Artificial Intelligence (AI) ist die Zukunftstechnologie schlechthin. Selbstfahrende Autos, smart Cities, digitale Fabriken und präzisere Diagnosen in der Medizin – die Chancen der AI sind groß. Ihr Einsatz birgt allerdings auch Risiken für Betroffene. Irrt sich der Algorithmus oder das Deepl Learning-Tool, kann das massive Nachteile für Personen haben. Dazu kommen in die Grundfesten der Ethik gehende Einzelfallsabwägungen, wenn es zB um Entscheidungen über Leben oder Tod geht. Der EU-Gesetzgeber hat die Chancen, aber auch Risken von AI erkannt und an einem Rechtsrahmen getüftelt, um die neue Technologie in sichere Bahnen zu lenken. Am 13.4. ist der vorläufige, 81-seitige Entwurf der ankündigten EU-Verordnung der Kommission durchgesickert. Er gibt spannende, erste Einblicke in die Stoßrichtung des neuen Regimes. Der finale Entwurf soll sodann in den kommenden Wochen veröffentlicht werden.
Die Eckpunkte des aktuellen Entwurfs:
-
Ziele und Anwendungsbereich
Die Verordnung soll zum Schutz von betroffenen Personen einen harmonisierten Rechtsrahmen für AI-Systeme, die (i) mit natürlichen Personen interagieren, (ii) Fotos, Videos und Audiodateien manipulieren oder (iii) Hochsrisikobereiche betreffen, schaffen. Der Entwurf ist sehr weit gefasst und bezieht sich auf die Herstellung, den Import sowie jede sonstige Form der Nutzung von AI-Anwendungen (zB stand-alone oder eingebaut in Hard- oder Software). Territorial sind sowohl AI-Systeme in- als auch außerhalb der EU erfasst, sofern im letzten Fall auch Nachteile für Personen innerhalb der EU zu befürchten sind. Damit werden bei entsprechendem EU-Inlandsbezug alle Akteure angefangen vom Hersteller über den Importeur bis hin zum Händler in die Pflicht genommen. Sie haben alle ein sicheres, diskriminierungsfreies Funktionieren der AI zu gewährleisten. Die meisten Regelungen zielen jedoch auf die sogenannten Hochrisiko-Anwendungen ab.
-
Strenges Regime für Hochrisiko-AI-Anwendungen
Als risikoreiche AI gelten beispielsweise die automatische Gesichtserkennung im öffentlichen Raum, Bonitätssocring-Systeme oder AI im HR-Bereich. Hier müssen bei Entscheidungen stets Menschen das letzte Wort haben.
Anbieter derartiger Hochrisiko-Systeme müssen eigenständig eine Konformitätsprüfung durchführen und ihre Produkte mit einer CE-Kennzeichnung versehen. Die Kontrolle muss allerdings dann von einem Dritten durchgeführt werden, wenn AI-Systeme mit hoher Wahrscheinlichkeit negative Auswirkungen auf die Gesundheit und Sicherheit von Personen haben können.
Außerdem treffen Anbieter von Hochrisiko-AI zahlreiche weitere Pflichten: Sie müssen ein Qualitätsmanagementsystem einrichten, Informationspflichten erfüllen und die AI-Funktionsweise dokumentieren. Zudem besteht eine Anzeigepflicht der konkreten Anwendung bei den zuständigen EU- oder nationalen Behörden.
-
Maßnahmen gegen bias AI und Transparenzpflichten
Weiters sollen lediglich neutrale Daten zum anlernen der AI verarbeitet werden dürfen, um das Kernrisiko – die Diskriminierung einzelner Gruppen – weitgehend auszuschließen. Gegenüber Endnutzer sollen Unternehmen auch klar auf die automatisierten AI-basierten Prozesse hinweisen (zB bei Chatbots im E-Commerce).
-
Verbotene AI-Anwendungen
Der Entwurf listet auch eine Reihe an verbotenen Anwendungen auf. Absolut unzulässig ist zB das Social Scoring. Darunter ist die Überwachung von Menschen und Punktevergabe nach einem Bonus-Malus-System für Fehltritte und sittenkonformes Verhalten zu verstehen. Verboten ist weiters die anlasslose Überwachung oder das Tracking einer Vielzahl an Personen.
-
Erleichterungen für KMUs und Start-Ups
Die EU möchte mit dem Rechtsrahmen aber auch ganz bewusst Innovation fördern. AI-Systeme sollen daher in einer Sandbox für einen begrenzten Zeitraum unter der Aufsicht nationaler Behörden getestet und trainiert werden können. Ähnliche Initiativen gibt es derzeit schon für FinTech Anwendungen. Dadurch soll langfristig auch das Vertrauen der Bevölkerung in AI und Robotics erhöht werden. Bei der Aufnahme in die Sandbox-Programme sollen KMUs und Start-Ups bevorzugt werden.
-
Strafen
Die Einhaltung der neuen Verpflichtungen soll durch hohe Strafen sichergestellt werden. Für gewisse Verletzung sind derzeit DSGVO-ähnliche Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem welcher Wert höher ist), angedacht. Die drakonische Strafdrohung der DSGVO macht also immer mehr Schule und wird als Blaupause für neue Regelungsregime eingesetzt, wie zB in der Omnibus-RL.
Fazit und die nächsten Schritte:
Der aktuelle Entwurf schafft einen gewissen Mindeststandard für den Einsatz sicherer AI und nimmt alle Unternehmer, die diese neue Technologie einsetzen wollen, in die Pflicht. Allerdings sind noch viele Fragen offen, wie insbesondere das Verhältnis zur DSGVO und ihren Bestimmungen zum Profiling, dem Zweckbindungsgrundsatz, den Informationspflichten sowie den Betroffenenrechte. Zudem wirft die Verordnung auch zahlreiche Haftungsfragen auf. Es bedarf daher noch einiger Verhandlungsrunden bzw begleitender Regelungen, um das Thema gesamthaft abzudecken. Sobald die Kommission den Entwurf finalisiert und veröffentlicht hat, ist für die Beschlussfassung insbesondere die Zustimmung des EU-Parlaments notwendig. Aus all diesen Umständen, insbesondere auch den weiteren administrativen Weg, sind noch einige Änderungen und Wendungen zu erwarten. Es bleibt aber zu hoffen, dass die Kommission das Thema weiter prioritär vorantreibt, damit rechtzeitig vor dem Durchbruch der Anwendungen der Rechtsrahmen steht. Hier sieht man aber, wie wichtig die Kommission das Thema nimmt. Bislang war meist die Technik dem Recht um ein paar Jahre voraus. In dem konkreten Fall unternimmt die Politik zumindest den Versuch, diesmal schneller zu sein.