Interview: "Aufhören, von Künstlicher Intelligenz zu sprechen"
Von Mag. Klaus Höfler
Erschienen in Compliance Praxis, 4. Dezember 2023
Wir haben Oxford-Professorin Sandra Wachter gefragt, ob sich KI wirklich regulieren lässt und was das für Compliance bedeutet. Sandra Wachter ist Professorin für Technologie und Recht am Internet Institute der Universität Oxford (OII), wo sie rechtliche und ethische Aspekte der AI, von Big Data und Robotics untersucht. Auch Internet- und Plattform-Regulierung fallen in ihren wissenschaftlichen Zuständigkeitsbereich. Erst kürzlich hatte Professor Wachter eine Gastprofessur an der Harvard Law School inne. Bevor sie ihre Karriere beim OII startete, studierte Professor Wachter an der University of Oxford und an der Rechtsfakultät der Universität Wien. Zu ihren weiteren beruflichen Stationen zählen die Royal Academy of Engineering und das Österreichische Gesundheitsministerium.
Compliance Praxis: Frau Professor Wachter, Sie sind Professorin für Technologie und Recht am Internet Institute der Universität Oxford und leiten dort die Forschungsgruppe „Governance of Emerging Technologies“. Womit beschäftigt sich diese?
Sandra Wachter: Wir sind eine „bunte Gruppe“, der unter anderem Juristen, Soziologen, Politologen, Psychologen und Computerwissenschaftler angehören und beschäftigen uns damit, wie man Technologie gut regulieren kann.
Warum ist das notwendig?
Weil unsere Gesetze von Menschen für Menschen gemacht sind, aber nicht für Algorithmen, die andere Regularien brauchen. Wir verstehen soziale Realitäten, kennen die Aktionen und Motivation der Menschen und versuchen, Maßnahmen zu setzen, die sie abhalten sollen, verbotene Dinge zu machen beziehungsweise zu bestrafen, wenn sie sie dennoch tun. Dieser Ansatz funktioniert bei Algorithmen aber nicht.
Warum nicht?
Ein Mensch vergleicht und erkennt, wenn die Art und Weise, wie er behandelt wird, nicht dieselbe ist, wie andere behandelt werden. Er kann auf die Ungleichbehandlung hinweisen und sich notfalls im Rahmen eines Beschwerdeverfahrens bei Gericht auf das Gesetz berufen. Algorithmen dagegen fehlt dieser vergleichende Aspekt, sie diskriminieren hinter unserem Rücken, ohne dass wir das wissen, sehen oder spüren. Somit ist ein Beschwerdeverfahren nicht hilfreich, wenn ich nicht einmal weiß, dass mich die Künstliche Intelligenz diskriminiert hat. Deshalb lässt sich ein für Menschen gemachtes Gesetz nicht auf Algorithmen anwenden. KI ist oftmals unfair. Sie folgt in ihrer Funktionsweise – ähnlich wie Strom – immer dem Weg des geringsten Widerstands. Aber was mathematisch fair ist, ist nicht automatisch sozial, ethisch und rechtlich fair.
Ist die „Schöne neue Online-Welt“ gar nicht so schön?
Es gibt in der Online-Welt keine objektive Wahrheit. Alles, was dort sichtbar wird, ist in einer Filterblase. Keiner sieht in seiner Timeline dieselben Tweets, Postings, Dinge oder Angebote, es ist alles maßgeschneidert. Dadurch laufen wir mit Scheuklappen durch die Welt und können nicht vergleichen, wer besser oder schlechter behandelt wird. Welchen Wert hat ein Beschwerdeverfahren dann, wenn ich nicht einmal weiß, dass ich benachteiligt wurde? Algorithmen machen dem Antidiskriminierungsrecht einen Strich durch die Rechnung.
Zeitgleich mit der EU und Großbritannien sind jetzt auch die USA aktiv geworden und haben die Installation eines eigenen „Artificial Intelligence Safety Institute“ angekündigt, das potenziell kritische KI-Tools prüfen soll. Ist das überhaupt im Alltag praktikabel oder nur ein naiver Wunsch?
Die Frage ist, wie „Safety“ in diesem Zusammenhang definiert wird. Safety kann alles und nichts sein. Im konkreten Fall ist es aber sehr eng gefasst und meint hauptsächlich Cyber Security beziehungsweise existenzielle Risiken – bildlich gesprochen ein Science-Fiction-Szenario, dass die Roboter „aufwachen“ und die Weltherrschaft an sich reißen. Wenn das der Fokus bleiben sollte, wird es nicht sehr hilfreich sein. Dass Cyber Security ein Thema ist, ist unbestritten, aber es gibt so viele Dinge, die auch wichtig sind, aber außen vorgelassen werden. Deshalb sollte man sich nicht nur auf Cyber Security und schon gar nicht auf Science-Fiction konzentrieren.
Wie kann KI Compliance unterstützen? Kann KI ein Unternehmen compliant machen?
Wenn man sich vom Gedanken verführen lässt, dass Künstliche Intelligenz fair ist und nur Lösungen, aber keine Probleme bringt, dann bleibt eine gerechte Anwendung eine „Mission Impossible“. Wenn man aber ehrlich ist und die Augen nicht vor bestimmten Problemen verschließt, dann kann man Künstliche Intelligenz tatsächlich dafür nutzen, transparentere, fairere und bessere Entscheidungen zu treffen. Es hängt am Ende immer vom Anwender und dessen Absichten ab. Wenn man beispielsweise Bias-Tests gekonnt einsetzt, kann das bei internen Audits helfen. Bias-Tests können helfen aufzuzeigen, wie „schlimm“ ein Algorithmus ist. Da kann ein Tool helfen, weil es einem erklärt, wie und warum ein Algorithmus seine Entscheidung getroffen hat, warum beispielsweise jemand nicht befördert wurde oder ein Darlehen nicht bekommen hat. Aber die wenigsten Algorithmen werden von vornherein leider so gebaut, dass sie erklärbar und ohne Bias sind. Das ist ein Versäumnis. Deshalb muss man es ex post nachtesten, ob ein Algorithmus fair oder problematisch ist.
Sind diese Bias-Tests tatsächlich ein probates Mittel, um Compliance sicherzustellen?
Von 20 Tests, die wir untersucht haben, entsprechen 13 nicht dem europäischen Antidiskriminierungsrecht.
Warum nicht?
Der Hauptgrund ist, dass diese Tests in Amerika entwickelt wurden und damit in Sachen Gleichberechtigung den gesetzlichen Vorgaben aus diesem Rechtsraum folgen. Das europäische Antidiskriminierungsrecht funktioniert aber ganz anders.
Welche Lösungen gibt es?
Wir haben zum einen eine Checkliste erarbeitet, die helfen soll, den je nach Land, Zweck und Anwendung richtigen Bias-Test zu finden. Zum anderen haben wir einen eigenen Bias-Test entwickelt, der den rechtlichen Vorgaben des europäischen Antidiskriminierungsrechts entspricht. Dieser Test wird mittlerweile unter anderem vom World Economic Forum als Best-Practise-Beispiel proklamiert, von der Europäischen Kommission und dem Europäischen Parlament wird er als gute Compliance-Leitlinie anerkannt und auch in der KI-Strategie der EU – dem AI Act – finden sich einige Details, die auf dieser Forschung basieren. Aber er passt wiederum nur für die EU und UK, trotz Brexit. Man kann ihn nicht einfach auf die gesamte Welt anwenden, weil überall andere Rechtssysteme in Sachen Antidiskriminierung herrschen. Es gibt diesbezüglich kein internationales Recht.
Dieser Rechtsrahmen der EU für Künstliche Intelligenz schlägt einen Ansatz vor, der auf vier verschiedenen Risikoebenen basiert: inakzeptables Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Wie soll das funktionieren?
Die unterste der vier Kategorien – das „minimale Risiko“ – greift beispielsweise bei KI-gestützten Videospielen oder Spamfiltern. Darüber gibt es das „geringe Risiko“. Darunter fallen – verbunden mit Transparenzpflichten – zum Beispiel klassische Chatbots. Bei der dritten Kategorie handelt es sich um Anwendungen mit einem „hohen Risiko“. Das betrifft beispielsweise kritische Infrastruktur, Bildung, Strafverfolgung oder Medizinprodukte, wo der Einsatz von KI nur unter bestimmten Vorgaben und Pflichten erlaubt ist. Und schließlich Anwendungen, die in die Kategorie „inakzeptables Risiko“ fallen und die verboten sind, weil sie zur unterschwelligen Beeinflussung eingesetzt werden. Man muss sich in Zukunft aber nicht nur an diese gesetzlichen Vorgaben halten, sondern auch an Standards, die von „Standard Setting Bodies“ geschaffen werden, in denen die KI-Unternehmen mitwirken, NGOs aber vom Diskurs ausgeschlossen sind und nur einen Beobachterstatus haben. Man kann sich fragen, wie demokratisch das ist.
