Europäisches Parlament einigt sich auf Position zur KI-Verordnung

In den vergangenen Monaten hat das Europäische Parlament darum gerungen, eine einheitliche Position zur KI-Verordnung zu erarbeiten. Wesentliche Streitpunkte waren insbesondere die Frage, ob und inwieweit Künstliche Intelligenz (KI) eingesetzt werden darf, um Personen mit Hilfe einer biometrischen Fernidentifizierung in Echtzeit zu identifizieren. Praktisch wird sich dieser Anwendungsfall bei der Frage relevant, ob die Sicherheitsbehörden diese Technologie einsetzen dürfen, um z. B. bei einer Videoüberwachung in öffentlichen Räumen Personen zu identifizieren, gegen die ermittelt wird. Zu diesem Zweck identifiziert ein Algorithmus die erfassten Gesichter und gleicht diese mit dem Bestand einer Datenbank ab. Am Berliner Bahnhof Südkreuz lief hierzu bereits ein Modellversuch, in dem diese Technologie erprobt wurde. Das konservative Lager im Europäischen Parlament wollte diese Technologie jedenfalls in bestimmten Fällen zur Aufklärung schwerer Straftaten zulassen, während das eher linke Lager diese Technologie verbieten möchte. Das Europäische Parlament hatte zwischenzeitlich eine gemeinsame Position erlangt, die kurz vor der Sitzung am Mittwoch durch einen Änderungsantrag des konservativen Lagers noch ins Wanken gebracht wurde. Nunmehr hat sich das Europäische Parlament jedoch darauf geeinigt, dass die biometrische Fernidentifizierung in Echtzeit verboten werden soll. Unter engen Voraussetzungen soll es aber möglich sein, die Aufzeichnung im Nachhinein mit Hilfe von KI zu analysieren.

Ferner hat sich das Europäische Parlament damit beschäftigt, in welchem Rahmen der Einsatz von KI zukünftig grds. erfolgen soll. Der ursprünglich von der EU-Kommission erstellte Entwurf der KI-Verordnung sieht vor, dass KI-Systeme in vier Kategorien eingestuft werden. An die Klassifizierung sind dann weitere Rechtsfolgen geknüpft, die Vorgaben zur bloßen Kenntlichmachung des Einsatzes von KI, der Zertifizierung sowie in bestimmten Fällen bis hin zu einem grds. Verbot enthalten. Verboten sind KI-Systeme, die ein unannehmbares Risiko darstellen. Auf der zweiten Stufen stehen KI-Systeme, die ein hohes Risiko mit sich bringen. Auf der dritten Stufe sind KI-Systeme, von denen ein eingeschränktes Risiko ausgeht. Schließlich erfasst die vierte Stufe KI-Systeme, die ein minimales oder gar kein Risiko mit sich bringen. Die meisten KI-Systeme dürften, jedenfalls nach derzeitiger Definition in Art. 6 des Entwurfs des Europäischen Parlaments, in der Praxis wohl als Hochrisiko KI-Systeme eingestuft werden.

Das Europäische Parlament hat sich nun dahingehend positioniert, dass KI-Systeme zur Emotionserkennung in den Bereichen Strafverfolgung, Bildung, Grenzkontrolle und am Arbeitsplatz als verbotene KI eingestuft werden. Ebenso sollen KI-Systeme für das sog. „predicitive Policing“ verboten werden.

Weiter hat sich das Europäische Parlament darauf geeinigt, dass Betreiber von Hochrisiko KI-Systemen vor deren Einsatz eine Folgenabschätzung durchführen sollen. Das Instrument ist der aus dem Datenschutzrecht stammenden Datenschutzfolgenabschätzung entlehnt und besagt, dass im Vorfeld die Auswirkungen der zukünftigen Einsatzes der KI zu bewerten sind. Ziel ist es, dass die Betreiber durch die Folgenabschätzung selbst Maßnahmen ergreifen, um das von dem KI-System ausgehende Risiko zu reduzieren. Grundsätzlich ist dieses Vorgehen sinnvoll. Allerdings zeigt sich bei der Datenschutzfolgenabschätzung, dass das Vorgehen das gewünschte Ziel nicht erreicht, wenn jeder Verantwortliche verpflichtet ist, für bestimmte, standardisierte Verarbeitungen (z. B. Microsoft Office 365) eine eigene Datenschutzfolgenabschätzung durchführt. Dies führt zu einem unnötigen Dokumentationsaufwand in den Unternehmen. Sinnvoller erscheint es, in diesen Fällen zentral eine Folgenabschätzung durchzuführen und die zu ergreifenden Maßnahmen zentral vorzuschlagen. Das Einzelne Unternehmen könnte sich dann darauf beschränken, die Folgenabschätzung lediglich für Abweichungen vom Standard zu ergänzen.

