Die Abgeordneten des Ausschusses für Arbeit und Soziales im EU-Parlament fordern, dass finale Entscheidungen über Einstellungen, Kündigungen oder Vertragsverlängerungen, Gehaltsänderungen oder Disziplinarmaßnahmen immer von einem Menschen getroffen werden. Niemand soll durch einen Algorithmus gefeuert werden, sagte der Berichterstatter Andrzej Buła von der EVP. Er bezeichnete den Berichtsvorschlag des Ausschusses als „ausgewogen“, da er sowohl Unternehmen als auch Beschäftigten zugutekomme. Arbeitgeber sollen weiterhin frei entscheiden können, welche Systeme sie nutzen. Arbeitnehmer:innen bekämen damit das Recht auf Datenschutz und Information.

Beschäftigte sollen sich etwa algorithmische Entscheidungen erklären lassen können. Außerdem sollen sie erfahren, wie entsprechende Systeme eingesetzt werden, welche Daten diese über sie sammeln und wie die menschliche Aufsicht garantiert wird, die es für alle Entscheidungen durch algorithmische Systeme geben soll. Der Ausschuss will zudem, dass Arbeitnehmer:innen zum Umgang mit diesen Systemen geschult werden.

Verbot von Verarbeitung mancher Daten

Darüber hinaus soll die Verarbeitung von gewissen Datenkategorien verboten werden. Dazu zählen psychische und emotionale Zustände, private Kommunikation und der Aufenthaltsort außerhalb der Arbeitszeit. Daten über gewerkschaftliches Engagement und kollektive Verhandlungen sollen ebenso tabu sein.

Der Antrag wurde im Ausschuss mit 41 Stimmen angenommen, bei 6 Gegenstimmen und 4 Enthaltungen. Das EU-Parlament wird in seiner Sitzung Mitte Dezember über den Ausschussvorschlag abstimmen. Anschließend hat die EU-Kommission drei Monate Zeit zu reagieren: Sie kann das Parlament entweder über die geplanten nächsten Schritte informieren oder erklären, warum sie keine entsprechende Gesetzesinitiative einleitet.

Auf Nachfrage von netzpolitik.org erklärte Kommissionssprecher Thomas Regnier am Dienstag, dass der AI Act bereits Beschäftigte schütze. Beispielsweise sei dadurch verboten, dass Arbeitgeber Systeme zur Emotionserkennung einsetzen. Das gehört zu den verbotenen Anwendungen von KI, die bereits seit Inkrafttreten der Verordnung gelten.

AI Act reicht nicht aus

Im Oktober wurde zu dem Thema eine Studie veröffentlicht, die der Ausschuss in Auftrag gegeben hatte. Darin heißt es, dass der AI Act diese Art von Systemen als risikoreiche KI-Systeme einstuft, wenn sie am Arbeitsplatz eingesetzt werden. Das zieht Verpflichtungen in Bezug auf Transparenz, menschliche Aufsicht und Konformitätsbewertungen nach sich. Jedoch gebe es Lücken. Etwa seien Arbeitgeber nicht dazu verpflichtet, Verzerrungen in Algorithmen zu erkennen und zu mindern, die Arbeitnehmer:innen diskriminieren könnten.

Außerdem müssen laut der EU-Verordnung Betroffene zwar über automatisierte oder KI-gestützte Entscheidungen informiert werden. Es gibt jedoch keine Regelung, dass manche Entscheidungen ausschließlich von Menschen getroffen werden dürfen, so wie es die Abgeordneten fordern. Weiterhin stütze sich der AI Act in der Umsetzung auf Marktüberwachungsbehörden, nicht auf Behörden für den Schutz von Grundrechten. Auch schaffe der AI Act keine spezifischen Datenschutzrechte für den Arbeitsplatz.

Die Studie verweist zudem auf die EU-Richtlinie zur Plattformarbeit von 2024, die ähnliche Aspekte behandelt. Sie gilt jedoch nur für Plattformbeschäftigte. Die Autor:innen kommen zu dem Schluss, dass die bestehenden Regelungen einen gewissen Basisschutz bieten, aber kein kohärentes Regelwerk spezifisch für den Arbeitsplatz beinhalten.

Ursula von der Leyen steht blamiert da. Sie wollte aufspringen auf die KI-Welle, von der aber längst klar ist, dass viele damit verbundene Erwartungen übertrieben sind. Vor allem das Geraune um die alsbald kommende Künstliche Intelligenz, die uns intellektuell ebenbürtig oder uns gar in den Schatten stellen wird, verursacht bei Menschen Kopfschütteln, die sich wissenschaftlich mit dem Thema befassen.

Die EU-Kommissionspräsidentin hatte behauptet, KI werde sich schon nächstes Jahr dem menschlichen Denken und Verstehen annähern. Sie sagte das in einer Rede auf der EU-Haushaltskonferenz im Mai in Brüssel: „Als der aktuelle Haushalt ausgehandelt wurde, dachten wir, dass die KI erst um 2050 dem menschlichen Verstand nahekommt. Jetzt gehen wir davon aus, dass das bereits nächstes Jahr der Fall sein wird.“

Wissenschaftler, die zu Künstlicher Intelligenz forschen und lehren, widersprechen ihr jetzt öffentlich in einem Brief (pdf). Sie drängen von der Leyen, Abstand davon zu nehmen, dem KI-Hype hinterherzuhecheln und einer unmittelbar bevorstehenden Allgemeinen Künstlichen Intelligenz (Artificial General Intelligence, AGI) das Wort zu reden.

Sie fordern, dass die Kommission stattdessen die Behauptungen der Tech-Konzerne „sorgfältig prüfen“ und „unparteiisch und wissenschaftlich“ analysieren sollte. Potentiell sinnvolle KI würde nicht dadurch befördert, „dass unwissenschaftliche Marketingaussagen von US-Technologieunternehmen“ wiedergekäut würden.

Was die Forscher besonders erzürnte: Anlässlich der Rede fragte ein Wissenschaftler bei der Kommission nach Belegen (pdf), wie von der Leyen auf dieses schmale AGI-Brett gekommen wäre. Als Antwort erhielt er jedoch keinerlei wissenschaftliche Fakten. Stattdessen zog die Kommission ernsthaft ein paar Blog-Einträge oder Aussagen auf Konferenzen von Tech-Broligarchen wie Anthropic-Chef Dario Amodei oder OpenAI-Chef Sam Altman als angebliche Beweise aus dem Hut.

Desinformation aus der Spitzenpolitik

Es ist gut, wenn jemand Kompetentem mal der Kragen platzt und angesehene Wissenschaftler übertriebenen Quatsch als solchen benennen und auf Fehlentwicklungen hinweisen. Denn Desinformation sollte nicht auch noch aus der Spitzenpolitik kommen. Die Kommissionspräsidentin sollte nicht eine solch kühne Behauptung in den Raum zu stellen, die unbelegt ist.

Die noch immer anschwellende KI-Blase blubbert nun seit drei Jahren. Weder Anthropics Claude noch OpenAIs ChatGPT rentieren sich auch nur annähernd, im Gegenteil: Sie kosten die Ex-Start-ups Unmengen Geld. Und sie kosten uns alle Unmengen Strom und Wasser und Elektronik-Hardware, die bald zu Bergen von Elektronikschrott werden könnten, wenn das drastische Wachstum der KI-Großrechenzentren so weitergeht. Die notwendige Umstellung der Energieproduktion hin zu Erneuerbaren wird buchstäblich von KI aufgefressen.

„KI“-Platzhirsche bauen massiv aus

Wir sollten aufhören, Software zu anthropomorphisieren, ihnen also menschliche Fähigkeiten anzudichten. Wir müssen weg von dem Glauben an KI und dem Nachplappern von Versprechungen der Tech-Bosse. Es vernebelt nicht nur von der Leyen die Sinne, sondern auch uns, wenn wir informiert und sachlich einschätzen wollen, welche Fähigkeiten der Sprachmodelle wir wo sinnvoll einsetzen können und was schlicht Bullshit ist.

Wir müssen auch weg von einer allzu freundlichen Sichtweise auf die Tech-Konzerne. Denn sie sind eben keine Heilsbringer, denen nun auch noch mit einer Anti-DSGVO-Agenda entgegengearbeitet werden sollte. Sondern es gehört ihnen mit gesunder Skepsis begegnet sowie dem Willen, geltendes EU-Recht durchzusetzen statt rückzubauen.

Im Vergleich zu der Rede von der Leyens zur sogenannten „State of the Union“ noch im September ist eine Umkehr zu beobachten. Damals betonte die Kommissionspräsidentin in ihrer Rede noch, dass sie „europäische Unabhängigkeit“ und die „Kontrolle über die Technologien […], die unsere Volkswirtschaften antreiben“, anstrebe. Sie wolle eine gute Regulierung der US-Konzerne, sagte die CDU-Politikerin. Explizit zur Digitalregulierung posaunte sie gar: „Wir setzen unsere eigenen Standards. Und unsere eigenen Regeln.“

Davon lässt ihre Anti-DSGVO-Agenda wenig übrig. Kein Wunder, wenn sie offenbar lieber den Übertreibungen und Halbwahrheiten der Tech-Bosse als der Wissenschaft zuhört.

Die deutsche Bundesregierung erachtet die Sicherheit der IKT-Systeme des Kanzleramts als Staatsgeheimnis. Sie weigert sich daher, wesentliche Informationen zur IT-Sicherheit der Regierungszentrale preiszugeben. Die Regierung begründet diesen außergewöhnlichen Schritt in ihrer jetzt veröffentlichten Antwort auf eine Anfrage der AfD-Bundestagsfraktion so: Sämtliche Auskunft zu dem Thema berührten derart schutzbedürftige Geheimhaltungsinteressen, dass das Staatswohl dem parlamentarischen Auskunftsrecht überwiege.

Selbst die Einstufung der Information als Verschlusssache (VS) und deren Hinterlegung bei der Geheimschutzstelle des Bundestages wäre zu riskant, sagt das Kanzleramt. Denn auch ein geringfügiges Risiko des Bekanntwerdens könne unter keinen Umständen hingenommen werden.

Die IT-Sicherheitslage sei „angespannt bis kritisch“. Staatliche Akteure und andere Kriminelle professionalisierten ihre Arbeitsweise und agierten zunehmend aggressiv. Die Situation habe sich durch den russischen Angriffskrieg auf die Ukraine und die daraus resultierenden vermehrten Angriffe auf Verbündete wie Deutschland weiter verschärft. Die stetig wachsende Komplexität der IT-Landschaft und die zunehmende Vernetzung erweiterten ferner die Angriffsflächen.

Bundes-IT wäre enorm gefährdet

Die Veröffentlichung von Details über Resilienz und Schutzmaßnahmen der Bundes-IT würde diese erheblich gefährden, schreibt das Kanzleramt. Angaben etwa zur Anzahl, zum Ort und zur Ausstattung von Rechenzentren, den Ergebnissen technischer Sicherheitsüberprüfungen und der Entwicklung der IT-Sicherheitsstellen könnten potenziellen Übeltätern konkrete Hinweise auf die im Kanzleramt eingesetzten Schutzmaßnahmen liefern. Insbesondere in Zusammenschau mit anderen Regierungsantworten und unter Nutzung von Techniken KI wären Angreifer in der Lage, Schwachstellen gezielt auszumachen und daraus konkrete Angriffsvektoren abzuleiten.

Eine solche Preisgabe der Verteidigungsstrategie würde die Lage in den Dimensionen Bedrohung, Angriffsfläche, Gefährdung und Schadwirkung dramatisch verschlechtern, heißt es in der Nicht-Antwort. Dies könnte „unmittelbar die Gewährleistung der Handlungsfähigkeit der Bundesregierung gefährden“.

BSI ist gegen Security by Obscurity

Das Kanzleramt macht lediglich einzelne operationelle Angaben: Alle einschlägigen Rechenzentren verfügten über Notstromversorgung. Die Funktionsfähigkeit des Kanzleramtes werde durch redundante Systeme gesichert.

Kritik des Bundesrechnungshofes werde bei einem kontinuierlichen Verbesserungsprozess berücksichtigt. Derzeit seien keine Stellen im IT-Sicherheitsbereich unbesetzt. Generell sieht die Regierung die Notwendigkeit, die IT-Systeme des Kanzleramtes besonders zu schützen, was sich im Entwurf zur Umsetzung der NIS-2-Richtlinie niedergeschlagen habe.

Security by Obscurity (Sicherheit durch Verschleierung) funktioniert Experten zufolge nicht als primäre oder alleinige Sicherheitsstrategie, da sie Angreifer allenfalls kurzzeitig bremst. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, da Angreifer automatisierte Werkzeuge nutzten und damit regelmäßig Schwachstellen in verborgenen Systemen fänden.

(ds)