KI-Regulierung in der EU und Schweiz

Folgt die Schweiz dem Vorstoß der EU?

Schon längst bestimmt Künstliche Intelligenz („KI“) in vielen Bereichen unser Leben – und das bislang weitgehend unreguliert. Das wird sich jedoch in näherer Zukunft ändern, denn in vielen Teilen der Welt mehren sich Initiativen zur Regulierung der mittlerweile nicht mehr ganz neuen Technologie. Zur konkreten Ausgestaltung sind jedoch durchaus unterschiedliche Ansätze zu finden, wie der folgende Beitrag über mögliche Regulierungsvorschläge der Europäischen Union („EU“) und der Schweiz zeigen wird.

Ansatz der Europäischen Union: Der „Artificial Intelligence Act“

Mit dem am 21. April 2021 von der Europäischen Kommission veröffentlichten Entwurf einer Verordnung zur Regulierung der Nutzung von KI, dem sogenannten „Artificial Intelligence Act“ („AI-Act“), hat sie den weltweit ambitioniertesten Vorstoß unternommen, KI konkret zu regulieren. Es wird dabei ein risikobasierter Ansatz verfolgt, in welchem KI-Anwendungen ihrem potentiellen Risiko nach in die vier Kategorien „unannehmbares Risiko“, „hohes Risiko“, „geringes Risiko“ und „minimales Risiko“ eingeordnet werden.

KI-Systeme mit unannehmbarem Risiko

Anwendungen von KI mit unannehmbarem Risiko werden dem Verordnungsentwurf nach verboten. Darunter fallen KI-Systeme, die menschliches Verhalten manipulieren und dadurch Menschen Schaden zufügen können, Anwendungen, die Behörden eine Bewertung der Vertrauenswürdigkeit von Personen auf der Grundlage ihres Sozialverhaltens oder persönlichkeitsbezogener Merkmale und eine daran anknüpfende ungünstige Behandlung dieser Personen ermöglichen sowie – mit einigen Ausnahmen – Echtzeit-Fernerkennungssysteme im öffentlichen Raum zur biometrischen Identifizierung von Personen zum Zweck der Strafverfolgung.

KI-Systeme mit hohem Risiko

Das Herzstück des Entwurfs ist die umfassende Regulierung von Hochrisiko-KI-Systemen, also solcher KI-Anwendungen, die ein hohes Risiko für die Gesundheit, Sicherheit oder die Grundrechte von Menschen darstellen. Welche dies sind, wird in einem Anhang des Verordnungsentwurfs konkretisiert, der laufend aktualisiert werden kann, um jederzeit auf neue Entwicklungen reagieren zu können. Diese Anwendungen werden nicht verboten, müssen aber, um auf dem europäischen Markt zugelassen zu werden, strenge Voraussetzungen erfüllen. So müssen die Systeme auf der Grundlage von Daten entwickelt werden, die gewisse Qualitätskriterien erfüllen sowie ein angemessenes Maß an Genauigkeit und Sicherheit erreichen, es müssen ein Risikomanagementsystem, eine detaillierte technische Dokumentation und eine automatische Protokollierung eingerichtet werden und es muss ein hinreichendes Maß an Transparenz für Nutzer und Kontrollinstanzen sichergestellt werden. 
Unter Hochrisikosysteme nach dem Verordnungsentwurf sollen KI-Anwendungen fallen, die in grundrechtssensiblen Bereichen Entscheidungen über Menschen treffen. Dies sind Systeme für die biometrische Identifizierung und Kategorisierung von Personen, für die Verwaltung und den Betrieb von kritischer Infrastruktur, für die Regulierung des Zugangs zu Bildungseinrichtungen, für Recruiting und Personalmanagement oder für den Zugang zu wesentlichen privaten und öffentlichen Leistungen. Ebenfalls sind Systeme zur Unterstützung der Strafverfolgungsbehörden, der Asyl- und Grenzkontrolle sowie der Justiz erfasst.

KI-Systeme mit geringem und minimalem Risiko

Andere als die oben aufgeführten KI-Systeme sollen weitgehend unreguliert bleiben, um auch in der Europäischen Union innovationsfreundliche Bedingungen zu erhalten. Dies betrifft, auch wenn es nicht so scheinen mag, den Großteil von KI-Anwendungen, beispielsweise Suchalgorithmen, Spamfilter oder Videospiele. Daneben sind für Anwendungen mit geringem Risiko wie sogenannte „Chatbots“ oder „Deep Fakes" bestimmte Transparenzpflichten normiert.

Hohe Bußgelder

Die Verordnung – wohl gemerkt noch im Entwurfsstadium – sieht ein dreistufiges Sanktionskonzept mit hohen Bußgeldern vor. So kann bei Einsatz eines verbotenen KI-Systems oder Nichterfüllen von bestimmten Qualitätsanforderungen ein Bußgeld in Höhe von 30 Millionen Euro oder – im Falle von Unternehmen – 6 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist, drohen. Damit liegt der Bußgeldrahmen immerhin deutlich über dem der Datenschutz-Grundverordnung.

Vorbild AI-Act oder ein „Schweizer Weg“?

Wird die Schweiz als Staat, welcher im Herzen Europas liegt, aber kein Mitglied der Europäischen Union ist, dem Ansatz des AI-Acts folgen oder in Sachen Regulierung von KI einen eigenen Weg einschlagen? Dieses interessante Thema wurde im Sommer 2021 von Mitgliedern aus Wissenschaft und Praxis in einem durch das „Strategy Lab“ der Digital Society Initiative (DSI) finanzierten Workshop diskutiert und in einem Positionspapier zusammengefasst. Anders als der AI-Act handelt es sich bei diesem jedoch noch nicht um einen konkreten Gesetzesentwurf, sondern lediglich um unverbindliche Vorschläge, wie eine Regulierung von KI aussehen könnte.

