EU AI Act: Neue Herausforderungen – EU AI Act: New Challenges

Einstimmig haben die Botschafter der 27 EU-Mitgliedstaaten am 2. Februar dem finalen Textentwurf des Artificial Intelligence Act (AIA) zugestimmt und damit im Rahmen der EU-Digitalstrategie ein Gesetz zur Regulierung von Künstlicher Intelligenz (KI) auf den Weg gebracht. Der endgültige Text enthält Vorschriften, die den Umgang mit KI in Forschung und Wirtschaft europaweit regeln sollen. Die Zustimmung von EU-Rat und EU-Parlament gilt als Formsache. Der EU AI Act ist das weltweit erste umfassende Regelwerk seiner Art – so umfassend, dass selbst die kürzeste bekannte Textfassung mehr als 250 Seiten umfasst.

Nun ist er (fast) da – der EU AI Act. Allen Geburtswehen zum Trotz, die dem Ganzen eher den Anschein eines Arbeitssieges geben. Nach zähem Ringen dürfte vor allem die Einsicht zur Einigung geführt haben, dass eine noch längere Hängepartie den Unternehmen noch mehr Rechtsunsicherheit und Planungsschwierigkeiten beschert hätte – und sicher auch, dass man sich vor der Weltöffentlichkeit blamiert hätte. Schließlich war man mit dem Anspruch angetreten, in Europa Vorreiter bei der Regulierung von KI zu werden. Das Ziel, die Menschheit vor den negativen Auswirkungen eines unsachgemäßen Einsatzes von künstlicher Intelligenz zu schützen, ist im Gesetzestext in vielen Bereichen deutlich erkennbar. So gibt es beispielsweise ein Verbot von Social Scoring und anderen fragwürdigen KI-Praktiken. Ein vollständiges Verbot von Echtzeit-Überwachung hat es hingegen nicht über die Ziellinie geschafft. Viele unproblematische KI-Anwendungen bleiben unreguliert – nur wer es in die Hochrisikoklasse schafft, dessen Entwicklungs- und Verbreitungsprozesse werden einer starken Regulierung unterworfen. Im Kern ist das alles durchaus nachvollziehbar.

Es sind eher die Details, aus denen sich nun neue Herausforderungen ergeben. Denn der EU AI Act präsentiert zunächst einmal viel interpretationsbedürftigen Text. Angesichts der Komplexität des Regelwerks läuft nun die Auslegungsmaschinerie in den spezialisierten Anwaltskanzleien an. In den großen Softwareunternehmen arbeiten sich die Rechtsabteilungen in die Materie ein. Start-ups und kleinere Unternehmen müssen jedoch erst einmal Ressourcen aufbringen, um die Regeln überhaupt zu verstehen und Wege zu ihrer Umsetzung zu finden. Nicht wenige Juristen kritisieren die handwerkliche Qualität der Formulierungen – in Textpassagen, die vor langer Zeit geschrieben wurden.

Dies beginnt bereits bei der Definition des zentralen Begriffs „Künstliche Intelligenz“. Dieser war in den Zwischenfassungen des Textes so allgemein gehalten, dass nicht wenige Experten darauf hinwiesen, dass die Regelung jedes Softwareprodukt – mit oder ohne KI – umfasse. Die jetzige Endfassung liest sich eher wie das Inhaltsverzeichnis einschlägiger Lehrbücher über KI-Technologien. Dies ist sicherlich ein besserer Ansatz, aber wir wissen noch nicht, ob er den Kerngedanken der Regulierung einer „Technologie mit neuen Risiken“ gut erfasst. Hochriskante KI wird vor allem durch eine lange Beschreibung risikobehafteter Anwendungsfälle beschrieben. Auch hier ein ähnliches Bild: Es ist nicht immer klar, wie gut die derzeitigen Formulierungen „risikobehaftete“ von „eigentlich unproblematischen“ Anwendungsfällen unterscheiden.

Der Versuch, risikobehaftete KI zu definieren und zu regulieren, ist richtig und lobenswert. Wir wissen noch nicht, ob der Ansatz funktioniert. Wir wissen nicht, ob die Regelungen praktikabel sind und ob sie die beabsichtigte Wirkung entfalten. Wir wissen nicht, wo der vorliegende Entwurf überreguliert und wo er eher unterreguliert. Das ist nicht verwunderlich, wenn man bedenkt, dass die Risiken von KI als solche heute noch nicht gut verstanden sind.

