KI-Dienste: Haftung, Verträge, Datenschutz und Co.

Künstliche Intelligenz (KI) spielt eine zentrale Rolle bei der digitalen Transformation von Unternehmen und Organisationen. Die Anwendungsmöglichkeiten von KI sind vielfältig und reichen von der automatisierten Spracherkennung über die Analyse grosser Datenmengen bis hin zu selbst lernenden Algorithmen.

Der Innovationsstandort Schweiz bietet hervorragende Voraussetzungen für die Weiterentwicklung von KI-Technologien. Dennoch ist der Einsatz von KI-Diensten in Unternehmen bislang noch begrenzt, was unter anderem auf rechtliche Unsicherheiten zurückzuführen sein dürfte. Dieser Artikel beleuchtet die wichtigsten rechtlichen Aspekte bei der Nutzung von Artificial Intelligence as a Service (AIaaS).

Gibt es spezielle Anforderungen an KI-Verträge?

Die Struktur von Verträgen für den Einsatz von KI-Diensten entspricht im Wesentlichen der von herkömmlichen IT-Verträgen. Diese beinhalten klar beschriebene Leistungen, Rechte und Pflichten sowie Service Level Agreements. Der Schwerpunkt von KI-Verträgen liegt häufig auf der entgeltlichen Gebrauchsüberlassung von Software, weshalb regelmässig das Mietrecht zur Anwendung kommt. Eine besondere Herausforderung besteht darin, dass der Anbieter die ständige Verfügbarkeit der KI-Dienste gewährleisten muss. Ein Ausfall könnte zu Schadensersatzansprüchen führen, was die Notwendigkeit einer präzisen vertraglichen Regelung unterstreicht.

Sowohl die Anbieter von Cloud-basierten Systemen als auch die Nutzer des Dienstes sind gut beraten, sich auf klare Rahmenbedingungen und Prozesse zu verständigen. Die rechtliche Grundlage für die Bereitstellung eines solchen Dienstes bildet der Nutzungsvertrag.

a)    Wer haftet bei Fehlern oder Ausfällen der KI?

Die Haftung bei der Nutzung von KI-Diensten ist ein zentrales rechtliches Thema. Wenn der KI-Dienst nicht wie erwartet funktioniert oder ausfällt, kann dies weitreichende Folgen für das Unternehmen haben, das sich auf die KI verlässt. In der Regel haftet der Anbieter der KI, wenn nachgewiesen werden kann, dass der Ausfall auf einen Mangel oder eine unzureichende Leistung zurückzuführen ist. Um Haftungslücken zu vermeiden, sollten die vertraglichen Haftungsregelungen verständlich und präzise formuliert sein.

b)    Wie ist der Umgang mit Lizenz- und Urheberrechten bei KI geregelt?

Die Nutzung von KI-Diensten wirft auch Fragen zu Lizenz- und Urheberrechten auf. Es muss klar definiert werden, wem die Rechte an den Ergebnissen oder Modellen der KI zustehen. Daher ist vertraglich genau festzulegen, welche Rechte der Nutzer erhält und welche Rechte beim Anbieter bzw. bei einer dritten Partei verbleiben. Insbesondere die Rechte an den von der KI erzeugten Ergebnissen sollte vertraglich geregelt werden, um Missverständnisse zu vermeiden.

Zusätzlich sollten die Verträge Lizenz- und Nutzungsrechte detailliert regeln und definieren, welche Art von Nutzung erlaubt ist, z.B. nur interne Nutzung oder auch kommerzielle Weitergabe. Folgende Nutzungsrechte sollten entsprechend geregelt werden:

§  Exklusivität: Festlegung, ob der Nutzer exklusive Rechte an der Nutzung der KI erhält oder ob der Anbieter die Technologie auch anderen Kunden zur Verfügung stellen darf.

§  Zeitliche Beschränkung: Bestimmung der Dauer, für welche die Lizenz gültig ist, sowie etwaige Verlängerungsoptionen.

§  Räumliche Beschränkung: Festlegung, in welchen geografischen Regionen die KI genutzt werden darf.

§  Inhaltliche Beschränkung: Inhaltlich kann das Nutzungsrecht auf bestimmte Nutzungsarten beschränkt werden. So kann z.B. die Verbreitung erlaubt, die Weiterentwicklung oder Vervielfältigung aber verboten werden.

c)    Wie wird der Schutz von Information und Geschäftsgeheimnissen sichergestellt?

