KI-Regulierung: Wie Staaten weltweit KI in Schach halten wollen
»Eine Regulierung der KI ist unerlässlich«, sagte Sam Altman, Geschäftsführer des Technologieunternehmens OpenAI, im Mai 2023 vor US-Senatoren bei einer Anhörung über künstliche Intelligenz (KI). Viele Technikexperten und -laien stimmen dem zu, und der Ruf nach gesetzlichen Leitplanken für KI wird immer lauter. Die Europäische Union plant, nach mehr als zweijähriger Debatte noch 2023 ihre ersten umfassenden KI-Gesetze zu verabschieden. In China sind bereits KI-Vorschriften in Kraft.
In der Praxis hingegen streiten die Menschen noch immer darüber, was genau eingedämmt werden soll, wie riskant KI ist und was es eigentlich einzuschränken gilt. Auch wenn das in Kalifornien ansässige Unternehmen OpenAI und andere Firmen öffentlich eine stärkere Überwachung der KI fordern, verweigern sich diese Unternehmen einigen von der EU vorgeschlagenen Kontrollen und sprechen sich für internationale Beratungsgremien sowie freiwillige Verpflichtungen statt neuer Gesetze aus. Unterdessen verändert sich die Technologie laufend weiter.
Drei Hauptakteure – die USA, Europa und China – haben bisher unterschiedliche Ansätze verfolgt, sagt Matthias Spielkamp. Er ist Geschäftsführer von AlgorithmWatch, einer in Berlin ansässigen gemeinnützigen Organisation, die die Auswirkungen der Automatisierung auf die Gesellschaft untersucht. Die EU sei ausgesprochen vorsichtig – ihr bevorstehendes Gesetz über künstliche Intelligenz konzentriert sich darauf, einige Anwendungen zu verbieten und andere zuzulassen, wobei die geplante KI-Verordnung gleichzeitig Sorgfaltspflichten für KI-Unternehmen festlegt, meint Spielkamp.
Die Vereinigten Staaten, wo viele führende KI-Firmen ansässig sind, haben sich bisher am wenigsten eingemischt mit einer Blaupause für den US Bill of AI Rights. In China versucht die Regierung, ein Gleichgewicht zwischen Innovation und Zensur herzustellen. Unternehmen und öffentliche Äußerungen werden dort weiterhin streng kontrolliert. Allesamt versuchen sie herauszufinden, inwieweit für KI spezielle Regulierung erforderlich ist, da bestehende Gesetze bereits einige Risiken hinreichend regeln könnten.
Wir sind Zeugen eines großen regulatorischen Experiments
»Viele sagen, KI sei die wichtigste Innovation, die die Menschheit je hervorgebracht hat«, erklärt David Wang, Chief Innovation Officer bei Wilson Sonsini, einer großen Anwaltskanzlei im Silicon Valley. »Es ist viel leichter, ›Halt!‹ zu rufen, als zu präzisieren: ›Hier entlang, geht in diese Richtung.‹« In gewissem Sinne sind wir Zeugen eines großen regulatorischen Experiments.
Die EU will KI nach Risikoklassen regulieren
Im Juni 2023 verabschiedete das EU-Parlament das KI-Gesetz – ein gigantischer Rechtsakt, der bei einem Inkrafttreten in der aktuellen Form KI-Tools auf der Grundlage ihres potenziellen Risikos kategorisieren würde. Das Gesetz könnte sich noch ändern, da erst alle drei stimmberechtigten EU-Gremien – das Parlament, die Kommission und der Europarat – es in einem so genannten Trilogverfahren billigen müssen.
Der aktuelle Entwurf würde die Verwendung von Software verbieten, die laut Entwurf ein inakzeptables Risiko darstellt. Gemäß dieser Definition schließt die KI-Verordnung (»EU AI Act«) etwa die Anwendung künstlicher Intelligenz in der vorhersagenden Polizeiarbeit (»Predictive Policing«) sowie in der Emotions- und Echtzeit-Gesichtserkennung als inakzeptabel aus.
Zahlreiche andere Anwendungen KI-gestützter Software wären erlaubt, allerdings gemäß deren Risikoeinstufung mit jeweils unterschiedlichen Anforderungen. Dazu gehören Werkzeuge, die Entscheidungen im Bereich von Sozialleistungen und in der Strafjustiz unterstützen, ebenso wie solche, die Unternehmen beim Auswählen von Bewerbern und Einstellen neuer Mitarbeiter helfen. Hier verlangt die KI-Verordnung von den Entwicklern einen Nachweis, dass ihre Systeme sicher, wirksam, datenschutzkonform, transparent, für die Nutzer verständlich und nicht diskriminierend sind.
Für »Hochrisiko«-Anwendungen, zu denen auch Software in der Strafverfolgung und im Bildungswesen gehört, verlangt die Verordnung eine ausführliche Dokumentation, das automatische Protokollieren aller Anwendungsfälle, in denen KI-Systeme zum Einsatz kommen, und das regelmäßige Prüfen der Systeme auf ihre Genauigkeit, Sicherheit und Fairness.
Unternehmen, die gegen die Vorschriften verstoßen, könnten mit einer Geldstrafe in Höhe von sieben Prozent ihres weltweiten Jahresgewinns belegt werden. Sie hätten etwa zwei Jahre Zeit, um die Vorschriften nach Inkrafttreten des Gesetzes zu erfüllen, was zwar bereits 2024 der Fall sein könnte, aber nicht vor 2025 praktisch eintreten dürfte.
Offen bleibt die Frage, was als hohes Risiko gilt. 2022 legte OpenAI der EU ein Weißbuch vor, in dem das KI-Unternehmen argumentierte, seine großen Sprachmodelle (Large Language Models, kurz LLMs, wie die hinter ChatGPT) und Modelle zum Erzeugen von Bildern wie DALL·E 2 sollten nicht in diese Kategorie fallen. Dieser Wunsch fand offenbar Eingang in den aktuellen EU AI Act, der Basismodelle in eine eigene Kategorie einordnet. »Foundation Models« wie GPT-4 sind KI-Systeme für allgemeine Zwecke (»general purpose«) im Gegensatz zu KI-Modellen, die nur für eine bestimmte Anwendung trainiert worden sind (»special purpose«). Zur Klasse dieser Allzweckmodelle gehören generative KI-Tools, die wirklichkeitsnahe Texte, Bilder und Videos automatisiert herstellen können.
Die Risiken solcher Modelle sind anders gelagert als bei den KI-Klassifizierungssystemen, die in der Strafverfolgung zum Einsatz kommen könnten. Bildgebende KI-Programme und große Sprachmodelle können etwa zur Verbreitung schädlicher Inhalte wie »Rache-Pornos«, Schadsoftware, Desinformation und Betrug führen, und sie könnten letztlich das Vertrauen der Menschen in die Gesellschaftsordnung untergraben. Die Frage, welche Art von Transparenz für solche Instrumente erforderlich ist und inwiefern sie sich überhaupt durchsetzen ließe, ist ein ernstes Problem. Und da diese Systeme auf riesige Mengen menschengemachter Texte und Kunstwerke trainiert werden, ist auch die Verletzung und der Schutz von Urheberrechten eine ungelöste Herausforderung.
Die EU möchte die Anbieter von Basismodellen (Foundation Models) dazu verpflichten, urheberrechtlich geschütztes Material, das sie als Trainingsdaten verwendet haben, öffentlich aufzulisten und ihre Modelle so nachzutrainieren, dass sie keine rechtswidrigen Inhalte mehr erzeugen können. Der gegenwärtige Entwurf der europäischen KI-Verordnung verlangt auch die klare Kennzeichnung von Inhalten, die durch KI erstellt wurden. Dies gilt jedoch nur für gewisse Arten von »Deepfake«-Inhalten, die echte Personen ohne deren Zustimmung so darstellen, als würden sie bestimmte Dinge sagen oder tun, die sie nicht gesagt oder getan haben.
Auflagen für die Anbieter von KI unerfüllbar?
Ob der Ansatz der EU zu stark oder zu schwach sei, hänge davon ab, wen man fragt, sagt der Geschäftsführer von AlgorithmWatch Spielkamp. Der Politikanalyst Daniel Leufer stimmt dem zu: »Ich denke, dass die KI-Branche viel darüber schwadroniert, dass [Regulierung] alle Innovationen zunichtemachen wird und dass sie nicht in der Lage wären, die Auflagen zu erfüllen«, sagt Leufer, der bei Access Now in Brüssel arbeitet, einer internationalen Organisation, die digitale Rechte verteidigt. Ihm zufolge ist das »bloß die übliche Effekthascherei«.
Der Technikethikerin Joanna Bryson, die an der Hertie School in Berlin über künstliche Intelligenz und deren Regulierung forscht, sind Unternehmen bekannt, die die geplanten Gesetze begrüßen – da die Einhaltung keine große Belastung darstelle und ihre Produkte verbessern werde, wie Bryson erklärt. Ein Sprecher von Microsoft etwa verwies auf Blogbeiträge des Unternehmens, in denen der US-Konzern die Notwendigkeit einer Regulierung einschließlich der europäischen KI-Verordnung unterstützt.
Über Lobbyismus
Gemäß den Erkenntnissen europäischer Lobbyismusbeobachter sollen sich große Konzerne wie Microsoft in Brüssel gegen die geplante Regulierung starkgemacht und versucht haben, Einfluss auf die Gesetzgebung zu nehmen und eine stärkere Regulierung zu verhindern – mehr dazu findet sich etwa im Bericht »The Lobbying Ghost in the Machine« der Lobby-Kontrollgruppe Corporate Europe Observatory von Februar 2023.
Vor allem das maßgeblich von Microsoft finanzierte Start-up OpenAI wälzt in seinen Geschäftsbedingungen bislang das Risiko der KI-Anwendung im Falle mangelnder Gesetzeskonformität auf die Nutzerinnen und Nutzer ab. Im Abschnitt 3 der Terms of Service steht wörtlich: »Sie [als Nutzer] sind selbst verantwortlich für den Inhalt – insbesondere dafür, sicherzustellen, dass er keine gültigen Gesetze oder diese Geschäftsbedingungen verletzt.«
Silke Hahn, Technikredakteurin bei Spektrum der Wissenschaft
Laut AlgorithmWatch gibt es Kritikpunkte am EU-Ansatz: So seien Unternehmen, solange sie sich an die mit der Risikokategorie ihrer Anwendung verbundenen Regeln halten, stark gegen die Haftung für Schäden abgesichert, die von ihrem System ausgehen könnten, erläutert Spielkamp. Außerdem könnte ein Unternehmen auf einem Tool eines anderen Unternehmens aufbauen, das wiederum auf einem Tool eines dritten Unternehmens aufbaut, so dass am Ende der Kette unklar ist, wer als Verursacher gilt und für einen Schaden haftet.
Die KI-Verordnung wird sich noch weiterentwickeln, bevor sie final verabschiedet wird, ergänzt Lilian Edwards, die an der Newcastle University (Großbritannien) auf Internetrecht spezialisiert ist. Sie warnt davor, den Entwurf jetzt schon zu tief im Detail zu analysieren. Für einen »guten Anfang« hält sie ihn allerdings bereits, da er einige nützliche technische Details enthält wie etwa den Hinweis, dass Anbieter sich vor möglicher »Datenvergiftung« in Acht nehmen müssen, bei der Menschen KI-Systeme hacken, indem sie deren Trainingsdaten manipulieren. Edwards würde es vorziehen, wenn das Gesetz risikoreiche KI anhand einer Reihe klarer Kriterien statt mittels einer Liste konkreter Anwendungsfälle definieren würde, um die Gesetzgebung zukunftsfest zu machen.
KI-Algorithmen und Technologieethik
In der EU gelten bereits einige Vorschriften, die KI betreffen. Die DSGVO (Datenschutz-Grundverordnung) etwa schränkt seit 2018 das Erheben, Speichern und Verarbeiten personenbezogener Daten im europäischen Rechtsraum ein. EU-Bürgerinnen und -Bürger verfügen durch die DSGVO bereits über das Recht auf »aussagekräftige Informationen« über die Prozesslogik automatisierter Entscheidungen (manchmal bezeichnet als »Recht auf Erklärung«) sowie das Recht auf ein Opt-out beim Verarbeiten persönlicher Daten. In der Praxis sind diese Rechte derzeit bloß von begrenztem Nutzen: Nur wenige Prozesse sind vollständig automatisiert, wie etwa die Einblendung von Werbung, erläutert Michael Birtwistle, der am Ada Lovelace Institute im Bereich KI und Daten für Recht und Politik zuständig ist. Das in London ansässige Institut ist eine Forschungseinrichtung, die sich mit Fragen der Technologieethik befasst.
Was insbesondere KI-Algorithmen für Empfehlungen und die Moderation von Inhalten angeht, so hat die EU 2022 den Digital Services Act (DSA) verabschiedet, mit dem die Verbreitung gefährlicher Inhalte im Internet eingedämmt werden soll und der in Deutschland das bisherige Netzwerkdurchsetzungsgesetz überflüssig macht. Die Unternehmen müssen den Nutzern erklären, wie ihre Algorithmen funktionieren, und Alternativen anbieten. Allgemein wird das Gesetz ab Februar 2024 gelten, während die großen Online-Plattformen – darunter Google, Facebook, X (vormals Twitter) und TikTok – die Vorschriften bereits ab Ende August 2023 erfüllen müssen.
KI-Regulierung in den USA: »Anschein von Aktivität«
Im Gegensatz zur Europäischen Union gibt es in den Vereinigten Staaten von Amerika weder umfassende KI-bezogene Bundesgesetze noch bedeutende Datenschutzvorschriften. Im Oktober 2022 veröffentlichte das Office of Science and Technology Policy (OSTP) des Weißen Hauses mit der Blaupause für einen AI Bill of Rights den Entwurf eines künftigen KI-Bundesgesetzes in den USA. Dabei handelt es sich um ein Weißbuch, das mögliche KI-Regeln skizziert und fünf unverbindliche Grundsätze beschreibt, die den KI-Einsatz künftig leiten sollen. Der Entwurf besagt, dass automatisierte Systeme sicher und effektiv, nicht diskriminierend, die Privatsphäre der Menschen schützend und transparent sein sollten. Die Menschen sollten benachrichtigt werden, wenn ein KI-System automatisiert eine Entscheidung für oder über sie trifft, sie sollten über die Funktionsweise des Systems informiert werden und die Möglichkeit haben, sich dagegen zu entscheiden, oder darauf bestehen können, dass ein Mensch in den Prozess eingreift.
»Von der Grundidee her sind sich [die US-amerikanische Blaupause und die geplante KI-Verordnung der EU] sehr ähnlich in der Art, wie sie die Ziele der KI-Regulierung bestimmen: Beide sollen gewährleisten, dass die Systeme sicher und effektiv, nicht diskriminierend und transparent sind«, sagt Suresh Venkatasubramanian von der Brown University in Providence, Rhode Island. Der Informatiker hat den Entwurf mitverfasst, als er beim OSTP stellvertretender Leiter für Wissenschaft und Justiz war. Obwohl sich die Vorstellungen der USA über die Umsetzung von denen der EU im Detail etwas unterscheiden, würde er sagen, »dass sie in weitaus mehr Punkten übereinstimmen als voneinander abweichen«.
Es könne hilfreich sein, »wenn ein Land seine Vision skizziert«, meint Sarah Kreps, die das Tech Policy Institute an der Cornell University in Ithaca, New York leitet. Ihr zufolge klaffe aber zwischen der unverbindlichen Blaupause und dem praktisch wirksamen Gesetzestext der EU eine große Lücke.
In den Vereinigten Staaten kam es zu Anhörungen im Kongress und zu Treffen mit dem Präsidenten und der Vizepräsidentin zum Thema KI-Regulierung. Nach einer kleineren Gesprächsrunde im Mai trafen sich im Juli 2023 die Geschäftsführer sieben führender US-Unternehmen – von Amazon, Anthropic, Google, Inflection, Meta, Microsoft und OpenAI – mit Präsident Joe Biden und kündigten freiwillige Schutzmaßnahmen an. So versprachen sie etwa, ihre Produkte eingehend zu testen, Einschränkungen zu melden und Wasserzeichen zu erarbeiten, die dabei helfen könnten, mit KI erstelltes Material zu kennzeichnen. Die Versprechen sind jedoch vage gehalten und unverbindlich. In einer Senatsanhörung im selben Monat forderte Dario Amodei, der Leiter von Anthropic in San Francisco, Kalifornien und vormaliger Leiter der KI-Sicherheitsforschung bei OpenAI, eine US-Gesetzgebung, die Auditierung und Sicherheitstests für KI-Modelle vorschreibt. Amodei äußerte sich besorgt über mögliche Übeltäter, die KI-Systeme missbrauchen könnten.
