Herr Mühlemann, mit dem European Union Artificial Intelligence Act (EU AI Act) wird in Europa künstliche Intelligenz reguliert. Warum braucht es Ihrer Meinung nach ein Regelwerk für diese Technologie?
Ob es ein separates Regelwerk braucht, das KI reguliert, ist primär eine politische Frage. Wollen wir als Gesellschaft bestimmte Technologien oder Tätigkeiten verbieten, einschränken oder nur unter Auflagen zulassen? Ähnliche Fragen stellen sich zum Beispiel bei der Gentechnologie. Gerade die Entstehungsgeschichte des AI Act hat aber gezeigt, wie schwierig es ist, solche Bereiche in der Praxis zu regulieren. Zu Beginn der Debatte im Jahr 2021 gab es Chat GPT noch nicht. Aufgrund der ersten Erfahrungen mit Chat GPT und anderen Tools haben die Gesetzgeber festgestellt, dass separate Bestimmungen für diese Gruppe von KI-Systemen sinnvoll sind. Wären diese erst später auf den Markt gekommen, gäbe es wohl kein separates Kapitel im AI Act für sogenannte General-Purpose AI Systems.
Elias Mühlemann ist Rechtsanwalt beim Advokaturbüro Vischer. Seine Schwerpunkte liegen in den Bereichen Technologie-, Medien- und Innovationsrecht. Er berät schweizerische und internationale Unternehmen und vertritt sie in Verfahren vor Verwaltungsbehörden und Gerichten. Elias Mühlemann hat ein Nachdiplomstudium (LL.M.) in Law, Science & Technology an der Universität Stanford, Kalifornien, absolviert.
Die zentrale Herausforderung für Politiker und Politikerinnen ist es somit, Rahmenbedingungen zu schaffen, die Innovation im Bereich der KI zu ermöglichen und gleichzeitig die Gesellschaft vor negativen Effekten von KI zu schützen. Ob das nun mit dem AI Act gelungen ist, bezweifeln viele. Andere halten es für einen mutigen Schritt, klare Grenzen für die Nutzung von KI zu setzen.
Welche Hauptziele verfolgt der EU AI Act, und wie unterscheidet er sich von anderen internationalen Ansätzen zur Regulierung der künstlichen Intelligenz?
Ziel des AI Act ist, innerhalb der EU einen einheitlichen Rechtsrahmen für die Nutzung von KI zu schaffen, dabei die Einführung «menschenbezogener und vertrauenswürdiger KI» zu fördern und die schädlichen Auswirkungen von KI auf Gesundheit, Sicherheit und Grundrechte zu vermeiden. Die EU verfolgt dabei einen sogenannt risikobasierten Ansatz. Für KI-Systeme mit «hohem Risiko» gelten zusätzliche Vorgaben – gewisse KI-Praktiken werden ganz verboten.
All diese Anwendungen in einem Gesetz abzudecken, ist sehr anspruchsvoll.
Elias Mühlemann, Rechtsanwalt und Managing Associate bei Vischer.
Im internationalen Vergleich ist der AI Act der EU sehr umfassend und in der Praxis einschneidend. Andere Länder wie zum Beispiel das Vereinigte Königreich oder in gewissem Ausmass auch die USA setzen auf einen sektorspezifischen Regulierungsansatz: Reguliert werden soll also nicht primär die Technologie an sich, sondern die Regulierung soll spezifische Anwendungsfälle umfassen, und dies mehrheitlich durch Anpassung von bestehenden Gesetzen. Der AI Act regelt zum Beispiel die Nutzung von KI durch Strafverfolgungsbehörden, den Einsatz in der Medizin und die Nutzung eines simplen Chatbots auf einer Webseite. All diese Anwendungen in einem Gesetz abzudecken, ist sehr anspruchsvoll. Aber auch die sektorielle Regulierung hat Nachteile. Wenn jede Regulierungsbehörde ihr eigenes KI-Konzept verfolgt, droht ein regulatorischer Flickenteppich.
Inwiefern beeinflusst der EU AI Act die Schweiz in Bezug auf ihre eigenen Bemühungen zur Regulierung von künstlicher Intelligenz, und welche Herausforderungen oder Chancen ergeben sich aus dieser Dynamik?
Die Beeinflussung der Schweiz erfolgt zunächst auf der praktischen Ebene: Vom AI Act direkt betroffen sind Schweizer Unternehmen, die auch in der EU aktiv sein wollen. Die Schweiz ist bekanntlich sehr stark in die europäische Wirtschaft integriert. Ein mit der EU-Regulierung komplett inkompatibles Regulierungssystem würde einen klaren Wettbewerbsnachteil bedeuten: EU-Anbieter würden die Schweiz mit ihren Angeboten später oder eventuell gar nicht bedienen, und Schweizer Unternehmen müssten gleichzeitig zwei Regulierungswerke berücksichtigen.
Diese Tatsache will der Bundesrat offensichtlich bei der Prüfung von Regulierungskonzepten berücksichtigen. Er hat dem Uvek den Auftrag gegeben, eine Übersicht möglicher Regulierungsansätze zu erstellen – allerdings mit der Handlungsrichtlinie, dass diese mit dem AI Act «kompatibel» sein müssen. Wir erwarten diese Ergebnisse Ende Jahr. Im Ergebnis werden wir wohl ein ähnliches Szenario durchlaufen wie im Bereich des Datenschutzes. Auch in diesem Bereich hat die Schweiz die Annäherung an das EU-Recht gesucht, aber trotzdem gewisse Eigenheiten bewahrt.
