung aussprachen, was die Bemühungen um eine Verabschiedung des Gesetzentwurfs im Europäischen Parlament insgesamt zu gefährden drohte.
Der Ruf der EU als regulatorisches Machtzentrum
Im breiteren Kontext der KI-Regulierung hat die Europäische Union eine Vorreiterrolle eingenommen, indem sie das komplexe Zusammenspiel zwischen der Förderung technologischer Innovation und der Gewährleistung einer ethischen Governance steuert. Die proaktive Haltung der EU bei der KI-Regulierung spiegelt die Verpflichtung wider, ein Gleichgewicht zwischen technologischem Fortschritt und der Wahrung gesellschaftlicher Werte herzustellen. Dieser Ansatz hat der EU eine Vorreiterrolle bei der Regulierung verschafft, wenn auch nicht ohne Kritik an ihrer Effektivität und Inklusivität.
Deutschland, Frankreich und Italien haben als Schlüsselfiguren in der EU die KI-Politik massgeblich mitgestaltet. Ihre Einigung auf eine KI-Regulierung, die eine obligatorische Selbstregulierung für Foundation Models vorsieht, war ein entscheidender Moment in der KI-Governance der EU und hat die Ausgestaltung des AI Acts massgeblich beeinflusst. Die trinationale Vereinbarung spiegelt einen einheitlichen Ansatz zur Regulierung der Anwendung der KI und nicht der Technologie selbst wider und unterstreicht die Bedeutung von Modellkarten für Transparenz und Verantwortlichkeit. Ihre kooperative Haltung deutet auch auf einen breiteren EU-Trend hin, verschiedene nationale Perspektiven in einen kohärenten Regulierungsrahmen zu integrieren. Dieser Einfluss der grossen Volkswirtschaften auf die Politikgestaltung der EU hat jedoch Diskussionen ausgelöst. Kritiker argumentierten, dass diese Länder ihre eigenen Interessen oder die der grossen Technologieunternehmen in den Vordergrund stellen und damit möglicherweise die kollektiven Bedürfnisse der EU in den Schatten stellen könnten. Diese Situation unterstreicht die Herausforderung für die EU, einen einheitlichen Ansatz für die KI-Governance beizubehalten und dabei die unterschiedlichen Interessen ihrer Mitgliedsstaaten zu berücksichtigen.
Das Konzept der obligatorischen Selbstregulierung
Der AI Act zur KI-Regulierung in der EU stellt einen bedeutenden Wandel in der Governance der künstlichen Intelligenz dar, insbesondere im Hinblick auf die obligatorische Selbstregulierung von Foundation Models. Diese Modelle, die für die Erzeugung verschiedener KI-Ergebnisse von zentraler Bedeutung sind, unterliegen nun einer Regulierung, die sich mehr auf ihre Anwendung als auf die Technologie selbst konzentriert. Dies ist ein entscheidender Schritt hin zu mehr Transparenz und Verantwortlichkeit in der KI-Entwicklung.
Mit dem Konzept der obligatorischen Selbstregulierung wird ein nuancierter Ansatz für die Governance eingeführt. Indem die Entwickler von Foundation Models verpflichtet werden, „Modellkarten“ zu definieren, schreibt der AI Act ein Mass an Selbsteinschätzung und Offenlegung vor, das zuvor fehlte. Diese Modellkarten sollen umfassende Informationen über die Funktionsweise, die Fähigkeiten und die Grenzen von KI-Modellen liefern. Diese Massnahme zielt darauf ab, KI-Technologien für Regulierungsbehörden und die Öffentlichkeit zu entmystifizieren, was zu fundierteren Entscheidungen über ihren Einsatz und ihre Nutzung führen kann.
Dieser Regulierungsansatz gibt jedoch auch Anlass zu Bedenken hinsichtlich seiner Wirksamkeit und der potenziellen Belastung, die er für KI-Entwickler bedeutet. Die Forderung nach einer detaillierten Offenlegung könnte als zusätzliche bürokratische Hürde angesehen werden, die insbesondere für kleinere Unternehmen mit begrenzten Ressourcen innovationshemmend wirken könnte. Die Verordnung zielt zwar darauf ab, dieses Problem zu lösen, indem die obligatorische Selbstregulierung auf alle KI-Anbieter unabhängig von ihrer Grösse ausgeweitet wird, doch bleibt abzuwarten, wie sich dies in der Praxis auswirken wird.
