Im Digitalbereich gibt es auf EU-Ebene zurzeit zwei Hot Topics: den Digital Services Act und das Thema Künstliche Intelligenz. Dieser Beitrag widmet sich letzterem.
Im Rahmen eines Digitalpaketes präsentierte die EU-Kommission am 19. Februar 2020 ein Weißbuch zu KI. Möchte man sich ein vollständiges Bild verschaffen, muss man das Weißbuch zusammen mit dem Bericht zur Haftung im Bereich Robotik und Internet of Things betrachten.
Da beide Papiere wenig aufeinander abgestimmt sind und im Gegensatz zu herkömmlichen Kommissionstrategien eher Denkanstöße als konkrete Vorhaben beinhalten, haben wir sie einer Gesamtbetrachtung unterzogen (siehe Grafik). Schnell wird klar - es gibt drei KI-Bereiche, in denen die EU-Kommission Nachholbedarf sieht: Haftung, Produktsicherheit und Schutz von Persönlichkeitsrechten.
Was bedeutet das für die Gesetzgebung?
Dieses nur grob umrissene KI-Paket wurde zwar von Ende 2020 auf Anfang 2021 verschoben, es zeichnet sich jedoch ab, wo es Maßnahmen geben wird. Im Bereich Haftung scheint eine Überarbeitung der EU-Produkthaftungsrichtlinie von 1985 sehr wahrscheinlich. Bei der Produktsicherheit, wird es um punktuelle Anpassungen einzelner Rechtsakte gehen, wie der Maschinenrichtlinie oder der Richtlinie über Funkanlagen. Beim Schutz der Persönlichkeitsrechte ist es am wahrscheinlichsten, dass wir gänzlich neue Regulierung bekommen, u.U. im Stil einer DSGVO-ähnlichen KI-Grundverordnung. Wir können uns also auf ein buntes Maßnahmenbündel einstellen.
Was sich dann aber doch wie ein roter Faden durch den Ideenwust zieht, ist der risikobasierte Ansatz. Ein Konzept, auf das sich zunächst einmal viele (Stakeholder) einigen können – solange schwammig bleibt, wie Risiko definiert wird bzw. man sich selbst nicht als „KI-Hochrisikobranche“ sieht.
Wann ist das Risiko hoch?
Aber wie soll die Abgrenzung zwischen KI-Produkten oder -Anwendungen mit hohem Risiko und jenen mit niedrigem bzw. gar keinem Risiko vorgenommen werden? Die Kommission schlägt in ihrem Weißbuch ein wenig überzeugendes Zwei-Faktor-Konzept vor: nach Sektor und nach Verwendungszweck. Während bei den Branchen konkrete, nachvollziehbare Beispiele genannt werden – Gesundheit, Transport, Sicherheit – wird es beim Verwendungszweck sehr schwammig. Was sind konkret „rechtliche Auswirkungen“ (und was nicht)? Ein Jurist würde darauf angesprochen vermutlich antworten, dass zunächst einmal alles im Leben „rechtliche Auswirkungen“ hat. Die Kommission bleibt eine Erläuterung schuldig.
Außerdem soll es Ausnahmen geben: KI-basierte Systeme, die zur Einstellung von Personal verwendet werden, sollen z.B. immer als Hochrisikoanwendung gelten. Und während der Sektor als Faktor zunächst nachvollziehbar erscheint, stellen sich auch hier Fragen: müssen ein KI-Reinigungsroboter aus einem Krankenhaus oder ein KI-Chatbot zur Festlegung eines Arzttermins zwingend mit dem Label „Hochrisiko“ versehen werden, nur weil sie formal in die Kategorie „Gesundheitswesen“ fallen?
Für Unternehmen – auch und insbesondere aus dem Handel – ist es an der Stelle jedoch wichtig, Rechtssicherheit zu haben. Sie müssen wissen, welche KI-Anwendungen, die sie nutzen, oder KI-Produkte, die sie verkaufen, tatsächlich ein hohes Risiko bergen – und zwar im Vorhinein und verständlich abgegrenzt. Der EU-Abgeordnete Axel Voss geht in seinem Initiativbericht zum Thema „Zivilrechtliche Haftung beim Einsatz künstlicher Intelligenz“ einen anderen Weg: eine abgeschlossene Liste im Anhang zu einer etwaigen, neuen EU-Verordnung soll jene KI-Produkte aufführen, die ein hohes Risiko (für Schäden an Dritten im öffentlichen Raum) bergen, wie z.B. Lieferdrohnen, oder selbstfahrende Autos. Eine Expertengruppe aus Vertretern der Kommission, der Mitgliedstaaten sowie von zivilgesellschaftlichen und wirtschaftlichen Gruppen berät halbjährlich darüber, was auf die Liste kommt.
