Newsoms Gesetzentwurf zur KI-Sicherheit und die Gefahren uneinheitlicher Vorschriften

Die USA verabschieden diese Woche ihren ersten Gesetzentwurf zur KI-Sicherheit und setzen damit dringend benötigte Leitplanken für Unternehmen, die diese hochmoderne Technologie entwickeln, für die es bislang keine nennenswerten Vorschriften gab.

Der am 29. September von Gouverneur Gavin Newsom unterzeichnete Transparency in Frontier Artificial Intelligence Act (TFAIA) oder Senate Bill 53 (SB 53) wird von seinen Befürwortern als zukunftsweisender Versuch gepriesen, die großen Tech-Unternehmen zu zügeln und die Gefahren unkontrollierter künstlicher Intelligenz zu begrenzen.

KI-Entwickler und -Forscher warnen, dass das Risiko katastrophaler Folgen umso größer ist, je leistungsfähiger ihre Modelle werden.

Der neue Gesetzentwurf verpflichtet die bekanntesten Entwickler von KI-Modellen, ihre Sicherheitsprotokolle öffentlich bekannt zu geben, die kritischsten Sicherheitsvorfälle zu melden und Whistleblower zu schützen, prahlte der kalifornische Senator Scott Weiner, einer der Verfasser des wegweisenden Gesetzentwurfs.

Die erklärten Ziele – Transparenz in KI-Systemen, obligatorische Risikobewertungen und die Haftung von Unternehmen für durch KI verursachte Schäden – klingen in einer Welt, in der generative KI-Tools die Kommunikation, den Handel und sogar kriminelle Aktivitäten neu gestalten, sehr beruhigend.

Mittlerweile haben 32 der 50 weltweit führenden KI-Unternehmen ihren Sitz im Golden State, darunter Giganten wie Meta, Google, OpenAI und Anthropic.

Fragmentierte KI-Regulierungslandschaft

Zu seiner Verteidigung führt TFAIA eine neue Ebene von Compliance-Verpflichtungen ein, die neben den Vorschlägen des Bundes, internationalen Rahmenwerken und anderen Gesetzen auf staatlicher Ebene bestehen.

Hinter all dem legislativen Glanz verbirgt sich jedoch die Sorge, dass das einheitliche Regulierungsrahmenwerk Kaliforniens andere Bundesstaaten im Wesentlichen dazu zwingen wird, ihre eigenen KI-Gesetze zu verabschieden, was zu einem Flickenteppich von Vorschriften führen könnte, der letztendlich mehr Schaden als Nutzen bringt.

„Die größte Gefahr von SB 53 besteht darin, dass es einen Präzedenzfall schafft, wonach nicht die Bundesregierung, sondern die Bundesstaaten die Führung bei der Regulierung des nationalen KI-Marktes übernehmen – was zu einem Flickenteppich von 50 Compliance-Regelungen führt, für deren Bewältigung Start-ups nicht über die erforderlichen Ressourcen verfügen“, erklärte Collin McCune, Leiter der Abteilung für Regierungsangelegenheiten bei der Silicon-Valley-Venture-Capital-Firma Andreessen Horowitz, diese Woche gegenüber Reuters.

Eine fragmentierte KI-Regulierungslandschaft – mit unterschiedlichen Offenlegungspflichten, Prüfungsstandards und Haftungsgrenzen – wird zweifellos zu einem Labyrinth von Vorschriften führen, das Innovationen verlangsamen, die Betriebskosten erhöhen und Unternehmen dazu veranlassen kann, sich die Standorte für den Einsatz neuer KI-Systeme sorgfältig auszusuchen.

Wir haben dies bereits bei den Datenschutzgesetzen, den Vorschriften zur Offenlegung von Datenschutzverletzungen und sogar bei der Verfolgung von Cyberkriminalität gesehen, beispielsweise bei den unterschiedlichen Gesetzen der Bundesstaaten zum Cyberstalking und den Herausforderungen durch Zuständigkeitsbeschränkungen.

So hat beispielsweise jeder der 50 US-Bundesstaaten eigene Vorschriften zur Offenlegung von Datenschutzverletzungen erlassen, die unterschiedliche Parameter für die Benachrichtigung von Verbrauchern und Aufsichtsbehörden enthalten.

In einigen Bundesstaaten müssen Unternehmen Datenschutzverletzungen innerhalb von 30 Tagen der Generalstaatsanwaltschaft melden, in anderen innerhalb von 90 Tagen.

Die Gesetze können je nach Branche variieren, wie das Beispiel der US-Börsenaufsichtsbehörde SEC zeigt, die eine eigene 5-Tage-Regelung für die Meldung von Datenschutzverletzungen vorschreibt. Nach dem US-Gesetz über die Übertragbarkeit und Rechenschaftspflicht im Gesundheitswesen (HIPAA) gilt für die Verletzung geschützter Gesundheitsdaten eine weitere Offenlegungsfrist und so weiter.

Die US-Cybersicherheitsvorschriften können sich auch je nach Sitz des Unternehmens ändern, der oft nicht unbedingt mit dem Standort seiner Büros übereinstimmt.

„Es geht nicht darum, ob wir KI regulieren wollen, sondern darum, ob Sie wollen, dass 17 Bundesstaaten dies tun, oder ob Sie wollen, dass der Kongress dies tut“, sagte der demokratische US-Abgeordnete Ted Lieu aus Los Angeles kürzlich während einer Anhörung im Kongress zum Thema KI-Gesetzgebung.

Bis Juli hatten nur drei weitere US-Bundesstaaten, darunter Colorado, Texas und Utah, KI-Sicherheitsvorschriften unterzeichnet, während fast ein Dutzend weitere in Ausschüssen behandelt oder von Gesetzgebern eingebracht wurden.

Interpretationsspielraum

Gegner des Gesetzentwurfs argumentieren, dass SB 53 wichtige Begriffe vage und interpretationsfähig lässt. Was gilt beispielsweise als „risikoreiche KI“? Wie sollen Unternehmen die Einhaltung der Vorschriften nachweisen?

Letztendlich könnten Gerichte diese Lücken füllen, was zu Unsicherheit führt, von der nur die größten Unternehmen mit den umfangreichsten rechtlichen Ressourcen profitieren, während kleinere Unternehmen, die zu übertriebener Vorsicht gezwungen sind, Zeit und Geld von Sicherheitsverbesserungen abziehen müssen, um sich auf mühsame Compliance-Dokumentationen zu konzentrieren.

Kalifornien gilt oft als Maßstab für solche Gesetze; der California Consumer Privacy Act (CCPA) wird als das einzige Landesgesetz angesehen, das im Vergleich zum EU-Datenschutzrecht für sich allein steht.

Gesetzgeber auf Landes- und Bundesebene müssen sich abstimmen, sonst besteht die Gefahr, dass das Versprechen der KI-Sicherheit zu einem Gewirr widersprüchlicher Vorschriften wird, das Innovatoren frustriert, Regulierungsbehörden verwirrt und die Öffentlichkeit nur teilweise schützt.

Letztendlich wird TFAIA als robuste Vorlage für KI-Sicherheit angepriesen, auf die sich die US-Bundesregierung stützen kann, um ein einheitliches KI-Sicherheitsgesetz zu schaffen.

Aber wie wir diese Woche beim Stillstand der US-Regierung gesehen haben, kann der Kongress manchmal nicht wirklich aus seinem eigenen Weg herauskommen, wenn es darum geht, Dinge rechtzeitig zu erledigen.

Wie stehen also die Chancen, dass Washington tatsächlich in der Lage sein wird, in naher Zukunft oder sogar im nächsten Jahrzehnt eine übergreifende föderale Alternative zu entwickeln? Wahrscheinlich nicht so gut. Es ist mit einer holprigen Fahrt zu rechnen.

Es ist wahrscheinlicher, dass während die Gesetzgeber in Washington weiter im Wind flattern, die großen Technologieunternehmen, die die KI-Innovation vorantreiben, und ihre jungen Start-up-Kollegen sich in einem komplizierten Labyrinth aus staatlichen und bundesstaatlichen KI-Vorschriften verlieren werden, die bestenfalls inkonsistent, verwirrend und lästig sind.

Autor: 

Stefanie Schappert, leitende Journalistin bei Cybernews, ist eine versierte Autorin mit einem Master-Abschluss in Cybersicherheit, die seit 2019 in der Welt der Sicherheit tätig ist. Sie verfügt über mehr als zehn Jahre Erfahrung im führenden amerikanischen Nachrichtenmarkt und hat für Fox News, Gannett, Blaze Media, Verizon Fios1 und NY1 News gearbeitet. Mit einem starken Fokus auf nationale Sicherheit, Datenverstöße, aktuelle Bedrohungen, Hackergruppen, globale Themen und Frauen in der Tech-Branche ist sie auch als Kommentatorin für Live-Podiumsdiskussionen, Podcasts, Radio und Fernsehen tätig. Sie erwarb die ISC2-Zertifizierung „Certified in Cybersecurity (CC)” im Rahmen des ersten CC-Pilotprogramms, nahm an zahlreichen Capture-the-Flag-Wettbewerben (CTF) teil und belegte den 3. Platz beim internationalen Social-Engineering-Pen-Testing-Wettbewerb der Temple University, der von Google gesponsert wurde. Mitglied der Women’s Society of Cyberjutsu (WSC) und der Upsilon Pi Epsilon (UPE) International Honor Society for Computing and Information Disciplines.

Mehr zum Schmökern

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky