Bei mehr als jedem zweiten Unternehmen (56 Prozent) sind bereits innovative Projekte wegen direkter Vorgaben oder Unklarheiten in der Auslegung der DSGVO gescheitert, wie eine Umfrage des Digitalverbands Bitkom zeigt. Bei drei von zehn (31 Prozent) scheiterte dadurch auch die Anwendung neuer Technologien wie Künstliche Intelligenz (KI). Angesichts dieser Unsicherheiten hatten mehrere Wirtschaftsverbände einheitliche Datenschutzvorgaben für die Nutzung von KI gefordert.
Die EU-Grundverordnung für Künstliche Intelligenz – Artificial Intelligence Act
Nun will die Europäische Union (EU) erstmalig bei dem Einsatz von KI Standards setzen, um die Datennutzung zu diesem Zweck zu erleichtern und das Vertrauen in die Technologie zu stärken. Dazu hat die EU-Kommission den ersten Entwurf des Artificial Intelligence (AI) Act veröffentlicht, der aktuell im EU-Parlament diskutiert wird und anschließend als europäisches Recht verabschiedet werden soll.
Zuvor ließ sich die Kommission von zahlreichen Stakeholdern aus dem öffentlichen und privaten Sektor beraten. Mit Hilfe von Fragebögen konnten Regierungen, kommerzielle und nichtkommerzielle Organisationen, Akademiker und Bürger die von ihnen gewünschten Maßnahmen äußern.
Daraus entstanden ist ein erster Gesetzesentwurf, der im Vergleich zu früheren Entwürfen verschärfte Sanktionen vorsieht. So wurde die Strafe für Unternehmen bei schweren Verstößen von vier Prozent auf bis zu sechs Prozent des weltweiten Umsatzes erhöht. Worauf müssen Firmen also bei der Verwendung von KI achten und was ist gemäß der neuen Verordnung verboten?
Als risikobasierter Ansatz legt die Verordnung eine Reihe von Risiko-Anwendungen fest, die nur unter strengen Vorgaben erlaubt sind. Unterschieden werden die Anwendungen dabei in vier Kategorien. Dabei gilt die Regel: Je höher das Risiko ist, desto strenger findet eine Regulierung statt.
Unannehmbares Risiko: KI-Systeme, die eine deutliche Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen sind, werden verboten. Firmen und Staaten dürfen KI-Software grundsätzlich nicht einsetzen, um das Verhalten von Nutzern zu manipulieren oder um Social Scoring zu betreiben. Das Auswerten und Belohnen sozialen Verhaltens, wie es Chinas Regierung praktiziert, sollen so unterbunden werden.
Hohes Risiko: Ein hohes Risiko entsteht bei KI-Systemen für private und öffentliche Dienstleistungen, welche beispielsweise die Kreditwürdigkeit von Bürgern benoten oder beim Betrieb des Strom- oder Gasnetzes eingesetzt werden. Hier geht es zudem um KI-Programme, die in sensiblen Bereichen wie Schul- oder Berufsausbildung eingesetzt werden und den Zugang einer Person zur Bildung sowie zum Berufsleben beeinträchtigen könnten. Dazu zählt zum Beispiel Software zur Auswertung von Lebensläufen für Einstellungsverfahren.
Bei diesen hochriskanten Fällen verlangt das Gesetz, dass die Daten, die zum Trainieren der Software verwendet werden, hochwertig sind und Gruppen nicht diskriminieren. Der Umgang mit derartigen KI-gestützten Systemen muss transparent gehalten werden. Zudem sollte die Software permanent und gründlich von Menschen überwacht und im Notfall schnell deaktiviert werden können.
Die zwei verbleibenden Kategorien der Anwendungen mit geringen oder minimalen Risiken definieren im Wesentlichen lediglich eine Transparenzpflicht, die darin besteht, dass Nutzern eindeutig dargestellt werden muss, dass sie mit einem KI-System interagieren.
Durch Transparenz und klaren Gesetzen Vertrauen und Akzeptanz für KI-Systeme schaffen
Befürworter der Richtlinien des Artificial Intelligence Act begrüßen diese angestrebte Minimierung der Risiken, die von hochriskanten KI-Systemen ausgehen. Denn Transparenz und klare Vorgaben sind wichtig, um Vertrauen und Akzeptanz für Künstliche Intelligenz zu schaffen. Darüber hinaus erhalten KI-Anbieter dank einheitlicher Richtlinien und höherer Rechtssicherheit Zugang zu größeren Märkten.
