ChatGPT und Konsorten verändern schon jetzt massiv den Alltag vieler Menschen, sowohl in der Kommunikation mit Mitmenschen als auch bei der Arbeit. Neben vielen Vorteilen bringen klassische und generative KI auch Risiken mit sich. Der AI Act soll daher wesentliche Risiken wie Diskriminierung, Qualitätsmängel oder Intransparenz adressieren – bis er gilt, werden allerdings noch Jahre vergehen.
Um ein rechtliches Vakuum bis dahin zu vermeiden, haben EU-Kommissare nun verschiedene Versionen einer freiwilligen Selbstkontrolle vorgeschlagen, mit der sich Unternehmen zu einem KI-Kodex verpflichten würden. Dieses Instrument hat Potenzial. Um Erfolg zu haben, muss es allerdings bestimmten Anforderungen genügen.
Auch ohne AI Act gelten bereits jetzt viele Regeln für KI – etwa die Datenschutzgrundverordnung (DSGVO), Nicht-Diskriminierungsregeln und ein allgemeines Haftungsregime. Dennoch mangelt es diesen häufig nicht auf KI abgestimmten Regeln teilweise an Präzision und Durchsetzungskraft. Diese Lücke kann ein KI-Kodex füllen und dabei mehr sein als eine reine Übergangslösung.
Ein gelungener Kodex müsste auf zwei Säulen aufbauen: sektorspezifischen, umsetzbaren Anforderungen und einem wirksamen Durchsetzungsregime. Wie kann dies gelingen?
Die DSGVO kann hier ein Vorbild sein. Verbände können nämlich beispielsweise sektorspezifische Regeln erarbeiten, die die Aufsichtsbehörde dann prüfen und die EU-Kommission schließlich für allgemein gültig erklären kann (Artikel 40). Damit lassen sich gleich mehrere Fliegen mit einer Klappe schlagen. Es kann auf dezentrales Sachwissen der Unternehmen zurückgegriffen werden, um detaillierte Regelungen auszuarbeiten, die effektiv implementiert werden können. Zugleich verhindert die Aufsichtsbehörde, dass Marktteilnehmer sich selbst einen Freifahrtschein ausstellen. Die Möglichkeit einer Verbindlicherklärung schließlich steigert den Anreiz für Unternehmen, sich daranzuhalten. Sie schützt davor, wegen DSGVO-Verletzungen verfolgt zu werden. Man spricht von „regulierter Selbstregulierung“.
Genau dieses flexible und potenziell effektive Compliance-Instrument fehlt gegenwärtig im Entwurf des AI Acts (Artikel 69). Ein KI-Kodex sollte daher beide Säulen enthalten.
Zentral ist demnach erstens, dass er sich nicht in vagen Prinzipien erschöpft, die bereits jetzt mannigfach veröffentlicht wurden. Vielmehr muss es darum gehen, Prinzipien wie Trainingsdatenqualität, Nicht-Diskriminierung, Transparenz, Performanz, Resilienz und Cyber-Sicherheit sektorspezifisch auszubuchstabieren. Hier können divers besetzte Arbeitsgruppen helfen, die technische Sachkunde bieten – aber neben Normungsorganisationen (die bereits jetzt an derartigen Standards arbeiten) auch die Zivilgesellschaft zu Wort kommen lassen. Es könnte beispielsweise festgelegt werden, welche Metriken konkret für den Einsatz von KI im Bereich Recruiting oder Medizin wichtig sind und welche Werte als akzeptabel gelten sollen. Dabei könnten ebenfalls spezifische Regeln für generative KI entwickelt werden, gerade mit Blick auf Content-Moderation, Transparenz und Nicht-Diskriminierung.
Zweitens müssten diese Ergebnisse dann die bestehenden sektoralen Aufsichtsbehörden wie die Datenschutzbehörden und die Bundesanstalt für Finanzdienstleistungsaufsicht prüfen und in die Umsetzung bringen können. Dann könnten solche Standards sogenannte Safe Harbors werden, innerhalb derer eine Compliance-Vermutung für KI-Systeme mit Blick auf beispielsweise Haftungsrecht oder Nicht-Diskriminierung entsteht. Viele Unternehmen, gerade KMU, leiden unter der großen Unsicherheit, welche die gegenwärtig nur schwer absehbare Umsetzung des AI Acts mit sich bringt. Diese Unsicherheit ließe sich mit einem gut gemachten Kodex deutlich abmildern – so dass hoffentlich Innovation und Compliance zugleich gefördert werden.
Ein derartig konzipierter KI-Kodex hätte zwei weitere Vorteile. Erstens könnte die nach dem AI Act ohnehin notwendige Standardisierung dadurch bereits weiter vorangetrieben werden (Artikel 40 und 41). Zweitens könnte man auf diesem Weg Bereiche erfassen, die gegenwärtig vom AI Act nicht abgedeckt sind, aber erhebliche gesellschaftliche und ökonomische Relevanz besitzen – etwa die Automobilindustrie.
Eine sektorspezifische Operationalisierung allgemeiner KI-Prinzipien würde auch die Architektur des AI Act widerspiegeln, der mit konkreten Listen von Hochrisiko-Bereichen (Anhang II und III) ja gerade auf eine solche Binnendifferenzierung abzielt. Nicht zuletzt ließen sich so bestehende sektorspezifische Normen integrieren, wie es nun auch der neueste Entwurf des Europäischen Parlaments vorsieht (Artikel 8 Absatz 1a des IMCO-LIBE Reports).
Eine derartig konzipierte Selbstverpflichtung könnte es ermöglichen, rechtliche Innovation zu schaffen und spezifische Standards für den AI Act bereits zu erproben – etwa im Bereich der Governance von Trainingsdaten, der Vermeidung von Verzerrungen oder auch der mit Blick auf generative KI wichtigen Content-Moderation.
Man sollte daher den KI-Kodex als eine Chance sehen – wenn er mit der richtigen Regelungsarchitektur verbunden wird. KI entwickelt sich technisch rasend schnell. Es ist an der Zeit, rechtlich ebenfalls einige Experimente zu wagen, um mitzuhalten.
Philipp Hacker leitet seit 2020 den Lehrstuhl für Recht und Ethik der digitalen Gesellschaft an der Europa-Universität Viadrina in Frankfurt (Oder). Er ist sowohl an der juristischen Fakultät als auch an der European New School of Digital Studies (ENS) tätig.
