Medikamente, Kontaktlinsen, Röntgengeräte und selbst Vitamin-C-Präparate oder Gesichtscremes müssen – teils strengere, teils weniger strenge – unabhängige Zulassungsverfahren durchlaufen, bevor sie an Endverbraucher abgegeben werden dürfen. Für Technologien wie Amazon Echo, Betriebssysteme oder smarte Türklingeln gibt es hingegen bislang keine vergleichbare Testpflicht, und das, obwohl bei derartigen Produkten immense Risiken (nicht nur) für die Privatsphäre der Nutzerinnen und Nutzer bestehen. Lediglich der Gesundheitsschutz und die Gerätesicherheit wird beispielsweise bei der CE-Kennzeichnung berücksichtigt.[1] Im Übrigen bleibt die finale Einschätzung, ob ein technisches Produkt datenschutzkonform ist und keine Gefahr für die Privatsphäre oder Gleichberechtigung darstellt, den Herstellern überlassen. Diese legen jedoch nicht immer besonders große Sorgfalt bei dieser Einschätzung an den Tag, um den Markteintritt nicht zu gefährden. Derweil enthalten Smartphones inzwischen fast das gesamte Leben ihrer Nutzerinnen und Nutzer, virtuelle Assistenten wie Amazon Echo, Alexa oder Siri lauschen sämtlichen Gesprächen und Schwachstellen in Betriebssystemen und anderen Softwares verursachen massive Schäden sowohl in datenschutzrechtlicher wie auch in wirtschaftlicher Hinsicht.
Hochrisiko-KI soll künftig Zulassungsverfahren durchlaufen müssen
Zumindest für „hochriskante“ KI-Systeme soll es den Plänen der EU-Kommission zufolge jedoch künftig ein abgestuftes Zulassungssystem geben, das im vorgeschlagenen „Artificial Intelligence Act“ niedergelegt werden soll.[2] Während die sich rasant entwickelnden KI-Systeme durchaus das Potenzial böten, eine Vielzahl wirtschaftlicher und gesellschaftlicher Vorteile zu ermöglichen, dürften die Risiken oder negativen Konsequenzen, die diese Technologien sowohl für Individuen als auch für die Gesellschaft als ganzes nach sich ziehen könnten, nicht unterschätzt werden.[3] Als konkrete Ziele nennt der Vorschlag, dass die Sicherheit und Einhaltung bestehender gesetzlicher Regelungen und unionsrechtlicher Grundprinzipien sowie die Rechtssicherheit für Investitionen und Innovationen gewährleistet werden, dass eine wirksame Kontrolle und Rechtsdurchsetzung verbessert und dass die Entwicklung eines Binnenmarktes für rechtmäßige, sichere und vertrauenswürdige KI-Systeme ermöglicht und eine Marktfragmentierung verhindert wird.[4]
Doppelte Beschränkung des Anwendungsbereichs
Der Anwendungsbereich soll dabei in doppelter Hinsicht beschränkt werden[5]: Unter „Hochrisiko-KI“ fallen demnach nur KI-Systeme, die für die Sicherheit kritischer Infrastrukturen sorgen sollen, Anwendungen wie „predictive policing“ zur Vorhersage von Verbrechen sowie Systeme, die Menschen – etwa deren Kreditwürdigkeit, Eignung für eine Arbeitsstelle oder für einen Studienplatz – beurteilen. Als Beispiele für Hochrisikoanwendungen in Hochrisikofeldern sind unter anderem Auswahl-Algorithmen in Bewerbungsprozessen oder biometrische Identifikation, z.B. durch automatisierte Gesichtserkennung, zu nennen.[6] Gerade der Anwendungsbereich wird von Kritikern als „massiv unklar“ bezeichnet, da der Begriff „KI“ so weit gefasst sei, dass „fast jede derzeit eingesetzte Software“ gemeint sein könne, wie der Medienrechtler Stephan Dreyer vom Hans-Bredow-Institut der Universität Hamburg zu bedenken gibt.[7] Dreyer äußert daher Zweifel an der – eigentlich bezweckten – Rechtssicherheit für Unternehmen und befürchtet Nachteile im internationalen Wettbewerb. Grundsätzlich sind bürokratische Prozesse wie eine Vorabkontrolle geeignet, Innovationen auszubremsen und den Wettbewerb stark zu kanalisieren.[8] Ob es sinnvoll ist, dynamische Produkte wie Software einem Verfahren zu unterwerfen, das traditionell auf statische Objekte wie Rezepturen oder Baupläne zugeschnitten ist, darf bezweifelt werden.
Fazit
Die Chancen und Vorteile, die durch KI-Systeme ermöglicht werden, müssen stets in Abwägung mit den Risiken, die sich durch ihren Einsatz ergeben, betrachtet werden. Eine ausgewogene Regulierung ist hier generell nützlich. In Anlehnung an den Datenschutz könnte sich auch durchaus die Erkenntnis ableiten lassen, dass eine präventive Überprüfung neuer Systeme, bevor sie Schaden anrichten können, sinnvoller ist als die nachträgliche Sanktionierung mit Bußgeldern (die ohnehin häufig nicht die erwünschte Wirkung zeigt).
In jedem Fall sollte ein solches Zulassungsverfahren jedoch nicht dazu führen, dass der Marktzugang für kleinere Unternehmen oder Startups unerreichbar wird und Innovationen gehemmt werden. Ob die geplanten Regelungen des Artificial Intelligence Acts diesen Spagat bewältigen können, wird sich zeigen.
[1] Vgl. hierzu und zum Folgenden Kolain, Über IT-Regulierung, Impfstoffe und Covid-Tests, Netzpolitik.org, 27.04.2021.
[2] Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) – COM(2021) 206 final, 21.04.2021.
[3] Vgl. COM(2021) 206 final, S. 1.
[4] Vgl. COM(2021) 206 final, S. 3.
[5] Hierzu und zum Folgenden Wolfangel, Wider die willkürliche und wahllose Überwachung von Menschen, Spektrum.de, 23.04.2021.
[6] Vgl. Dachwitz/Köver/Fanta, Diese Regeln plant die EU für Daten und Algorithmen, Netzpolitik.org, 19.02.2020.
[7] Vgl. Wolfangel, Wider die willkürliche und wahllose Überwachung von Menschen, Spektrum.de, 23.04.2021, dort auch zum Folgenden.
[8] Kolain, Über IT-Regulierung, Impfstoffe und Covid-Tests, Netzpolitik.org, 27.04.2021, dort auch zum Folgenden.
Sämtliche Links wurden zuletzt am 29.04.2021 abgerufen.