Die Einführung der künstlichen Intelligenz (auch als KI – oder AI (artificial intelligence) bezeichnet) in diverse Arbeits- und Lebensbereiche führt ab sofort und in der Zukunft zu enormen juristischen Herausforderung.
Die Europäische Kommission reagiert darauf mit dem Vorschlag, KI-Anwendungen mit einem AI Act zu regulieren. Das Gesetzgebungsverfahren befindet sich mit Stand September 2023 in der Verhandlung. Voraussichtlich wird der AI Act Ende 2023 oder Anfang 2024 verabschiedet und tritt ab 2026 in Kraft.
Inhaltsverzeichnis
- Rasante Entwicklung der Künstlichen Intelligenz (KI)
- Worum geht es bei den Haftungsfragen?
- Herstellerhaftung für Systeme der künstlichen Intelligenz
- Haftung des Benutzers der künstlichen Intelligenz (KI)
- Was beinhaltet der AI Act der EU?
- Stand des Gesetzgebungsverfahrens
- Wie müssen Anwender von künstlicher Intelligenz künftig umgehen?
- Fazit
Rasante Entwicklung der Künstlichen Intelligenz (KI)
Die künstlicher Intelligenz (KI) entwickelt sich technologisch sehr schnell. Sie ist auch nicht so neu, wie es im Jahr 2023 erscheint. Vorläufer gab es schon länger, doch durch die Einführung des Chatbots ChatGPT am 30.11.2022 wurde die öffentliche Wahrnehmung dafür enorm geschärft. Diese Anwendung zeigt zum ersten Mal bei Massenanwendungen für jedermann, zu welch autonomen Entscheidungen heute Algorithmen und die angewendete Software in der Lage sind. Das wirft eine Reihe rechtlicher Fragen für Unternehmen auf. Juristen identifizieren aktuell mindestens vier Felder, auf denen der Einsatz von künstlicher Intelligenz (KI) problematisch sein kann:
- Haftungsfragen bei Schäden durch KI-Systeme
- Datenschutz
- Urheberrecht
- Arbeitsrecht
Besonders die Haftungsfragen gelten als äußerst brisant. Zum Datenschutz sowie zum Urheber- und Arbeitsrecht gibt es diverse Regelungen, die sich in der Praxis gut bewährt haben. Doch dass durch künstliche Intelligenz ein Prozess fehlerhaft verläuft und dabei ein schwerwiegender Schaden entsteht, ist ein neues Phänomen.
Worum geht es bei den Haftungsfragen?
Schäden durch KI-Systeme können auf unterschiedliche Weise entstehen. So ist es denkbar und in der Praxis auch schon vorgekommen, dass sie Daten fehlerhaft verarbeiten und die daraus resultierende falsche Datenbasis auf ihre autonomen Entscheidungen durchschlägt. Sie können aber auch Schäden entstehen, wenn ein Mensch Lerndaten der künstlichen Intelligenz oder den Lernprozess manipuliert. Eine dritte Möglichkeit für Schäden wäre, dass ein KI-System falsche Entscheidungen trifft oder getroffene richtige Entscheidungen falsch umsetzt.
In jedem Fall stellt sich die Haftungsfrage. Hierauf weiß das im gesetzlichen Deliktsrecht etablierte Haftungssystem bislang keine Antwort. Die Problemstellung ist klar: Das KI-System wurde durch Menschen programmiert sowie mit einer Datenbasis und Algorithmen ausgestattet. Seine Entscheidungen trifft es aber autonom. Das ist ja gerade der technologische Fortschritt.
Eine durch die künstliche Intelligenz geschädigte Partei ist beweisbelastet, hat es aber sehr schwer, die Ursache des Fehlers nachzuweisen. War es ein durch einen Menschen falsch vorgegebener Algorithmus? Oder hat die KI selbstständig falsch entschieden? Damit lassen sich berechtigte Ansprüche nur schwer und manchmal gar nicht durchsetzen. Selbst die Benennung des Anspruchsgegners kann an Grenzen stoßen. Darüber hinaus sind die Verletzung der Sorgfaltspflicht und die Kausalität für den erlittenen Schaden nachzuweisen. Daher bedarf es klarer Regeln, wer für die Entscheidung der KI haftet, um die derzeitige Rechtsunsicherheit zu beseitigen.
