KI bietet vielfältige Einsatzmöglichkeiten für Unternehmen, aber was ist mit der Haftung für durch KI versursachte Schäden? Welche Schäden können auftreten, einerseits durch Dienstleistungen im Zusammenhang mit KI aber auch durch Produkte, die auf KI gestützt sind oder diese einsetzen und wer ist verantwortlich der Anbieter der KI oder der Anwender? Dieser Artikel möchte einige Aspekte der Haftung insbesondere im Hinblick auf neue Richtlinien und Verordnungen der EU betrachten.
Der Inhalt im Überblick
Ausgangssituation für die Haftung
Die Gemengelage ist sehr komplex und durch vielschichtige, undurchsichtige Prozesse geprägt, die nicht zweifelsfrei im Sinne einer Gefährdungs- oder Verschuldenshaftung zugeordnet werden können. Hinzukommt, dass sich der Einsatz von KI und deren Möglichkeiten dynamisch weiterentwickelt und das neue Rechtsgebiet mit dieser Entwicklung Schritt halten muss. Die Schwierigkeit für die rechtliche Beurteilung ergibt sich aus der
- Komplexität der KI, die es erschwert, die Funktionsweise und die Ergebnisse der Algorithmen zu durchdringen
- Adaption des Erlernten durch die KI, d.h. die Algorithmen lernen fortwährend und entwickeln sich weiter und wem kann man dann die fehlerhafte Weiterentwicklung zurechnen
- Selbstständigkeit der KI, d.h. die Algorithmen arbeiten selbstständig ohne menschliches Eingreifen
Wem sollen die Ergebnisse der KI, deren ggf. unrechtmäßige Handeln zugerechnet werden? Muss dies der Anbieter oder Anwender verantworten? Die Haftung ist daher eine ähnliche Blackbox, wie die KI selbst. Zwar versucht die EU mit der Richtlinie zur KI-Haftung (COM/2022/496), der KI-Verordnung sowie der Überarbeitung der Produkthaftungsrichtlinie etwas Licht ins Dunkle zu bringen. Jedoch gelingt dies nicht vollends, denn es verbleiben viele unbestimmte Rechtsbegriffe, die einer Auslegung bedürfen und damit Rechtsunsicherheit im Zusammenhang mit der KI begründen.
Grundsätze der Haftung
Grundsätzlich haftet man für Vorsatz und Fahrlässigkeit oder auch, wenn vertragliche Vereinbarungen nicht eingehalten werden. Auch für die KI, gilt im Allgemeinen, dass derjenige, der sie nutzt, entwickelt oder betreibt, haftet, es sei denn, er hält sich an die Gesetze, d.h. kommt seinen Sorgfaltspflichten nach oder hält sich an vertragliche Vereinbarungen.
In Bezug auf die KI existiert ein ganzes Potpourri an bereits etablierten Normen, die Sorgfaltspflichten auferlegen und vertragliche Anforderungen stellen können.
- Produkthaftungsgesetz (ProdHaftG)
- BGB: Gewährleistung wegen Nichterfüllung oder Schlechterfüllung nach §§ 433 ff BGB/§§ 633 ff BGB
- BGB: Deliktsrecht §§ 823 ff BGB
- Gefährdungshaftung, u.a. § 7 StVG beim Einsatz autonomer Fahrzeuge
- Allgemeine Geschäftsbedingungen
Probleme im Zusammenhang mit der KI
Hinzukommen noch neue Regelungen, die das neue Rechtsgebiet klarer und bereits passend für die Entwicklungen in der Zukunft ausrichten. Aufgrund der Intransparenz von Ursache und Wirkung ist bei KI nicht offenkundig, ob menschliches oder ein programmtechnisches Versagen zu dem Schaden geführt hat. In Bezug auf diese Zurechnung beim Einsatz, Anbieten der KI handelt es sich um eine Blackbox, für die die EU Lösungsansätze in folgenden Regelungen formuliert hat:
- die Überarbeitung der Produkthaftungsrichtlinie
- die KI-Verordnung (KI-VO)
- die KI-Haftungs-Richtlinie in (COM/2022/496)
Produkthaftungsrichtlinie (Produkthaftungs-RL-E)
Die Novellierung der Produkthaftungsrichtlinie stellt in Art. 1, Art. 4 Abs. 1 Produkthaftungs-RL-E klar, dass Software nun ein Produkt im Sinne von Art. 2 Produkthaftungsrichtlinie ist und legt als erweiterten Haftungskreis den Hersteller, Importeur, Bevollmächtigten des Herstellers, Fulfillment-Dienstleister, Einzelhändler, Betreiber von Online-Marktplätzen fest. Dies hat zur Folge, dass auch für außerhalb der EU gekaufte und fehlerhafte KI-Produkte ein Anspruchsgegner gegeben ist, der für Schaden (einen wesentlicher Verlust) einzustehen hat. Ein solcher Schaden kann eine psychische Beeinträchtigung der Gesundheit, etwa Tod oder Körperverletzung, sein oder in der Beeinträchtigung bzw. Zerstörung von Vermögensgegenständen liegen, die nicht das fehlerhafte Produkt selbst sind sowie in dem Verlust oder der Verfälschung von Daten, die nicht ausschließlich für berufliche Zwecke benutzt werden. Wichtige Regelungen sind:
- die lange Haftpflichtzeit von 25 Jahren,
- der Auskunftsanspruch des Geschädigten nach Art. 8 Produkthaftungs-RL ähnlich Art. 3 der KI-Haftungs-RL, beschränkt auf die Verhältnismäßigkeit
- die Beweiserleichterung durch widerlegbare Vermutungsregeln für den Schaden gem. Art. 9 Produkthaftungs-RL, u.a. wird die Fehlerhaftigkeit des Produktes gem. Art. 9 Abs. 2 lit. a Produkthaftungs-RL vermutet, wenn der Beklagte der Offenlegung aus Art. 8 Produkthaftungs-RL nicht nachkommt.
Steht fest, dass das Produkt fehlerhaft war und ist der entstandene Schaden typisch für den Fehler, wird damit der Kausalzusammenhang zwischen Fehlerhaftigkeit und Schaden gem. Art. 9 Abs. 3 Produkthaftungs-RL angenommen.
KI-Verordnung
In der KI-Verordnung wird definiert, wer Anbieter (Art. 3 Abs. 1 KI-VO) und was ein KI-System ist, insbesondere wird unterschieden zwischen Hochrisiko-KI und anderen KI-Systemen. Diese Klassifizierung der KI-Systeme hat signifikanten Einfluss auf die Vertragsgestaltung bei der Anschaffung von KI-Systemen. Als vertragliche Grundlage können die EU-KI-Standardvertragsklauseln (KI-SCC für Hochrisiko-KI und andere KI-Systeme) herangezogen werden. Keine Hochrisiko-KI sind die Systeme, die gem. Art. 6 KI-VO kein erhebliches Risiko für die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen haben und deren Entscheidungsprozesse nicht wesentlich beeinflussen, d.h. eng umgrenzte verfahrenstechnische oder rein vorbereitende Aufgaben zur Bewertung von Zwecken oder die KI dient der Verbesserung einer menschlichen Tätigkeit.
Ferner wird festgezurrt, welche ethische Standards eingehalten werden müssen, welche KI-Systeme vertrauenswürdig und sicher sind. Verboten sind gem. Art. 5 Abs. 1 KI-VO Praktiken, die massiv in Grundrechte eingreifen, etwa Social Scoring, biometrische Echtzeit-Fernidentifizierung, KI-Systeme zur Beeinflussung von Verhalten. Dieses Verbot richtet sich nicht nur gegen den Anbieter, also die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI System entwickelt oder entwickeln lässt oder im eigenen Namen unter eigener Marke in den Verkehr bringt oder in Betrieb nimmt, unabhängig, ob dies entgeltlich oder unentgeltlich erfolgt gem. Art. 3 Nr. 2 KI-VO, sondern auch gegen den Anwender, also denjenigen, der das KI-System in eigener Verantwortung verwendet. Einzige Ausnahme ist, dass das KI-System für eigene persönliche, nicht berufliche Zwecke verwendet wird.
Die KI-Verordnung wendet sich an die Anbieter und Anwender von KI-Anwendungen. Wobei in Art. 16 KI-Verordnung auch dem Anwender Pflichten auferlegt werden. Bei Hochrisiko-Systemen sind Anbieter zudem verpflichtet eine Risikobewertung und Dokumentation der Systeme durchzuführen und müssen zudem besondere Pflichten erfüllen. Die Beurteilung, ob ein Hochrisiko-System vorliegt oder nicht, unterliegt der in Art. 6 und 7 KI-VO beschriebenen Klassifikation. Die Prüfung, ob ein Hochrisiko-KI-System betrieben wird und damit welche Sorgfaltspflichten einzuhalten sind, ist nicht einfach und risikobehaftet. Liegt ein Hochrisiko-KI-Systeme vor, müssen einerseits grundsätzliche Verpflichtungen aus Art. 8-15 KI-VO erfüllt werden, andererseits auch weitere Mitwirkungs- und Registrierungspflichten gem. Art. 29 KI-Verordnung: u.a.
- angemessene technische und organisatorische Maßnahmen (TOM)
- dauernde Überwachung der KI
- Melde- und Dokumentationspflichten
- Transparenzpflichten
Eine fehlerhafte Einschätzung dahingehend, dass kein Hochrisiko-KI-System vorliegt, führt dazu, dass die gesetzlichen Pflichten aus Art. 29 der KI-VO nicht eingehalten werden. Dies wiederum kann zu hohen Geldbußen bis zu 30.000.000 EUR oder bis zu 6% des gesamten weltweiten Jahresumsatzes gem. Art. 71 Abs. 4 lit. g KI-VO führen.
