Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Haftung für KI : Ein Überblick über aktuelle und zukünftige Regelungen

Systeme und Algorithmen künstlicher Intelligenz (KI) sollen zukünftig zunehmend Sachverhalte bewerten und teils auch automatisiert Entscheidungen treffen. Doch Entscheidungen haben Konsequenzen und können auch Schäden verursachen. Wer haftet dann?

Lesezeit 12 Min.

Künstliche Intelligenz (KI) ist seit Jahren ein großes Thema – derzeit erhalten gerade generative KI-Systeme besondere Aufmerksamkeit, die Texte in bisher kaum vorstellbarer Qualität erzeugen, als Chatbot über sehr gute Kommunikationsfähigkeiten verfügen oder auf Knopfdruck schönste Bilder zu fast jedem gewünschten Subjekt erstellen.

Parallel dazu gibt es eine Diskussion über Risiken der künstlichen Intelligenz, nicht zuletzt hinsichtlich der Verursachung von Schäden an Rechtsgütern Dritter – mit dem Unfall eines selbstfahrenden Autos als gern genommenes Beispiel. Das Schadenspotenzial von KI geht allerdings darüber weit hinaus, denkt man etwa an Anlageempfehlungen eines KI-Systems oder an diskriminierende Bewertungen von Menschen, die einen Arbeits- oder Studienplatz oder einen Kredit suchen.

KI-Systeme werden häufig als Sicherheitselement eingesetzt, so beim selbstfahrenden Auto und anderen Maschinen, zur Anomalieerkennung bei der Abwehr von Malware oder zur Aufdeckung von Geldwäsche. Soweit KI eine Schutzfunktion einnimmt, können durch fehlerhafte Funktionen Schäden ermöglicht werden.

Lücken im Haftungsrecht

Künstliche Intelligenz und KI-Systeme im Sinne von Soft- und Hardware, die auf KI-Verfahren beruhen, stellen das geltende Recht in zahlreichen Bereichen vor Herausforderungen. Dies gilt nicht zuletzt für das deutsche Haftungsrecht, das in Bezug auf KI-Systeme Lücken aufweist. Das traditionelle Deliktsrecht beruht auf der Verschuldenshaftung. Die zentrale Norm des deutschen Deliktsrechts, § 823 Abs. 1 des Bürgerlichen Gesetzbuchs (BGB), ordnet die Pflicht zum Schadenersatz an, wenn der Täter vorsätzlich oder fahrlässig Rechtsgüter Dritter verletzt – etwa eine Sache beschädigt oder Persönlichkeitsrechte verletzt.

Vorsatz und ebenso Fahrlässigkeit – definiert als die Verletzung von Sorgfaltspflichten (§ 276 Abs. 2 BGB) – beziehen sich auf das Verhalten von Menschen. Derzeit wird diskutiert, ob der Begriff des Verschuldens, der Oberbegriff zu Vorsatz und Fahrlässigkeit, schon nach geltendem Recht auf KI-Systeme angewendet werden kann. Dies wird aber von den meisten Autoren – zu Recht – verneint.

Kein Verschulden bei Schadensverursachung durch KI-Systeme

Die Maßgeblichkeit menschlichen Verschuldens als Voraussetzung für Schadenersatz hat bei Schäden, die durch KI-Systeme verursacht werden, dramatische Konsequenzen: Soweit nämlich ein KI-System zulässigerweise selbstständig agiert und hierbei einen Schaden verursacht, fehlt es am Verschulden eines Menschen, sodass eine Haftung nach Normen, die ein Verschulden voraussetzen, nicht in Betracht kommt. Beispiel: Ein selbstfahrendes Auto verursacht im zulässigen Betrieb einen Unfall.

Eine Haftung ohne menschliches Verschulden wird durch die sogenannte Gefährdungshaftung eröffnet. Das bekannteste Beispiel ist die Haftung nach § 7 Straßenverkehrsgesetz (StVG), der sogar eine besonders strenge Form der Gefährdungshaftung, die sogenannte Kausalhaftung, enthält. Diese – auch für selbstfahrende Autos geltende – strenge Haftung, die zudem mit einer obligatorischen Haftpflichtversicherung des Halters einhergeht, führt dazu, dass Verkehrsunfälle in Deutschland nahezu sicher über die Versicherung des Kfz-Halters abgewickelt werden. Eine solche strenge Gefährdungshaftung sieht das deutsche Recht aber nur in wenigen Fällen vor – vor allem bei Verkehrsmitteln (Kfz, Flugzeuge, Bahn) oder Arzneimitteln. Insbesondere gibt es keine spezielle Kausalhaftung für KI-Systeme.

Keine Produkthaftung für Verhalten von KI-Systemen

Andere Formen der verschuldensunabhängigen Haftung sind zwar auf KI-Systeme anwendbar, sind aber ebenfalls lückenhaft. Das gilt nicht zuletzt für die Produkthaftung nach dem Produkthaftungsrecht, die nur eingreift, wenn ein Produkt einen Fehler aufweist. Hier stellen sich in Bezug auf KI-Systeme grundlegende Fragen:KI-Systeme haben nämlich, anders als traditionelle Maschinen, die Fähigkeit, ihre Aktionen in Abhängigkeit von einer wahrgenommenen Situation zu wählen. Man kann daher von einem „Verhalten“ des KI-Systems sprechen, das insoweit durchaus ähnlich dem Verhalten eines Menschen ist. Daher wird derzeit auch diskutiert, ob Normen (etwa § 278 BGB „Verantwortlichkeit des Schuldners für Dritte“), die das Verschulden eines menschlichen Gehilfen erfassen, analog auf KI-Systeme angewendet werden können. Das wird, da es eine grundlegende Änderung des geltenden Rechts – nämlich die Anerkennung von Maschinen als schuldfähig – implizieren würde, ganz überwiegend abgelehnt.

Im Produkthaftungsrecht kommt es darauf an, ob ein Produkt einen Fehler aufweist, der für den Schaden ursächlich war. „Fehler“ ist aber als Eigenschaft eines Systems definiert, nicht als ein – gegebenenfalls einmaliges – Verhalten. Ein Verhalten in einer künftigen, sehr seltenen Situation, dass der Hersteller nicht antizipieren kann, kann der Hersteller auch nicht verhindern. Die Produkthaftung verlangt aber nur eine solche Sicherheit des Produkts, die mit zumutbarem Aufwand hergestellt werden kann.

Daher lässt sich von einem Verhalten in einer einzelnen Situation, im Beispiel des selbstfahrenden Autos von der Verursachung eines Unfalls, nicht unmittelbar auf eine fehlerhafte Eigenschaft des Produkts (im Beispiel: des Fahrzeugs) schließen. Ob und wie der Schluss von einem Verhalten auf einen Fehler, der eine Haftung auslösen kann, gezogen werden kann, ist derzeit in der rechtlichen Diskussion sehr umstritten.

Beweisschwierigkeiten bei Schäden durch KI-Systeme

Neben diesen Lücken des materiellen Rechts bestehen überdies erhebliche Beweisschwierigkeiten: Nach geltendem Recht muss der Geschädigte als Anspruchssteller im Streitfall vor Gericht beweisen, dass die Voraussetzungen der Haftung tatsächlich vorliegen. Dies ist im Fall der Gefährdungshaftung mitunter einfach, etwa wenn die Ursache eines Schadens bekannt ist.

Bei der Verschuldenshaftung und der Produkthaftung ist zusätzlich zu beweisen, dass ein Verschulden oder ein Produktionsfehler vorlag. Gerade der Nachweis eines Produktionsfehlers ist bei KI-Systemen schwierig, denn der Geschädigte müsste nachweisen, dass eine – wie auch immer zu definierende – fehlerhafte Eigenschaft vorlag. In der juristischen Literatur wird daher die Auffassung vertreten, dass bei Vorliegen eines fehlerhaften Verhaltens eine Vermutung für einen Produktionsfehler gilt [1]. Dies führt zu einer Umkehr der Beweislast in Bezug auf die Fehlerhaftigkeit des Produkts.

Neuer Rechtsrahmen für KI

Im derzeit entstehenden Rechtsrahmen für KI, der vor allem vom europäischen Gesetzgeber vorangetrieben wird, nehmen Fragen der Haftung für durch KI verursachte oder ermöglichte Schäden zu Recht einen breiten Raum ein.

