Neue EU-Haftungsregeln für Künstliche Intelligenz

Wer haftet für Schäden, wenn künstliche Intelligenz versagt? Mit dieser Frage hat sich die EU-Kommission intensiv beschäftigt und am 28.9.2022 in Ergänzung zum AI-Act zwei neue Gesetzesvorschläge vorgelegt: Mit der Richtlinie über KI-Haftung (2022/0303 (COD)) und einer Novelle der Produkthaftungs-Richtlinie (2022/0302 (COD)) soll erstmals ein harmonisierter Rechtsrahmen für Schäden durch künstliche Intelligenz (KI) eingeführt als auch gesetzliche Lücken geschlossen werden. Das dient der Ermöglichung der faktischen Durchsetzung von Schadenersatzansprüchen: Geschädigte stehen in der Praxis mangels Kenntnis der komplexen Funktionsweise eines KI-Systems nämlich regelmäßig vor unüberwindbaren Beweisschwierigkeiten. Das betrifft insbesondere den Nachweis, dass die Technologie für den Schaden tatsächlich ursächlich war (Kausalitätszusammenhang). Beweiserleichterungen und weitgehende Informationsrechte sollen dies nun ändern und eine effektive Entschädigung gewährleisten.

1. Die Richtlinie über KI-Haftung

Der neue Richtlinienvorschlag stärkt den Opferschutz im Bereich der deliktischen (außervertraglichen) Verschuldenshaftung durch folgende Hauptgarantien:

  • Beweiserleichterungen durch Vermutungsregeln

Es werden zwei – widerlegbare – Vermutungsregeln für das Vorliegen des Kausalitätszusammenhanges und des Verschuldens eingeführt. Die Auswirkungen der Neuerungen lassen sich anhand der vier Voraussetzungen eines Schadenersatzanspruchs illustrieren:

  • SCHADEN – Ist ein Schaden entstanden? In welcher Höhe?

Keine Änderung – weder an der Definition noch an der Beweislast des Klägers.

  • Kausalität – Ist der Schaden vom Schädiger durch Verletzung von Vorschriften und den durch KI generierten bzw unterlassenen Ergebnissen verursacht worden?

Grundsätzlich muss der Kläger die Kausalität nachweisen.

NEU: Der Kausalitätszusammenhang zwischen dem Verschulden des Beklagten und dem fehlerhaften KI-Ergebnis wird vermutet, wenn

  • das Verschulden des Klägers aufgrund eines gesetzlichen Verstoßes festgestellt wird, dessen Einhaltung genau die Verhinderung des eingetretenen Schadens bezwecken sollte;
  • es wahrscheinlich ist, dass das Verschulden das KI-Ergebnis beeinfluss hat; und
  • der Schaden nachwiesen wurde.

Davon gelten allerdings folgende Ausnahmen:

  • Bei Hochrisiko-KI-Systemen gemäß dem AI-Act gilt die Kausalitätsvermutung nicht, wenn der Beklagte nachweist, dass dem Geschädigten ohnehin ausreichende Beweismittel zur Verfügung stehen.
  • Bei KI-Systemen, die kein hohes Risiko darstellen, gilt die Kausalitätsvermutung nur dann, wenn der Nachweis für den Geschädigten übermäßig schwierig ist (zB aufgrund der Autonomie oder Undurchsichtigkeit der inneren Funktionsweise der KI).

Bei KI-Systemen im privaten Bereich muss der Beklagte die Betriebsbedingungen des KI-Systems wesentlich beeinträchtigt oder erforderliche Maßnahmen unterlassen haben.

  • Rechtswidrigkeit – War die Handlung oder Unterlassung rechtswidrig (zB aufgrund der Verletzung von gesetzlichen Ge- oder Verboten)?

Keine Änderung – Die Rechtswidrigkeit ergibt sich idR aus der Verletzung von gesetzlichen Pflichten (zB zukünftig dem AI-Act).

  • Verschulden - Wurde der Schaden schuldhaft (vorsätzlich oder fahrlässig) zugefügt?

Ein Verschulden liegt zB bei Verletzung einer Sorgfaltspflicht nach dem AI-Act vor.

NEU: Ein Verschulden kann vom Gericht aber auch vermutet werden, wenn der Beklagte einer gerichtlichen Anordnung zur Offenlegung nicht nachkommt.

