Die Verhandlungsführer der EU-Verordnung zur künstlichen Intelligenz sollten die Regulierungsbehörden stärken und befähigen. Andernfalls werde die Durchsetzung dieser Regelung schwierig, schreibt Kris Shrishak.
Kris Shrishak ist Senior Fellow beim Irish Council for Civil Liberties, wo er sich mit Technologiepolitik mit Schwerpunkt auf algorithmischer Entscheidungsfindung, Überwachung, Datenrechten und Datenschutz beschäftigt.
Stellen Sie sich vor, Ihnen wird die Verantwortung übertragen, eine Schlüsselregulierungsbehörde für die erste sektorübergreifende KI-Regulierung der Welt zu sein. Stellen Sie sich nun vor, dass Ihnen knappe Ressourcen zur Verfügung gestellt werden und Ihnen die Hände gebunden sind.
Dieses wenig beneidenswerte Szenario könnte die Realität zukünftiger Regulierungsbehörden des EU-KI-Gesetzes sein.
Die EU ist stolz darauf, den „Brüssel-Effekt“ zu haben. Gleichzeitig arbeitet sie an der Ausarbeitung eines Gesetzes, das große Technologieunternehmen gerne begrüßen und für eine weitere Verwässerung einsetzen würden.
So wichtig das KI-Gesetz auch scheint, es geht in erster Linie um die Selbsteinschätzung von Unternehmen. Für fast alle Hochrisiko-KI-Systeme sind keine Bewertungen durch Dritte erforderlich. Und das KI-Gesetz regelt nur KI-Systeme mit hohem Risiko: zum Beispiel KI-Systeme, die im Zusammenhang mit Bildung, Beschäftigung und Strafverfolgung eingesetzt werden.
In einem solchen Szenario wird die Rolle der Regulierungsbehörde noch wichtiger. Sie benötigen alle möglichen Befugnisse und Werkzeuge, um ihre Aufgaben zu erfüllen. Doch der Gesetzesentwurf in seiner jetzigen Form könnte den Regulierungsbehörden die unmögliche Aufgabe stellen, Gesetzesverstöße zu identifizieren und zu untersuchen, ohne dass hierfür die entsprechenden Instrumente und Ressourcen zur Verfügung stehen.
Erstens verfügen die Regulierungsbehörden nicht über die Befugnis zur „Fernermittlung“. Die Europäische Kommission stützt sich in ihrem Entwurf für ein KI-Gesetz auf die den Regulierungsbehörden übertragenen Befugnisse, wie sie in der Verordnung zur „Marktüberwachungsbehörde“ vorgesehen sind.
Die Befugnisse umfassen die Möglichkeit, „unangekündigte Vor-Ort-Inspektionen und physische Kontrollen von Produkten“ durchzuführen, erwähnen jedoch nicht unangekündigte Fernuntersuchungen, die für die Überprüfung der Einhaltung der Anforderungen des KI-Gesetzes unerlässlich wären.
Das Europäische Parlament hat sich bei der Annahme seines Standpunkts im Juni dieses Jahres mit diesem Thema befasst und sollte bei den Verhandlungen mit dem Rat und der Kommission an diesem Standpunkt festhalten.
Zweitens machen es das Europäische Parlament und der Rat der EU in ihren Texten den Regulierungsbehörden unglaublich schwer, bei Untersuchungen auf den Quellcode von KI-Systemen zuzugreifen.
Der Ratstext verpflichtet die Regulierungsbehörde, die Notwendigkeit des Zugangs zum Quellcode nachzuweisen. Dies könnte die Regulierungsbehörden für Rechtsstreitigkeiten von Unternehmen öffnen. Diese Beschränkungen werden auferlegt, obwohl alle Informationen, die die Regulierungsbehörden im Rahmen von Untersuchungen von Unternehmen erhalten, vertraulich behandelt werden.
Der Quellcode war ein wichtiger Bestandteil von Untersuchungen in anderen Teilen der Welt. Als die australische Wettbewerbs- und Verbraucherkommission (ACCC) Trivago untersuchte, fand sie im Quellcode wichtige Beweise für ihren Fall.
Leider werden die künftigen KI-Regulierungsbehörden der EU möglicherweise keine so tiefgreifenden Untersuchungen zu KI-Systemen durchführen, es sei denn, die Gesetzgeber greifen zu diesem Thema auf den Text der Kommission zurück.
Drittens ist es unwahrscheinlich, dass die Regulierungsbehörden Zugang zu leistungsstarken Computern haben, und in manchen Fällen reicht die Überprüfung der Ein- und Ausgänge möglicherweise nicht aus.
Wenn es um KI-Modelle geht, insbesondere solche, die auf maschinellem Lernen basieren, sollten Regulierungsbehörden die Möglichkeit haben, Zugriff auf eine Kopie der eingesetzten trainierten KI-Modelle zusammen mit den Modellparametern und „Hyperparametern“ anzufordern. Der bloße Zugriff auf die „API“ reicht nicht aus.
Schließlich geht es bei der Durchsetzung einer Verordnung auch um Menschen. Die Regulierungsbehörden werden qualifizierte Mitarbeiter benötigen, höchstwahrscheinlich mehr als die 1–25 Mitarbeiter, die die Europäische Kommission pro Land schätzt. Dies gilt umso mehr, als die Regulierungsbehörde auch der Innovationsbeschleuniger sein wird, da sie regulatorische Sandboxen einrichtet und Unternehmen anleitet.
Dieser Doppeljob wird nicht einfach sein, da noch viele praktische Fragen wie die Auswahlkriterien für Unternehmen, die in die Sandbox aufgenommen werden sollen, offen bleiben.
Eine Technologieregulierung, bei der der Regulierungsbehörde die Flügel gestutzt werden, ist genau das, was große Technologieunternehmen wollen. Die EU scheint ihnen dies auf einem Teller anzubieten. Das Europäische Parlament, der Rat der EU und die Kommission haben noch Zeit, die Befugnisse der Regulierungsbehörden zu stärken. Die Frage ist, werden sie?