AI Act : Die Trilogparteien müssen die Weichen auf den letzten Metern richtig stellen

Künstliche Intelligenz (KI) ist längst im Mainstream angekommen. Laut einer aktuellen Bitkom-Umfrage betrachten 68 Prozent der Unternehmen KI als die wichtigste Zukunftstechnologie. Doch die Realität im Hier und Jetzt sieht anders aus: Nur 15 Prozent der Betriebe nutzen KI. Als Grund nennen die Unternehmen vor allem rechtliche Hürden: Wieder 68 Prozent der Unternehmen zögern aus Angst vor Regelverstößen, KI einzusetzen. Fast die Hälfte sieht in übermäßiger Regulierung den Grund, warum Produkte wie ChatGPT nicht in der EU entwickelt werden.

Die Zahlen zeigen: KI hat es bereits heute schwer in Europa – und der AI Act droht, die Technologie im Keim zu ersticken, anstatt sie sicherer zu machen. Die Bundesregierung muss sich deshalb jetzt in den Trilogverhandlungen dafür einsetzen, dass die Weichen richtig gestellt werden, insbesondere mit Blick auf generative KI.

Die transformative Kraft generativer KI darf nicht ausgebremst werden

Grundsätzlich reguliert der AI Act KI-Systeme anhand eines risikobasierten Ansatzes in vier Stufen (unannehmbares, hohes, geringes oder minimales Risiko) und definiert entsprechende Compliance-Anforderungen. Diese Herangehensweise wird im Grundsatz vom Bitkom und seinen Mitgliedern unterstützt. Besonderes Augenmerk muss dabei darauf gelegt werden, dass die Definition von KI und die Risikoklassifizierung so gestaltet sind, dass nur wirklich riskante Anwendungen erfasst werden.

In den aktuellen Trilogverhandlungen soll dieser Ansatz jedoch für Anwendungen generativer KI, wie ChatGPT, und abstrakte KI-Modelle über Bord geworfen werden. Stattdessen werden Allzweck-KI und Basismodelle als Anknüpfungspunkte der Regulierung von generativer KI diskutiert.

Der Rat der Europäischen Union konzentriert sich in seiner Position aus dem Dezember 2022 auf Allzweck-KI-Systeme („General Purpose AI“), die allgemein anwendbaren Funktionen wie Bild- und Spracherkennung oder Audio- und Videogenerierung übernehmen können. Nach diesem Ansatz werden die Verpflichtungen im Wesentlichen auf den Anbieter von Allzweck-KI übertragen. Falls die Allzweck-KI in einem Hochrisiko-Kontext eingesetzt werden kann, soll der Anbieter grundsätzlich die Hochrisiko-Verpflichtungen einhalten müssen. Die Digitalwirtschaft sieht diesen Ansatz kritisch, da Allzweck-KI per Definition keinen konkreten Verwendungszweck hat und es ohne das Wissen über die konkrete Nutzung unverhältnismäßig schwer ist, die Anbieterpflichten für Hochrisiko-Systeme effektiv umzusetzen. Stattdessen müssen Anbieter und Anwender von Allzweck-KI in der Wertschöpfungskette zusammenarbeiten, um Risiken wirksam zu begegnen. Wenn Anwender eine Allzweck-KI von einem anderen Anbieter in ihre eigenen Hochrisiko-KI-Systeme integrieren, benötigen sie Unterstützung und Informationen vom Allzweck-KI-Anbieter, um den Anforderungen des AI Act zu entsprechen.

Das EU-Parlament hat stattdessen in seiner Positionierung im Sommer vorgeschlagen, sogenannte Basismodelle („Foundation Models“) zu regulieren. Basismodelle sind KI-Modelle, die eine große Anzahl von unvorhergesehenen Aufgaben erfüllen können, und somit als Basis für spezifische Anwendungen dienen. Auch diesen Ansatz bewertet die Digitalwirtschaft kritisch. Die Idee von Basismodellen besteht darin, eine allgemeine Grundlage für unzählige unvorhergesehene Anwendungen zu schaffen. Für die Anbieter von Basismodellen ist es deshalb nicht nur unverhältnismäßig aufwändig, sondern teilweise unmöglich, Risiken, wie z.B. umweltschädliche Emissionen oder illegale Inhalte, die durch die Modelle erzeugt werden, vorherzusehen und präventiv zu unterbinden. Würde der Vorschlag Realität, würde das die Entwicklung und Nutzung solcher Modelle in Europa ernsthaft einschränken.

