In der Nacht vom 8. auf den 9. Dezember letzten Jahres erzielte die EU eine vorläufige Einigung über die EU-KI-Verordnung, das erste westliche KI-spezifische Gesetz. Die Verhandlungsführer rangen bis zum Schluss um die Details der Vereinbarung, zum Beispiel über die KI-basierte Gesichtserkennung zur Verbrechensbekämpfung.

Während wir noch auf die zeitlichen Details warten, haben wir mit der international renommierten KI-Expertin Ivana Bartoletti, Chief Privacy und AI Governance Officer beim IT-Beratungsunternehmen Wipro, darüber gesprochen, wie das KI-Gesetz aus technischer Sicht zu bewerten ist, ob die Regulierungsansätze weit genug gehen und was andere Länder vom europäischen Ansatz lernen können.

Was halten Sie grundsätzlich von der endgültigen Fassung des AI-Gesetzes? Ich bin froh, dass wir sie haben. Die Einigung war von allen Beteiligten eine fantastische Leistung. Wir dürfen nicht vergessen, dass das EU-KI-Gesetz als produktbasierte Gesetzgebung entstanden ist (die Regulierung eines KI-Systems ist also wie die Regulierung eines Kühlschranks!) und dennoch einen starken Schwerpunkt auf unsere Rechte und Freiheiten legt. Die Folgenabschätzung für die Grundrechte (die KI-Anwender durchführen müssen) wurde in den politischen Kompromiss aufgenommen – aus meiner Sicht ein sehr wichtiger Punkt. Ich möchte hinzufügen, dass dies keineswegs eine ausgemachte Sache war. Deshalb bin ich grundsätzlich froh, dass wir zukünftig stärker regulieren werden. Natürlich stehen wir erst am Anfang, und es wird noch Feinarbeit zu leisten sein – auch die Gerichte werden eine wichtige Rolle spielen. 

Das EU-Parlament konnte sich mit seinen Forderungen nach weitreichenden Regelungen weitgehend durchsetzen. Was halten Sie davon? Ja, und ich freue mich darüber, denn das EU-Parlament wird von den EU-Bürger*innen gewählt und ist somit ein echter Ausdruck der Demokratie! Das Vertrauen in diese Technologien wird sehr wichtig sein, und die Unternehmen erkennen das an.

Für kleinere Anbieter von KI-Modellen werden weit weniger Vorschriften gelten. Die richtige Entscheidung? Wir müssen vermeiden, die gleichen Fehler zu machen wie bei der Datenschutz-Grundverordnung, bei der große Unternehmen die Anforderungen erfüllen konnten, indem sie viele Ressourcen für die Entwicklung der erforderlichen Tools einsetzten. Deshalb ist es wichtig, dass kleine und mittlere Unternehmen in der Lage sind, ohne zu viele belastende Anforderungen innovativ zu sein. 

Entgegen der Forderung des EU-Parlaments soll KI nun in bestimmten Fällen zur Verbrechensbekämpfung für die Gesichtserkennung (BIS) eingesetzt werden dürfen. Was halten Sie davon? Dies war ein sehr umstrittenes Thema, und auch ich war sehr besorgt über die mögliche Aushöhlung der verbotenen Kategorien. Aber wir sahen zwei Akteure, die miteinander gerungen haben: Zum einen die Regierungen, die Ausnahmen im Bereich der öffentlichen Sicherheit fordern, und zum anderen das Parlament, das in die entgegengesetzte Richtung drängt. Wir müssen die technischen Details abwarten, die in den nächsten Monaten diskutiert werden, um zu sehen, wie dieser Kompromiss wirklich aussieht. 

Ist es die richtige Entscheidung, dass KI-Firmen in Zukunft Informationen über die Inhalte bereitstellen müssen, mit denen sie ihre KI-Modelle trainiert haben? Ja. Dies ist eine entscheidende Anforderung für KI für allgemeine Zwecke, und die Unternehmen werden sich damit auch im Zusammenhang mit ihrem geistigen Eigentum auseinandersetzen müssen und möglicherweise neue technische Lösungen einsetzen müssen, um dies zu erreichen. Ich glaube, dass Transparenz absolut notwendig ist und dass sie sinnvoll sein muss. 

Was halten Sie von der möglichen Einführung einer europäischen KI-Behörde? Derzeit sieht das KI-Gesetz ein europäisches KI-Büro vor, das die komplexesten KI-Modelle überwachen soll. Das Amt sollte auch ein wissenschaftliches Gremium und ein Beratungsforum einrichten. Allerdings müssen wir hier vorsichtig sein, und die lokalen Behörden werden ihre Befugnisse nicht aufgeben wollen (wie wir bei der Datenschutzverordnung gesehen haben). Wir müssen für ein einheitliches Vorgehen in der gesamten EU sorgen. 

Welche zusätzliche Maßnahme hätten Sie sich für das AI-Gesetz gewünscht? Diese Frage können wir jetzt nicht beantworten – wir müssen abwarten, wie sich das EU-KI-Gesetz entwickelt. Aber eines ist wichtig zu sagen: Das EU-KI-Gesetz ist nicht das universelle Gesetz über KI. Das Datenschutzrecht muss bei der KI-Governance eine wichtige Rolle spielen, und ich denke, es wird für die Wahrung der Rechte des Einzelnen von entscheidender Bedeutung sein. Die nationalen Datenschutzbehörden haben viel getan, viele Leitlinien veröffentlicht, aber nicht nur Leitlinien, sondern auch Durchsetzungsmaßnahmen! Das Datenschutzrecht wird das EU-KI-Gesetz und die KI-Governance im weiteren Sinne beeinflussen und vorantreiben.

Was können Länder wie die USA von dem KI-Gesetz lernen? Die Gesetzgebung zum Thema KI wird überall diskutiert! Die USA haben einen etwas anderen Ansatz, der eher kontextbezogen ist als horizontal wie in Europa. Von Peru bis Kanada und China sind KI-Gesetze in Vorbereitung. Ich denke, andere Länder können daraus lernen, dass diese Prozesse komplex und Kompromisse notwendig sind – aber irgendwo müssen wir ja anfangen.