Das Europäische Parlament steht möglicherweise kurz davor, im Rahmen eines Pakets zur Erweiterung der Liste verbotener Praktiken einigen engen Bedingungen für den Einsatz biometrischer Fernidentifizierungstechnologien in Echtzeit zuzustimmen.
Die biometrische Fernidentifizierung (Remote Biometric Identification, RBI) war ein kritischer Streitpunkt in den Verhandlungen zum AI Act, einem Entwurf eines EU-Gesetzes, das künstliche Intelligenzsysteme auf der Grundlage ihres Schadenspotenzials regulieren soll.
Der AI-Gesetzentwurf befindet sich in der letzten Phase des EU-Gesetzgebungsprozesses, den sogenannten Trilogen, in denen EU-Parlament, Rat und Kommission die endgültigen Bestimmungen ausarbeiten.
Am Freitag (3. November) verteilten die Büros der Ko-Berichterstatter des Europäischen Parlaments, Dragoș Tudorache und Brando Benifei, einen Kompromisstext, der das vollständige Verbot der Echtzeit-RBI aufhob, im Austausch für Zugeständnisse bei anderen Teilen des Dossiers.
Eine ähnliche Version des Pakets wurde am Sonntag von der spanischen EU-Ministerratspräsidentschaft verbreitet. Euractiv hat beide Dokumente eingesehen, einige Details jedoch beibehalten, um die Quellen nicht zu gefährden.
Biometrische Fernidentifizierung
Im ursprünglichen Vorschlag schlug die Kommission vor, die Echtzeit-RBI-Technologie nur in bestimmten Fällen zuzulassen, beispielsweise beim Aufspüren einer vermissten Person, bei der Verhinderung eines Terroranschlags oder bei der Suche nach dem Tatverdächtigen eines schweren Verbrechens.
Im Europaparlament stimmte eine parteiübergreifende Mehrheit aus Angst vor Massenüberwachung für ein vollständiges Verbot der Nutzung dieser Systeme in Echtzeit. Im Gegensatz dazu bestanden die EU-Regierungen darauf, den Strafverfolgungsbehörden einen gewissen Spielraum für den Einsatz dieser Technologie zu lassen.
Im jüngsten Kompromiss kommen die außergewöhnlichen Umstände jedoch mit einigen Modifikationen zurück. Für das Aufspüren eines Verdächtigen sieht der Text nun vor, dass die Straftat unter eine neue Liste fallen und mit einer Höchststrafe von mindestens fünf Jahren geahndet werden muss.
Diese schweren Straftaten werden in einem neuen Anhang aufgeführt und umfassen Terrorismus, Menschen-, Drogen- und Waffenhandel, sexuelle Ausbeutung von Kindern, Mord, Entführung, unter den Internationalen Strafgerichtshof fallende Verbrechen, Geiselnahme und Vergewaltigung.
Darüber hinaus können Strafverfolgungsbehörden die genehmigten Nutzungen von Echtzeit-RBI nur dann anwenden, wenn sie das System in der öffentlichen EU-Datenbank registrieren und eine Folgenabschätzung für die Grundrechte durchgeführt haben.
Eine Justizbehörde sollte in der Regel die Echtzeitnutzung von RBI-Systemen validieren. In Ausnahmefällen kann die Genehmigung jedoch nachträglich innerhalb von 48 Stunden beantragt werden.
Sowohl in den Texten des Parlaments als auch des Rates wird die Rolle der nationalen Behörden erwähnt, die Verwendung von RBI durch Strafverfolgungsbehörden zu überwachen, wobei die Kommission befugt ist, Vertragsverletzungsverfahren gegen EU-Länder einzuleiten, wenn die Bestimmungen nicht eingehalten werden.
Verbotene Praktiken
Als Gegenleistung für die Zugeständnisse bei der biometrischen Fernidentifizierung erhielt das EU-Parlament eine Erweiterung der Liste verbotener KI-Anwendungen.
In Anlehnung an das berüchtigte Beispiel von ClearviewAI wurde der Wortlaut hinzugefügt, um „KI-Systeme zu verbieten, die Gesichtserkennungsdatenbanken durch ungezieltes und großflächiges Auslesen von Gesichtsbildern aus dem Internet oder CCTV-Aufnahmen erstellen oder erweitern.“
In ähnlicher Weise führten die Abgeordneten ein Verbot von Systemen ein, die biometrische Kategorisierungstechnologien verwenden, um auf sensible Informationen über Personen wie politische Orientierung oder sexuelle Vorlieben zu schließen. Technologie zur Emotionserkennung ist auch am Arbeitsplatz und im Bildungsbereich verboten.
Es bestehen weiterhin unterschiedliche Ansichten über den Einsatz von KI für die prädiktive Polizeiarbeit, der nach Ansicht der Abgeordneten verboten werden soll, die Mitgliedsstaaten ihn jedoch als Hochrisikoanwendung beibehalten wollen.
Ausnahmen für die Strafverfolgung
Der EU-Rat hat mehrere bedeutende Ausnahmen für Strafverfolgungsbehörden eingeführt.
Benutzer müssen den Betrieb von KI-Modellen mit hohem Risiko überwachen und die Händler informieren, wenn sie einen schwerwiegenden Vorfall feststellen. Die EU-Länder haben eine Formulierung eingeführt, die besagt, dass diese Verpflichtung keine sensiblen operativen Daten von Strafverfolgungsbehörden umfasst, eine Spezifikation, die offenbar vom Parlament akzeptiert wurde.
Darüber hinaus sollten öffentliche Stellen keine Hochrisikosysteme nutzen, die nicht in der EU-Datenbank enthalten sind. In diesem Fall scheint der Kompromiss darin zu bestehen, die Ausnahmeregelung für Strafverfolgungs- und Grenzkontrollbehörden zu streichen.
Parlamentarier scheinen auch akzeptiert zu haben, dass Strafverfolgungs- und Katastrophenschutzbehörden in Ausnahmefällen eine risikoreiche KI-Anwendung auch dann verwenden können, wenn diese noch keiner Konformitätsbewertung unterzogen wurde.
Auch Bestimmungen zur Verhinderung der Offenlegung sensibler Betriebsdaten scheinen vereinbart zu sein, beispielsweise hinsichtlich der Menge an Informationen, die der EU-Datenbank bereitgestellt werden müssen, und den Untersuchungen der Marktüberwachungsbehörden.
Befreiung von der nationalen Sicherheit
Auf Druck Frankreichs verabschiedete der Rat eine umfassende Ausnahme vom Anwendungsbereich des KI-Gesetzes für Systeme, die von Einrichtungen im Militär-, Verteidigungs- oder nationalen Sicherheitsbereich genutzt oder zur Verfügung gestellt werden.
In einem Non-Paper vom letzten Monat erklärte die Kommission, dass diese Formulierung gegen den EU-Vertrag verstoße. Damals schlug die EU-Exekutive auch einen Kompromisstext vor, der im jüngsten Dokument weitgehend übernommen wurde, jedoch zwei wesentliche Änderungen aufwies.
Der Satz: „Diese Verordnung gilt nicht für KI-Systeme, die ausschließlich für militärische Zwecke entwickelt oder verwendet werden.“ wurde hinzugefügt.
Gleichzeitig wurde der Wortlaut beibehalten, dass „diese Verordnung die Zuständigkeiten der Mitgliedstaaten im Hinblick auf ihre Aktivitäten in den Bereichen Militär, Verteidigung oder nationale Sicherheit unberührt lässt“. Allerdings wurde der Hinweis, dass dies im Einklang mit EU-Recht stehen muss, gestrichen.
Im Einklang mit der nationalen Sicherheitsausnahme des Datengesetzes könnte nach einer alternativen Formulierung gesucht werden.
[Edited by Nathalie Weatherald]
