Sektorübergreifende Regelungen wie im AI Act haben durchaus Vorteile: Da sie universell gelten, lassen sie keine Schutzlücken entstehen und vermeiden Unstimmigkeiten durch sektorale Rechtsvorschriften. Allerdings müssen sie abstrakter sein als sektorspezifische Vorgaben, was zu mehr Rechtsunsicherheit führt. Denn ihre Auslegung durch Behörden und Gerichte ist bei neuen Gesetzen im konkreten Kontext aufgrund der fehlenden Praxiserprobung unklar. Gibt es dagegen behördliche Vorgaben, die die abstrakten Regelungen für einzelne Sektoren kontextabhängig praktikabel machen, schafft dies Rechtssicherheit ohne Innovationen zu hemmen. Wie ist der AI Act unter diesen Gesichtspunkten zu beurteilen?
Passgenaue Regulierung durch eine Behörde pro EU-Staat nicht leistenbar
Die hochabstrakten Regelungen des AI Acts werden aufgrund ihrer mangelnden Spezifizierung für den jeweiligen Sektor und Kontext naturgemäß zu Rechtsunsicherheit führen und es ist unwahrscheinlich, dass diese Rechtsunsicherheit zeitnah nach Inkrafttreten der Verordnung abgemildert werden kann. Der AI Act sieht grundsätzlich nur eine einzige zuständige nationale Marktüberwachungsbehörde pro Mitgliedstaat vor. Zwar kann ein Mitgliedstaat unterhalb dieser nationalen Marktüberwachungsbehörde weitere Behörden einrichten oder benennen, allerdings ist ausweislich der dafür geplanten Vorgaben keine Einbindung von Sektorexperten beziehungsweise Sektorbehörden vorgesehen.
Gleichzeitig gibt es eine immense Vielfalt an KI-Anwendungen in fast allen Bereichen der Gesellschaft – vom Gesundheitswesen über Finanzdienstleistungen, Energie, Wissenschaft bis zu Einzelhandel und Produktion – mit unterschiedlichen Risiken für Individuen und Unternehmen, die auch unterschiedlich behandelt werden sollten. Dies gilt zum Beispiel für das Erfordernis der Transparenz: Bezogen auf KI-basierte medizinische Geräte, die etwa Diagnosen für Patienten erstellen, muss das Transparenzerfordernis sicher anders interpretiert werden als für KI im Energiesektor, wenn beispielsweise für die bessere Steuerung des Verteilnetzes auf KI basierende Vorhersagen zu Spannungsebenen getroffen werden.
Passgenaue Regulierung kann eine einzelne nationale Marktüberwachungsbehörde (bzw. mehrere allgemeine, für sämtliche Sektoren zuständige Unterbehörden) aber kaum leisten. Allein Behörden mit Sektorexpertise sind in der Lage, kontextspezifische Anwendungen und Auswirkungen von KI zu bewerten und zu entscheiden, ob und wie sie am besten zu regulieren sind.
Weniger Rechtsunsicherheit bei sektorspezifischer Regulierung
Die Erfahrung mit anderen sektorübergreifenden Regelwerken wie etwa der Datenschutzgrundverordnung (DSGVO) zeigt: Es dauert mitunter Jahre, bis in bestimmten Bereichen rechtssichere Vorgaben entstehen. Gerichtliche Verfahren dauern und behördliche Vorgaben in Bezug auf sektorübergreifende Gesetze entwickeln sich nur langsam. Daher ist beim AI Act damit zu rechnen, dass es für Unternehmen im Hinblick auf die Regulierung von KI eine enorme Rechtsunsicherheit geben wird, die bei einem sektorspezifischen Ansatz nicht im gleichen Maße gegeben wäre.
Sektorspezifischen Ansätzen, wie sie von Großbritannien und den USA verfolgt werden, wird oft vorgeworfen, dass sie Unternehmen eher gewähren lassen und die Schäden Einzelner zu Gunsten von Innovationen in Kauf nehmen. In der Tat ist das Argument nicht ganz von der Hand zu weisen, dass durch das Vorgehen nach dem Prinzip „Trial and Error“ Schutzlücken entstehen könnten. Hier kommt es jedoch auf die Initiative der sektorspezifischen Behörden an: Wenn sie verpflichtet sind, abstrakte regulatorische Anforderungen für Unternehmen auf spezifische KI-Anwendungen herunterzubrechen, muss es nicht zu Schutzlücken kommen – schließlich wissen die involvierten Behörden als Sektorexperten, wo die größten Risiken liegen.
Natürlich handelt es sich hier um einen iterativen Prozess mit Anpassungen, um während der „Erprobung“ gesammelte Erkenntnisse zu Risiken zu reduzieren. Aber viele „KI-Probleme“ sind nicht komplett neu, sondern unterliegen vielfach schon jetzt einer Regulierung, lassen sich also durchaus adressieren. Ein Beispiel: Etwaige Verzerrungen in KI-Trainingsdaten und damit dem Algorithmus können schon nach geltendem Recht mit DSGVO-Mitteln verhindert werden.
Fazit
Die Art und Weise, wie der AI Act angelegt ist (eine zuständige nationale Marktüberwachungsbehörde beziehungsweise mehrere allgemeine, für sämtliche Sektoren zuständige Unterbehörden pro Mitgliedstaat), die Verbreitung und Natur von KI (viele verschiedene Use Cases über verschiedene Sektoren) und die Erfahrung mit anderen sektorübergreifenden Gesetzen (beispielsweise DSGVO) sprechen dafür, dass tendenziell die sektorspezifische Regulierung der bessere Kompromiss zwischen Innovation und Grundrechtsschutz ist, als ein sektorübergreifendes Vorgehen.
Der Trade-off beziehungsweise der in einer sektorspezifischen Regulierung angelegte Kompromiss ist wegen der kontextabhängigen Vorgaben tendenziell innovationsfreundlicher als der EU-Ansatz. Die durch ein derartiges Vorgehen möglicherweise für einen gewissen Zeitraum bestehenden Schutzlücken sind gleichzeitig gesellschaftlich akzeptabler als die sektorübergreifende abstrakte EU-Regulierung, die zu Rechtsunsicherheit führt und damit potenziell innovationsbremsend wirkt. Dies gilt besonders dann, wenn bei der sektorspezifischen Regulierung die größten Risiken durch die Sektorexpertise in Verbindung mit bestehendem Recht von vornherein abgedeckt werden und die durch diesen Ansatz erzielten Innovationsvorteile für den gesellschaftlichen Wohlstand förderlicher sind.
Nils Lölfing verantwortet bei der Kanzlei Bird & Bird den Bereich Technologie und Kommunikation. Er berät in Fragen des Daten- und Informationstechnologierechts, mit einem starken Fokus auf und Erfahrung mit Projekten zu KI und maschinellem Lernen.
