Themen der Künstlichen Intelligenz (KI), wie «Generative KI», «KI-unterstützte Softwareentwicklung» und «AI-TRiSM» (KI Vertrauen-, Risiko- und Sicherheitsmanagement» befinden sich gemäss dem Gartner Hype-Zyklus auf dem «Peak». Auf die überzogenen Erwartungen werden Ernüchterungen und dann ein Übergang zur Normalität folgen. Oder wie das vom amerikanischen Wissenschaftler Roy Amara geprägte «Amara Gesetz» besagt: „Wir neigen dazu, die kurzfristige Wirkung einer Technologie zu überschätzen und die langfristige Wirkung zu unterschätzen.“
Schweiz: Die Regulierung macht nicht jeden technologischen Hype mit
Die Schweiz behält bei technologischen Entwicklungen gesetzgeberisch in der Regel einen «kühlen Kopf» . Sie besinnt sich auf die geltenden Rechtsprinzipien und ist bestrebt, diese sinngemäss auf neue Trends und Themen anzupassen. Rechtsgrundsätze sollen – wenn möglich – technologieneutral bleiben. So hat die Schweiz bewusst auf den Erlass spezifischer technologiebezogener Gesetze verzichtet, z.B. auf ein «Internet-Recht» oder ein spezielles Gesetz für «E-Commerce. Auch für «Blockchain» hat die Schweiz «nur» eine punktuelle «DLT-Rahmengesetzgebung» erlassen und nicht ein umfassendes neues «Token-Gesetz».
EU: Besser vorsorglich regulieren? – Na klar, auch bei «KI»!
Die EU neigt dazu, neu aufkommenden Themen vorsorglich zu regulieren. So hat sie jeweils recht früh gesetzgeberische Prozesse gestartet und einige technologie- bzw. themenspezifischen Direktiven erlassen, z.B. «E-commerce Direktive», eine umfassende Datenschutz-Grundverordnung (DSGVO), die «MICA-« Regulierung für Blockchainanwendungen und nun auch das neuen «KI-Gesetz. Das EU-Parlament hat das KI- Gesetz im März 2024 verabschiedet. Es unterliegt noch einer abschließenden Prüfung durch Juristen und Sprachwissenschaftler und wird voraussichtlich noch vor Ende der Legislaturperiode (Juli 2024) endgültig verabschiedet (im Rahmen des so genannten Korrigendumverfahrens). Das Gesetz muss auch vom Rat noch förmlich gebilligt werden.
Das KI-Gesetz tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt in Kraft und wird zwei Jahre später uneingeschränkt anwendbar sein, mit einigen Ausnahmen: Verbote treten nach sechs Monaten in Kraft, die Governance-Regeln und die Verpflichtungen für allgemeine KI-Modelle gelten nach 12 Monaten und die Regeln für KI-Systeme – eingebettet in regulierte Produkte – gelten nach 36 Monaten.
Mit dem neuen KI-Gesetz hat der «KI-Hype» nun in der EU auch seinen regulatorischen «Peak» erreicht. Das wirkt es sich auch auf schweizerische Unternehmungen aus.
Kernelement des KI-Gesetzes ist ein risikobasierter Ansatz mit verschiedenen Risikokategorien. Je höher das Risiko eines KI-Systems für die Gesundheit, die Sicherheit oder die Grundrechte von Personen sind, desto strenger sind die regulatorischen Anforderungen. Was auf den ersten Blick gut gemeint ist, entpuppt sich bei näherer Betrachtung als sehr komplex. Es besteht hier – ähnlich wie bei der Datenschutz-Grundverordnung der EU- die Gefahr, das ein neues Regulierungsmonster entsteht, das bei Nichtbefolgung erst noch mit saftigen Bussen von bis zu 7 Prozent des Umsatzes bedroht ist. Da das Gesetz auch extraterritoriale Wirkung hat, kann es somit auch für Schweizer Unternehmungen weitreichende Folgen haben.
Das KI-Gesetz stuft KI nach ihrem Risiko ein:
- Unannehmbare Risiken sind verboten (z. B. soziale Bewertungssysteme und manipulative KI).
- Der größte Teil des Textes befasst sich mit KI-Systemen mit hohem Risiko, die reguliert sind.