Aktuelle Gesetzesvorschläge der EU-Kommission

Die EU-Kommission hatte schon in ihrer KI-Strategie von 2018 auf die besondere Bedeutung des rechtlichen Fundaments zur Hebung des Potenzials der KI hingewiesen. In der Folge berief sie mehrere Expertengruppen verschiedenen rechtlichen Aspekten der KI ein, nicht zuletzt eine Expert Group on Liability and New Technologies, die in zwei Untergruppen, der Product Liability Directive Formation und der New Technologies Formation, gegründet wurde. Der 2019 veröffentlichte Abschlussbericht der New Technologies Formation [2] inspirierte sowohl die Kommission in ihrem Bericht vom Februar 2020 [3] als auch die Entschließung des Europäischen Parlaments vom Oktober 2020 [4], in der das Parlament gar den Entwurf einer Verordnung, also ein in der ganzen EU unmittelbar geltendes europäisches Gesetz, zur Haftung für KI-Systeme vorgelegt hat. Die vom EU-Parlament vorgeschlagene Verordnung sieht eine Gefährdungshaftung des Betreibers für bestimmte KI-Systeme vor, die als sogenannte Hochrisiko-KI-Systeme beschrieben werden – für sonstige KI-Systeme soll es bei der traditionellen Verschuldenshaftung bleiben.

Der von der Kommission am 21. April 2021 veröffentlichte Entwurf des KI-Gesetzes (AI Act, [5]) – wiederum eine Verordnung – soll ein zentraler Baustein des Rechtsrahmens für KI werden: Das KI-Gesetz regelt Verbote bestimmter KI-Systeme, etwa des Social-Scorings, sowie Transparenzpflichten, die insbesondere für Chatbots von Bedeutung sind, vor allem aber ein umfassendes Risikomanagement für KI-Systeme. Es enthält indes keine Regelung zur Haftung für KI-Systeme, die in anderen Rechtsakten geregelt werden sollte.

Im September 2022 legte die Kommission schließlich ihren Regelungsvorschlag zur Haftung vor: Sie veröffentlichte zeitgleich den Entwurf einer neuen Produkthaftungsrichtlinie [6] und den Entwurf einer KI-Haftungsrichtlinie [7]. Mit diesen beiden Regelungen, die als Paket konzipiert sind, will die Kommission die bestehenden Lücken in der Haftung für KI-Systeme schließen. Daher ist von Interesse, inwieweit sie ihrem Entwurf nach dazu geeignet sind.

Der Vorschlag einer KI-Haftungsrichtlinie

Der Entwurf der KI-Haftungsrichtlinie ist – angesichts der bestehenden Lücken – mit nur neun Artikeln erstaunlich kurz. Er enthält vor allem keine eigenständige Haftungsnorm, sondern (neben den üblichen Anfangs- und Endbestimmungen) lediglich zwei Artikel, die vor allem auf Beweisschwierigkeiten Bezug nehmen. Nach Art. 3 des Entwurfs kann ein Geschädigter von anderen Beteiligten, etwa dem Hersteller oder Nutzer eines KI-Systems, die Herausgabe von Beweismitteln verlangen, um seinen Schadenersatzanspruch zu beweisen. Art. 4 des Entwurfs enthält eine Beweiserleichterung für den Nachweis der Kausalität des Verschuldens eines Menschen für die schädigende Aktion des KI-Systems. Dies betrifft einen sehr wichtigen Punkt bei KI-Systemen, die auf Machine-Learning (ML) beruhen: Wegen des sogenannten Black-Box-Effekts beim ML ist nämlich kaum feststellbar, ob eine konkrete Maßnahme eines Menschen – etwa beim Training, Testen, Einstellen oder Überwachen des KI-Systems – dazu geführt hätte, dass das KI-System sich anders verhalten hätte und der Schaden dann nicht eingetreten wäre. Der Nachweis, dass ein etwaiges Verschulden eines Menschen für den Schaden ursächlich war, ist also kaum zu führen. Hier greift die Richtlinie ein: Steht das Verschulden eines Menschen fest, wird nach Art. 4 vermutet, dass das Verschulden für den Schaden ursächlich war.

