Tobias Haar ist General Counsel bei Aleph Alpha GmbH in Heidelberg.
MMR 2023, 397 Exportschlager: Die Datenschutz-Grundverordnung (DS-GVO) aus dem Jahr 2016 wird mitunter als Exportschlager der Europäischen Union im Bereich Rechtsetzung bezeichnet. In diesem Jahr wird sie sieben Jahre alt und ist seit fünf Jahren wirksam. Es wird eher niemanden geben, der sie als perfekt bezeichnen wollte. Gesetze (wie seit einiger Zeit auf EU-Ebene anscheinend auch Verordnungen zu bezeichnen sind) und andere Rechtsetzungsakte sind aus der Natur ihres Zustandekommens nicht fehlerfrei. Keine neue Erkenntnis.
Vorreiter: Mit der jüngst verabschiedeten MiCA-Verordnung hat die Europäische Union erneut ihren Anspruch unterstrichen, neue Geschäftsmodelle und Phänomene im Digitalzeitalter frühzeitig einem Regelwerk zu unterwerfen. Die Regulierung der „Markets in Crypto Assets“ wird bis Anfang 2025 vollständig wirksam werden. Es ist von „Rechtssicherheit für den Kryptomarkt“ und einem „guten Start“ die Rede. Alles geregelt ist damit im Kryptobereich aber nicht. Da sie „einzigartig und nicht fungibel“ sind, sind zB Non-Fungible Token (NFTs) von der Regulierung im Regelfall vorerst ausgenommen. Ein politischer Kompromiss.
Globalisierung: Mit „Brussels Effect“ wird gemeinhin die De-facto-Globalisierung im Bereich der regulatorischen Rechtsetzung durch die Europäische Union bezeichnet. Die Ukraine hat bereits angekündigt, die MiCA-Verordnung ebenfalls umzusetzen. Andere Länder dürften zumindest genau beobachten, wie sie sich bald in der Praxis bewährt bzw. zu bewähren hat. Angesichts des öffentlichen Streits in den USA zwischen der Security Exchange Commission (SEC) und ihrem Vorsitzenden Gary Gensler einerseits und insbesondere Branchenvertretern sowie Mitgliedern der republikanischen Partei andererseits und der darauf zurückzuführenden Marktverunsicherung dürften sich manche in der Kryptobranche über die nun bald deutlich höhere Rechtssicherheit hierzulande freuen. Das könnte sich zu einem EU-Standortvorteil auswachsen.
Herkulesaufgabe: Ein weiteres „Gesetz“gebungsvorhaben auf EU-Ebene beschäftigt derzeit die Gemüter. Es geht um nichts weniger als den „AI Act“, also EU-weit einheitlich geltende „harmonisierte Vorschriften für Künstliche Intelligenz“. Seit der Verbreitung von ChatGPT und der Möglichkeit das Tool auch als Privatperson nutzen zu können, ist auf dieses Vorhaben nicht nur ein Schlaglicht geworfen, sondern auch die allseitige Erwartungshaltung massiv gestiegen, eine „gute Regulierung“ zu bekommen. Nie zuvor hat ein Dienstleistungsangebot schneller 100 Mio. Nutzer angezogen. Diese Zielmarke konnte laut „The World of Statistics“ bereits nach zwei Monaten erreicht werden. Das Telefon brauchte hierfür etwa 75 Jahre, aber auch WhatsApp benötigte immer noch 3,5 Jahre, also etwa 21-mal so lange.
Rampenlicht: Sieht man einmal von den Corona-Verordnungen ab, hat vermutlich kaum ein Regulierungsthema jemals derart öffentlichkeitswirksam die Schlagzeilen bestimmt. Es bedarf fast schon des Einsatzes Künstlicher Intelligenz (KI), um der Diskussion in allen Facetten überhaupt noch folgen zu können. Für Aufsehen dabei hat die Entscheidung der Garante per la Protezione dei Dati Personale (GPDP), also der italienischen Datenschutzaufsicht, v. 31.3.2023 gesorgt, Open AI den Betrieb von ChatGPT in Italien zu untersagen. Das kalifornische Unternehmen hat mit einer Zugangssperre für italienischen Nutzern zugewiesene IP-Adressen reagiert. Die Nachfrage geografische Herkunft kaschierende VPN-Dienste betreffend soll in Italien in der Folge Rekordhöhen erreicht haben.