Der Beklagte kann die Vermutungen jederzeit widerlegen (zB durch den Nachweis, dass der Schaden eine andere Ursache hatte).

  • Zugang zu einschlägigen Beweismitteln

Geschädigte durch bestimmte Hochrisiko-KI-Systeme sollen im Verfahren auch die Offenlegung einschlägiger Beweismittel und die Beweissicherung beantragen können. Hierfür müssen sie den Beweisantrag durch Tatsachen und Beweismittel untermauern. Das Gericht entscheidet sodann einzelfallbezogen unter Abwägung der Interessen des Geschädigten mit dem des Beklagten auf Geheimhaltung seiner Betriebs- und Geschäftsgeheimnisse.

2. Die Novelle der Produkthaftungs-Richtlinie

Weiters soll ein effektives Sicherheitsnetz für KI-Opfer auch im Bereich der Gefährdungshaftung (verschuldensunabhängigen Haftung) geschaffen werden. Hierfür wird nach knapp 40 Jahren die Produkthaftungs-Richtlinie modernisiert:

  • Ausweitung der Produktdefinition: Die aktuellen Produkthaftungsvorschriften decken Produktkategorien, die durch neue digitale Technologien entstehen, nur unzureichend ab. So ist zB reine Software, die nicht mit Hardware verbunden ist, nicht als Produkt zu qualifizieren. Diese Gesetzeslücke wird nunmehr durch eine Ausweitung der Definition auf Software und digitale Produkte geschlossen.
  • Ausweitung des Schadenbegriffs: Darüber hinaus wird der Schadensbegriff auf Schäden durch fehlerhafte Produkte, einschließlich Datenverlusten, ausgedehnt. Letzteres berücksichtigt insbesondere Beeinträchtigungen durch Software-Updates, Upgrades und digitale Dienste. 
  • Verantwortliche für Produktsicherheit: Nach den aktuellen Produkthaftungsvorschriften lässt sich nicht eindeutig bestimmen, wer für Softwarefehler, Updates, irrende Algorithmen oder wesentlich veränderte Produkte nach dem Import in der EU haftbar ist. Daher sollen Geschädigte zukünftig ihre Ansprüche sowohl gegen den Hersteller eines Produkts als auch gegen den einzelnen Hersteller integrierter Komponenten geltend machen können. Haben die Hersteller ihren Sitz außerhalb der EU, sollen für die Produktsicherheit der Importeur oder der zu benennende Vertreter für die EU einstehen.
  • Verhältnis zum AI-Act: Die Bestimmungen des AI-Act gelten als obligatorische Sicherheitsanforderungen. Eine Verletzung begründet somit zukünftig eine Gefährdungshaftung nach der Produkthaftungs-Richtlinie.
  • Zugang zu einschlägigen Beweismitteln: Um auch in diesem Kontext die Informationsasymmetrie zwischen Geschädigten und Hersteller auszugleichen, sollen Kläger – ähnlich zur neuen Richtlinie über KI-Haftung (vgl Pkt 1) – die Offenlegung von Beweismitteln fordern können.

3. Praxis-Impact und Ausblick

Die Kommissionvorschläge müssen (wie auch noch der AI-Act) erst im Europäischen Parlament und Rat verhandelt und angenommen werden. Das kann erfahrungsgemäß noch einige Jahre dauern. Sollte sich dieses neue KI-Haftungsregime aber durchsetzen, bringt es für alle Anbieter, Importeure, Hersteller und Nutzer von KI einschneidende Änderungen. Da keine Software fehlerfrei ist, können sie zukünftig nämlich deutlich rascher in eine Schadenersatzwelle schlittern. Darauf können sich Unternehmen, die sich langfristig am KI-Markt positionieren möchten, aber jetzt schon durch Umsetzung folgender Maßnahmen wappnen:

  • Design und Umsetzung von KI-Systemen gemäß den Basisanforderungen des AI-Act;
  • Einhaltung der datenschutzrechtlichen Vorgaben bei Verarbeitung personenbezogener Daten;
  • Nutzung qualitativhochwertiger, diskriminierungsfreier Datensätze zum Trainieren von KI;
  • Qualifikation von Unternehmensinformationen als Betriebs- und Geschäftsgeheimnisse sowie Umsetzung von Geheimhaltungsmaßnahmen iSd § 26a UWG;
  • Absicherung durch Haftungsbegrenzungen, Schad- und Klagloshaltungen sowie Informations-, Updates- und Upgradepflichten in der Lieferkette.

