Seit Anfang 2023 beschäftigt sich die Europäische Union (EU) mit der Entwicklung von konkreten technischen Normen, die den Artificial Intelligence Act (AIA) ergänzen sollen. Manche KI-Systeme sind so komplex, dass sie kaum erklärbar und damit auch schwer zu normieren sind. Der Gastautor regt an, lieber weniger KI-Systeme zuzulassen, als  schlecht einschätzbare Risiken einzugehen. 

Die EU befindet sich in einer schwierigen Situation: Einerseits will sie den Schutz ihrer Bürger:innen nicht gefährden, andererseits steht sie unter geopolitischem Druck, Innovationen nicht zu behindern. Die technische Komplexität von Künstlicher Intelligenz (KI) macht es noch schwieriger. Daher könnte der Versuch der EU, technische KI-Standards zu schaffen, eine unlösbare Aufgabe sein. Sollte dies der Fall sein, gibt es mehrere mögliche Szenarien und die EU muss ernsthaft darüber nachdenken, ob sie bereit ist, einige inhärente Mängel moderner Systeme zu akzeptieren.

KI-Standards: Zwischen Baum und Borke

Die Kernaufgabe des aktuell debattierten AIA liegt darin, grundlegende Anforderungen festzulegen, die nur spezifisch genug sind, um rechtsverbindliche Verpflichtungen zu schaffen und das institutionelle Gerüst für die Durchsetzung und Aufrechterhaltung dieser Anforderungen zu errichten. Technische Einzelheiten bleiben aus.

Es ist die Aufgabe der harmonisierten Standards, die Lücken zu füllen, die das Gesetz hinterlässt. Sie legen sowohl die Messlatte fest, die die KI-Systeme erfüllen müssen, als auch die Art und Weise, wie diese Systeme entwickelt werden sollten (indem sie Tests und Kennzahlen definieren).  Die Einhaltung harmonisierter Standards soll eine „objektiv überprüfbare“ Möglichkeit bieten, die wesentlichen Anforderungen der EU-Gesetzgebung einzuhalten. Diejenigen, die sich dafür entscheiden, diesen Standards zu folgen, profitieren von der damit verbundenen „Vermutung der Konformität“. Das bedeutet, dass die Einhaltung dieser Standards gleichbedeutend mit der Erfüllung der wesentlichen Anforderungen ist. Um die Verbraucher:innen zu schützen, müssen in der Regel diejenigen, die sich entscheiden, den harmonisierten Standards nicht zu folgen, nachweisen, dass ihre alternative Lösung mindestens genauso gut ist. Trotz ihrer freiwilligen Basis sind harmonisierte Standards ernst zu nehmen.

Die Entwicklung der Standards steht vor einer letzten Einschränkung: der technischen Machbarkeit. Die Festlegung von Standards für eine so komplexe Technologie wie KI war schon immer eine Herausforderung, jetzt aber eine noch größere. Aleksander Madry, ein Maschinenlernforscher am Massachusetts Institute of Technology, sagt zur technischen Durchführbarkeit wirksamer KI-Standards: „Wir sind noch nicht so weit.“ Wenn sie nicht besonders restriktiv sind, ist nicht klar, ob KI-Standards die Verbraucher:innen angemessen schützen können.

Die technische Durchführbarkeit von KI-Standards

Um EU-Bürger:innen – und uns alle – zu schützen, ist es von entscheidender Bedeutung, dass KI-Systeme die Sicherheit und grundlegenden Rechte von Menschen respektieren. Idealerweise sollten wir Standards schaffen, die festlegen, wie KI-Systeme, die diese Prinzipien einhalten, ohne übermäßigen Aufwand entworfen und getestet werden können. Derzeit wissen wir jedoch nicht,  wie moderne KI-Systeme entwickelt werden können, die diese Grundsätze zuverlässig einhalten, oder wie geprüft werden kann, ob die entwickelten Systeme diese Grundsätze einhalten. Einige einfachere KI-Techniken mögen handhabbar sein, aber die Techniken, die die jüngsten Fortschritte vorantreiben – beispielsweise Sprachmodelle wie ChatGPT – sind nach wie vor undurchschaubar. Ihre Leistung verbessert sich von Tag zu Tag, aber sie verhalten sich unvorhersehbar, was die Identifizierung und das Testen möglicher Fehler erschwert.

