Wir haben mit dem Südtiroler Rechtsanwalt und Experten Christian Notdurfter über die Bedeutung des AI-Acts und über Chancen und Risiken des Gesetzes gesprochen.<BR /><BR />Die oft als schwerfällig und langsam verschriene Europäische Union hat vor wenigen Tagen mit dem „Artificial Intelligence Act“ ein global beachtetes Gesetz zum Thema Künstliche Intelligenz verabschiedet und damit den weltweit ersten einheitlichen Rechtsrahmen für KI-Systeme geschaffen. Der Südtiroler Experte Christian Notdurfter spricht in einem Interview über die Bedeutung des AI-Acts und über Chancen und Risiken des Gesetzes.<BR /><BR /><BR /><b>Warum ist der europäische AI-Act so wichtig?</b><BR /><BR />Christian Notdurfter: Der AI-Act schafft den weltweit ersten einheitlichen Rechtsrahmen für KI-Systeme im privaten und öffentlichen Bereich. Er soll den Menschen und die europäischen Werte in den Mittelpunkt stellen und versucht, eine Balance zwischen den Chancen und Risken von KI herzustellen und Vertrauen in die Technologie zu schaffen. Zudem soll eine Zersplitterung durch unterschiedliche nationale Regelungen vermieden werden. Herausgekommen ist eine sehr ambitionierte und umfangreiche Verordnung.<BR /><BR /><BR /><b>Europa spielt bei KI derzeit eine vergleichsweise kleine Rolle. Warum ist die EU dann der erste Gesetzgeber weltweit, der den gesamten Bereich umfassend regelt?</b><BR /><BR />Notdurfter: Das hat mit dem Ansatz der EU zu tun. Anu Bredford, Professorin an der Columbia University, bezeichnet ihn als rechteorientierten Ansatz. Dem stehen der marktorientierte Ansatz der USA und der staatsorientierte Ansatz Chinas gegenüber. Den Europäern gehe es darum, Grundrechte zu wahren, demokratische Strukturen zu erhalten und eine gerechte Verteilung der Vorteile der digitalen Wirtschaft sicherzustellen. Dabei nutzt die EU Größe und Attraktivität des europäischen Marktes, um global Standards zu setzen, was als Brüssel-Effekt bekannt ist. Denn auch für den AI-Act gilt: Wer auf den europäischen Markt will, muss den AI-Act beachten, egal ob man sich außerhalb der EU befindet.<BR /><BR /><embed id="dtext86-63952505_quote" /><BR /><BR /><BR /><b>Der AI-Act verfolgt einen risikobasierten Ansatz. Was heißt das konkret?</b><BR /><BR />Notdurfter: Es gibt verschiedene Risikostufen. Je risikoreicher KI-Systeme für öffentliche Interessen und Grundrechte sind, desto strenger sind die Anforderungen. Anwendungen mit geringem Risiko, wie Spamfilter, unterliegen nicht dem AI-Act. Für KI-Systeme mit mittlerem Risiko, wie Chatbots, gelten besondere Transparenzpflichten. Hier muss für uns Menschen z.B. jederzeit klar sein, dass wir mit einer Maschine und nicht mit einem anderen Menschen kommunizieren. Wesentlich strenger sind die Regeln für KI-Systeme, die ein hohes Risiko für Gesundheit, Sicherheit und Grundrechte darstellen.<BR /><BR /><BR /><b>Welche Systeme sind das?</b><BR /><BR />Notdurfter: Zu den Hochrisiko-KI-Systemen gehören jene, die z.B. bei der Personalauswahl, im Beschäftigungs- oder Bildungsbereich, in der Grenzverwaltung oder in der Justiz eingesetzt werden. Solche Systeme müssen vor ihrer Markteinführung und während ihrer gesamten Lebensdauer strengen Anforderungen genügen. Verboten sind hingegen bestimmte Praktiken, die mit inakzeptablen Risiken verbunden sind. Dazu zählen Systeme zur Erfassung und Bewertung des Sozialverhaltens wie in China, die biometrische Echtzeit-Identifizierung im öffentlichen Raum, zum Beispiel durch Überwachungskameras, oder die Emotionserkennung am Arbeitsplatz. Schließlich gibt es noch besondere Regelungen für sog. „General Purpose AI“ (GPAI), insbesondere für solche mit „systemischen Risiken“. Vor allem auf Drängen von Mitgliedstaaten wie Frankreich sind jedoch auch für verbotene Praktiken Ausnahmen vorgesehen, die teilweise – nicht ganz zu Unrecht – kritisch gesehen werden.<BR /><BR /><BR /><b>Inwiefern?