Bei der Bearbeitung geschäftskritischer Daten eines Unternehmers in der Cloud des Anbieters sind die entsprechenden Regelungen im Vertrag zu berücksichtigen. Der Anbieter ist verpflichtet, Geschäftsgeheimnisse und Daten des Auftraggebers auf vertraglicher und gesetzlicher Basis (z.B. Art. 162 StGB, Art. 273 StGB, Art. 6 UWG) zu schützen.

Um den Schutz von Informationen zu gewährleisten, muss der Anbieter die Vertraulichkeit, Integrität und Verfügbarkeit zu jedem Zeitpunkt wahren. Die aktuelle Bedrohungslage spielt dabei eine wichtige Rolle. Vor diesem Hintergrund ist zu vereinbaren, dass technische und organisatorische Massnahmen zum Schutz der Unternehmensinformationen definiert und vom Anbieter umgesetzt werden. Dazu können zum Beispiel Berechtigungskonzepte, ein funktionierendes Incident- oder Business Continuity Management oder die Sensibilisierung der Mitarbeitenden zählen.

d)    Welche datenschutzrechtlichen Anforderungen müssen beachtet werden?

Der Datenschutz ist ein zentrales Thema bei KI-Diensten, insbesondere wenn Personendaten bearbeitet werden. Hier greifen die Normen der einschlägigen Datenschutzgesetze wie das Bundesgesetz über den Datenschutz (DSG) in der Schweiz oder die EU-DSGVO. Der Anbieter muss sicherstellen, dass die Datenbearbeitung rechtskonform erfolgt, was insbesondere bei der Abgrenzung zwischen Auftragsbearbeitung und (gemeinsamer) Verantwortlichkeit relevant wird. Die Vertragspartner müssen klar festlegen, wer für welche Datenbearbeitungsprozesse verantwortlich ist, um rechtliche Unsicherheiten zu vermeiden.

e)    Löst die KI-Verordnung Umsetzungs- oder Anpassungsbedarf auf vertraglicher Ebene aus?

Die KI-Verordnung (KI-VO oder EU AI Act) der Europäischen Union könnte erheblichen Anpassungsbedarf auf vertraglicher Ebene mit sich bringen. Diese Verordnung zielt darauf ab, die Entwicklung und Nutzung von KI innerhalb der EU zu regulieren und stellt hohe Anforderungen an Transparenz, Fairness und Sicherheit. Unternehmen, die KI-Dienstleistungen anbieten oder nutzen, sollten prüfen, ob ihre Verträge den neuen Vorgaben entsprechen, um rechtskonform zu bleiben.

Auf die Regelungen des EU AI Act sollten Unternehmen sich vorbereiten – ganz speziell dann, wenn sie Verträge mit Anbietern von KI-Diensten abschliessen, deren Services und Produkte möglicherweise davon erfasst sein werden. Auch hier besteht die Möglichkeit, bereits heute Regelungen im Vertrag zu treffen. Dabei ist sicherzustellen, dass der Anbieter dazu verpflichtet wird, die erforderlichen rechtlichen Vorgaben einzuhalten, die mit der neuen KI-VO auf ihn zukommen. Auch wenn ein Unternehmen nicht für die Einhaltung von Compliance-Anforderungen des Anbieters verantwortlich ist, so könnte eine Verletzung des EU AI Acts, soweit anwendbar, dennoch Auswirkungen auf den Anbieter und die Verfügbarkeit des Services oder Produkts haben. Für Unternehmen, auf welche der AI-Act zwar keine unmittelbare Anwendung findet, wäre dies ein erheblicher Nachteil, beispielsweise wenn die Verfügbarkeit von unternehmensrelevanten KI-Diensten nicht sichergestellt wird. Unternehmen, die KI-Dienste anbieten, können selbst in den Anwendungsbereich des AI Act fallen. In diesem Fall sind sie zur Einhaltung bestimmter Pflichten verpflichtet. Dabei können sie auf die Unterstützung des Anbieters angewiesen sein. Dies gilt insbesondere, wenn sich herausstellt, dass das Unternehmen als "Anbieter" oder "Betreiber" im Sinne des AI Act gilt. Bei der Gestaltung ihrer Verträge sollten Unternehmen diesen Aspekt berücksichtigen, die Entwicklungen der KI-VO verfolgen und bei Bedarf Expertenrat einholen.

Checkliste - Was ist zu prüfen, bevor ein KI-Dienst eingesetzt wird

Vor dem Einsatz von KI-Diensten sollten folgende Fragen geklärt werden:

§  Vertragliche oder gesetzliche Geheimhaltungspflichten: Gibt es spezielle Anforderungen zum Schutz vertraulicher Informationen?

