Die Forderungen der deutschen Wirtschaft zur weiteren Regulierung von künstlicher Intelligenz und zur Umsetzung der KI-Verordnung
Die KI-Verordnung ist nach einem langen und holprigen Legislativverfahren kurz vor den Wahlen zum Europäischen Parlament verabschiedet worden. Damit ist Europa Vorreiter bei der ersten umfassenden Regulierung von künstlicher Intelligenz (KI). Das ist wichtig, denn der geschaffene regulatorische Rahmen gibt Verbrauchern und Unternehmen Sicherheit beim Einsatz von KI und schafft Vertrauen in diese zukunftsweisende Technologie.
KI gehört zu den Schlüsseltechnologien des 21. Jahrhunderts und bietet enorme wirtschaftliche Anwendungsmöglichkeiten. Während ein traditionelles KI-System insbesondere Daten analysiert und Ergebnisse vorhersagt, erschafft die generative KI eigenständig neue Inhalte. Hier muss auf bestehende Texte, Bilder und Werke anderer zurückgegriffen werden.
KI bietet ein großes Potenzial für die Steigerung von Innovation, Wachstum, Produktivität und die Schaffung von Arbeitsplätzen. Dennoch setzen deutsche Unternehmen KI bisher nur zögerlich ein. Nach einer aktuellen Studie des Branchenverbandes Bitkom spielt beispielsweise der Einsatz von generativer KI für 54 Prozent der deutschen Firmen heute und auch in Zukunft keine Rolle. Diese Zurückhaltung beim Einsatz von KI darf nicht durch bürokratische Hürden, die für Unternehmen eine hohe Kostenbelastung darstellen, verstärkt werden. Der technische Fortschritt muss mit unseren Unternehmen stattfinden! Gleichzeitig muss dafür gesorgt werden, dass bei generativer KI geistiges Eigentum nicht missbräuchlich verwertet wird.
Damit das Innovationspotential nicht an einer zu strikten Regulierung scheitert, ist auch nach Verabschiedung der KI-Verordnung auf europäischer und nationaler Ebene noch einiges zu tun. Vor allem bei der KI-Definition, der Schaffung der Behördenstrukturen, der Konkretisierung der regulatorischen Anforderungen und insbesondere bei der Zusammenführung der Anforderungen der KI-Verordnung mit den bestehenden Regelungen. Die KI-Verordnung gilt direkt in den Mitgliedstaaten, dennoch wird es ein nationales Durchführungsgesetz für die Festlegung der Behördenstruktur und auch der Sanktionen geben. Auch wird es Leitlinien der Europäischen Kommission und des AI-Office geben, welche die Regelungen der KI-Verordnung konkretisieren werden.
Zudem wurden die europäischen Normungskomitees mit der Erarbeitung von Standards beauftragt. Wichtig ist bei all diesen künftigen Umsetzungsmaßnahmen, dass die Innovationskraft von KI nicht durch Überregulierung gehemmt wird. Daher ist vor allem eine einheitliche, innovationsfreundliche und rechtssichere Umsetzung der neuen Vorgaben in der gesamten EU von großer Bedeutung. Es darf nicht passieren, dass durch verschiedene Auslegungen der Vorgaben Unternehmen je nach Standort in der EU vor unterschiedliche Anforderungen gestellt werden. Einen „Flickenteppich“ wie bei den datenschutzrechtlichen Vorgaben darf es nicht geben. Gleichzeitig sollte es auch kein „Goldplating“, also die Übererfüllung der Verordnung durch nicht vorgeschriebene Regelungen, geben. Der nationale Gesetzgeber sollte keine verschärfenden Regelungen treffen, die Unternehmen zusätzlich belasten würden.
Im Einzelnen empfehlen wir folgende Punkte zu berücksichtigen:
1. Definition von KI
Die Wirtschaft hat bereits im Gesetzgebungsverfahren deutlich gemacht, dass die KI-Definition für den Anwendungsbereich der künftigen Regulierung entscheidend sein wird. Die nun verabschiedete Definition orientiert sich an der international anerkannten OECD-Definition und ist im Vergleich zum ursprünglichen Vorschlag der Europäischen Kommission richtigerweise deutlich enger gefasst. Dennoch lässt die Definition noch Auslegungsspielraum. Wichtig ist nun, dass die Kommission in ihren Leitlinien nach Art. 96 eine ausgewogene Präzisierung der KI-Definition vornimmt. Konventionelle IT-Systeme dürfen nicht unter die KI-Definition fallen. Insbesondere Algorithmen, die keine Form des maschinellen Lernens oder der Selbstoptimierung beinhalten, sollten von der KI- Definition ausgenommen werden. Dasselbe gilt für lineare Modelle, unterstützende Methoden aus dem Bereich der erklärbaren KI und etablierte statistische Methoden (z. B. logistische Regression).
2. Risikodefinition unter Berücksichtigung des Einsatzzweckes
Die Berücksichtigung des konkreten Einsatzzweckes einer KI-Anwendung und der Risikofilter nach Art. 6 Abs. 3 ist eine gute und richtige Entscheidung des Gesetzgebers. Wird die KI nur unterstützend oder vorbereitend eingesetzt, sind die Pflichten des Anbieters auf Dokumentation und Registrierung der KI-Anwendung beschränkt. Auch hier ist es wichtig, dass die konkrete Ausgestaltung dieses Risikofilters das bestehende Risiko der Anwendung berücksichtigt. Hier ist vor allem eine innovationsfreundliche Auslegung von großer Bedeutung.
3. Doppelregulierung vermeiden
Gerade im Bereich der Anforderungen an hochriskante KI-Anwendungen hat der Gesetzgeber bereits Erleichterungen vorgesehen, wie beispielsweise für KI-Anwendungen im Banken- und Versicherungsbereich, so z. B. beim Risikomanagement oder der Einrichtung des Qualitätsmanagementsystems. Die Verzahnung der neuen Regelungen der KI-Verordnung mit den bestehenden Regelungen sollte berücksichtigen, dass den Unternehmen keine unnötigen bürokratischen Hürden auferlegt werden. Eine Kohärenz mit bestehenden Vorschriften und Aufsichtsstrukturen ist von großer Bedeutung. Dies betrifft insbesondere die Berücksichtigung der bereits normierten Anforderungen aus der DSGVO für die Datenschutz-Folgeabschätzung, die Grundlage für die Grundrechte-Folgenabschätzung der KI-Verordnung ist und damit eine Doppelung der Anforderungen verhindert.
4. Einheitlichkeit der Regulierung in Europa sicherstellen
Von zentraler Bedeutung ist eine einheitliche, innovationsfreundliche und rechtssichere Umsetzung der neuen Vorgaben in der gesamten EU. Es darf nicht passieren, dass Unternehmen – je nach Standort in der EU – aufgrund von unterschiedlichen Auslegungen der Vorgaben vor unterschiedliche Anforderungen gestellt werden. Ein „Flickenteppich“ wie bei der EU-Datenschutzgrund-Verordnung würde vor allem die Innovationskraft von kleinen und mittelständischen Unternehmen hemmen. Dies sollte auch den nationalen Parlamenten ein wichtiges Anliegen sein.
Es muss insbesondere sichergestellt werden, dass es keine nationalen Sonderregelungen für die Verwendung von Trainingsdaten gibt, die die Verwendung der trainierten KI-Modelle über Ländergrenzen hinweg erschweren oder gar unmöglich machen würde.
5. Angemessene Governance-Struktur gewährleisten
Die Behördenstruktur zur Überwachung der KI-Verordnung wird erheblichen Einfluss auf die
Funktionsfähigkeit der KI-Verordnung haben. Die in Deutschland grundsätzlich zuständige Behörde benötigt eine gut funktionierende Struktur und vor allem fachkundiges Personal. Diese Behörde sollte zentral für alle Fragen zur KI-Verordnung zuständig sein, es sei denn es stehen bereits bestehende sektorale Aufsichtsbehörden zur Verfügung.
Zur Gewährleistung einer angemessenen Governance-Struktur ist der vorgesehene Rückgriff auf bereits bestehende Aufsichtsstrukturen und nationale Zuständigkeitsverteilungen wichtig. Dadurch werden Doppelungen der Aufsichtstätigkeiten vermieden. Insbesondere in bereits regulierten und unter besonderer Aufsicht stehenden Branchen wären Doppelstrukturen nicht zielführend. Dies betrifft vor allem die bestehenden sektoralen Aufsichtsbehörden, bei denen die KI-Verordnung vorsieht, dass diese als zuständige nationale Aufsichtsbehörden benannt werden können. Das nationale Umsetzungsgesetz sollte daher die sektoralen Besonderheiten unbedingt
berücksichtigen und bei der Benennung der national zuständigen Behörde mit Umsicht vorgehen. Eine Situation wie bei der DSGVO mit 17 unterschiedlichen Behörden auf Bundes- und Länderebene sollte unbedingt vermieden werden, um eine möglichst harmonisierte und effiziente Umsetzung zu gewährleisten.
Bestehende Behörden für die Aufsicht in speziellen Sektoren, wie Banken und Versicherungen sowie eine allgemein zuständige Behörde gewährleisten eine zukunftsfähige Marktüberwachung ohne unnötige Doppelstrukturen und zusätzliche Bürokratie für die Unternehmen. Da die KI-Verordnung im Gegensatz zu z. B. DORA oder FIDA nicht nur für bestimmte Sektoren wie den Finanzbereich gilt, wird es unterschiedliche zuständige Marktaufsichtsbehörden geben, die je nach KI-Anwendung zuständig sind. Wünschenswert wäre deshalb eine einheitliche Sicht auf die grundsätzlichen Punkte der KI-Verordnung, da z. B. Anwendungen im Personalbereich unabhängig vom Unternehmenszweck sind.
6. Aufbau einer europäischen Governance
Die Aufgaben des AI-Office wurden mit dem Einsetzungsbeschluss der EU-Kommission festgelegt. Es soll das Zentrum für KI-Expertise in der gesamten EU sein. Wichtig wird vor allem dessen personelle Ausstattung und die Zusammenarbeit mit der Wirtschaft, den Institutionen, Experten und Stakeholdern sein.
Das AI-Board als weitere wichtige und kompetente Einrichtung der europäischen Governance wird sich aus Vertretern der Mitgliedstaaten zusammensetzen. Zu seinen Aufgaben zählen unter anderem die Koordination der nationalen Aufsichtsbehörden sowie die Bereitstellung von Expertenwissen und best practices. Hier wird es wichtig sein, dass eine kohärente Umsetzung der KIVerordnung zwischen den zuständigen nationalen Behörden sichergestellt wird. Es wäre auch hier anzuraten, weitere Stakeholder wie die Wirtschaft institutionell, z. B. über Beiräte oder zumindest über regelmäßige Austauschformate, ergänzend in die Arbeit einzubinden.
7. Leitlinien für die Anwendung der KI-Verordnung
Es ist ausdrücklich zu begrüßen, dass die EU-Kommission beauftragt wurde, Leitlinien für die Anwendung der KI-Verordnung zu erlassen. Wichtig ist, dass die Regelungen praxisnah und einfach verständlich für Entwickler von KI „übersetzt“ werden, z. B. mit entsprechenden Checklisten und Step-by-Step-Anleitungen. Die Leitlinien könnten Entwickler beispielsweise bei der Beantwortung der Fragen unterstützen, wann von einer KI-Anwendung ein hohes Risiko ausgeht oder wie sichergestellt werden kann, dass Datensätze keine Bias enthalten.
Es ist erforderlich, dass die kommenden Leitlinien der EU-Kommission zeitnah vorliegen und noch offene Rechtsfragen für alle Beteiligten, etwa bei der Einordnung von Hochrisiko-KI-Systemen, geklärt werden.
8. Schutz von Urheberrechten
Medien- und Kreativinhalte tragen erheblich zu der Entwicklung und Funktionalität generativer KI bei. Entscheidend ist daher, das geistige Eigentum und die Urheberrechte der Schöpfer dieser Inhalte zu schützen. Die Umsetzung sollte nicht hinter den in der KI-Verordnung festgelegten Regelungen zurückbleiben. Insbesondere die in Art. 53 Abs. 1 lit. b, c KI-Verordnung normierte Nachweispflicht ist entscheidend. Hierdurch ist es den Rechteinhabern möglich, ihre Verfügungsrechte zu wahren, sofern diese für die Entwicklung und den Ausbau generativer KI genutzt wurden. Die Nachweispflicht sollte zudem in den durch das AI-Office geförderten Verhaltenskodizes festgehalten werden.