KI und Haftung · KI-Versicherungen · Verbotene Praktiken laut KI-Verordnung
prompt/ Banner vom iRights.Lab, lizenziert unter CC BY 4.0
Der Newsletter prompt/
Die Meldungen haben wir freundlicher Genehmigung übernommen aus der aktuellen Ausgabe von prompt/. Der monatliche Newsletter mit Berichten, Tipps und Debatten zu rechtlichen Fragen rund um generative KI erscheint im Rahmen eines Projektes des iRights.Lab, das Rechtsfragen zu generativer KI untersucht. Hier können Sie prompt/ kostenlos abonnieren.
Weitere Auskopplungen des Newsletters auf iRights.info sind hier erschienen.
KI-Systeme und Haftung. Wie ist die Lage, was macht die EU?
Haftungsfragen rund um den Einsatz von KI sind komplex. Theoretisch ist es möglich, nach den so genannten allgemeinen Haftungsgrundsätzen des Rechts zu ermitteln, wer in einem solchen Fall zur Verantwortung gezogen werden könnte – und wer nicht. Speziell auf KI bezogene Regelungen gibt es bisher allerdings nicht. Klar ist nur: Ein KI-Programm selbst kann nicht haftbar gemacht werden. Welche Gesetze greifen also? Zum einen das Bürgerliche Gesetzbuch (BGB): Es regelt zum Beispiel die vertragliche Haftung (die KI macht nicht, was vertraglich vereinbart ist) und die deliktische Haftung (ein Schaden entsteht zum Beispiel durch eine vernachlässigte Sorgfaltspflicht oder unzureichende Sicherheitsvorkehrungen). Zum anderen das deutsche Produkthaftungsgesetz (ProdHaftG): Hier ist umstritten, ob und unter welchen Bedingungen KI-Anwendungen als „Produkt“ eingestuft werden können. Die EU Kommission hatte jüngst eine lange geplante KI-Haftungsrichtlinie zurückgezogen. Sie sollte Haftungsfragen mit Blick auf KI-Systeme regeln, die laut KI-Verordnung als Hochrisiko-Systeme eingestuft werden. Außerdem sollte es für Geschädigte leichter werden, Schadensersatzansprüche durchzusetzen. Stattdessen wurde nun die sogenannte Produkthaftungsrichtlinie überarbeitet. Software – und damit auch KI-Anwendungen – wird darin künftig eindeutig als Produkt eingestuft. Haftungsfragen sollen so leichter geklärt werden können.
Versicherungen – bisher nur für KI-Unternehmen
Wenn KI-gestützte Werkzeuge nicht das leisten, was die Hersteller*innen ihren Kund*innen vertraglich zusichern, kann das für beide Seiten negative Folgen haben. Das ruft Versicherungsunternehmen auf den Plan, die den Unternehmen hierfür neue Produkte anbieten, etwa um Leistungsgarantien geben zu können. Die Munich Re, die Swiss RE in Kooperation mit dem kanadischen Start-up Armilla und das kalifornische Unternehmen Vouch positionieren sich mit recht ähnlichen Versicherungsprodukten auf dem Feld KI. Sie bieten mehrheitlich Risikoanalysen und Leistungsgarantien für KI-Hersteller und KI-Betreiber, also Dienstleistungen im Sinne von Qualitätssicherung. Sie wollen damit die KI-Unternehmen davor bewahren, dass ihre KI-Produkte Schäden verursachen, für die sie womöglich haften müssen. Ob es künftig von Versicherungsunternehmen auch Policen gibt, die derartige Produkthaftungsfälle kompensieren sollen, bleibt abzuwarten – scheint aber wahrscheinlich. Denn es ist damit zu rechnen, dass die Fälle zunehmen, in denen Menschen, Firmen oder Organisationen durch KI-Fehler, Bias oder KI-vermittelte Diskriminierung geschädigt werden und die KI-Firmen dafür eine Lösung brauchen.
Die KI-Verordnung der EU verbietet bestimmte KI-Systeme. Was seit Februar gilt – und für wen:
Seit dem 2. Februar 2025 sind KI-Unternehmen in den EU-Mitgliedstaaten verpflichtet, verbotene Praktiken nach Artikel 5 der KI-Verordnung einzustellen. Gemeint sind Praktiken, die als unannehmbares Risiko für die Sicherheit, die Gesundheit und die Grundrechte von Personen gelten. Darin sind insgesamt acht unterschiedliche Kriterien formuliert, anhand derer die KI-Systeme auf ein etwaiges Verbot hin geprüft und bewertet werden (genaueres zu diesen Kriterien in der prompt/-April-Ausgabe). Sofern ein Unternehmen ein Verbot nach Artikel 5 der KI-Verordnung missachtet, werden Geldbußen von bis zu 35 Millionen Euro oder von bis zu sieben Prozent des gesamten weltweiten Jahresumsatzes (des vorangegangenen Geschäftsjahres) verhängt, je nachdem, welcher Betrag höher ist. Handelt es sich um EU-Organe, Einrichtungen oder sonstige Stellen der Union, beträgt eine solche Geldbuße bis zu 1,5 Millionen Euro. Die EU-Mitgliedsstaaten müssen bis spätestens August 2025 benennen, welche Behörde die Umsetzung der Verbote im Land überwachen soll. In Deutschland wird diese Aufgabe voraussichtlich die Bundesnetzagentur übernehmen.
Was sagen Sie dazu?