Spielregeln für Künstliche Intelligenz

Künstliche Intelligenz (KI) ist eine Errungenschaft, der man durchaus ambivalent gegenüberstehen kann. Einerseits ist es eine Zukunftstechnologie von großem Nutzen, die Effizienz, Genauigkeit und Output steigert, Entscheidungen verbessert und damit unser Leben bereichert. Dem gegenüber steht die Sorge vor Missbrauch und negativen Konsequenzen, die sich aus dem Einsatz von KI-Systemen für einzelne Personen oder Gruppen ergeben können.

Erst jüngst ging ein Fall aus Hongkong durch die Medien: Ein Mitarbeiter eines Unternehmens wurde im Rahmen einer Videokonferenz von seinem Vorgesetzten angewiesen, einen Millionenbetrag auf ein externes Konto zu überweisen - was er auch tat. Allein: Er war Betrügern aufgesessen. Denn sie hatten alle anderen Teilnehmer der Videokonferenz durch Künstliche Intelligenz generiert - mit dem einzigen Ziel, an Geld zu gelangen. Für diese sogenannten Deepfakes hatten die Kriminellen vermutlich auf öffentlich verfügbare Videos und Fotos der gefakten Personen zurückgegriffen. Ein besonders krasser Fall, der illustriert, was KI-Systeme anrichten können.

EU als internationaler Vorreiter

Um solchem Missbrauch von KI vorzubeugen, hat die Europäische Union schon vor einigen Jahren beschlossen, einen rechtlichen Rahmen für deren Einsatz zu schaffen. Mehrere Jahre wurde daran gearbeitet, ehe im Dezember 2023 eine politische Einigung erzielt wurde. Der finale Artificial Intelligence (AI) Act soll bis April vorliegen und noch in der laufenden EU-Legislaturperiode in den EU-Gremien beschlossen werden. Die Bestimmungen wirken nach ihrer Veröffentlichung direkt in jedem Mitgliedsland, eine Umsetzung in nationales Recht ist nicht erforderlich. Für einzelne Inhalte des EU AI Acts sollen aber Übergangsfristen von bis zu drei Jahren gelten.Mit dem AI Act nimmt die EU international eine Vorreiterrolle bei der Regulierung von KI ein. Das Gesetz soll die Forschung und Weiterentwicklung von KI stärken, dabei aber die Einhaltung von Sicherheit und europäischen Grundrechten garantieren.

Risiko bestimmt die Auflagen

Inhaltlich wurde im EU AI Act ein risikobasierter Ansatz gewählt: KI-Anwendungen werden vier Risikostufen zugeordnet. Für jede Stufe ist definiert, welche Maßnahmen zu setzen sind, um schädliche Auswirkungen auf Sicherheit, Gesundheit oder Grundrechte von Menschen zu vermeiden (siehe Kasten rechts). Relevant werden die Vorschriften für alle, die KI entwickeln bzw. innerhalb der EU anbieten oder nutzen. Bei Verstößen sind hohe Bußgelder vorgesehen - bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes. Rechtsanwältin Alexandra Ciarnau, Co-Leiterin der Digital Industries Group bei Dorda Rechtsanwälte und auf IT-/IP- und Datenschutzrecht spezialisiert, hält den AI Act insofern für bemerkenswert, als er einem „human centric approach” folgt, also das Risiko für den Menschen in den Mittelpunkt stellt. „Der risikoabhängige Pflichtenkatalog ist eine der Stärken des AI Acts”, sagt Ciarnau.

Kontext entscheidet

„Der AI Act legt Standards fest, wie eine KI gebaut sein muss, damit sie sicher auf den Markt gebracht werden kann”, erklärt die Expertin. Dabei werden alle Akteure in die Pflicht genommen. Denn in welche Risikostufe eine KI fällt, hängt nicht nur davon ab, was sie leisten kann. Vielmehr ist entscheidend, in welchem Kontext sie eingesetzt wird - und das wisse der KI-Entwickler nicht zwingend. „Es wird also auf einen engen Diskurs zwischen Entwickler, Importeur und Anwender hinauslaufen”, meint Ciarnau. So fallen etwa die Transparenz- und Informationspflichten für KI der Risikoklasse 3 primär in die Verantwortung des Anwenders. Wie sehr Wiener Betriebe vom AI Act betroffen sind, hängt von der verwendeten Software ab. „Prinzipiell könnte jede Prozessautomatisierung KI-unterstützt sein, aber nicht alles, was automatisiert abläuft, ist KI”, sagt Ciarnau. Sie empfiehlt eine rechtzeitige Bestandsaufnahme, wo und wie prozessunterstützte Entscheidungen stattfinden, und die Definition eines KI-Verantwortlichen im Betrieb, der das Thema beobachtet und den AI Act immer mitdenkt, z.B. bei Software-Neuanschaffungen oder auch bei Budgetplanungen. Ob und wie große internationale Player auf EU-Linie zu bringen sein werden, bleibe abzuwarten, meint Ciarnau - zumal auch Geldbußen in Drittländern schwer exekutierbar und damit weniger abschreckend seien.

Leitlinien zur praktischen Umsetzung

Die Wirtschaftskammer Österreich begrüßt das Ziel, mit dem AI Act Rechtssicherheit zu schaffen und die Bürger zu schützen. Wichtig sei aber, dabei Überregulierungen und Doppelgleisigkeiten zu vermeiden. Auch brauche es rasch Leitlinien zur Umsetzung der Vorgaben. Rechtsexpertin Ciarnau erwartet, dass diese Leitlinien nach Vorliegen des AI Acts in seiner finalen Fassung ausgearbeitet werden und sieht hier das EU AI Office in der Pflicht - ein beratendes Gremium aus KI-Fachleuten, das bereits konstituiert wurde. Österreich richtet dazu noch eine KI-Servicestelle ein, die Bürger und Unternehmen bei der Umsetzung des AI Acts beraten soll. Ciarnau erwartet auch, dass bald Standards entwickelt werden, um über entsprechend zertifizierte KI-Komponenten den Aufwand für den Einzelnen zu senken.

Kein rechtsfreier Raum für KI

Die IT-Expertin betont, dass beim Einsatz von Künstlicher Intelligenz schon jetzt eine Fülle von Rechtsvorschriften gilt, etwa die Datenschutzgrundverordnung, das Konsumentenschutzgesetz, Diskriminierungsverbote oder das Urheberrechtsgesetz. „Wir bewegen uns mit KI nicht im rechtsfreien Raum, nur weil der EU AI Act noch nicht gilt.”