Generative AI: KI-Verträge rechtssicher gestalten

Gibt es spezielle Verträge für die KI?

Im Vergleich zu herkömmlichen IT-Verträgen sind bei Verträgen über die Entwicklung oder den Erwerb generativer KI einige inhaltliche und technische Besonderheiten zu beachten. Grundsätzlich ist ein Nutzungsvertrag zum Einsatz von Künstlicher Intelligenz mit dem Aufbau eines herkömmlichen IT-Vertrages zu vergleichen, der die üblichen Vertragsbestandteile enthalten sollte wie etwa geschuldete Leistungen, Service Levels, Laufzeit und Kündigungsmöglichkeiten, Haftung, Gewährleistung, Datenschutzregelungen oder Vertraulichkeit. Wichtig ist stets ein klar definierter Leistungskatalog, der unterschiedlich ausfallen kann – je nachdem, ob eine standardisierte generative KI bezogen wird, oder ob der Anbieter auch Anpassungsleistungen (Customizing) für den Kunden durchführen soll.

Vertragstypologisch lassen sich KI-Verträge je nach ihrem Schwerpunkt einordnen. Wird generative KI vergleichbar einer Standardsoftware lizenziert und für eine begrenzte Zeit bezogen und bezahlt (wie etwa bei KIaaS), liegt eine Einordnung als Mietvertrag nahe. Hinzukommen können dienstvertragliche Elemente (etwa für Support-Leistungen) oder Werkleistungen (etwa bei Individualisierung der KI mit eigenen Trainingsdaten).

Generative KI: Problemfeld Lizenzen

Generative KI erzeugt alle möglichen Ergebnisse (Output) und wird mit einer  Vielzahl von Informationen befüllt (Input). Aus Vertragssicht stellt sich die Frage, wer Input und Output nutzen dürfen soll, wer also Lizenzen erhält. Dies ist insbesondere dann relevant, wenn der Kunde eine „maßgeschneiderte“ KI erhält, die auf seine Bedürfnisse abgestimmt ist und ggf. auch mit Trainingsdaten des Kunden trainiert wird: Dann sind die Ergebnisse für den Kunden voraussichtlich werthaltiger als bei einer Standardanwendung, die jeder benutzen kann.

Für einen umfassenden und interessengerechten Schutz an den Ergebnissen sollten in den Verträgen über die Lizenzierung von generativen KI-Lösungen schuldrechtliche Regelungen zu den Rechten an den durch die KI erzeugten Ergebnissen getroffen werden. Dies gilt umso mehr, als die erzeugten Ergebnisse in vielen Fällen nicht geistiges Eigentum darstellen, etwa mangels Schöpfungshöhe nicht urheberrechtlich geschützt sind. Anders kann es einmal sein, wenn eine natürliche Person mittels KI bereits ein bestimmtes Werk vor Augen hatte, das auch Schöpfungshöhe besitzt.

Problematisch ist mangels Schutz als geistiges Eigentum der Schutz gegen Verletzungen der Rechte an den Ergebnissen der generativen KI durch Dritte. Sofern die Ergebnisse der generativen KI Betriebs- oder Geschäftsgeheimnisse darstellen, kann ggf. aus dem Geschäftsgeheimnisgesetz vorgegangen werden.

Erlaubt der Kunde dem Anbieter der generativen KI die Einbindung eigener Daten als Trainingsdaten, sollte auch hierfür eine Lizenz vertraglich geregelt werden. Darf der Anbieter die Trainingsergebnisse auch für eigene Zwecke nutzen (etwa zur Verbesserung der KI für Dritte), ist die Frage, ob sich dies kommerziell auf die Gebühren für die Nutzung der KI auswirken sollte.

Generative KI: Problemfeld Weiterentwicklung

Generative KI entwickelt sich technisch rasant weiter, so dass die Möglichkeiten der Systeme in der Zukunft stark zunehmen werden. Vertraglich besteht etwa die Herausforderung, wie der Kunde von Verbesserungen der KI profitieren kann. Hier bieten sich etwa Änderungsklauseln an, wonach der Anbieter dem Kunden Verbesserungen der KI regelmäßig mitteilen muss.

Generative KI: Problemfeld Gewährleistung und Haftung

Bei der Vertragsgestaltung zu bedenken sind die Gewährleistungsrechte des Kunden. Der Kunde wird bei generativer KI in vielen Fällen nicht in den Entwicklungsprozess der KI eingebunden worden sein – er wird die Datenbasis nicht kennen, das Set an Trainings- oder Testdaten. Die KI ist daher für den Kunden eine „Black Box“, er sieht lediglich die Benutzeroberfläche, die „Produktivdaten“, die er eingibt, und die Ergebnisse. Ist dies der Fall, muss der Kunde fast schon notwendigerweise auf die Leistungen des Anbieters vertrauen – und für den Fall der Verletzung bestimmte Gewährleistungsrechte vereinbaren.

Zu denken sind an Gewährleistungen für die Qualität, Richtigkeit und Vollständigkeit der verwendeten Daten (insbesondere Trainingsdaten), deren Nachvollziehbarkeit, Relevanz und Diskriminierungsfreiheit.

