Vertrauen gesetzlich verordnet

Vertrauen gesetzlich verordnet

Der Einsatz von smarten Daten, Algorithmen und Modellen hält überall Einzug. Doch insbesondere im Mittelstand trifft Künstliche Intelligenz (KI) auf viele Vorbehalte. Das liegt auch an einigen juristischen Unsicherheiten, die der europäische Gesetzgeber nun mit einer Verordnung klären will, die einzigartig auf der Welt ist.

Künstliche Intelligenz (KI) steuert bereits die unterschiedlichsten Prozesse im Wirtschafts- und Privatleben, nun soll sie selbst gesteuert und in Bahnen gelenkt werden. Die Europäische Union (EU) plant eine KI-Verordnung und hat einen entsprechenden Entwurf vorgelegt. Das Ziel, das man mit dem weltweit ersten Rechtsrahmen für KI verfolgt, ist hoch gesteckt: Europa soll das globale Zentrum für vertrauenswürdige KI werden.

Und das ist auch nötig, denn noch immer gibt es Vorbehalte und große Unsicherheit beim Einsatz intelligenter Systeme. Gerade im Mittelstand ist die Angst vor Manipulationen, Cyber-Angriffen, Datenschutzproblemen und unkontrollierbaren Prozessabläufen groß. Dabei ist allen Beteiligten klar, dass auch kleine und mittlere Unternehmen (KMU) in Deutschland die Transformation ins digitale Zeitalter bewältigen müssen, um wettbewerbsfähig zu bleiben. Doch während sich große Konzerne Start-ups und Innovation-Labs leisten können, ist bei den meisten KMU wenig Spielraum zum Ausprobieren, Testen, Scheitern.

Sie würden von festen Regularien profitieren, die die Sicherheit, Transparenz und Verlässlichkeit von KI sicherstellen. Der europäische Gesetzgeber will diesem Bedürfnis Rechnung tragen. Die geplante Verordnung soll allgemeine Regeln für den Einsatz von KI über alle Lebens- und Anwendungsbereiche hinweg aufstellen, unabhängig vom privaten oder gewerblichen Gebrauch. Bei einem so großen und komplexen Anwendungsbereich ist klar, dass das Regelwerk nur grobe Vorgaben machen kann und viele Detailfragen offen bleiben.

Einstufung nach Risiko

Der Kerngedanke der Verordnung: Systeme, die die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen bedrohen, sind verboten. Über alle anderen KI-Systeme entscheidet ein risikobasierter Ansatz. Als minimal riskant gelten nach den EU-Plänen einfache Anwendungen wie KI-gestützte Videospiele oder Spamfilter, ein geringes Risiko bescheinigt man etwa Chatbots. Wird es etwas komplizierter, ist man schnell bei Hoch-Risiko-Einstufungen.

Patrick Häuser, Leiter Hauptstadtbüro des Bundesverbands IT-Mittelstand (BITMi)
Patrick Häuser, Leiter Hauptstadtbüro des Bundesverbands IT-Mittelstand (BITMi)

Komplexe KI, die für den Anwender-Mittelstand besonders interessant ist – etwa in der Logistik zur Automatisierung von Bestellvorgängen oder in der Produktion zur vorausschauenden Wartung von Maschinen –, würde aller Voraussicht nach „High Risk“ sein. „Für KI-Systeme, die unter die höchste Risikostufe fallen, setzt der Ansatz der EU eine Konformitätsbewertung voraus“, erläutert Patrick Häuser, Leiter Hauptstadtbüro des Bundesverbands IT-Mittelstand (BITMi). Dabei handele es sich um eine Zulassung, bei dem die vom Anbieter erstellten technischen Unterlagen und das Qualitätsmanagementsystem danach bewertet werden, ob das KI-System mit den Anforderungen der Verordnung übereinstimme. „Für KMU aus der Digitalwirtschaft, die solche KI-Systeme vertreiben wollen, stellt dieses Zulassungsverfahren einen enormen Aufwand in Form von Kosten und Bürokratie dar, der den Zugang zum Markt erschweren kann“, resümiert Patrick Häuser.

EU-Verordnung Künstliche Intelligenz (KI)

Die EU-Kommission hat am 21. April 2021 den weltweit ersten Entwurf eines Rechts­rahmens für KI vor­ge­stellt. Dieser muss nun im nächsten Schritt vom Europäischen Parlament und dem Rat der Europäischen Union angenommen werden. Die Verordnung soll 24 Monate ­nach Inkrafttreten unmittelbar in der gesamten EU anzuwenden sein.

