Richtlinie zur KI-Haftung: Der Entwurf für eine Richtlinie des Europäischen Parlaments und des Rates zur Anpassung der Vorschriften über außervertragliche zivilrechtliche Haftung an künstliche Intelligenz (KI-Haftung) zielt darauf ab, einheitliche Anforderungen für die Haftung bei Schäden, die durch KI-Systeme verursacht werden, zu schaffen.
Dies geschieht vor dem Hintergrund, dass die bestehenden Haftungsvorschriften als ungeeignet für die Bewältigung von Schadensfällen durch KI-Produkte und -Dienstleistungen angesehen werden. Herausforderungen sind unter anderem die Komplexität, Autonomie und Undurchsichtigkeit von KI-Systemen, die es Opfern erschweren, die haftbare Person zu ermitteln und eine Haftungsklage erfolgreich zu führen.
Richtlinie zur KI-Haftung
Die Richtlinie zur KI-Haftung zielt darauf ab, das Vertrauen in KI-Technologien zu stärken und ihre Akzeptanz zu erhöhen, indem ein effektives Rechtssystem für Schadensersatzansprüche bereitgestellt wird, das an die Besonderheiten der KI angepasst ist.
Die Richtlinie soll auch dazu beitragen, Rechtsunsicherheiten für Unternehmen zu verringern und eine Fragmentierung nationaler Haftungsvorschriften zu verhindern, was wiederum die Kosten für die rechtliche Vertretung und das Risikomanagement senken und die grenzüberschreitende Einführung von KI-Produkten und Dienstleistungen erleichtern würde. Die Richtlinie soll folgende Kernpunkte beinhalten:
- Erleichterung der Beweislast: Es wird ein Mechanismus vorgeschlagen, um es Opfern zu ermöglichen, einfacher Beweise gegen die haftbaren Personen oder Unternehmen zu erbringen, insbesondere bei der Nutzung von Hochrisiko-KI-Systemen.
- Kausalitätsvermutung: Bei einem nachweisbaren Verschulden des Betreibers oder Nutzers eines KI-Systems wird eine Kausalitätsvermutung eingeführt, die es Opfern erleichtern soll, einen Schadensersatzanspruch zu begründen.
- Offenlegung von Beweismitteln: Gerichte können die Offenlegung relevanter Beweismittel anordnen, um den Klägern die Beweisführung zu erleichtern.
- Berücksichtigung bestehender Haftungsregelungen: Die Richtlinie soll in die bestehenden nationalen Haftungsregelungen eingegliedert werden, ohne diese grundlegend zu ändern. Es wird ein Ausgleich zwischen den Interessen der Opfer und den Risiken für KI-Anbieter und -Nutzer angestrebt.
Offenlegung von Beweismitteln
Artikel 3 der Richtlinie soll den Zugang zu relevanten Beweismitteln erleichtern, wenn Schäden verursacht werden, weil etwa ein Betreiber von Paketdrohnen die Bedienungsanleitung nicht beachtet oder ein Anbieter die Anforderungen an die Nutzung von KI-gestützten Arbeitsvermittlungsdiensten nicht einhält.
Personen, die Anspruch auf Schadenersatz haben, können bei Gericht die Offenlegung von Informationen über risikobehaftete KI-Systeme beantragen:
Die Mitgliedstaaten stellen sicher, dass die nationalen Gerichte befugt sind, entweder auf Antrag eines potenziellen Klägers, der zuvor einen Anbieter, eine Person, die den Pflichten eines Anbieters [nach Artikel 24 oder Artikel 28 Absatz 1 des Gesetzes über künstliche Intelligenz] unterliegt, oder einen Nutzer vergeblich aufgefordert hat, die ihm beziehungsweise ihr vorliegenden einschlägigen Beweismittel zu einem bestimmten Hochrisiko-KI-System offenzulegen, das im Verdacht steht, einen Schaden verursacht zu haben, oder auf Antrag eines Klägers die Offenlegung dieser Beweismittel durch diese Personen anzuordnen.
Dies würde es den Opfern ermöglichen, die möglicherweise haftbare Person zu identifizieren und herauszufinden, was zu dem Schaden geführt hat. Die Offenlegung unterliegt dabei angemessenen Garantien zum Schutz sensibler Informationen wie Geschäftsgeheimnissen. Aber: Zugleich ist vorgesehen, dass ein Verschulden vermutet wird, wenn entsprechende Beweismittel nicht vorgelegt werden:
Kommt ein Beklagter im Rahmen eines Schadensersatzanspruchs einer Anordnung eines nationalen Gerichts, die ihm vorliegenden Beweismittel nach den Absätzen 1 oder 2 offenzulegen oder zu sichern, nicht nach, so vermutet das nationale Gericht, dass der Beklagte gegen seine einschlägige Sorgfaltspflicht verstößt, insbesondere in Fällen, in denen die Beweismittel, die für die Zwecke des betreffenden Schadensersatzanspruchs angefordert werden, Umstände nach Artikel 4 Absätze 2 oder 3 belegen sollen.
Beweislast
In Artikel 4 erleichtert die Richtlinie über die Haftung für KI die Beweislast durch die Einführung einer „Kausalitätsvermutung“: Wenn ein Geschädigter nachweisen kann, dass jemand für die Nichteinhaltung einer bestimmten, für den Schaden relevanten Verpflichtung verantwortlich war und dass ein ursächlicher Zusammenhang mit der KI-Dienstleistung vernünftigerweise wahrscheinlich ist, kann das Gericht davon ausgehen, dass diese Nichteinhaltung den Schaden verursacht hat. Andererseits kann die haftpflichtige Person diese Vermutung widerlegen (z.B. durch den Nachweis, dass der Schaden eine andere Ursache hat):
Vorbehaltlich der in diesem Artikel festgelegten Anforderungen vermuten die nationalen Gerichte für die Zwecke der Anwendung der Haftungsvorschriften auf einen Schadensersatzanspruch einen ursächlichen Zusammenhang zwischen dem Verschulden des Beklagten und dem vom KI-System hervorgebrachten Ergebnis oder aber der Tatsache, dass das KI-System kein Ergebnis hervorgebracht hat, wenn alle folgenden Bedingungen erfüllt sind:
a)Der Kläger hat nachgewiesen oder das Gericht vermutet gemäß Artikel 3 Absatz 5, dass ein Verschulden seitens des Beklagten oder einer Person, für deren Verhalten der Beklagte verantwortlich ist, vorliegt, da gegen eine im Unionsrecht oder im nationalen Recht festgelegte Sorgfaltspflicht, deren unmittelbarer Zweck darin besteht, den eingetretenen Schaden zu verhindern, verstoßen wurde;
b)es kann auf der Grundlage der Umstände des Falls nach vernünftigem Ermessen davon ausgegangen werden, dass das Verschulden das vom KI-System hervorgebrachte Ergebnis oder die Tatsache, dass das KI-System kein Ergebnis hervorgebracht hat, beeinflusst hat;
c)der Kläger hat nachgewiesen, dass das vom KI-System hervorgebrachte Ergebnis oder aber die Tatsache, dass das KI-System kein Ergebnis hervorgebracht hat, zu dem Schaden geführt hat.
Alle Welt spricht über die KI-Verordnung. Die Richtlinie zur KI-Haftung aber ist es, die am Ende den Alltag prägen und darüber entscheiden wird, wie zukunftsfähig KI in der EU sein wird. Der Zwang zur KI-Compliance wird dabei am Ende sowohl durch horrende Bußgelder aber auch Haftung zementiert.
KI-Richtlinie: Haftungsbeiwerk der KI-Verordnung erzwingt KI-Compliance
Die Richtlinie zur K-Haftung muss im Kontext der KI-Verordnung verstanden werden – hier zeigt sich dann auch das Risiko, aber auch das Potenzial der Regelungen. Sicherlich schwierig wird es erst einmal sein, dass man auf die Definition der KI-Verordnung abstellt bei der Frage, was ein KI-System überhaupt ist. Es wird sich erst noch zeigen müssen, wie eng oder auch weit diese Definition ist.
Vermutung der Kausalität bei KI-System
Für die Zwecke der Anwendung der Haftungsvorschriften auf eine Schadensersatzklage vermuten die nationalen Gerichte daher einen Kausalzusammenhang zwischen dem Verschulden des Beklagten und dem von dem KI-System erzielten Ergebnis oder der Tatsache, dass das KI-System kein Ergebnis erzielt hat, wenn alle folgenden Bedingungen erfüllt sind:
- Der Kläger hat nachgewiesen oder das Gericht vermutet gemäß Artikel 3 Absatz 5, dass ein Verschulden seitens des Beklagten oder einer Person, für deren Verhalten der Beklagte verantwortlich ist, vorliegt, da gegen eine im Unionsrecht oder im nationalen Recht festgelegte Sorgfaltspflicht, deren unmittelbarer Zweck darin besteht, den eingetretenen Schaden zu verhindern, verstoßen wurde;
- es kann auf der Grundlage der Umstände des Falls nach vernünftigem Ermessen davon ausgegangen werden, dass das Verschulden das vom KI-System hervorgebrachte Ergebnis oder die Tatsache, dass das KI-System kein Ergebnis hervorgebracht hat, beeinflusst hat;
- der Kläger hat nachgewiesen, dass das vom KI-System hervorgebrachte Ergebnis oder aber die Tatsache, dass das KI-System kein Ergebnis hervorgebracht hat, zu dem Schaden geführt hat.
Ergänzung für Hochrisiko-KI-Systeme
Bei Hochrisiko-KI-Systemen unterscheidet die Richtlinie hinsichtlich Anbieter und Nutzer! Bei einem Anbieter muss nachgewiesen werden, dass zumindest eines dieser Kriterien verletzt wurde:
- Bei dem KI-System werden Techniken eingesetzt, bei denen Modelle mit Daten trainiert werden, und das System wurde nicht anhand von Trainings-, Validierungs- und Testdatensätzen entwickelt, die den [in der KI-VO] genannten Qualitätskriterien entsprechen;
- das KI-System wurde nicht so konzipiert und entwickelt, dass es den [in der KI-VO] festgelegten Transparenzanforderungen entspricht;
- das KI-System wurde nicht so konzipiert und entwickelt, dass es (…) während der Dauer seiner Verwendung von natürlichen Personen wirksam beaufsichtigt werden kann;
- das KI-System wurde nicht so konzipiert und entwickelt, dass es (…) im Hinblick auf seine Zweckbestimmung ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreicht;
- es wurden nicht unverzüglich die erforderlichen Korrekturmaßnahmen ergriffen, um das KI-System mit den [in der KI-VO] festgelegten Anforderungen in Einklang zu bringen oder das System gegebenenfalls (…) zurückzunehmen oder zurückzurufen.
Ein Nutzer dagegen sieht sich einem Schadensersatzanspruch ausgesetzt, wenn dieser
- seiner Pflicht zur Verwendung oder Überwachung des KI-Systems entsprechend der beigefügten Gebrauchsanweisung oder gegebenenfalls zur Aussetzung oder Unterbrechung seiner Verwendung [nach der KI-VO] nicht nachgekommen ist, oder
- Eingabedaten, die seiner Kontrolle unterliegen, auf das KI-System angewandt hat, die der Zweckbestimmung des Systems [nach der KI-VO] nicht entsprechen.
Verhältnis zur Produkthaftungsrichtlinie
Die KI-Richtlinie und die Produkthaftungsrichtlinie ergänzen sich zu einem umfassenden Haftungssystem: Die Produkthaftungsrichtlinie regelt die verschuldensunabhängige Haftung des Herstellers für fehlerhafte Produkte und ermöglicht den Ersatz bestimmter Arten von Schäden, die hauptsächlich von Privatpersonen erlitten werden.
Die KI-Haftungsrichtlinie hingegen deckt nationale Haftungsansprüche ab, die in erster Linie auf dem Verschulden einer natürlichen oder juristischen Person beruhen, um jede Art von Schaden zu ersetzen und jede Art von Geschädigten zu entschädigen.
Fazit zur Richtlinie zur KI-Haftung
Es gibt das Risiko, dass die Richtlinie zu einer Haftung auch bei einer Software führt, die man nicht zwingend beim Thema KI vor Augen hat. Hier muss die Entwicklung hinsichtlich des konkreten Umfangs der Definition von „KI-System“ abgewartet werden. Jedenfalls zeigt sich schon jetzt, dass gute Compliance bei der Entwicklung, dem Vertrieb und dem Einsatz einer KI zwingend sein wird. Die Haftungsrichtlinie nutzt die Qualitätskriterien der KI-VO um hieran konkrete Haftungsfolgen zu knüpfen. Das scharfe Schwert wird dabei nicht die Haftung an sich, sondern vielmehr der Zugriff von Klägern auf System-Interna haben – dass die mangelnde Offenlegung zu einer Vermutung der Kausalität führt, wird Anbieter erschrecken.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024