Spagat zwischen Innovation und Regulierung

2017 beschrieb Max Tegmark in seinem Buch „Life 3.0“ die „Megarisiken“ von KI: Es könne sein, dass KI irgendwann selbst weiterentwickelte KI hervorbringe und es zu einer Art „Intelligenzexplosion“ („Singularität“) komme, die wir nicht mehr kontrollieren könnten. Als GPT-4 im März 2023 auf den Markt kam, wurde davor gewarnt, dass wir jetzt schon die ersten Fehler in diese Richtung machen, z.B. weil GPT-4 auf von Menschen gemachten Daten trainiert wurde und deshalb „Menschen versteht“ und weil es nicht in einem „goldenen Käfig“ gehalten wurde, der ihm den Zugang zu anderen Systemen (z.B. Suchmaschinen) verwehrt. Das waren schwere Geschütze in der Diskussion, aber die Argumentation war nachvollziehbar.

Hätten wir also GPT-4 proaktiv in einen (regulatorischen) Käfig sperren sollen? Aus heutiger Sicht nicht. Ein Jahr später sind wir schlauer: KI-Forscher können viel genauer benennen, was wir mit GPT-4 erreicht haben – und was nicht. Trotz der beeindruckenden Fähigkeiten ist klar, dass wir von Superintelligenzen noch weit entfernt sind. Wir haben sie in die Welt entlassen, wir verstehen sie immer besser und entwickeln uns an ihr weiter. Diesen Effekt hätte es mit einem regulatorischen Käfig nicht gegeben. Das kann aber kein generelles Argument gegen Regulierung sein, denn es hätte auch anders ausgehen können.

In Wirklichkeit führen wir ein sehr großes technologisches und regulatorisches Experiment durch. Die Technologie ist zu wertvoll – und manchmal zu verführerisch – um nicht weiter erforscht und verbreitet zu werden. Die Regulierungsideen versuchen Schritt zu halten, aber die Koevolution von Technologie und Regulierung ist angesichts des rasanten Tempos schwierig. Die Situation erinnert an die Datenschutz-Grundverordnung (DSGVO), die 2018 von der EU eingeführt wurde: sehr nachvollziehbare Absichten, eine sehr tiefgreifende Regulierung, eine anfängliche und teilweise bis heute anhaltende Unsicherheit und einige Aspekte, die sich als nicht praktikabel erwiesen haben. Der EU AI Act tritt in diese Fußstapfen, allerdings in Bezug auf eine der wichtigsten Technologien unserer Zeit und ohne praktische Daten über die Auswirkungen verschiedener Regulierungsansätze in einer viel größeren Dimension. Es ist ein sehr großes Experiment.

Mit einer so disruptiven Technologie sind wir alle als Gesellschaft herausgefordert. Die Situation ist sehr komplex. Software-Ingenieure wissen, wie man mit Komplexität umgeht: iterativ und („agil“) vorgehen und Schritt für Schritt immer mehr verstehen. Werden wir einen iterativ-agilen Ansatz in der europäischen Politik sehen? Werden wir erleben, wie Regulierung entsteht, ausprobiert und in Teilen großzügig wieder verworfen wird? Das klingt eher nach Utopie, zumal die Datenschutzgrundverordnung seit ihrem Inkrafttreten im Jahr 2018 unverändert geblieben ist. Eine solche Herangehensweise an Regulatorik wäre jedoch vernünftig und ehrlich, wenn wir ernsthaft daran interessiert sind, die Technologie weiterzuentwickeln und gleichzeitig einen verantwortungsvollen und menschengerechten Einsatz zu gewährleisten.

On February 2, the ambassadors of the 27 EU member states unanimously approved the final draft of the Artificial Intelligence Act (AIA), thus launching a law to regulate artificial intelligence (AI) as part of the EU’s digital strategy. The final text includes provisions to regulate the use of AI in research and business across Europe. Approval by the EU Council and Parliament is now a formality. The EU AI Act is the first comprehensive set of regulations of its kind in the world – so comprehensive that even the shortest known version of the text is more than 250 pages long.

