Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Haftung für Künstliche Intelligenz Vorschläge aus Brüssel: Haftung für künstliche Intelligenz (KI) – Teil 2/3: Richtlinie über KI-Haftung

In meiner Blog-Trilogie bespreche ich meine ersten Erkenntnisse zu dem von der Europäischen Kommission vorgeschlagenen KI-Haftungspaket. Eingehendere Informationen zu dem Paket und den Hintergründen finden Sie in Teil 1 meiner Trilogie ( Link zu Teil 1 ). In diesem zweiten Teil beleuchte ich die  vorgeschlagene Richtlinie über KI-Haftung  („RAIA“). Im dritten und letzten Teil werde ich auf die  Änderung der Produkthaftungsrichtlinie  (WRPA) eingehen. 

Definitionen

Die RAIA (vorerst nur in englischer, französischer und deutscher Sprache verfügbar) enthält einige Beweis- und Verfahrensregeln für Anbieter, Personen, die den Pflichten eines Anbieters unterliegen, und Nutzer von „KI-Systemen“, wie in der  vorgeschlagenen KI-Verordnung, auch Gesetz über Künstliche Intelligenz  („WAI“) genannt, definiert. In diesem Gesetz werden KI-Systeme definiert als „eine Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren“ (Artikel 3(1)(a) WAI). Die „Techniken“, die hier erwähnt werden, umfassen unter anderem maschinelles Lernen („machine learning”), tiefes Lernen („deep learning“), logik- und wissensgestützte Konzepte und statistische Ansätze. 

Für KI-Systeme mit einem „hohen Risiko“ gelten spezielle (strenge) Vorschriften. Ein KI-System gilt als Hochrisiko-KI-System, wenn es „als Sicherheitskomponente eines unter die in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union fallenden Produkts verwendet werden soll oder selbst ein solches Produkt” ist (Art. 6 Absatz 1.a WAI) und, wenn dem so ist, dass „das Produkt, dessen Sicherheitskomponente das KI-System ist, oder das KI-System selbst als Produkt einer Konformitätsbewertung durch Dritte im Hinblick auf das Inverkehrbringen oder die Inbetriebnahme dieses Produkts gemäß den in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union unterzogen werden muss“ (Art. 6 Absatz 1.b WAI), oder das System in Anhang III genannt wird (Art. 6 Absatz 2 WAI). Alles in allem werden viele KI-Systeme als „Hochrisikosysteme“ eingestuft werden, beispielsweise wegen Algorithmen, die bei der Personalbeschaffung und -auswahl, bei Gesichtserkennungsanwendungen und beispielsweise bei autonomen Fahrzeugen (AVs) eingesetzt werden. Das letztgenannte Beispiel werde ich im Folgenden bei der Erörterung der RAIA-Materie immer wieder anführen. 

Hauptadressaten der RAIA sind Anbieter (Stellen, die KI-Systeme entwickeln oder über sie verfügen können, um damit unter eigenem Namen oder einer Marke zu handeln, Art. 3 Absatz 2 WAI), Personen, die den Pflichten eines Anbieters unterliegen (im Sinne der Artikel 24 und 28 Absatz 1 WAI) und die Nutzer (natürliche oder juristische Personen, die ein System (in der Regel) in eigener Verantwortung einsetzen, Absatz 4).

Außervertragliche verschuldensunabhängige Haftung

Die RAIA enthält, trotz ihrer klaren Zielsetzung, zur Schaffung eines vertrauenswürdigen („trustworthy“) KI-Innovationsökosystems in der EU beizutragen, ein komplexes und schwer durchschaubares System von Verfahrens- und Beweisregeln. Ungünstig ist auch, dass das RAIA-Regime so eng mit dem WAI-Regime verwoben ist, die sich ebenfalls „in der Entwicklung“ befindet. 