Weil diese Erschwernis erkannt wurde, enthalten die meisten KI-Vorschriften nun Anforderungen an die menschliche Aufsicht und die Transparenz (oder Erklärbarkeit) von KI-Systemen, sprich dass den Menschen zumindest die erforderlichen Werkzeuge zur Überprüfung und Kontrolle der Systeme zur Verfügung gestellt werden sollten. Diese Anforderungen klingen in der Theorie gut, aber sind in der Praxis kaum umsetzbar. So ist es zum Beispiel schwierig, neuronale Netze erklärbar zu machen: Eine Studie aus dem Jahr 2020 hat gezeigt, dass die bekannten Tools LIME und SHAP (die bereits auf die Erklärung einzelner Entscheidungen und nicht auf die allgemeine Entscheidungsfindung eines Systems beschränkt sind) missbraucht werden können, um nicht vertrauenswürdige Modelle als zuverlässig erscheinen zu lassen.

Diese Schwierigkeiten (zum Beispiel, wenn ein Tesla im Autopilotmodus ein Stoppschild übersieht und einen tödlichen Unfall verursacht oder wenn automatisierte Systeme durch den gesamten Einstellungsprozess hinweg Vorurteile reproduzieren) treten nicht auf, weil Ingenieur:innen bekannte Best Practices ignorieren oder technische Tests und Interventionen zur Überprüfung vermeiden. Solche Best Practices, Interventionen oder Tests existieren derzeit nicht. Und wenn die führenden Ingenieur:innen der Welt diese bisher nicht herausfinden konnten, dann gibt es möglicherweise nur wenig Hoffnung für die EU-Normungsorganisationen.

Das bedeutet jedoch nicht, dass die Situation komplett aussichtslos ist. Für enge, niedrigriskante Anwendungen könnten die derzeit vorhandenen unvollkommenen Werkzeuge in Kombination mit anwendungsspezifischen Standards ausreichen. Außerdem werden Standards, die eine Überwachung, Dokumentation und Aufzeichnungen erfordern, ein wichtiger Teil der Auslese von problematischen Systemen sein. Nichtsdestotrotz scheint es für neuronale Netzwerke, die für die Arten von Hochrisikoanwendungen eingesetzt werden, die der AIA angeht, unwahrscheinlich, dass Standards entwickelt und getestet werden können, die genügend Vertrauen in die Einhaltung von Gesundheits- und Grundrechten bei den Anwendungen geben. Ein überbordender Einsatz von Risikomanagementsystemen, Überwachungsrichtlinien und Dokumentationsanforderungen kann uns sogar  in falscher Sicherheit wiegen. Angesichts dieser Realität wird die EU vermeiden müssen, schwache, unwirksame Standards zu schaffen, die auf unvollkommenen Tests oder Transparenz-Tools beruhen. Möglicherweise bleibt nichts anderes übrig, als mithilfe von Standards so hohe Maßstäbe zu setzen, dass in vielen Fällen die Verwendung von neuronalen Netzwerken ausschließen wäre.

Drei Szenarien für die Zukunft von KI-Standards

Zwei von der EU beauftragte Europäische Normungsorganisationen (ENOs) – der Europäische Ausschuss für Normung und der Europäische Ausschuss für Elektrotechnische Normung – werden harmonisierte Standards für den AIA entwickeln und die technischen Herausforderungen angehen. Diese beiden Organisationen bringen die Normungsgremien der EU-Mitgliedstaaten zusammen, die in technischen Ausschüssen Expert:innen mit der Ausarbeitung von Standards beauftragen. Nach Konsultation von Interessengruppen aus der Industrie und der Zivilgesellschaft werden die Standards per Abstimmung in den Normungsgremien angenommen. Der nun startende Prozess könnte zu folgenden Ergebnissen führen:

  1. Die Europäische Normungsorganisationen entwickeln schwache Standards

Das erste mögliche Ergebnis ist, dass die ENOs zu lasche Standards entwickeln könnten. Obwohl es Methoden zur Evaluierung von KI-Systemen gibt, sind diese unvollständig und können sogar manipuliert werden, um unzuverlässige Systeme zu genehmigen. Eine Abhängigkeit von diesen Methoden könnte die Effektivität des AIA schwächen und gefährliche KI-Systeme auf den Markt bringen. Dieses Ergebnis ist wahrscheinlicher, wenn die ENOs, die erhebliche Industrieinteressen haben, allein für die Entwicklung der Standards verantwortlich sind.

