Inhalt

1. Einleitung
2. Regulierungskonzepte und -modelle
   1. Gestaltungsaufgabe des Rechts
   2. Staatliche und kooperative Regulierung
   3. Horizontale und vertikale Regulierung
   4. Regulierungstiefe und -dichte
3. Struktureller und themenbezogener Regulierungsansatz
   1. Ausgangslage: Kooperative Regulierung mit Rahmengesetz
   2. Probleme bei grenzüberschreitenden Sachverhalten
   3. Identifikation der relevanten Themen
4. Regelungspunkte bei KI-relevanten Themen
   1. Nichtdiskriminierung und Fairness
   2. Transparenz und Erklärbarkeit
   3. Manipulation
   4. Datenschutz und Datensicherheit
   5. Haftung und Verantwortlichkeit
5. Ausblick

Einleitung

Die Künstliche Intelligenz (KI) ist zu einem regulatorischen „Hot Topic“ geworden. Der technologische Fortschritt im Digitalisierungsbereich rief eine Debatte über die Notwendigkeit der Regulierung von Algorithmen hervor; in einer ersten Phase haben insbesondere internationale Organisationen (OECD, Europarat, EU, UNESCO) mit Leitlinien und politischen Erklärungen die Diskussionen geprägt,^[1]Zwischenzeitlich ist die Zahl der KI-Deklarationen von Institutionen, Organisationen und Verbänden auf über 150 gestiegen; angesichts des schon vorhandenen Schrifttums wird dieses Thema vorliegend … Continue reading nunmehr liegen angesichts des Rufes nach weiteren Normierungen auch erste gesetzliche Vorschläge vor.

Phänomenologisch lassen sich verschiedene Erscheinungsformen von Algorithmen unterscheiden:^[2]Vgl. Rolf H. Weber/Simon Henseler, Regulierung von Algorithmen in der EU und in der Schweiz, EuZ 2020, 28, 29; soweit nachfolgend themenspezifische Regulierungsaspekte zur Diskussion … Continue reading Die ursprünglichen deterministischen Algorithmen sind mehr und mehr durch modifizierende selbstlernende Algorithmen, die darauf abzielen, statistische Muster in Datensätzen zu erkennen und sich diese zunutze zu machen, verdrängt worden. Solche Algorithmen, die zur Technologie der Künstlichen Intelligenz gehören, bereiten die menschlichen Entscheidungen vor oder ersetzen sie durch technische Abläufe, obschon ein Algorithmus (im ethisch gehaltvollen Sinne) selbst keine Entscheidung treffen kann.^[3]Weber/Henseler, 29 m.w.V.

Mit dem Entwurf für einen „Artificial Intelligence Act“ (AIA) ist die EU-Kommission im April 2021 regulatorisch vorgeprescht.^[4]Proposal for a Regulation of the European Parliament and of the Council Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative … Continue reading Das sehr detaillierte Normengefüge basiert auf einem differenzierten risikobasierten Ansatz und reguliert vornehmlich die risikoreichsten Anwendungen.^[5]Vgl. Angela Müller, Der Artificial Intelligence Act der EU: Ein risikobasierter Ansatz zur Regulierung von Künstlicher Intelligenz – mit Auswirkungen auf die Schweiz, EuZ 01/2022, … Continue reading Die Schweiz ist dadurch auch unter Handlungsdruck gekommen, selbst wenn eine Interdepartementale Kommission des Bundes im Dezember 2019 noch die Meinung vertrat, die Schweiz sei an sich gut gerüstet, um die neuen technologischen Herausforderungen normativ zu bewältigen.^[6]Interdepartementale Arbeitsgruppe Künstliche Intelligenz, Herausforderungen der Künstlichen Intelligenz, Bericht an den Bundesrat, 13. Dezember 2019, 10 ff. Verabschiedet hat … Continue reading

Das Ziel der nachfolgenden Überlegungen besteht nicht darin, die Chancen und Risiken, die sich für die Gesellschaft aus dem Einsatz von KI ergeben, erneut im Einzelnen darzustellen; die entsprechenden Einschätzungen im publizierten Schrifttum weisen keine erheblichen Diskrepanzen auf. Ebenso wenig soll der AIA-Vorschlag einer detaillierten Analyse der umfangreichen Bestimmungen unterzogen werden.^[7]Vgl. dazu statt Vieler etwa Müller, A 5 ff.; Roos/Weitz, 844 ff.; Gerald Spindler, Der Vorschlag der EU-Kommission für eine Verordnung zur Regulierung der Künstlichen … Continue reading Vielmehr geht der Beitrag der Frage nach, welcher Regulierungsansatz im Kontext der Künstlichen Intelligenz sich für die Schweiz als sachgerecht erweist.^[8]Diese Frage ist auch der Ausgangspunkt des Beitrags von Nadja Braun Binder/Thomas Burri/Melinda Florina Lohmann/Monika Simmler/Florent Thouvenin/Kerstin Noëlle Vokinger, Künstliche Intelligenz: … Continue reading Aus diesem Grunde sind vorerst die wesentlichen Elemente möglicher Regulierungskonzepte und -modelle aus einer theoretischen Perspektive darzustellen bzw. deren Charakteristiken gegeneinander abzuwägen.

Regulierungskonzepte und -modelle

Gestaltungsaufgabe des Rechts

Das Recht ist ein strukturelles System, das auf organisierten oder untereinander verbundenen regulatorischen Elementen beruht. Die Funktion des Rechts besteht darin, durch verhaltensbezogene Vorgaben und Institutionen das Zusammenleben in der Gesellschaft zu normieren und Konflikte zu lösen, die sich bei der Anwendung der Regeln ergeben.^[9]Für einen neueren Überblick vgl. Rolf H. Weber, Internet Governance at the Point of No Return, Zürich 2021, 13 f. m.w.V.; Amnon Reichman/Giovanni Sartor, Algorithms and Regulation, … Continue reading Die Schaffung von Recht vermag dabei auf verschiedenen, nachfolgend anzusprechenden Quellen zu beruhen.

Gewisse Grundfragen stellen sich aber für jede Rechtsordnung:^[10]Vgl. Rolf H. Weber, Realizing a New Global Cyberspace Framework, Zürich 2014, 34-36. Wer darf regulieren? In welchem Interesse? Durch welche Mechanismen? Mit welchen Zielen? Ungeachtet der konkreten Beantwortung dieser Fragen erscheint indessen als unbestritten, dass dem Recht eine Gestaltungsaufgabe mit Blick auf die zwischenmenschlichen Beziehungen in der Gesellschaft zukommt.^[11]Grundlegend dazu Herbert L.A. Hart, The Concept of Law, 2nd ed., Oxford 1997, 55 ff.

Staatliche und kooperative Regulierung

Die traditionellen regulatorischen Instrumente finden sich – für grenzüberschreitende Erscheinungen – in den internationalen Staatsverträgen und in den einzelstaatlichen Rechtsordnungen (Verfassung, Gesetz). Diese Rechtsquellen kommen in einem geordneten (oft demokratischen) Verfahren zustande; die einzelnen Normen lassen sich auch obrigkeitlich mit Zwang durchsetzen.^[12]Allgemein zum Recht des Cyberspace vgl. Chris Reed, Making Laws for Cyberspace, Oxford 2012, 70-73, 105/06. Gerade mit Blick auf schnelle technologische Veränderungen hat sich in den letzten Jahrzehnten aber gezeigt, dass staatliches Recht meist nur relativ langsam entsteht und hernach zur Anwendung gelangt.^[13]Im Schrifttum wird oft von „regulatory lag“ gesprochen: vgl. Weber/Henseler, 32. Andere normative Instrumente erweisen sich deshalb zur Ergänzung des Regulierungsumfelds als notwendig.

Seit Jahren ist anerkannt, dass neben dem staatlichen „Hard Law“ auch das „Soft Law“ eine gewichtige Rolle zu spielen vermag. Unter den Begriff des Soft Law fallen die verschiedenartigsten Formen von Selbstregulierungen, die auf Initiative der betroffenen Branchen, Unternehmen oder zivilgesellschaftlichen Vereinigungen entstehen.^[14]Für einen ganz neuen Überblick vgl. Rolf H. Weber, Integrity in the ‚Infinite Space‘ – New Frontiers for International Law, ZaöRV 81 (2021), 601, 619 f. Der Vorteil von Selbstregulierungen liegt darin, dass die entsprechenden Bestimmungen gestützt auf Know How und Erfahrungen der Betroffenen zeitgerecht und zu tiefen Kosten entwickelt werden, der Nachteil hingegen darin, dass sie sich obrigkeitlich nicht durchsetzen lassen.^[15]Rolf H. Weber, Artificial Intelligence ante portas: Reactions of Law, J 2021(4), 486, 488. Soft Law als Form einer kooperativen Regulierung schneidet indessen qualitativ keineswegs schlechter ab als Hard Law.^[16]Weber/Henseler, 33 m.w.V.

Als Zwischenform hat in den letzten Jahren das Modell der „Co-Regulierung“ (bzw. der „regulierten Selbstregulierung“) an Bedeutung gewonnen. Dieses Regulierungskonzept verstärkt Selbstregulierungen durch eine staatliche „Anerkennung“ bzw. sogar eine Überwachung der Beachtung von Verhaltenspflichten.^[17]Eingehender dazu Weber, 621 f. Vielfältige Beispiele sind aus den Finanz‑, Medien- und Internetmärkten bekannt.^[18]Vgl. dazu Chris T. Marsden/Trisha Meyer/Ian Brown, Platform values and democratic elections: How can the law regulate digital disinformation? … Continue reading Dank der Mitwirkung des traditionellen Gesetzgebers bei der Durchsetzung der normativen Bestimmungen verstärkt sich deren Wirkung.^[19]Vgl. auch Myriam Senn, Non-State Regulatory Regimes, Understanding Institutional Transformation, Berlin/Heidelberg 2011, 43, 139-148, 230. Das Modell der Co-Regulierung entspricht dem im Kontext der Internet Governance intensiv diskutierten und teilweise auch angewendeten Multistakeholder-Konzept; die Entwicklung eines erfolgreichen normativen Umfelds setzt voraus, dass alle betroffenen Akteure (z.B. Regierungen/Verwaltungen, Unternehmen, Zivilgesellschaft, Akademie) gemeinsam an der Regelbildung mitwirken.^[20]Für eine umfassende Darstellung des Multistakeholder-Konzepts vgl. Rolf H. Weber, Legal foundations of multistakeholder decision-making, ZSR 135 (2016) I 247-267; zur … Continue reading Diese Vorzüge sind gerade für den KI-Bereich fruchtbar zu machen.

Horizontale und vertikale Regulierung

Mit dem Entwurf für einen Artificial Intelligence Act (AIA) hat die EU-Kommission einen horizontalen Regulierungsansatz gewählt; grundsätzlich ist das risikobasierte Modell für alle Wirtschaftssegmente und Branchen relevant.^[21]Vgl. zum horizontalen risikobasierten Ansatz auch Müller, A 6 ff. Der Vorteil der horizontalen Regulierung liegt darin, dass eine normative Segmentierung vermieden werden kann; nachteilig wirkt sich hingegen aus, dass die Berücksichtigung von branchenspezifischen Besonderheiten nur schwer möglich ist.^[22]Im Finanzmarktrecht hat die FINMA bzw. später der Bundesrat beabsichtigt, die traditionelle vertikale Regulierung durch ein horizontales Modell zu ersetzen. Bis zu einem gewissen Grade ist dies mit … Continue reading

Ein vertikaler Regulierungsansatz würde es erlauben, für die betroffenen Wirtschaftssegmente eine möglichst massgeschneiderte Regulierung zu verwirklichen. Der Gesundheitssektor bedarf z.B. nicht zwingend derselben Vorgaben wie die Autobranche. Angesichts der vielfältigen KI-Einsatzmöglichkeiten weist eine sektorspezifische Regulierung deutliche Vorzüge auf; sie vermag den normativen Herausforderungen präziser Rechnung zu tragen und vermeidet, dass allgemeine Anordnungen teilweise ungeeignet sind. Für den KI-Bereich hat dieses Konzept im Vergleich zu einem nur horizontalen Ansatz nicht zu unterschätzende Vorteile.

