Dr. David Bomhard ist Physiker, Rechtsanwalt bei der Kanzlei Noerr und Lehrbeauftragter für IT- und Datenrecht an der Universität Passau. Er ist spezialisiert auf die rechtliche Beratung bei IT- und IoT-Projekten (insb. Cloud-Computing, Datenlizenzen, IT-Sicherheit, künstliche Intelligenz). – Bild:Noerr PartGmbB
Bemerkenswert ist bereits der Anwendungsbereich: Die geplante KI-Verordnung verwendet den hippen Begriff des „KI-Systems“. Sieht man genauer hin, dürfte nahezu jede Software darunter fallen. So kann es schon genügen, wenn Software mit „logik- oder wissensgestützten Konzepten“ entwickelt wurde. Da geht der Anwendungsbereich der KI-Verordnung weit über den technischen KI-Begriff der Informatik hinaus. Hinzu kommt, dass die geplante KI-Verordnung die meisten IT-Anwendungen im Bereich Robotik und Maschinenbau pauschal als „Hochrisiko-KI-Systeme“ einstuft.
Wenn es nach dem aktuellen Verordnungsentwurf geht, müssen Hochrisiko-KI-Systeme künftig strenge Anforderungen erfüllen, andernfalls droht ein Verbot. Unter anderem sollen diese Systeme ausschließlich mit solchen Daten trainiert und betrieben werden dürfen, die „relevant, repräsentativ, fehlerfrei und vollständig“ sind. Zudem sollen Hochrisiko-KI-System so transparent sein, dass die Nutzer den Output angemessen interpretieren und verwenden können. Die geplante KI-Verordnung verlangt etwa Gebrauchsanweisungen, die „präzise, vollständige, korrekte und eindeutige Informationen in einer für die Nutzer relevanten, barrierefrei zugänglichen und verständlichen Form enthalten“. Das dürfte nicht nur die Forschung zu Explainable Artificial Intelligence (XAI) befeuern.
Letztendlich ist die KI-Verordnung vor allem der Versuch, Mechanismen des bisherigen Produktsicherheitsrechts nunmehr auf Software anzuwenden. So muss die Hochrisiko-KI laut Verordnungsentwurf bei jeder wesentlichen Änderung einer Konformitätsbewertung unterzogen werden. Das dürfte bei selbstlernender KI aber ein Ding der Unmöglichkeit sein, wenn sich das Moving Target ständig verändert. Zudem muss die KI von natürlichen Personen in Echtzeit beaufsichtigt werden können, sodass ein Mensch den KI-Betrieb z.B. mit einer Stopptaste unterbrechen kann. Dieses Konzept ergibt bei Eisenbahnen und Nähmaschinen Sinn, weil hier die Gefahren von physikalischer Bewegung ausgehen. Im Fall von Software kann ein bloßer Abbruch jedoch zu erheblichen Folgeschäden führen. Man denke etwa daran, wenn bei lebenserhaltenden, betriebskritischen oder hochfrequenten Prozessen einfach mal der Stecker gezogen würde.
Im Ergebnis ist es zwar zu begrüßen, dass die EU einen einheitlichen Rechtsrahmen für die KI schaffen will. Gleichzeitig muss man feststellen, dass der aktuelle Verordnungsentwurf die Messlatte extrem hoch legt. Damit die KI-Verordnung nicht zum Innovationskiller wird, müssen die aktuell durchweg unklaren Anforderungen unbedingt durch verbindliche und praktisch durchführbare technische Standards konkretisiert werden. Das ist wiederum eine interdisziplinäre Hausaufgabe. Der Kommissionentwurf wird nun durch das Europäische Parlament und den Europäischen Rat gehen. Im schnellsten Falle ist frühestens 2025 mit einer Geltung der KI-Verordnung zu rechnen. Es bleibt also spannend.
Hochachtungsvoll
Dr. David Bomhard