Angestoßen wurde der AI Act der Europäischen Union schon deutlich vor ChatGPT und Co. Er gilt als der weltweit bisher detailreichste Regulierungsversuch für künstliche Intelligenz (KI). Aktuell steht die Abstimmung im EU-Parlament an. Im schnellsten Fall könnte das Gesetz noch in diesem Jahr verabschiedet werden und würde dann nach allerdings noch zwei Jahren Übergangsfrist europaweit in Kraft treten.
PD Dr. Matthias Kettemann vom Hans-Bredow-Institut für Medienforschung betonte die hohe Bedeutung dieser Regulation gerade im Kontext der aktuellen Diskussion um eine „Auslöschung der Menschheit“ durch KI, an der sich auch führende KI-Entwickler beteiligen. Das sei Angstmacherei und Überschätzung des Risikos, so Kettemann, vor allem aber drohten kleinere und realere Gefahren durch diese Diskussion überlagert zu werden.
Welche Nachschärfungen sind nötig?
Der AI Act kann hier gegensteuern, denn er adressiert nicht den Weltuntergang sondern eben die etwas unmittelbareren Risiken. Dem Act lägen zwei Prinzipien zugrunde, so Kettemann, nämlich zum einen ein risikobasierter Ansatz, der darauf abziele, vor allem dort zu regulieren, wo es besondere Risiken gibt. Zum anderen will der AI Act nicht so sehr auf die Technologie an sich fokussieren, sondern auf die Auswirkungen in der Gesellschaft – was wiederum relevant wird für die Ansatzpunkte von Regulierung, die keineswegs nur bei den Entwicklern der Algorithmen und Modelle liegen sollen.
Kettemann sieht noch Bedarf an einigen Nachschärfungen im Kommissionsentwurf und hofft diesbezüglich auf das Parlament und darauf, dass die Änderungen danach auch beibehalten werden. Er denkt dabei vor allem an ein Verbot von KI-gestützten biometrischen Erkennungssystemen, insbesondere was die Echtzeiterkennung angeht. Das war von der Kommission so ursprünglich nicht vorgesehen worden, soll jetzt aber – mit einigen Ausnahmen im Bereich der Strafverfolgungsbehörden bei besonders schweren Straftaten – kommen.
Wichtig sei auch, dass das Recht auf Beschwerden über KI-Systeme gestärkt werde, so Kettemann. Dieser „menschenrechtszentrierte“ Ansatz fand sich schon im ursprünglichen Entwurf, könne aber noch ausgebaut werden, sagte der Experte, der außerdem noch Klärungsbedarf in Sachen emotionsbezogener Erkennungssysteme insbesondere am Arbeitsplatz und in Bildungseinrichtungen sowie bei Systemen zur Wählerbeeinflussung sieht.
Viele offene Fragen beim Conformity Asssessment
Prof. Dr. Sandra Wachter vom Internet Institute der Universität Oxford unterstrich, dass Europa mit dem AI Act gerade Geschichte schreibe. Regulatorisches Herzstück sei das Conformity Assessment, bei dem Entwickler von KI-Lösungen sich selbst bewerten und zertifizieren dahingehend, ob sie sich im Hochrisikobereich befinden oder nicht. Eine Ausnahme sind die angesprochenen biometrischen Systeme, bei denen das Assessment durch Dritte erfolgen soll. Wachter sieht darin eine Übergangslösung, wobei das Prozedere für diesen Übergang zu einem dann regelhaft externen Assessment ihrer Meinung nach noch genauer beschrieben werden sollte.
Eine andere, zwangsläufig noch offene Flanke sind die konkreten Standards, nach denen die KI beurteilt werden sollen. Die gibt es noch nicht, sie sollen von den Standardisierern von CEN-CENELEC ausgearbeitet werden. Sie frage sich, so Wachter, ob das eine gute Idee sei. Denn in den Arbeitsgruppen dieser Organisation säßen hauptsächlich Industrievertreter:innen, sodass am Ende die Industrie entscheide, ob sie einem Standard entspreche, den sie auch noch hauptsächlich selbst geschrieben habe.
Atomenergiebehörde für die KI?
Generell dürften die eigentlichen Herausforderungen dann beginnen, wenn es an die Konkretisierung geht. Prof. Ulrike Luxburg von der Universität Tübingen nannte das Beispiel Bias bzw. Diskriminierung. Hier stelle sich die Frage, wie das konkret umgesetzt und dann kontrolliert werden solle. Die von vielen immer wieder eingeforderte Transparenz sei zumindest für einige der KI-Modelle schlicht nicht umsetzbar, sodass sich aus Luxburgs Sicht die Frage stellt, ob auf bestimmte Anwendungen deswegen nicht von vornherein komplett verzichtet werden sollte: „Gerade bei den generativen Sprachmodellen fehlt mir letzten Endes die wahrscheinlich staatliche Kontrolle.“
Interessant sind in diesem Zusammenhang von internationalen KI-Expert:innen um den OpenAI Geschäftsführer Sam Altmann gemachte Vorschläge, wonach an der Spitze eines internationalen regulatorischen Rahmens für KI eine Art Internationale Atomenergiebehörde stehen könnte. Diese könnte in Zusammenarbeit mit den nationalen Regulierungsbehörden einerseits Sicherheitsstandards definieren. Andererseits hätte sie Kontrollbefugnisse und könnte zum Beispiel Rechenkapazitäten tracken, um abzuschätzen, welche Art von KI-Training an unterschiedlichen Stellen möglich ist. Sie könnte, internationaler Konsens vorausgesetzt, auch festlegen, welche technischen Verfahren – Stichwort Urananreicherung – begrenzt werden sollten.
Und immer an die Keramik denken
Verabschieden sollte man sich von dem Glauben, dass die KI-Regulierung durch eindimensionale Verbotspolitiken umgesetzt werden kann. Wachter machte das an dem Beispiel von Keramik-Vasen deutlich, wo die Haftung für mögliche „Katastrophen“ ebenfalls verteilt sei. Der Hersteller des Tons hafte unter anderem dafür, dass keine toxischen Stoffe enthalten sind. Die Hersteller der Vasen müssen gewährleisten, dass ihre Produkte gewissen Vasenstandards entsprechen, die einen Einsatz als Vase und primär als Vase sicherstellen.
Aber auch die Anwender:innen sind in der Pflicht: Wer eine Vase dem Nachbarn über den Kopf zieht, der kann dafür weder den Hersteller des Tons noch den Produzenten der Vase verantwortlich machen. Bei der KI wären die entsprechenden drei Ebenen zum einen die Entwickler der Basistechnologie, also zum Beispiel der großen Sprachmodelle, zum zweiten die Hersteller konkreter Anwendungen wie ChatGPT oder, im medizinischen Kontext, ein Diagnose-Chatbot. Und zum dritten können und sollten auch hier die Anwenderinnen und Anwender in die Haftung genommen werden, die sich an „übergeordnete“ Spielregeln, sprich Gesetze, halten müssen.