Einstimmig haben die Botschafter der 27 EU-Mitgliedsländer dem endgültigen Textentwurf zum Artificial Intelligence Act (AIA) kürzlich zugestimmt und damit im Rahmen der EU-Digitalstrategie ein Gesetz über die Regulation von künstlicher Intelligenz (KI) auf den Weg gebracht. Die Zustimmung von EU-Rat und EU-Parlament gilt als Formsache.
Da ist er nun (fast) – der EU AI Act. Allen Geburtswehen zum Trotz, die dem Ganzen mehr den Anschein eines Arbeitssieges geben. Nach dem zähen Ringen hat wohl vor allem die Einsicht zur Einigung geführt, dass eine noch längere Hängepartie die Unternehmen in eine höhere Rechtsunsicherheit und Planschwierigkeiten gebracht hätte – und sicher auch, dass man sich vor der Weltöffentlichkeit blamiert hätte. Schließlich hatte man vollmundig den Anspruch vor sich hergetragen, in Europa zum Vorreiter der KI-Regulation zu werden.
Das Ziel, die Menschheit vor den negativen Auswirkungen eines falschen Einsatzes von künstlicher Intelligenz schützen, ist im Gesetzestext in vielen Bereichen gut sichtbar. Es gibt zum Beispiel ein Verbot von Social Scoring und anderen zweifelhaften KI-Praktiken. Ein vollständiges Verbot von Echtzeitüberwachung hat es hingegen nicht über die Ziellinie geschafft. Viele unproblematische KI-Anwendungen bleiben unreguliert – nur wer es in die „High-Risk“-Klasse bringt, sieht seine Entwicklungs- und Verbreitungsprozesse einer starken Regulatorik unterworfen. Das ist im Kern alles sehr nachvollziehbar.
Viel Interpretationsspielraum
Es sind eher die Details, aus denen jetzt neue Herausforderungen erwachsen. Denn der EU AI Act präsentiert zunächst einmal eine große Menge an interpretationsbedürftigem Text. Angesichts der Komplexität des Regelwerks läuft jetzt die Auslegungsmaschinerie in den spezialisierten Anwaltskanzleien an. Bei größeren Softwareunternehmen arbeiten sich die Rechtsabteilungen in das Thema ein. Startups und kleinere Unternehmen werden allerdings zunächst Ressourcen finden müssen, um die Regularien überhaupt zu verstehen und nach Wegen zu suchen, diese umzusetzen. Nicht wenige Juristen kritisieren die handwerkliche Qualität der Formulierungen – in den Textpassagen, die schon vor längerer Zeit geschrieben wurden.
Das fängt schon bei der Definition des Kernbegriffs „künstliche Intelligenz“ an. In den zwischenzeitlichen Textversionen war diese so allgemein, dass nicht wenige Experten anmerkten, die Regulierung umfasse jegliches Softwareprodukt – mit oder ohne KI. Die jetzige finale Fassung liest sich eher wie das Inhaltsverzeichnis einschlägiger Textbücher über KI-Technologien. Das ist sicher ein besserer Ansatz; ob er die Kernidee, „Technologie mit neuen Risiken“ zu regulieren, gut umreißt, wissen wir allerdings noch nicht. Hochrisiko-KI wird vor allem durch eine lange Schilderung risikobehafteter Anwendungsfälle beschrieben. Auch hier ein ähnliches Bild: Es ist nicht immer klar, wie gut die jetzigen Formulierungen „risikobehaftete“ von „eigentlich unproblematischen“ Anwendungsfällen unterscheiden.
Der Versuch, risikobehaftete KI zu umreißen und zu regulieren, ist richtig und ehrenhaft. Ob der Ansatz wirklich funktioniert, wissen wir noch nicht. Wir wissen nicht, ob die Regularien praktikabel sind und ob sie den intendierten Effekt haben werden. Wir wissen nicht, in welchen Bereichen der jetzige Entwurf über- und in welchen er eher unterreguliert. Das ist kaum verwunderlich, wenn man bedenkt, dass die Risiken von KI als solche heute noch nicht gut verstanden werden.
Spagat zwischen Innovation und Regulation
2017 beschrieb Max Tegmark in seinem Buch „Life 3.0“ die „Megarisiken“ von KI: Es könne sein, dass KI irgendwann selbst weiterentwickelte KI hervorbringt und eine Art „Intelligenzexplosion“ („Singularität“) abläuft, die wir nicht mehr kontrollieren können. Als im März 2023 dann GPT-4 herauskam, wurde davor gewarnt, dass wir jetzt bereits die ersten Fehler in diese Richtung begehen, zum Beispiel weil GPT-4 auf menschengemachten Daten trainiert wurde und deshalb „Menschen verstehe“, und weil es nicht in einem „goldenen Käfig“ gesetzt wurde, der ihm Zugriff auf andere Systeme (z. B. Suchmaschinen) verwehrt. Das waren große Geschütze in der Diskussion, deren Argumentation aber nachvollziehbar war.
Hätten wir also GPT-4 proaktiv in einen (Regulations-)Käfig einsperren sollen? Aus heutiger retrospektiver Sicht nicht. Ein Jahr später sind wir schlauer: KI-Forscher können viel genauer benennen, was wir mit GPT-4 erreicht haben – und was nicht. Trotz der beeindruckenden Fähigkeiten ist inzwischen klar, dass wir von Superintelligenzen weit entfernt sind. Wir haben es in die Welt entlassen, wir verstehen es immer besser und entwickeln uns auch selbst daran weiter. Diesen Effekt hätte es mit einem Regulationskäfig nicht gegeben. Das kann aber kein generelles Argument gegen Regulation sein, denn es hätte auch anders ausgehen können.
Erinnerungen an die DSGVO
Tatsächlich führen wir damit ein sehr großes Technologie- und Regulationsexperiment durch. Die Technologie ist zu werthaltig – und manchmal zu verführerisch – um nicht weiter erforscht und verbreitet zu werden. Die Regulationsideen versuchen Schritt zu halten, aber die Ko-Evolution von Technologie und Regulatorik fällt angesichts des rasanten Tempos schwer. Die Situation erinnert an die 2018 von der EU eingeführte Datenschutzgrundverordnung (DSGVO): sehr nachvollziehbare Intentionen, eine sehr tiefgreifende Regulatorik, eine anfänglich und teilweise bis heute andauernde Unsicherheit und einige Aspekte, die sich nicht als praktikabel erwiesen haben. Der EU AI Act tritt in diese Fußstapfen, aber in Bezug auf eine der bedeutsamsten Technologien unserer Zeit und ohne Praxisdaten zu Auswirkungen verschiedener Regulationsansätze in einer viel größeren Dimension. Ein sehr großes Experiment eben.
Mit einer so disruptiven Technologie sind wir alle als Gesellschaft jetzt herausgefordert. Das ist eine sehr komplexe Situation. Softwaretechniker wissen, wie man mit Komplexität umgeht: sich iterativ und („agil“) herantasten und schrittweise immer mehr verstehen. Bekommen wir eine iterativ-agile Vorgehensweise in der Europapolitik? Werden wir sehen, wie Regulatorik erschafft, ausprobiert und in Teilen großzügig wieder verworfen wird? Das klingt eher nach einer Utopie, zumal die DSGVO seit ihrem Inkrafttreten 2018 nicht mehr geändert wurde. Eine solche Vorgehensweise in der Regulatorik wäre aber vernünftig und ehrlich, wenn wir ernsthaft daran interessiert sind, Technologie weiterzuentwickeln und gleichzeitig einen verantwortungsvollen und menschendienlichen Einsatz sicherzustellen.