Publication
Road to COP29: Our insights
The 28th Conference of the Parties on Climate Change (COP28) took place on November 30 - December 12 in Dubai.
Author:
Germany | Publication | mars 2024
Künstliche Intelligenz hat das Potenzial, neue disruptive Geschäftsmodelle zu schaffen, die über reine Effizienzgewinne hinausgehen. Verträge über die Entwicklung oder den Erwerb von generativer KI sind von strategischer Bedeutung für unsere Mandanten. Deshalb ist es wichtig, solche Verträge sicher zu gestalten. Wir unterstützen unsere Mandanten dabei, die richtigen wirtschaftlichen Entscheidungen zu treffen.
Im Vergleich zu herkömmlichen IT-Verträgen sind bei Verträgen über die Entwicklung oder den Erwerb generativer KI einige inhaltliche und technische Besonderheiten zu beachten. Grundsätzlich ist ein Nutzungsvertrag zum Einsatz von Künstlicher Intelligenz mit dem Aufbau eines herkömmlichen IT-Vertrages zu vergleichen, der die üblichen Vertragsbestandteile enthalten sollte wie etwa geschuldete Leistungen, Service Levels, Laufzeit und Kündigungsmöglichkeiten, Haftung, Gewährleistung, Datenschutzregelungen oder Vertraulichkeit. Wichtig ist stets ein klar definierter Leistungskatalog, der unterschiedlich ausfallen kann – je nachdem, ob eine standardisierte generative KI bezogen wird, oder ob der Anbieter auch Anpassungsleistungen (Customizing) für den Kunden durchführen soll.
Vertragstypologisch lassen sich KI-Verträge je nach ihrem Schwerpunkt einordnen. Wird generative KI vergleichbar einer Standardsoftware lizenziert und für eine begrenzte Zeit bezogen und bezahlt (wie etwa bei KIaaS), liegt eine Einordnung als Mietvertrag nahe. Hinzukommen können dienstvertragliche Elemente (etwa für Support-Leistungen) oder Werkleistungen (etwa bei Individualisierung der KI mit eigenen Trainingsdaten).
Generative KI erzeugt alle möglichen Ergebnisse (Output) und wird mit einer Vielzahl von Informationen befüllt (Input). Aus Vertragssicht stellt sich die Frage, wer Input und Output nutzen dürfen soll, wer also Lizenzen erhält. Dies ist insbesondere dann relevant, wenn der Kunde eine „maßgeschneiderte“ KI erhält, die auf seine Bedürfnisse abgestimmt ist und ggf. auch mit Trainingsdaten des Kunden trainiert wird: Dann sind die Ergebnisse für den Kunden voraussichtlich werthaltiger als bei einer Standardanwendung, die jeder benutzen kann. Gleichzeitig wird ein Anbieter von generativer KI immer ein Interesse daran haben den Umfang an verfügbaren Trainingsdaten zu vergrößern um diese weiterentwickeln und zu verbessern.
Für einen umfassenden und interessengerechten Schutz an den Ergebnissen sollten in den Verträgen über die Lizenzierung von generativen KI-Lösungen schuldrechtliche Regelungen zu den Rechten an den durch die KI erzeugten Ergebnissen getroffen werden. Dies gilt umso mehr, als die erzeugten Ergebnisse in vielen Fällen nicht geistiges Eigentum darstellen, etwa mangels Schöpfungshöhe nicht urheberrechtlich geschützt sind. Anders kann es einmal sein, wenn eine natürliche Person mittels KI bereits ein bestimmtes Werk vor Augen hatte, das auch Schöpfungshöhe besitzt.
Problematisch ist mangels Schutz als geistiges Eigentum der Schutz gegen Verletzungen der Rechte an den Ergebnissen der generativen KI durch Dritte. Sofern die Ergebnisse der generativen KI Betriebs- oder Geschäftsgeheimnisse darstellen, kann ggf. aus dem Geschäftsgeheimnisgesetz vorgegangen werden.
