Künstliche Intelligenz: EU-Kommission treibt Regulierung voran
Künstliche Intelligenz stellt Compliance-Beauftragte immer häufiger vor rechtliche und ethische Fragen, auf die es bisher kaum verbindliche Antworten gibt. Die Digitalstrategie der Europäischen Kommission macht „KI“ nun zum zentralen Thema. Welche weitreichenden Lösungs- und Regulierungsvorschläge noch im Jahr 2020 vorgelegt werden könnten, beschreibt Dr. Alexander Jüngling.
Künstliche Intelligenz: Unternehmen müssen sich auf neue EU-Anforderungen einstellen.
Obwohl die Diskussion von rechtlichen, ethischen und Compliance-Fragen rund um die unter dem Begriff Künstliche Intelligenz („KI“) zusammengefassten Technologien und Prozesse mittlerweile fast so umfassend ist wie deren Anwendungsbereich, gibt es bislang kaum spezifische Gesetze und Vorschriften. Auf europäischer Ebene mag als Beispiel die EU-Datenschutzgrundverordnung (DSGVO) dienen: Zwar diskutiert sie in ihrem Bewegungsgrund 71 recht ausführlich die „automatisierte Entscheidung“ auf Grundlage personenbezogener Daten einschließlich wichtiger Aspekte wie Diskriminierungsfreiheit und Transparenz, sieht im Verordnungstext selbst aber neben den Informationspflichten und Auskunftsrechten der Art. 13 bzw. 15 nur ein eingeschränktes Widerspruchsrecht in Art. 22 vor.
Die Europäischen Kommission („Kommission“) hat erkannt, dass Europa bei der zukunftskritischen KI nur dann eine führende Rolle einnehmen wird, wenn deren Entwicklung und Nutzung auf einer sicheren und akzeptierten Rechtsgrundlage erfolgt, die über die allgemeinen Gesetze und Vorschriften hinausgehende, spezifische Regelungen vorsieht. Am 19. Februar 2020 stellte die Kommission in mehreren Dokumenten ihre Digitalstrategie vor, in der die Förderung und Regulierung der KI und der mit dieser eng verbundenen Datenwirtschaft eine zentrale Stellung einnehmen. Im „Weißbuch zur Künstliche Intelligenz“ (COM(2020) 65) skizziert die Kommission zum Teil weitreichende Lösungs- und Regulierungsvorschläge und gibt einen ambitionierten Zeitplan mit ersten Ergebnissen noch im Jahr 2020 vor.
Von besonderem Interesse ist der Vorschlag einer zwingenden Vorab-Konformitätsbewertung für hochriskante KI-Systeme. Die Risikoeinstufung soll dabei in einer Zusammenschau von Sektor und Verwendung der KI-Anwendung erfolgen. Nicht jede KI-Verwendung in einem Hochrisikosektor, z.B. zur Terminvereinbarung im Gesundheitswesen, wäre allerdings hochriskant. Bestimmte Verwendungen, z.B. für die Einstellung von Mitarbeitern, wären dies wiederum unabhängig vom Sektor.
Für KI-Systeme, die als hochriskant einzustufen sind, schlägt die Kommission eine Liste von Anforderungen vor. An erster Stelle stehen die Trainingsdaten, von denen die Funktionsweise vieler moderner KI-Systeme abhängt. Diese müssten den EU-Sicherheitsvorschriften entsprechen, dürften nicht verzerrt (biased) oder diskriminierend sein und müssten unter Berücksichtigung des Schutzes von Privatsphäre und personenbezogenen Daten gewonnen und genutzt werden. Angesichts der Komplexität und Intransparenz vieler KI-Systeme und den damit verbundenen Schwierigkeiten, die Einhaltung der geltenden Vorschriften wirksam zu überprüfen und durchzusetzen, regt die Kommission eine obligatorische Dokumentation der Programmierung und der verwendeten Trainingsdaten an. Zudem nennt die Kommission u.a. die proaktive Information über Zweck, Fähigkeiten und Grenzen des Systems. Bürger sollten klar und deutlich darauf hingewiesen werden, wenn sie mit einem KI-System interagieren.
Bei KI-Systemen zur biometrischen Identifikation erkennt die Kommission ein besonderes Risiko für die Wahrung der Grundrechte und einen erhöhten Diskussionsbedarf. Um Bedenken Rechnung zu tragen und eine Fragmentierung des europäischen Binnenmarkts zu vermeiden, will die Kommission eine breit angelegte europäische Debatte über die besonderen Umstände, die eine solche Nutzung rechtfertigen könnten, sowie über gemeinsame Sicherheitsvorkehrungen einleiten.
In prozessualer Hinsicht hält die Kommission für hochriskante KI-Systeme eine vorab vorzunehmende Konformitätsbewertung für notwendig, welche z.B. die Prüfung oder Zertifizierung der Algorithmen, Datensätze, Methoden, Prozesse oder Techniken umfassen könne. Dabei solle die Konformitätsbewertung nach Möglichkeit in bestehende Konformitätsbewertungsmechanismen (z.B. für Medizinprodukte) eingefügt werden. Da bestimmte KI-Systeme lernfähig seien und sich weiterentwickelten, sei gegebenenfalls eine wiederholte Bewertung erforderlich. Unternehmen mit Sitz außerhalb der EU könnten sich ggf. an benannte Stellen in oder außerhalb der EU wenden. Für KI-Systeme mit niedrigerem Risiko sei ein freiwilliges „Gütesiegel“ denkbar.
Mit der Vorstellung ihrer Digitalstrategie hat die Kommission eine umfassende Diskussion zur digitalen Zukunft der EU angestoßen und scheint – trotz der Covid-19-bedingten Verlängerung der Frist zur Stellungnahme zum Weißbuch bis zum 14. Juni 2020 – entschlossen, ihr Vorhaben jedenfalls weitgehend im selbst gesteckten, engen Zeitplan umzusetzen. Unternehmen, die gegenüber KI-bezogenen Rechts-, Ethik- und Compliance-Fragen bislang eine eher abwartende Haltung eingenommen haben, sollten sich diesen Themen rechtzeitig stellen. Ein erster Schritt könnte eine entsprechende Inventur der vom Unternehmen genutzten KI-Systeme sein.
Dr. Alexander Jüngling
Dr. Alexander Jüngling, LL.M. (Chicago), ist Rechtsanwalt und Partner von Comfield-Legal. Er berät Unternehmen zu Compliance-Fragen mit den Schwerpunkten Corporate Governance, Anti-Korruption, Datenschutz, Kartellrecht und Exportkontrolle.