KI-Gesetz: Spanischer Ratsvorsitz zielt auf Einigung
Die neue spanische EU-Ratspräsidentschaft will das neue Gesetz für künstliche Intelligenz so schnell wie möglich auf den Weg bringen. Diese Woche werden sich die EU-Staaten daher insbesondere mit KI-Definition, Risikoeinstufung, die risikoreichen Anwendungsfälle und die Folgenabschätzung für die Grundrechte auseinandersetzen.
Die neue spanische EU-Ratspräsidentschaft will das neue Gesetz für künstliche Intelligenz so schnell wie möglich auf den Weg bringen. Diese Woche werden sich die EU-Staaten daher insbesondere mit KI-Definition, Risikoeinstufung, die risikoreichen Anwendungsfälle und die Folgenabschätzung für die Grundrechte auseinandersetzen.
Spanien hat am 1. Juli die rotierende Präsidentschaft des EU-Ministerrats übernommen. Madrid strebt hierbei eine politische Einigung über das KI-Gesetz an – ein bahnbrechendes Gesetz zur Regulierung der künstlichen Intelligenz auf der Grundlage ihres Schadenspotenzials.
Die spanische Ratspräsidentschaft hat ein Dokument vom 29. Juni in Umlauf gebracht, das EURACTIV vorliegt. Darin wird ein Meinungsaustausch über vier kritische Punkte des KI-Regelwerks am Mittwoch (5. Juli) in der Arbeitsgruppe Telekommunikation, einem technischen Gremium des Rates, angekündigt.
Die Diskussion wird die Position der Präsidentschaft in der nächsten Verhandlungssitzung zusammen mit dem EU-Parlament und der Kommission, den sogenannten Trilogen, am 18. Juli bestimmen.
KI-Definition
Die Definition des Europäischen Parlaments für Künstliche Intelligenz stimmt mit der Auffassung der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) überein und versucht auch, künftige Anpassungen vorwegzunehmen, die momentan noch in der internationalen Organisation diskutiert werden.
Ein ‚System der künstlichen Intelligenz‘ (KI-System) ist „ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichen Graden von Autonomie arbeitet und das für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen“, heißt es im Text des Parlaments.
Während der EU-Rat einige Elemente der OECD-Definition übernommen hat, grenzte dieser sie jedoch weiter auf maschinelle Lernansätze sowie logik- und wissensbasierte Ansätze ein, um zu vermeiden, dass herkömmliche Software von der Definition erfasst wird.
„Diese [OECD-Definition] scheint Software zu umfassen, die nicht als KI eingestuft werden sollte“, heißt es in der Mitteilung der Ratspräsidentschaft, in der drei mögliche Optionen aufgezeigt werden: Beibehaltung des Ratstextes, Annäherung an das Parlament oder Abwarten des Trilogs im September, um die Richtung zu bewerten, die die OECD einschlägt.
Einstufung als hochriskant
Das KI-Gesetz verpflichtet die Entwickler von Systemen, die ein hohes Risiko für die Sicherheit und die Grundrechte von Menschen darstellen, zur Einhaltung strengerer Vorschriften für das Risikomanagement, die Datenverwaltung und die technische Dokumentation.
Die Einstufung der Systeme in diese Kategorie war Gegenstand umfangreicher Änderungen. Ursprünglich sah der Gesetzentwurf eine automatische Einstufung von KI-Anwendungen mit hohem Risiko vor, die unter eine vorformulierte Liste von Anwendungsfällen (Anhang III) fielen. Beide Mitgesetzgeber entfernten diesen Automatismus und führten eine ‚zusätzliche Ebene‘ ein.
Für den Rat bezieht sich diese neue Ebene auf die Bedeutung der Ergebnisse des KI-Systems im Entscheidungsprozess, wobei rein ergänzende Ergebnisse aus dem Geltungsbereich herausgehalten werden.
Die EU-Abgeordneten führten hingegen ein System ein, bei dem die KI-Entwickler auf Grundlage von der EU-Kommission bereitgestellten Leitlinien selbst beurteilen sollten, ob die vorformulierten Anwendungsfälle ein hohes Risiko darstellen. Wenn die Unternehmen der Ansicht sind, dass ihr System kein hohes Risiko darstellt, müssten sie die zuständige Behörde informieren, die innerhalb von drei Monaten antworten sollte, wenn sie der Ansicht ist, dass eine falsche Einstufung vorliegt.
