EU: Kommissionsvorschlag für Leitlinien zur Entwicklung generativer KI

Es gehört zu den Wesensmerkmalen der KI, dass sie durch die Grundsätze von Opazität und Autonomie – Stichwort: selbstlernende Systeme (Maschinenlernen) – geprägt wird. Zur Folge hat dies, dass das Recht und etwa erforderliche Regulierungen von Hochrisiko-KI in aller Regel der rasant sich fortentwickelnden Technik hinterherlaufen nach dem alten Bild vom Igel und dem Hasen. Das gilt auch für den Vorschlag der Kommission für ein KI-Gesetz (VO-E (EU) COM(2021) 206 final), dem ein risikobasierter Regulierungsansatz zugrunde liegt, aber auch für den Vorschlag einer KI-Haftungs-RL (COM(2022) 426 final). Dieser sieht durchaus überraschend eine vom Verschulden abhängige Haftung bei einem – von Menschen zu verantwortenden – Fehlverhalten von Hochrisiko-KI-Systemen vor. Ob das ausreicht, wird sich noch erweisen müssen. Auch die Pflicht zur Offenlegung von Beweismitteln durch den Anbieter zugunsten des Geschädigten verbessert die Rechtslage des Geschädigten kaum. Doch es ist eben die Signatur der unglaublich schnell sich fortentwickelnden, immer mehr sich perfektionierenden KI – lehrreiches Beispiel: ChatGPT –, dass das Recht nicht in der Lage ist, mit einer solchen Entwicklung Schritt zu halten und einen Ordnungsrahmen zu schaffen, der sowohl effektiven Schutz gegen Schäden bietet als auch die Innovation und damit den technischen Fortschritt der KI nicht unangemessen einengt.

Gerade wegen dieses rechtlichen Dilemmas ist es wert, hervorgehoben zu werden, dass die Kommission am 13.10.2023 den Entwurf für „Guiding Principles for Organizations Developing Advanced AI systems” veröffentlicht hat. Diese Leitlinien sollen, sobald sie verabschiedet sind, in die Rechtsordnung der einzelnen Länder eingebettet werden. Ziel des Konsultationsverfahrens ist es, ein „living document“ zu schaffen, welches im Ergebnis sicherstellen soll, dass eine sichere, aber auch vertrauenswürdige KI „weltweit“ entwickelt und in der Praxis eingesetzt wird.
Die Kommission plant einen weltweit organisierten Konsultationsprozess; der erforderliche Input soll von „Stakeholdern“ in der Wissenschaft, aber auch in der Zivilgesellschaft, wie insbesondere auch aus Kreisen der Wirtschaft beigesteuert werden. Ausdrücklich erklärt sich die Kommission bereit, auf der Basis der erreichten Ergebnisse dann einen „Code of Conduct“ auszuformulieren. Ein solches Vorgehen entspricht mittlerweile den internationalen Usancen: Die Betroffenen schaffen sich ihre eigenen Verhaltensregeln. Im Hintergrund steht dabei die etwas abfällig, aber oft schon wiederholte Bemerkung, dass die zu bewältigen neuartigen Probleme viel zu vielschichtig und komplex sind, um sie den Nationalstaaten und deren Gesetzgebern an die Hand zu geben.
Elf Leitlinien sind es, welche die Kommission in den Konsultationsprozess einspeist: An der Spitze steht die Forderung, „geeignete Maßnahmen“ bei der Entwicklung generativer KI-Systeme für deren Sicherheit bis zum Ende ihres Lebenszyklus zu implementieren, einschließlich einer Identifikation und Validierung der spezifischen Risiken solcher Systeme. Unverhältnismäßige Risiken sind zu vermeiden. Diese Forderung schließt wie selbstverständlich ein, dass Schwachstellen in den KI-Systemen zu identifizieren und auszuschalten sind, was Unfälle ebenso einschließt wie die Gefahren, die sich aus einem Fehlgebrauch der KI ergeben können, nachdem diese auf den Markt gebracht wurde. In den Regeln der Produktsicherheit gesprochen, umfasst diese Pflicht auch die Rückverfolgbarkeit solcher Gefahrenquellen und eine umfassende Dokumentation. Hervorgehoben wird auch die Pflicht des Anbieters solcher KI-Systeme, in transparenter Weise deren technische Möglichkeiten und ihre Einsatzbedingungen offenzulegen, aber auch die Bereiche zu markieren, die außerhalb dieser Zonen liegen. Ziel muss es sein, dass die Benutzer dieser KI-Systeme genau wissen, was sie bei deren Einsatz zu beachten haben: „Responsible information“ ist hier das Codewort.
Damit geht die weitere Forderung einher, „risk management policies“ zu entwickeln, diese aber auch ins Werk zu setzen und sie schließlich offenzulegen. Das ist in der Sache die Konsequenz des risikobasierten Ansatzes, den die Kommission mit ihrem VO-E (COM)2021, 206 final für ein KI-Gesetz verfolgt. Adressiert werden hier vor allem die Unternehmen, welche neue, d.h. immer „intelligentere“ KI-Systeme entwickeln. Verbunden ist diese Forderung mit dem Hinweis auf eine entsprechende „Governance“ in dem jeweiligen Unternehmen, was dann eben auch eine – haftungsrechtliche – Verantwortlichkeit einschließt. Robuste Sicherheitskontrollen heißen die weiteren Verhaltenspflichten, die aber auch – und hier ist das Gefahrenpotenzial besonders hoch – die „Cybersecurity“ umfasst, natürlich für den ganzen Lebenszyklus der betreffenden KI. Kein Wunder, dass die Kommission als weitere Leitlinie hervorhebt, dass Research-Maßnahmen im jeweiligen Unternehmen ebenso erforderlich und zu priorisieren sind wie die betreffenden Investitionen. „Key risks“, so ist zu lesen, müssen als erstes adressiert und effektiv abgestellt werden.
Schließlich hebt die Kommission hervor, dass sich die weitere Entwicklung von KI-Systemen in erster Linie auf die Gebiete konzentrieren sollte, welche nach Maßgabe der „United Nations Sustainable Development Goals“ im Vordergrund stehen: Bekämpfung der Klimakrise, Verbesserung der Weltgesundheit und der Schulbildung. Erkennbar wird hier, dass sich die Kommission durchgängig bei ihren Versuchen, die Risiken der KI-Systeme einzuhegen, von einem Ansatz leiten lässt, den sie als „human-centric“ beschreibt. Ob ihr das gelingt, ist allerdings keineswegs sicher. Weder die US-amerikanischen Unternehmen, die sich den Namen GAFA gegeben haben, lieben regulatorische Fesseln noch die KI-Systeme, welche „made in China“ als Markenzeichen tragen. Und auch die mit einiger Zuversicht verbundene Erwartung der Kommission, allgemeine und international anerkannte technische Standards eines Tages zu begründen, dürfte noch nicht mit allzu viel Bezug zur realen Welt verbunden sein. Doch ist der jetzt angestoßene Konsultationsprozess immerhin ein erster, sogar ein höchst wichtiger Schritt, (freiwillige) Verhaltensregeln für die effektivere Beherrschung der völlig neuen und nicht vorhersehbaren Gefahren von Hochrisiko-KI-Systemen – fürs erste noch unterhalb der Schwelle der Rechtsordnungen – in Geltung zu bringen.