Das Rahmenübereinkommen über KI steht vor der Tür: Was bedeutet das für Ihre Organisation?

Die Geschwindigkeit, mit der sich KI-Innovationen entwickeln, hat viele überrascht. In einigen Ländern haben die Gesetzgeber Mühe, mitzuhalten, und schwanken zwischen Selbstregulierung (für die sich die USA einsetzen) und einem praktischeren Ansatz (z. B. dem EU-KI-Gesetz). Die meisten erkennen jedoch inzwischen das Potenzial der Technologie, Menschenrechte und Rechtsstaatlichkeit zu untergraben. Eine neue Rahmenübereinkommen des Europarats über künstliche Intelligenz spricht diese Bedenken an.

Ziel ist es, bestehende globale Standards in Bezug auf Menschenrechte, Demokratie und Rechtsstaatlichkeit zu ergänzen und gleichzeitig etwaige Rechtslücken zu schließen, die sich aus den rasanten technologischen Fortschritten bei der KI ergeben. Doch ist es wahrscheinlich, dass dieser technologieunabhängige, vage formulierte Ansatz die Wirkung haben wird, die seine Befürworter behaupten?

Was ist das und warum jetzt?

Die Konvention, deren Ausarbeitung fünf Jahre dauerte, gilt als „erster internationaler rechtsverbindlicher Vertrag“ zur KI. Verfasst wurde sie von den 46 Mitgliedsstaaten des Europarats (darunter Großbritannien), der EU und 11 Nichtmitgliedsstaaten, darunter Australien, Japan und die USA.

Dies ist im Kontext einer wachsenden Zahl unterschiedlicher staatlicher Bemühungen zu sehen, KI so zu regulieren, dass neu entstehende Risiken gemindert werden. Dazu gehört Präsident Bidens Executive Order zu KI ab Oktober 2023, die Bletchley-Erklärung einen Monat später (November 2023) und die Ankündigung der Rede des Königs dass die britische Regierung die Einführung einer KI-Gesetzgebung zur Regulierung leistungsstarker KI-Modelle plant.

Worin besteht der Unterschied zum EU-KI-Gesetz?

Laut Europarat enthält die Konvention mehrere grundlegende Prinzipien, die den Lebenszyklus von KI-Systemen regeln müssen:

• Menschenwürde und individuelle Autonomie
• Gleichheit und Nichtdiskriminierung
• Respekt für die Privatsphäre und den Schutz personenbezogener Daten
• Transparenz und Kontrolle
• Rechenschaftspflicht und Verantwortung
• Zuverlässigkeit
• Sichere Innovation

Die Unterzeichner müssen relevante Informationen zu KI-Systemen dokumentieren und sie allen Betroffenen zur Verfügung stellen. Diese Informationen müssen detailliert genug sein, damit die Menschen Entscheidungen, die mithilfe von KI getroffen wurden, oder sogar den Einsatz von KI selbst anfechten können. Sie müssen auch in der Lage sein, bei den Behörden Beschwerde einzulegen. Diese Behörden müssen allen, die von KI betroffen sind und deren Menschenrechte und Freiheiten beeinträchtigt werden könnten, „wirksame Verfahrensgarantien, Schutzmaßnahmen und Rechte“ bieten. Der Rat sagt, dass die Nutzer von KI auch darüber informiert werden sollten, dass sie mit nicht-menschlicher Intelligenz interagieren.

Die Konvention verlangt von den Staaten zudem, dass sie Risiko- und Folgenabschätzungen in Bezug auf die Auswirkungen der KI auf Menschenrechte, Demokratie und Rechtsstaatlichkeit durchführen. Als Folge davon müssen sie „ausreichende Präventions- und Minderungsmaßnahmen“ ergreifen und sogar Verbote oder Moratorien für bestimmte KI-Anwendungen einführen.

Worin besteht also der Unterschied zum EU-KI-Gesetz? Am offensichtlichsten ist, dass es sich eher auf Nationalstaaten als auf private Unternehmen bezieht – obwohl es auch private Unternehmen betrifft, die im Auftrag von Regierungen handeln. Obwohl beide darauf abzielen, die Menschenrechte im Zusammenhang mit der Nutzung von KI zu schützen, handelt es sich laut Sarah Pearce, Partnerin bei Hunton Andrews Kurth, um „unterschiedliche Gesetze mit sehr unterschiedlichen Rechtsgrundlagen“.