Wer haftet für Schäden, wenn künstliche Intelligenz versagt? Mit dieser Frage hat sich die EU-Kommission intensiv beschäftigt und am 28.9.2022 in Ergänzung zum AI-Act zwei neue Gesetzesvorschläge vorgelegt: Mit der Richtlinie über KI-Haftung (2022/0303 (COD)) und einer Novelle der Produkthaftungs-Richtlinie (2022/0302 (COD)) soll erstmals ein harmonisierter Rechtsrahmen für Schäden durch künstliche Intelligenz (KI) eingeführt als auch gesetzliche Lücken geschlossen werden. Das dient der Ermöglichung der faktischen Durchsetzung von Schadenersatzansprüchen: Geschädigte stehen in der Praxis mangels Kenntnis der komplexen Funktionsweise eines KI-Systems nämlich regelmäßig vor unüberwindbaren Beweisschwierigkeiten. Das betrifft insbesondere den Nachweis, dass die Technologie für den Schaden tatsächlich ursächlich war (Kausalitätszusammenhang). Beweiserleichterungen und weitgehende Informationsrechte sollen dies nun ändern und eine effektive Entschädigung gewährleisten.

1. Die Richtlinie über KI-Haftung

Der neue Richtlinienvorschlag stärkt den Opferschutz im Bereich der deliktischen (außervertraglichen) Verschuldenshaftung durch folgende Hauptgarantien:

  • Beweiserleichterungen durch Vermutungsregeln

Es werden zwei – widerlegbare – Vermutungsregeln für das Vorliegen des Kausalitätszusammenhanges und des Verschuldens eingeführt. Die Auswirkungen der Neuerungen lassen sich anhand der vier Voraussetzungen eines Schadenersatzanspruchs illustrieren:

  • SCHADEN – Ist ein Schaden entstanden? In welcher Höhe?

Keine Änderung – weder an der Definition noch an der Beweislast des Klägers.

  • Kausalität – Ist der Schaden vom Schädiger durch Verletzung von Vorschriften und den durch KI generierten bzw unterlassenen Ergebnissen verursacht worden?

Grundsätzlich muss der Kläger die Kausalität nachweisen.

NEU: Der Kausalitätszusammenhang zwischen dem Verschulden des Beklagten und dem fehlerhaften KI-Ergebnis wird vermutet, wenn

  • das Verschulden des Klägers aufgrund eines gesetzlichen Verstoßes festgestellt wird, dessen Einhaltung genau die Verhinderung des eingetretenen Schadens bezwecken sollte;
  • es wahrscheinlich ist, dass das Verschulden das KI-Ergebnis beeinfluss hat; und
  • der Schaden nachwiesen wurde.

Davon gelten allerdings folgende Ausnahmen:

  • Bei Hochrisiko-KI-Systemen gemäß dem AI-Act gilt die Kausalitätsvermutung nicht, wenn der Beklagte nachweist, dass dem Geschädigten ohnehin ausreichende Beweismittel zur Verfügung stehen.
  • Bei KI-Systemen, die kein hohes Risiko darstellen, gilt die Kausalitätsvermutung nur dann, wenn der Nachweis für den Geschädigten übermäßig schwierig ist (zB aufgrund der Autonomie oder Undurchsichtigkeit der inneren Funktionsweise der KI).

Bei KI-Systemen im privaten Bereich muss der Beklagte die Betriebsbedingungen des KI-Systems wesentlich beeinträchtigt oder erforderliche Maßnahmen unterlassen haben.

  • Rechtswidrigkeit – War die Handlung oder Unterlassung rechtswidrig (zB aufgrund der Verletzung von gesetzlichen Ge- oder Verboten)?

Keine Änderung – Die Rechtswidrigkeit ergibt sich idR aus der Verletzung von gesetzlichen Pflichten (zB zukünftig dem AI-Act).

  • Verschulden - Wurde der Schaden schuldhaft (vorsätzlich oder fahrlässig) zugefügt?

Ein Verschulden liegt zB bei Verletzung einer Sorgfaltspflicht nach dem AI-Act vor.

NEU: Ein Verschulden kann vom Gericht aber auch vermutet werden, wenn der Beklagte einer gerichtlichen Anordnung zur Offenlegung nicht nachkommt.

Der Beklagte kann die Vermutungen jederzeit widerlegen (zB durch den Nachweis, dass der Schaden eine andere Ursache hatte).

  • Zugang zu einschlägigen Beweismitteln

Geschädigte durch bestimmte Hochrisiko-KI-Systeme sollen im Verfahren auch die Offenlegung einschlägiger Beweismittel und die Beweissicherung beantragen können. Hierfür müssen sie den Beweisantrag durch Tatsachen und Beweismittel untermauern. Das Gericht entscheidet sodann einzelfallbezogen unter Abwägung der Interessen des Geschädigten mit dem des Beklagten auf Geheimhaltung seiner Betriebs- und Geschäftsgeheimnisse.

2. Die Novelle der Produkthaftungs-Richtlinie

Weiters soll ein effektives Sicherheitsnetz für KI-Opfer auch im Bereich der Gefährdungshaftung (verschuldensunabhängigen Haftung) geschaffen werden. Hierfür wird nach knapp 40 Jahren die Produkthaftungs-Richtlinie modernisiert:

  • Ausweitung der Produktdefinition: Die aktuellen Produkthaftungsvorschriften decken Produktkategorien, die durch neue digitale Technologien entstehen, nur unzureichend ab. So ist zB reine Software, die nicht mit Hardware verbunden ist, nicht als Produkt zu qualifizieren. Diese Gesetzeslücke wird nunmehr durch eine Ausweitung der Definition auf Software und digitale Produkte geschlossen.
  • Ausweitung des Schadenbegriffs: Darüber hinaus wird der Schadensbegriff auf Schäden durch fehlerhafte Produkte, einschließlich Datenverlusten, ausgedehnt. Letzteres berücksichtigt insbesondere Beeinträchtigungen durch Software-Updates, Upgrades und digitale Dienste. 
  • Verantwortliche für Produktsicherheit: Nach den aktuellen Produkthaftungsvorschriften lässt sich nicht eindeutig bestimmen, wer für Softwarefehler, Updates, irrende Algorithmen oder wesentlich veränderte Produkte nach dem Import in der EU haftbar ist. Daher sollen Geschädigte zukünftig ihre Ansprüche sowohl gegen den Hersteller eines Produkts als auch gegen den einzelnen Hersteller integrierter Komponenten geltend machen können. Haben die Hersteller ihren Sitz außerhalb der EU, sollen für die Produktsicherheit der Importeur oder der zu benennende Vertreter für die EU einstehen.
  • Verhältnis zum AI-Act: Die Bestimmungen des AI-Act gelten als obligatorische Sicherheitsanforderungen. Eine Verletzung begründet somit zukünftig eine Gefährdungshaftung nach der Produkthaftungs-Richtlinie.
  • Zugang zu einschlägigen Beweismitteln: Um auch in diesem Kontext die Informationsasymmetrie zwischen Geschädigten und Hersteller auszugleichen, sollen Kläger – ähnlich zur neuen Richtlinie über KI-Haftung (vgl Pkt 1) – die Offenlegung von Beweismitteln fordern können.

3. Praxis-Impact und Ausblick

Die Kommissionvorschläge müssen (wie auch noch der AI-Act) erst im Europäischen Parlament und Rat verhandelt und angenommen werden. Das kann erfahrungsgemäß noch einige Jahre dauern. Sollte sich dieses neue KI-Haftungsregime aber durchsetzen, bringt es für alle Anbieter, Importeure, Hersteller und Nutzer von KI einschneidende Änderungen. Da keine Software fehlerfrei ist, können sie zukünftig nämlich deutlich rascher in eine Schadenersatzwelle schlittern. Darauf können sich Unternehmen, die sich langfristig am KI-Markt positionieren möchten, aber jetzt schon durch Umsetzung folgender Maßnahmen wappnen:

  • Design und Umsetzung von KI-Systemen gemäß den Basisanforderungen des AI-Act;
  • Einhaltung der datenschutzrechtlichen Vorgaben bei Verarbeitung personenbezogener Daten;
  • Nutzung qualitativhochwertiger, diskriminierungsfreier Datensätze zum Trainieren von KI;
  • Qualifikation von Unternehmensinformationen als Betriebs- und Geschäftsgeheimnisse sowie Umsetzung von Geheimhaltungsmaßnahmen iSd § 26a UWG;
  • Absicherung durch Haftungsbegrenzungen, Schad- und Klagloshaltungen sowie Informations-, Updates- und Upgradepflichten in der Lieferkette.