»Wir haben es hier mit dem Anschein von Aktivität zu tun«, kommentiert Ryan Calo. Der geschäftsführende Leiter des von ihm mitbegründeten Tech Policy Lab der University of Washington in Seattle kann in den Versprechen der Konzerne »nichts Substanzielles und Verbindliches« ausmachen.
Im Oktober 2022 hat eine Verordnung über interne KI-Schulungen (»AI Training Act«) den Kongress passiert. Sie schreibt vor, dass Beamte von Bundesbehörden, die KI-Produkte und -Dienstleistungen beschaffen, darin zu schulen sind, wie KI funktioniert. Im Februar 2023 unterzeichnete Präsident Biden zudem eine »executive order« (zu Deutsch eine Durchführungsverordnung im Sinne eines unmittelbar wirksamen Dekrets), in der kurz erwähnt wird, dass »algorithmische Diskriminierung verhindert und behoben werden muss« – auch diese Verordnung gilt nur für Bundesbehörden.
Laut dem Mitverfasser des »Blueprint for an AI Bill of Rights« Venkatasubramanian ist die Blaupause detailliert genug, dass Behörden und Bundesstaaten damit beginnen, ihre Grundsätze in ihren Vorschlägen umzusetzen. So sieht etwa ein Gesetzentwurf der kalifornischen Staatsversammlung (genannt AB 331) vor, dass Entwickler automatischer Entscheidungshilfen den Zweck ihrer Programme beim Staat anmelden und erklären müssen, wie diese eingesetzt werden.
Offenlegen, wann Bundesbehörden KI-Programme einsetzen
Außerdem hat Venkatasubramanian das Weiße Haus aufgefordert, eine Durchführungsverordnung zu erlassen, die sich auf den Blueprint und auf einen freiwilligen Rahmen für das KI-Risikomanagement stützt, der ebenfalls vom US National Institute of Standards and Technology herausgegeben wurde. Blaupause und Rahmenwerk würden darauf abzielen, dass alle Bundesbehörden, die KI einsetzen, in der Praxis offenlegen, in welchen Fällen sie KI-Systeme verwenden, und dass sie ihre behördlichen Entscheidungen verständlich erklären.
Einige Bundesgesetze wurden bereits im Kongress vorgelegt. Die Gesetzgeber hatten zuvor einen Gesetzentwurf zur Rechenschaftspflicht bei Algorithmen in Erwägung gezogen, der von Unternehmen, die Automatisierungstechnik einsetzen, verlangt, dass sie etwa der Verbraucherschutzbehörde Federal Trade Commission (FTC) Folgenabschätzungen vorlegen. Dieser Gesetzesentwurf wurde jedoch nicht angenommen, und angesichts der derzeitigen politischen Spaltung des US-Kongresses ist unklar, ob dieser Entwurf oder andere Gesetzesentwürfe Akzeptanz finden würden.
Zusätzlich könnten bestehende Vorschriften, die von Bundesbehörden durchgesetzt werden, auf KI-bezogene Produkte ausgeweitet werden. Im April 2023 schlug das US-Gesundheitsministerium vor, seine Vorschriften für elektronische Gesundheitsakten zu aktualisieren, um Patienten Einblick in die Faktoren zu gewähren, die Vorhersagemodelle beeinflussen. 2022 stellte das unter Barack Obama gegründete, für Verbraucherschutz in Finanzanliegen zuständige Consumer Financial Protection Bureau (CFBP) klar, dass Unternehmen erklären müssen, warum sie jemandem einen Kredit verweigern, auch wenn die Entscheidung von einem Algorithmus getroffen wird.
Die Federal Trade Commission hat die Unternehmen auch daran erinnert, dass die Verbraucherschutzgesetze, die »unlautere oder irreführende Handlungen oder Praktiken im oder mit Bezug auf den Handel« verbieten, ebenfalls für KI gelten. Im Juli 2023 leitete die FTC eine Untersuchung der Datensicherheitspraxis von OpenAI ein und forderte das Unternehmen auf, Angaben zu allen Beschwerden zu machen, denen zufolge seine großen Sprachmodelle falsche oder schädliche Aussagen über Menschen getätigt haben.
Insgesamt sei die Situation gerade schwierig, sagt Venkatasubramanian. Gemeinsam mit seinen Kollegen vom OSTP versuche er derzeit herauszufinden, was mit den bestehenden Vorschriften in den USA möglich sei. In einigen Fällen könnten neue Bundesvorschriften sinnvoll sein, sagt er. So könnten diese ein bestimmtes Maß an Transparenz für automatisierte Systeme vorschreiben oder festlegen, wie die Voreingenommenheit eines Algorithmus zu begrenzen ist, bevor er eingesetzt werden darf.
»Auf staatlicher Ebene verheddern wir uns in einem Flickenteppich aus Regeln«Sarah Kreps, Leiterin des Tech Policy Institute der Cornell University in Ithaca, New York
Einige US-Bundesstaaten und -Städte haben bereits eigene KI-bezogene Vorschriften erlassen. In Illinois schreibt ein Gesetz aus dem Jahr 2020 vor, dass Unternehmen den Einsatz von KI zur Auswertung von Einstellungsgesprächen ankündigen und erläutern müssten. Zudem verfügt der Bundesstaat seit Langem über ein Gesetz, das es den Bürgern ermöglicht, gegen den Missbrauch biometrischer Daten, einschließlich Scans zur Gesichtserkennung, zu klagen. (Facebook zahlte 650 Millionen US-Dollar, um 2021 eine Sammelklage auf der Grundlage dieser Vorschrift beizulegen.) Andere Staaten haben den Strafverfolgungsbehörden die Verwendung von Gesichtserkennung verboten, und einige schützen personenbezogene Daten und beschränken automatisierte Entscheidungen, die auf diesen Daten basieren. »Auf staatlicher Ebene verheddern wir uns in einem Flickenteppich aus Regeln«, sagt Kreps.
Was generative KI betrifft, dominieren derzeit laut James Grimmelmann in den USA Rechtsstreitigkeiten über das Urheberrecht. Er leitet das Cornell Tech Research Lab in Applied Law and Technology in New York City. Die Bildagentur Getty Images hat die Firma Stability AI verklagt, weil diese ihre Software zur Bilderzeugung, Stable Diffusion, mit Getty-Inhalten trainiert hat. Und Microsoft und OpenAI wurden von anonym gehaltenen Prozessparteien verklagt, weil sie die Code-Schreibsoftware GitHub Copilot mit von Menschen geschriebenem Programmcode trainiert haben. Die Kläger wollten vordergründig nur Lizenzgebühren, aber es sei möglich, dass im Fall eines Sieges solcher Klagen das Urheberrecht als Ausgangspunkt diene, um umfassendere Gesetzgebung zu Themen wie Voreingenommenheit (»Bias«), Desinformation und Datenschutz voranzutreiben, so Grimmelmann.
Amerikaner erfinderischer als Europäer?
Einige Unternehmen hätten sich gegen den Blueprint des Office of Science and Technology Policy gewehrt und dabei argumentiert, die Branche könne Bedenken leicht durch freiwillige Selbstregulierung ausräumen, ergänzt Venkatasubramanian. Andere Unternehmen hätten ihm jedoch mitgeteilt, dass sie den Entwurf unterstützten, um eine Abwärtsspirale in der KI-Ethik zu verhindern, bei der sich die Firmen gegenseitig wegen Wettbewerbsvorteilen unterbieten würden. Als Sam Altman, Mitgründer und derzeitiger Geschäftsführer des ChatGPT-Anbieters OpenAI, im Mai 2023 vor dem Ausschuss des US-Senats auftrat, schlug er die Vergabe von Lizenzen für große Modelle vor. Er und andere haben jedoch auch das Risiko angesprochen, große Unternehmen könnten die Regulierungsbehörden zu Regeln verführen, die ihnen Vorteile gegenüber kleineren Firmen verschaffen.
Big Tech habe sich bisher nicht sonderlich gegen die Regulierung von KI wehren müssen, sagt Kreps. »Ich glaube nicht, dass es im Moment das Gefühl gibt, eine sinnvolle Gesetzgebung stünde am Horizont.«
»Ein gängiger Witz unter Juristen ist, dass die Amerikaner an der Technologiefront erfinderisch seien und die Europäer an der Regulierungsfront«, sagt Wang. »Manche Leute sagen, es sei kein Zufall, dass Europa bei der Regulierung von Big Tech so weit vorne liegt«, weil es in Europa weniger große Technologieunternehmen gebe und daher weniger Lobbyarbeit.