Herstellerhaftung für Systeme der künstlichen Intelligenz
Die Herstellerhaftung erscheint zunächst als denkbarer Ansatz, um Haftungsfragen für KI-Systeme zu regeln. Juristisch geht diese vom Haftungsgrundsatz der Produkthaftung aus: Der Hersteller haftet für jeden Schaden, den ein fehlerhaftes Produkt verursacht.
Das Problem besteht allerdings darin, dass an vielen KI-Systemen mehrere Hersteller beteiligt sind. Das gibt es bei anderen Produkten zwar auch, doch im Falle der KI ist die Beteiligung oft uneindeutig, allein deswegen, weil manche KI-Algorithmen als Open Source entwickelt werden und sich damit die Beteiligten gar nicht ausfindig machen lassen.
Es hat sich im Herbst 2023 noch nicht durchgesetzt, dass ein Hersteller die volle Verantwortung für alle Auswirkungen einer von ihm auf den Markt gebrachten KI übernimmt. Das beste Beispiel ist das Unternehmen OpenAI mit seinem Chatbot ChatGPT. Es verweist auf die Beteiligung diverser Mitwirkender und lehnt die Übernahme für falsch fabulierte Thesen und Quellen von ChatGPT ab.
So ließen sich in den letzten Monaten etwa Rechtsanwälte durch ChatGPT Argumentationshilfen für ihre Prozesse liefern, was scheinbar auch klappte. Doch der Chatbot hatte fantasiert und sogar Gerichtsurteile inklusive Aktenzeichen als vermeintliche Quellen frei erfunden. OpenAI entgegnet darauf, dass die Verwendung von ChatGPT für solche Zwecke vollkommen auf eigenes Risiko geschieht. Dabei hat das Unternehmen die künstliche Intelligenz ursprünglich trainiert. Auch ein falsches Training von künstlicher Intelligenz verursacht Fehler.
Es gibt jedoch diverse Gründe für solche Schäden, was die klare Abgrenzung von Verantwortlichkeiten enorm erschwert. Niemand weiß nämlich bislang, wie ChatGPT auf die „Idee“ kommt, juristische Quellen frei zu erfinden. Aktuell rätseln Entwickler und sogar Philosophen darüber, ob die KI auf dem Weg ist, ein eigenes Bewusstsein zu kreieren.
Haftung des Benutzers der künstlichen Intelligenz (KI)
Ein anderer Ansatz wäre, die Benutzer von KI-Systemen für Schäden haftbar zu machen. Auch das ist schon lange bei anderen Produkten die gängige Praxis. Auf vielen technischen Geräten steht der (rechtlich vorgeschriebene) Hinweis, dass der Hersteller bei nicht bestimmungsgemäßer Verwendung jegliche Haftung ablehnt. Es folgt eine ausführliche Bedienungsanleitung für das Produkt inklusive der nötigen Warnhinweise.
Auch Systeme der künstliche Intelligenz lassen sich auf verschiedenen Ebenen unsachgemäß verwenden. Benutzer können so ein System für ihre Zwecke selbst anlernen und es dabei mit fehlerhaften Daten füttern. Doch wiederum kann sich die KI autonom und falsch entscheiden, was im Einzelfall – siehe oben – schwer zu beweisen ist. Dennoch wäre es denkbar, den Benutzer haftbar zu machen, wenn er sich mit dem Wissen um dieses Risiko einer künstlichen Intelligenz bedient. Ein Beispiel dafür wäre der Arzt, der die künstliche Intelligenz für Diagnosen verwendet. Wenn diese falsch sind, sollte der Arzt haftbar sein. Dabei stellt sich nun die Frage, ob die Benutzer von KI-Systemen in der Lage sind, dieses Risiko angemessen zu beurteilen. Hierauf gibt es bislang keine eindeutige Antwort, doch die Gesellschaft tendiert eher dazu, den Benutzern diese Einschätzung nicht zuzutrauen.
Daher haben führende Technologen schon im Frühsommer 2023 einen Entwicklungsstopp für die künstliche Intelligenz gefordert. Immerhin ist davon auszugehen, dass nicht einmal die Programmierer und erst recht nicht die Anwender vollständig verstehen, wie ein KI-System seine komplexen Entscheidungen trifft. Dieses Dilemma ließe sich nur auf zwei Wegen auflösen:
- #1 Der Einsatz von KI wird für bestimmte Anwendungen verboten, so etwa für brisante medizinische Diagnosen. Dieses Szenario ist unwahrscheinlich. Eine an sich nützliche Technologie lässt sich nicht auf Dauer verbieten.
- #2 Die Anwender werden gründlich geschult. Für den Einsatz von KI-Systemen gibt es zusätzlich klare Richtlinien. Aus diesen gehen auch Haftungsregelungen hervor. Auf diese Lösung zielt der AI Act der EU.
Was beinhaltet der AI Act der EU?
Der AI Act ist ein Vorschlag für die Harmonisierung von Vorschriften, die den KI-Einsatz regeln. Zu ihm gehören auch die AI Liability Directive, die ein Richtlinienentwurf für die KI-Haftung ist, sowie eine überarbeitete Produkthaftungsrichtlinie.
Die EU-Kommission packt also das Problem an der Wurzel an. Jedoch werden nicht direkt die Haftungsansprüche geregelt. Die Richtlinie schreibt stattdessen weitreichende Offenbarungspflichten für nötige Beweismittel vor. Damit etabliert sie ein System, das den Geschädigten die Beweisführung erleichtert. Somit stehen Hersteller und Betreiber der KI-Systeme deutlich mehr in der Pflicht.
Die EU-Kommission schlägt nun in ihrem Entwurf für den AI Act vor, im Deliktrecht zwei Regelungen zu verankern, nach denen die Kausalität beim Eintritt eines Schadens und die Sorgfaltspflichtverletzung vermutet werden. Das ist ein risikobasierter Ansatz, mit dem die Kommission die Entwicklung, den Vertrieb und die Verwendung der KI in der EU auf rechtssichere Füße stellen möchte. Dieser Ansatz unterteilt derzeit die KI-Systeme in vier Kategorien gemäß der Risiken, die von ihnen ausgehen. Höhere Kategorien erfahren weitreichendere Regulierungen. Auf diese Weise soll der AI Act das Vertrauen in KI-Systeme stärken, um ihre Entwicklung nicht zu blockieren.
Wer ist vom AI Act betroffen?
Das Gesetz betrifft auf der einen Seite praktisch alle EU-Bürger, denn mit künstlicher Intelligenz kommen sie jetzt schon in Berührung. In Zukunft dürfte KI alle Lebensbereiche durchdringen. Auf der anderen Seite sind die Anbieter von künstlicher Intelligenz und ihre Verwender betroffen. Die Regelungen des AI Acts werden immer dann gelten, wenn ein KI-System Auswirkungen innerhalb der EU verursacht. Wo sein Anbieter seinen Sitz hat, spielt keine Rolle. Umgekehrt wäre es aber denkbar, dass ein Entwickler mit Sitz in der EU ein KI-System, das gegen die Regelungen verstößt, außerhalb der EU anbietet. Er wäre vom AI Act nicht betroffen, was Kritiker monieren.
Um welche Systeme der künstlichen Intelligenz geht es konkret?
Im derzeitigen Entwurf für den AI Act steht nur eine sehr allgemeine Definition, was künstliche Intelligenz sein soll. Dabei hatten der EU-Rat und seine Mitgliedsstaaten auf eine genauere Definition gedrängt.
Der AI Act wird alle Systeme der KI zurechnen, die auf maschinellem Lernen basieren. Es gibt jedoch auch weniger komplexe Systeme, die ohne maschinelles Lernen funktionieren, aber Funktionen einer künstlichen Intelligenz mitbringen. Sie fallen nicht unter den AI Act, was wiederum kritisiert wurde. Auch solche Systeme könnten schädlich sein.
Ebenfalls vom Geltungsbereich des Gesetzes ausgeschlossen werden Systeme für den militärischen Einsatz und für die nationale Sicherheit. Das bedeutet, dass Regierungen und Militärs der EU künftig auch biometrische Massenüberwachungen durchführen könnten. Das in China praktizierte Social Scoring verbietet der AI Act zwar, doch Kritiker befürchten, dass es durch die Hintertür eingeführt werden könnte. Der AI Act wird es allerdings nicht nur Regierungen, sondern auch Privatunternehmen explizit verbieten.
Ebenso darf nach seinen Regelungen die künstliche Intelligenz nicht für vorausschauende Polizeiarbeit eingesetzt werden. Diese verletze laut einem Statement aus dem EU-Parlament die menschliche Würde, verstoße gegen die Unschuldsvermutung und berge ein besonderes Diskriminierungsrisiko. Strafverfolgungsbehörden dürfen eine Gesichtserkennung an öffentlichen Orten nur unter streng definierten Bedingungen durchführen.
Sollte eine Behörde ein System benutzen, das als Hochrisiko-KI eingestuft wurde, muss dieses permanenten Konformitätsprüfungen über seinen gesamten Lebenszyklus hinweg unterzogen werden.
Registrierung der Systeme der künstlichen Intelligenz in einer EU-Datenbank
Sämtliche in der EU eingesetzten KI-Systeme sollen in einer Datenbank erfasst werden. Das gilt auch, wenn ausschließlich Behörden sie verwenden. Watchdog- und Forschungsorganisationen sowie die allgemeine Öffentlichkeit sollen Zugang zu dieser Datenbank erhalten. Damit will der AI Act ausreichende Transparenz bei der Anwendung von KI sicherstellen.
Bußgelder, aber kein Schadensersatz
Der AI Act sieht bei Verstößen Bußgelder vor, die sich an denen der DSGVO orientieren. Unternehmen können mit bis zu 20 Millionen Euro oder (wahrscheinlich wahlweise) bis zu 4,0 % ihres weltweiten Jahresumsatzes bestraft werden. Die 4,0 % dürften gerade bei den Big Playern auf diesem Markt deutlich über 20 Millionen Euro betragen. Das sollte eine ausreichend abschreckende Wirkung entfalten.
Allerdings sieht der AI Act keinen Schadensersatz für Betroffene vor, die durch eine künstliche Intelligenz Schaden erlitten haben. Diesen müssen sie in jedem konkreten Fall zivilrechtlich geltend machen. Das dürfte zwar gelingen, wie in den letzten Jahren entsprechende Klagen wegen Verstößen gegen die DSGVO gezeigt haben. Es bleibt aber in jedem Fall ein mühseliger juristischer Weg.
Stand des Gesetzgebungsverfahrens
Den ersten Vorschlag für einen AI Act hat die EU-Kommission schon im April 2021 vorgelegt. Seither befassten sich der EU-Rat und das EU-Parlament damit. Im Parlament sind zwei Ausschüsse zuständig, der für Verbraucherschutz und Binnenmarkt sowie der für Justiz, bürgerliche Freiheiten und Inneres. Im Dezember 2022 konnte eine bislang endgültige Version des AI Acts vorgelegt werden, im Juni 2023 hatte das EU-Parlament dazu eine einheitliche Position eingenommen. Mit Stand September 2023 läuft die finale Verhandlungsphase. Deutsche Positionen flossen in den Entwurf über das Wirtschafts- und das Justizministerium ein.
Wie müssen Anwender von künstlicher Intelligenz künftig umgehen?
Spätestens nach dem Inkrafttreten des AI Acts müssen sich Anwender auf die Rechtsfolgen bei Schäden durch eine KI einstellen. Das betrifft nicht nur Hochrisikosysteme, sondern auch einfache Chatbots, die schon jetzt massenhaft im Support zum Einsatz kommen.
Eine künstliche Intelligenz lernt durch Daten, was zur Versuchung führt, sie auch mit sensiblen Informationen aus dem eigenen Unternehmen oder aus Partnerunternehmen zu füttern. Wenn sie unternehmensinterne Informationen aber weitergibt, was nie auszuschließen ist, kann schnell ein großer Schaden entstehen.
Unternehmen und Behörden sollten also jetzt schon ihre Mitarbeiter entsprechend sensibilisieren. Diese müssen wie bisher im analogen Arbeitsleben sämtliche Betriebs- und Datenschutzgeheimnisse wahren.
Als besonders heikel gilt die Eingabe von personenbezogenen Daten in ein KI-System. Diese könnten an unterschiedlichsten Stellen in der Welt wieder auftauchen. Der KI-Verwender hätte damit nicht nur gegen den AI Act, sondern auch gegen die DSGVO verstoßen. Auch das Urheberrecht ist strikt zu beachten. KI-Anwender sollten nicht vergessen, Quellen für Zitate anzugeben. Nicht zuletzt sind arbeitsrechtliche Auswirkungen zu beachten, wenn Mitarbeiter ein KI-System für die Erledigung ihrer Aufgaben verwenden. Hierfür bedarf es klarer betriebsinterner Regelungen.
Fazit
Der Vormarsch der KI birgt gewaltige Herausforderungen. Ob der AI Act der EU imstande sein wird, alle Risiken angemessen abzudecken, bleibt mit Stand 2023 abzuwarten.