Daneben ist das Thema Haftung eines der zentralen für die Nutzung generativer KI. Dies immer dann, wenn es um mögliche Schäden geht, die etwa wegen unrichtiger Ergebnisse der generativen KI entstehen können. Die Frage, inwieweit KI-Anbieter hierdurch ihre Pflichten verletzen, und ob ein hinreichender Kausalzusammenhang zwischen ihren Handlungen (etwa ihrer Programmierung) und den Ergebnissen der KI besteht, ist eines der rechtlich schwierigsten Themen. Die Europäische Union hat eine KI-Haftungsrichtlinie auf den Weg gebracht, die bestimmte Beweiserleichterungen und Kausalitätsvermutungen zugunsten des Anwenders der KI vorsieht. Kunden sind gut beraten, wenn sie auf ausreichende Haftungsklauseln in Verträgen mit Anbietern hinwirken, wenn es um Schäden geht, die durch generative KI ausgelöst werden – dies gilt insbesondere dann, wenn die Ergebnisse der generativen KI geeignet sind, erhebliche Schäden auszulösen, und wenn der Anbieter Verkehrssicherungspflichten missachtet hat.

Generative KI: Problemfeld Daten- und Geheimnisschutz

Vertraglich sind auch die Themen Datenschutz und Geheimnisschutz zu adressieren. Datenschutzrechtlich ist Ausgangsfrage, ob die generative KI überhaupt personenbezogene Daten erhalten soll – dies ist bei KI keine ganz marginale Frage, wenn man sich die zunehmenden Erkenntnisquellen und Rechenleistung der involvierten Systeme ansieht, die sich aus einer enormen Datenmenge bedienen können. Findet Datenschutzrecht Anwendung, ist zu überlegen, ob der Anbieter als Auftragsverarbeiter des Kunden auftritt und dessen personenbezogenen Daten strikt weisungsabhängig verarbeitet. Bei Synergieeffekten zwischen den Parteien wegen Datennutzung des Anbieters für eigene Zwecke kommt eine gemeinsame Verantwortlichkeit in Betracht.

Datenschutzrechtlich sind eine Reihe potenzieller Pflichten relevant, etwa das Gebot der Datenminimierung, der Information über Datenschutzverletzungen oder das Vorhalten einer Datenschutz-Folgeabschätzung.

Öffnungsklauseln

Die Gesetzeslage zu Künstlicher Intelligenz entwickelt sich sehr dynamisch, so dass bei langfristigen Projekte Vertragsanpassungen erforderlich werden können, die bereits jetzt durch Öffnungsklauseln gesichert werden können. Aus Mandantensicht ist es zudem zu empfehlen, allgemeinen Garantien über die Einhaltung der einschlägigen Gesetzesvorschriften (u.U. mit Nennung dieser Vorschriften) in den Vertrag aufzunehmen.

Zukünftiger Rahmen: Das KI-Gesetz

Mit dem KI-Gesetz schafft der EU-Gesetzgeber einen grundlegenden Regelungsrahmen für den Betrieb von KI-Systemen in verschiedenen Wirtschaftssektoren und unterschiedlichen Nutzungsbedingungen. Zur Anwendung kommen werden die meisten Regelungen zwei Jahre nach dem Inkrafttreten, während Verbote bereits nach sechs Monaten und die Regelungen zu Transparenz und Governance nach zwölf Monaten Anwendung finden sollen.

Direkte Auswirkungen auf den Inhalt von Verträgen hat das KI-Gesetz nach derzeitigem Stand nur wenig. So sieht etwa der derzeitige Artikel 28a des KI-Gesetzes eine Inhaltskontrolle (ähnlich dem deutschen AGB-Recht) von Verträgen vor, die zwischen dem Anbieter eines hochriskanten KI-Systems und einem kleinen oder mittleren Unternehmen oder Start-up abgeschlossen werden. Nach Artikel 10 Abs. 6a des KI-Gesetzes darf der Anbieter eines hochriskanten KI-Systems den Betreiber vertraglich („on the basis of a contract“) für Verletzungen der für Trainingsdaten geltenden Pflichten nur haftbar machen, wenn der Anbieter keinen Zugang zu den Trainingsdaten hat, weil diese sämtlich vom Betreiber gehalten werden.

Zu beachten ist allerdings, dass nicht alle generativen KI-Systeme als „hochriskant“ im Sinne des KI-Gesetzes gelten. Das KI-Gesetz differenziert bei seinen Pflichtenkatalogen stets danach, ob es sich um ein KI-Modell handelt (also gewissermaßen den bloßen Algorithmus ohne softwaretypische Funktionen) oder ein KI-System, und in welche Risikokategorie ein KI-System fällt. Sog. „General Purpose AI Models“ unterfallen einem eigenen Pflichtenkatalog, genauso wie generative KI-Systeme. Hier ist also stets genau zu prüfen, wie die KI-Anwendung einzuordnen ist. Grundsätzlich kann man sich aus Kundensicht vertragliche Regelungen vorstellen, wonach der Anbieter eines KI-Systems dem Kunden auch Gewährleistung für die Einhaltung der jeweils anwendbaren Vorschriften des KI-Gesetzes bietet.