Ausnahmen der KI-VO zugunsten Sicherheitspolitik und Tech-Giganten

18. Februar 2025

Ausnahmen der KI-VO zugunsten Sicherheitspolitik und Tech-GigantenDie KI-Verordnung (KI-VO) soll der Regulierung Künstlicher Intelligenz in der EU und dem Schutz der Grundrechte dienen. Doch die Organisationen Corporate Europe Observatory (CEO) und Investigate Europe sehen in der Verordnung erhebliche Schwachstellen. Zahlreiche Ausnahmen und Schlupflöcher, würden zu einer Aushöhlung des AI-Acts und damit zu Grundrechts- und Datenschutzproblematiken führen. Ursächlich dafür sollen ein starker Lobbyeinfluss der Tech-Industrie sowie starke nationale Sicherheitsinteressen von Staaten wie Frankreich gewesen sein.

KI-VO

Die im Juli letzten Jahres verabschiedete Verordnung zur Künstlichen Intelligenz (KI-VO) soll sichere, vertrauenswürdige KI-Systeme fördern, Grundrechte schützen und Innovationen vorantreiben. Erste Regelungen treten Anfang Februar in Kraft. Die Verordnung teilt KI-Systeme nach Risikopotenzial ein, verbietet besonders gefährliche Praktiken und regelt Hochrisiko-KI-Systeme. Ziel ist ein Ausgleich zwischen Innovation und dem Schutz vor Diskriminierung und Überwachung.

Verhaltenskodex für General Purpose AI

Ein Schwerpunkt der KI-VO sind General Purpose AI (GPAI) wie Large-Language-Models (LLM). Um ihre potenziellen Risiken – von Datenschutzproblemen bis hin zur Verzerrung von Entscheidungsprozessen – zu begegnen soll ein „Codes of Practice“ (CoP) die KI-VO ergänzen und eine praxisnahe Umsetzung der Regelungen ermöglichen.

Der erste Entwurf konkretisierte insbesondere Transparenz- und Urheberrechtspflichten nach der KI-VO, inklusive einiger Ausnahmen für gewisse Open-Source-Modelle. Der am 19. Dezember 2024 veröffentlichte zweite Entwurf fokussiert sich dagegen speziell auf KI-Modelle mit allgemeinem Verwendungszweck mit systemischem Risiko nach Artikel 51 der Verordnung. Darunter zählen insbesondere Modelle, die für das Training einen hohen Rechenaufwand (mehr als 10(^25)) verwenden. Für diese skizziert der Leitfaden Maßnahmen zur Bewertung und Minderung systemischer Risiken, Meldung von schwerwiegenden Vorfällen, Hinweisgeberschutz und Cybersicherheitsverpflichtungen.  Mit dem dritten Entwurf des Verhaltenskodex sei in der Woche vom 17. Februar 2025 zu rechnen, mit der Fertigstellung erst im April.

Ausnahmen und Schlupflöcher in KI-VO

Allerdings zeigen die nun veröffentlichten Recherchen von Corporate Europe Observatory (CEO) und Investigate Europe, dass diese Ziele durch Ausnahmen, Schlupflöcher stark geschwächt wurden.

Die Rolle der Tech-Unternehmen

Die Organisation CEO kritisiert in ihrer Recherche den Einfluss von KI-Unternehmen auf die Ausgestaltung der KI-Standards.

Zum einen Kritisiert CEO, dass für GPAI anstelle verbindlicher Standards lediglich der freiwillige „Code of Practice“ zur Anwendung kommt. Dieser Verhaltenskodex wird unter Leitung des KI-Büros mithilfe von vier Arbeitsgruppen ausgearbeitet. Während Anbieter von GPAI aktiv an Workshops teilnehmen und den Kodex mitgestalten können, ist die Teilnahme von Zivilgesellschaft, Wissenschaft und unabhängigen Experten auf Plenarsitzungen beschränkt.