Es gibt aber massive Kritik, wie diese Regeln zustande gekommen sind und wer ihre Einhaltung prüft.
Das sind zwei Punkte: Zum einen, die Frage, wer die Standards schreibt, zum anderen, wer zertifizieren kann, ob man mit den Standards compliant ist. Leider ist es bezüglich der Frage, wer die Standards schreibt, sehr häufig so, dass es hauptsächlich die Industrie ist. Das müsste nicht so sein und man könnte es durchaus ändern – was auch gut wäre. Und zur Frage, wer zertifizieren darf: In den Hochrisikogruppen dürfen die Entwickler sich selbst zertifizieren, ob sie compliant sind. Das ist nicht ideal. Denn wenn man schon zulässt, dass die Industrie ihre eigenen Regeln schreibt, dann sollte man zumindest Dritte prüfen lassen, ob sie diesen Regeln folgen – wobei es grundsätzlich nicht ideal ist, dass man seine eigenen Gesetze schreibt. Man stelle sich vor, man würde das im Steuerrecht machen: Wie viele Leute würden dann noch Steuern zahlen?
Warum braucht es diese eigenen Fairnessregeln für die Anwendung von Künstlicher Intelligenz überhaupt?
Der Grund liegt in der Künstlichen Intelligenz selbst, in der Art und Weise, wie sie funktioniert. Sie trifft ihre Entscheidungen auf eine Art und Weise, die eine komplett andere ist, auch wenn sie grundsätzlich relativ einfach ist: Die Künstliche Intelligenz schaut sich die Vergangenheit an, findet darin Muster und versucht, daraus die Zukunft abzuleiten und vorherzusagen. Es werden beispielsweise bei ausgeschriebenen Stellen Lebensläufe von Vorgängern herangezogen und nach Gleichheiten gesucht. Aus diesen Daten rechnet der Algorithmus einen idealen Typ heraus und vergleicht dann, ob sich unter den Bewerbern jemand befindet, der diesem idealen Typ entspricht. Das Problem dabei: Es wird damit nur die Historie fortgeschrieben, neue Aspekte finden keinen Eingang. Algorithmen lesen zudem aus Daten Korrelationen heraus, die keine kausalen Zusammenhänge haben. Sie schaffen Gruppen, die nichts mit jenen Kategorien zu tun haben, die Menschen festlegen und für die sie auch einen Rechtschutz festgelegt haben, beispielsweise wenn es um Gleichberechtigung unabhängig von Geschlecht, Alter, ethnischer Zugehörigkeit oder Religion geht.
Welche Änderung im Mindset bräuchte es?
Wenn man sich vom Gedanken verführen lässt, dass Künstliche Intelligenz fair ist und nur Lösungen, aber keine Probleme bringt, dann bleibt eine gerechte Anwendung eine „Mission Impossible“. Wenn man aber ehrlich ist und die Augen nicht vor bestimmten Problemen verschließt, dann kann man Künstliche Intelligenz tatsächlich dafür nutzen, transparentere, fairere und bessere Entscheidungen zu treffen. Es hängt am Ende immer vom Anwender und dessen Absichten ab.
Erst durch ChatGPT ist vielen Menschen bewusst geworden, was KI wirklich kann. Jetzt herrschen ein gewisser Alarmismus und fast schon Endzeitstimmung vor. War man am „digitalen Auge“ zu lange blind?
Ich würde das nicht so kritisch sehen. Wie soll denn einer, der nicht in diesem Feld arbeitet, wissen und sehen, welche Modelle entwickelt werden? Da gibt es kein wirkliches Versäumnis. Man kann sich natürlich Gedanken machen, ob es schlau war, ein derartiges System für die Allgemeinheit zu öffnen, ohne vorher zu diskutieren, welche Risiken es mit sich birgt. Da hätte es ein bisschen mehr Aufklärung bedurft. Dann wäre der Hype nicht so hochgekocht.
Mit dem Hinweis, dass ja nur vorhandene Daten verwendet werden.
Richtig. Es ist nämlich keine Kristallkugel, die die Wahrheit sagt, sondern nicht mehr als eine sich automatisch vervollständigende Funktion auf Basis von Statistik. Das hätte man transparenter machen und die Gesellschaft dahingehend aufklären müssen. Es ist nicht das Orakel von Delphi, das in die Zukunft schaut. Vielmehr ist es ein Modell, das sich an die Vergangenheit erinnert. Es hat kein Bewusstsein, es versteht nichts. Man sollte eigentlich aufhören, von Intelligenz zu sprechen, sondern sollte einfach nur Statistik sagen. Mehr ist es nicht.