Brauchen wir einen Rechtsrahmen für sichere KI?

Inzwischen ist klar, dass künstliche Intelligenz (KI) in den nächsten Jahren eine große Rolle spielen wird. Dementsprechend bemühen sich viele Gruppen — und auch Nationen — darum, KI zu dominieren, bzw. maßgeblich mitzugestalten. Dazu gehören auch Ansätze für einen einheitlichen Rechtsrahmen. Damit sind wir beim Thema Compliance, ein für das Systems Engineering wichtiges Thema.

Im Folgenden geht es um zwei Fragen: Brauchen wir überhaupt einen Rechtsrahmen, und wenn ja, wie sollte der aussehen? Zumindest Elon Musk hat dazu schon vor fünf Jahren klar Stellung bezogen.

Ist KI gefährlich?

Für Dinge, die gefährlich sind, sollte es einen Rechtsrahmen geben. Wie gefährlich ist nun KI?

Unregulierte KI könnte das „größte Risiko für unsere Zivilisation“ sein

Elon Musk, NGA 2017

Schon 2017 begründete Elon Musk die Notwendigkeit, einen Rechtsrahmen für KI zu schaffen, folgendermaßen: Ein Problem in der Wirtschaft ist, dass einem der Wettbewerb immer im Nacken sitzt. Ohne eine rechtliche Vorgabe ist eine Berücksichtigung der Sicherheit oft ein Nachteil im Wettbewerb. Durch entsprechende Regulierung müssen sich alle Wettbewerber an die Regeln halten.

Doch ist KI überhaupt gefährlich? Das erscheint im Moment nicht der Fall zu sein. Doch in dem Moment, in dem die Gefährlichkeit erkennbar ist, könnte es schon zu spät sein. Denn einen Rechtsrahmen zu implementieren, insbesondere einen globalen, dauert Jahre. Das wird schön in diesem Tweet ausgedrückt:

Mit anderen Worten: Wir wissen zwar nicht, ob wir einen Rechtsrahmen brauchen. Aber aus den selben Gründen, für die wir eine Versicherung abschließen, sollten wir auch einen KI-Rechtsrahmen aufsetzen.

Mit einem Rechtsrahmen zur Weltherrschaft

Ein Rechtsrahmen, sollte dieser ausreichende Akzeptanz erreichen, stellt auch Macht für den kontrollierenden Wirtschaftsblock dar. Gerade für uns sehr sichtbar sind die Bemühungen der EU, hier Klarheit zu schaffen. Unter dem Namen Artificial Intelligence Act (AIA) arbeitet die EU an einem entsprechenden Entwurf. AIA ist nur ein Teil eines KI-Pakets, das die Sicherheit und Grundrechte von Menschen und Unternehmen gewährleisten soll. Je nach Risikoklassifizierung muss ein System bestimmte Sicherheitsanforderungen erfüllen.

Auch China bemüht sich, einen Rechtsrahmen für KI zu schaffen. Doch im Gegensatz zur EU liegt hier der Fokus auf Datenschutz, nicht auf Sicherheit. China versucht, sich als führende Nation bezüglich KI zu positionieren. Daher geht es beim Rechtsrahmen primär um rechtliche Klarheit der kommerziellen Nutzung.

Das Thema Datenschutz wird in der EU vergleichsweise wenig im Kontext von KI angesprochen. Das ist sicher auf den Erfolg der DSGVO zurückzuführen, über die der Datenschutz bereits über einen sauberen (wenn auch recht bürokratischen) Rechtsrahmen verfügt.

Auch in den USA wird an dem Thema gearbeitet, wenn auch noch lange nicht so sichtbar wie in der EU oder China. Interessant ist eher, dass die USA eng mit der EU daran arbeitet, einen gemeinsamen Rechtsgrundlage zu schaffen.

Wie sollte ein Rechtsrahmen aussehen?

Es sollte nicht überraschen, dass sowohl die Ideen aus China und aus der EU aus verschiedenen Gründen auf Skepsis treffen. Zum Beispiel kritisieren Menschenrechtsorganisationen, dass der Rechtsrahmen schwammige Formulierungen und Schlupflöcher enthält. Andere Gruppen sorgen sich bezüglich unzumutbarer Auflagen.

Doch viel besorgniserregend ist die Kritik von Wired, ob die EU überhaupt versteht, was KI eigentlich ist. Denn wenn ein Rechtsrahmen auf falschen Annahmen aufsetzt, dann ist er wertlos. Laut EU ist eine KI eine mit bestimmten Techniken entwickelte Software, die zu von Menschen gestellten Zielen führt. Doch schon in dieser weit gefassten Version fehlt ein Bezug zur klaren menschliche Verantwortlichkeit dieser Ergebnisse. Aktuell versuchen mehrere EU-Staaten, diese Definition noch weiter aufzuweichen, indem sie nur selbstlernende KI-System berücksichtigen. Das öffnet Tür und Tor, ein System als KI- oder Nicht-KI-System zu klassifizieren, je nachdem, was gerade bequemer ist.

Damit ist auch klar, wo ein Rechtsrahmen eigentlich ansetzen sollte: Bei der Sicherheit von Systemen für Menschen. Dementsprechend stellt sich die Frage, wie sinnvoll ein eigenständiger Rechtsrahmen ist. Denn für jedes KI-System benötigen wir ja eine Domäne für die Anwendung. Bezüglich funktionaler Sicherheit haben wir die ISO 26262 (Automotive) oder IEC 61511 (Industrielle Prozesse), die aber alle auf der IEC 61508 basieren. Sicherlich macht es Sinn für die verschiedenen KI-Technologien generische, risikobasierte Vorgaben zu machen, die dann im Kontext einer Domäne konkretisiert werden müssen. Aber das passt nicht in das Gesamtbild, welches der Hype um KI suggeriert.

Image by Garik Barseghyan from Pixabay