EU-Regulierung: “Risiken … (und da war doch noch etwas?) der KI”

Die EU-Kommission hat den Entwurf einer Rechtsverordnung über die Regulierung der KI veröffentlicht (vgl. Hoffmann, K&R 2021, 369), der das europäische Dilemma sogleich in das richtige Licht rückt. Für die Förderung der KI werden in Europa nur 1,5 Mrd. € ausgegeben – ungefähr ein Zehntel des Betrages der USA. In Europa fehlt es im Bereich der KI an einer rational organisierten Kooperation und wechselseitiger Influenzierung zwischen Forschung und Start-ups – im Übrigen steht Europa nicht schlecht da! Vor diesem Hintergrund erscheint das Selbstlob der EU, sie lege mit dem genannten Dokument das weltweit erste Regulierungsmodell für KI vor und orientiere sich an “europäischen Werten”, eher zwiespältig: Mit der Förderung liegen wir zwar zurück, aber dafür arbeiten wir als erste an der Regulierung von KI. In den USA herrscht eher Zurückhaltung bei der Regulierung der KI.

Die Kommission hat sich mit ihrem Regulierungsmodell begrifflich an einem grundsätzlich produktiven “Kritikalitätsmodell” orientiert, dieses allerdings in nur schwer voneinander abzugrenzenden vier Risikostufen differenziert, die noch durch technische Standards ergänzt werden sollen. Eine Konkretisierung erfolgt partiell durch Listen im Anhang. Was aber sind z. B. “subliminale” Techniken in einem Bereich (“nicht akzeptables Risiko”), in dem es bald auch um die Entwicklung persönlicher “Entscheidungsberater” für den Einzelnen gehen wird? Ist dies “subliminal”, wenn der Entscheidungsassistent viel mehr Informationen verarbeitet, als ein Individuum je überblicken kann? Es wäre sinnvoller, ex post anhand von Fallgruppen (“use cases”) Risiken zu konkretisieren und manche Risiken – soweit sie nicht zu irreparablen Schäden führen – durch eine Gefährdungshaftung abzudecken. Dies gilt vor allem für Start-ups. Der Entwurf hat auch Elemente einer Regulierung in “real time” aufgenommen, wenn er Verfahren vorsieht, die im “Sandkasten” Verknüpfungen zwischen Praxis der Entwicklung und der Fortschreibung der normativen Anforderungen an die Risikobeherrschung herstellen und erproben helfen sollen. Es ist wenig überzeugend, wenn es eher zu einem Nebeneinander unterschiedlicher Herangehensweisen kommt, die in einem hochkomplexen Technologiefeld kaum operative Konsistenz gewinnen können. Es wäre sinnvoller gewesen, eine “middle-out”-Strategie zu wählen, die sich zunächst mit der Vorgabe von Prinzipien begnügt und deren Ausfüllung der Praxis gegen Auferlegung von Informationspflichten überlassen hätte, die nach der Größe der Unternehmen zu differenzieren wären. Auch die Konturierung der Transparenzpflichten stellt ein Problem dar, da zu wenig bedacht wird, dass gerade avanciertere Varianten der KI modular und experimentell prozesshaft entwickelt werden. Die einzelnen operativen Schritte sind ex ante für die Beteiligten nicht leicht formulierbar. Dies ist das Problem der selbstlernenden Systeme, die Effekte der Selbstorganisation hervorbringen, die erst im Nachhinein verstanden werden. Die Regulierung der KI ist keine Produkt-, sondern eine Prozessregulierung. Dies spricht auch dafür, z. B. gerade bei kleineren Start-ups die Möglichkeit der Verteilung von Anforderungen des Risikomanagements zwischen Entwickler und Anwender vorzusehen. Dokumentations- und Transparenzpflichten können erhebliche Kosten hervorrufen. Dies kann zur problematischen Vermeidung von Risiken führen. Es wäre an die Schaffung einer Agentur zu denken, die Start-ups bei der Erfüllung der Informationspflichten unterstützt und diese dadurch von der Haftung entlastet. Es könnten neue vertragliche Formen der prozesshaften Entwicklung der Leistungsbeschreibung unter Ungewissheitsbedingungen auch für das Risikomanagement eingesetzt werden. Vielfach wird gerade bei innovativen Projekten das Problem der “unknown risks” entstehen, das nur "durch Prozeduralisierung bewältigt werden kann: So gut wie alle informationstechnologisch basierten Systeme sind auch auf Fehlersuche durch Praxis angewiesen. Man könnte für die Einführungsphase neuer KI-Systeme an einen Anspruch auf Überprüfung wichtiger Entscheidungen durch ein “zweites System” (KI- oder nicht KI-basiert) denken. Zuständig sollen die nationalen “Marktüberwachungsbehörden” sein, m. a. W. Behörden, die vielfach keinerlei Erfahrung mit KI haben werden. Der Entwurf folgt einer neuen Unsitte, schlecht formulierten Rechtsvorschriften (DSGVO, NetzDG) durch sehr hohe Bußgeldandrohungen Nachdruck zu verleihen – auch dies wirkt abschreckend auf kleinere Start-ups. Europa eben …

Prof. Dr. Dr. h. c. Karl-Heinz Ladeur