Mit dem Leak des LLM-Modells von Meta ist eine Innovationswelle über die IT-Welt hineingebrochen, deren Kraft auch nach neun Monaten nicht nachlassen will (siehe auch hier). Schon Ende 2022 hat das beeindruckend leistungsstarke Modell ChatGPT3.5 von OpenAI allen vor Augen geführt, dass es sich hier um mehr als einen vorübergehenden Hype handelt. Und mit DALL-E 3 steht schon die nächste Generation multifunktionsfähiger KI-Software bereit.

Wie immer, wenn es etwas Neues gibt, haben sich im öffentlichen KI-Diskurs hauptsächlich zwei unterschiedliche Positionen manifestiert. Da jeder Neuerung stets mit Ablehnung oder Zustimmung begegnet wird und sich die „abwartende“ Mehrheit meistens nicht laut äußert, übernehmen Kritiker und Enthusiasten die öffentliche Meinungsbildung.

Das Lager der Bedenkenträger, deren Grundhaltung sich in Skepsis oder schon beinahe in Ablehnung und Angst widerspiegelt, bedient diesmal ein breites Spektrum. Generell sind viele, wenn auch nicht alle, Befürchtungen nachvollziehbar. Da geht es um Fragestellungen wie Datenschutz, Urheberrechte, Wettbewerb, Arbeitsplatzverluste, aber auch um das Potenzial gezielter Falschinformationen. Im Fokus steht die Skepsis.

Entscheidend ist also die Frage, wie die unterschiedlichen Risiken bewertet, sichtbar gemacht, verständlich erläutert werden können und wie damit umzugehen ist. Man gelangt dann sehr schnell an den Punkt, an dem der Ruf nach einer rechtlichen Regulierung laut wird. Und tatsächlich hat dieser Prozess schon begonnen. Genau an dieser Stelle positionieren sich die Anhänger des anderen Lagers, nämlich jene, die die Innovationskraft und damit gänzlich den Wirtschafts- und Wissenschaftsstandort Europäische Union und besonders Deutschland durch eine übermäßige Regulierung gefährdet sehen.
Das generelle Problem der gesamten Diskussion ist jedoch, dass die KI-Technologie eine so rasante Entwicklungsgeschwindigkeit vorlegt, dass es selbst Fachleuten schwerfällt, auf Flughöhe zu bleiben. Die Geschwindigkeit der Gesetzgebung war der technischen Entwicklung schon immer unterlegen. Endlose Diskussionen und langsame Entscheidungsprozesse haben inzwischen leider eine zweifelhafte Tradition. Beim Thema KI wird diese Lücke aber gigantisch und meiner Ansicht nach auch gefährlich, da wir es hier tatsächlich mit dem Potenzial eines Gamechangers zu tun haben, der auch latent demokratiegefährdend sein kann (mehr dazu).

Einigkeit herrscht also daher zur Frage, ob KI reguliert werden sollte. Die Frage ist nur wie?

Um sich das Problem zu vergegenwärtigen, muss man sich klar machen, was KI eigentlich technisch ist. Eine KI ist nämlich nicht nur ein Computer oder ein Software-Modell allein. Eine KI ist vielmehr die Kombination eines Modells mit einer leistungsstarken IT-Infrastruktur, die in dieser Kombination durch andere Applikationen nutzbar ist. Deshalb kann eine KI auch überall auf der Erde betrieben und als Service genutzt werden. Lediglich ein technischer Zugang via Internet ist dazu erforderlich. In einer mittlerweile sehr stark vernetzten Welt, in der Menschen und Maschinen quasi ständig über das Internet verbunden sind, kann ein Nutzer unmöglich wissen, durch welche Komponenten oder Services seine Anfragen vom Smartphone oder heimischen Computer beantwortet werden. So wie es dem Endanwender nahezu unmöglich ist, dies zu verifizieren, so wird es auch jeder Aufsichtsbehörde schwerfallen, das zu kontrollieren.
Ergo ist es aus technischer Sicht kaum vorstellbar, dass Trainingsmethoden von Modellen bzw. deren Nutzung überprüft werden können, wenn sich diese außerhalb des rechtlichen Geltungsbereiches deutscher oder europäischer Gesetzgebung befinden. Und das Internet lässt sich nun einmal nicht auf juristische Geltungsgebiete beschränken. Selbst Unternehmen, die z. B. Cloudservices nutzen, können nicht sicher sein, welche Software, Daten und Modelle diesen Services zugrunde liegen. Dass US-Konzerne es mit Datenschutz und Transparenz nicht so ernst nehmen wie es europäische Standards vorsehen, sollte mittlerweile jedem bekannt sein. Zu glauben, dass sich chinesische oder russische Staatshacker oder Firmen aus solchen Ländern an unsere Standards halten, wäre schon sehr naiv.
Die bittere Erkenntnis ist also, dass die Nutzung von KI-Modellen und deren Trainings nur sehr schwer bzw. auch gar nicht zu kontrollieren ist. Selbst innerhalb der EU halte ich eine wirksame Kontrolle für faktisch unmöglich.