§  Datenschutzrechtliche Anforderungen: Werden Personendaten bearbeitet und sind datenschutzrechtliche Anforderungen einzuhalten?

§  Rechte von Dritten: Sind Urheberrechte, Markenrechte oder andere Rechte Dritter zu beachten?

§  Branchenspezifische Anforderungen: Gibt es weitere vertragliche, regulatorische oder wettbewerbsrechtliche Vorgaben?

Ist ein KI-Dienst die geeignete Lösung für das Unternehmen, sollten mindestens folgende Punkte vertraglich geregelt werden:

§  Ziel und Zweck der KI-Lösung: Eine genaue Bezeichnung des Vertragsgegenstands und genaue Beschreibung des Leistungsumfangs.

§  Dauer und Umfang der Nutzungsberechtigung: Festlegung der inhaltlichen, zeitlichen und örtlichen Geltung.

§  Schutzrechte: Urheber-, Nutzungs-, Verwertungsrechte und ggf. weitere Schutzrechte festlegen und definieren.

§  Modalität des Lizenzmodells und der Vergütung: Klärung der Lizenzart, der Weiterentwicklung und der damit verbundenen Kosten.

§  Pflichten des Anbieters: Präzise Definition der Verpflichtungen des Anbieters (z.B. Informations- und Mitwirkungspflichten).

§  Gewährleistung und Haftung: Klärung der Haftungsregelungen und Gewährleistungsansprüche.

§  Folgen bei der Vertragsbeendigung: Regelungen zur Beendigung des Vertrags und den Konsequenzen.

Fazit

KI-Dienste bieten Unternehmen enorme Vorteile und werden in der digitalen Transformation eine immer wichtigere Rolle spielen. Allerdings können rechtliche Unsicherheiten, insbesondere in den Bereichen Vertragsrecht, Haftung, Datenschutz und Urheberrecht, den Einsatz von KI-Diensten hemmen. Entscheidend ist eine sorgfältige Vertragsgestaltung, die klare Regelungen zu Ziel- und Leistungsbeschreibungen, Lizenzrechten und Gewährleistungsansprüchen enthält. Unternehmen sollten die rechtlichen Rahmenbedingungen gründlich prüfen und gegebenenfalls Rechtsberatung in Anspruch nehmen, um Risiken zu minimieren und die Vorteile von KI-Technologien voll auszuschöpfen. Die bevorstehende KI-Verordnung der EU verdeutlicht, wie dynamisch und komplex das rechtliche Umfeld für KI-Dienstleistungen ist und könnte zusätzlichen Anpassungsbedarf auf vertraglicher Ebene mit sich bringen.

Unsere Experten stehen Dir bei der Prüfung und Bewertung gerne zur Verfügung. Hier gelangst Du zu unserem IT-Vertragsteam.

Die Anfragen von Kunden und Betroffenen zu ihren Datenschutzrechten haben erheblich zugenommen. Viele verlangen Auskunft über gespeicherte Daten oder deren Löschung. Dies ist Ausdruck eines gestiegenen Datenschutzbewusstseins. Allerdings sind nicht alle Löschungsbegehren immer rechtlich durchsetzbar. Überwiegende Interessen oder gesetzliche Pflichten können einem Löschanspruch entgegenstehen.

Beispiel: Ein Kunde verlangte die Löschung seiner Personendaten, da er mit den Leistungen unzufrieden war. Aufgrund der gesetzlichen Buchführungs- und Aufbewahrungspflicht dürfen Rechnungen jedoch erst zehn Jahre nach Vertragsabschluss gelöscht werden (Art. 958f OR). Alle anderen Bearbeitungen, wie die Deaktivierung des Kunden im Kundenmanagementsystem, die Einstellung von Werbung wie Newsletter und die Löschung aller Marketinginformationen über seine Interessen, müssen sofort eingestellt werden.

Hier gelangst Du zu unserem Datenschutzteam.

Datenschutz

1 Jahr neues Datenschutzgesetz

Datenschutz

Google Consent – Kommt die Pflicht zum Cookie-Banner?

Arbeitsrecht

Homeoffice IV

Baurecht

Virtuelle ZEV und lokale Elektrizitätsgemeinschaften (LEG)

Fachbeiträge

Die Anti-Dilution-Klausel

Baurecht

Mantelerlass sichere Stromversorgung – die wichtigsten Änderungen

optional
optional
optional