Regulierungstiefe und -dichte

Der AIA-Entwurf, den die EU-Kommission vorgelegt hat, zeichnet sich durch eine sehr hohe Regulierungstiefe und -dichte aus. Auf über 100 Seiten finden sich viele detaillierte Einzelregeln, deren Umsetzung sich nicht immer leicht vornehmen lässt, was für die Rechtsanwendung und -durchsetzung als nicht unproblematisch erscheint.

Ein anderer Regulierungsansatz würde darin bestehen, konkret zu prüfen, welche Sachverhalte im Interesse des Staates und der Zivilgesellschaft tatsächlich einer Regulierung bedürfen. Dieses Vorgehen hat der Bundesrat mit Bezug auf den durch die Distributed Ledger Technology (DLT) verursachten Handlungsbedarf gewählt. Zwar erklärte der Bundesrat in der Botschaft zum DLT-Gesetz (November 2019), bestmögliche Rahmenbedingungen für DLT-Geschäftsmodelle schaffen zu wollen, damit sich die Schweiz als ein führender, innovativer und nachhaltiger Standort für Blockchain-Unternehmen etablieren und weiterentwickeln könne.^[23]Botschaft des Bundesrates vom 27. November 2019 zum Bundesgesetz zur Anpassung des Bundesrechts an Entwicklungen der Technik verteilter elektronischer Register, BBl 2020, 233, 239.

Materiell hat der Bundesrat indessen auf den Vorschlag für ein umfassendes Blockchain-Gesetz, wie z.B. im Fürstentum Liechtenstein realisiert, verzichtet, und den bewährten und ausgewogenen Rechtsrahmen der Schweiz nicht grundsätzlich in Frage gestellt.^[24]Botschaft, 239 f. Vielmehr nimmt das zwischenzeitlich vom Parlament (einstimmig) verabschiedete DLT-Gesetz lediglich diejenigen Anpassungen in einzelnen Gesetzen vor, die erforderlich gewesen sind, um den DLT-Anwendungen nicht normative Lücken oder Hindernisse in den Weg zu stellen.^[25]Für einen Überblick vgl. Hans Kuhn/Rolf H. Weber, Einleitung, in: R.H. Weber/H. Kuhn, Entwicklungen im Schweizer Blockchain-Recht, Basel 2021, Kap. 1, Rz. 1 ff.

Eine ähnliche Vorgehensweise erscheint auch mit Bezug auf die Künstliche Intelligenz als denkbar und sachgerecht. Nach einer Identifikation der relevanten Themen und der Analyse des konkreten Normierungsbedarfs ist zu beurteilen, welcher theoretische Regulierungsansatz sinnvoll ist. In der Umsetzung liesse sich dann – ähnlich wie im Fall des DLT-Gesetzes – ein „Bundesgesetz zur Anpassung des Bundesrechts an Entwicklungen der Künstlichen Intelligenz“ ausarbeiten. Im Gegensatz zum DLT-Gesetz dürfte es indessen nicht ausreichen, in der Einleitung lediglich festzuhalten, die „nachstehenden Erlasse werden wie folgt geändert“, sondern zu einzelnen Themen (z.B. Nichtdiskriminierung, IT-Sicherheit) sind ggf. „neue“ Gesetze vorzubereiten.

Struktureller und themenbezogener Regulierungsansatz

Ausgangslage: Kooperative Regulierung mit Rahmengesetz

Die Künstliche Intelligenz ist eine moderne und sich noch stark im Fluss befindliche Technologie. Ein gewisser Handlungsbedarf lässt sich aber bereits identifizieren. Die Wahrscheinlichkeit ist überdies erheblich, dass zusätzliche Fragen und Probleme erst im Laufe der nächsten Monate und Jahre auftreten. Aus diesem Grunde drängt sich ein flexibles normatives Regelwerk auf. Im Sinne der vorangehenden theoretischen Überlegungen sind auch die Vorteile der vertikalen (sektorspezifischen) gegenüber der horizontalen Regulierung fruchtbar zu machen.

Wie erwähnt ist die Erarbeitung und Inkraftsetzung von staatlichen Rechtsinstrumenten regelmässig zeitintensiv; neue Regelungen hinken deshalb den Technologien nach, wie die bereits einsetzende Diskussion zur sog. technologieneutralen Umschreibung des Begriffs der Künstlichen Intelligenz im AIA-Vorschlag zeigt.^[26]Zu diesem vorliegend nicht zu vertiefenden Problem vgl. Jonas Fischer/Mathias Fuchs, Brauchen wir eine Legaldefinition für künstliche Intelligenz? Jusletter 8. November 2021, … Continue reading Aus diesem Grunde erscheint es als wünschenswert, Soft Law-Komponenten im KI-Regulierungsumfeld ebenfalls zu berücksichtigen. Diese Vorgehensweise lässt sich am ehesten verwirklichen, wenn sich die staatliche Mitwirkung an der Normsetzung auf ein Rahmengesetz beschränkt und ein kooperativer Regulierungsansatz verwirklicht wird.

