Wie die EU Künstliche Intelligenz regulieren will
Anfang Dezember letzten Jahres einigten sich Unterhändler:innen des EU-Parlaments mit jenen der einzelnen EU-Staaten auf einen - weltweit bisher einzigartigen - Gesetzesentwurf, der den Einsatz von Künstlicher Intelligenz regeln soll (englische Originalversion der Pressemeldung unter diesem Link, in Deutsch unter diesem Link). Gleichzeitig sollen die Regeln aber auch flexibel genug sein, um wichtige digitale Innovationen nicht abzuwürgen bzw. zu verhindern. Von vielen gefeiert, einige Aspekte auch weiterhin unter kritischer Beobachtung: Was steckt hinter der Einigung?
Eines vorweg: Bisher liegt eben nur der Entwurf des Gesetzes vor und muss noch den demokratischen Weg beschreiten. EU-Parlament und EU-Rat (also die Vertretung der Regierungen der einzelnen EU-Länder) können noch an diesem feilen, um dann über ihn abzustimmen. Mit einem Beschluss wird 2024 gerechnet, gültig wird das Gesetz vermutlich ab 2026 sein.
Vier Kategorien im Umgang mit KI
Grundsätzlich wird Künstliche Intelligenz bzw. werden KI-Systeme in diesem Entwurf in vier Gruppen unterteilt, die verschiedene Verpflichtungen mit sich bringen:
- Minimales Risiko: Die große Mehrheit der KI-Systeme fällt in diese Kategorie. KI-gestützte Empfehlungssysteme oder Spam-Filter stellen laut EU wenig oder kein Risiko für die Rechte oder die Sicherheit der EU-Bürger:innen dar. Daher unterliegen sie grundsätzlich keinen Regularien, Unternehmen können sich aber zusätzlichen Verhaltenskodizes unterwerfen bzw. sich diese selbst auferlegen.
- Hohes Risiko: Alle in diese Kategorie fallenden Systeme müssen hohe Auflagen erfüllen, in besonderen Fällen zum Beispiel auch menschliche Aufsicht oder Letztkontrolle. Damit sollen etwa besonders sensible Bereiche wie die öffentliche Daseinsvorsorge (Güter und Dienstleistungen, die dem Gemeinwohl dienen) speziell geschützt werden.
- Unannehmbares Risiko: Systeme dieser Kategorie werden grundsätzlich verboten. Dazu gehören KI-Anwendungen, die menschliches Verhalten manipulieren, um den freien Willen der Nutzer:innen zu umgehen, sowie bestimmte Anwendungen der vorausschauenden polizeilichen Überwachung.
- Besondere Transparenzverpflichtungen: Diese gelten immer dann, wenn Nutzer:innen auf eine Maschine treffen und dies nicht unbedingt selbst erkennen können. Von den Unternehmen muss sichergestellt werden, dass KI-generierte Inhalte gekennzeichnet werden. So sollen etwa Deepfakes unter Kontrolle gebracht bzw. zumindest kenntlich gemacht werden.
Kritiker:innen sehen Schlupflöcher
Größtenteils wird der Entwurf als durchaus ambitionierter Versuch wahrgenommen, die neuen Herausforderungen durch die Entwicklungen auf dem Feld der Künstlichen Intelligenz in klare Bahnen zu lenken. Der flächendeckende Einsatz von Gesichts- oder Emotionserkennungssoftware (siehe dazu auch diesen LW-Artikel oder unsere Praxis-Idee "Gesichtserkennung und KI" [Sek I, Sek II]) wird etwa strikt verboten - in wenigen speziellen Fällen und unter strengen Auflagen allerdings erlaubt.
Kritiker:innen bemängeln, dass gerade diese Ausnahmen sehr schwammig formuliert sind und unter Umständen zum Einfallstor für einen schädlichen Einsatz von KI-Systemen werden könnten. Gespannt wird man daher auch noch in den nächsten Monaten beobachten müssen, welche Veränderungen in den momentanen Entwurf noch eingearbeitet werden und wie das Gesetz bei Beschlusslage aussehen wird.