KI-Verordnung der EU: Freifahrtschein für Lobbyisten

21. September 2021 Dominik A. Dahl

KI-Verordnung der EU: Freifahrtschein für Lobbyisten
Die Verantwortung für KI und Haftung für Schäden
Auf einer Seite lesen

Das Regelwerk der Europäischen Kommission für Künstliche Intelligenz ist kompliziert, undurchsichtig und ermöglicht Missbrauch

Die Europäische Kommission (EC) treibt gigantische Maßnahmenpakete zur Förderung einer digitalen Wirtschaft voran. In diesem Rahmen läuft unter anderem eine Gesetzgebungsinitiative zur Regulierung von Künstlicher Intelligenz (KI-Verordnung).

Die EC hat dazu am 21.04.2021 einen Entwurf veröffentlicht.1 Die öffentliche Konsultation dieses Entwurfs war bis 22.06.2021 geplant, wurde jedoch bis Anfang September 2021 verlängert. Nun geht es in die nächste Runde.

Dieser Artikel soll den Entwurf der KI-Verordnung grundsätzlich bewerten. Diese Aspekte spielen nach Meinung des Autors eine wichtige Rolle für die Anwendbarkeit der KI-Verordnung und für ihren Nutzen für Bürger und Unternehmen. Zudem präsentiert der vorliegende Artikel einen anderen Ansatz als den der EC, um den Einsatz von KI zu regulieren.

Künstliche Intelligenz als Black Box

Der Entwurf der KI-Verordnung soll "…a technology-neutral definition of AI systems that is future-proof …"2 liefern. Jedoch gelingt es dem Gesetzgeber offenbar nicht, den Gegenstand präzise zu definieren, der reguliert werden soll. Was ist KI? Es gibt in der Praxis keine trennscharfe Definition von KI, wie man am Beispiel einer aktuellen, von Autoren des Fraunhofer ISI geschriebenen Studie3 erkennen kann.

In dieser Studie findet sich keine Definition, sondern eine Phänomenologie von KI4.

Es wird also nicht gesagt, was KI ist, sondern wie man eine KI bauen kann, was eine KI tun kann, welche Spiele eine KI gewinnen konnte. Die Abbildung 5 dieser Studie zeigt schematisch, warum Artikel 3 und Annex I des Entwurfs der KI-Verordnung viele Dinge einschließen, die sicherlich keine KI sind.

Seit Hegel, der eine "Phänomenologie des Geistes" verfasst hat und keine Definition des Geistes, reift die Erkenntnis, dass es keiner juristisch trennscharfen Definition von KI bedarf. Es braucht keine Definition von KI, wenn wir die phänomenologische Herangehensweise konsequent auch für die Regulierung verfolgen. In dieser Herangehensweise ist KI eine Black Box.

Es ist tatsächlich egal, ob echte KI darin ist oder eine Würfelmaschine, oder ob morgen jemand die Zauberei erfindet. Entscheidend ist, zu welchem Zweck der Output der Black Box eingesetzt wird.

In Begleittexten5 und6 zum Entwurf der KI-Verordnung klingt die phänomenologische Herangehensweise immer wieder an, jedoch sind die Artikel der Verordnung allein auf Definitionen von KI aufgebaut.

In der Aussage "Whether an AI system is classified as high-risk depends on its intended purpose of the system and on the severity of the possible harm and the probability of its occurrence"7 ist der Einsatzzweck als maßgeblich erkannt, jedoch wird das hohe Risiko dem KI-System zugeordnet.

Die Definition einer High-risk-KI ist sinnfrei, also keine geeignete Grundlage für die Regulierung. KI an sich ist nicht definiert. Das hohe Risiko entstammt allein dem Einsatzzweck. Das Risiko ist unabhängig von den eingesetzten Mitteln immer das gleiche.

Der Gesetzgeber sollte also jeglichen Aufwand unterlassen, eine KI zu definieren. Der Gesetzgeber sollte sich sehr sorgfältig mit der sattelfesten Definition der Einsatzzwecke von Black Boxes befassen.

Maßgeblich ist der Zweck des Einsatzes von KI

Für bestimmte, präzise definierbare Einsatzzwecke kann der Gesetzgeber gewisse Regeln für den Einsatz einer Black Box aufstellen, z.B. Dokumentationspflichten der Eingangsdaten, Anforderungen an Reproduzierbarkeit des Outputs, Offenlegung der Manipulation von Inhalten.

Bestimmte, präzise definierbare Einsatzzwecke können durch den Gesetzgeber verboten sein. Im Entwurf genannte Beispiele sind die unbewusste Manipulation von Verhalten, allgemeines Social Scoring oder die biometrische Fernerkennung von Individuen. Es ist der EC klar, dass für solche Zwecke der Einsatz jeglicher Mittel bereits auf Basis allgemeiner Gesetze verboten sein sollte8, und zwar unabhängig davon, wer diese Mittel einsetzt.

Was ist an dieser Stelle der eigenständige Beitrag der KI-Verordnung? Der Entwurf der KI-Verordnung verbietet eine Vielzahl extrem spezifischer Einsatzzwecke für KI oder schränkt diese durch Auflagen ein, wenn gewisse Akteure am Einsatz von KI beteiligt sind. Außerhalb dieser extrem spezifischen Definitionen wäre gemäß KI-Verordnung der Einsatz von KI immer erlaubt.

Obendrein steht gemäß KI-Verordnung jedem der Einsatz von Nicht-KI für beliebige Zwecke frei. Anhand einiger Beispiele wird erkennbar, dass die KI-Verordnung Lücken auf vielen wichtigen, schutzbedürftigen Einsatzgebieten öffnet.

Die Manipulation und Erzeugung von Content, der nicht von authentischem Content unterscheidbar ist (deep fake) ist nicht etwa kategorisch verboten, sondern nur, wenn mittels KI erstellt.

Für "law enforcement" sollen auch deep fakes mittels KI erlaubt sein.9
Social Scoring natürlicher Personen ist nicht kategorisch verboten, sondern lediglich das "general purpose" social scoring durch öffentliche Stellen mittels KI10. Öffentliche Stellen dürfen also social scoring mit Zweckbindung mittels KI durchführen; private Akteure dürfen auch "general purpose" social scoring mittels KI durchführen.
Biometrische Identifikation aus der Ferne in Echtzeit an öffentlichen Orten zum Zwecke des "law enforcement" soll verboten sein. In jedem Falle soll zulässig sein, biometrische Fernidentifikation zu betreiben für die Suche nach möglichen Opfern von Verbrechen, wie vermisster Kinder; für die Erkennung von Angriffen durch Terroristen oder körperlicher Bedrohungen; für die Erkennung, Lokalisierung und Verfolgung von Verdächtigen11. Im Umkehrschluss wäre z.B. die nachträgliche biometrische Identifikation immer zulässig, ebenso die Identifikation in Echtzeit aus der Nähe, sowie jede biometrische Identifikation an nicht-öffentlichen Orten.
Jeglicher militärischer Einsatz von KI bleibt vom Entwurf der KI-Verordnung unberührt12.

Insbesondere bei der biometrischen Fernerkennung ist jedem der logische Lapsus offensichtlich: Um ein mögliches Opfer zu identifizieren, was zulässig sei, wird eine große Zahl von Nicht-Opfern erkannt, was wiederum nicht zulässig sei. Auch die EC weiß um die dialektische Spannung jeder praktischen Realisierung auf diesem Einsatzgebiet, daher fordert sie höchst sorgfältiges Vorgehen und besondere Auflagen.

Der Entwurf der KI-Verordnung bietet zu diesem wichtigen, kontroversen Thema trotz eingehender Befassung keine logische Auflösung und keine klare, praktikable Regelung. Im Gegenteil, sie etabliert eine zusätzliche Grauzone für den Rollout einer allgegenwärtigen, personenbezogenen Überwachung.

Regeln für den Einsatz von KI

Die Regeln für den Einsatz von KI im Entwurf der KI-Verordnung entsprechen der Praxis im wissenschaftlichen, ethikkonformen Umgang mit Daten. Jede Forschungsorganisation hat so etwas in ihren Leitlinien verfasst. Wer eine gute Ausbildung für die Arbeit mit Daten hatte, kennt diese Regeln. Es sind genau die Grundlagen, die in wissenschaftlichen Reviews abgeklopft werden. Der Gesetzgeber kann den Inhalt dieser Regeln also weitgehend abschreiben.

Der wichtige Beitrag der KI-Verordnung wäre also nicht der Inhalt der Regeln, sondern die Festlegungen: Wer ist für eine Black Box verantwortlich? Wer prüft die Einhaltung der Regeln? Welche Konsequenz tritt bei Regelbrüchen ein? Wer setzt diese Konsequenzen durch?