Darüber hinaus ist das Gleichgewicht zwischen Regulierung und Innovation ein heikles Thema. Die EU gilt traditionell als Vorreiter bei Regulierung, aber es besteht die Gefahr, dass strenge Vorschriften die Innovation in der schnelllebigen KI-Branche ersticken könnten.
KI und Gesellschaft: Das ethische Dilemma der EU verstehen
Amnesty International hat im Prozess der KI-Regulierung in der EU wiederholt auf Risiken für Grundrechte hingewiesen, die von KI-Technologien ausgehen. Die Generalsekretärin von Amnesty International, Agnes Callamard, betonte, dass die Dichotomie zwischen Innovation und Regulierung irreführend ist und oft von Technologieunternehmen genutzt wird, um sich einer strengen Rechenschaftspflicht zu entziehen. Die Organisation weist auf die Risiken hin, die KI insbesondere bei der Massenüberwachung, der Polizeiarbeit, der Verteilung von Sozialleistungen und an den Grenzen birgt, wo KI-Technologien Diskriminierung und Menschenrechtsverletzungen verstärken können. Marginalisierte Gruppen wie Migranten, Flüchtlinge und Asylbewerber seien diesen Risiken am stärksten ausgesetzt.
Der Regulierungsansatz der EU steht somit vor einem Dilemma: Er soll einerseits die Innovation fördern und andererseits sicherstellen, dass KI-Systeme, insbesondere solche, die in kritischen Bereichen wie der öffentlichen Sicherheit und Wohlfahrt eingesetzt werden, strenge Transparenz- und Rechenschaftsmassnahmen einhalten. Die Herausforderung besteht darin, einen soliden Rechtsrahmen zu schaffen, der sowohl ethische Erwägungen als auch die dynamische Natur der KI-Fortschritte berücksichtigt.
KI und Datenschutz
Der AI Act der EU geht mit seinem risikobasierten Ansatz einen Weg, der aus dem Datenschutz und der Datenschutz-Grundverordnung (DSGVO) bekannt ist: KI-Anwendungen werden – analog zur Verarbeitung personenbezogener Daten – in verschiedene Risikokategorien mit unterschiedlichen Risikostufen eingeteilt. Je höher das Risiko, desto höher die regulatorischen Anforderungen. Der AI Act versteht sich daher als Ergänzung zur DSGVO in spezifischen KI-Fragen. Aber bedenken Sie: Mehr als jedes zweite Unternehmen hat neue, innovative Projekte an der DSGVO scheitern sehen, entweder aufgrund direkter Anforderungen oder aufgrund von Unklarheiten bei der Auslegung der DSGVO. In drei von zehn Unternehmen scheiterte der Einsatz neuer Technologien wie KI an den Folgen[1].
Auch wenn der Einsatz von KI keine völlig neuen Probleme für den Datenschutz aufwirft, bleibt der Aufwand für die Unternehmen hoch bzw. wird weiter zunehmen. Grund dafür sind die umfangreichen Informations- und Transparenzpflichten, die Gewährleistung der Rechte der betroffenen Personen und die Sicherstellung der notwendigen technischen und organisatorischen Massnahmen.
In diesem sich entwickelnden Szenario wird die Bedeutung von Governance, Risk und Compliance (GRC) immer wichtiger. Wirksame GRC-Strategien sind nicht nur unerlässlich, um diese komplexen Vorschriften zu meistern, sondern auch der Schlüssel dazu, dass Unternehmen die Möglichkeiten der KI verantwortungsvoll und ethisch einwandfrei nutzen können. Während der AI Act also darauf abzielt, die mit KI verbundenen Risiken zu mindern, unterstreicht er gleichzeitig die Notwendigkeit robuster und anpassungsfähiger GRC-Rahmenwerke. Diese Rahmenwerke sind unerlässlich, um ein harmonisches Gleichgewicht zwischen der Förderung von Innovationen, der Einhaltung gesetzlicher Vorschriften und der Gewährleistung einer ethischen Unternehmensführung in dem sich schnell entwickelnden Bereich der KI-Technologien zu schaffen.