Auch hier gibt es die Optionen, den allgemeinen Ansatz des Rates beizubehalten oder sich dem des Parlaments anzunähern. Allerdings werden auch in diesem Fall mehrere Zwischenlösungen in Betracht gezogen.
Eine Option ist die Übernahme der Version der Abgeordneten des Europäischen Parlaments, jedoch ohne die Meldung an die zuständigen Behörden. Alternativ könnte diese Version weiter verfeinert werden, indem klare Kriterien für KI-Anbieter zur Selbsteinschätzung als verbindliche Regeln anstelle von ‚weichen‘ Leitlinien eingeführt werden.
Der endgültige Vorschlag ist das System des Parlaments ohne Meldung und mit verbindlichen Kriterien, plus die Erkundung „weiterer Optionen zur Bereitstellung zusätzlicher Leitlinien für Anbieter, zum Beispiel durch eine Sammlung von Beispielen für unter Anhang III fallende KI-Systeme, die nicht als risikoreich angesehen werden sollten.“
Liste von risikoreichen Anwendungsfällen
Beide Mitgesetzgeber haben die Liste in Anhang III stark geändert. Die EU-Länder strichen die Erfassung von sogenannten Deepfakes durch Strafverfolgungsbehörden, die Kriminalitätsanalyse und die Überprüfung der Echtheit von Reisedokumenten. Hinzugefügt wurden kritische digitale Infrastrukturen sowie Lebens- und Krankenversicherungen.
Die EU-Abgeordneten erweiterten die Liste erheblich, indem sie biometrische Daten, kritische Infrastrukturen, Empfehlungssysteme der größten sozialen Medien, Systeme mit Möglichkeit der Wahlergebnisbeeinflussung, und Einsatz von KI bei der Streitbeilegung und beim Grenzmanagement hinzufügten.
„Die Delegationen werden gebeten, sich zu den oben beschriebenen Ergänzungen und Änderungen zu äußern“, heißt es in der Mitteilung weiter.
Folgenabschätzung für die Grundrechte
Mitte-links Abgeordnete wollen die Nutzer von risikoreichen KI-Systemen verpflichten, vor der Inbetriebnahme des Systems eine Folgenabschätzung für die Grundrechte durchzuführen. Diese Abschätzung soll den beabsichtigten Verwendungszweck, den zeitlichen Anwendungsbereich und die Kategorien von Personen oder Gruppen, die wahrscheinlich betroffen sind, berücksichtigen.
Darüber hinaus sollte eine sechswöchige Konsultation mit den relevanten Interessenvertretern eingeleitet werden, um die Folgenabschätzung zu untermauern.
„Der Text des Rates enthält keine derartige Verpflichtung, und es ist wichtig, daran zu erinnern, dass die Datenschutz-Grundverordnung (DSGVO) sowohl Unternehmen als auch öffentliche Einrichtungen bereits verpflichtet, zu prüfen, ob bei der Verarbeitung personenbezogener Daten wahrscheinlich hohe Risiken für die Rechte und Freiheiten bestehen“, heißt es in dem Dokument weiter.
Die spanische Ratspräsidentschaft hat nicht die Möglichkeit eingeräumt, dem Text des Parlaments zuzustimmen, ohne die Maßnahme auf die Verwendung durch den öffentlichen Sektor zu beschränken. Weitere Optionen sind die Streichung der sechswöchigen Konsultationsfrist oder die Verpflichtung, die Behörden über die Bewertung zu informieren.
Zusätzliche Fragen
Die Präsidentschaft stellte auch zwei zusätzliche Fragen. Erstens: Das Mandat des EU-Parlaments berührt Begriffe wie Demokratie, Rechtsstaatlichkeit und Nachhaltigkeit. Daher werden die EU-Länder gefragt, ob sie glauben, dass das KI-Gesetz der richtige Rahmen ist, um diese Themen zu behandeln.
Zweitens werden die Mitgliedsstaaten gefragt, ob der Begriff ‚Bereitsteller‘ eingeführt werden sollte, um Verwirrung zu vermeiden.
[Bearbeitet von Alice Taylor/Kjeld Neubert]
