zurück zum Artikel

Das Regelwerk der Europäischen Kommission für Künstliche Intelligenz ist kompliziert, undurchsichtig und ermöglicht Missbrauch

Die Europäische Kommission (EC) treibt gigantische Maßnahmenpakete zur Förderung einer digitalen Wirtschaft voran [1]. In diesem Rahmen läuft unter anderem eine Gesetzgebungsinitiative zur Regulierung von Künstlicher Intelligenz (KI-Verordnung).

Die EC hat dazu am 21.04.2021 einen Entwurf veröffentlicht.1 [2] Die öffentliche Konsultation dieses Entwurfs war bis 22.06.2021 geplant, wurde jedoch bis Anfang September 2021 verlängert. Nun geht es in die nächste Runde.

Dieser Artikel soll den Entwurf der KI-Verordnung grundsätzlich bewerten. Diese Aspekte spielen nach Meinung des Autors eine wichtige Rolle für die Anwendbarkeit der KI-Verordnung und für ihren Nutzen für Bürger und Unternehmen. Zudem präsentiert der vorliegende Artikel einen anderen Ansatz als den der EC, um den Einsatz von KI zu regulieren.

Künstliche Intelligenz als Black Box

Der Entwurf der KI-Verordnung soll "…a technology-neutral definition of AI systems that is future-proof …"2 [3] liefern. Jedoch gelingt es dem Gesetzgeber offenbar nicht, den Gegenstand präzise zu definieren, der reguliert werden soll. Was ist KI? Es gibt in der Praxis keine trennscharfe Definition von KI, wie man am Beispiel einer aktuellen, von Autoren des Fraunhofer ISI geschriebenen Studie3 [4] erkennen kann.

In dieser Studie findet sich keine Definition, sondern eine Phänomenologie von KI4 [5].

Es wird also nicht gesagt, was KI ist, sondern wie man eine KI bauen kann, was eine KI tun kann, welche Spiele eine KI gewinnen konnte. Die Abbildung 5 dieser Studie zeigt schematisch, warum Artikel 3 und Annex I des Entwurfs der KI-Verordnung viele Dinge einschließen, die sicherlich keine KI sind.

Seit Hegel, der eine "Phänomenologie des Geistes" verfasst hat und keine Definition des Geistes, reift die Erkenntnis, dass es keiner juristisch trennscharfen Definition von KI bedarf. Es braucht keine Definition von KI, wenn wir die phänomenologische Herangehensweise konsequent auch für die Regulierung verfolgen. In dieser Herangehensweise ist KI eine Black Box.

Es ist tatsächlich egal, ob echte KI darin ist oder eine Würfelmaschine, oder ob morgen jemand die Zauberei erfindet. Entscheidend ist, zu welchem Zweck der Output der Black Box eingesetzt wird.

In Begleittexten5 [6] und6 [7] zum Entwurf der KI-Verordnung klingt die phänomenologische Herangehensweise immer wieder an, jedoch sind die Artikel der Verordnung allein auf Definitionen von KI aufgebaut.

In der Aussage "Whether an AI system is classified as high-risk depends on its intended purpose of the system and on the severity of the possible harm and the probability of its occurrence"7 [8] ist der Einsatzzweck als maßgeblich erkannt, jedoch wird das hohe Risiko dem KI-System zugeordnet.

Die Definition einer High-risk-KI ist sinnfrei, also keine geeignete Grundlage für die Regulierung. KI an sich ist nicht definiert. Das hohe Risiko entstammt allein dem Einsatzzweck. Das Risiko ist unabhängig von den eingesetzten Mitteln immer das gleiche.

Der Gesetzgeber sollte also jeglichen Aufwand unterlassen, eine KI zu definieren. Der Gesetzgeber sollte sich sehr sorgfältig mit der sattelfesten Definition der Einsatzzwecke von Black Boxes befassen.

Maßgeblich ist der Zweck des Einsatzes von KI

Für bestimmte, präzise definierbare Einsatzzwecke kann der Gesetzgeber gewisse Regeln für den Einsatz einer Black Box aufstellen, z.B. Dokumentationspflichten der Eingangsdaten, Anforderungen an Reproduzierbarkeit des Outputs, Offenlegung der Manipulation von Inhalten.

Bestimmte, präzise definierbare Einsatzzwecke können durch den Gesetzgeber verboten sein. Im Entwurf genannte Beispiele sind die unbewusste Manipulation von Verhalten, allgemeines Social Scoring oder die biometrische Fernerkennung von Individuen. Es ist der EC klar, dass für solche Zwecke der Einsatz jeglicher Mittel bereits auf Basis allgemeiner Gesetze verboten sein sollte8 [9], und zwar unabhängig davon, wer diese Mittel einsetzt.