Der Ansatz der EU in einem globalen Kontext
Der AI Act wird erhebliche globale Auswirkungen haben und könnte einen Präzedenzfall für die KI-Governance weltweit schaffen. Er zielt darauf ab, eine umfassende KI-Regelung zu schaffen, die globale Standards beeinflussen und den bedeutenden Verbrauchermarkt der EU nutzen soll, um den so genannten Brüsseler-Effekt auszulösen. Der AI Act deckt KI-Systeme ab, die in Branchen wie der Luftfahrt, der Automobilindustrie und der Medizintechnik eingesetzt werden. Unternehmen, die nach Europa exportieren, müssen sich an diese Normen halten, was zu einer breiteren Übernahme von EU-Vorschriften führen könnte – der Brüsseler-Effekt. Dieser Einfluss könnte jedoch durch internationale Unternehmen und Normungsgremien, die entsprechende Normen zu den spezifischen Anforderungen des AI Acts festlegen, abgeschwächt werden. Vielmehr ist aber zu erwarten, dass die Verordnung ähnliche Regelwerke weltweit inspirieren könnte. Da sich die KI weiter entwickelt, könnte das EU-Modell mit seinem Schwerpunkt auf einem ausgewogenen Verhältnis zwischen Innovation und Regulierung anderen Ländern, die sich mit der Komplexität der KI-Regulierung auseinandersetzen, als Vorlage dienen. Folglich wird sich das Ausmass des Brüsseler-Effekts und die Rolle der EU als globaler Regulierungsführer im Bereich der KI in dem Masse weiterentwickeln, in dem sich andere Länder und internationale Gremien mit diesen Regelungen befassen und darauf reagieren.
Was ist zu erwarten?
Die KI-Regulierung ist ein entscheidender Moment für die Europäische Union, der eine neue Richtung in der KI-Governance vorgibt. Ihr Fokus auf verpflichtende Selbstregulierung und anwendungsbasierte Regulierung könnte die globale KI-Politik beeinflussen, wenn auch mit nuancierten Auswirkungen auf verschiedene Sektoren und KI-Systeme. Diese Einigung unterstreicht die Notwendigkeit laufender Diskussionen und Anpassungen in der KI-Regulierung, insbesondere angesichts der raschen Entwicklung der KI-Technologien und ihrer gesellschaftlichen Auswirkungen. Es besteht jedoch nach wie vor die Sorge, ein Gleichgewicht zwischen Innovation und ethischer Steuerung zu finden und sicherzustellen, dass die Vorschriften integrativ und wirksam sind und den technologischen Fortschritt nicht behindern. Der Erfolg dieses Regulierungsansatzes wird von seiner Umsetzung und seiner Fähigkeit abhängen, unterschiedliche Interessen innerhalb der EU und darüber hinaus zu harmonisieren. Im schlimmsten Fall wird Europa zu einer Region, in der eine Überregulierung die Innovation im Bereich der künstlichen Intelligenz hemmt und eine Landschaft schafft, in der der technologische Fortschritt hinter anderen globalen Mächten zurückbleibt. Diese Möglichkeit unterstreicht die dringende Notwendigkeit für die EU, ihren Rechtsrahmen kontinuierlich zu verfeinern und sicherzustellen, dass er Innovationen fördert und gleichzeitig ethische Standards und gesellschaftliche Werte schützt.
Bei Fragen stehen wir Ihnen gerne zur Verfügung.
Swiss Infosec AG; 24.01.2024
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
Swiss GRC AG
+41 41 220 75 00, office@swissgrc.com
[1] Bitkom-Umfrage: https://www.bitkom.org/Presse/Presseinformation/Jedes-2-Unternehmen-verzichtet-aus-Datenschutzgruenden-auf-Innovationen