Im Übrigen ist allerdings klar, was der Gesetzgeber mit der RAIA nicht beabsichtigt, nämlich eine Harmonisierung der materiellen Haftungsregeln (abgesehen vom WRPA, siehe nächster Beitrag), die in den Mitgliedsstaaten für AI gelten. Damit weicht die Europäische Kommission explizit von den Empfehlungen ab, die das Europäische Parlament zuvor mit dem  Vorschlag zur Verabschiedung einer KI-Haftungsregelung  gemacht hat. Der europäische „Flickenteppich“ bleibt in diesem Bereich also höchstwahrscheinlich intakt. Dies führt zu erheblichen Unterschieden zwischen den Mitgliedstaaten, unter anderem in Bezug auf den Schutz von KI-Opfern. Erinnern wir uns an das Beispiel der motorisierten Opfer aus dem ersten Blog: Nach den französischen verschuldensunabhängigen Haftungsregeln des Loi Badinter können grundsätzlich alle Arten von Opfern eines Unfalls, an dem KI beteiligt ist, ihren Schadenersatz erfolgreich vom Fahrzeughalter einfordern, während das niederländische Pendant im  Wegenverkeerswet  nur von nicht-motorisierten Opfern in Anspruch genommen werden kann - und es für motorisierte Opfer kaum möglich sein wird, ihren Schaden erfolgreich geltend zu machen.

Die RAIA dahingegen bietet einige Verfahrensregeln, die bei Forderungen auf Grundlage nationaler verschuldensabhängiger Haftungsregelungen verwendet werden können. 

Sicherung und Offenlegung von Beweismitteln, Art. 3 RAIA

Artikel 3 RAIA enthält (verfahrensrechtliche) Verpflichtungen für Anbieter und Personen, die den Pflichten eines Anbieters unterliegen, und Nutzer von Hochrisiko-KI-Systemen. Diesen Parteien kann von einem Gericht aufgetragen werden, die ihnen vorliegenden einschlägigen Beweismittel zu sichern (Absatz 3) und einem (potenziellen) Kläger in einem (möglichen) KI-Haftungsverfahren offenzulegen (Absatz 1). Dies erfordert einen plausiblen Nachweis (auf Grundlage von „Tatsachen und Beweisen“), dass das Hochrisiko-KI-System zu einem Schaden geführt hat und dass der Anspruch (daher) plausibel ist (Absatz 1). Außerdem ist eine gerichtliche Anordnung eindeutig ein „letztes Mittel“: Zunächst muss der (potenzielle) Kläger „alle angemessenen Anstrengungen“ unternommen haben, um die einschlägigen Informationen von der Gegenseite zu erhalten (Absatz 2) – und die Informationen müssen auf das beschränkt sein, was zur Begründung des Anspruchs erforderlich und verhältnismäßig ist (Absatz 4). Kommt eine Partei, der die Sicherung oder Offenlegung aufgetragen wurde, dieser Anordnung nicht nach, so sollte das Gericht einen Verstoß gegen die einschlägige Sorgfaltspflicht vermuten (Absatz 5). Diese Vermutung kann allerdings widerlegt werden.  

Konkret würde dies für einen motorisierten AF-Opfer bedeuten, dass es, wenn es das „Verschulden“ z.B. eines AF-Vermieters oder -Leasingunternehmens nicht ohne technische Beweismittel, die sich in der Verfügungsgewalt der Gegenpartei befinden, nachweisen kann, zunächst bei der Gegenpartei einen Antrag auf Sicherung bzw. Offenlegung stellen muss. Erhält das Opfer keine Antwort, kann ein Ersuchen an das zuständige Gericht Abhilfe schaffen, wenn es glaubhaft machen kann, dass die fraglichen Informationen ihm helfen können, einen Verstoß gegen Normen, das Verschulden, seinen Schaden und den Kausalzusammenhang zwischen dem Verstoß und dem Schaden zu beweisen. Reagiert die Gegenseite auch hierauf nicht, muss das Gericht von dem Normverstoß ausgehen.