Wichtig ist zudem, dass das Europäische Parlament einen Vorschlag eingebracht hat, wie sog. Foundation Models zukünftig reguliert werden sollen. Dabei geht es um die Regulierung von KI-Modellen, die für verschiedene Zwecke eingesetzt werden können. Aktuell prominentestes Beispiel ist GPT, die Grundlage für ChatGPT. Der Vorschlag des Europäischen Parlaments sieht vor, dass die Anbieter von Foundations Models bestimmte, aber nicht alle Pflichten erfüllen müssen, die auch Anbieter von Hochrisiko KI-Systemen treffen.

Im Anschluss an die Sitzung des Europäischen Parlaments haben unmittelbar die Trilog-Verhandlungen begonnen. Das erste Treffen war unmittelbar für den Abend des 14. Juni angesetzt worden, wobei inhaltliche Verhandlungen noch nicht aufgenommen wurden. Es wird erwartet, dass insbesondere die Fragen rund um den Einsatz von KI-Systemen zur biometrischen Echtzeitüberwachung auch in den Trilog-Verhandlungen umfassend diskutiert werden wird. Das gleiche dürfte für die Regelung zu den Foundations Models gelten.

Kritische Punkte

Das EU Vorhaben, weltweit die erste Regulierung für künstliche Intelligenz zu schaffen, ist ambitioniert. Vorbild ist hierbei sicherlich die DSGVO, die mittlerweile als Vorbild für eine Datenschutzregulierung auf der ganzen Welt geworden ist. Ob dieser Erfolg auch mit der KI-Verordnung einhergehen wird, darf allerdings bezweifelt werden.

• Ziel der Regulierung ist es, sowohl Risiken, die damit einhergehen, dass künstliche Intelligenz eingesetzt wird, zu reduzieren und die Bürger und die Gesellschaft in Europa vor den Folgen zu schützen. Zum anderen soll die Regulierung aber auch dazu dienen, diese Technologie in der EU zu fördern. Betrachtet man die – im Verhältnis zu den USA und China – eher gering ausgeprägte wirtschaftliche Erfolgsgeschichte der EU in diesem Bereich, stellt man sich die Frage, warum sich die KI-Verordnung vor diesem Hintergrund primären mit Verboten und Auflagen befasst, um kaum Regelungen enthält, die einen Anreiz dafür setzen, künstliche Intelligenz in der EU zu entwickeln und als Produkt oder Service auf den Binnenmarkt zu bringen.
• Wesentliche Voraussetzung für den Einsatz von künstlicher Intelligenz ist die Verfügbarkeit von Daten, um die Modelle damit trainieren zu können. Die EU arbeitet an verschiedenen Gesetzesvorhaben, die Maschinendaten leichter verfügbar machen sollen. Gleichzeitig setzt die KI-Verordnung sehr hohe (und in Teilen nicht zu erfüllende Anforderungen) an die Datensätze, mit denen KI-Systeme trainiert werden. Dahinter steht die Überlegung, dass ein sog. Bias in KI-Systemen vermieden werden soll. Gleichzeitig fehlen Regelungen, die es erlauben, personenbezogene Daten für Zwecke der künstlichen Intelligenz zu verarbeiten. Es bleibt bei den Regelungen der DSGVO und wird damit auf eine Einwilligungslösung oder eine Interessenabwägung, mit allen rechtlichen Unsicherheiten hinauslaufen. Hier wäre es wünschenswert, wenn der Gesetzgeber Regelungen erlässt, die die Interessen der Unternehmen, aber auch der Bürger angemessen in Ausgleich bringen – also eine Interessenabwägung im Gesetz.
• Schließlich scheint es die Tendenz zu geben, dass alle KI-Systeme als KI-Systeme mit einem hohen Risiko klassifiziert werden. Damit treffen die Unternehmen umfassende Pflichten beim Einsatz von künstlicher Intelligenz. Wünschenswert wäre es, wenn der Gesetzgeber in dieser Kategorie eine ausbalanciertere Lösung vorschlagen würde. Der Eindruck, dass die KI-Verordnung ausbalancierte Regelungen anhand der Klassifizierung trifft, wird dadurch verwischt. Sinnvoller wäre es, hier zudem nicht nur anhand der KI-Systeme, sondern auch der Leistungsfähigkeit der betroffenen Unternehmen zu unterscheiden.

Es bleibt abzuwarten, ob und auf welche gemeinsame Position sich die Beteiligten im Rahmen des Trilog einigen werden.