Gesprächsangebot: Eine dauerhafte „Blockage“ von ChatGPT in Italien gab es aber nicht. Einen Monat nach der Verfügung der Blockage und Nachbesserungen von Open AI im Bereich Datenschutz konnte die IP-Sperre wieder aufgehoben werden. Das mit Microsoft finanziell und technisch eng verknüpfte Unternehmen mit Sitz in Kalifornien hat eine enge Kooperation angekündigt. Kritik am „überschießenden“ Vorgehen der GPDP war angebracht. Zahlreiche weitere (auch und gerade deutsche) Datenschutzbehörden gehen einen zunächst sanfteren Weg und haben Open AI zur Beantwortung umfassender Fragenkataloge aufgefordert. Sie fordern Open AI zur Stellungnahme, damit aber auch zum Gespräch auf. Miteinander reden ist bei solchen Themen immer gut. Regulierung reduziert sich ja auch nicht ausschließlich auf Auflagen, Verbot, Bußgeld, Strafen. Aber es gehören auch zwei Parteien dazu, die dies auf Augenhöhe tun wollen.
Wunschliste: ChatGPT hatte zuvor dem EU-Gesetzgeber einen Strich durch die Rechnung gemacht, den AI Act schon früher zu verabschieden. Die Forderungen an den EU-Gesetzgeber waren zuletzt mitunter extrem. Auch ein Verzicht auf jegliche Regulierung wurde gefordert. Zu beidem wird es nicht kommen. Es ist in diesem Zusammenhang bemerkenswert, wie sich die Qualität der Diskussion gefühlt von Tag zu Tag entwickelt hat und sachgerechter wurde. Hieß es am Anfang noch, dass KI verboten werden müsse, zuviele Arbeitsplätze koste und überhaupt eine Gefahr für die Menschheit sei, wird nun meist deutlich differenzierter argumentiert. Risikobasiert eben. Das ist gut so. Es wird eben doch nichts so heiß gegessen, wie es gekocht wurde. Vor diesem Hintergrund startet in wenigen Wochen der Trilog zwischen EU-Parlament, EU-Kommission und EU-Rat über die finale Fassung des AI Act.
Begrifflichkeiten: Gerungen wird darin auch über neue Regelungsansätze, die die EU-Kommission im April 2021 noch nicht auf dem Schirm hatte. Es geht in diesen Tagen um „Artificial Narrow Intelligence“ und „Artificial General Intelligence“. Es geht um General Purpose Artificial Intelligence (GPAI), auch als Foundation Models bezeichnet. „Diese zugrundeliegenden Modelle werden nachgelagerten Entwicklern über Anwendungsprogrammierschnittstellen (API) und Open-Source-Zugang zugänglich gemacht und werden heute von vielen Unternehmen als Infrastruktur genutzt, um Endnutzern nachgelagerte Dienste anzubieten.“ So beschreibt das Europäische Parlament seine Erkenntnis und verweist insbesondere auf Tools wie ChatGPT, das u.a. in die Suchmaschine Bing eingebunden wurde, oder KI-Tools aus dem Hause von Microsoft, die seit März 2023 verfügbar sind. Gesetzgebungsauswirkungen in Echtzeit. Fast wie in Corona-Zeiten.