  1. Die Standards sind unvollständig oder unbrauchbar

ENOs müssen „objektiv überprüfbare“ Anforderungen festlegen, die von Berater:innen für Standardisierung (z. B. von der Wirtschaftsprüfungsgesellschaft Ernst & Young im Auftrag der EU eingestellt) bestätigt werden, bevor sie offizielle Standards werden können. Sollte der Standardsetzungsprozess durch ständige Ablehnungen der Berater:innen blockiert werden,  könnte die Europäische Kommission auch beschließen, die Standards selbst entwickeln.

Im Falle, einer Blockade des Harmonisierungsprozesses oder, dass die Europäische Kommission es versäumt, eigene Standards zu schaffen, wird die EU bei der Regulierung von Künstlicher Intelligenz (KI) ohne klare Standards auskommen müssen. In Situationen, in denen eine Bewertung durch Dritte erforderlich ist, müssen die ernannten Aufsichtsbehörden die unklaren Vorschriften navigieren. In Situationen, in denen nur ein Selbstassessment verwendet wird oder benannte Stellen fälschlicherweise ein Produkt genehmigen, entscheiden die Marktüberwachungsbehörden sozusagen als letzte Verteidigungsinstanz, welche Produkte auf dem EU-Markt zugelassen sind. Unzureichende Standards führen zu teuren und langen Test- und Entwicklungsprozessen voller Grauzonen und uneinheitlicher Entscheidungen.

  1. Die EU ergreift regulatorische Maßnahmen

Die Erstellung technischer Standards für komplexe KI-Systeme kann sich als eine unlösbare Herausforderung erweisen. Dies muss jedoch nicht zwangsläufig schlecht sein. Was ist, wenn es für hochkomplexe Systeme keine „geeigneten Risikomanagementmaßnahmen“ gibt? Einige mögen dies als Rückschlag für Innovationen betrachten, aber es könnte ein Hinweis darauf sein, dass solche Systeme nicht in Gebrauch sein sollten, und die Marktbehörden (sei es die Europäische Union oder andere) sollten sie ablehnen. Wenn Mindestanforderungen für KI-Systeme festgelegt wurden und die Systeme diese nicht erfüllen, bedeutet dies nicht, dass die Erwartungen an die Systeme geändert werden müssen, sondern, dass die Systeme veränderungsbedürftig sind. Dies könnte bedeuten, dem geopolitischen Druck zu widerstehen und weniger anspruchsvolle KI-Systeme zu verwenden, bis es möglich ist, ein tieferes Verständnis für hochmoderne KI-Systeme aufzubringen. Dies scheint zumindest auf neuronale Netzwerke zuzutreffen, bis in den nächsten Jahren signifikante Fortschritte gemacht werden. Die einzige realistische Option für diese KI-Systeme besteht derzeit darin, hohe und möglicherweise kontextspezifische Standards für ihren Einsatz festzulegen. Dieser Ansatz würde dem mangelnden Verständnis für die Komplexität der Entwicklung detaillierter Standards entgegenwirken. Wenn Entwickler:innen überzeugt sind, wirksame neuronale Netze entwickeln zu können, sollten sie auch glaubhaft machen müssen, dass ihre KI-Systeme den an sie gestellten Anforderungen gerecht werden.

Die EU steht nicht allein vor der Herausforderung, Künstliche Intelligenz (KI) zu regulieren. Überall auf der Welt, wo KI-Systeme reguliert werden, wird jemand eine Entscheidung über die Systeme treffen müssen. Regulierungsbehörden wollen von hochmodernen KI-Systemen profitieren. Diese sollen aber gleichzeitig auch sicher und vertrauenswürdig sein. Da dies möglicherweise nicht immer möglich ist, zögern sie  eine endgültige Festsetzung nur hinaus und müssen letztendlich entscheiden, welche Zugeständnisse an KI-Systeme sie zu machen bereit sind. In  manchen Fällen müssen sie akzeptieren, dass es nicht die Frage eines anderen Risikomanagements ist und, dass es auch in manchen Fällen notwendig ist, bei einer KI auf die Bremse zu treten.

Der Text wurde am 12. Januar 2023 in der englischen Langfassung auf Lawfareblog.com veröffentlicht.