Bildnachweis: gopixa – stock.adobe.com, NEUWERK.
Künstliche Intelligenz („KI“ bzw. „AI“) ist weiterhin in aller Munde – branchen- sowie länderübergreifend. Auch auf europäischer Ebene wird daher fleißig überlegt, wie man die mit den letzten Jahren wieder neu aufgeblühte KI-Industrie gesetzgeberisch begleiten kann bzw. muss, um sowohl das hiermit verbundene Potenzial zu entfachen als auch in geregelte Bahnen zu lenken. Von Daniel Schuppmann und Thomas Repka
Die EU hat es sich zur Aufgabe gemacht, den Umgang mit KI-Systemen zu regulieren. Es brauche einen geeigneten Rechtsrahmen, um Nutzen und Risiken von KI in Einklang zu bringen. Für Pharma- und Biotechunternehmen ist das nichts Neues: Man ist es gewohnt, sich auf einem regulatorisch engmaschig gestrickten Feld zu bewegen und die Vor- und Nachteile eines umfassenden Rechtsrahmens navigieren zu müssen. Warum sollte es also mit der geplanten „Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union“ („KI-Verordnung“) anders sein? Aber der Reihe nach.
KI-Verordnung – was ist das?
Der von der Europäischen Kommission vorgelegte Entwurf der KI-Verordnung wird derzeit im Europäischen Parlament diskutiert. Als europäische Verordnung würde sie nach ihrem Inkrafttreten, mit dem im Jahr 2023 gerechnet werden kann, unmittelbar in allen Mitgliedstaaten gelten. Wahrscheinlich ist eine mindestens einjährige Übergangszeit, in der Unternehmen Gelegenheit haben, sich auf die neue Rechtslage einzustellen und ihre internen Prozesse anzupassen.
Herzstück des Entwurfs ist dabei der schon seit längerer Zeit auf EU-Ebene diskutierte sogenannte risikobasierte Ansatz, wonach KI-Systeme nach ihrem potenziellen Risiko in Kategorien mit unterschiedlichen Rechtsfolgen eingruppiert werden sollen: Als besonders schädlich erachtete KI-Systeme sollen verboten werden, Systeme mit hohem Risiko müssen hohe technische und organisatorische Standards erfüllen und solche Systeme, die nur einen geringeren Risikofaktor aufweisen, sollen lediglich minimalen Transparenzanforderungen unterworfen werden. Schließlich soll so manche KI gar nicht erst der Verordnung unterfallen, wenn dieser keinerlei regelungsbedürftiges Risiko innewohnt.
Freilich drängt sich hier sofort die Frage auf, nach welchen Kriterien sich diese Gruppierung richten soll; insbesondere da hieran wie beschrieben erhebliche unterschiedliche Rechtsfolgen geknüpft sind. Derzeit vorgesehen ist eine (wenig spezifische und somit der Auslegung im Einzelfall bedürfende) Orientierung an dem möglichen Risiko der Schädigung der Gesundheit, der Beeinträchtigung der Sicherheit oder nachteiliger Auswirkungen auf die Grundrechte.
Sollte die Risikobewertung hiernach hoch ausfallen (wovon gerade für den Einsatz von KI im medizinischen Bereich in aller Regel auszugehen sein wird), dann verlangt die KI-Verordnung sowohl den Anbietern von KI-Systemen, z.B. Entwicklern einer entsprechenden Software, als auch den Nutzern von KI-Systemen, z.B. Unternehmen, welche die Software anschaffen und verwenden, einiges ab. Hierzu gehören neben besonderen Informations- und Transparenzpflichten und der Einrichtung eines Risikomanagementsystems auch besonders strenge Anforderungen an die Qualität der Trainings- und Testdaten; insbesondere sollen diese Daten relevant, repräsentativ, fehlerfrei und vollständig sein. Auch wenn all dies gewährleistet werden kann, vertraut der Entwurf bestimmten KI-Systemen nicht vollständig und sieht fü Hochrisiko-KI-Systeme zusätzlich noch eine menschliche Aufsicht vor. Während einige Anforderungen im Entwurf gerade auch zum Schutz von Patienten und Nutzern sinnvoll erscheinen, lauert vor allem bei Informations- und Dokumentationspflichten möglicherweise das nächste „Bürokratiemonster“.
Wie schon bei der Datenschutz-Grundverordnung (DSGVO) sieht der Entwurf dazu einen Bußgeldrahmen vor, der es in sich hat. Je nach Verstoß sollen zwischen maximal 30 Mio. EUR oder – im Falle von Unternehmen – bis zu 6% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres als Bußgelder verhängt werden können. Es ist davon auszugehen, dass die nationalen Aufsichtsbehörden, ähnlich der gegenwärtigen Praxis der Datenschutzbehörden, diesen Rahmen zu Zwecken der Abschreckungswirkung im Fall der Fälle ausschöpfen werden.
Und was bedeutet das für mich?
Die Liste von möglichen Anwendungsfeldern von KI in den Life Sciences ist lang und spannend: AI Drug Discovery, die Durchführung von klinischen Studien unter Zuhilfenahme von Algorithmen sowie patientennahe Tools wie Chatbots zur medizinischen Beratung sind bereits jetzt fester Bestandteil der Forschungs- und Unternehmenslandschaft. Man schaue sich nur die jüngsten Errungenschaften von AlphaFold im Bereich der Proteinstrukturvorhersage an und der geneigte Technoenthusiast hat direkt die Zukunft der Biotechnologie vor Augen. Die EU-Kommission möchte mit ihrem Vorschlag zur KI-Verordnung nun dazu beitragen, dass noch weitere Teilnehmer zu den bereits etablierten Playern aufschließen können und gleichzeitig Patienten und Daten hinreichend davor geschützt werden, dass die „Technologie aus dem Ruder läuft“. Inwiefern diese erstrebenswerte Grundposition auch tatsächlich in der Unternehmenswelt ankommt, bleibt jedoch abzuwarten: sowohl mit Blick auf die finale Fassung der Verordnung nach Durchlaufen des europäischen Gesetzgebungsprozesses als auch hinsichtlich der Praktikabilität der avisierten Regelungen (viele Leser mögen sich erinnert fühlen an die Einführung der DSGVO und die hieraus resultierten Konsequenzen auf die Abläufe in der Forschung und im Unternehmen).
Für den Moment hat der Entwurf zur KI-Verordnung keinerlei konkrete Auswirkungen. Die Planungen und Diskussionen sind derzeit noch sehr politischer Natur und haben zunächst auch keine direkte Ausstrahlungswirkung auf den operativen Bereich. Der umfangreiche Regelungsgehalt und die geplanten strengen Rechtsfolgen sind bereits jetzt scharfer Kritik ausgesetzt; gleichzeitig geht anderen Interessenvertretern der Entwurf erwartungsgemäß nicht weit genug. Bis sich die EU-Gesetzgebungsorgane auf eine finale Fassung geeinigt haben, kann somit noch einiges an Zeit vergehen. Vorausschauend agierende Unternehmer und Forscher lesen zwischen den Zeilen und erkennen, woher der Wind weht: Eine irgend geartete gesetzgeberische Regelung mit Blick auf KI-Systeme wird kommen und die skizzierten Anforderungen gerade für den Einsatz von KI im Medizinbereich lassen einen umfassenden Compliance-Aufwand befürchten. Es empfiehlt sich somit, schon jetzt die Diskussionen zu verfolgen, um ggf. bei der Produktentwicklung die von der EU avisierten Kriterien zur Risikominimierung berücksichtigen und somit auch nach Inkrafttreten eines möglicherweise in die gestalterische Freiheit eingreifenden gesetzgeberischen Rahmens einen reibungslosen Einsatz des entwickelten KI-Systems ermöglichen zu können.
ZU DEN AUTOREN
Daniel Schuppmann, LL.M. und Thomas Repka, Fachanwalt für IT-Recht, sind Rechtsanwälte bei NEUWERK in Hamburg. Sie beraten v.a. Unternehmen aus dem Pharma-, Biotech- und Medizinproduktebereich zu allen Fragen des geistigen Eigentums sowie im Technologie- und Datenschutzrecht und unterstützen diese bei Entwicklung, Vertrieb und Vermarktung von Technologien und Produkten.
Update: 18. Juli 2023: Aktuelle Informationen zum Thema KI-Gesetz finden Sie auch hier: KI-Gesetz: EU-Parlament beschließt Regeln zu Künstlicher Intelligenz