Erlaubt der Kunde dem Anbieter der generativen KI die Einbindung eigener Daten als Trainingsdaten, sollte auch hierfür eine Lizenz vertraglich geregelt werden. Darf der Anbieter die Trainingsergebnisse auch für eigene Zwecke nutzen (etwa zur Verbesserung der KI für Dritte), ist die Frage, ob sich dies kommerziell auf die Gebühren für die Nutzung der KI auswirken sollte.
Generative KI entwickelt sich technisch rasant weiter, so dass die Möglichkeiten der Systeme in der Zukunft stark zunehmen werden. Vertraglich besteht etwa die Herausforderung, wie der Kunde von Verbesserungen der KI profitieren kann. Hier bieten sich etwa Änderungsklauseln an, wonach der Anbieter dem Kunden Verbesserungen der KI regelmäßig mitteilen muss.
Bei der Vertragsgestaltung zu bedenken sind die Gewährleistungsrechte des Kunden. Der Kunde wird bei generativer KI in vielen Fällen nicht in den Entwicklungsprozess der KI eingebunden worden sein – er wird die Datenbasis nicht kennen, das Set an Trainings- oder Testdaten. Die KI ist daher für den Kunden eine „Black Box“, er sieht lediglich die Benutzeroberfläche, die „Produktivdaten“, die er eingibt, und die Ergebnisse. Ist dies der Fall, muss der Kunde fast schon notwendigerweise auf die Leistungen des Anbieters vertrauen – und für den Fall der Verletzung bestimmte Gewährleistungsrechte vereinbaren. Dies gilt umso mehr vor dem Hintergrund, dass die zugrundeliegenden Vertragsverhältnisse häufig Mietverträge darstellen sollten, deren Gewährleistungsregelungen nicht unbedingt auf diese Besonderheiten der Nutzung von generativer KI zugeschnitten sind.
Zu denken sind an Gewährleistungen für die Qualität, Richtigkeit und Vollständigkeit der verwendeten Daten (insbesondere Trainingsdaten), deren Nachvollziehbarkeit, Relevanz und Diskriminierungsfreiheit. Möglich ist auch eine Aufnahme solcher Anforderungen bereits in die Leistungsbeschreibung des Vertrags, um diese zum Gegenstand einer Hauptleistungspflicht zu machen.
Daneben ist das Thema Haftung eines der zentralen für die Nutzung generativer KI. Dies immer dann, wenn es um mögliche Schäden geht, die etwa wegen unrichtiger Ergebnisse der generativen KI entstehen können. Die Frage, inwieweit KI-Anbieter hierdurch ihre Pflichten verletzen, und ob ein hinreichender Kausalzusammenhang zwischen ihren Handlungen (etwa ihrer Programmierung) und den Ergebnissen der KI besteht, ist eines der rechtlich schwierigsten Themen. Die Europäische Union hat eine KI-Haftungsrichtlinie auf den Weg gebracht, die bestimmte Beweiserleichterungen und Kausalitätsvermutungen zugunsten des Anwenders der KI vorsieht. Kunden sind gut beraten, wenn sie auf ausreichende Haftungsklauseln in Verträgen mit Anbietern hinwirken, wenn es um Schäden geht, die durch generative KI ausgelöst werden – dies gilt insbesondere dann, wenn die Ergebnisse der generativen KI geeignet sind, erhebliche Schäden auszulösen, und wenn der Anbieter Verkehrssicherungspflichten missachtet hat. Denkbar ist es auch, Regelungen entsprechend der KI-Haftungsrichtlinie im Vertrag zu verorten, etwa zur Beweiserleichterung.