Die KI-Haftungsrichtlinie enthält aber keine Beweiserleichterung für das Verschulden eines Menschen selbst – die grundlegenden Haftungslücken des materiellen Rechts werden also nicht geschlossen. Damit bleibt der Richtlinienvorschlag hinter dem Entwurf des Europäischen Parlaments wesentlich zurück, das ja für Hochrisiko-KI eine Kausalhaftung vorgeschlagen hatte – aber auch hinter den Empfehlungen der Expert Group on Liability and New Technologies, die sich ebenfalls für eine Gefährdungshaftung in bestimmten Fällen hohen Risikos ausgesprochen hatte.

Der Vorschlag einer neuen Produkthaftungsrichtlinie: Das derzeit geltende Produkthaftungsrecht beruht auf der europäischen Produkthaftungsrichtlinie von 1985. Die schon lange überfällige Anpassung der Richtlinie an den technischen Wandel soll nun mit dem Vorschlag einer neuen Produkthaftungsrichtlinie erfolgen. Diese bleibt im Gleis des bisherigen Produkthaftungsrechts, besonders beim bisherigen Haftungskonzept: Wesentliche Voraussetzung der Haftung soll dabei weiterhin der vom Geschädigten zu beweisende Fehler eines Produkts sein. Der Richtlinienvorschlag enthält aber auch wichtige Ergänzungen und Klarstellungen der Haftung, gerade im Hinblick auf Software und KI-Systeme.

Der Richtlinienvorschlag bezieht Software ausdrücklich in den Bereich des Produktes ein, soll also auch für jede Art von Software gelten. Das ist wichtig, weil in der Vergangenheit sehr umstritten war, ob und in welchen Fällen das Produkthaftungsrecht auf Software überhaupt anwendbar ist.

Wichtig ist, dass die Haftung ausdrücklich auf Updates und Upgrades erstreckt wird. Das ist konsequent, da auch Updates und Upgrades Software sind. Zugleich wird die Haftung de facto zeitlich ausgedehnt: Die Produkthaftung greift nur, wenn ein Produkt zum Zeitpunkt des Inverkehrbringens fehlerhaft ist – der Hersteller steht dafür ein, dass sein Produkt zu dem Zeitpunkt fehlerfrei ist, in dem er es aus der Hand gegeben hat. Derselbe Grundsatz gilt nun jedoch für jedes Update, das er auf den Markt bringt. Wenn also ein Update dazu führt, dass die Software nicht mehr ordnungsgemäß funktioniert, greift die Produkthaftung ein.

Der Entwurf geht sogar noch weiter und erstreckt die Haftung auch auf das Unterlassen von Updates. Die Haftung für fehlerhafte Software ist nach Art. 10 Abs. 2 Lit. c der vorgeschlagenen Produkthaftungsrichtlinie nicht ausgeschlossen, wenn eine bereits in Verkehr gebrachte Software durch Unterlassen eines zur Wahrung der Sicherheit erforderlichen Updates fehlerhaft wird. Dies impliziert, dass das Unterlassen eines Updates zur Fehlerhaftigkeit der Software führen und die Produkthaftung auslösen kann.

Eine weitere wesentliche Neuerung betrifft die Einbeziehung von Nutzern in die Produkthaftung: Traditionell haftet nur der Hersteller für Schäden des Produkts. Nach Art. 7 Abs. 4 gilt der Nutzer, der Änderungen an einem Produkt vornimmt, nunmehr selbst als Hersteller und kann damit eine Produkthaftung auslösen.

Die wohl wichtigsten Änderungen bringt der Richtlinienvorschlag jedoch in Bezug auf die Beweisführung: Nach Art. 8 der neuen Produkthaftungsrichtlinie soll ein Geschädigter Beweismittel vom Hersteller verlangen können, um Fehler nachzuweisen. Besonders wichtig für KI-Systeme dürfte die Regelung der Beweislast in Art. 9 sein, nach dessen Abs. 2 in bestimmten Fällen eine Beweislastumkehr für einen Produktfehler gelten soll. Das bedeutet, dass nicht mehr der Geschädigte als Anspruchssteller beweisen muss, dass ein Produkt fehlerhaft ist, sondern der Hersteller beweisen muss, dass kein Fehler vorlag, der den Schaden verursacht hat. Eine solche Beweislastumkehr soll nach Art. 9 Abs. 2 Lit. c gelten, wenn das Produkt eine fehlerhafte Funktion zeigt, also etwa ein KI-System sich fehlerhaft verhält. Damit wird die beweisrechtliche Lücke in Bezug auf KI-Systeme geschlossen.