Now it is (almost) here – the EU AI Act. Despite all the birth pangs that give the whole thing the appearance of a labor victory. After a tough battle, the main reason for the agreement was probably the realization that an even longer delay would have created even more legal uncertainty and planning difficulties for companies – and certainly embarrassment for the world. After all, the goal was to take the lead in regulating AI in Europe. The goal of protecting humanity from the negative effects of the inappropriate use of artificial intelligence is clearly evident in many areas of the legal text. For example, there is a ban on social scoring and other questionable AI practices. However, a complete ban on real-time surveillance did not make it across the finish line.

Many benign AI applications remain unregulated – only those that make it into the high-risk class are subject to strict regulation in their development and deployment processes. In essence, this is all perfectly understandable.

It is the details that now pose new challenges. This is because the EU AI law initially presents a lot of text that requires interpretation. Given the complexity of the regulations, the interpretation machinery is now starting up in specialized law firms. The legal departments of large software companies are getting up to speed. Startups and smaller companies, however, must first devote resources to understanding the rules and finding ways to implement them. Many lawyers criticize the technical quality of the wording – in passages that were written a long time ago.

This starts with the definition of the central term „artificial intelligence“. In interim versions of the text, it was kept so general that many experts pointed out that the regulation covered any software product – with or without AI. The current final version reads more like the table of contents of relevant textbooks on AI technologies. This is certainly a better approach, but we do not yet know if it captures the core idea of regulating a „technology with new risks“ well. High-risk AI is mainly described by a long description of risky use cases. Again, the picture is similar: it is not always clear how well current formulations distinguish „risky“ from „actually unproblematic“ use cases.

The attempt to define and regulate risky AI is correct and commendable. We do not yet know if the approach will work. We do not know whether the regulations are workable and whether they will have the intended effect. We do not know where the current draft over-regulates and where it tends to under-regulate. This is not surprising given that the risks of AI as such are not yet well understood.

Balancing innovation and regulation

In 2017, Max Tegmark described the „mega-risks“ of AI in his book „Life 3.0“: it could be that AI itself would eventually produce more advanced AI, leading to a kind of „intelligence explosion“ („singularity“) that we would no longer be able to control. When GPT-4 was released in March 2023, there were warnings that we were already making the first mistakes in this direction, e.g. because GPT-4 was trained on human-generated data and therefore „understands humans“, and because it was not kept in a „golden cage“ that denied it access to other systems (e.g. search engines). This was heavy artillery in the discussion, but the reasoning was understandable.

So should we have proactively locked GPT-4 in a (regulatory) cage? From today’s perspective, no. A year later, we are wiser: AI researchers can be much more precise about what we have achieved with GPT-4 – and what we have not. Despite the impressive capabilities, it is clear that we are still a long way from superintelligences. We have released them into the world, we understand them better and better, and we continue to develop them. This effect would not have existed with a regulatory cage. But that cannot be a general argument against regulation, because things could have turned out differently.

In reality, we are conducting a huge technological and regulatory experiment. The technology is too valuable – and sometimes too seductive – not to be further explored and disseminated. Regulatory ideas are trying to keep up, but the co-evolution of technology and regulation is difficult given the rapid pace. The situation is reminiscent of the General Data Protection Regulation (GDPR) introduced by the EU in 2018: very understandable intentions, very far-reaching regulation, initial and sometimes still ongoing uncertainty, and some aspects that have proven unworkable. The EU AI law follows in these footsteps, but in relation to one of the most important technologies of our time, and without practical data on the impact of different regulatory approaches on a much larger scale. It is a very large experiment.

With such a disruptive technology, we are all challenged as a society. The situation is very complex. Software engineers know how to deal with complexity: take an iterative and agile approach and understand more and more step by step. Will we see an iterative-agile approach in European politics? Will we see regulations being created, tested and in some cases generously discarded? This sounds more like utopia, especially since the General Data Protection Regulation has remained unchanged since its entry into force in 2018. But such an approach to regulation would be sensible and honest if we are serious about advancing technology while ensuring that it is used responsibly and humanely.