In überzeugender Weise werden im Europarat mit seinen 47 Mitgliedern mögliche Modelle für eine Regulierung der Künstlichen Intelligenz diskutiert. Das am 11. September 2019 eingesetzte Ad hoc Committee on Artifical Intelligence (CAHAI) hat im umfangreichen Bericht vom 17. Dezember 2020^[27]Council of Europe, Ad hoc Committee on Artificial Intelligence, Feasibility Study, CAHAI(2020) 23, https://www.coe.int/en/web/artificial-intelligence/cahai (CAHAI-Report). nicht nur die Chancen und Risiken der Künstlichen Intelligenz analysiert und insbesondere die Relevanz von Menschenrechten und Demokratie für KI-Regulierungen diskutiert, sondern auch die möglichen Formen von rechtlichen Instrumenten erläutert. Das Kapitel „Mapping of Instruments Applicable to Artificial Intelligence“^[28]CAHAI-Report, 18 ff. hält zwar dafür, dass die bestehenden Ethik-Leitlinien regulatorisch nicht ausreichen würden, aber doch verschiedene Optionen verbleiben, um eine rechtliche Ordnung für KI sinnvoll festzulegen.

Insbesondere bringt der CAHAI-Report die Idee einer „Framework Convention“ auf.^[29]CAHAI-Report, 46 ff. CAHAI hat an diesem Konzept im Final Meeting vom 29.11.–2.12.2021 ausdrücklich festgehalten („Possible elements of a legal framework on artificial intelligence“). Im Gegensatz zum AIA-Vorschlag der EU, der eine umfassende und detaillierte Regulierung postuliert, öffnet der Europarat zutreffend den Weg zu einer differenzierten rechtlichen Strukturierung der normativen Vorgaben. Dieser Vorschlag überlässt den Mitgliedstaaten einen nicht unerheblichen Freiraum, den auch die Schweiz mit einem eigenen Ansatz ausnutzen könnte,^[30]So auch Florent Thouvenin/Markus Christen/Abraham Bernstein/Nadja Braun Binder/Thomas Burri/Karsten Donnay/Lena Jäger/Mariela Jaffé/Michael Krauthammer, Melinda Lohman/Anna Mätzener/Sophie … Continue reading und weist zudem Ähnlichkeiten zum erwähnten Modell eines „Rahmengesetzes“ auf, den der Bundesrat mit Blick auf die DLT-Entwicklungen gewählt hat.^[31]Vgl. vorne Ziff. B.IV.

Ein entsprechendes Regulierungskonzept erweist sich auch für den künftig in der Schweiz normativ zu bewältigenden KI-Bereich als sachgerecht. Das Modell des Rahmengesetzes wird im Schrifttum als mögliche Regulierungsform anerkannt und gerade in komplexen Materien für sinnvoll gehalten.^[32]Kuhn/Weber, Rz. 17-19; für das Finanzmarktrecht vgl. Pascal Zysset, Selbstregulierung im Finanzmarktrecht, Diss. Bern, Zürich 2017, 207 f. m.w.V. Statt ein horizontales umfassendes „KI-Gesetz“ zu erlassen, können in ein KI-Rahmengesetz allgemeine und spezifische Normen, jeweils – soweit  möglich – in Abänderung und Ergänzung bestehender Rechtsquellen, aufgenommen werden.^[33]Dieser Regulierungsansatz wird nun auch von Thouvenin et al., 2, vertreten.

Probleme bei grenzüberschreitenden Sachverhalten

Die Angebote für durch Künstliche Intelligenz geprägte Produkte und Dienstleistungen bleiben nicht auf die Schweiz beschränkt. Vielmehr ist vorauszusehen, dass auch EU-Märkte bedient werden sollen. Der Entwurf der EU für die AIA-Verordnung sieht ausdrücklich vor, dass bei Angeboten an EU-Verbraucher deren Bestimmungen zu beachten sind.^[34]Ähnlich wie bei der EU-DSGVO kommt nach Art. 2(1) des AIA-Vorschlags das EU-Recht zur Anwendung, wenn ein KI-System innerhalb der EU eingesetzt wird oder wenn das vom System hervorgebrachte … Continue reading

Die AIA-Verordnung wird also das Schutzniveau in der Schweiz mitprägen und der Schweizer Bevölkerung einen grundrechtlichen Schutz anbieten, sofern sich Unternehmen in der EU einzelner AI-Vorkehren in der Produktion von Gütern und der Bereitstellung von Dienstleistungen bedienen.^[35]Vgl. auch Müller, A 5 f. Eine gewisse materielle Kohärenz in der Ausgestaltung der Regulierungen wäre deshalb erwünscht, um zu vermeiden, dass der Zugang von Produkten und Dienstleistungen zum EU-Binnenmarkt erschwert wird.^[36]Ob solche Handelshemmnisse ggf. einen Verstoss des WTO-Rechts zur Folge hätten, wäre gesondert zu prüfen; zum Ganzen auch Braun Binder et al., Rz. 4. Eine gesetzgeberische Lösung in der Schweiz müsste somit versuchen, sachlich vergleichbare bzw. EU-kompatible KI-Standards zu realisieren.

Äquivalenz bedeutet aber nicht Identität der Regulierungen. Diese Einschätzung zeigt sich seit Jahren in der Beurteilung des vergleichbaren Datenschutzniveaus; ausländische Datenschutzgesetze müssen nicht genau gleiche Schutzprinzipien und -mechanismen aufweisen, sondern „lediglich“ in einer „äquivalenten“ Weise die Vertraulichkeit der Daten von Schweizer Personen sicherstellen.^[37]Art. 16 Abs. 1 des neuen DSG verlangt einen „angemessenen Schutz“ im Ausland, nicht das Vorliegen identischer Datenschutzgrundsätze. Zudem sollte die Schweiz nicht vorschnell auf einen durch ein weniger dichtes Regulierungsmodell bewirkten Wettbewerbsvorteil verzichten, nicht zuletzt auch mit Blick auf die vielen Abnehmer ausserhalb der EU, denn KI-Systeme lassen sich global vermarkten.