Vertraglich sind auch die Themen Datenschutz und Geheimnisschutz zu adressieren. Datenschutzrechtlich ist Ausgangsfrage, ob die generative KI überhaupt personenbezogene Daten erhalten soll – dies ist bei KI keine ganz marginale Frage, wenn man sich die zunehmenden Erkenntnisquellen und Rechenleistung der involvierten Systeme ansieht, die sich aus einer enormen Datenmenge bedienen können. Findet Datenschutzrecht Anwendung, ist zu überlegen, ob der Anbieter als Auftragsverarbeiter des Kunden auftritt und dessen personenbezogenen Daten strikt weisungsabhängig verarbeitet. Bei Synergieeffekten zwischen den Parteien wegen Datennutzung des Anbieters für eigene Zwecke kommt eine gemeinsame Verantwortlichkeit in Betracht.
Datenschutzrechtlich sind eine Reihe potenzieller Pflichten relevant, etwa das Gebot der Datenminimierung, der Information über Datenschutzverletzungen oder das Vorhalten einer Datenschutz-Folgeabschätzung.
Beim Thema Geheimnisschutz stellt sich insbesondere das Problem, dass es bei Verwendung von Kundendaten als Trainingsdaten dazu kommen kann, dass Geschäftsgeheimnisse oder andere vertrauliche Informationen in diesen Daten enthalten sind. In diesem Fall sollten angemessene vertragliche Maßnahmen ergriffen werden, um zu verhindern, dass Dritte die Möglichkeit erlangen auf diese Daten zuzugreifen oder aus den Ergebnissen Rückschlüsse auf diese Daten treffen zu können.
Die Gesetzeslage zu Künstlicher Intelligenz entwickelt sich sehr dynamisch, so dass bei langfristigen Projekte Vertragsanpassungen erforderlich werden können, die bereits jetzt durch Öffnungsklauseln gesichert werden können. Aus Mandantensicht ist es zudem zu empfehlen, allgemeinen Garantien über die Einhaltung der einschlägigen Gesetzesvorschriften (u.U. mit Nennung dieser Vorschriften) in den Vertrag aufzunehmen.
Mit dem KI-Gesetz schafft der EU-Gesetzgeber einen grundlegenden Regelungsrahmen für den Betrieb von KI-Systemen in verschiedenen Wirtschaftssektoren und unterschiedlichen Nutzungsbedingungen. Zur Anwendung kommen werden die meisten Regelungen zwei Jahre nach dem Inkrafttreten, während Verbote bereits nach sechs Monaten und die Regelungen zu Transparenz und Governance nach zwölf Monaten Anwendung finden sollen.
Direkte Auswirkungen auf den Inhalt von Verträgen hat das KI-Gesetz nach derzeitigem Stand nur wenig. So sahen frühere Entwürfe des KI-Gesetzes eine Inhaltskontrolle (ähnlich dem deutschen AGB-Recht) von Verträgen vor (vgl. Art. 28a der Fassung aus dem Januar 2024). Außerdem wurde dem Anbieter eines hochriskanten KI-Systems ermöglicht, den Betreiber vertraglich („on the basis of a contract“, siehe Art. 10) für Verletzungen der für Trainingsdaten geltenden Pflichten nur haftbar machen, wenn der Anbieter keinen Zugang zu den Trainingsdaten hatte. Allerdings wurden diese Regelungen nicht in die finale Fassung des KI-Gesetzes übernommen.
Damit müssen die Parteien im Rahmen der allgemeinen vertragsrechtlichen Vorschriften und Grenzen interessengerechte Lösungen zur Erfüllung der Pflichten aus dem KI-Gesetz treffen. Aus Kundensicht kann man sich vertragliche Regelungen vorstellen, wonach der Anbieter eines KI-Systems dem Kunden auch Gewährleistung für die Einhaltung der jeweils anwendbaren Vorschriften des KI-Gesetzes bietet.
Publication
The 28th Conference of the Parties on Climate Change (COP28) took place on November 30 - December 12 in Dubai.
Subscribe and stay up to date with the latest legal news, information and events . . .
© Norton Rose Fulbright LLP 2023