China: Die Gesellschaft im Griff behalten
China hat bisher die meisten KI-Gesetze erlassen – allerdings gelten diese für KI-Systeme, die von Unternehmen und nicht von der Regierung eingesetzt werden. Ein Gesetz aus dem Jahr 2021 verlangt Transparenz und Unvoreingenommenheit bei der Verwendung personenbezogener Daten für automatisierte Entscheidungen sowie die Möglichkeit, solche Entscheidungen abzulehnen. Ein Regelwerk der Cyberspace Administration of China (kurz CAC, Chinas Internetregulator) aus dem Jahr 2022 zu Empfehlungsalgorithmen besagt, dass diese keine Fake News verbreiten, Nutzer von Inhalten abhängig machen oder soziale Unruhen schüren dürften.
Im Januar 2023 begann die CAC mit der Durchsetzung der 2022 erlassenen Regeln zur Bekämpfung von Deepfakes und Kontrolle anderer mittels KI erstellter Inhalte (der Entwurf baut auf vorheriger Gesetzgebung auf und ergänzt die Gesetze mit Blick auf synthetische KI-erstellte Daten: »KI-generierte Inhalte müssen wahrheitsgetreu sein«). Anbieter von Diensten, die Bilder, Videos, Audios oder Texte synthetisieren, müssen demzufolge die Identität der Nutzer überprüfen, die Zustimmung der Deepfake-Zielpersonen einholen, die Ausgaben mit Wasserzeichen versehen sowie protokollieren und gegen maschinengenerierte Desinformationen vorgehen.
»Einerseits ist [China] sehr motiviert, soziale Kontrolle durchzusetzen. Andererseits gibt es ein echtes Bedürfnis, die Privatsphäre des Einzelnen zu schützen«Kendra Schaefer, Forschungsabteilung für Technologiepolitik bei Trivium China
Die chinesische Internetaufsicht beginnt im August 2023 mit der Durchsetzung weiterer Vorschriften, die sich gegen generative KI-Tools wie ChatGPT und DALL-E von OpenAI richten. Diese Vorschriften besagen unter Androhung schwer wiegender Sanktionen, dass Unternehmen die Verbreitung falscher, privater, diskriminierender oder gewalttätiger Inhalte oder von Inhalten, die die sozialistischen Werte Chinas untergraben, verhindern müssen.
»Einerseits ist [Chinas Regierung] sehr motiviert, soziale Kontrolle durchzusetzen. China ist eines der am stärksten zensierten Länder der Welt. Andererseits gibt es ein echtes Bedürfnis, die Privatsphäre der Einzelnen vor dem Eindringen von Unternehmen zu schützen«, erklärt Kendra Schaefer, Leiterin der Forschungsabteilung für Technologiepolitik bei Trivium China, einem in Peking ansässigen Beratungsunternehmen, das seine Kunden über die chinesische Politik informiert. Die CAC hat auf die Anfrage von »Nature« nach einer Stellungnahme zu diesem Artikel nicht reagiert.
Globale Unwägbarkeiten
Einige andere Länder haben eigene Ziele für die Regulierung von KI formuliert. Die kanadische Regierung hat mit dem Artificial Intelligence and Data Act ein Gesetz über künstliche Intelligenz und Daten eingeführt, das Transparenz, Nichtdiskriminierung und Sicherheitsmaßnahmen für so genannte hochwirksame (»high-impact«) KI-Systeme vorschreibt – was genau als hochwirksam gilt, muss noch definiert werden. Großbritannien, das im November 2023 einen Gipfel zum Thema KI-Sicherheit ausrichtet, veröffentlichte im März 2023 ein Weißbuch, in dem es einen »innovationsfreundlichen« Ansatz beschreibt und demzufolge keine neuen Vorschriften plant. Das KI-Gesetz der EU könnte sich jedoch auf Unternehmen weltweit auswirken, so wie die Datenschutz-Grundverordnung (DSGVO) die Arbeitsweise globaler Technologieunternehmen geprägt hat. Einige der chinesischen KI-Vorschriften könnten beeinflussen, wie Unternehmen weltweit operieren – obwohl Grimmelmann betont, Unternehmen könnten ihre KI-Dienste für verschiedene Märkte individuell anpassen, so dass es dann landesspezifische Versionen einzelner KI-Systeme geben könnte.
Zudem laufen Diskussionen über mögliche internationale Vereinbarungen. Der Council of Europe (eine Menschenrechtsorganisation, die sich vom Rat der Europäischen Union unterscheidet) entwirft einen Vertrag, der die Auswirkungen von KI auf die Menschenrechte ins Zentrum stellen würde, aber einzelne Länder könnten sich per Opt-out gegen einige der Regeln entscheiden. Der Generalsekretär der Vereinten Nationen, António Guterres, hat ebenfalls ein neues UN-Gremium zur Regelung der KI vorgeschlagen, das in seinen Augen möglicherweise notwendig wird.
KI-Unternehmen haben im Allgemeinen angedeutet, dass zwischenstaatliche Abkommen notwendig sein werden, bleiben jedoch unkonkret, was vereinbart werden müsste und wie es durchgesetzt werden könnte. Im Juli 2023 schlugen etwa das in London ansässige Unternehmen Google DeepMind und einige seiner akademischen Mitarbeiter eine globale Advanced AI Governance Organization vor, die Standards festlegen und deren Einhaltung überwachen könnte, wobei das Unternehmen nur wenige Angaben zur konkreten Durchsetzungsfähigkeit machte.
Eine Sprecherin von DeepMind sagte, es obliege in den Fällen, in denen die vorgeschlagene Organisation Richtlinien für die nationale Verwaltung festlegt, den Regierungen, für die Entwickler zur Einhaltung der Standards »Anreize zu schaffen«. Sie wies darauf hin, dass sich die Regulierung beim Erstellen neuer Richtlinien auf Anwendungen von KI konzentrieren sollte, die physischen Schaden verursachen könnten, wie etwa im medizinischen Bereich oder im Energienetz, und nicht wahllos auf alle Systeme angewendet werden sollte. Microsoft hat erklärt, dass es verschiedene Bemühungen zur Entwicklung internationaler freiwilliger Rahmenwerke unterstütze. Ein Konzernsprecher argumentierte, »Leitplanken auf Prinzipienebene« seien hilfreich, auch wenn sie nicht verbindlich sind. OpenAI lehnte es ab, sich gegenüber »Nature« zur Regulierung zu äußern, und verwies stattdessen auf Blogbeiträge über seine freiwilligen Bemühungen (etwa die Beiträge »Moving AI governance forward« und »Frontier Model Forum«.
Weltweite KI-Standards: Schwer durchsetzbar?
Ein im März 2023 von führenden Vertretern der Technologiebranche unterzeichnetes Schreiben, in dem eine sechsmonatige Pause bei der Entwicklung leistungsstarker KI gefordert wurde, scheint jedoch wenig Wirkung gezeitigt zu haben. Luke Muehlhauser, ein leitender Programmbeauftragter bei der Forschungsstiftung Open Philanthropy in San Francisco, hat weitere Ideen vorgestellt, darunter auch Lizenzen für große KI-Modelle, ferngesteuerte Ausschalter (»Kill Switches«) in großen Computerclustern, die – wie der Name andeutet – im Notfall ein System herunterfahren könnten, und ein Meldesystem für Schäden sowie Beinaheunfälle. Die gemeinnützige Stiftung finanziert den Aufbau einer Datenbank für KI-Vorfälle, die AI Incident Database.
Der Einsatz von KI zur Steuerung von Waffen ist ebenfalls ein Problem. Dutzende Länder haben die UNO aufgefordert, tödliche autonome Waffensysteme zu regulieren. Militärische KI ist auch in der europäischen KI-Verordnung nicht erfasst und davon ausdrücklich ausgenommen. Allerdings versperren sich die Vereinigten Staaten bislang noch einer gemeinsamen Regulierung autonomer Waffensysteme mit KI. Vor einem UN-Treffen zu diesem Thema im März 2023 argumentierten die Vertreter der USA, dass sich die Staaten noch nicht darüber einig seien, was als autonome Waffe gelte, und dass es vorerst besser wäre, Richtlinien zu haben, die rechtlich nicht bindend seien.
Das ist ein weiteres Beispiel dafür, dass eine weltweite, länderübergreifende Koordinierung der KI-Regulierung unwahrscheinlich ist. Die verschiedenen Gesellschaften in den einzelnen Staaten haben teils sehr unterschiedliche Vorstellungen davon, was zu tun ist.
Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.