Große Modelle, große Risiken: die Regulierung von KI

An generativer KI kommt auch der Prototype Fund nicht vorbei. In den vergangenen Bewerbungsrunden sind immer mehr Bewerbungen für Projekte eingegangen, die Methoden der Künstlichen Intelligenz (KI) bei der Entwicklung nutzen oder kritisch begleiten. Deshalb haben wir als Förderprogramm uns in unserem Trendbericht Generative KI in der Hand der Zivilgesellschaft mit dem Thema auseinandergesetzt. Einige der Ergebnisse stellen wir in unserer vierteiligen Blogreihe vor.

Umweltschäden, Diskriminierung, Fake News – die Risiken, die im Zusammenhang mit KI diskutiert werden, sind vielfältig. Und je größer die verwendeten Datensätze und je komplexer die entwickelten Modelle, desto größer werden auch die assoziierten Risiken. Eine Möglichkeit, diesen Risiken zu begegnen, ist die Regulierung von KI. Die wird in Europa zunehmend vorangetrieben. Noch ist die Lage im KI-, Datenschutz- und Urheberrecht aber unübersichtlich und wesentliche Fragen sind ungeklärt. Für kleine Open-Source-Projekte kann die Entwicklung von KI deshalb mit großen Unsicherheiten verbunden sein.

Der AI Act, ein Gesetz nur für KI

Der AI Act ist das erste Gesetz, das spezifisch für die Regulierung von KI beschlossen wurde. Er wird in Zukunft maßgeblich bestimmen, wie die Technologie in Europa entwickelt und genutzt werden darf. Vorgesehen sind darin – abhängig von deren erwarteten Risiken – Verbote bzw. Regeln für KI-Systeme und insbesondere für große, breit nutzbare KI-Modelle. Entwickler*innen und Anbieter*innen von KI-Systemen und –Modellen, die erlaubt, aber als riskant eingestuft sind, müssen eine Reihe an Transparenzpflichten erfüllen und Maßnahmen ergreifen, um Sicherheitsstandards zu erfüllen. Entwickler*innen, die KI-Modelle z. B. durch Fine-Tuning modifizieren, müssen diese Pflichten jeweils nur für ihre eigenen Modifikationen erfüllen.

Auch kleine Open-Source-Projekte verpflichtet der AI Act zu weitreichenden Maßnahmen. Einige Ausnahmen gibt es jedoch. So ist Open-Source-Software von einigen wenigen Verpflichtungen ausgenommen. Ausnahmen gelten außerdem für KI-Systeme und Modelle, die ausschließlich für private, nicht-professionelle Zwecke genutzt werden oder sich im Forschungs- und Entwicklungsprozess befinden und noch nicht im Einsatz sind. Kleine Unternehmen und Start-ups können von einzelnen Erleichterungen wie vereinfachten Transparenzpflichten und der kostenlosen Nutzung sogenannter regulatorische Reallabore profitieren, in denen KI-Technologien unter sicheren Voraussetzungen erprobt werden sollen.

Wie genau diese Erleichterungen in der Praxis aussehen sollen und inwieweit auch zivilgesellschaftlich getragene Projekte von ihnen profitieren werden, muss sich aber noch zeigen. Auch die durch den AI Act angestoßene Standardisierung und Zertifizierung als Nachweis für die Erfüllung der Vorgaben stehen noch aus. Große Teile des AI Act müssen also nach dessen Verabschiedung noch weiter spezifiziert werden.

Datenschutz gilt auch für KI

Auch für die informationelle Selbstbestimmung kann KI besondere Risiken darstellen. Immer wieder tauchen sensible personenbezogene Informationen in den Datensätzen großer generativer KI-Modelle auf, deren Anbieter auf Auskunftsersuchen und Löschanfragen nicht oder nur unzureichend reagieren. Das zeigte zuletzt eine Datenanalyse des Bayerischen Rundfunks, an der die Prototype-Fund-Alumna Katharina Brunner beteiligt war.

Die Rechte und Pflichten der europäischen Datenschutzgesetze, insbesondere der Datenschutzgrundverordnung, gelten uneingeschränkt auch für KI-Modelle und -Systeme. Das bedeutet, dass personenbezogene Daten auch hier nur mit einer gültigen Rechtsgrundlage wie beispielsweise einer Einwilligung genutzt werden dürfen. Betroffenenrechte wie das Recht auf Auskunft oder das Recht auf Berichtigung gelten. Das birgt aufgrund der Größe und Komplexität von KI-Modellen und den für ihr Training verwendeten Datensätze besondere Schwierigkeiten für die Verantwortlichen. Die Transparenzanforderungen des AI Act bieten insofern eine Ergänzung zur Datenschutzgrundverordnung. Durch sie werden Schritte eingefordert, die Voraussetzungen für den effektiven Schutz personenbezogener Daten schaffen.

Wie die europäischen Datenschutzbehörden große, breit einsetzbare KI-Systeme bewerten und gegebenenfalls gegen deren Anbieter*innen vorgehen, steht noch aus. Zur Zeit untersuchen Taskforces sowohl der europäischen Datenschutzbehörden als auch der Landesdatenschutzbehörden, ob eine der bekanntesten KI-Anwendungen, ChatGPT gegen geltendes Datenschutzrecht verstößt. Darüber hinaus hat die NGO noyb bei der österreichischen Datenschutzaufsicht offiziell Beschwerde gegen OpenAI, das Unternehmen hinter ChatGPT, eingelegt.

KI und ihre Urheber

Genauso wie der Datenschutz gilt auch das Urheberrecht für KI. Was das konkret bedeutet, ist jedoch zur Zeit noch unklar. Offen sind sowohl die Frage, unter welchen Umständen KI-Modelle mit urheberrechtlich geschützten Inhalten trainiert werden dürfen, als auch die Frage, ob und wann Personen als Urheber*innen von synthetischen Medien gelten können, die sie über Prompts generiert haben.

In Bezug auf die erste Frage stehen momentan Gerichtsentscheidungen aus. In Deutschland wird sich im Juli das Landgericht Hamburg mit der Klage eines Fotografen gegen den LAION e. V. wegen der Verwendung eines seiner urheberrechtlich geschützten Bilder in einem Trainingsdatensatz beschäftigen. In den USA stehen Entscheidungen zu ähnlichen Klagen aus. Legal könnte die Nutzung von geschützten Inhalten für das Training von KI-Modellen nach dem deutschen Urheberrechtsgesetz sein, wenn sie wie Text und Data Mining behandelt wird. Dann wäre sie legal, sofern der oder die Urheber*in ihr nicht ausdrücklich widerspricht. Über die rechtliche Beurteilung hinaus, ist bedeutend, unter welchen Voraussetzungen die Verwendung von Inhalten moralisch erachtet wird. Welche Gründe bei vielen Coding-Assistenten dagegen sprechen und welche Alternativen es gibt, erklärt der Prototype-Fund-Alumnus Mark Padgham im Interview.