Bayreuth (csr-news) – Der EU AI Act ist das erste Gesetz über Künstliche Intelligenz (KI), das von einer großen internationalen Regulierungsbehörde veröffentlicht wurde: eine Verordnung zur Festlegung harmonisierter Vorschriften. Es hat am 14. Juni 2023 mit einer deutlichen Mehrheit erfolgreich das Parlament durchlaufen.
Was besagt der „EU AI Act“?
Das Gesetz umfasst die Steuerung und Überwachung von Künstlicher Intelligenz in der Europäischen Union (EU). Es ordnet die Anwendungen von KI drei Risikokategorien zu. Erstens werden Anwendungen und Systeme verboten, die ein inakzeptables Risiko darstellen wie z. B. ein staatlich betriebenes Social Scoring, wie es in China eingesetzt wird. Diese sind verboten. Zweitens gibt es Anwendungen mit hohem Risiko, wie z. B. ein Tool zum Scannen von Lebensläufen, das eine Rangfolge von Bewerber*innen erstellt. Sie unterliegen besonderen rechtlichen Anforderungen wie die Einführung eines Risikosystems oder die Aufsichtsführung durch menschliches Personal. Anwendungen, die nicht ausdrücklich verboten oder als risikoreich eingestuft sind, bleiben weitgehend unreguliert. Sie haben ein nur geringes bzw. minimales Risiko wie z. B. Spamfilter, Videospiele, Suchalgorithmen, Deep Fakes oder Chatbots. Der Gesetzgeber hält sich an dem aus der DSGVO bekannten Marktortprinzip fest, das heißt die Regularien finden Anwendung, sobald die KI in der Union eingesetzt wird.
Der EU AI Act stellt einen bedeutenden Meilenstein in der EU-Digitalstrategie dar, indem er eine umfassende Regulierung der zunehmend expansiven IT-Branche anstrebt. Schon in diesem konzeptionellen Entwurf zeigt sich eine Sensibilität der Europäischen Union für die potenziellen Gefahren, die von missbräuchlich eingesetzten KI-Anwendungen ausgehen können, insbesondere hinsichtlich Beeinflussung und Überwachung von Individuen. Angesichts der stetig wachsenden Rolle der Informationstechnologie in unserer Gesellschaft will die EU geeignete Maßnahmen ergreifen, um diese Risiken einzudämmen.
Unter diesen Bedingungen können ethische, rechtliche und soziale Aspekte des KI-Einsatzes ausbalanciert werden. Unternehmen haben die Chance, unter diesen neuen Bedingungen Wettbewerbsvorteile durch verantwortliche Digitalisierung zu gewinnen.
Geht die EU-Regulierung in die richtige Richtung (im Blick auf die Einordnung von KI, Grenzen und Freiheiten)?
Der EU AI Act hat das Ziel, den Schutz der Grundrechte und der Verbraucher:innen zu gewährleisten und gleichzeitig die Entwicklung und den Einsatz von KI-Technologien zu fördern. Insofern ist er aus meiner Sicht ein gelungener Balanceakt aus Verbraucherschutz und Markt. So macht die Differenzierung nach dem Risiko, also den möglichen Schäden für den Menschen, Sinn und findet sich auch bereits in ähnlichen internationalen Kontexten. So wird der Einsatz bestimmter hochriskanter KI-Systeme verboten, da sie eine direkte Gefahr für Sicherheit, Grundrechte, Leben und Eigentum darstellen können. Beispiele dafür sind biometrische Überwachungssysteme, die unsere Freiheit ja massiv einschränken. Gemäß dem EU AI Act müssen KI-Systeme darüber hinaus transparent sein, um den Benutzer*innen die Möglichkeit zu geben, ihre Funktionsweise zu verstehen. Besonders hochriskante Systeme müssen ausreichend erklärbar sein, um nachvollziehbar zu sein. Transparenz und Verständlichkeit sind übrigens zwei unterschiedliche Dinge: Man kann transparent sein, ohne dass der Mensch etwas versteht – auch hier gilt es, kluge Mittelwege zu suchen. Insbesondere gilt es dabei die unterschiedlichen Kompetenzniveaus jeweils adäquat zu bedienen. Ein Weg könnten standardisierte, interaktiv ausfaltbare Modelle sein, bei der von einer allgemein verständlichen Darstellung bedarfsweise auf eine technischere Ebene abgetaucht werden kann. Ein solches Konzept wurde für die Datennutzung mit einem Prototypen im Data Process Modeller entwickelt Der EU AI Act betont darüber hinaus die Bedeutung von qualitativ hochwertigen und ethisch einwandfreien Daten für den Einsatz von KI-Systemen. Werte, Vertrauen und Ethik werden zu einem entscheidenden Differenzierungsfaktor. Es gibt jedoch Aspekte des EU AI Act, die weiterer Klärung bedürfen. Die Risikokategorisierung könnte präziser sein und die starke Fokussierung auf die EU könnte internationale Aspekte vernachlässigen. Zudem könnte die aktuelle Fassung des Gesetzes zu unflexibel sein, um auf zukünftige, unvorhergesehene Anwendungen von KI zu reagieren. Es bleibt abzuwarten, wie diese Punkte in den kommenden Verhandlungen behandelt werden.
Werden diese Regeln schnell genug umgesetzt werden können?
