KI-Regulierung in den USA – ein Blick über den großen Teich

Co-Autoren: Dean W. Harvey, Partner, Perkins Coie LLP und Pranav Neel Bethala, associate, Perkins Coie LLP

In der Europäischen Union schreitet das Gesetzgebungsverfahren zum „Artificial Intelligence Act“ („AI-Act“) nach der am 6. Dezember 2022 veröffentlichten Position des Rates weiter voran. Auch, wenn der anstehende Trilog mit Spannung erwartet wird, ist damit jedoch aufgrund der Schwierigkeiten des Europäischen Parlaments, sich auf eine gemeinsame Position zu verständigen, in diesem Jahr nicht mehr zu rechnen. Ein guter Zeitpunkt, einmal einen Blick über den großen Teich zu werfen und sich damit zu beschäftigen, was die Vereinigten Staaten von Amerika („USA“) in Sachen KI-Regulierung vorhaben. Konkret in den Blick nehmen wollen wir hierfür die jüngsten Entwicklungen in der Regulierungslandschaft der USA.

CPRA - California Privacy Rights Act

Im November 2020 haben die Wähler im US-Bundesstaat Kalifornien einem neuen Gesetz zugestimmt, dem California Privacy Rights Act („CPRA“). Der CPRA, welcher am 1. Januar 2023 in Kraft tritt, ändert und erweitert das bestehende Gesetz zum Schutz der Privatsphäre von Verbrauchern, den California Consumer Privacy Act („CCPA“), erheblich. Zu den Änderungen, die der CPRA mit sich bringt, gehören unter anderem:

• die Einrichtung einer neuen kalifornischen Regierungsbehörde zur Durchsetzung des CPRA;
• die Ausweitung eines bestehenden Widerspruchsrechts, um Verbrauchern die Möglichkeit zu geben, die Weitergabe ihrer persönlichen Daten zum Zweck der „kontextübergreifenden verhaltensbezogenen Werbung“ abzulehnen, einer Praxis, bei der Verbraucher auf der Grundlage persönlicher Informationen, die sie außerhalb des Kontexts, in dem sie absichtlich interagieren, zur Verfügung stellen, gezielt beworben werden sowie
• Ausschluss von sogenannten Dark Patterns – also Benutzeroberflächen, die so gestaltet oder manipuliert sind, dass sie die Autonomie, die Entscheidungsfindung oder die Wahlmöglichkeiten des Benutzers erheblich beeinträchtigen – als Einwilligung von Verbrauchern in Bezug auf ihre persönlichen Daten und Erlass von Vorschriften, die die Verwendung von Dark Patterns durch Unternehmen verbieten.

Obwohl der CPRA ein kalifornisches Gesetz ist, sind viele wichtige geschäftliche Transaktionen und Beziehungen in irgendeiner Weise mit Kalifornien verbunden und können daher unter den CPRA fallen. Darüber hinaus werden, ähnlich wie beim CCPA, ähnliche Gesetze wie das CPRA wahrscheinlich von mehreren anderen Bundesstaaten verabschiedet, wodurch das CPRA landesweite Bedeutung erlangt, auch wenn es nicht die gesamten USA abdeckt.

AI Bill of Rights

Am 4. Oktober 2022 veröffentlichte das White House Office of Science and Technology Policy („OSTP“) einen Leitfaden für die Entwicklung, Nutzung und den Einsatz automatisierter Systeme Blueprint for an AI Bill of Rights (the “Blueprint”).

Die Ursprünge des Blueprints begannen fast ein Jahr zuvor, am 22. Oktober 2021, als das OSTP eine Pressemitteilung herausgab, in der es die potenziellen und tatsächlichen Gefahren von KI-Systemen anerkannte und vorschlug, dass, ähnlich wie bei der Bill of Rights, die während der Gründung der Vereinigten Staaten erlassen wurde, eine neue Bill of Rights für die Bürger in Bezug auf KI notwendig sei. Die Ankündigung enthielt eine öffentliche Aufforderung zur Einreichung von Informationen über KI-gestützte Technologien bei Forschern des öffentlichen und privaten Sektors, politischen Entscheidungsträgern, Interessenvertretern, Technologen, Journalisten und Anwälten. In einer anschließenden Pressemitteilung vom 10. November 2021 kündigte das OSTP an, dass es auch Anhörungen und öffentliche Veranstaltungen veranstalten werde, bei denen verschiedene Praktiker, Befürworter und Regierungsvertreter zusammenkommen würden, um Aufklärung und Engagement in Bereichen zu fördern, in denen KI-gestützte Technologien das Leben der Bürger beeinflussen. Der Blueprint ist der Höhepunkt dieser Bemühungen und stellt den aktuellen Ansatz des Weißen Hauses in Bezug auf KI dar.

Im Gegensatz zum geplanten AI-Act der EU ist der Blueprint zwar nicht verbindlich, aber er enthält fünf Grundsätze, die potenzielle Schäden durch KI-Systeme minimieren sollen und bietet praktische Anleitungen für deren Umsetzung:

• Sichere und effektive Systeme

KI-Systeme sollen unter Konsultation der Öffentlichkeit und Experten entwickelt werden, um potentielle Risiken zu identifizieren. Sie sollen vor der Einführung getestet sowie laufend überwacht werden, um nachzuweisen, dass sie sicher und effektiv sind. KI-Systeme sollen nicht mit der Absicht oder der absehbaren Möglichkeit entwickelt werden, die Sicherheit zu gefährden. Sie sollen so konzipiert sein, dass sie proaktiv vor Schäden schützen, welche sich aus unbeabsichtigten Auswirkungen ergeben könnten. Die Verwendung unangemessener, minderwertiger oder irrelevanter Daten sollte vermieden werden. KI-Systeme sollten unabhängigen Bewertungen und Berichten unterworfen werden. 

• Schutz vor algorithmischer Diskriminierung
  

KI-Systeme sollen auf gerechte Weise entwickelt und eingesetzt werden und nicht auf der Grundlage eines gesetzlich geschützten Merkmals diskriminieren. Entwickler und Betreiber von KI-Systemen sollten proaktiv und kontinuierlich Maßnahmen ergreifen, um Einzelpersonen und Gemeinschaften vor algorithmischer Diskriminierung zu schützen und die Systeme auf gerechte Weise zu nutzen und zu gestalten. Die Systeme sollen einer proaktiven Gleichheits- und Ungleichheitsbewertung unterzogen und auf Grundlage eines repräsentativen und robusten Datensatzes entwickelt werden. Sie sollen die Zugänglichkeit für Menschen mit Behinderungen sicherstellen und die Verwendung von nicht repräsentativen Daten, welche zu Diskriminierung beitragen, verhindern. Es soll eine unabhängige Bewertung potenzieller algorithmischer Diskriminierung und eine möglichst öffentliche Berichterstattung geben.

• Datenschutz

Der Einzelne sollte selbst bestimmen können, wie seine Daten verwendet werden und er sollte nicht überwacht werden. Zu diesem Zweck sollen KI-Systeme Daten im Einklang mit den Grundsätzen des Datenschutzes verarbeiten (z.B. Datenminimierung, Einwilligung in die Verarbeitung, Löschung von Daten). Systeme sollten keine KI für Designentscheidungen verwenden, welche die Wahlmöglichkeiten des Benutzers verschleiern oder ihn mit Standardeinstellungen belasten, die in die Privatsphäre eingreifen. Überwachungs- und Kontrollsysteme sollten einer verstärkten Aufsicht unterliegen, einschließlich einer Bewertung der potenziellen Schäden, und sollten nicht in Bereichen wie Wohnen, Bildung oder Beschäftigung eingesetzt werden, oder wenn die Überwachung die Ausübung demokratischer Rechte in einer Weise überwachen würde, die die Bürgerrechte und -freiheiten einschränkt. 

• Hinweise und Erläuterungen

Konstrukteure, Entwickler und Betreiber automatisierter Systeme sollen eine allgemein zugängliche, leicht verständliche Dokumentation bereitstellen. Diese soll die klare Beschreibungen der allgemeinen Systemfunktionalität und der Rolle der Automatisierung, einen Hinweis auf den Einsatz solcher Systeme, die für das System verantwortliche Person oder Organisation sowie klare, zeitnahe und zugängliche Erklärungen zu den Ergebnissen enthalten. Der Einzelne soll wissen, wie und warum ein ihn betreffendes Ergebnis von einem automatisierten System ermittelt wurde. Automatisierte Systeme sollen aussagekräftige, dem Risiko entsprechende Erklärungen liefern.

• Menschliche Alternativen, Prüfung und Fallback

Es soll die Möglichkeit bestehen, sich gegen KI-Systeme und für eine menschliche Alternative zu entscheiden. Es soll Zugang zu rechtzeitiger menschlicher Prüfung und Abhilfe durch ein Fallback- und Eskalationsverfahren geben. KI-Systeme, die in sensiblen Bereichen (z.B. Strafjustiz, Arbeit, Bildung und Gesundheit) eingesetzt werden sollen, sollten zusätzlich auf den Zweck zugeschnitten sein, einen sinnvollen Zugang für die Überwachung bieten, Schulungen für alle Personen umfassen, die mit dem System interagieren, und menschliche Überlegungen für nachteilige oder risikoreiche Entscheidungen einschließen.

Die Reaktionen auf das Dokument fallen – wenig überraschend – gemischt aus. Manche bemängeln, dass es sich nur um ein unverbindliches Weißbuch und gerade keine gesetzliche Vorschrift handele und es daher auch keine Möglichkeiten biete, die beschriebenen Grundsätze auch tatsächlich durchzusetzen. Andere kritisieren, dass der Entwurf digitale Technologien als „eine der großen Herausforderungen für die Demokratie“ verunglimpfe und sorgen sich über die Auswirkungen möglicher neuer Vorschriften auf die Wettbewerbsfähigkeit Industrie -eine Position, die im Wesentlichen auch bereits im April 2021 gegenüber dem Erstentwurf des AI-Acts vorgebracht wurde. Teilweise wird sogar die Hoffnung laut, dass EU und USA ein einheitliches Regelwerk für KI-Regulierung schaffen könnten – angesichts der bis dato völlig unterschiedlichen Herangehensweise der beiden Regulatoren wird dies jedoch wohl bis auf weiteres eine Wunschvorstellung bleiben.

Die Zeit könnte zeigen, dass einige dieser Kritikpunkte vielleicht gar nicht so problematisch sind. Die Kritik, der Blueprint sei unverbindlich, vernachlässigt zum Beispiel die Tatsache, dass das Endprodukt des OSTP nie als verbindlich gedacht war. Darüber hinaus enthält der OSTP-Blueprint Beispiele, in denen Regierungsbehörden die Grundsätze des Blueprints umgesetzt haben. So haben beispielsweise das Energieministerium, das Verteidigungsministerium und die United States Intelligence Community Rahmenwerke für die ethische Entwicklung und Nutzung von KI geschaffen, und die Equal Employment Opportunity Commission und das Justizministerium haben Praktiken zur Vermeidung von Diskriminierung bei der Einstellung oder von Mitarbeitern mit Behinderungen herausgegeben. Durch die Aufnahme solcher Fälle gibt der Blueprint Beispiele vor, denen andere Bundesbehörden bei der Schaffung verbindlicherer Vorschriften und Richtlinien folgen können.

Abgesehen von den oben genannten Kritikpunkten könnte es jedoch ein tieferes Problem im Ansatz des Blueprints geben: Er scheint in wichtigen Bereichen gleichzeitig über- und unterreguliert zu sein. Was die potenzielle Überregulierung betrifft, so heißt es im Blueprint, dass er alle automatisierten Systeme abdecken soll, „die das Potenzial haben, die Rechte, Möglichkeiten oder den Zugang von Einzelpersonen oder Gemeinschaften erheblich zu beeinträchtigen“. Der Blueprint fasst diesen Anwendungsbereich recht weit und dehnt ihn sogar, wie im Anhang des Blueprints vermerkt, auf KI-Anwendungen wie „Algorithmen, die vorgeben, Betrug oder Plagiate von Studenten zu erkennen“ und „automatische Verkehrsleitsysteme“ aus. Obwohl solche Anwendungen das Wohlbefinden des Einzelnen oder der Gemeinschaft erheblich beeinträchtigen können, sind solche Auswirkungen wahrscheinlich schwächer und insgesamt unwahrscheinlicher, insbesondere im Vergleich zu den anderen und schwerwiegenderen Auswirkungen, die im Blueprint genannt werden. Eine unkritische Anwendung der Grundsätze des Blueprints auf diese Arten von KI-Anwendungen kann nicht nur Ressourcen von der Behandlung potenziell risikoreicher und folgenreicher automatisierter Systeme abziehen, sondern auch kontraproduktiv sein (z.B. sind menschliche Alternativen zur KI-basierten Plagiatserkennung weit weniger effektiv).

Im Hinblick auf eine mögliche Unterregulierung wurde festgestellt, dass der Blueprint kaum Vorschriften für den umfassenden Einsatz von KI durch die Strafverfolgungsbehörden enthält – und nicht einmal darüber diskutiert wird. Der Blueprint stellt ausdrücklich fest, dass Strafverfolgungsaktivitäten „eine Abwägung der Gleichgewichte erfordern, zum Beispiel zwischen dem Schutz sensibler strafverfolgungsrelevanter Informationen und dem Grundsatz der Benachrichtigung“ und dass „die Benachrichtigung als solche möglicherweise nicht angemessen ist oder angepasst werden muss“. Die Bürgerinnen und Bürger können berechtigterweise über diesen Ansatz besorgt sein, insbesondere wenn man ihn mit dem viel anspruchsvolleren und sorgfältigeren Ansatz des Blueprints für andere KI-Nutzungen, einschließlich Aktivitäten mit geringerem Risiko, vergleicht.

AI Risk Management Framework

Am 18. August 2022 hat das National Institute of Standards and Technology („NIST”) den zweiten Entwurf seines „AI Risk Management Framework“ für Stellungnahmen veröffentlicht. Die ursprüngliche Version stammt bereits aus März 2022 und basiert auf einem Konzeptpapier aus Dezember 2021, die finale Version ist für Januar 2023 angekündigt. Das AI Risk Management Framework soll Unternehmen, welche KI-Systeme entwickeln oder einsetzen, bei der Bewertung und Bewältigung von Risiken im Zusammenhang mit diesen Technologien helfen. Es besteht aus freiwilligen Richtlinien und Empfehlungen, ist also ebenfalls unverbindlich, und explizit nicht als Vorschrift zu verstehen. 

Das AI Risk Management Framework besteht aus vier Kernfunktionen, welche jeweils in Unterkategorien unterteilt werden, denen wiederum Akteure und Aktivitäten zugeordnet sind.

• „Map“ (abbilden): Der Kontext wird erkannt und die mit dem Kontext verbundenen Risiken werden identifiziert.
• „Measure“ (messen): Identifizierte Risiken werden bewertet, analysiert oder überwacht.
• „Manage“ (verwalten): Risiken werden nach Prioritäten geordnet und auf der Grundlage der voraussichtlichen Auswirkungen behandelt. 
• „Govern“ (beherrschen): Eine Kultur des Risikomanagements wird gepflegt und ist präsent.
  
   

Die Nutzer des Frameworks können diese Funktionen so anwenden, wie es ihren Bedürfnissen für das Management von KI-Risiken am besten entspricht.

Das AI Risk Management Framework wurde als funktionierender Rahmen gelobt, welcher von Organisationen tatsächlich genutzt und entsprechend ihrer besonderen Umstände angepasst werden könne. Nichtsdestotrotz würden manche Risikoquellen im Framework nicht oder nicht ausreichend behandelt, wie beispielsweise eine schlechte Datenqualität oder unvorhersehbare Wechselwirkungen zwischen KI und anderen Systemen. Darüber hinaus wird in einigen Kommentaren zum zweiten Entwurf kritisiert, dass der Rahmen die menschliche Komponente des KI-Risikomanagements nicht angemessen berücksichtigt. So haben verschiedene Einrichtungen und Personen Bedenken geäußert, dass das Konzept des „Human in the Loop“ des Rahmens nicht zwischen den verschiedenen Arten menschlicher Aufsicht unterscheidet, die für automatisierte Systeme angemessen sind, dass der Rahmen die Bedeutung des Feedbacks von Endnutzern nicht ausreichend erörtert oder dass der Rahmen durch die Angabe und Identifizierung von Gestaltungsprinzipien zur Verbesserung des Dialogs und der Zusammenarbeit zwischen interessierten Parteien, einschließlich menschlicher Endnutzer, verbessert werden könnte. Es bleibt abzuwarten, ob diese Bedenken in der endgültigen Fassung des Rahmens ausführlicher behandelt werden.

Unterschiedliche Ansätze – selbes Ziel

Es besteht kein Zweifel, dass die potenziellen Risiken der KI erkannt worden sind – auf beiden Seiten des Atlantiks. Allerdings scheint die EU, wie im Fall der Datenschutzgrundverordnung, die größere regulatorische Keule zu schwingen, während die USA (vorerst) eher auf freiwillige Maßnahmen setzen. Welcher Ansatz erfolgreicher sein wird, wenn es um das Ziel geht, KI auf der Grundlage westlicher Werte zu nutzen, ohne die zweifellos großen Chancen der Technologie vor dem Hintergrund des internationalen Wettbewerbs zu blockieren, bleibt abzuwarten. In jedem Fall bleibt abzuwarten, wie die endgültige Fassung des AI-Acts aussehen wird und ob die USA bei der Regulierung nachziehen werden. Beides wird wahrscheinlich nicht vor Ende 2023 bekannt sein, aber eines ist sicher – wir werden es im Auge behalten.