- Ein kleinerer Teil befasst sich mit KI-Systemen mit begrenztem Risiko, für die geringere Transparenzpflichten gelten: Entwickler und Betreiber müssen sicherstellen, dass die Endnutzer wissen, dass sie mit KI interagieren (Chatbots und Deepfakes).
- Das geringste Risiko ist unreguliert (einschließlich der meisten KI-Anwendungen, die derzeit auf dem EU-Binnenmarkt erhältlich sind, wie z. B. KI-gestützte Videospiele und Spam-Filter – zumindest im Jahr 2021; dies ändert sich mit der generativen KI).
Die meisten Verpflichtungen treffen die Anbieter (Entwickler) von risikoreichen KI-Systemen.
- Diejenigen, die beabsichtigen, hochriskante KI-Systeme in der EU in Verkehr zu bringen oder in Betrieb zu nehmen, unabhängig davon, ob sie in der EU oder in einem Drittland ansässig sind.
- Und auch Anbieter aus Drittländern, bei denen der Output des Hochrisiko-KI-Systems in der EU verwendet wird.
Nutzer sind natürliche oder juristische Personen, die ein KI-System beruflich einsetzen, nicht aber betroffene Endnutzer.
- Die Nutzer (Anwender) von KI-Systemen mit hohem Risiko haben einige Verpflichtungen, wenn auch weniger als die Anbieter (Entwickler).
- Dies gilt für Nutzer in der EU und für Nutzer in Drittländern, wenn der Output des KI-Systems in der EU verwendet wird.
Allzweck-KI (GPAI):
- Alle Anbieter von GPAI-Modellen müssen technische Unterlagen und Gebrauchsanweisungen bereitstellen, die Urheberrechtsrichtlinie einhalten und eine Zusammenfassung der für die Ausbildung verwendeten Inhalte veröffentlichen.
- Anbieter von GPAI-Modellen mit freien und offenen Lizenzen müssen lediglich das Urheberrecht einhalten und die Zusammenfassung der Ausbildungsdaten veröffentlichen, es sei denn, sie stellen ein systemisches Risiko dar.
- Alle Anbieter von GPAI-Modellen, die ein systemisches Risiko darstellen – ob offen oder geschlossen -, müssen auch Modellbewertungen und Gegentests durchführen, schwerwiegende Vorfälle verfolgen und melden und Cybersicherheitsschutzmaßnahmen gewährleisten.
Die Beratungsbranche inkl. der «Compliance-Industrie» wittern nun ihre Chancen, um den Unternehmungen bei den geforderten «Risikominderungssystemen», Protokollierungs- und Dokumentationspflichten zu helfen.
Eines der Probleme dieser Gesetzgebung ist, dass sie die EU KI-Systeme sehr breit definiert und damit den Geltungsbereich des Gesetzes weit ausdehnt. Viele Unternehmungen, die heute bereits KI-Anwendungen in verschiedenen Abteilungen benützen, werden sich zunächst einmal einen Überblick verschaffen und ein Inventar erstellen müssen.
Auch wenn die EU-Regulierung das Thema «KI» in einem Zeitpunkt reguliert, in welchem die Entwicklung noch im vollen Gang ist und deshalb grosse Risiken für eine mindestens teilweise Fehlregulierung besteht, wird sie dennoch von Bedeutung sein und entsprechende «Compliance»-Massnahmen erfordern. Nicht nur in der EU, sondern aufgrund ihrer Aussenwirkung auch in der Schweiz.
Fazit
Die Unternehmungen, auch in der Schweiz, werden gut daran tun, sich mit der KI-Thematik sowie dem KI-Gesetz der EU zu befassen und proaktiv sicherzustellen, dass ihre KI-Systeme gesetzeskonform und zuverlässig sind sowie die entsprechenden Datenschutzrichtlinien einhalten. KI-Modelle und Anwendungen müssen dann gepflegt und kontrolliert werden. Denn Unternehmen, die ihre KI-Risiken nicht kennen oder nicht konsequent managen, werden exponentiell anfällig sein für negative Folgen, wie Verstösse, Sicherheitsmängel, Reputationsschäden und unternehmerische Fehlentscheide. Und letztlich können auch saftige Geldstrafen drohen.
Richtigerweise hält sich die Schweiz aber mit gesetzgeberischen «Schnellschüssen» zurück, beobachtet und analysiert die Risiken und prüft den gesetzgeberischen Handlungsbedarf. Regulierung mit Bedacht ist in der Schweiz auch in diesem Thema angesagt.