KI-Gesetzgebung: EU vs. USA – Wo stehen wir aktuell?

Während künstliche Intelligenz rasant an Bedeutung gewinnt, bemühen sich sowohl die Europäische Union als auch die Vereinigten Staaten um gesetzliche Leitplanken. Doch zwischen Anspruch und Umsetzung klafft eine Lücke. In den USA herrscht bislang ein regelrechtes Gesetzeschaos: Aktuell sind dort 762 Gesetzentwürfe mit KI-Bezug in Bearbeitung – lediglich 31 davon wurden bislang verabschiedet. Ein einheitlicher rechtlicher Rahmen fehlt, die Regulierung verläuft dezentral und fragmentiert.

Die EU hingegen setzt auf ein zentrales Regelwerk: Die KI-Verordnung (AI Act) ist beschlossen und sieht drastische Maßnahmen bei Verstößen vor – Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes können fällig werden. Doch: Das Gesetz tritt in weiten Teilen erst in einem Jahr vollständig in Kraft.

Die entscheidende Frage bleibt: Wird die Regulierung zum Zeitpunkt ihres Inkrafttretens noch mit dem technologischen Fortschritt Schritt halten können? Angesichts der rasanten Entwicklungen in der KI-Forschung und -Anwendung zweifeln Fachleute daran, dass starre gesetzliche Vorgaben allein ausreichen werden.

„Diese Regelung für künstliche Intelligenz wirkt wie eine Wiederholung der Debatte um den Datenschutz. Die DSGVO wurde in der EU erst spät eingeführt, und diese KI-Verordnung setzt diese Entwicklung fort. Jetzt, da sich KI noch schneller entwickelt, gerät die Regulierung noch weiter ins Hintertreffen. Die neuen KI-Gesetze versuchen, den gleichen Druck auszuüben, dem Unternehmen in den Anfängen der Datenschutzgesetzgebung ausgesetzt waren, aber es gibt ein Problem: Unsere Daten wurden bereits an die großen Sprachmodelle (LLMs) weitergegeben, und es gibt keine Möglichkeit, sie zu löschen“, kommentiert Karolis Kaciulis, leitender Systemingenieur bei Surfshark.

Das Cybersicherheitsunternehmen Surfshark hat in einer Studie untersucht, wie die USA und die EU auf die zunehmenden Herausforderungen im Bereich der KI-Regulierung reagieren. Die EU reagiert darauf mit einem zentralisierten Rahmen, der die Grundrechte schützen, vertrauenswürdige KI fördern und Innovationen im Einklang mit den europäischen Werten lenken soll. Im Gegensatz dazu haben die USA einen dezentraleren Weg eingeschlagen und sich für ein Flickwerk aus Initiativen auf Bundesstaatenebene entschieden, anstatt ein umfassendes Bundesgesetz zur KI zu erlassen.

In den USA haben alle 50 Bundesstaaten Gesetze zur KI eingeführt, die jedoch größtenteils noch geprüft werden. Derzeit sind 762 Gesetzesvorlagen in den einzelnen Bundesstaaten anhängig, 54 wurden offiziell verabschiedet und 31 wurden im Rahmen anderer Gesetzgebungsverfahren formell angenommen. Darüber hinaus wurden 27 Gesetzentwürfe vom Gesetzgeber verabschiedet und warten nun auf die Zustimmung oder das Veto der Gouverneure der Bundesstaaten.

Zu den aktivsten US-Bundesstaaten in der KI-Gesetzgebung zählen New York (106 Gesetzentwürfe), Texas (72), New Jersey (67), Massachusetts (49) und Virginia (46). Diese Bundesstaaten sowie Illinois (45), Kalifornien (44), Maryland (43), Hawaii (40), Georgia (32) und Montana (32). Ihre Schwerpunkte reichen von Datenschutz und Ethik bis hin zu den Auswirkungen der KI auf Arbeitsplätze und die öffentliche Sicherheit. Das zeigt ein starkes Interesse daran, wie KI eingesetzt und reguliert werden sollte.

Die fünf wichtigsten Bereiche mit der höchsten Anzahl an KI-bezogenen Gesetzentwürfen in den USA sind Gesundheitswesen (12,6 % aller Gesetzentwürfe), Behörden (11,9 %), Bildung (11,6 %), Privatwirtschaft (10,5 %) und Strafverfolgung (8,3 %). Diese Kategorien machen zusammen den Großteil der KI-Gesetzgebung aus.