Doch diese Regulierungen stoßen nicht nur auf Zuspruch. Kritiker bemängeln, dass die EU die noch junge KI-Technologie überreguliere. Die Kommission betont aber, dass die meisten Anwendungen nicht riskant und damit vom Rechtsakt nicht betroffen seien.
Ähnlich wie bei der DSGVO, die seit 2018 in der EU gilt und weltweit Nachahmer fand, will die Behörde auch beim Umgang mit Künstlicher Intelligenz globale Maßstäbe setzen. Doch zunächst müssen die EU-Staaten und das Europaparlament über die Vorschläge verhandeln. Es dürfte also noch eine Weile dauern, ehe in der EU neue Regeln gelten. Achim Berg, Präsident des Branchenverbandes Bitkom mahnt jedoch zur Eile: „Unsicherheit und langwierige Abstimmungsprozesse würden dringend notwendige Investitionen verzögern oder verhindern.“
Die Schaffung einheitlicher Standards kann nicht nur dafür sorgen, dass die EU international wettbewerbsfähig bleibt, sondern auch den Weg für ethische KI ebnen. Die Kommission positioniert sich mit der Verordnung entschieden gegen Manipulation oder Beeinflussung von Personen durch KI. Doch wo verläuft die Grenze zwischen Manipulation und dem erlaubten Betätigungsfeld von Künstlicher Intelligenz? In einem weiteren Blog-Artikel werden wir die ethischen Gesichtspunkte der neuen Verordnung und grundsätzliche Fragen zur vertrauenswürdigen KI unter die Lupe nehmen.
Vertrauen ist bei Künstlicher Intelligenz wichtig für die Akzeptanz. Je komplexer die zugrunde liegende KI-Lösung ist, desto weniger ist nachvollziehbar, wie ein bestimmtes Ergebnis ermittelt wurde. Als Beispiel lassen sich Lösungsansätze mit neuronalen Netzen und einer Vielzahl von sogenannten “hidden Layers” anführen. Hier setzt die Idee der Explainable AI (XAI) an, die die Wirkungsweise einer KI erklärbar machen soll. Grundsätzlich finde ich es wichtig, dass die EU-Kommission nun einen Versuch in diese Richtung unternimmt, der aber aus meiner Sicht grundsätzlich als “erster Aufschlag” gesehen werden kann.
Ich sehe aber gleichermaßen auch ein Risiko darin, dass die Innovationsbereitschaft von Unternehmen durch stärkere Regulierungen gehemmt wird und die Entwicklung von KI-Lösungen teurer und komplexer wird.
Eine nachvollziehbare Risikobewertung ist nötig
Es ist mir ein besonderes Anliegen, dass Konzepte wie XAI stärkere Beachtung finden und Unternehmen bei der Umsetzung von KI-Anwendungen hinreichende Unterstützung bei der hohen Qualität der Datensätze oder einem Risikobewertungsmanagement angeboten wird. Ebenso wäre eine noch klarere Definition von “Hochrisikoanwendung” wünschenswert. Beispielsweise sehe ich es als kritisch an, dass bereits eine Anwendung zur Ermittlung der Kreditwürdigkeit so hohen Einschränkungen unterliegen soll, weil damit der “Zugang zu finanziellen Ressourcen” eingeschränkt werden kann, während ein “deep fake”, der durchaus meinungsbildend oder als Beweis missbraucht werden könnte, ein sehr geringes Risiko darstellt.
Ersteres ist spannend, zumal es ja die Ressourcen des jeweiligen Kreditgebers sind und dieser nach wie vor das Ausfallrisiko tragen soll. Ebenso kann ich mir sogar vorstellen, dass jemand, der über die normalen Kriterien der Kreditvergabe keinen Kredit bekommen würde, mithilfe von KI ein re-scoring erfahren könnte, da die Zahlungsbereitschaft und Zuverlässigkeit der Vergangenheit doch eine entsprechende Kreditvergabe ermöglichen würde.
Europa muss schauen, dass es seinen Abstand zu den USA und China, der zweifellos durch strengere Datenschutzmaßnahmen vorhanden ist, durch zusätzlich strenge Auflagen an KI-Anwendungen vergrößert. Ein Gleichgewicht zwischen Schutz vor Missbrauch und Innovationsfreiheit der Unternehmen gilt es zu definieren – keine einfache Aufgabe, diese divergierenden Ziele zu vereinen. Insgesamt sehe ich doch viele Parallelen zu der DSGVO und dem Inverkehrbringen eines Medizinproduktes gemäß dem Medizinproduktegesetz (MPG).
EIn Beitrag von Prof. Dr. Marco Barenkamp, Vorsitzender des wissenschaftlichen Beirats der Studiengesellschaft für Künstliche Intelligenz e.V.
Quellen:
