WirtschaftsWoche: Herr Splittgerber, das Europaparlament hat Mitte Juni einen ersten Entwurf für die Regulierung von Künstlicher Intelligenz (KI) in Europa vorgelegt, den sogenannten AI Act der EU. Welche rechtlichen Folgen hat das Vorhaben in der jetzigen Ausprägung für die hiesige KI-Branche?
Andreas Splittgerber: Die Auswirkungen sind erheblich. Wenn das Gesetzesvorhaben so verabschiedet wird, wie es derzeit geplant ist, wird sich sowohl für Hersteller von Systemen als auch für Nutzer von KI die Landschaft sehr stark verändern. Dann kommen auf Softwareentwickler in technischer Hinsicht Pflichten zu, vor allem auch Dokumentationspflichten, Monitoringpflichten sowie Registrierungspflichten. Die Vorgaben gehen sogar bis hin ins Vertragsrecht, etwa dass bestimmte unfaire Klauseln in Lizenzverträge nicht erlaubt sein sollen. Die Unternehmen müssen mit massiven Aufwänden rechnen und diese Pflichten sehr penibel umsetzen. Es gibt ein paar kleinere Ausnahmen für kleinere und mittlere Unternehmen wie etwa Start-ups oder Kleinbetriebe.
Können Sie vielleicht ein bisschen konkreter beschreiben, was genau alles auf die Unternehmen zukommt?
Zum einen gelten neben dem AI Act weiterhin die Datenschutzgrundverordnung, das Urheberrecht und das Geschäftsgeheimnisgesetz – die darf man als Unternehmen nicht aus dem Auge verlieren. Zusätzlich behandelt der AI Act vier Kategorien von Systemen: Einmal die unakzeptablen KIs: Das sind Systeme, die Personen manipulieren oder die beispielsweise auf Basis von biometrischen Merkmalen bestimmte Entscheidungen treffen – solche KIs sind verboten. Der größte Bereich sind die sogenannten Hochrisikosysteme. Das sind KIs, die die Sicherheit oder die Menschenrechte stark beeinflussen und die möglicherweise einen sehr starken Schaden bei Gesundheit, Sicherheit oder der Umwelt hervorrufen können.
Um was für KIs handelt es sich dabei?
Das sind zum Beispiel automatisierte Bewertung von Tests oder Systeme zum Betrieb von kritischer Infrastruktur. Für solche Systeme gibt es diverse besondere Anforderungen, zum Beispiel muss an einer Stelle immer auch eine menschliche Entscheidung möglich sein, die Trainingsdaten der KI müssen sauber sein und es muss technisch eindeutig dokumentiert werden, wie das System funktioniert. Zudem muss ein Monitoring des Systems stattfinden, um kontinuierlich zu überwachen, was genau die Maschine macht. Und schließlich müssen solche Systeme in einer EU-Datenbank registriert werden – mit vielen Details, damit diese Pflichten auch kontrolliert werden können.
Zur Person
Andreas Splittgerber ist Partner im Münchener Büro von Reed Smith und Mitglied der Tech & Data Group. Er ist spezialisiert auf die Beratungsfelder IT-Recht, Vertragsrecht, Datenschutz, Internet- und Social-Media-Recht.
Fallen darunter auch Sprachbots wie ChatGPT?
Nein, die gehören in die dritte Kategorie mit begrenztem Risiko. Das sind jene KIs, mit denen wir als Endnutzer heutzutage am meisten Umgang haben, eben ChatGPT oder allgemein generative KI. Und schließlich gibt es Systeme mit minimalem Risiko wie beispielsweise Spamfilter oder Videospiele. Auch für generative Systeme gibt es abgestuft viele Pflichten, beispielsweise hinsichtlich Transparenz, also dass Nutzern auch bewusst gemacht werden muss, wenn sie eine KI nutzen. Auch solche Systeme müssen registriert werden, inklusive detaillierten Informationen über die Herkunft der verwendeten Trainingsdaten.
Lesen Sie auch: Wer baut Deutschlands ChatGPT?
Laut einer kürzlich veröffentlichten Stanford-Studie scheitern derzeit alle Sprach-KIs an der geplanten EU-Regulierung. Welche Rückschlüsse ziehen Sie daraus?
Dies zeigt zum einen die Notwendigkeit, dass KI mehr reguliert und kontrolliert wird. Zum Beispiel gilt das Urheberrecht ja schon lange. Sprach KIs hätten daher von Anfang an wissen und beachten müssen, dass nicht alles, was im Internet technisch verfügbar ist, auch als Trainingsdaten genutzt werden darf. Viele Unternehmen haben aber am Anfang erst einmal den technologischen Fortschritt vor Augen und nicht die rechtliche Compliance. Es erinnert etwas an die Zeit, als Musiktauschbörsen wie Napster populär wurden und argumentiert wurde, „was technisch geht, ist erlaubt“. Zum anderen zeigt die Studie, dass die Regelungen im AI Act vielleicht etwas überzogen sind und ausländische Unternehmen aus diesen Gründen vielleicht den EU-Markt meiden werden.
Apropos: Aktuell ist der neue Twitter-Konkurrent Threads der Facebook-Mutter Meta weltweit verfügbar – nur in Europa nicht, angeblich aufgrund des Digital Markets Acts der EU. Sind ähnliche Dinge in Zukunft wegen des AI Acts zu erwarten, etwa dass KI-Anbieter aus den USA oder China gar nicht mehr in Europa antreten, weil sich der hiesigen Regulierung nicht unterwerfen wollen?
Ja, die Gefahr sehe ich. Mir haben schon diverse Unternehmen berichtet, dass sie sich dann erst einmal fern von Europa halten wollen. Wir sehen zwar auch KI-Gesetze in China und in den USA, die aber nicht so streng sind. Ich finde zwar die grundsätzliche Idee, dass KI gefährlich sein kann und man diese Gefahr in den Griff bekommen muss, sehr wichtig und richtig. Man muss vor allem Menschen schützen, damit sie Vertrauen in KI haben und nicht in wichtigen Situationen den Entscheidungen von Maschinen unterworfen werden. Aber gerade in den letzten Entwurf des AI Acts sind viele spezielle Regeln zu generativer KI hineingekommen. Hier habe ich die Sorge, dass die EU überreguliert und immer einen Schritt langsamer ist als die Praxis.
Ist denn KI-Regulierung nicht auch ein indirekter Beweis dafür, dass die EU einmal mehr eher auf die Risiken einer neuen Technologie achtet statt auf ihr mögliches Potenzial?
Ja, das ist leider hier auch so – auch wenn das in der Pressemitteilung zum AI Act anders klingt. Dort heißt es, die EU solle zu einem KI-Zentrum werden. Aber dass Europa durch diese Regulierung wirklich zum Zentrum für künstliche Intelligenz wird, bezweifle ich.
Zudem stellt sich die Frage, inwiefern Regulierung europäischen Startups dabei helfen kann, auf die Konkurrenz aus den Vereinigten Staaten und China aufzuschließen?
Den Rückstand auf die nichteuropäische Konkurrenz aufholen? Dies kann das Gesetz nicht leisten oder unterstützen, fürchte ich. Wenn wir Glück haben und aus dem aktuellen Entwurf noch einige Detailregelungen herausfallen, könnte es ein solider Rechtsrahmen sein, der sich dann vielleicht global bewährt. Dann hätten europäische Unternehmen immerhin den Vorteil, dass sie sich damit auskennen und ihre Systeme entsprechend angepasst sind. Bei der Datenschutzgrundverordnung (DSGVO) der EU haben wir das auch gesehen. Ich muss ehrlich sagen: Ich hätte nicht erwartet, dass die DSGVO so ein Exportschlager wird. Da sehen wir mittlerweile eindeutig, dass europäische Unternehmen einen großen Vorteil haben gegenüber nichteuropäischen Firmen.
Welche bislang gängigen Praktiken werden für Unternehmen wie für Privatpersonen künftig entfallen?
Wir stehen ja noch sehr noch am Anfang der Nutzung von KI. Größere Veränderungen könnte es im Bereich des Trainings und der Datensammlung geben. Wie erwähnt gelten hier auch noch das Datenschutz- und Urheberrecht. Viele Unternehmen können heute nicht durchgängig nachweisen, ob die verwendeten Trainingsdaten rechtskonform eingesetzt wurden. Durch die neuen Transparenzpflichten werden rechtliche Mängel sicht- und verfolgbar. Es könnte daher sein, dass Anbieter bestimmte Praktiken beim Sammeln und Speichern von Daten künftig mehr umsetzen können.
Mit welchen Strafen müssen Unternehmen rechnen, die nach Inkrafttreten gegen den AI Act verstoßen?
Bei den Strafen gibt es einen ähnlichen Ansatz wie bei der DSGVO – aber die möglichen Bußgelder sind sogar noch höher: Maximal 30 Millionen Euro oder sechs Prozent des Jahresumsatzes bei der KI-Regulierung; im Datenschutz ist die Obergrenze 20 Millionen Euro oder vier Prozent.
Lesen Sie auch: KI & Co.: Das sind Deutschlands bestfinanzierte KI-Start-ups