Auf viele der Begriffsbestimmungen der KI-Verordnung nimmt die KI-Haftungs-Richtlinie Bezug.
KI-Haftungs-Richtlinie
Der Anwendungsbereich der KI-Haftungs-Richtlinie ist dann eröffnet, wenn durch oder bei dem Betrieb eines KI-Systems, wie es in der KI-VO beschrieben ist, ein Schaden entstanden ist. Herzstück ist Art. 3 und 4 der KI-Haftungs-Richtlinie. Insgesamt geht es in der KI-Haftungs-Richtlinie um eine Ergänzung der zivilrechtlichen Haftung in Bezug auf vorsätzliches und fahrlässiges Verhalten, unabhängig von einer vertraglichen Haftung. Hervorzuheben ist hierbei:
- die widerlegbare Kausalitätsvermutung, d.h. der Geschädigte muss nicht die Ursächlichkeit des Schadens belegen. Es reicht, wenn nach vernünftigem Ermessen davon ausgegangen werden kann, dass das Verschulden des Beklagten, eine Sorgfaltspflichtverletzung, das Ergebnis der KI beeinflusst hat und damit zu dem Schaden geführt hat. Die Kausalität zwischen dem KI-Ergebnis und der Verletzung eines Rechtsgutes des Klägers wird dann vermutet, wenn das Produkt fehlerhaft war und der entstandene Schaden typisch für einen derartigen Fehler ist.
- der erleichterte Zugang zu Beweismitteln, insbesondere bei Hochrisiko-KI-Systemen, gegenüber dem Anbieter und Nutzer einer KI kann die Offenlegung der Beweismittel gem. Art. 3 Abs. 1 KI-Haftungs-Richtlinie gefordert werden, soweit die Verhältnismäßigkeit gewahrt bleibt, d.h. zuvor war versucht worden, die Informationen vom Unternehmen/Anbieter zu erlangen. Der Geschädigte soll die Schadensursache und den Verantwortlichen auf diese Weise erleichtert feststellen können.
Dieser Offenlegungspflicht kann der Anbieter nur dann nachkommen, wenn er sich im Innenverhältnis zum Entwickler entsprechend abgesichert hat, d.h. Dokumentationen zur Entwicklung vorhanden sind und auch dokumentiert ist, welche Informationen zur KI nicht herausgegeben werden dürfen, weil es sich um eigene Geschäftsgeheimnisse handelt. In der Konsequenz sind in dem Vertrag mit dem Entwickler Unterstützungshandlungen bei der Abwehr von Ansprüchen, Haftungsfreistellungen und Garantieerklärungen zu vereinbaren. Daneben muss über Lizenzierung und die Rechte an den von der KI erzeugten Ergebnissen eine Regelung getroffen werden.
Parallelität KI-Haftungs-Richtlinie und Produkthaftungsrichtlinie
Beide Richtlinien gelten parallel und Aspekte der KI-Haftungs-Richtlinie sind in die novellierte Produkthaftungsrichtlinie eingebunden. Letztere regelt die psychischen, physischen Schäden, Datenverluste und Sachschäden, die durch Privatpersonen eingeklagt werden können. Wohingegen die KI-Haftungs-Richtlinie alle Schäden erfasst, die durch die KI verursacht werden und diese sowohl von Privatpersonen als auch von Unternehmen geltend gemacht werden können.
Problematisch ist, dass mit der derzeit vorhandenen Ausgestaltung des Rechtsgebietes zu Abklärung von Haftungsfragen unterschiedliche Regularien, nämlich die KI-Verordnung, die novellierte Produkthaftungsrichtlinie und die KI-Haftungs-Richtlinie herangezogen werden müssen. Dies dient sicherlich nicht der Übersichtlichkeit. Die KI-Verordnung definiert viele essentielle Begriffe, die von den anderen Richtlinien mitverwendet werden. Die KI-Haftungs-Richtlinie greift verschuldensabhängige Sachverhalte außerhalb einer Vertragsbeziehung auf, während die Novellierung der Produkthaftungsrichtlinie auf vertragliche Sachverhalte Anwendung findet.
Ausblick für die Umsetzung
Problematisch sind weiterhin die auslegungsbedürftigen Rechtsbegriffe in den Richtlinien und Verordnungen. Zum einen ist für deren Auslegung viel technischer Sachverstand erforderlich zum anderen ist es auch schwierig seine Pflichten rechtssicher zu definieren, wenn die Begrifflichkeiten auslegungsfähig sind. Jedenfalls sollten vor dem Einsatz der KI die vertraglichen Grundlagen geschaffen werden, geeignete technische und organisatorische Maßnahmen getroffen sowie der Datenschutz in die Bewertung mit einbezogen werden.