Gleichzeitig hat die EU-Kommission die europäischen Normungsorganisationen CEN und CENELEC mit der Ausarbeitung technischer Standards beauftragt, die in Zukunft Herstellern die Konformitätsvermutung nach der KI-VO zu geben. Laut CEO bestehe das CEN-CENELEC Joint Technical Committee 21 on AI (JTC21), das diese Standards entwickelt, jedoch zu mehr als der Hälfte aus Vertretern von Unternehmen und Beratungsfirmen. Fast 25 Prozent der Mitglieder stamme von US- oder chinesischen Tech-Giganten wie Microsoft, Amazon, Google, Oracle oder Huawei. In manchen Sitzungen sei nur ein Vertreter europäischer Interessen anwesend gewesen, so CEO.

Kritik von Corporate Europe Observatory (CEO)

Infolge der vorherrschenden Rolle der Industrie und mangelnder Repräsentation zivilgesellschaftlicher Interessen sieht CEO eine Verwässerung des AI-Acts. Es käme zur Aushöhlung von Grundrechten, indem die Definitionen von “Vertrauenswürdigkeit”, “Risikomanagement” und “Transparenz” an privaten Standardisierungsorganisationen wie JTC21 ausgelagert werden. CEO wirft diesem Vorgehen Intransparenz, Scheinkonformität und die Gefahr von Diskriminierung vor. Durch fehlerhafte Trainingsdaten und voreingenommene Algorithmen (biased) können KI-Systeme bestehende soziale Vorurteile verstärken und zu Diskriminierung führen. Besonders vulnerable Gruppen seien einem erhöhten Risiko durch Profiling und Überwachung ausgesetzt.

Der Einfluss Frankreichs und andere EU-Staaten

Investigate Europe zeigt auf, dass Frankreich und andere EU-Staaten ihre nationalen Sicherheitsinteressen durch intensive Lobbyarbeit in die KI-VO eingebracht haben. Dies würden interne Dokumente des COREPER-Ausschusses, der die Sitzungen des EU-Rats vorbereitet, belegen. Das Ergebnis sind eine Reihe von Ausnahmen speziell für Strafverfolgungs- und Grenzbehörden. Diese erlauben den Einsatz von KI-gestützter Überwachung in öffentlichen Räumen, einschließlich Gesichtserkennung und Predictive Policing. Investigate Europe äußert erhebliche Bedenken hinsichtlich des Schutzes der Grundrechte und des Datenschutzes.

Ausnahmen für Strafverfolgungs- und Grenzbehörden

Die Ausnahmen beginnen direkt beim Anwendungsbereich der KI-VO: Danach sind Zuständigkeiten der Mitgliedstaaten in Bezug auf die nationale Sicherheit ausgenommen. Daneben gilt die Verordnung nicht für KI-Systeme, die ausschließlichen Zwecke des Militärs, der Verteidigung oder der nationalen Sicherheit erfüllen.

Des Weiteren sind einige nach Artikel 5  KI-VO verbotene KI-Praktiken mit Ausnahmen versehen. Darunter fällt die biometrischer Echtzeit-Gesichtserkennung im öffentlichen Raum. Diese ist zu Strafverfolgungszwecken, (unter weiteren Voraussetzungen) zulässig soweit dies „unbedingt erforderlich“ ist. Nach Anhang II zählt dazu neben Terrorismus, Menschenhandel oder Mord auch Umweltkriminalität. Investigate Europe befürchtet hier, dass beispielsweise Klimademonstrationen oder politische Proteste mit KI von der Polizei überwacht werden könnten. In der Praxis gelte diese Ausnahme auch für private Unternehmen  oder Drittländer, die die KI-gestützte Technologie an Polizei- und Strafverfolgungsbehörden liefern, so der Bericht weiter.