Wie wird der EU AI Act den Einsatz künstlicher Intelligenz bei Finanzdienstleistungen beeinflussen?
Er wird sicherlich den Compliance-Aufwand bei Finanzdienstleistern erhöhen, gerade im Bereich der KI-gestützten Kredit- und Bonitätsprüfung. Diese Systeme gelten unter dem AI Act als sogenannte Hochrisiko-KI-Systeme. Auch KI-Systeme, welche bei der Preisbildung bei Kranken- und Lebensversicherungen verwendet werden, fallen unter diese Kategorie. Unabhängig des AI Act tun aber gerade Finanzinstitute gut daran, ihre Risiken im Bereich des Einsatzes von KI systematisch einzuschätzen und entsprechende Massnahmen daraus abzuleiten.
Die Technologie der künstlichen Intelligenz ist nicht neu. Der Megatrend hingegen schon. Wie berücksichtigt der EU AI Act Anwendungen, die mehr oder weniger KI enthalten? Gibt es in der Regulierung Abstufungen?
Ja, diese Abstufung gibt es. Zunächst gibt es gibt Praktiken, die ganz verboten sind. Etwa Systeme zur schädlichen Manipulation von Menschen oder zur Analyse von Emotionen am Arbeitsplatz. Dann gibt es sogenannte Hochrisiko-KI-Systeme, wie die im Bereich der Finanzdienstleistungen genannten. Diese müssen registriert und durch ein Qualitätsmanagementsystem überwacht werden. Zudem müssen sie eine Protokollierungsfunktion aufweisen und umfassend dokumentiert werden. Auch wenn KI-Systeme nicht als solche mit hohem Risiko eingestuft werden, unterliegen sie gewissen Transparenzpflichten, wenn die erzeugten Inhalte das Risiko für Identitätsbetrug oder Täuschung bergen. Das Paradebeispiel sind hier Deepfakes.
Dem «Social Scoring» schiebt der AI Act einen Riegel vor, es ist komplett verboten.
Elias Mühlemann, Rechtsanwalt und Managing Associate bei Vischer.
Für sogenannte KI-Modelle für allgemeine Zwecke, zum Beispiel Large Language Models (LLM), gelten primär Transparenzpflichten und Pflichten zur Einhaltung des EU-Urheberrechts. Wenn sie aber «systemische Risiken» bergen, primär weil sie sehr leistungsfähig sind, müssen zusätzliche Compliance- und Reportingpflichten erfüllt werden.
Wie werden Unternehmen und Organisationen dazu angehalten, die Vorschriften des EU Artificial Intelligence Act einzuhalten, und welche Sanktionen drohen bei Nichteinhaltung?
Wie in anderen jüngeren EU-Verordnungen sind die Strafen drakonisch. Wer verbotene KI-Praktiken anwendet, muss mit einer Busse von bis zu 7 Prozent des weltweiten Jahresumsatzes oder 35 Millionen Euro rechnen. Für andere Verstösse beträgt die Maximalbusse 3 Prozent des weltweiten Jahresumsatzes oder 15 Millionen Euro.
Welche Rolle spielt die Ethik bei der Regulierung von künstlicher Intelligenz laut dem EU AI Act, und wie werden ethische Bedenken in den Gesetzestext integriert?
Eine zentrale Bewertung von «gutem und schlechtem Handeln» ist im AI Act bereits durch die Abstufung, welche KI-Praktiken verboten sind und welche als Hochrisiko-KI-Systeme gelten, erfolgt. Zudem müssen diese Hochrisiko-KI-Systeme beispielsweise so konzipiert werden, dass sie von Menschen wirksam überwacht werden können. Der AI Act sieht aber auch die Förderung von freiwilligen Verhaltenskodizes vor und erwähnt dabei explizit die Ethikleitlinien der EU für eine vertrauenswürdige KI.
Wie sieht die Zusammenarbeit zwischen den Mitgliedstaaten der EU und der Schweiz aus, um die Einhaltung des EU AI Acts zu gewährleisten und einen einheitlichen Ansatz zur Regulierung von KI zu fördern?
Die EU hat nun ihr Regelwerk geschaffen und darin sehr extensiv definiert, welche Anbieter und Betreiber von KI-Systemen unter den AI Act fallen, auch wenn sie ihren Sitz nicht in der EU haben. Die Schweiz evaluiert nun eigene Regulierungsoptionen, die aber mit dem AI Act kompatibel sein sollen und nimmt so den Ball auf. Aber unter dem AI Act verhängte Sanktionen könnten aktuell in der Schweiz nicht einmal vollstreckt werden. Ich würde deshalb eher nicht von einer formellen Zusammenarbeit sprechen.
Der Einsatz künstlicher Intelligenz scheint grenzenlos. In China wird die Technologie unterstützend zur Überwachung des Social Credit Score eingesetzt. Wer dort bei Rotlicht über den Fussgängerstreifen geht, riskiert einen Malus. Was braucht es Ihrer Meinung nach, damit wir in Europa nicht in eine ähnliche Richtung marschieren?
Diesem «Social Scoring» schiebt der AI Act einen Riegel vor, es ist komplett verboten. Insofern denke ich auch nicht, dass wir in den nächsten Jahren in der Schweiz solche Systeme sehen werden – schon gar nicht von staatlichen Akteuren. Die grosse Verfügbarkeit von Daten und die Möglichkeit, daraus Erkenntnisse zu ziehen, ist aber durchaus verführerisch. In einer eher individualisierten Gesellschaft, wie wir es sind, ist die Akzeptanz solcher Konzepte aber deutlich geringer – das manifestiert sich nicht zuletzt auch in unserem Datenschutzrecht.