Was ist an dieser Stelle der eigenständige Beitrag der KI-Verordnung? Der Entwurf der KI-Verordnung verbietet eine Vielzahl extrem spezifischer Einsatzzwecke für KI oder schränkt diese durch Auflagen ein, wenn gewisse Akteure am Einsatz von KI beteiligt sind. Außerhalb dieser extrem spezifischen Definitionen wäre gemäß KI-Verordnung der Einsatz von KI immer erlaubt.

Obendrein steht gemäß KI-Verordnung jedem der Einsatz von Nicht-KI für beliebige Zwecke frei. Anhand einiger Beispiele wird erkennbar, dass die KI-Verordnung Lücken auf vielen wichtigen, schutzbedürftigen Einsatzgebieten öffnet.

Die Manipulation und Erzeugung von Content, der nicht von authentischem Content unterscheidbar ist (deep fake) ist nicht etwa kategorisch verboten, sondern nur, wenn mittels KI erstellt.

• Für "law enforcement" sollen auch deep fakes mittels KI erlaubt sein.9 [10]
• Social Scoring natürlicher Personen ist nicht kategorisch verboten, sondern lediglich das "general purpose" social scoring durch öffentliche Stellen mittels KI10 [11]. Öffentliche Stellen dürfen also social scoring mit Zweckbindung mittels KI durchführen; private Akteure dürfen auch "general purpose" social scoring mittels KI durchführen.
• Biometrische Identifikation aus der Ferne in Echtzeit an öffentlichen Orten zum Zwecke des "law enforcement" soll verboten sein. In jedem Falle soll zulässig sein, biometrische Fernidentifikation zu betreiben für die Suche nach möglichen Opfern von Verbrechen, wie vermisster Kinder; für die Erkennung von Angriffen durch Terroristen oder körperlicher Bedrohungen; für die Erkennung, Lokalisierung und Verfolgung von Verdächtigen11 [12]. Im Umkehrschluss wäre z.B. die nachträgliche biometrische Identifikation immer zulässig, ebenso die Identifikation in Echtzeit aus der Nähe, sowie jede biometrische Identifikation an nicht-öffentlichen Orten.
• Jeglicher militärischer Einsatz von KI bleibt vom Entwurf der KI-Verordnung unberührt12 [13].

Insbesondere bei der biometrischen Fernerkennung ist jedem der logische Lapsus offensichtlich: Um ein mögliches Opfer zu identifizieren, was zulässig sei, wird eine große Zahl von Nicht-Opfern erkannt, was wiederum nicht zulässig sei. Auch die EC weiß um die dialektische Spannung jeder praktischen Realisierung auf diesem Einsatzgebiet, daher fordert sie höchst sorgfältiges Vorgehen und besondere Auflagen.

Der Entwurf der KI-Verordnung bietet zu diesem wichtigen, kontroversen Thema trotz eingehender Befassung keine logische Auflösung und keine klare, praktikable Regelung. Im Gegenteil, sie etabliert eine zusätzliche Grauzone für den Rollout einer allgegenwärtigen, personenbezogenen Überwachung.

Regeln für den Einsatz von KI

Die Regeln für den Einsatz von KI im Entwurf der KI-Verordnung entsprechen der Praxis im wissenschaftlichen, ethikkonformen Umgang mit Daten. Jede Forschungsorganisation hat so etwas in ihren Leitlinien verfasst. Wer eine gute Ausbildung für die Arbeit mit Daten hatte, kennt diese Regeln. Es sind genau die Grundlagen, die in wissenschaftlichen Reviews abgeklopft werden. Der Gesetzgeber kann den Inhalt dieser Regeln also weitgehend abschreiben.

Der wichtige Beitrag der KI-Verordnung wäre also nicht der Inhalt der Regeln, sondern die Festlegungen: Wer ist für eine Black Box verantwortlich? Wer prüft die Einhaltung der Regeln? Welche Konsequenz tritt bei Regelbrüchen ein? Wer setzt diese Konsequenzen durch?

Die Verantwortung für KI und Haftung für Schäden

Der Entwurf der KI-Verordnung definiert ein Rollenmodell für Akteure im Umgang mit KI. Ein Rollenmodell zu definieren ist zweifellos sinnvoll. Die Rollen des "Provider", der eine KI liefert, und des "User", der die KI einsetzt, wären klar nachvollziehbar. So ein einfaches Rollenmodell ist auch Bestandteil des Black-Box-Ansatzes für die Regulierung von KI.

Im Entwurf der KI-Verordnung sind jedoch insgesamt neun Rollen definiert, wozu Aufsichtsbehörden in diversen Funktionen noch hinzukommen. In so einem weit verzweigten Rollenmodell lassen sich Verantwortlichkeiten nicht eindeutig und klar zuordnen. Im Gegenteil, einem Akteur stehen in einem spezifischen Haftungsfall drei Wege offen, um jeder Verantwortung auszuweichen.

1. Ein Akteur kann in eine Rolle wechseln, die im spezifischen Fall gerade nicht verantwortlich ist. Die Grenzen zwischen "Importer", "Provider", "Operator", "User" und deren repräsentativen Vertretungen sind fließend.
2. Ein Akteur kann im spezifischen Fall die Verantwortung zu einer Rolle schieben, die er nicht selbst einnimmt. Die Weitergabe von Verantwortung wird noch begünstigt durch einen Zirkelschluss im Entwurf der KI-Verordnung, wo der "Provider" verantwortlich ist für den Einsatzzweck der KI. So kann auch der "User" die Verantwortung für den Einsatz der KI abwälzen.
3. Ein Akteur macht sich haftungsfrei durch den Nachweis, dass das spezifische System unter seiner Verantwortung gar keine KI ist. Beispielsweise könnte das System nur Algorithmen oder Zufallskomponenten enthalten; oder es ist ein "dummes" System, das erst durch die Hand anderer Akteure in einem spezifischen Fall tatsächlich intelligent wurde. Dieser Weg steht insbesondere allen Akteuren offen, die KI nur als Aufkleber für ihr Marketing einsetzen.

Artikel 7 Nummer 2 c) "... the extent to which the use of an AI system has already caused harm to the health and safety ..." zeigt, dass der Entwurf der KI-Verordnung eine Kernaufgabe nicht erfüllt, nämlich durch praktisch wirksame Regulierung den Schaden an Leib und Leben durch Pseudo-KI und durch echte KI zu verhindern. Stattdessen agiert der Entwurf der KI-Verordnung auf Details der Lieferketten von KI, wo von außen betrachtet die Verantwortlichkeiten in der Praxis verschwimmen.

Wem nutzt der Entwurf einer KI-Verordnung?

Die EC sollte ihr eigenes Bauchgefühl ernst nehmen, dass eine KI-spezifische Regulierung fehl am Platz ist. Die offiziell genannten Intentionen13 [14] hinter der KI-Verordnung sind weitgehend durch allgemeine, d.h. nicht KI-spezifische Gesetze, zu erfüllen. Die geltenden Gesetze sind zu verbessern, um die durch neue Praktiken offengelegten Lücken und Mängel abzudecken.

Mit einer phänomenologischen Herangehensweise, dem sogenannten Black-Box-Ansatz, ist eine schlanke, nachvollziehbare, zukunftsfeste Regulierung von KI möglich, wobei Verantwortlichkeiten klar zugeordnet werden. Dieser Ansatz ist zudem voll kompatibel mit der Weiterentwicklung der geltenden, nicht-KI-spezifischen Gesetze.

Schlank bedeutet insbesondere, dass nur relativ wenige zusätzliche Regelungen in Kraft zu setzen sind. Langwierige Expertendiskussionen um die Definition von KI und Einzelfallbewertungen in Millionen Fällen sind für Black Boxes jedenfalls nicht notwendig. Hiermit wurde auf konstruktive Weise gezeigt, dass wirksame Regulierung von KI nur einen relativ simplen gesetzlichen Rahmen braucht.

Im Gegensatz dazu öffnet der Entwurf der KI-Verordnung einen großen, zusätzlichen Rahmen für die Interessenvertretung durch Akteure, die sich Vollzeit-Lobbyisten leisten können. Der Entwurf der KI-Verordnung ist bereits in einem solchen Maße ausufernd und so kompliziert, dass nur noch vollzeitbeschäftige Spezialisten den Überblick haben können.

Auf den über 100 Seiten kompliziertem Text sind Ostereier, Schlupflöcher und Persilscheine relativ einfach zu verstecken. Diese in den kommenden Lesungen des Gesetzestextes zu finden, wird einen enormen Crowd-Aufwand der Bürger erfordern. Dazu kommen weitere Texte für die praktische Umsetzung der Verordnung in nationalen Gesetzen und Beschlüssen.

In einem spezifischen Haftungsfall auf Basis der KI-Verordnung wird eine langwierige gerichtliche Auseinandersetzung zu erwarten sein. Hierbei ist im Vorteil, wer ein Heer von Anwälten und Gutachtern einsetzen kann. Am besten gestellt sind im Entwurf der KI-Verordnung jene Personen und Unternehmen, die außerhalb der EU sitzen.

Insgesamt ist der Entwurf der KI-Verordnung ein Beispiel für Gesetzgebung, die dem Bürger wenig nützt, kleine Unternehmen erdrückt, zusätzliche Schichten von Behördenaktivitäten ins Leben ruft und internationale Konzerne fördert.

URL dieses Artikels:
https://www.heise.de/-6197281

Links in diesem Artikel:
[1] https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/europes-digital-decade-digital-targets-2030_en
[2] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_1
[3] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_2
[4] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_3
[5] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_4
[6] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_5
[7] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_6
[8] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_7
[9] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_8
[10] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_9
[11] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_10
[12] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_11
[13] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_12
[14] https://www.heise.de/tp/features/KI-Verordnung-der-EU-Freifahrtschein-fuer-Lobbyisten-6197281.html?view=fussnoten#f_13

Copyright © 2021 Heise Medien