Ähnlich sieht es mit KI-Emotionserkennung aus. Der Einsatz von Erkennungssystemen, die die Stimmung oder Gefühle von Menschen interpretieren, ist ab dem 2. Februar an Arbeitsplätzen, Schulen und Universitäten verboten. Nicht jedoch, wenn dies aus Sicherheitsgründen erforderlich ist. Ebenfalls verboten sind KI-Systeme zur biometrischen Kategorisierung, mit denen Rasse, politische Meinungen, Religion, Gewerkschaftszugehörigkeit oder sexuelle Orientierung, festgestellt werden können. Aber auch hier gibt es eine Ausnahme: Das Verbot gilt nicht für rechtmäßig erworbene biometrische Datensätze, wie z. B. Bilder im Bereich der Strafverfolgung. Investigate Europe sieht in diesen Ausnahmen die Zulassung dieser Systeme für Polizeikräfte sowie Einwanderungs- und Grenzbehörden.

Folgen der Ausnahmen

Zusammengefasst äußert Investigate Europe erheblichen Befürchtungen hinsichtlich des Schutzes von Grundrechten und der potenziellen Überwachung von Bürgerinnen und Bürger. Zu den Kernpunkten zählen die Einschränkung der Anonymität (in öffentlichen Räumen) durch Gesichtserkennung, die Überwachung von Demonstrationen und Protesten, sowie der potenzielle Missbrauch von Überwachungstechnologien durch weit gefasste Ausnahmen für die “nationale Sicherheit”. Die Beteiligung privater Unternehmen und Drittstaaten an der Überwachung, der Einsatz von Emotionserkennung an Grenzen und die Diskriminierung durch biometrische Kategorisierung verstärken diese Befürchtungen.

Inwiefern die Ausnahmen jedoch von den Mitgliedsstaaten letztlich genutzt wird ist bislang noch nicht abzusehen. Anton Ekker, niederländischer Anwalt für digitale Rechte, glaubt, dass die Aussage, aufgrund der Ausnahmen sei nun alles erlaubt, nicht korrekt ist, da es immer noch nationale Gesetze und Verfassungen gibt die Grundrechte schützen. Professorin Rosamunde van Brakel stellt insbesondere die präventive Wirkung der KI-VO zum Schutz von personenbezogenen Daten und Grundrechten in Frage. Sie befürchtet, dass besonders schutzbedürftige Bevölkerungsgruppen am stärksten von den potenziellen negativen Auswirkungen der KI-Technologien betroffen sein könnten und nicht über die nötigen Ressourcen verfügen, um sich zu wehren.

Deutsche Sicherheitsbehörden nutzen Gesichtserkennung

Bereits heute verwenden einige Behörden, wie die sächsische Polizeidirektion, biometrische Gesichtserkennungssysteme. Auch die (alte) Bundesregierung plante die Befugnisse der Strafverfolgungsbehörden zur Gesichtserkennung zu erweitern. Die bieometrische Gesichtserkennung stellt einen schweren Grundrechtseingriff dar. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht den Einsatz rechtlich kritisch und warnt vor Einsatz von Gesichtserkennungstechnologien.

Fazit

Zusammenfassend lässt sich sagen, dass sowohl CEO als auch Investigate Europe aufzeigen, wie der AI Act durch Lobbyarbeit von Tech-Unternehmen und bestimmten EU-Staaten (insbesondere Frankreich) an deren Interessen angepasst wurde. Dies führt zu Ausnahmen, Schlupflöchern und Intransparenz, die die Überwachung von Bürgern erleichtern und die Grundrechte gefährden. Bevor in Deutschland die in der KI-VO geschaffenen Ausnahmen genutzt werden können, sieht der DSK die Schaffung von spezifischen, verhältnismäßigen Rechtsgrundlagen für den Einsatz von Gesichtserkennungssystemen für notwendig. „Hierin sind in Abhängigkeit von der Eingriffsintensität hinreichende Eingriffsschwellen, ausreichende Anforderungen an den Rechtsgüterschutz und zusätzliche Schutzmechanismen festzulegen“ so der DSK weiter. Wie die KI-VO letztlich in Deutschland und der gesamten EU umgesetzt wird, wird sich erst mit der Zeit zeigen.

Kategorien: AI Office · DSGVO · DSK · Europäische Kommission · Gesichtserkennung · KI-News · KI-Verordnung · Künstliche Intelligenz · Videoüberwachung