Haftung, Verträge, Datenschutz und Co.: Rechtliche Implikationen im Zusammenhang mit KI-Dienstleistungen

PrintMailRate-it

​veröffentlicht am 21. Juli 2020


Künstliche Intelligenzen (fortan: KI) bieten im Rahmen der digitalen Transformation von Organisationen, Unternehmen und Prozessen entscheidende Vorteile: Selbstständiges Lernen, automatisierte Spracherkennung, die Analyse von immer größer werdenden Datenpools und das Erkennen von Mustern zeigen nur einige davon auf. Deutschland gilt als Innovationstreiber, bietet eine hervorragende Forschungs- und Expertenlandschaft und hat mit seinem technologiegetriebenen Mittelstand eine optimale Ausgangssituation für den Ausbau von KI-Ressourcen. Trotzdem ist eine flächendeckende Durchdringung der KI-Technologie noch nicht zu erkennen. Möglich, dass dies auch an rechtlichen Unsicherheiten liegt. In diesem Artikel möchten wir Ihnen die wesentlichen Implikationen bei der Nutzung einer „Künstlichen Intelligenz as a Service” vorstellen.

 

Ein mögliches Einsatzszenario von KI

Rödl & Partner berät deutschlandweit Start-Ups, so auch innovative Unternehmen, die über den Einsatz künstlicher Intelligenzen einen selbstlernenden Sprachassistenten entwickeln. Benutzer des Dienstes sprechen während des Einsatzes (während der Produktion, wenn sie keine Hand freihaben) in ihr Mobiltelefon, während die KI Akzente, Sprachmuster und häufige Vokabeln in einen Zusammenhang zu bringen versucht. Das Ziel ist eine automatische Transkription aus Sprache-zu-Text, ohne den Einsatz menschlicher Qualitätskontrollen. Die Herausforderung besteht in den vielen Fachvokabeln und Abkürzungen, zu welcher die KI keine bestehende Datenbank (z.B. Wörterbuch) durchsuchen kann.

 

Grundsätzlich ist die Idee beim Einsatz von KI as a Service, dass der Dienst darauf ausgelegt ist, selbstständig Entscheidungen zu treffen. Unser Mandant bietet ein Cloud-gestütztes System an, die Anwender des Dienstes müssen sich auf klare Prozesse und ein Qualitätsversprechen verlassen können. Die rechtliche Grundlage zur Bereitstellung einer solchen Dienstleistung bildet der Nutzungsvertrag. 

 

Abriss der rechtlichen Implikation bei KI-Dienstleistungen

Gibt es spezielle KI-Verträge?

Dem Grunde nach ist ein Nutzungsvertrag zum Einsatz von KI-Technologie mit dem Aufbau eines herkömmlichen IT-Vertrages zu vergleichen mit klar beschriebenen Leistungen, Rechten & Pflichten sowie Service-Leveln. Den Schwerpunkt von KI-Verträgen sieht der Gesetzgeber in der entgeltlichen Gebrauchsüberlassung von Software, weshalb für die Hauptleistung Mietrecht anzuwenden ist. Dabei richtet sich die Pflicht des Anbieters gemäß § 535 Abs. 1 S. 2 BGB konkret darauf, dass das Angebot unterbrechungsfrei zur Verfügung steht (heißt: Ein dauerhafter Ausfall der Software könnte zu Schadensersatzansprüchen gegenüber dem Anbieter führen).

 

Wie misst man Vertragserfüllung bei künstlicher Intelligenz?

Um diesen komplexen Sachverhalt möglichst einfach darzustellen, gehen wir davon aus, dass das Leistungsversprechen bei der Nutzung von KI stets die Verbesserung ebendieser darstellt. Der Benutzer erwartet ein System, welches (sein) menschliches Eingreifen ersetzt. Dazu ist es zunächst wichtig, dass bei der Vertragsgestaltung bereits ein messbares Anlernziel inkl. Anlerndauer der KI festgelegt wird. Für den Bereitsteller ist dies oft mit einem Risiko verbunden, da er Quantität und Qualität seines Produktes haftungssicher bereitstellen muss. Sofern die vertraglich vereinbarten Regelungen hinsichtlich der KI-Ziele nicht erreicht werden, besteht grundsätzlich ein Anspruch auf § 634 BGB. Auch § 635 wird qualifiziert, denn der Anbieter hat die Pflicht auf Nacherfüllung.

 

Verarbeitung von Geschäftsgeheimnissen

Findet die Verarbeitung von geschäftskritischen Daten des Nutzers in der Cloud des Anbieters statt, unterliegt der Anbieter gemäß des Geschäftsgeheimnisgesetzes (GeschGehG) Anforderungen, die ebendiese Daten schützen.

 

Informationssicherheit zum Schutz von Geschäftsgeheimnissen

Um dies zu gewährleisten, muss der Anbieter die Vertraulichkeit, Integrität und Verfügbarkeit zu jedem Zeitpunkt wahren. Ein immer gängigeres Mittel hierzu (bzw. zur generellen technischen Absicherung des Unternehmens) ist die Einführung eines Informations-Sicherheitsmanagementsystems (ISMS). Mithilfe eines ISMS werden unternehmensweit Informationssicherheitsmaßnahmen installiert und überwacht. Die aktuelle Bedrohungslage spielt dabei eine wichtige Rolle. Vor ihrem Hintergrund werden technisch organisatorische Maßnahmen zum Schutz der Unternehmensinformationen formuliert und umgesetzt. Dazu zählt zum Beispiel ein Berechtigungskonzept, ein funktionierendes Incident- oder Business Continuity Management oder die Sensibilisierung der Mitarbeiter. Rödl & Partner ist langjähriger Berater und Begleiter für Unternehmen bei der Planung und Einführung von ISMS-Systemen oder der Prüfung bestehender IT-Sicherheits-Maßnahmen.

 

Datenschutz

Sofern die KI-Dienstleistung personenbezogenen Daten verarbeitet, greifen unmittelbar die Normen der Datenschutzgrundverordnung. Der Bereitsteller muss die einschlägigen Anforderungen stets erfüllen, um eine sichere und rechtskonforme Datenverarbeitung zu gewährleisten. Daneben gilt es die Besonderheit der Konstellation „Auftragsverarbeiter vs. Gemeinsame Verantwortlichkeit” im Rahmen des Vertragsverhältnisses klarzustellen. Ein Auftragsverarbeiter gemäß Art 28. DSGVO verarbeitet personenbezogene Daten im Auftrag eines Verantwortlichen, zwischen beiden Parteien regelt ein Auftragsdatenverarbeitungsvertrag die genauen Bedingungen, Rechte und Pflichten. Auch wenn tatsächlich der Auftragnehmer Zugriff auf die Daten des Auftraggebers hat, wird er trotzdem kein eigenständiger Verantwortlicher, er arbeitet auf Weisung des Auftraggebers. Diese Weisungsvoraussetzung fehlt bei der gemeinsamen Verantwortlichkeit.

 

Gemäß Art 26. Abs. 1 S. 1 DSGVO liegt gemeinsame Verantwortlichkeit dann vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Zweck ist dabei ein erwartetes Ereignis, das beabsichtigt ist und Mittel ist die Art und Weise, wie ein Ergebnis erzielt wird. Jeder Verantwortliche benötigt für die Verarbeitung von personenbezogenen Daten die Erfüllung eines Erlaubnistatbestandes oder eine dokumentierte Einwilligung der betroffenen Person(en) zur Verarbeitung der Daten. Eine gemeinsame Verantwortlichkeit kann auch dann vorliegen, wenn die Parteien von einer Auftragsverarbeitung ausgehen, entscheidend sind allerdings die tatsächlichen Gegebenheiten. Ob nun gemeinsame Verantwortlichkeit vorliegt, müssen die Beteiligten im Einzelfall und im Rahmen ihrer datenschutzrechtlichen Compliance selbst prüfen. Das kann mitunter sehr kompliziert werden und sollte durch Fachexperten begleitet werden. Auch hier bietet Rödl & Partner starke Beratungskompetenzen an.

 

Fazit

KI-Dienstleistungen und insbesondere KI as a Service als direkter Dienst aus der Cloud warten noch auf flächendeckende Marktdurchdringung. Angesichts der enormen Vorteile künstlicher Intelligenzen sowie der stetigen Durchdigitalisierung von Prozessen und Abläufen, dürften sich Organisationen und Unternehmen aber schon bald mit der Thematik intensiver auseinandersetzen. Dabei ist es wichtig, dass zwischen Bereitsteller und Anbieter die Besonderheiten der KI-Zusammenarbeit rechtlich geklärt ist. Grundsätzlich kann man zwar von einem „normalen” Vertragsverhältnis ausgehen, doch sollten KI-Verträgen durch Fachexperten geprüft werden, um Rechtsunsicherheiten und Haftungslücken zu vermeiden.

Contact Person Picture

Alexander von Chrzanowski

Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht

Associate Partner

+49 3641 4035 30

Anfrage senden

Profil

Banner Digital GRC Kompass
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu