Vorschlag für eine horizontale und risikobasierte Regulierung von Künstlicher Intelligenz (KI) in der EU
Künstliche Intelligenz ist auf dem Vormarsch. Sie begegnet jedem von uns bereits in vielen Anwendungen – auch wenn wir es nicht immer wissen – und ihr wird eine hohe Innovationskraft für unsere Gesellschaft zugeschrieben. Mit dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union, hat die Europäische Kommission (EuK) Ende April 2021 den weltweit ersten Rechtsrahmen für KI vorgelegt und ein ehrgeiziges Projekt begonnen. Damit soll eine wesentliche technologische Entwicklung unserer Zeit nicht nur reguliert, sondern auch deren Akzeptanz unterstützt werden. Die Kommission möchte mit diesem Vorschlag den potenziellen Nutzen der KI für die europäische Gesellschaft fördern, das Vertrauen in die KI stärken und die Risiken minimieren.
Dabei wird nicht die Technologie selbst, sondern die Verwendung von KI einer Regelung unterworfen. Dementsprechend wird der Begriff von KI-Systemen sehr weit definiert und es werden damit möglichst viele Arten selbstlernender, sich verändernder und menschliche Intelligenzleistungen imitierender Algorithmen, wie sie gemeinhin unter KI zusammengefasst werden, erfasst.
Je nach Anwendung und Einsatz werden verschiedene Risikoklassen definiert und mit entsprechenden Verpflichtungen kombiniert.
Verbotene KI-Anwendungen (Art. 5)
Ein unannehmbares Risiko liegt nach der EuK vor, wenn KI-Anwendungen gegen die Grundwerte der EU verstoßen und eine klare Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen darstellen. So sollen die Bewertung des sozialen Verhaltens durch Behörden (Social Scoring), die Ausnutzung der Schutzbedürftigkeit von Kindern oder vulnerablen Gruppen, der Einsatz der Techniken zu unterschwelliger Beeinflussung sowie die meisten biometrischen Echtzeit-Fernidentifizierungssysteme, die zu Strafverfolgungszwecken im öffentlich zugänglichen Raum eingesetzt werden, verboten sein.
KI-Anwendungen mit hohem Risiko (Art. 6-51)
Ein wesentlicher Teil des Vorschlags bezieht sich auf KI-Anwendungen mit hohem Risiko. Darunter wird etwa der Einsatz von KI-Systemen bei kritischen Infrastrukturen, in Schul- oder Berufsausbildung (z.B. für Zugang oder Bewertung), bei Sicherheitskomponenten von Produkten wie etwa der roboterassistierten Chirurgie, bei der Beschäftigung von Mitarbeiter*innen, dem Personalmanagement und dem Zugang zur selbständigen Tätigkeit (z.B. Auswertung von Lebensläufen) oder bei der Bewertung der Kreditwürdigkeit gesehen. Aber auch Anwendungen im Bereich der Strafverfolgung, Migration und Grenzkontrolle sowie Rechtspflege und demokratische Prozesse werden als solche mit hohem Risiko beurteilt.
KI-Systeme für solche Anwendungen sollen daher vor der Marktzulassung strenge Vorgaben erfüllen. Vom Verordnungsentwurf wird einmal ein hohes Maß an Robustheit, Genauigkeit und Sicherheit (insbesondere Cybersicherheit) derartiger Systeme gefordert (Art. 15). Weiters sind etwa angemessene Risikobewertungs- und Risikominimierungssysteme sicherzustellen, sowie einehohe Qualität der Datensätze, die in das System eingespeist werden, das Protokollieren der Vorgänge, um die Rückverfolgbarkeit von Ergebnissen zu ermöglichen, eine ausführliche Dokumentation, klare und angemessene Informationen für die Nutzer*innen und eine menschliche Aufsicht zur Minimierung der Risiken bei derartigen KI- Systemen.
Besonders die Überwachung durch Menschen ist dabei ein spannendes Thema, das viele praktische und rechtliche Fragen aufwirft. Denn der überwachende Mensch muss in der Lage sein, die „Fähigkeiten und Grenzen des Hochrisiko-KI-Systems vollständig zu verstehen und seinen Betrieb ordnungsgemäß zu überwachen“ sowie „in den Betrieb […] einzugreifen oder den Systembetrieb mit einer „Stopptaste“ oder einem ähnlichen Verfahren zu unterbrechen” (Art. 14 Abs.4). Neben der Konformitätsprüfung ist auch eine Registrierung vorgesehen (Art. 51).
KI-Anwendungen mit mittlerem Risiko (Art. 52)
Für KI-Systeme mit mittlerem Risiko sollen besondere Transparenzverpflichtungen gelten. Darunter fallen etwa Chatbots. Hier ist es der Kommission wichtig, dass den Nutzer*innen bewusst ist, dass sie mit einem KI-System, also mit einer Maschine kommunizieren und interagieren.
KI-Anwendung mit geringem Risiko (Art. 69)
KI-Anwendungen ohne besonderes Risiko wie etwa KI-gestützte Videospiele oder Spam-Filter sollen frei genützt werden können. Der Verordnungsvorschlag sieht ausschließlich vor, Anbieter*innen derartiger KI-Anwendungen zu ermutigen „Codes of Conduct“ zu erstellen -allerdings auf rein freiwilliger Basis. Es gelten für derartige KI-Anwendungen jedoch selbstverständlich die allgemeinen gesetzlichen Rahmenbedingungen, insbesondere die der Datenschutzgrundverordnung.
Dieser Rechtsrahmen soll grundsätzlich sowohl für öffentliche als auch für private Akteur*inneninnerhalb und außerhalb der Europäischen Union gelten, wobei sich der Vorschlag zwischen Anbieter*innen und Nutzer*innen von KI-Systeme unterscheidet. Für Akteur*innen außerhalb der EU soll er allerdings nur dann gelten, wenn das KI-System in der Union in Verkehr gebracht wird, Menschen in der Union von seiner Verwendung betroffen sind oder wenn das vom System hervorgebrachte Ergebnis in der Union verwendet wird.
Wie schon aus der Datenschutzgrundverordnung bekannt ist, sieht auch dieser Verordnungsvorschlag eine Liste hoher Bußgelder für Verstöße vor. So wäre die Anwendung einer verbotenen KI mit Geldstrafen bis EUR 30 Millionen oder 6 % des weltweiten Jahresumsatzes bedroht, die Nichteinhaltung von den übrigen Anforderungen an die KI-Systeme mit einer Geldbuße bis zu EUR 20 Millionen oder 4 % des weltweiten Jahresumsatzes. Schließlich soll die Übermittlung falscher, unvollständiger oder irreführender Informationen an die zuständigen Stellen mit einem Bußgeld von bis zu EUR 10 Millionen oder 2 % des weltweiten Jahresumsatzes sanktioniert werden können.
Es wird sich nun zeigen, wie dieser Verordnungsvorschlag aufgenommen wird. Spannende und interessante Diskussionen stehen bevor.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.