Nun geht der Vorschlag erst einmal in die aktuellen Trilog-Verhandlungen zwischen dem Parlament, dem Rat und der Kommission. Erst wenn diese drei Parteien einen Kompromiss erzielen, kann der EU AI Act zur geltenden Rechtsvorschrift werden. Es wird erwartet, dass die Verhandlungen im Herbst abgeschlossen werden könnten, was bedeuten würde, dass der EU AI Act im Jahr 2024 in Kraft treten könnte. Spannend bleibt zu beobachten, wie die Unternehmen nun reagieren. Vorreiter einer verantwortlichen Digitalisierung werden sich schon jetzt ausgiebig mit den Inhalten auseinandersetzen und – falls nötig – entsprechende Maßnahmen einleiten.
Was bedeutet der EU AI ACT für die Corporate Digital Responsibilty?
In einer Pressemitteilung des Europäischen Parlaments heißt es: „Die neuen Vorschriften sollen die Einführung von menschenzentrierter und vertrauenswürdiger KI fördern und Gesundheit, Sicherheit, Grundrechte und Demokratie vor ihren schädlichen Nebenwirkungen schützen.“ Rechtliche Normen ersetzen keine moralische Normen, aber sie können moralisches Verhalten fördern. Es wird umso wichtiger sein, dass Unternehmen erstens über das rechtlich geforderte Maß hinausgehen und ihre besondere digitale Verantwortung übernehmen, das gilt für KI besonders und ist von Branche zu Branche unterschiedlich. Mit der CDR-Initiative des Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz haben sich genau solche Unternehmen zusammengeschlossen. Das ist nicht nur moralisch auszuloben, sondern auch ökonomisch klug, denn wenn sich ab 2024 nun alle Marktakteure an die Regeln halten müssen, ist eine Differenzierungs- und Alleinstellungspositionierung im Themenfeld der Corporate Digital Responsibility nur noch möglich, wenn man besser ist als der Markt – also Dinge anders, zum Beispiel besonders gut, oder schneller umsetzt. Wie Unternehmen dies im Rahmen ihrer digitalen Verantwortung tun, kann man in den CDR-Kodex-Berichten der Mitgliedsunternehmen nachlesen. Zweitens würde ich eine dem Recht vorgelagerte Verantwortung sehen, in dem Sinne, weiteren rechtlichen Maßnahmen verantwortungsvoll vorzugreifen. Das, was der EU AI ACT heute rechtlich reguliert, war gestern schon die digitale Verantwortung einiger Vorreiter-Unternehmen. Corporate Digital Responsibility hat also eine doppelte Dimension: im ersten Verständnis eine nachgelagerte, im zweiten eine vorgelagerte.
Welche Verantwortung bleibt bei Unternehmen, Verbänden, der Wissenschaft und der Zivilgesellschaft?
Die Aufgabe von Unternehmen, Verbänden, der Wissenschaft und der Zivilgesellschaft liegt v.a. darin, diese Balancierung aus moralischen und rechtlichen Normen auszuhandeln und letztlich der Politik dann das Mandat zu erteilen, das Recht hoch- oder runterzufahren und Bedingungen zu schaffen, unter denen der gesellschaftliche Wille gut gelingen kann. Die Wissenschaft kann theoretisch und empirisch untersuchen, welche Auswirkungen bestimmte Technologien haben und wie eine Gesellschaft sich moralisch dazu verhält.
Wie schon die allgemeine Datenschutzverordnung der EU im Jahr 2018 könnte auch das EU-KI-Gesetz zu einem globalen Standard werden. Am Anfang waren viele skeptisch, dann hat die Norm zunehmend international Anerkennung gewonnen. In der Tat dehnt sich die auf einer Mesoebene positionierte Corporate Digital Responsibility auf einer Makroebene zu einer Global Digital Responsibility aus. Wir dürfen dabei allerdings nicht vergessen, dass es auch eine Art Individual Digital Responsibility auf einer Mikroebene gibt. Darunter verstehe ich die persönliche Haltung und Einstellung zur digitalen Transformation. Hier müssen wir viel mehr in die digitale Bildung investieren – und damit meine ich Technik und Ethik gleichermaßen.
Wie kann das gelingen?
Wer die digitale Transformation gestalten will, muss wissen, wohin die Veränderung führen soll. Wir digitalisieren nicht um der Digitalisierung willen – bevor wir also entscheiden, was wir wie digitalisieren, sollten wir überlegen, warum wir dies tun. Die 17 Nachhaltigkeitsziele könnten ein erster Kompass ein. Deshalb erforschen wir gerade den Zusammenhang von Daten und Nachhaltigkeit. Und hier gibt es einen interessanten Zusammenhang zur Regulatorik. Während die Regulatorik, der Staat und damit die Makroebene eher das Nonmalefizienzprinzip regelt, muss der Mensch und das Unternehmen, also die Mikro- und Mesoebene eher das Benefizienzprinzip steuern. Benefizienz erfolgt unter der Bedingung von Nonmalefizienz. Das hatte Hippokrates mit seinem hippokratischen Eid primum nil nocere, bonum facere im Sinn. Der EU AI ACT betrifft den ersten Teil dieser Erklärung und garantiert Sicherheit. Nun sind wir als Individuen und Unternehmen aufgefordert, das Gute zu fördern. Das ist wohlverstandene Selbstbestimmung und unternehmerischer Freiheit. Meine These ist: Je besser wir gebildet sind und je mehr digitale Verantwortung wir als Menschen und Unternehmen übernehmen, umso mehr kann der Staat sich zurückziehen. Der umgekehrte Schluss gilt selbstverständlich analog. Es liegt also an nun uns, was wir aus dem EU AI ACT machen.
Prof. Dr. Dr. Alexander Brink
ist Professor für Wirtschafts- und Unternehmensethik im „Philosophy & Economics“-Programm der Universität Bayreuth.