Es bleiben Fragen offen

Monika Menz, Fachanwältin für IT-Recht im Berliner Büro der Kanzlei Reuschlaw
Monika Menz, Fachanwältin für IT-Recht im Berliner Büro der Kanzlei Reuschlaw

Monika Menz, Fachanwältin für IT-Recht im Berliner Büro der Kanzlei ReuschlawDie geplante KI-Verordnung lässt etliche juristische Fragen, die sich bei KI auf jeden Fall stellen werden, offen. Eigentumsfragen etwa, oder solche zu Haftung und Gewährleistung. Alles Dinge, die gerade für den Mittelstand von großem Interesse sind. „Daten sind eine Grundvoraussetzung für KI-Anwendungen, aber in der Europäischen Union gibt es kein Eigentum an Daten“, stellt Rechtsanwältin Monika Menz fest, Fachanwältin für IT-Recht im Berliner Büro der Kanzlei Reuschlaw. „Daten müssen somit für KI lizenziert werden.“ Lizenzverträge sollten mit größter Umsicht verhandelt werden um sicherzustellen, dass die Daten für die Anwendungen geeignet und die Ergebnisse aus den KI-Anwendungen der richtigen Partei zustünden und wie gewünscht verwendet werden könnten, betont Monika Menz.

Haftung und Gewährleistung neu denken

Klare Haftungsgrundsätze bei einem durch KI ausgelösten Schaden wären dem Vertrauen in die Technologie ebenfalls zuträglich. Zwar lassen sich einfache Haftungsfragen mit dem geltenden Recht nach den Regeln der Verschuldenshaftung lösen (Produkthaftung/Produzentenhaftung). Doch viele KI-Systeme sind selbstlernend, sammeln also Erfahrungsdaten und verbessern dadurch ihre Leistung. „Daraus folgt eine gewisse Undurchsichtigkeit und Unvorhersehbarkeit ihres Handelns für den Hersteller des Systems“, so Anwältin Monika Menz. „Das stellt gängige haftungsrechtliche Prinzipien vor Probleme, denn sie setzen unter anderem Verschulden und Kausalität voraus.“ Beides sei bei Künstlicher Intelligenz schwer zu beweisen. Man denkt daher über eine Gefährdungshaftung für KI-Produkte nach, die bereits ohne Verschulden des Herstellers greifen würde. Monika Menz zu einer anderen Alternative, die im Moment noch diskutiert wird: „Bei einem reinen KI-Verschulden könnten, wie bei einem ‚Schicksalsschlag‘, niemand oder vielmehr alle an der Lieferkette Beteiligten gesamtschuldnerisch haften.“ Nicht vergessen werden darf, dass Anwender beim Einsatz von KI Auswahl-, Kontroll- und Überwachungspflichten treffen. Bei Schäden kommt auch ein eigenes Verschulden des Anwenders in Betracht, etwa bei sehr schlechter Datenqualität oder falscher Bedienung. Heikel sind zudem Gewährleistungsfragen, also wann der Käufer geltend machen kann, dass eine KI mangelhaft ist. Klarheit bringt hier hoffentlich das neue Kaufrecht für digitale Produkte, das seit Jahresbeginn 2022 in Kraft ist. Eine sorgfältige individualvertragliche Leistungsbeschreibung ist daher immer empfehlenswert.

Schlüsseltechnologie nicht blockieren

KI einen Rechtsrahmen zu geben, der Vertrauen schafft und auch verdient, ist ein hehres Ziel. Keine überzogenen Anforderungen zu konstruieren und damit die Schlüsseltechnologie der Zukunft überzuregulieren, wird die große Herausforderung für den EU-Gesetzgeber sein.

 „Für KMU aus der Digitalwirtschaft, die solche KI-Systeme vertreiben wollen, stellt dieses Zulassungs­verfahren einen enormen Aufwand in Form von Kosten und Büro­kratie dar, der den Zugang zum Markt erschweren kann.“ 

Patrick Häuser
Leiter Hauptstadtbüro des Bundesverbands IT-Mittelstand (BITMi)

 Bildnachweis: BITMi/iStock reuschlaw/Legal Consultants

Download-PDF

bp01-22_Recht_Mittelstand_KI