Am Mittwoch (13. März) hat das Europäische Parlament seine erste umfassende Verordnung zu künstlicher Intelligenz (KI) verabschiedet, es bleiben jedoch noch große Fragen zur Umsetzung des Gesetzes.
„Es besteht Klarheit darüber, was wir heute haben könnten, aber es mangelt an Klarheit darüber, was kommen könnte“, sagte Kirsten Rulf, Partnerin und stellvertretende Direktorin der Boston Consulting Group in Bezug auf Leitlinien, Verhaltenskodizes und delegierte Rechtsakte.
Weltweit handelt es sich bei dem Gesetz um die ersten detaillierten Regeln für die Entwicklung und den Einsatz von KI-Technologie, die rasant voranschreitet.
Um diese rasante Entwicklung im perfekten Moment zu veranschaulichen, veröffentlichte das US-Startup Cognition AI am Vorabend der Abstimmung über den AI Act im Parlament ein automatisiertes Tool, das komplette Softwareentwicklungsaufgaben übernehmen kann.
Angesichts dieser Entwicklungsgeschwindigkeit handele es sich bei dem Gesetz eher um ein „flüssiges Dokument“, sagte Rulf, die das KI-Gesetz in ihrer vorherigen Rolle als Politikberaterin des Bundeskanzleramts mitverhandelt hatte.
Das Gesetz legt eine risikobasierte Bewertung fest, wie verschiedene Einsatzmöglichkeiten von KI reguliert werden, wobei einige davon verboten sind und andere strengeren Regeln unterliegen.
Wichtige Aspekte der Gesetzgebung müssen noch vereinbart werden, einschließlich technischer Umsetzungsstandards und Richtlinien. Darüber hinaus werden sie in den nächsten Monaten und Jahren einem Überprüfungsprozess unterzogen, um festzustellen, ob sie noch relevant sind.
Innerhalb von sechs Monaten werden bestimmte Nutzungen der KI-Technologie verboten, die Liste wird jedoch nach sechs Monaten überprüft. Dazu gehören bestimmte Anwendungen der biometrischen Identifizierung. Auch andere Kategorien, darunter solche mit hohem Risiko, werden überprüft.
Menschenrechtsgruppen haben Bedenken geäußert, dass das Gesetz beim Schutz von Einzelpersonen nicht weit genug geht, insbesondere bei der Verwendung biometrischer Daten und KI im Einwanderungskontext, etwa bei Identitätskontrollen.
Unternehmen drohen bei Nichteinhaltung Bußgelder von bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes.
Die vollständige Umsetzung ist für 2026 geplant, für bereits auf dem Markt befindliche KI-Systeme gilt jedoch eine längere Compliance-Frist, bei einigen sogar bis 2030.
Von den Unternehmen wird weitgehend erwartet, dass sie selbst beurteilen, ob ihre Systeme ein hohes Risiko darstellen. Gruppen der Zivilgesellschaft befürchten jedoch, dass dies zu unangemessenen Ausnahmen führen könnte.
Festlegung von Standards
„Der Kern der Regulierung“ wird darin bestehen, wie Standards festgelegt und harmonisiert werden, die den Rechtstext in technische Spezifikationen übersetzen, sagte Sandra Wachter, Professorin für Technologie und Regulierung am Oxford Internet Institute, gegenüber Euractiv.
Ein Großteil dieser Arbeit werde von bestehenden Normungsgremien übernommen, die sich größtenteils aus Vertretern der Industrie zusammensetzen, sagte sie. Dies sei „bedauerlich“, da Stimmen aus der Zivilgesellschaft weitgehend ausbleiben würden, fügte sie hinzu.
Bei der Ausarbeitung des Gesetzes mussten sich die Politiker entscheiden, ob sie diese Arbeit den Normungsgremien überlassen oder sie der Kommission überlassen sollen, sagte der Mitberichterstatter für das Dossier und rumänische Renew-Abgeordnete. Dragoş Tudorache.
Sie entschieden sich für die letztere Option, weil sie es für wichtig hielten, dass die Standards „die Realität vor Ort berücksichtigen“, mit der die Leute, die KI entwickeln, mehr Kontakt haben als das politische Entscheidungsgremium, sagte der Europaabgeordnete.
Tudorache ist sich der Gefahr bewusst, dass die Industrie diese Standards beeinflusst, sagte aber, dass dies „nicht unbedingt eine schlechte Sache“ sei. Im Gegenteil: Man braucht Standards, die praktikabel sind und der Realität entsprechen.“
Er sagte, die Kommission, insbesondere das neu eingerichtete KI-Büro, könne ergänzende Standards und Richtlinien verfassen.
Das neue KI-Büro und die Normungsgremien hätten mit dieser Arbeit bereits begonnen, sagte Tudaroche. Codes werden in den kommenden Monaten erwartet.
Regulatorische Spaghetti-Schüssel
Die Kommission muss ermitteln, wie sich das KI-Gesetz mit den zahlreichen Vorschriften zu digitalen Produkten überschneidet; die Datenschutz-Grundverordnung (DSGVO), das Gesetz über digitale Dienste und das Gesetz über digitale Märkte. Es gibt auch Überschneidungen mit dem Urheberrecht, der Produktsicherheit und anderen bestehenden Gesetzen.
„Es ist wie eine regulatorische Spaghetti-Schüssel und es gibt viel zu verdauen – die nächste Kommission wird sich darauf konzentrieren müssen, es zu entwirren“, sagte Cecilia Bonefeld Dahl, Generaldirektorin der Industriegruppe DigitalEurope.
Viele der Betreiber von KI-Systemen haben bereits die Verantwortung als Datenverantwortliche und -verarbeiter im Rahmen der DSGVO, sagte Gabriela Zanfir-Fortuna, Vizepräsidentin für globalen Datenschutz beim Think Tank Future of Privacy Forum, gegenüber Euractiv.
„Die Sicherstellung einer einheitlichen Anwendung der Regeln wird für die tatsächliche Wirksamkeit des Gesetzes von entscheidender Bedeutung sein“, sagte sie.
Einige Datenschutzbeauftragte in den Mitgliedsstaaten werden möglicherweise bald die Umsetzung des KI-Gesetzes in ihrem Posteingang finden. Die nationalen Behörden, die für die Umsetzung des Gesetzes zuständig sind, werden von den EU-Ländern separat bestimmt, und Datenbehörden sind einer der Kandidaten.
Darüber hinaus muss der Wortlaut des Gesetzes festgelegt werden.
In einem LinkedIn-Beitrag. Kai Zenner, Assistent des deutschen Europaabgeordneten Alex Voss, schrieb, dass die „Rechtsdienste aller drei EU-Institutionen“ feststellten, dass „die Qualität der rechtlichen Ausarbeitung“ unter den EU-Standards liege.
„In den nächsten Jahren wird es auf mehreren Ebenen zu massiven Anfechtungen vor Gericht kommen, da eine schwache Formulierung es einem gut bezahlten Anwalt leicht macht, dies zu wissen“, sagte ein Berater für Technologieunternehmen, der unter der Bedingung mit Euractiv sprach Anonymität.
[Edited by Rajnish Singh]