Daraus resultiert, dass unsere klassische Rechtsordnung und Gesetzgebung keine guten Mechanismen bieten, um die vor uns liegenden realen Probleme zu lösen – das haben bisher weder Politik noch Gesellschaft wirklich verstanden. Um es klar zu sagen: Ich halte eine rechtliche Regulierung für absolut sinnvoll und geboten, gleichwohl sehe ich die mögliche Kontrolle bzw. Durchsetzung dieser Regeln nicht. Unsere klassischen Gewalten der Legislative bzw. Exekutive kommen hier an die Grenzen des Machbaren.

Es gibt meiner Ansicht nach zwei mögliche Stellschrauben, deren Justierung wir nutzen könnten. Die erste ist, den internationalen Datenverkehr für sich genommen zu regulieren, beziehungsweise teilweise aktiv zu beschränken. Also eine Art europäische Data Governance Policy, bei der die Aufsichtsbehörden den Datenfluss regulieren und überwachen können. Dazu ist aber ein breiter Diskurs erforderlich, welcher in mehrerlei Hinsicht herausfordernd wäre, da es in letzter Konsequenz auch um die potenzielle Einschränkung von Freiheiten im Internet geht, was wiederum nur schwer mit unserem demokratischen Grundverständnis von Freiheit vereinbar sein dürfte. Man würde am Ende des Tages ein sehr mächtiges Werkzeug erschaffen, dessen potenziell negative Auswirkungen nicht zu unterschätzen wären.

Genau aus diesem Grund könnte eine second-best Alternative in den Fokus rücken.

Ich spreche hier von der Umkehr des passiven Datenschutzes hin zu einem aktiven Datenschutz.
Die Frage einer KI-Regulierung muss sich m. E. auch auf den Schutz persönlicher und urheberrechtlich geschützter Daten in jeder technischen Persistenz erstrecken. Wenn Daten nicht mehr per Default frei zugänglich sind, können Modelle diese auch nicht frei und ohne Autorisierung verwenden oder einfach verfälschen. Dazu bedarf es allerdings eines Umdenkens in der breiten Bevölkerung und beim Gesetzgeber. Jedem Einzelnen muss klar werden, dass individuelle Daten nichts in irgendeiner Cloud zu suchen haben, sondern dass es sich bei diesen Informationen um ein wichtiges und höchst schützenswertes Gut handelt.

Die Unbedarftheit und idealistische Vorstellung, dass das Internet alle Informationen frei verfügbar zugänglich macht und eine durchweg positive Wirkung entfalten wird, fällt uns nun leider auf die Füße. Nicht nur undemokratische Strukturen können sich derzeit frei am öffentlich zugänglichen Fundus bedienen. Auch die Macht der Tech-Giganten über uns alle ist durch deren Datensammelwut in Kombination mit der technischen Entwicklung in ungeahnte Dimensionen vorgedrungen.

Wenn man KI und deren Nutzung sowie Trainings nicht effizient regulieren kann, dann ist es umso wichtiger, Daten bestmöglich zu schützen. Noch vor wenigen Jahren gab es Widerstand gegen Volkszählungen und man zeigte sich erschüttert über die Methoden der Stasi zur Überwachung von Bürgern. Heute, in einer digitalen Welt, scheint es niemanden mehr zu interessieren, dass persönliche Daten von Unternehmen oder gar Staaten massenhaft gesammelt und zu deren eigenem Nutzen ausgewertet und benutzt werden. Von daher könnte man darüber nachdenken, das Grundverständnis vom Datenschutz vollständig umzukehren. Also alles, was nicht explizit durch einen Ersteller oder Eigentümer freigegeben wird, gilt als „default-confidential“.