Fazit

Das geltende Haftungsrecht weist in Bezug auf KI-Systeme Lücken auf. Die neuen Vorschläge der EU-Kommission für eine neue Produkthaftungs- und eine KI-Haftungsrichtlinie können diese Probleme nur teilweise beseitigen. Der Entwurf einer KI-Haftungsrichtlinie enthält wichtige, aber leider nur punktuelle Beweiserleichterungen und schließt die Lücke im allgemeinen Deliktsrecht nicht. Der Vorschlag einer neuen Produkthaftungsrichtlinie enthält wichtige Änderungen, die nicht nur für KI-Systeme, sondern für Hersteller von Software allgemein wichtig sind und die Produkthaftung gegenüber dem bisherigen Recht wesentlich verschärfen werden.

Interessant ist, dass die Kommission mit den neuen Vorschlägen vor allem den Hersteller in die Haftung nehmen will. Während das EU-Parlament mit seinem Vorschlag einer Gefährdungshaftung die Betreiber von KI-Systemen, also etwa den Halter eines selbstfahrenden Autos, in die Haftung nehmen wollte, nimmt die Kommission – sicher zu Recht – mit der verschärften Produkthaftung vor allem den Hersteller in den Fokus.

Gleichwohl bleiben Lücken bestehen, die durch eine spezifische Gefährdungshaftung für besonders risikobehaftete KI-Systeme geschlossen werden sollten.

Prof. Dr. Georg Borges hält den Lehrstuhl für Bürgerliches Recht, Rechtsinformatik, deutsches und internationales Wirtschaftsrecht sowie Rechtstheorie und ist Direktor des Instituts für Rechtsinformatik an der Universität des Saarlandes sowie Distinguished Visiting Professor der University of Johannesburg.

Literatur

[1] Georg Borges, AI systems and product liability, https://doi.org/10.1145/3462757.3466099 (kostenpflichtig), in: ICAIL ’21, Proceedings of the Eighteenth International Conference on Artificial Intelligence and Law, ACM, Juli 2021, S. 32, ISBN 978-1-4503-8526-8
[2] European Commission Directorate-General for Justice and Consumers (Hrsg.), Liability for Artificial Intelligence and other emerging digital technologies, Report from the Expert Group on Liability and New Technologies – New Technologies Formation, EU Publications Office, 2019, https://data.europa.eu/doi/10.2838/573689
[3] Europäische Kommission, Bericht der Kommission an das Europäische Parlament, den Rat und den Europäischen Wirtschafts- und Sozialausschuss, Bericht über die Auswirkungen künstlicher Intelligenz, des Internets der Dinge und der Robotik in Hinblick auf Sicherheit und Haftung, COM(2020) 64 final, Februar 2020, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52020DC0064
[4] EU Parlament, Entschließung … vom 20. Oktober 2020 mit Empfehlungen an die Kommission für eine Regelung der zivilrechtlichen Haftung beim Einsatz künstlicher Intelligenz (2020/2014(INL)), in: Amtsblatt der Europäischen Union C 404, S. 107, Oktober 2021, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52020IP0276&qid=1684243952280
[5] Europäische Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union, COM(2021) 206 final, April 2021, https://eur-lex.europa.eu/legal content/DE/TXT/uri=CELEX:52021AE2482&qid=1684244070770
[6] Europäische Kommission, Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zur Anpassung der Vorschriften über außervertragliche zivilrechtliche Haftung an künstliche Intelligenz (Richtlinie über KIHaftung), COM(2022) 496 final, September 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0496&qid=1684244324237
[7] Georg Borges, Der Entwurf einer neuen Produkthaftungsrichtlinie, Der Betrieb 2022 Heft 45, S. 2650, November 2022, https://research.owlit.de/document/92a4b6cc03e9-32ef-b002-4f727e8d131e (kostenpflichtig)

Diesen Beitrag teilen: