Benötigt die Schweiz ein KI Gesetz?

KI ist wie ein Fussballspiel – es geht nicht ohne verbindliche Regeln! Ich vertrete die Meinung, dass die Schweiz so rasch als möglich eine Regulierung der Verfahren zur künstlichen Intelligenz in Gang bringen muss. Das zögerliche Vorgehen, welches derzeit an den Tag gelegt wird, wird sich rächen.

Kennen Sie eine Sportart, welche ohne Spielregeln und Schiedsrichter auskommt? Zugegeben, der Schiedsrichter wird nicht in vielen Sportarten benötigt und nur dann, wenn es wirklich um etwas wichtiges geht (Fussball sei hier mal ausgenommen…). Aber ich kenne keine Sportart, welche nicht ein minimales Regelwerk hat. Regeln sorgen dafür, dass das Spiel attraktiv und interessant wird und sie beschreiben den korrekten Ablauf. Gleichzeitig definieren sie die Rahmenbedingungen so, dass die Risiken für die Beteiligten möglichst gering sind.

Im Recht gilt ähnliches. Gesetze werden dann geschaffen, wenn im realen Leben neue Tatsachen und Verfahren geschaffen werden, die für die Betroffenen Risiken bergen. Gleichermassen wichtig ist natürlich, dass diese Verfahren so aufgesetzt werden, dass die Beteiligten sich darauf stützen können und sollte ein Disput entstehen, entschieden werden kann, wer denn nun im Recht ist (Verbindlichkeit des Rechts). Jemand muss auf Grund einer klaren Regel entscheiden können, ob es einen Freistoss gibt oder nicht.

Die Entwicklung der KI

Ich werde hier in der Folge nur von Künstlicher Intelligenz (KI) sprechen und nicht auf einzelne Verfahren im Detail eingehen. Eigentlich genügt eine einfache Beobachtung: Die Verfahren der KI bzw. deren Anwendungen haben sich bereits in aller Breite durchgesetzt. Viele Anwenderinnen nutzen KI-basierte Verfahren tagtäglich, zum Teil ohne dies zu wissen. Wöchentlich kommen hunderte von neuen Anwendungen auf den Markt, in welchen Künstliche Intelligenz eine wesentliche Rolle spielt. Es geht hier also nicht um eine Technologie, die man mit viel Anschubinvestitionen und politischer Unterstützung in den Markt werfen muss, sondern diese Verfahren haben sich bereits etabliert und entwickeln sich in einem horrenden Tempo. Da war die .com Bonanza aus dem Jahr 1999 nicht mal ein armseliges Lüftchen, wir haben es hier mit einem veritablen Sturm zu tun! Auf den Sport übertragen: Es ist so, wie wenn eine neue Trendsportart innerhalb von fünf Jahren die Hälfte der Menschheit erreicht hat. Die dafür notwendige Infrastruktur wurde weltweit aufgebaut und diese ist bereits gut ausgelastet. Es wird also gespielt, was das Zeug hält, obwohl keiner so richtig weiss, welche Regeln gelten. Das muss früher oder später zu viel Ärger führen! Wenn weder die Feldgrösse definiert ist, noch die Anzahl der Spieler festgelegt und die Grösse der Bälle unklar ist, dann wird es schwierig. Gewiefte Schlaumeier versuchen jedoch bereits heute, diese Lücken auszunützen. Sie nehmen am Spiel teil, indem sie die vagen Spielfeldgrenzen umgehen und von hinten ein Tor schiessen, andere manipulieren die Resultate oder versuchen, den Spielablauf zu ändern.

KI-Risiken

Nun sind KI-Verfahren in der Regel nicht so harmlos wie eine neue Sportart. Zugegeben es gibt viele Anwendungen, bei denen KI eine wertvolle Rolle spielt und bei denen auch keine negativen Auswirkungen zu erwarten sind. Doch leider sind die neuen Risiken, die mit dem Einsatz solcher Verfahren entstanden sind, ungleich grösser (sie kommen zu den bestehenden hinzu). Wie das aber in der Tech-Szene meistens so ist, werden diese negiert oder es wird darauf verwiesen, man «müsse zuerst einmal Erfahrungen sammeln». Diese Phase ist längst vorbei. KI-Verfahren werden häufig und gerne eingesetzt und deren Transparenz und Nachvollziehbarkeit ist in den wenigsten Fällen gegeben. Die Forschung hat erst jetzt damit begonnen, Ansätze zu entwickeln, wie man Ergebnisse der KI nachvollziehbar machen kann. KI-Verfahren werden heute im Blackbox-Modus eingesetzt, in welchem die Resultatentstehung kaum nachvollziehbar ist. Man könnte auch sagen, das Spiel findet in einem abgedunkelten Stadion statt und nach 102 Minuten steht auf der Anzeigetafel 2:1. Sie vermuten richtig: Dies bedeutet, dass heute gleich verschiedenste Spielregeln des geltenden Rechts elementar verletzt werden. Man denke nur an die banalen Anforderungen des Handelsrechts: «Jede Transaktion muss lückenlos nachvollziehbar und richtig sein sein». Da wird doch der Begriff «kreative Buchhaltung» gleich neu definiert! ChatGPT: «Bitte ändere meine Buchungen so, dass der Hotelaufenthalt von Funktionären bestimmter Herkunftsländer immer automatisch als Weiterbildung verbucht wird.»
Noch haariger wird es, wenn man die Datenschutzregeln heranzieht. Hier wird immer dann vollständige Transparenz gefordert, wenn es um automatisierte Entscheidungen geht, sie unterliegen hohen Anforderungen (wenn sie denn überhaupt zulässig sind). Von Gesetzes wegen muss man VOR dem Einsatz solcher Verfahren abklären, welche Auswirkungen Entscheidungen, haben und was dies für den Betroffenen bedeutet. Im Zweifelsfall muss ein «Human in The Loop» die Entscheidung treffen. Solche Verfahren dürfen gemäss geltenden Gesetzen eigentlich nicht in Umlauf gebracht werden. Diese Verfahren müssen vor der Verbreitung ausreichend getestet und durch eine neutrale Instanz beurteilt werden (Datenschutz-Folgenabschätzung).
Das Datenschutzrecht hilft, doch mit KI entstehen auch völlig neue Risiken und Angriffsvektoren. Zu nennen wären hier z.B. Data Poisoning, Model Evasion, Model Inversion u.a.m. Weiterhin bestehen die klassischen Security-Risiken, ergänzt durch neue Angriffsmethoden (z.B: Sprachsynthetisierung zum Zweck des Social Engineering).

Ohne hier auf die weiteren zusätzlichen Risiken einzugehen wie Diskriminierung oder Verletzung von Ethikgrundsätzen kann durchaus gesagt werden, dass das Risikopotenzial dieser Verfahren in ihrer Gesamtanzahl m.E. die Risiken von fehlerhaften Medikamenten um ein Wesentliches überschreitet. Aus diesem Grund wird z.B. im EU Act eine Klassifizierung der Risiken als Grundlage für die zu treffenden Massnahmen gefordert. Dies führt dazu, dass Hochrisikoverfahren nicht vertrieben werden dürf(t)en.

Fehlendes Know-how

Die KI Bonanza hat dazu geführt, dass sich plötzlich unheimlich viele KI-Experten auf dem Spielfeld bewegen («vor 14 Tage wusste ich noch nicht, was ein LLM ist, heute programmiere ich eins»). Ich glaube, die meisten davon wissen nicht einmal, in welche Richtung sie spielen dürfen. Es herrscht Goldgräberstimmung – jede staubbedeckte Anwendung wird plötzlich mit dem Attribut, „KI-unterstützt“ versehen. Die meisten der sogenannten Experten fischen nach wie vor im Trüben, oder wie erwähnt, spielen mit den falschen Bällen oder wissen nicht, wer ihre Mitspieler sind. Das ist kein Vorwurf, sondern nur eine Tatsache. Denn wir haben ja gesehen, dass ohne vernünftige Regeln kein zuverlässiger Spielbetrieb zustande kommt. Ja auf Grund von was soll man denn ausbilden? Dummerweise kann es aber damit auch passieren, dass diejenigen, die nicht direkt beteiligt sind, zu Opfern dieser Spieler werden. Wir müssen also verhindern, dass Zuschauer, welche an diesem attraktiven Spiel teilnehmen wollen, zu Schaden kommen (die meisten Spieler sind ja freiwillig dabei, was allerdings auch keine Rechtfertigung dafür ist, sie in den Rasen treten zu lassen).

Ich weiss, dass ich meine Daten nicht kenne (Information Governance)

Ein klassisches Information Governance Thema darf hier nicht fehlen: Die Organisation weiss gar nicht, welche Qualität ihre Daten haben, bzw. noch schlimmer, sie hat keine Ahnung, welche Daten zur Anwendung kommen! Ein völlig vernachlässigtes Thema, sieht man einmal davon ab, welche Milliardenschäden alleine in der Raumfahrt wegen fehlerhafter Daten entstanden sind. Zugegeben, da war KI noch kein Thema, man hätte also davon ausgehen dürfen, dass solche Fehler nicht vorkommen! Beim KI-Einsatz geht es aber weniger um ein einzelnes Datum, sondern vielmehr um eine grosse Masse von Daten, welche unkontrolliert in automatisierte Auswertungen einfliessen, die später niemand mehr nachvollziehen kann! Wer nun argumentiert, auch dieses Problem liesse sich mit KI lösen, der sollte sich intensiv mit dem Thema «Semantik» und Ontologien auseinandersetzen. Denn hier kommen wir derzeit am Menschen nicht vorbei.

Fazit: Bereits auf Grund der Risiken, sollte es keine Frage mehr sein, ob eine KI-Regulierung notwendig ist. Doch wo stehen wir damit?

Was ist der Stand der Regulierung?

Viele kennen bereits die Anstrengungen der EU, diese Themen zu regulieren. Seit August 24 ist der EU AI Act in Kraft. Die EU ist Vorreiterin im Entwickeln von Gesetzen und Regeln für den Einsatz von KI-Verfahren. Bereits 2018 wurden die ersten Anstrengungen und Voruntersuchungen initiiert. Dabei wurde darauf geachtet, dass die Regulierung auf jegliche Form von KI angewendet werden kann. Sei dies in einem eingebetteten System, in einem autonomen Fahrzeug oder in einer gängigen Software wie zum Beispiel für die Beurteilung von Bewerbern oder bei der Vergabe von Krediten.

Viele Länder und auch einzelne US-Staaten haben die Idee übernommen und sind auf den Weg, eigene Regulierungen zu entwerfen oder in Kraft zu setzen.

Hier die wichtigsten Grundregeln für den KI Einsatz nach EU Act:

1. Human agency and oversight, including fundamental rights, human agency and human oversight.
2. Technical robustness and safety, including resilience to attack and security, fall back plan and general safety, accuracy, reliability and reproducibility.
3. Privacy and data governance, including respect for privacy, quality and integrity of data, and access to data.
4. Transparency, including traceability, explainability and communication.
5. Diversity, non-discrimination and fairness, including the avoidance of unfair bias, accessibility and universal design, and stakeholder participation.
6. Societal and environmental wellbeing, including sustainability and environmental friendliness, social impact, society and democracy.
7. Accountability, including auditability, minimisation and reporting of negative impact, trade-offs and redress.

Wo steht die Schweiz?

Der Bund hat die Entwicklungen im Bereich der KI verpasst. Gegenwärtig läuft eine Studie, die Ende Jahres 2024 abgeschlossen sein soll. Dann dürfte es noch eine Weile dauern, bis konkrete Massnahmen oder Gesetzesvorschläge daraus geworden sind. De facto treffen wir hier auf einen Sachverhalt, wie wir ihn bereits aus dem Datenschutz kennen. Die EU prescht mit einem wegweisenden Gesetz vor und die Schweiz kann lediglich noch nachvollziehen, was dort geregelt wurde. Vorbei sind die Zeiten, wo die Schweiz in der Regulierung der Digitalisierung Massstäbe setzte (wir waren eines der ersten Länder in Europa, welche die voll digitalisierte Buchführung erlaubte)! Leider muss man an dieser Stelle zugeben, dass es genau genommen keine Rolle mehr spielt, was die Schweiz macht. Wie auch bei der DSGVO wurde mit dem EU AI Act ein de facto Standard geschaffen, an welchem wir nicht mehr vorbeikommen. Dies hat auch damit zu tun, dass der Geltungsbereich des EU Gesetzes extraterritorial gilt, d.h. auch für Anbieter, welche Produkte einsetzen deren Einsatzbereich innerhalb der EU liegen kann. Wer also in die EU exportieren will, wird die Regeln zwingend einhalten müssen.

