Der Vorschlag der EU-Kommission für eine Verordnung zur Regulierung der Künstlichen Intelligenz (Spindler, CR 2021, 361)

I. Einleitung

1

Künst­liche Intel­ligenz (KI) hat sich in den letzten Jahren neben der Platt­for­m­öko­nomie und der Block­chain-Techno­logie als einer der wichtigsten Bestand­teile der Digita­li­sierung heraus­kris­tal­li­siert. Der Einsatz von KI kann aber sowohl segens­reich wirken, als auch erheb­liche Risiken und Gefahren herauf­be­schwören: Bekannte Beispiele sind der Einsatz von KI im Bereich des social scoring, um unliebsame Minder­heiten heraus­zu­filtern oder das Erstellen von Bewegungs­pro­filen mit Hilfe teleme­tri­scher Gesichts­er­kennung¹, oder im Bereich von meinungs­bil­denden Platt­formen, die bestimmte Inhalte bewerten, sortieren und sie dann entspre­chend „zubereitet“ dem Nutzer darbieten (sog. „content curation“), so dass das berühmte Phänomen der „echo chambers“ ² entsteht. Die Risiken für die Ausübung von Grund­rechten im Netz sind daher vielfältig und reichen vom Daten­schutz über das Recht der freien Meinungs­äu­ßerung bis hin zu möglicher Diskri­mi­nierung, etwa durch verzerrte Trainings­daten.

2

Daher ist es nicht verwun­derlich, dass auf rechts­po­li­ti­scher Ebene recht bald zahlreiche Exper­ten­gremien und Kommis­sionen einbe­rufen wurden, die sich den ethischen und recht­lichen Prinzipien der KI annahmen und entspre­chende Vorschläge unter­brei­teten. Der jetzt vorlie­gende Vorschlag der EU-Kommission ³ resul­tiert aus den Konsul­ta­tionen zum Weißbuch der Kommission⁴ und bezieht explizit die Vorschläge des Europäi­schen Parla­ments hinsichtlich der ethischen Prinzipien für KI⁵ ebenso wie die Vorschläge des Rates vom 21.10.2020⁶ und der High Level Expert Group on AI ⁷ mit ein.

3

Die EU-Kommission verfolgt mit dem Vorschlag einer KI-VO einen risiko­ba­sierten horizon­talen Ansatz im Bereich des Produkt­si­cher­heits­rechts, der sich auf den Einsatz von KI generell bezieht und nicht sektor­spe­zi­fisch (wie etwa in den Produkt­si­cher­heits­rechts-Verord­nungen oder -Richt­linien) vorgeht. Der Vorschlag der KI-VO soll ausdrücklich zukunfts­offen und in der Lage sein, neue Entwick­lungen zu berück­sich­tigen.⁸

4

Keine Regelung hat bislang das gleicher­maßen viel disku­tierte Haftungs­recht gefunden.⁹ Im Mittel­punkt steht hier die Einführung einer Art Kausal­haftung bzw. Gefähr­dungs­haftung, wie sie von der Expert Group on Liability and New Techno­logies vorge­schlagen¹⁰ und vom Europäi­schen Parlament in seiner Entschließung vom 5.10.2020¹¹ teilweise aufge­nommen wurde. Der KI-VO-E beschränkt sich dagegen auf die geschil­derten Pflichten und Verbote, folgt daher primär einem produkt­si­cher­heits­recht­lichen Ansatz; gleichwohl wird der KI-VO-E – sofern der Vorschlag angenommen wird – Auswir­kungen auch auf das nationale Haftungs­recht haben, in Deutschland etwa über § 823 Abs. 2 BGB , selbst wenn der für das zweite Halbjahr 2021 angekün­digte Vorschlag der EU-Kommission zur Einführung einer Kausal­haftung ebenfalls reali­siert wird.¹²

5

Da verschiedene Mitglied­staaten, einschließlich Deutsch­lands, die Umsetzung einer KI-Strategie erwägen, hat die EU-Kommission ausdrücklich das Instrument einer Verordnung gewählt, um einer Fragmen­tierung innerhalb der EU entge­gen­zu­wirken¹³ – was dem grund­sätz­lichen Ansatz im Rahmen der Produkt­si­cherheit entspricht.

II. Der grund­le­gende Ansatz: Risiko­ba­siert mit Regulierung für hoch-riskante KI

6

Die EU-Kommission hat sich unter verschie­denen Möglich­keiten dezidiert für einen risiko­ba­sierten Ansatz ausge­sprochen,¹⁴ der zwingende Regelungen nur für hoch-riskante KI-Systeme enthält, es für andere KI-Systeme aber bei moderaten Pflichten sowie einem code-of-conduct-Konzept belässt.¹⁵ Dabei erstreckt der KI-VO-E seinen Anwen­dungs­be­reich ausdrücklich auch auf Anbieter bzw. Betreiber mit Sitz außerhalb der EU.¹⁶ Erklärtes Ziel der Regulierung der hoch-riskanten KI ist die Gewähr­leistung der Grund­rechte der betrof­fenen Nutzer, insbe­sondere das Recht auf Meinungs­freiheit, die Nicht­dis­kri­mi­nierung sowie die daten­schutz­recht­lichen Grund­rechte.¹⁷ Zentrales Element der Überwa­chung der Anfor­de­rungen an hoch-riskante KI-Systeme ist dabei der produkt­si­cher­heits­recht­liche Ansatz der Konfor­mi­täts­be­wertung anhand techni­scher Standards, einher­gehend mit einer Vermu­tungs­wirkung, die aber auch andere Alter­na­tiven zulässt, womit die EU-Kommission einer­seits die nötige Flexi­bi­lität gewähr­leisten, anderer­seits eine Überlastung der Aufsichts­be­hörden verhindern will.¹⁸

7

Zur Durch­setzung der Pflichten von hoch-riskanten KI will die EU-Kommission eine Regis­trie­rungs­pflicht für sog. stand-alone KI und damit eine EU-weite Datenbank schaffen, mit deren Hilfe durch Überwa­chungs­be­hörden oder sonstige Dritte die Aktivi­täten der KI im Hinblick auf die Einhaltung der Pflichten, insbe­sondere die Wahrung der betrof­fenen Grund­rechte, überwacht werden können.¹⁹ Gleich­zeitig wird damit der Forderung nach einer vorher­ge­henden öffentlich-recht­lichen Geneh­migung²⁰ eine Absage erteilt.

8

Flankiert wird dieser Ansatz durch Pflichten der KI-Betreiber, die Überwa­chungs­be­hörden über ernst­hafte Vorfälle oder Fehlfunk­tionen der KI mit Gefährdung der Grund­rechte zu unter­richten; die entspre­chenden Infor­ma­tionen der Überwa­chungs­be­hörden sollen dann von der EU-Kommission zur Markt­analyse und -bewertung ausge­wertet werden.²¹

9

In diesem Rahmen will der KI-VO-E auch Erleich­te­rungen für kleine und mittlere Unter­nehmen (KMUs) vorsehen, etwa durch die Schaffung von „regulatory sandboxes“ oder Erleich­te­rungen bei der Konfor­mi­täts­be­wertung von KI-Systemen.²²

III. Anwen­dungs­be­reich

1. Definition der Künst­lichen Intel­ligenz

10

Schon die Definition von KI in Art. 3 Nr. 1 KI-VO-E zeigt den breiten Anwen­dungs­be­reich, den der KI-VO-E anstrebt. Demnach bezeichnet ein KI-System Software, die ...

Hier direkt weiterlesen im juris PartnerModul IT-Recht