So viel Freiheit wie möglich – so viel Regulierung wie nötig

Genauso wie die EU wird auch in der Schweiz Handlungsbedarf im Bereich der Regulierung von KI gesehen. Anstatt fremde Regelungen einfach zu übernehmen, soll zunächst abgewartet, diese sorgfältig geprüft und sodann eine eigene Position erarbeitet werden. Die Autoren erkennen hinsichtlich einer möglichen Regelung zwei gleichwertige Ziele: Sie müsse zum einen möglichst viel Raum für die Entwicklung und Verwendung von KI belassen, zum anderen aber sicherstellen, dass daraus keine Nachteile erwachsen, etwa durch Diskriminierung für die Betroffenen oder durch Untergrabung rechtsstaatlicher Prinzipien für die Gesellschaft als Ganzes. Diesen Zielkonflikt sieht auch die EU-Kommission und versucht ihn in ihrem Verordnungsentwurf durch den dargestellten risikobasierten Ansatz zu lösen.

Punktuelle Anpassungen statt eigenes KI-Gesetz

Anders als die EU-Kommission sehen die Autoren jedoch nicht die Notwendigkeit eines eigenen Gesetzes für die generelle Regulierung von KI oder Algorithmen. Stattdessen sollen bereits bestehende Gesetze hinsichtlich der Herausforderungen des Einsatzes von KI geprüft und gegebenenfalls punktuell angepasst werden. Herausforderungen gebe es vor allem in den fünf Bereichen Erkennbarkeit und Nachvollziehbarkeit, Diskriminierung, Manipulation, Haftung sowie Datenschutz und Datensicherheit – in vielen dieser Themenfelder gebe es jedoch bereits heute Rechtsnormen mit teils passenden Regelungen.

So könne man im beispielsweise alles, was die Verarbeitung von personenbezogenen Daten betreffe, mit den Mitteln des bestehenden Datenschutzrechts regeln, in welches man noch Regelungen zur Transparenz, etwa eine Kennzeichnungspflicht von KI-Systemen, ergänzen könne, um Nachvollziehbarkeit herzustellen. Das Thema Diskriminierung könne mit Hilfe eines allgemeinen Gleichbehandlungsgesetzes geregelt werden, welches Diskriminierungen aufgrund bestimmter Merkmale sanktioniere. Manipulationen seien durch das bestehende Wettbewerbsrecht sowie die Widerrufs- und Anfechtungsmöglichkeiten im allgemeinen Zivilrecht erfasst. Das Produkthaftungsrecht schließlich könne dazu genutzt werden, um die nötigen Haftungsregelungen für den Einsatz von KI-Systemen zu schaffen und die Einführung eines allgemeinen IT-Sicherheitsgesetzes für die nötige Sicherheit der Anwendungen sorgen.

Schaffung von neuen Regelungen bleibt nicht aus

Auch nach Einschätzungen der Autoren des Positionspapiers bleibt die Schaffung von neuen, auf das Thema KI zugeschnittenen Regelungen jedoch nicht völlig aus. Es sei etwa zu prüfen, ob – wie im Entwurf des AI-Acts der EU-Kommission – bestimmte KI-Systeme verboten werden sollten. Außerdem könne die Schaffung von Zulassungsverfahren sowie eines öffentlichen Registers, aus dem ersichtlich werde, in welchen Bereichen der öffentlichen Verwaltung algorithmische Systeme eingesetzt werden würden, sinnvoll sein.

Unterschiedliche Vorgehensweisen sinnvoll

Auch wenn die Schaffung eines eigenen Gesetzes gerade bei der Regulierung von komplexen Themen durchaus Vorteile hat, ist ein solches natürlich nicht zwingend. So könnte man in Deutschland viele für die Regulierung von KI notwendigen Vorschriften in bereits bestehenden Gesetzen, etwa im Allgemeinen Gleichbehandlungsgesetz, im Bundesdatenschutzgesetz, im Bürgerlichen Gesetzbuch, im Produkthaftungsgesetz oder im Gesetz gegen den unlauteren Wettbewerb, unterbringen – und das in Umsetzung einer EU-Richtlinie, welche ein europaweit gleichmäßiges Regelungsniveau sicherstellen könnte.

Derartige Ansätze verkennen jedoch, dass die rund 450 Millionen Einwohner starke EU auch über die bloße Regulierung hinausgehende Interessen verfolgt. Der AI-Act darf auch als politische Botschaft aufgefasst werden und ist darauf angelegt, nach dem Vorbild der ebenfalls als Verordnung ausgestalteten DSGVO ein Meilenstein der Gesetzgebung zu werden, welcher möglichst viele Nachahmer finden soll. Um dieses Ziel zu erreichen, kann sich die EU eine abwartende Haltung jedoch nicht leisten, sondern muss konsequent voranschreiten. Ein Gerangel um die nationale Umsetzung bestimmter Vorschriften, die nicht selten mehrere Jahre dauern kann, wäre in der Außenwirkung fatal.

Dagegen kann es für die Schweiz, die weniger strategisch vorgehen muss und daher weitaus flexibler reagieren kann, durchaus sinnvoll sein, zunächst einmal abzuwarten, was die umliegenden Europäer zu regeln beabsichtigen, und in Ruhe zu beobachten, ob dies auch den Praxistest besteht. Die unterschiedlichen Vorgehensweisen sind also in den jeweils unterschiedlichen Situationen der Akteure begründet – und beide richtig.