Probleme nicht nur erkennen, sondern auch lösen

Die Bundesregierung hat die Probleme beider Regulierungsansätze erkannt. In einer Stellungnahme an den EU-Rat Mitte September schreibt sie, dass Regulierung von generativer KI an der Stelle ansetzen solle, wo konkrete Risiken entstünden – und tendiert damit wieder zum risikobasierten Ansatz.

Folgerichtig schlägt die Bundesregierung vor, die Regulierung von Basismodellen außerhalb des AI Act in verbindliche Verhaltenskodizes zu überführen. Dies könnte etwa über eine verpflichtende Selbstregulierung im Rahmen des G7 Hiroshima-Prozesses geschehen, wie es Digital- und Verkehrsminister Volker Wissing (FDP) schon im Juli vorgeschlagen hat. Wenn dieses Vorgehen gewählt wird, ist es wichtig, dass die Anforderungen einer solchen verpflichtenden Selbstregulierung zum AI Act passen und nicht auf anderen Definitionen und Konzepten aufsetzen.

Während die Bundesregierung die Regulierung von Basismodellen also ablehnt, setzt sie stattdessen auf eine Weiterentwicklung der Regulierung von Allzweck-KI, die als konkret nutzbare Anwendungen mit einem breiten Spektrum an möglichem Output definiert werden soll. Diesen Vorstoß begrüßen wir im Grundsatz, da so eine stärkere anwendungsbezogene Risikobewertung ermöglicht wird. Allerdings bringt die Bundesregierung in derselben Stellungnahme neue Anforderungen für Allzweck-KI ins Spiel, wie Transparenzvorgaben für Trainingsdaten und Informationspflichten zum Energieverbrauch. Ähnliche Anforderungen stellt sich das EU-Parlament für Basismodelle vor. Dort wie hier gehören solche Anforderungen nicht in den AI Act, der sich primär mit System- und Produktsicherheit befasst und deshalb nicht zusätzlich mit urheber- und umweltrechtlichen Anforderungen überfrachtet werden sollte.

Die Bundesregierung ist mit ihrem Vorstoß nicht allein. Ein in Brüssel zirkulierendes Non-Paper, unterzeichnet von Frankreich, der Tschechischen Republik, Dänemark, Estland und Irland, betont ebenfalls die Notwendigkeit einer stärker anwendungsbezogenen Risikobewertung bei generativer KI – eine Gelegenheit, die die deutsche Regierung leider verpasst hat.

Weitere Themen nicht aus dem Blick verlieren

Auch wenn generative KI die aktuell größte Baustelle des AI Act ist, dürfen andere wichtige Aspekte nicht aus dem Blick geraten. Nachbesserungsbedarf besteht z.B. noch bei dem Zusammenspiel des AI Act mit existierenden Regulierungen. Anbieter von Produkten, die durch bestehendes EU-Recht reguliert sind, dürfen nicht mit doppelten Anforderungen sowohl durch die sektorspezifische Regulierung als auch durch den AI Act konfrontiert werden.

Außerdem muss die Rolle und das Potenzial von Open Source im AI Act klarer und besser berücksichtigt werden. Open Source basierte Allzweck-KI und Basismodelle können einige Anforderungen, die für Basismodelle und Allgemein-Zweck-KI im Raum stehen, dem Wesen nach nicht erfüllen. Hier sollte der Gesetzgeber eine ausgewogene Lösung finden die Open-Source-Innovationen im Bereich Generative KI nicht abwürgt, aber gleichzeitig klare Verantwortlichkeiten und Pflichten für das Anbieten und Inverkehrbringen im Hochrisikobereich definiert die auf Open-Source-Basiskomponenten basieren.

Abschließend sollte die pauschale Einstufung von biometrischer Identifizierung und KI am Arbeitsplatz in die Hochrisikokategorie überdacht werden, weil ansonsten in beiden Fällen harmlose Anwendungen, wie Gesichtsfilter in Social-Media-Apps oder das Matching von passenden Kundenbetreuern zu bestimmten Kundenanfragen, als Hochrisiko gelten könnten.

KI-Regulierung darf keine KI-Blockade sein. Deutschland kann zusammen mit anderen Mitgliedsstaaten dafür sorgen, dass KI – und insbesondere generativer KI – in Europa keine unnötigen Steine in den Weg gelegt werden. Die nächste Trilogsitzung auf politischer Ebene am 25. Oktober bietet dafür die passende Gelegenheit – denn dann wird voraussichtlich über generative KI, Allzweck-KI und Basismodelle entschieden. Jetzt gilt es, den AI Act auf der Zielgeraden noch in die richtige Richtung zu lenken.