Der Artificial Intelligence (Balance-)Act – Warum es so schwer ist, KI zu regulieren

Mit ihrer Senatsanhörung vergangenen Monat haben die USA beim Thema KI-Gesetzgebung vorgelegt. In einer dreistündigen Rechenschaftsablage standen Sam Altman (OpenAI) & Co. den US-Senatoren Rede und Antwort und wurden zum Thema KI-Risiken von den anwesenden Senatoren „gegrillt“. Doch anders als sonst üblich, war es diesmal das „Grillgut“, das sich um eine stärkere Einmischung seitens der Politik bemühte. Für Senator Dick Durbin aus Illinois war das Grund genug von einem „historischen“ Präzedenzfall zu sprechen. Ein endgültiges Ergebnis ist jedoch (noch) nicht aus dieser ersten Anhörung hervorgegangen. Zu groß ist die Sorge, sich im globalen KI-Wettlauf abhängen zu lassen, zu klein das selbst attestierte Verständnis für dieses hochkomplexe Thema.

Die Europäische Union als Pionier der KI-Gesetzgebung

Nun ist das EU-Parlament am Zug und versucht seinerseits den ersten Schritt beim Entwurf eines konkreten KI-Gesetzwerks zu wagen. Der „Artificial Intelligence Act“ soll zum Meisterstück und Leuchtturmprojekt der KI-Regulierung werden. Doch schon bei der DSGVO hat sich gezeigt, dass eine praxisorientierte Gesetzgebung in der digitalen Sphäre kein Kinderspiel ist. Dabei ist der Datenschutz ein ungleich leichteres Thema für die EU-Parlamentarier, vergleicht man ihn mit der Entwicklung der leistungsstärksten KI-Modelle unserer Gegenwart. Schon beim Schreiben dieser Zeilen könnte ein weiterer Meilenstein erreicht, ein neuer Paradigmenwechsel vollzogen worden sein. Wir wissen es nicht, denn die aktuelle Forschung der sogenannten „Foundation-Modelle“ von OpenAI, Google und Anthropic findet bisher unter größter Geheimhaltung statt.

Das muss sich jedoch ändern. Denn es sind diese „general purpose“ Systeme, die es vornehmlich zu regulieren gilt. Von ihnen gehen Risiken aus, die selbst von den Entwicklern nur schwer abzusehen sind.

Darum ist es sehr zu begrüßen, dass die EU-Gesetzgeber mit ihrem „AI Act“ ein Rahmenwerk mit modularen Abstufungen ins Leben rufen wollen. KI-Anwendungen sollen demnach in unterschiedliche Risikogruppen eingeteilt und entsprechend ihres Gefahrenpotentials beurteilt werden.
Die meisten der Parlamentarier sind sich darüber bewusst, dass hier ein kniffliger Balanceakt von Ihnen gefordert wird. Nicht nur die Komplexität der zugrundeliegenden Materie, auch die rasante Geschwindigkeit der KI-Entwicklung macht jegliche Form der Regulierung zu einem Glücksspiel. Denn ein heute erlassenes Gesetz kann schon morgen völlig an der Realität vorbei regulieren. Ein solcher Fehlschuss würde dann nicht nur seine intendierte Wirkung verfehlen, sondern zu allem Überfluss auch die zarten Blüten der EU-Eigenentwicklungen gefährden.

KI wird schon heute zum Guten eingesetzt

Wenn wir uns mal für einen Moment von den – nicht kategorisch auszuschließenden – Horrorszenarien einer fehlgeleiteten Superintelligenz verabschieden und stattdessen über den Status Quo des heutigen KI-Einsatzes reflektieren, wird eines schnell klar: Künstliche Intelligenz ist schon lange in der Mitte der Gesellschaft angekommen und aus unserem Alltag kaum mehr wegzudenken. Angefangen bei Such- und Empfehlungsalgorithmen über Machine Learning in der Produktion bis hin zur Mustererkennung bei der Betrugsbekämpfung ist die digitale Lebensrealität nicht nur durchsetzt von KI-Anwendungen – sie würde ohne die schlauen Algorithmen gar nicht funktionieren.

So bildet ein eigens trainierter Algorithmus auch das Rückgrat einer von RISK IDENT entwickelten Lösung zur Betrugsbekämpfung im Internet. Ein allzu breit formuliertes Gesetz würde uns dieses zentralen Hilfsmittels berauben. Nutznießer einer solch undifferenzierten Gesetzgebung wären absurderweise die Cyberkriminellen.

Diese Tatsache sollte daher bei jeder Gesetzesnovelle beachtet und in Form intelligenter Klauseln in den Gesetzestext eingearbeitet werden.

Prognosen sind schwierig, insbesondere wenn sie die Zukunft betreffen

Es liegt in der Natur der Sache, dass die politische Regulierungsarbeit stets der technischen Entwicklungsgeschwindigkeit hinterherläuft. In der Regel wird dieses Problem durch eine weitestgehend offene Formulierung der Gesetzestexte gelöst. Bestes Beispiel hierfür sind die IT-Sicherheitsgesetze des BSI. Um zukünftigen Entwicklungen Rechnung zu tragen, werden technikspezifische Bezeichnungen bewusst vermieden. Stattdessen bemüht man sich, die Anforderungen nach ihrer Funktion zu definieren. Dadurch kann vermieden werden, dass ein Gesetz schon nach kurzer Zeit zum wirkungslosen Anachronismus verkommt.

Die KI-Entwicklungen der Zukunft schon heute zu antizipieren und vorausschauend zu regulieren – das kann man beim besten Willen nicht von unseren Politikern verlangen.

Umso wichtiger ist es, dass der „AI Act“ der EU als Dauerprojekt verstanden und nicht in Stein gemeißelt wird. Wir können heute noch gar nicht absehen, welche neuartigen Chancen und Risiken uns beim Zukunftsthema KI ins Haus stehen.

Umso wichtiger ist es, dass sich die Gesetzgeber in regen Austausch mit Wirtschaft und Forschung begeben, dass sie sich ein belastbares Verständnis der Einsatzmöglichkeiten von heute und der Missbrauchsrisiken von morgen erarbeiten.

Das wird mit Sicherheit keine leichte Aufgabe. Der Erhalt unserer Sicherheit und Zukunftsfähigkeit gebietet es aber, sich ihr zu stellen.

Ein Kommentar von Frank Heisel, Co-CEO von RISK IDENT