Meisterstück: „Wir müssen die technologische Entwicklung bei KI in Deutschland vorantreiben und ein praxistaugliches Regelwerk für ihre Anwendung in Europa und weltweit entwickeln.“ So lässt sich Achim Berg, Präsident des Branchenverbands Bitkom, zitieren. Und er hat Recht. Jetzt gilt es nur noch dieses „praxistaugliche Regelwerk“ zu definieren und in Form des AI Act umzusetzen. Bis zu dessen Wirksamwerden frühestens im Jahr 2025 wird im Bereich KI noch viel passieren. Der AI Act muss vom Anspruch her mindestens so sein, wie es auch bei der DS-GVO die Absicht war - offen für technologischen Fortschritt, aber für alle Beteiligten eben auch ein großes Stück plan- und umsetzbar. Einen AI Act wird man auf EU-Ebene wohl auch frühestens in den 2030er-Jahren erneut zur inhaltlichen Disposition stellen (können). Bis dahin wird dessen Anwendung und Auslegung den betroffenen Akteuren, zuständigen Behörden und letztlich Gerichten bis zum EuGH überlassen - aber sicher auch in der MMR eine zunehmende Rolle spielen.
Standortfaktoren: Regulierung kann sich zum Standortnachteil entwickeln, wenn sie technische Innovation und neue Geschäftsmodelle allzu sehr bedrängt und mitunter abwürgt. Regulierung kann aber auch wie gezeigt einen wichtigen Standortvorteil bieten. Im Vergleich zu den Internet- und IT-Giganten aus insbesondere den USA, aber auch China, muss es der EU auch darum gehen, kleine und mittlere KI-Unternehmen sowie Wachstumsunternehmen nicht zu überfordern. Milliarden an Investorengeldern lassen sich eben auch - wettbewerbsbeeinflussend - für Heerscharen an Compliance-Juristen oder Litigation- und Verwaltungsrechtsexperten verwenden. Kleinere KI-Unternehmen, die mit viel Einsatz und Kreativität an die Nutzbarmachung dieser Technologie gehen, können da nicht mithalten und brauchen zwingend ein Level-Playing-Field. Dieses zu schaffen, liegt nun am EU-Gesetzgeber. Ich wünsche ihm dafür ein glückliches Händchen.
Sprachkompetenz: KI-Sprachmodelle der neuesten Generation werden neben Syntax und Semantik auch auf Pragmatismus trainiert. U.a. das macht sie für Nutzer so faszinierend, aber auch praktisch nutzbar. Es sind Kompetenzen, die von uns Juristen gleichfalls gefordert werden. Gerade im Bereich der KI-Regulierung sind sie aber auch von besonderer Bedeutung im Gesetzgebungsverfahren. Gesellschaft und Wirtschaft brauchen im AI Act syntaktische, semantische und pragmatische Lösungskonzepte sowie Regulierungsansätze. Je besser dies gelingt, desto besser werden alle Beteiligten mit der Vielzahl offener Fragen und unbestimmter (oder nicht ausreichend definierter) Rechtsbegriffe umgehen können. Ich wünsche allen Beteiligten hierbei gleichfalls viel Erfolg.
Konkurrenzkampf: Neben dem AI Act kommt Rechtsfragen aus anderen „IT-Rechtsgebieten“ eine überragende Bedeutung zu. Das belegt exzellent das Beispiel der ChatGPT-Entscheidung der italienischen GPDP. Da der AI Act noch nicht in Kraft ist, konnte regulatorisch „nur“ auf die DS-GVO zurückgegriffen werden. Tritt der AI Act in Kraft, bleiben diese Rechtsgebiete (und zahlreiche mehr) im KI-Bereich selbstverständlich relevant - je nach Ausprägung einer KI-Anwendung mal mehr oder eben weniger, u.a. risikobasiert eben. Spannend wird zu sehen sein, welche KI-Angebote möglicherweise sogar datenschutzfördernd sind, wenn sie etwa Datensouveränität in Europa beim Einsatz bestimmter KI-Lösungen überhaupt erst ermöglichen. Ich sehe hier große Chancen.
Schluss: Es ist nicht möglich, eine KI-Regulierung gleichzeitig gut und es dabei allen Recht zu machen. Am Ende des Gesetzgebungsverfahrens wird beim AI Act ein Kompromiss stehen (müssen). Je besser dieser gelingt, desto höher sind die Chancen für einen stärkeren „Brussels Effect“ auch bei der KI-Regulierung made in Europe. Wenn das nicht Anspruch genug ist. Auf das Ergebnis darf man gespannt sein!
Heidelberg, im Juni 2023