Identifikation der relevanten Themen

Wie erwähnt ist ein horizontaler Regulierungsansatz regelmässig gezwungen, eine hohe Regulierungsdichte zu realisieren, und hat dennoch den Nachteil, dass sektorspezifische Besonderheiten nicht berücksichtigt werden können. Wird von einem solchen umfassenden horizontalen Regulierungsansatz abgesehen, erweist es sich indessen als notwendig, die relevanten Themen der Künstlichen Intelligenz, die einen Handlungsbedarf auslösen, zu identifizieren. Nach zwischenzeitlich verbreiteter Meinung stehen folgende Themen im Vordergrund:^[38]Zu den einzelnen Themen vgl. nachfolgend Ziff. D.

• Nichtdiskriminierung und Fairness;
• Transparenz und Erklärbarkeit;
• Manipulation;
• Datenschutz und Datensicherheit;
• Haftung und Verantwortlichkeit.

Abgesehen von der Identifikation der relevanten Themen hat der Gesetzgeber auch die regulatorischen Instrumente festzulegen, die zum Einsatz kommen sollen. Der stärkste Eingriff würde in einem Verbot bestehen; eine Alternative besteht in der Festlegung von Zulassungsbedingungen, die der Anbieter von KI-Produkten oder -Dienstleistungen einzuhalten hat. Verbote sind grundsätzlich nur gerechtfertigt, wenn die Sicherheitsrisiken als so erheblich erscheinen, dass eine sachgerechte Minimierung mit möglichen Vorsichtsmassnahmen nicht in Frage kommt;^[39]Mögliche Beispiele für ein Verbot sind der Einsatz von Gesichtserkennung und anderen biometrischen Fernerkennungsverfahren im öffentlichen Raum zum Zwecke der Massenüberwachung oder der Einsatz … Continue reading jedes Verbot führt nämlich dazu, dass die Angebote für entsprechende KI-Produkte und -Dienstleistungen völlig vom Markt verschwinden. Zulassungsverfahren sind insbesondere geeignet, die Realisierung von Sicherheitsvorkehren zu gewährleisten; im Einzelnen ist jeweils zu prüfen, ob bereits bestehende Zulassungsverfahren erweitert werden können oder ob es sich aufdrängt, neue Zulassungsverfahren zu schaffen.^[40]Vgl. Thouvenin et al., 6.

Regelungspunkte bei KI-relevanten Themen

Die nachfolgend angesprochenen, im KI-Kontext relevanten Themen betreffen besondere politik- und marktrelevante Bereiche. Potentielle KI-Risiken vermögen sich aber auch auf grundlegende Rechtsprinzipien auszuwirken; zutreffend thematisiert der Europarat im CAHAI-Report z.B. die Menschenwürde, die Grundfreiheiten, die Demokratie und die „Rule of Law“.^[41]CAHAI-Report, 27 ff.; zur Menschenwürde, zu den Grundfreiheiten und zu den rechtstaatlichen Prinzipien eingehend Rolf H. Weber, Automatisierte Entscheidungen: Perspektive Grundrechte, … Continue reading Die materielle Diskussion der „ausgewählten“ fünf wichtigen Themenbereiche erfolgt bewusst knapp, weil vertiefendes Schrifttum bereits vorhanden ist^[42]Für weiterführende Überlegungen vgl. Weber/Henseler, 33 ff. und Braun Binder et al., Rz. 8 ff.; beide Beiträge enthalten umfangreiche weitergehende Hinweise, auf deren erneute … Continue reading und die rechtliche Rahmenordnung in einem Forschungsprojekt während der nächsten drei Jahre detailliert analysiert werden soll.^[43]Für einen Bericht über die Eröffnungsveranstaltung vom 10. November 2021 vgl. Fabienne Graf/Liliane Obrecht, Rechtliche Rahmenbedingungen für Künstliche Intelligenz in der … Continue reading

Nichtdiskriminierung und Fairness

Die zentralste Herausforderung bei der KI-Regulierung betrifft wohl den Bereich der Nichtdiskriminierung bzw. Gleichbehandlung. Beispiele, die zeigen, dass gewisse menschliche Merkmale zu unfairen oder gar diskriminierenden Behandlungen führen können, weil mit einzelnen Merkmalen ein „Bias“ verbunden sein kann, dürfen als weitherum bekannt gelten.^[44]Im Einzelnen vgl. Weber/Henseler, 31 f. und 39 ff. sowie Braun Binder et al., Rz. 21 ff., je m.w.V. Betroffen vom Grundsatz der Nichtdiskriminierung sind nicht nur private Unternehmen, sondern ebenso die öffentliche Verwaltung.^[45]Für ein (österreichisches) Beispiel vgl. Braun Binder et al., Rz. 23.

Das Gebot der rechtsgleichen Behandlung ist verfassungsrechtlich verankert (Art. 8 Abs. 1 BV); immerhin bedarf dieser Grundsatz einer Verfeinerung, um sinnvoll anwendbar zu sein.^[46]Zum sekundärrechtlichen bzw. einfachgesetzlichen Diskriminierungsschutz vgl. Weber/Henseler, 39 f. Zu beachten bleibt weiter, dass „Fairness“ und Bias“ in einzelnen Disziplinen weiter gefasst werden.^[47]Braun Binder et al., Rz. 25 f. Besonders problematisch ist die indirekte bzw. verdeckte Diskriminierung, die sich ggf. lediglich in einzelnen Auswirkungen von Einschätzungen zeigt.^[48]Braun Binder et al., Rz. 24 und 27 ff. m.w.V.