</b><BR /><BR />Notdurfter: Ein Beispiel ist die bereits angesprochene biometrische Echtzeit-Überwachung im öffentlichen Raum. Sie ist nach dem AI-Act eigentlich verboten. Die Mitgliedstaaten haben aber einen Spielraum, sie in bestimmten Fällen zuzulassen, etwa im Zusammenhang mit Terroranschlägen und anderen schweren Straftaten. Der AI-Act setzt hier lediglich Mindeststandards, die vielen nicht weit genug gehen. Denn Mitgliedstaaten können etwa bestimmen, dass nicht ein Gericht, sondern auch eine „unabhängige Verwaltungsbehörde“ eine solche Überwachung im Einzelfall genehmigen kann; die Mitgliedstaaten können dabei auch die Voraussetzungen und die Kontrolle derselben im Detail regeln. Insofern besteht ein Risiko, dass die Schutzmaßnahmen faktisch ausgehöhlt und diese heikle, weil auch fehleranfällige Form der Überwachung missbraucht wird.<BR /><BR /><div class="img-embed"><embed id="1009127_image" /></div> <BR /><BR /><BR /><b>Was bringt es, wenn die EU Künstliche Intelligenz regelt, China, Russland u. a. aber nicht – z. B. bei Deepfakes. Internet ist global per Definition.</b><BR /><BR />Notdurfter: Da haben Sie wohl Recht. Vom AI-Act sind zwar auch ausländische Personen und Organisationen betroffen, die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen. Noch allgemeiner gilt der AI-Act für jeden Output von KI-Systemen, der in der EU verwendet wird, unabhängig davon, wo er erzeugt wurde. Da es aber, und das ist gut so, keine lückenlose Überwachung des Internetverkehrs gibt, können schädliche Deepfakes, die auch datenschutz-, urheber- oder strafrechtlich relevant sein können, tatsächlich unbemerkt in die EU gelangen und dort verbreitet werden. Sobald sie aber etwa in sozialen Netzwerken sichtbar werden, kann zumindest dort dagegen vorgegangen werden. Aber es stimmt, auch mit dem AI-Act bleiben KI und Deepfakes eine große Herausforderung.<BR /><BR /><BR /><b>KI entwickelt sich rasant. Wie kann der AI-Act alle Entwicklungen vorhersehen und regulieren?</b><BR /><BR />Notdurfter: Das kann und muss der AI-Act auch nicht – denn auch von Gesetzen kann man nicht Unmögliches verlangen. Der AI-Act ist eine Mischung aus klaren Bestimmungen und strategischer Unbestimmtheit sowie weiteren flexiblen Instrumenten. Die Kommission ist beispielsweise verpflichtet, Leitlinien zur Umsetzung des AI-Acts zu entwickeln, die insbesondere die Bedürfnisse von kleinen und mittleren Unternehmen (KMU) – einschließlich Start-ups – und lokalen Behörden berücksichtigen, und bei Bedarf relativ schnell angepasst werden können. Natürlich kann es früher oder später aber auch notwendig werden, den AI-Act selbst – wie jedes andere Gesetz auch – zu aktualisieren.<BR /><BR /><BR /><b>Die mangelnde digitale Wettbewerbsfähigkeit der EU wird oft mit europäischen Regulierungen wie der Datenschutz- Grundverordnung (DSGVO) in Verbindung gebracht. Wird der AI-Act die Innovation in Europa nicht weiter bremsen?</b><BR /><BR />Notdurfter: Auch vor der DSGVO waren wir in Europa nicht führend in der Entwicklung neuer Technologien. Oft wird betont, dass nicht der europäische Ansatz zur Regulierung das Hauptproblem sei. Vielmehr lägen die Schwierigkeiten in der nationalen Fragmentierung des digitalen Binnenmarkts, in unterentwickelten Kapitalmärkten, in mangelnder Risikobereitschaft und Fehlerkultur, sowie dem Fehlen einer proaktiven Einwanderungspolitik, die es der EU ermöglichen würde, ausländische Talente anzuziehen. Davon abgesehen gibt es selbst in den USA Stimmen, die angesichts der Risiken durch KI eine ähnliche umfassende Regulierung fordern.<BR /><BR /><BR /><b>Wie lautet Ihr Fazit zum AI-Act?</b><BR /><BR />Notdurfter: Ich bin vorsichtig optimistisch. Der AI-Act muss erst noch schrittweise bis 2026 in Kraft treten und sich in der Praxis bewähren. Entscheidend wird sein, wie der AI-Act konkret umgesetzt und durchgesetzt wird, auch auf nationaler Ebene.<BR />