Der Bereich „Kriminelle Nutzung“ weist mit 48 % einen der niedrigsten Anteile an anhängigen Gesetzentwürfen auf. Dieser Bereich gehört damit zu den Prioritäten der Gesetzgebung. Aber ist das wirklich so? Bislang warten in den USA nur zwei Gesetzentwürfe auf die Zustimmung des Gouverneurs und nur drei wurden verabschiedet. Ein Gesetzentwurf, der derzeit in Tennessee auf seine Verabschiedung wartet, sieht beispielsweise vor, dass Opfer von Deepfake-Bildern auf tatsächlichen Schadensersatz klagen oder bis zu 150.000 US-Dollar erhalten können.

Im Gegensatz dazu verfolgt das EU-KI-Gesetz einen risikobasierten Ansatz und reguliert KI-Systeme anhand der Risiken, die sie für die Gesellschaft darstellen, insbesondere in Bezug auf Sicherheit, Privatsphäre und persönliche Freiheiten. Zu den wichtigsten Prioritäten gehören der Schutz der Grundrechte in Bereichen wie der biometrischen Erkennung, das Management der Risiken in Sektoren mit hoher Auswirkung wie dem Gesundheitswesen und der Strafverfolgung sowie die Gewährleistung von Transparenz und Rechenschaftspflicht. Das Gesetz fördert auch ethische Innovation durch Förderprogramme und zielt darauf ab, einen einheitlichen KI-Markt durch die Harmonisierung der Vorschriften in den EU-Mitgliedstaaten zu schaffen.

Die Nichteinhaltung des KI-Gesetzes kann zu erheblichen finanziellen Strafen führen. Gemäß Artikel 99: Verstöße gegen Artikel 5, der KI-Praktiken mit unverhältnismäßigem Risiko verbietet, können mit Geldstrafen von bis zu 35 Millionen Euro oder bis zu 7 % des weltweiten Gesamtumsatzes eines Unternehmens im vorangegangenen Geschäftsjahr geahndet werden, je nachdem, welcher Betrag höher ist.

Seit vielen Jahren sind Menschen gezwungen, Entscheidungen ohne ausreichende Informationen zu treffen, oft unter dem Einfluss der großen Technologieunternehmen, die Datenschutzrichtlinien zu ihrem Vorteil manipulieren. Dies hat dazu geführt, dass viele Menschen unwissentlich ihre personenbezogenen Daten preisgegeben haben, die als billige Ware zum Trainieren von LLMs verwendet werden, obwohl diese Informationen eigentlich ihnen gehören sollten. Anstatt die Rechte der Nutzer in den Vordergrund zu stellen, zielen neue Gesetze häufig darauf ab, das Wachstum der Technologie nicht zu behindern oder die Interessen von Unternehmen nicht zu beeinträchtigen, was die Frage aufwirft, wessen Interessen tatsächlich geschützt werden“, erklärt K. Kaciulis.

Ein sehr gutes Beispiel sind KI-Chatbots. Sie lernen aus allen online verfügbaren Informationen, einschließlich personenbezogener und sensibler Daten. Obwohl die USA und die EU Gesetze zum Schutz der Privatsphäre eingeführt haben, wirken viele dieser Vorschriften eher wie Versprechen als wie wirksame Sicherheitsmaßnahmen, insbesondere wenn es um LLMs geht, die Informationen nutzen, ohne den Menschen eine echte Möglichkeit zum Widerspruch zu bieten.

„Derzeit basieren LLMs auf umfangreichen Datensätzen aus dem Internet, ohne Transparenz, Rechenschaftspflicht und ohne die Möglichkeit, sich davon abzumelden. Dies steht in direktem Widerspruch zu datenschutzorientierten Gesetzen und muss geändert werden“, kommentiert K. Kaciulis.

Die einzige realistische Lösung, um Chatbots in Einklang mit den Datenschutzbestimmungen zu bringen, wäre ein kompletter Neuanfang, da es keine Möglichkeit gibt, personenbezogene Daten aus KI-Algorithmen zu entfernen. Dies setzt voraus, dass die Entwicklung bestehender Systeme gestoppt und gemäß den neuen gesetzlichen Vorgaben konzipiert werden. Dieser Ansatz würde dafür sorgen, dass Chatbots die Rechte der Nutzer bei der Datenerfassung respektieren und vollständige Transparenz gewährleisten. Obwohl eine solche Neugestaltung angesichts des derzeitigen Tempos und Umfangs der KI-Entwicklung unrealistisch erscheinen mag, ist sie wahrscheinlich der einzige Weg zu einer effektiven Einhaltung der Vorschriften und der öffentlichen Akzeptanz von KI-Systemen.“

---