Im Gegensatz zu anderen Themenbereichen dürfte sich zur Sicherstellung von Nichtdiskriminierung und Fairness ein horizontaler (allgemeiner) Gesetzeserlass, der öffentliche Verwaltungen und weitergehend als heute insbesondere private Unternehmen betrifft, als notwendig erweisen,^[49]In diese Richtung gehen wohl auch Thouvenin et al., 4; ob eine „organische Weiterentwicklung“ des heutigen Rechts ausreicht (so Braun Binder et al. [Fn. 8], Rz. 30), erscheint … Continue reading da die Ergänzung einer grossen Zahl von bestehenden Gesetzen kaum sinnvoll zu bewerkstelligen wäre.

Transparenz und Erklärbarkeit

Der Einsatz von Künstlicher Intelligenz muss transparent erfolgen; die betroffenen Personen sind zudem in die Lage zu versetzen, die KI-Vorgehensweise zu verstehen, was deren Erklärbarkeit und Interpretierbarkeit voraussetzt. Die Transparenz und Nachvollziehbarkeit von KI-Vorgängen sind adressatengerecht auszugestalten, abhängig vom Verständnishorizont des Betroffenen und der Bedeutung der Entscheidung für die erfasste Person; die der automatisierten Entscheidung zugrunde liegende Logik muss verständlich sein und die notwendigen Informationen enthalten, um einen ausreichenden Grad an Nachvollziehbarkeit zu erreichen.^[50]Thouvenin et al., 3; zu den spezifischen Transparenzanforderungen des EU-Rechts, das weiter entwickelt ist als das Schweizer Recht (z.B. im Gesundheitsbereich), vgl. Weber/Henseler, 37 f.

Denkbar wäre weiter die Einführung einer Kennzeichnungspflicht bei der Verwendung von algorithmischen Systemen. Um die Erkennbarkeit des KI-Einsatzes für die interessierte Öffentlichkeit zu gewährleisten, würde auch die Möglichkeit bestehen, ein öffentlich zugängliches Register zu schaffen, das aufzeigt, in welchen Bereichen die öffentliche Verwaltung einzelne KI-Systeme einsetzt.^[51]Thouvenin et al., 3.

Im Datenschutz- und im Verbraucherrecht (stärker in der EU als in der Schweiz) sind erste Regulierungsansätze bereits vorhanden. So enthalten z.B. die DSGVO und das neue DSG der Schweiz eine spezifische Informationspflicht und ein Auskunftsrecht bei automatisierten Entscheidungen; offenzulegen sind aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer KI-Verarbeitung.^[52]Art. 13 Abs. 2 lit. f und Art. 14. Abs. 2 lit. g DSGVO; Art. 21 Abs. 1 und Art. 25 Abs. 2 lit. f rev. DSG. Zwar sind Inhalt und Tragweite der gesetzlichen Informationspflichten bzw. Auskunftsrechte im Einzelnen umstritten, doch hat sich zwischenzeitlich die Meinung durchgesetzt, die Grundannahmen des Algorithmus seien offenzulegen, nicht aber der Algorithmus selbst.^[53]Weber/Henseler, 35, und Braun Binder et al., Rz. 12, je m.w.V.

Entsprechende rechtliche Regelungen erweisen sich insbesondere im Gesundheitsbereich als angebracht. Der AIA-Vorschlag erklärt den Einsatz von KI in medizinischen Instrumenten als mit hohem Risiko behaftet.^[54]Art. 5 i.V.m. Anhang 2A des AIA-Vorschlags. Für solche Systeme gelten spezifische Transparenzpflichten; offenzulegen ist, mit welchen Daten die KI trainiert wurde und wie sie funktioniert und wirkt.^[55]Im Einzelnen dazu Braun Binder et al., Rz. 9 und 15. Die Transparenzschaffung kann aber in Widerspruch zu den Geheimhaltungsinteressen der die KI-Systeme entwickelnden Unternehmen geraten, was einen konkreten Interessenabwägungsprozess im Lichte der gegebenen Umstände erforderlich macht.^[56]Braun Binder et al., Rz. 10 m.w.V.

Einschränkungen mit Bezug auf die Transparenzschaffung sind auch beim raum- bzw. zeitbezogenen „Predictive Policing“ unumgänglich, um zu vermeiden, dass die vorausschauende Polizeiarbeit schon frühzeitig offengelegt werden muss.^[57]Vgl. auch Weber, 24 f. Mit dem Predictive Policing lassen sich anhand statistischer Prognosen wahrscheinliche Vorfälle identifizieren, was der Polizei das Ergreifen präventiver (aus Sicherheitsgründen als sinnvoll erscheinender) Massnahmen ermöglicht.^[58]Braun Binder et al., Rz. 13.

Manipulation

Künstliche Intelligenz lässt sich einsetzen, um menschliches Verhalten zu beeinflussen. Ein solcher Eingriff in die Autonomie der betroffenen Person vermag unbewusst auf das Denken und Handeln einer Person einzuwirken. Besonders problematisch ist die verdeckte Beeinflussung (z.B. durch Verwendung von Empfehlungsalgorithmen auf Plattformen der sozialen Medien).^[59]Vgl. auch Thouvenin et al., 4.

Manipulationen können auch im Kontext der demokratischen Prozesse vorfallen und damit z.B. den Schutz der freien Willensbildung beeinträchtigen.^[60]Thouvenin et al., 4 f. Weltweit diskutiert wird die Manipulation insbesondere im Vorfeld von Wahlen und Volksabstimmungen; immerhin lässt sich nicht übersehen, dass bereits heute gewisse rechtliche Rahmenbedingungen bestehen, um – unabhängig von den genutzten Informationskanälen – gegen schwerwiegende Desinformationen vorzugehen.^[61]Vgl. BGE 140 I 338, E.5.3; Braun Binder et al., Rz. 36. Allgemein betrachtet steht das Recht indessen bei der Erfassung von Manipulationen und Desinformationen noch am Anfang.