Gut, dann sind die Spielregeln eigentlich gesetzt. Vielleicht kann man noch gewisse Prinzipien fein regulieren oder an bestimmten Einstellungen schrauben, aber Spielfeldgrösse, Anzahl der Spieler und wie viele Bälle eingesetzt werden, dürfte somit klar sein. Auch geklärt ist die Frage, für wen die Regeln gelten. Gibt es noch Pläne für einen Swiss Finish? Marginale Anpassungen dürften auch im Sinn der schweizerischen Wirtschaft sein, doch hier wird der Spielraum immer kleiner. Vermutlich kann man noch darüber entscheiden, welche Farbe die Spielfeldumrandung haben soll (solange sie weiss ist).
Es ist wohl kein Zufall dass die Schweiz für Ballsportarten keinen Swiss Finish kennt!

Quo vadis?

Das EU Gesetz ist zwar neu, konnte aber natürlich nicht alle Entwicklungen nachvollziehen, die in der Zwischenzeit passiert sind. Es gibt zudem viel Interpretationsspielraum und es stellt sich natürlich immer wieder die Frage, wer jetzt entscheidet, ob die Spielregeln tatsächlich einerseits die Risiken richtig adressieren und andererseits so ausgestaltet sind, dass das Spiel attraktiv bleibt. Wie wir aus Erfahrung kennen, kann man der EU nicht unbedingt grosse Wirtschaftsfreundlichkeit vorwerfen. Das ist auch ein allgemeiner Kritikpunkt, der von den Schweizer Protagonisten ins Feld gebracht wird. Auch aus meiner Sicht muss es möglich sein, innovative Verfahren zu entwickeln. Jeder Spieleentwickler tüftelt Monate, wenn nicht Jahre an einer neuen Idee, bevor er sie auf den Markt bringt. Doch wie dieser auch ein Testpublikum braucht, muss auch der gewiefte KI-Entwickler heute dafür sorgen, dass seine Anwendung nicht nur ausreichend getestet wird, sondern die übergeordneten Regeln umfassend einhält. Heute besteht das latente Risiko, dass aufgrund der enorm gesunkenen Entwicklungskosten, irgendwelche mit der heiss gestrickten Nadel entwickelten Anwendungen auf den Markt geworfen werden, ohne dass sie ausreichend geprüft sind. Das ist ein Grundübel der modernene SW-Entwicklungsverfahren (Stichwort CI/CD), diese müssen nachhaltig angepasst werden. Denn es darf nur ins Feld gelassen werden, was tatsächlich ausreichend getestet wurde. Hierzu braucht es Sandbox-Verfahren, nicht nur für die Technologie, sondern auch für das Recht. Hier ist der Gesetzgeber gefordert, Rahmenbedingungen zu schaffen, welche innovative Entwicklungsumgebungen begünstigen.
Bei den Risiken verhält es sich ähnlich wie bei Medikamenten: Langzeitschäden sind nicht auszuschliessen müssen aber um jeden Preis verhindert werden! Dies bedeutet, dass man bereits für die Entwicklung solcher Anwendungen klare Regeln setzen muss. Wir werden nicht darum herumkommen, das Testen solcher neuen Verfahren auszuweiten und unter Umständen sogar behördlich prüfen zu lassen (Zulassungsverfahren). Die Entwicklung geht in diese Richtung. Das zeigte auch der EU Act und dies wird eine grosse Herausforderung werden. Wieso? Softwareentwicklung ist heute noch Menschen Sache, in zehn Jahren werden nur noch Maschinen Software entwickeln. Die letzte Barrierre bleibt das Testverfahren und die Zulassung. Wie bei der Medikamentenentenentwicklung braucht es einen definierten Zulassungsprozess, Feldtests und Kohortenstudien sowie ein umfassendes Testregime.

Fazit: Das Spiel KI oder besser gesagt, das Grundkonzept «KI-Ball» ist in der Welt angekommen. Aufbauend auf diesem evolutionären Spielsystem werden laufend neue Varianten entwickelt, welche mehr oder weniger Risiken beinhalten. Regeln werden benötigt, um den Spielfluss sicherzustellen und die Risiken für die Beteiligten zu steuern. Die Grundregeln müssen aber immer zwingend eingehalten werden. Neue Spielvarianten oder Spielgeräte müssen VOR ihrer Verbreitung so getestet werden, dass die Risiken für alle Beteiligten bekannt sind und bewältigt werden können. Die Freiheiten der einzelnen Länder, abweichende Regeln zu formulieren, werden minimiert. Denn wer an internationalen Meisterschaften teilnehmen will, muss sich an die Grundprinzipien halten! Innovative Zulassungsverfahren bieten eine Chance, die Lancierung von neuen Produkten und Verfahren zu beschleunigen. Dafür braucht es ein Gesetz.

Bruno Wildhaber, krm.swiss