Mit dieser Regelung kommt der Unionsgesetzgeber den beweisbedürftigen KI-Opfern entgegen, wenngleich er bei weitem nicht alle Hindernisse aus dem Weg räumt, die sich unter anderem aus der Komplexität der KI-Technologie, der großen Zahl der (potenziell) beteiligten Akteure und den gigantischen Datenmengen ergeben, die von KI-Systemen verarbeitet werden. Wie ich bereits argumentiert habe, wäre den Opfern mit einer verschuldensunabhängigen Haftungsregelung noch besser „geholfen“, wenn sie nicht ständig Normverletzungen, Schäden und Kausalität nachweisen müssten. Meiner Ansicht nach rechtfertigt die den KI-Systemen innewohnende „Betriebsgefahr“ ein solches System, insbesondere wenn man bedenkt, dass es eher die Anbieter und Nutzer sind, die auf den Informationen „hocken“, die die Opfer benötigen, um Ansprüche geltend zu machen.

Darüber hinaus scheint der Unionsgesetzgeber die Gelegenheit nicht genutzt zu haben, sich auch mit den datenschutzrechtlichen Auswirkungen der vorgeschlagenen Regelungen zu befassen. Es ist sehr wahrscheinlich, dass es sich bei den fraglichen Daten um personenbezogene Daten (die direkt oder indirekt einer identifizierbaren natürlichen Person zugeordnet werden können) im Sinne der Datenschutz-Grundverordnung handelt. Solche Daten dürfen nur verarbeitet werden, wenn es dafür eine Rechtsgrundlage gibt. Handelt es sich um besondere personenbezogene Daten (z.B. in Bezug auf die Rasse, die ethnische Zugehörigkeit, die gesundheitliche Genetik und die biometrischen Daten einer Person) oder um strafrechtlich relevante Daten, gibt es außerdem eine Ausnahme vom gesetzlichen Verbot der Verarbeitung oder sogar eine spezifische rechtliche Anweisung, die erforderlich ist, um diese Art von Daten in einem Haftungsfall verwenden zu können. Auch wenn ich nicht ausschließe, dass eine notwendige Grundlage in Artikel 6 Absatz 1.c DS-GVO über das „berechtigte Interesse“ zu finden ist und die Ausnahme von Artikel 9 Absatz 2.f für die Verarbeitung personenbezogener Daten zur Unterstützung eines Rechtsanspruchs gelten kann, wäre es im Sinne der „Rechtssicherheit“ von Vorteil, wenn der Unionsgesetzgeber in dieser Frage für Klarheit sorgen würde. Dies wäre auch logisch angesichts des Verweises in Artikel 3 Absatz 4 auf die Richtlinie über Geschäftsgeheimnisse sowie der ausdrücklichen Verweise auf die DS-GVO im WAI und sogar der Schaffung einer neuen Ausnahme vom Verbot der Verarbeitung besonderer personenbezogener Daten in Artikel 10 Absatz 5 - was also in der RAIA merkwürdigerweise nicht enthalten ist.

Widerlegbare Vermutung eines ursächlichen Zusammenhangs im Falle eines Verschuldens Artikel 4 trägt die Überschrift „Widerlegbare Vermutung eines ursächlichen Zusammenhangs im Falle eines Verschuldens“. Dies ist jedoch nicht die Art von Kausalzusammenhang, an die der Durchschnittsbürger sofort denkt. In der Tat betrifft diese Vermutung nicht die Beziehung zwischen einem (festgestellten) Fehler und einem eingetretenen Schaden. Vielmehr geht es um den Zusammenhang zwischen dem Ergebnis (oder dem Fehlen eines solchen) eines KI-Systems und einem Fehler der beklagten Partei in einem Haftungsverfahren, bei dem bereits klar ist, dass das Ergebnis des Systems zu einem Schaden beim Opfer geführt hat. Auf Nachfrage sollte ein Gericht davon ausgehen, dass ein ehrenhafter Kausalzusammenhang zwischen dem Systemergebnis und einem Fehler des verklagten KI-Systemanbieters, Personen, die den Pflichten eines Anbieters unterliegen, oder Nutzers besteht, wenn die folgenden drei Bedingungen erfüllt sind. 

Erstens muss der Kläger nachweisen (oder das Gericht vermutet dies bereits gemäß Artikel 3), dass gegen eine im Unionsrecht oder im nationalen Recht festgelegte Sorgfaltspflicht verstoßen wurde, deren unmittelbarer Zweck darin besteht, den eingetretenen Schaden zu verhindern (Artikel 4.1.a RAIA). Handelt es sich bei dem fraglichen System um ein Hochrisiko-KI-System und ist die Forderung an den Anbieter oder Personen, die den Pflichten eines Anbieters unterliegen, gerichtet, gelten die besonderen Anforderungen nach Absatz 2. Dieser Absatz verweist wiederum auf die Konformitätsanforderungen des WAI. Dies kann der Fall sein, wenn qualitativ unzureichende Trainingsdaten verwendet wurden (Buchstabe a i.V.m. 10(2-4) WAI). Oder wenn das System mit unzureichender Transparenz gebaut wurde (Buchstabe b i.V.m.13 WAI), oder wenn es eine unzureichende „Aufsicht durch natürliche Personen“ während der Planung und des Baus des Systems gab (Buchstabe c i.V.m. 14 WAI). Ein solcher Fall kann auch eintreten, wenn die Genauigkeit, die Robustheit und die Cybersicherheit unzureichend waren (Buchstabe d i.V.m. 15-16, 16a WAI) oder wenn die möglicherweise erforderlichen Korrekturmaßnahmen, um das System wieder mit den WAI in Einklang zu bringen, nicht unverzüglich ergriffen wurden (Buchstabe e i.V.m. Titel III, Kapitel 2 WAI) oder das System zurückgerufen/deaktiviert wurde (Buchstabe e i.V.m. Abschnitt 16g und 21 WAI). Richtet sich eine Forderung an den Nutzer eines Hochrisiko-KI-Systems, so muss der Kläger nachweisen, dass der Nutzer seiner Verpflichtung zur Überwachung oder Aussetzung/Unterbrechung des AI-Systems gemäß den geltenden Anweisungen nicht nachgekommen ist (Artikel 4 Absatz 3 Buchstabe a RAIA i.V.m. 29 WAI) oder dass er das System angesichts des vorgesehenen Zwecks irrelevanten Eingabedaten ausgesetzt hat (Buchstabe b i.V.m. 29 Absatz 3 WAI). 

Zweitens muss nach vernünftigem Ermessen auf Grundlage der Umstände des Falls davon ausgegangen werden, dass das Verschulden das vom KI-System hervorgebrachte Ergebnis (oder die Tatsache, dass kein Ergebnis hervorgebracht wurde) beeinflusst hat (4.1.b RAIA). 

Drittens muss der Kläger nachgewiesen haben, dass das vom KI-System hervorgebrachte Ergebnis (oder die Tatsache, dass kein Ergebnis hervorgebracht wurde) zu dem Schaden geführt hat (4.1.c RAIA). Dieser letztgenannte Punkt wird sich als offensichtlicher Stolperstein erweisen, insbesondere wenn mehrere Akteure an der Entstehung des Schadens beteiligt waren (man denke beispielsweise an eine AF-Kollision zwischen mehreren autonomen und nicht autonomen Fahrzeugen, an der auch Radfahrer beteiligt waren, die eine rote Ampel überfahren haben, und an ein gefährliches Hindernis auf der Straße). 

Schlussfolgerung

Kurz und knapp: Die Richtlinie RAIA wird KI-Opfern wahrscheinlich helfen, bestimmte Beweismittel, die sich bei ihren Gegenseiten befinden, zu sichern und offenzulegen. Das System, das dies regelt, ist jedoch (unnötig) komplex, und die zugrundeliegenden Probleme hinsichtlich der Notwendigkeit, einen Verstoß gegen die Norm und die Kausalität nachzuweisen, sind nicht gelöst. Darüber hinaus täte der Unionsgesetzgeber gut daran, die durch die neuen Vorschriften aufgeworfenen Fragen des Schutzes personenbezogener Daten unverzüglich zu klären. Schließlich bleibt es also bei der Empfehlung, das KI-Haftungsrecht in materieller Hinsicht weiter zu harmonisieren, um den Schutz der KI-Opfer in den Mitgliedstaaten so weit wie möglich anzugleichen. Dies ist der richtige Zeitpunkt, um dies zu tun. 

Alle Fachbeiträge zeigen