Gewisse rechtliche Regelungen, deren Zweck darin besteht, Manipulationen zu vermeiden, sind hingegen im privatrechtlichen Bereich vorhanden: Das Verbreiten von manipulativer Information fällt in den Anwendungsbereich des strafrechtlichen Ehrverletzungsschutzes (Art. 173 ff. StGB) und des allgemeinen Persönlichkeitsrechts (Art. 28 ZGB). Diese rechtlichen Regelungen dürften geeignet sein, die wesentlichsten Desinformationen durch KI zu erfassen.^[62]Vgl. dazu den kürzlich erschienenen BAKOM-Bericht, Intermediäre und Kommunikationsplattformen – Auswirkungen auf die öffentliche Kommunikation und Ansätze einer Governance, Bericht vom … Continue reading

Weiter enthält das Gesetz gegen den unlauteren Wettbewerb verschiedene Bestimmungen, die im Rahmen der Verbreitung marktrelevanter Desinformationen von Bedeutung sind (insbesondere Art. 3 Abs. 1 lit. b, lit. d und lit. i UWG sowie allgemein Art. 2 UWG).^[63]Braun Binder et al., Rz. 35 und 38. Dennoch bleibt genauer zu analysieren, inwieweit eine Konkretisierung des Manipulationstatbestandes im UWG nicht sinnvoll wäre.

Der AIA-Vorschlag sieht ein Verbot für gewisse Formen des manipulativen Gebrauchs von KI und für KI-Anwendungen vor (Art. 5 Abs. 1 lit. a und b). Die Formulierung des Tatbestandes ist aber sehr offen umschrieben und auch ungenügend zielgerichtet, weshalb sich eine Übernahme in das Schweizer Recht nicht aufdrängt; vielmehr erscheint die hiesige Rechtsordnung als hinreichend flexibel, um die relevanten Probleme zu erfassen, die durch Manipulationen mittels KI entstehen könnten.^[64]Vgl. auch Braun Binder et al., Rz. 39.

Datenschutz und Datensicherheit

Der Schutz der Privatsphäre war historisch betrachtet das erste Thema, das im Kontext der Künstlichen Intelligenz heiss diskutiert worden ist.^[65]Für einen Überblick vgl. Weber/Henseler, 34 ff. m.w.V. Die Schaffung der DSGVO in der EU sowie des neuen DSG in der Schweiz scheint den Herausforderungen aber an Brisanz genommen zu haben.

Insbesondere die bereits erwähnten Bestimmungen zu den automatisierten Entscheidungen, aber auch die Anordnungen zu den Datenschutz-Folgeabschätzungen, nehmen den Regelungsbedarf, der durch den Einsatz von Algorithmen entsteht, detailliert auf. Einzelne Verfeinerungen lassen sich diskutieren^[66]Vgl. dazu Braun Binder et al., Rz. 20. und sind auch angebracht; deren Realisierung dürfte aber nicht auf unüberwindbare Hindernisse stossen.

Unabhängig von diesen (theoretischen) Überlegungen bleibt indessen im Auge zu behalten, dass insbesondere die Vorgaben des Datenschutzrechts bereits sehr weit gediehen sind und es voraussichtlich in vielen Einzelkonstellationen weniger um legislatorische Ergänzungen wegen Regelungslücken als um die konkrete Umsetzung vorhandener Normierungen geht.^[67]Vgl. Weber/Henseler, 35 f.

Die Datensicherheit ist schon heute im digitalen Umfeld von grosser Bedeutung. Mit KI-Anwendungen liegt die Messlatte für Sicherheitsstandards aber noch höher. Insbesondere stellt sich die Frage, ob die Schweiz – ähnlich wie andere Länder – ein allgemeines IT-Sicherheitsgesetz erlassen sollte.^[68]Thouvenin et al., 6. Im Sinne einer kooperativen Regulierung ist es indessen durchaus denkbar, dass private Organisationen sich bemühen, angemessene IT-Sicherheitsstandards zu entwickeln, wie dies insbesondere durch die International Standardisation Organisation (ISO) und auch schweizerische Vereinigungen bereits geschehen ist.^[69]Vgl. dazu schon Rolf H. Weber/Annette Willi, IT-Sicherheit und Recht, Zürich 2006, 67 ff. und 74 ff. m.w.V.

Haftung und Verantwortlichkeit

In der Öffentlichkeit intensiv diskutiert wird die Problematik der zivilrechtlichen Haftung und der strafrechtlichen Verantwortlichkeit für die Verursachung von Schäden im Falle des Einsatzes von KI im Strassenverkehr.^[70]Vgl. Melinda F. Lohmann, Automatisierte Fahrzeuge im Lichte des Schweizer Zulassungs- und Haftungsrechts, Baden-Baden 2016, 211 ff. Ohne Zweifel ergibt sich in diesem Bereich ein Handlungsbedarf, und zwar nicht zuletzt angesichts der Tatsache, dass die traditionellen Haftungsregeln (insbesondere diejenigen des Produkthaftungsrechts) an die physischen Güter und nicht an die körperlosen Dienstleistungen bzw. an die Software anknüpfen.^[71]Melinda F. Lohmann, Ein zukunftsfähiger Haftungsrahmen für Künstliche Intelligenz. Warum die Schweiz ihr Produkthaftungsrecht aktualisieren muss, HAVE 2021, 111 ff.

Die EU ist mit ihren Vorbereitungsarbeiten zur Anpassung der Produkthaftpflicht-Richtlinie schon recht weit gediehen; zu klären ist immerhin noch die Einordnung digitaler Dienste.^[72]Vgl. auch Braun Binder et al., Rz. 41 f. m.w.V. Im Vordergrund steht die Frage, ob eine isolierte Steuerungssoftware als (Teil)Produkt qualifiziert werden kann, eine Annahme, die auch in der Schweiz vermehrt Zustimmung findet.^[73]Walter Fellmann, Haftpflichtrecht im Zeichen der Digitalisierung, HAVE 2021, 105, 109. In dieser Betrachtungsweise liesse sich Software in jeglicher Form als „typische Erscheinung der fortschreitenden Technisierung“ unter den Anwendungsbereich des Produkthaftpflichtgesetzes subsumieren.^[74]Fellmann, 107; Braun Binder et al., Rz. 43. Weiter klärungsbedürftig ist die Konkretisierung des Begriffs der Fehlerhaftigkeit im Falle von KI-Anwendungen.^[75]Vgl. dazu Braun Binder et al., Rz. 44 f. m.w.V. Immerhin lässt sich nicht übersehen, dass die Schweizer Rechtsprechung die deliktische Produzentenhaftung durch eine extensive Auslegung der ausservertraglichen Norm von Art. 55 OR bereits seit Jahrzehnten erheblich erweitert hat.^[76]Diese Rechtsprechung hat vor fast 40 Jahren mit dem sog. Schachtrahmen-Entscheid des Bundesgerichts (BGE 110 II 456 ff.) ihren Anfang genommen.

Ein besonderes Thema ist die Risikoprävention. Nach dem schon seit Jahren bekannten Konzept der Zuordnung von Risikosphären ist zu prüfen, welche Partei in der Lieferkette für gewisse Risiken am besten einzustehen vermag.^[77]Zum Konzept der Risikosphären vgl. Rolf H. Weber, Smart Contracts: Vertrags- und verfügungsrechtlicher Regelungsbedarf? sic! 2018, 291, 297 f. Grundsätzlich lässt sich sagen, dass die KI-Herstellerin am ehesten die Gefährdung durch sorgfältiges Programmieren zu beherrschen vermag; indessen verringert sich bei lernfähigen KI-Anwendungen, die nach dem Inverkehrbringen aufgrund der Nutzung trainiert werden, die Kontrolle.^[78]Lohmann, 120; Braun Binder et al., Rz. 46. Entlastungsmöglichkeiten ergeben sich aus der unsachgemässen Änderung eines KI-Systems in der kundenseitigen Anwendung oder im Falle von sog. Entwicklungsrisiken.^[79]Art. 5 Abs. 1 lit. b und lit. e PrHG; Braun Binder et al., Rz. 47 f.

Gesetzgeberischer Handlungsbedarf besteht somit im Haftungsrecht, selbst wenn einzelne bestehende Haftungsnormen (z.B. Art. 55 OR) durchaus analog auch im KI-Kontext angewendet werden können und die Umschreibung von ex ante Sorgfaltspflichten im traditionellen rechtlichen Umfeld als möglich erscheint. Für eine Schweizer Regulierung lässt sich indessen auf die bereits schon weit vorangeschrittenen Diskussionen im EU-Raum zurückgreifen: In Frage kommen z.B. die Einführung sektorspezifischer Gefährdungshaftungsnormen aufgrund der Herstellung oder Nutzung von KI-Systemen oder die Schaffung einer allgemeinen Gefährdungshaftung, kombiniert mit einer Versicherungspflicht.^[80]Im Einzelnen dazu Braun Binder et al., Rz. 50 m.w.V.

Ausblick

Der Gesetzgeber steht auch in der Schweiz vor neuen Herausforderungen im KI-Kontext. Die Notwendigkeit der Schaffung konkreter Regulierungen, die als unausweichlich erscheinen, um die KI-Risiken sachgerecht in den Griff zu bekommen, bedeutet aber nicht, dass zwingend der sehr detaillierte und teilweise problematische AIA-Vorschlag der EU „ungekürzt“ übernommen werden muss. Vielmehr erweist es sich für die Schweiz als sinnvoll, gestützt auf einen kooperativen Regulierungsansatz in der Form eines Rahmengesetzes punktuell Anpassungen der bestehenden Normen in den betroffenen Rechtsbereichen vorzunehmen, soweit ein Handlungsbedarf vorliegt.^[81]Vgl. auch Braun Binder et al., Rz. 55.

Das Modell eines Rahmengesetzes, das – ähnlich wie das DLT-Gesetz – als „Schirm“ die verschiedenartigen normativen Anpassungen zusammenhält, erweist sich als eine sinnvolle Vorgehensweise. Konkrete gesetzliche Ergänzungen mit horizontaler Wirkung sind im Datenschutz‑, Persönlichkeits- und Lauterkeitsrecht erforderlich, doch wäre deren Ausmass gut überblickbar. Genauere vertikale Regelungen drängen sich im Gesundheitsrecht auf. Etwas komplexer ist die Situation im Haftungsrecht (erweiterte „Produkthaftung“), weil eine Kombination von horizontalen und vertikalen Regeln ins Auge zu fassen ist.

In zwei Bereichen wird – weitergehender als im DLT-Gesetz – zu analysieren sein, ob nicht eine umfassende horizontale Regulierung anzustreben wäre, nämlich beim Thema der Nichtdiskriminierung im privaten Bereich und beim Thema der IT-Sicherheit. Zwar wäre dieser Regulierungsansatz aufwendiger, aber im gesamtgesellschaftlichen Interesse an diesen beiden Materien wohl sachgerecht.

Bei der konkreten Ausgestaltung der neuen Gesetzesbestimmungen sind die erwünschte Äquivalenz zum EU-Recht und das Erfordernis der technologieneutralen Erfassung von KI-System im Auge zu behalten. Zur Verwirklichung dieser beiden Anliegen muss aber nicht der AIA-Vorschlag der EU „kopiert“ werden, sondern es bleibt ausreichender Spielraum für eine den Schweizer Bedürfnissen entsprechende KI-Gesetzgebung, z.B. gestützt auf ein materielles, in kooperativer Regelbildung zu verwirklichendes Konzept, das stärker auf die Vermeidung negativer Entwicklungen (Diskriminierung, Manipulation) als auf die Einhaltung risikodeterminierter Standards ausgerichtet ist.^[82]Vgl. vorne Ziff. C.II.