Künstliche Intelligenz (KI) bleibt ein „Hot Topic“: Nachdem die EU-Kommission im April 2021 den Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften für KI („KI-Verordnung“ oder „AI Act“) veröffentlicht hatte (wir berichteten hier), zog sie kürzlich mit zwei Richtlinien-Vorschlägen nach – für eine (aktualisierte) Richtlinie über Produkthaftung (KOM(2022)495) und eine Richtlinie über KI-Haftung (KOM(2022)496). Was hat es mit diesen neuen Richtlinien-Vorschlägen auf sich? Ein Überblick:

Warum zwei neue Richtlinien, reicht nicht der AI Act?

Diese Frage stellt sich nur auf den ersten Blick. Ein zweiter Blick zeigt: Die KI-Verordnung ist unvollständig, da sie das für die Praxis besonders wichtige Thema der Haftung für KI-Systeme nicht berührt. Diese Lücke sollen die beiden Richtlinien-Entwürfe füllen. Verordnung und Richtlinien-Entwürfe würden nach der Vorstellung der Kommission dann wie Zahnräder ineinandergreifen und sich ergänzen: 

• Der AI Act setzt präventiv an: Er will Sicherheit bei der Verwendung von KI-Systemen schaffen und Schäden vorbeugen, indem er die Systeme in unterschiedliche Risiko-Kategorien einteilt und diese unterschiedlichen Zulassungs- und Kontrollregimen unterwirft. 
• Die neuen Richtlinien-Vorschläge setzen dagegen erst an, wenn durch den Einsatz eines KI-Systems ein Schaden entstanden ist. Sie zielen darauf, dem Geschädigten, für den die Technik der KI oft undurchschaubar ist, die Durchsetzung von Ersatzansprüchen zu erleichtern. Die aktualisierte Richtlinie über Produkthaftung betrifft dabei die verschuldensunabhängige Haftung des Herstellers oder Importeurs für die durch ein fehlerhaftes Produkt verursachten Schäden an bestimmten Rechtsgütern. Die Richtlinie über KI-Haftung nimmt dagegen die verschuldensabhängige außervertragliche Haftung für Schäden aller Art in den Fokus. 

Was ist Hintergrund der beiden neuen Richtlinien-Vorschläge?

Aktuell existiert weder auf nationaler noch auf europäischer Ebene ein Regelungswerk, das auf KI-spezifische Anforderungen eingeht. Wer meint, durch den Einsatz eines KI-Systems geschädigt worden zu sein, kann also, falls er nicht mit dem Schädiger in einem Vertragsverhältnis steht, das eine solche Haftung regelt, zur Begründung seiner Ersatzansprüche nur auf das geltende Zivilrecht zurückgreifen. Dieses sieht vereinfacht vor: 

• Führt ein fehlerhaftes Produkt, nach herkömmlichem Verständnis ein körperlicher Gegenstand, zur Verletzung eines geschützten Rechtsgutes (des Lebens, der körperlichen Unversehrtheit oder der Gesundheit eines Menschen oder einer privat genutzten Sache), können Hersteller und Importeur verschuldensunabhängig haften. Das ist die sogenannte Produkthaftung. 
• Für schuldhaftes menschliches Fehlverhalten, z.B. die fehlerhafte Wartung eines Produkts und einen dadurch eingetretenen Schaden an einer Sache oder an dem Leben, der körperlichen Unversehrtheit oder der Gesundheit eines Menschen, haftet der Schädiger nach den Vorschriften eines gegebenenfalls bestehenden Vertrags mit dem Geschädigten oder gemäß den Vorschriften des Deliktsrechts.
• Doch was gilt, wenn es beim Einsatz von KI-Systemen zu Schäden kommt, insbesondere wenn ein KI-System selbstlernend und nicht in einem Produkt verkörpert ist? Sofern die Parteien eine explizite Haftung nicht vertraglich geregelt haben, stellt sich aktuell die Frage nach der einschlägigen Anspruchsgrundlage: Es fehlt ja an einem körperlichen Gegenstand und an einem menschlichen Fehlverhalten. Zudem: Nach geltendem Recht müsste der Geschädigte, der Ansprüche geltend machen möchte, alle Voraussetzungen seiner Ansprüche darlegen und beweisen. Angesichts der Undurchsichtigkeit und Komplexität der KI-Systeme kann es dem Geschädigten übermäßig schwerfallen, falls nicht sogar unmöglich sein, seiner Beweislast nachzukommen.

Nach Auffassung der EU-Kommission führt die aktuelle Rechtslage daher zu Rechtsunsicherheit und zu einem Verlust von Verbrauchervertrauen in die neuen, innovativen Technologien. Dies bestätigt auch eine nicht-repräsentative Umfrage, die Dentons im September 2021 unter mehreren Hundert Führungskräften durchführte, in die auch Antworten aus einer Umfrage über das Netzwerk LinkedIn einflossen: 75% der Teilnehmer an der Dentons-Umfrage klagten über Rechtsunsicherheit. Ein Großteil der Teilnehmer wusste nicht, welche Regelungen auf die Nutzung der KI-Systeme Anwendung finden. Diesem Missstand sollen nun – so der Wunsch der EU-Kommission – die neuen Richtlinien abhelfen.

Was ist Inhalt der Richtlinie über Produkthaftung?

Der Vorschlag für die aktualisierte Richtlinie über Produkthaftung stellt vor allem klar, dass auch nicht verkörperte KI-Systeme wie Software zukünftig in ihren Anwendungsbereich fallen. Daneben erweitert der Vorschlag den Anwendungsbereich der Richtlinie auf den Verlust von Daten und psychische Verletzungen. Und: Unter den Fehlerbegriff sollen künftig auch schadensverursachende selbstlernende KI-Systeme fallen.

Ein anderer wichtiger Aspekt des Richtlinienvorschlags sind Beweiserleichterungen zugunsten des Geschädigten. Der Geschädigte soll zwar auch weiterhin grundsätzlich die Fehlerhaftigkeit des Produkts, den erlittenen Schaden und den Kausalzusammenhang zwischen Fehlerhaftigkeit und Schaden nachweisen. Die Fehlerhaftigkeit des Produkts (also auch des KI-Systems) kann aber in bestimmten Fällen widerlegbar vermutet werden, z.B. wenn der Geschädigte nachweist, dass ein Produkt den EU-weiten oder nationalen Sicherheitsanforderungen nicht entspricht. 

Weiteres Novum: Das Gericht soll auf Antrag des Geschädigten verfügen können, dass der Beklagte die ihm zur Verfügung stehenden einschlägigen Beweismittel offenlege. Kommt der Beklagte einer solchen Verfügung nicht nach, wird ebenfalls vermutet, dass das Produkt fehlerhaft sei. 

Was ist Inhalt der Richtlinie über KI-Haftung?

Anders als der Entwurf für eine aktualisierte Richtlinie über die verschuldensunabhängige Produkthaftung betrifft die Richtlinie über KI-Haftung die außervertragliche verschuldensabhängige zivilrechtliche Haftung. Sie macht zudem auch keine Unterscheidung zwischen bestimmten Schadensarten. Sie gilt umfassend für jegliche Schäden, die durch ein KI-System verursacht wurden, z.B. wenn der Einsatz des KI-Systems zu Diskriminierung etwa im Rahmen einer Bewerberauswahl oder zu einem Bruch der Vertraulichkeit personenbezogener Daten führt.

Weiteres Kernstück des Richtlinienentwurfs ist der vereinfachte Zugang zu Informationen in Fällen möglicher Rechtsverletzungen: War Hochrisiko-KI im Einsatz, sollen die Gerichte auf Antrag des potenziell Geschädigten gegen den potenziellen Schädiger die Offenlegung der einschlägigen Beweismittel anordnen dürfen; hinzukommen Kausalitätsvermutungen zu Gunsten des potenziell Geschädigten. Mit der Bezugnahme auf Hochrisiko-KI in diesem Kontext schlägt der Richtlinienentwurf eine Brücke zu der Klassifizierung der Technologien im Entwurf des AI Acts, der den Einsatz von Hochrisiko-KI-Systemen besonders strengen Zulassungs- und Kontrollregimen unterwirft.

Wie schätzen wir die Richtlinien-Vorschläge ein?

Die beiden Richtlinienentwürfe bergen einigen Zündstoff. Die Erweiterungen des Anwendungsbereichs der Produkthaftung und des Fehlerbegriffs auf selbstlernende KI-Systeme können in Anbetracht des sich rasch verbreitenden Einsatzes dieser Technologien noch als unvermeidbar erscheinen. Die weitreichenden Offenlegungspflichten stehen dagegen in einem offenen Konflikt mit den Geheimnisschutzinteressen und ‑pflichten der beteiligten Unternehmen. Die betreffenden KI-Technologien dürften, falls sie nicht ausnahmsweise patentgeschützt sind, regelmäßig dem Schutz als Geschäftsgeheimnisse unterfallen und in dieser Eigenschaft zu den wertvollsten und zugleich verletzlichsten Vermögensgegenständen der Entwickler und Verwender dieser Systeme zählen. Diesen Konflikt zu antizipieren und vertragliche Vorsorge (Stichworte: Haftung und Regress innerhalb der Lieferketten) zu treffen, wird künftig eine der großen Herausforderungen für Unternehmen, die KI-Systeme einsetzen. Das bedeutet: Die beiden Richtlinien-Entwürfe lassen an mancher Stelle eine gewisse Rechtssicherheit erwarten. An anderer Stelle schüren sie aber neue Unsicherheiten.

Wie geht es weiter?

Die beiden Richtlinienentwürfe durchlaufen noch das Europäische Parlament und den Rat. Zu erwarten sind in diesem Zuge Anpassungen im Detail, weniger fundamentale Änderungen. Da EU-Richtlinien der Umsetzung in das jeweilige nationale Recht der Mitgliedstaaten bedürfen, kann es auch hier noch Feinjustierungen durch den nationalen Gesetzgeber geben.