„Das EU-KI-Gesetz ist ein Gesetz der Europäischen Union, das direkt durchgesetzt wird. Der KI-Vertrag ist ein internationales Übereinkommen, das von verschiedenen Nationalstaaten unterzeichnet wurde. Die Unterzeichner verpflichten sich zu bestimmten Grundsätzen/Verpflichtungen und arbeiten mit Gesetzgebern und Regulierungsbehörden auf nationaler Ebene zusammen, um diese Grundsätze/Anforderungen umzusetzen und durchzusetzen“, sagt sie gegenüber ISMS.online.

„Die Grundsätze der KI-Konvention scheinen recht weit gefasst zu sein und erfordern weitere Maßnahmen der Nationalstaaten, um ihre Umsetzung und Durchsetzung sicherzustellen. Daher ist ihre Wirksamkeit zum jetzigen Zeitpunkt fraglich. Im Gegensatz dazu ist das EU-KI-Gesetz geltendes Recht und enthält eine Reihe von rechtlichen Anforderungen, die die betroffenen Organisationen erfüllen müssen, da sie sonst Sanktionen bei Nichteinhaltung riskieren. Es enthält auch Bestimmungen darüber, wie die Gesetzgebung durchgesetzt wird.“

Wird es einen Unterschied machen?

Laut einer Bird & Bird-Analyse:

• Die Staaten können selbst entscheiden, wie sie die Regeln auf private Akteure anwenden – direkt oder über „andere geeignete Maßnahmen“. Dies könnte zu unterschiedlichen Umsetzungen weltweit führen, ebenso wie die Tatsache, dass der Begriff „öffentliche Behörde“ im Text nicht definiert ist.
• Im Allgemeinen beschränkt sich das Übereinkommen eher auf allgemeine Grundsätze als auf spezifische Anforderungen. Dies bedeutet, dass bei der Umsetzung in lokale Gesetze sehr unterschiedliche Regelungen auftreten können.
• Zwar ist eine Berichterstattung über die Einhaltung der Vorschriften erforderlich, doch ist das Übereinkommen aufgrund fehlender strenger Durchsetzungskriterien eher zahnlos.
• Für Verstöße gegen die Menschenrechte im Zusammenhang mit der Konvention wurden keine Rechtsmittel, wie etwa Geldbußen, vorgeschlagen. Dies bedeutet, dass diese auch von Land zu Land erheblich variieren können.

„Höchstwahrscheinlich wird die Einhaltung des Übereinkommens für die meisten Organisationen aufgrund der unpräzisen Sprache und der weit gefassten Pflichten eine Herausforderung darstellen“, sagt Matthew Holman, Partner bei Cripps, gegenüber ISMS.online.

„Die EU sagt, dass sie dies durch die Umsetzung des EU-KI-Gesetzes erreicht hat, und in diesem Punkt hat sie grundsätzlich recht. Die britische Regierung sagt, dass bestehende nationale Gesetze die Punkte des Übereinkommens bereits berücksichtigen, sodass kein eigenständiges Gesetz erforderlich ist. Ob sie in diesem Punkt recht hat, ist durchaus diskussionswürdig, aber ich würde dem widersprechen.“

 Was sind die nächsten Schritte?

Die britische Regierung scheint daran interessiert zu sein, seine Position als Vorreiter in Sachen KI-Sicherheit. Das Unternehmen behauptet, dass bestehende Gesetze und Maßnahmen nach der Ratifizierung des Vertrags „verstärkt“ würden und dass es eng mit „Regulierungsbehörden, den dezentralen Verwaltungen und lokalen Behörden“ zusammenarbeiten werde, um die neuen Anforderungen umzusetzen.

Bis dahin, sagt Holman, sollten sowohl öffentliche als auch private Organisationen, die möglicherweise von der Konvention betroffen sind, sicherstellen, dass jegliche KI-Entwicklung mit den Grundwerten des Europarats – Menschenrechte, Demokratie, Rechtsstaatlichkeit und Transparenz – im Einklang steht.

„Behörden und private Akteure sollten darauf abzielen, die Transparenz der Prozesse zu erhöhen und mit den Behörden zusammenarbeiten, um einen Rahmen für branchenübliche ethische Praktiken zu schaffen“, so sein Fazit.