Eine weitere Alternative bietet die Bertelsmann Stiftung im Rahmen ihres KI-Ethiklabels. Im Gegensatz zum bis dato rein binären Konzept der EU-Kommission (hohes vs. niedriges/kein Risiko) werden hier mit einem zweidimensionalen Ansatz KI-Anwendungen in fünf Risikogruppen eingeteilt - entlang der Dimensionen Intensität des potenziellen Schadens und Abhängigkeit von der jeweiligen Entscheidung. Auch wenn fünf Risikoklassen (heute noch) sehr kleinteilig erscheinen, lässt diese Klassifizierung mehr Differenzierung zu – siehe Reinigungsroboter im Krankenhaus. Dies allerdings auf Kosten der Rechtssicherheit, weil man sich in Detaildiskussionen verlieren könnte.
Brauchen wir eine Durchsetzung auf EU-Ebene?
Ein weiterer Aspekt der aktuellen Diskussion betrifft die Frage, wie neue Regeln zu KI durchgesetzt werden sollen, wenn sie in zwei bis vier Jahren in Kraft getreten sein werden. Dazu kursiert, insbesondere im EU-Parlament, die Idee einer zentrale EU-Aufsichtsbehörde. Dieser Vorschlag ist die logische Konsequenz einer Entwicklung der letzten Jahre hin zu mehr Zentralismus in der Durchsetzung von EU-Recht. Während die Durchsetzung eigentlich traditionell den Mitgliedstaaten überlassen ist – mit dem Ziel die Anwendung des Rechts möglichst gut an die nationalen Gegebenheiten anzupassen – wurde die Rechtsdurchsetzung in der vergangenen EU-Legislaturperiode zunehmend zentralisiert. So wurden mit der DSGVO im Bereich Datenschutz, der CPC-Verordnung im Verbraucherschutz und mit der neuen Verordnung zur Marktüberwachung jeweils neue Netzwerke zur Rechtsdurchsetzung geschaffen oder bestehende gestärkt. Gleichzeitig hat die DSGVO bei den Geldbußen mit 4% des Jahresumsatzes einen Benchmark geschaffen, an dem man sich auch bei der Überarbeitung des EU-Verbraucherrechtes orientiert hat. Somit sind auch hier die Mitgliedstaaten weniger frei in ihrer Entscheidung.
In der Folge fordern nun EU-Abgeordneten wie Tiemo Wölken (DE, S&D), Ibán García del Blanco (ES, S&D) oder Alex Agius Saliba (MT, S&D) in ihren aktuellen Initiativberichten eine weitere Zentralisierung der Durchsetzung. Eine zentrale EU-Aufsichtsbehörde soll nicht nur Algorithmen kontrollieren und die menschliche Aufsicht über KI-Systeme garantieren, manche wollen ihr auch die Kontrolle von Plattformen anvertrauen.
Fraglich bleibt in diesem Kontext vor allem, ob die Mitgliedstaaten hierbei mitspielen werden. Im EU-Ministerrat wird man wenig begeistert sein, noch mehr Durchsetzungskompetenz abzugeben. Im Europäischen Parlament scheint die Europäische Volkspartei ebenfalls kein Fan der Idee zu sein. Letztlich kostet die Schaffung einer EU-Aufsichtsbehörde auch Geld – Geld, das für die Rechtsdurchsetzung sonst von den Mitgliedstaaten aufgebracht werden müsste und in einem aktuell hart umkämpften EU-Haushalt dann an anderer Stelle fehlen würde.
Mehr Informationen zu diesem und weiteren Themen des HDE, gibt es in unserer Digitalen Agenda 2020.
ein Beitrag von Fabian Fechner (HDE Brüssel)