Die vielfältige Welt der KI-Regulierung

Das Thema künstliche Intelligenz (KI) beschäftigt nicht nur die Wirtschaft, sondern auch die Politik. Spätestens seit dem Launch von ChatGPT ist KI in aller Munde und die Prognosen über die Auswirkungen auf Wirtschaft und Gesellschaft sowie die möglichen Entwicklungspfade von KI überbieten sich gegenseitig. Für die einen steht die allgemeine KI, die den Menschen überflüssig macht, direkt vor der Tür, für die anderen ist das alles nur ein grosser Hype.

Unabhängig davon ist aber klar, dass die Politik Handlungsbedarf sieht und entsprechend aktiv geworden ist. Neben den teils seit Jahren existierenden nationalen KI-Strategien, die sich vor allem mit der Frage befassen, wie ein Land die Entwicklung von KI möglichst fördern und für sich nutzen kann, stehen nun Fragen der Regulierung möglicher negativer Auswirkungen im Zentrum. Bereits seit Längerem laufende internationale Bemühungen wie die Arbeit der OECD zum Thema KI werden nun ergänzt durch nationale Regulierungsvorschläge wie die Executive Order von US-­Präsident Joe Biden oder neue regionale Gesetze wie den AI Act der EU.

Eine breite Palette von Tools

Bei der Regulierung von künstlicher Intelligenz stehen eine Vielzahl von Werkzeugen zur Verfügung, und bei allen Werkzeugen sehen wir Entwicklungen. Neben Gesetzen und neuen Verträgen wie etwa der kürzlich verabschiedeten Konvention des Europarates gibt es die Möglichkeit für Regulatoren, bestehende Gesetze neu auch auf KI anzuwenden, wie dies die FTC etwa bei der Nutzung von KI in Kampagnen tut. Andererseits entstehen laufend neue technische und organisatorische Standards, sei es durch staatliche Behörden oder private Initiativen. So gibt es etwa ein KI-Framework der US-Standardorganisation NIST sowie einen neuen KI-­Standard der ISO. Daneben etablieren diverse Organisationen von NGOs bis hin zu Beratungsfirmen ihre eigenen Frame­works und Guidelines für den Umgang mit künstlicher Intelligenz, wie das Responsible AI Institute. 

Von abstrakt zu konkret

Diese oft – im Gegensatz zu Gesetzen – nicht verbindlichen Prinzipien und Regeln belaufen sich mittlerweile auf Dutzende Dokumente verschiedener Institutionen, von der Forschung über die Privatwirtschaft bis hin zu internationalen Organisationen und der Zivilgesellschaft. Trotzdem bewegen sich die Inhalte entlang ähnlicher Themen wie beispielsweise Transparenz und Sicherheit. 

Eine grosse Schwierigkeit bleibt aber die Übersetzung dieser abstrakten Prinzipien in die konkrete Realität. Das ist auch die Schwierigkeit bei der Verfassung neuer bindender Regeln wie Gesetze. Die Technologie entwickelt sich zwar schnell weiter, aber auf der anderen Seite dürfen die Regeln nicht zu abstrakt bleiben, weil sonst unklar ist, wie man sie einhalten kann. Die Verhandlungen zum EU AI Act zeigen dies deutlich. Der Launch von ChatGPT kam unerwartet und hat zu starken Spannungen in den Verhandlungen geführt. Stellen wir hier die richtigen Regeln auf, um auch in Zukunft bestimmte Rechte zu schützen? Die Frage, wie Prinzipien wirklich eingehalten und messbar gemacht werden können, beschäftigt auch die Standardisierungsorganisationen.

Eine Frage des Vertrauens

Das Vertrauen in die Digitalisierung und insbesondere in die künstliche Intelligenz ist stark unter Druck. Es ist kein Zufall, dass gerade jetzt das WEF ein Framework für die Erarbeitung von «Digital Trust» lanciert, ein Projekt, an dem wir mitwirken konnten. Denn das für die Nutzung digitaler Dienste nötige Vertrauen ist aufgrund diverser Skandale und unethischer Geschäftspraktiken auf dem Rückzug und droht die Nutzung künstlicher Intelligenz zu behindern.

Man sagt oft, Vertrauen ist gut, Kontrolle ist besser. Dies zeigt sich auch bei der Umsetzung von KI-Regulierung. Die diversen Selbstverpflichtungen und freiwilligen Commitments zum verantwortungsvollen Umgang mit KI, die Firmen zur Verfügung stehen, scheinen nicht zu genügen. Neue verbindliche Regeln werden mit der Umsetzung des EU AI Acts und weiterer Gesetze wie dem Cyber Resilience Act auf Firmen zukommen. Die Frage des verantwortungsvollen Umgangs mit KI wird nicht nur eine Möglichkeit sein, sich im Markt von seiner Konkurrenz abzuheben, sondern dürfte – wie zuvor der Datenschutz – auch zu einer integralen Compliance-Frage werden.

Somit dürften Audits und Zertifizierungen wie Labels in Zukunft an Bedeutung gewinnen. Denn neben der Festlegung von Prinzipien und der Übersetzung dieser Prinzipien in einen messbaren und überprüfbaren Standard stellt sich auch die Frage, wie eine Organisation glaubwürdig die Einhaltung dieser Regeln nach aussen kommunizieren kann, sei es gegenüber Regulatoren, aber auch gegenüber ihren Kunden. So arbeitet etwa das TÜV AI Lab an einem Prüfschema, basierend auf dem EU AI Act, und ein Zusammenschluss aus Industrieverbänden und Standardisierungsorganisationen arbeitet an einem Label für vertrauenswürdige KI, ein Projekt, das wir von der Swiss Digital Initiative unterstützen.

Doch diese Projekte stehen noch am Anfang und dürften frühestens Ende dieses Jahres Resultate liefern. In der Schweiz sind wir bereits weiter. Am ersten Apéro Digital, einem Austauschformat der Digital Society Initiative, diskutierten wir neben unserem Digital Trust Label auch andere Möglichkeiten der Zertifizierung, etwa mittels Modulos AI oder CertX. Dabei zeigte sich auch, dass eine Mehrzahl der befragten Teilnehmenden eine wichtige Rolle in der Zertifizierung für unabhängige Stellen sieht und staatliche Behörden oder private Initiativen nachgelagert beurteilt wurden.

Wir befinden uns in einer rasanten Zeit der KI-Entwicklung, sowohl technisch als auch regulatorisch. Das Vertrauen der Bevölkerung und der Nutzerinnen und Nutzer ist jedoch zentral und aktuell noch ausbaufähig. Die Anbieter digitaler Dienste tun gut daran, sich proaktiv mit der Frage auseinanderzusetzen, wie sie den verantwortungsvollen Umgang und die Entwicklung von KI nicht nur predigen, sondern auch tatsächlich umsetzen können. Instrumente wie das Digital Trust Label können ihnen dabei wertvolle Orientierung geben.