Haftung für Schäden durch Künstliche Intelligenz: Der Richtlinienvorschlag der EU-Kommission
Am 28.09.2022 veröffentlichte die Europäische Kommission ihren Vorschlag zur Vereinheitlichung der Haftungsvorschriften für Schäden durch den Umgang mit Künstlicher Intelligenz („KI“), („KI-Haftungs-RL“, (2022/0303(COD))). Dabei handelt es sich um die Regelung der außervertraglichen zivilrechtlichen Haftung beim Einsatz von KI, um Geschädigten europaweit den Erhalt einer Entschädigung zu erleichtern.
Wesentlicher Regelungsinhalt
Der Vorschlag zur KI-Haftungs-RL folgt auf die Veröffentlichung des Verordnungsentwurfs zur Regulierung europäischer Standards für KI-Systeme („KI-VO“, (COM/2021/206 final)) im Juli 2021 und ist Teil des ebenfalls am 28.09.2022 vorgebrachten Richtlinienpakets für die Überarbeitung der Produkthaftungsrichtlinie, welches darauf abzielt, die Haftungsvorschriften an das digitale Zeitalter anzupassen.
Wenig überraschend schafft die KI-Haftungs-RL Kohärenz zur KI-VO, indem sie an die darin etablierten Definitionen, insbes. zum Begriff des KI-Systems und KI-Hochrisiko-Systems, anknüpft. Darüber hinaus etabliert die Richtlinie Mindeststandards für die Anspruchsdurchsetzung. Unberührt lässt die Richtlinie hingegen die nationalen Vorschriften zu Haftungsvoraussetzungen, Umfang und Definitionen von u.a. Verschulden, Beweislast, Mitverschulden und Verjährung. Damit bleibt eine Entschädigung zugunsten jeglicher Arten von Geschädigten, d.h. Einzelpersonen, Unternehmen, Organisationen, etc., und der Ersatz unterschiedlicher Arten von Schäden (Leben, Gesundheit, Eigentum, Privatsphäre usw.) weiter nach den nationalen Vorschriften möglich. Die Haftung soll sich gegen Anbieter und Nutzer von KI-Systemen richten. Somit werden ausdrücklich auch staatliche Einrichtungen als potenzielle Anspruchsgegner eingeschlossen.
Keine Auswirkungen hat die Richtlinie auf die Haftung im Verkehrssektor sowie auf etwaige Ansprüche der Geschädigten aufgrund nationaler Vorschriften zur Umsetzung der Produkthaftungsrichtlinie und dem sog. „Digital Services Act“, welcher ebenfalls noch nicht in Kraft ist. Die Kommission ist insoweit der Ansicht, der Digital Services Act stelle einen umfassenden und vollständig harmonisierten Rahmen für die Sorgfaltspflichten bei algorithmischen Entscheidungen von Online-Plattformen dar und schließe damit die Haftungsbefreiung für Anbieter von Vermittlungsdiensten ein.
Wesentliches Kernstück der KI-Haftungs-RL ist die Einführung einer sog. Kausalitätsvermutung: Die Kommission geht davon aus, dass Geschädigten der Nachweis, dass die Verletzung einer gesetzlichen Pflicht den konkret entstandenen Schaden verursacht hat, zum Teil unmöglich oder jedenfalls mit erheblichen Schwierigkeiten verbunden ist. Die Kommission greift die vielfach vorgebrachten Befürchtungen auf, die Vorgänge des KI-Systems seien nicht offenkundig und damit nicht nachvollziehbar oder greifbar und glichen damit einer sog. „Blackbox“. Um dem entgegenzuwirken, sieht die KI-Haftungs-RL vor, dass die Kausalität unter bestimmten Voraussetzungen vermutet werden soll, mithin geringere Anforderungen an deren Nachweis gelten. Hinsichtlich der Voraussetzungen, nach denen die Kausalitätsvermutung greift, differenziert die KI-Haftungs-RL – entsprechend dem risikobasierten Regelungsansatz der KI-VO – einerseits danach, ob sich der Entschädigungsanspruch gegen Nutzer oder Anbieter des KI-Systems wendet und andererseits, ob letzteres ein sog. Hochrisiko-KI-System oder sonstiges KI-System darstellt. In jedem Fall verbleibt Anspruchsgegnern jedoch die Möglichkeit, diese Vermutung zu widerlegen, bspw. durch den Nachweis, dass der Schaden eine andere Ursache hatte.
Flankiert wird die Erleichterung des Kausalitätsnachweises durch das Recht auf Zugang zu Informationen und damit Beweismitteln in Fällen, in denen Hochrisiko-KI-Systeme betroffen sind. Die Geschädigten sollen bei Gericht beantragen können, die Offenlegung von Informationen anzuordnen, soweit zu vermuten ist, dass diese einen Schaden verursacht haben. Eingeschränkt werden kann die Offenlegung durch geeignete Garantien zum Schutz sensibler Informationen wie Geschäftsgeheimnissen. Antragsteller und Geschädigte haben zur Inanspruchnahme der Offenlegung Tatsachen beizubringen, die die Plausibilität des Anspruchs nahelegen. Auch müssen sie zuvor vergeblich versucht haben, über Anbieter bzw. Nutzer der KI-Hochrisiko-Systeme unmittelbar an diese Informationen zu gelangen. Mithilfe der herausgegebenen Informationen sollen Geschädigte ermitteln können, welche Ursache den Schaden herbeigeführt hat. Die Nichteinhaltung der Pflicht zur Offenlegung soll die zuvor genannte Kausalitätsvermutung auslösen können.
Einschätzung und Ausblick
Mit der Einführung dieser Grundsätze dürften KI-Systeme im Sinne der KI-VO alsbald einen eigenen haftungsrechtlichen und europaweit vereinheitlichten Rechtsrahmen erhalten, dessen Grundgedanken deutliche Parallelen u.a. zu deutschen zivilrechtlichen Haftungsgrundsätzen erkennen lässt.
Mit dem Richtlinienvorschlag erteilt die Kommission den Forderungen nach einer verschuldensunabhängigen Haftung im Sinne einer reinen Gefährdungshaftung eine Absage und lässt demgemäß bisher keine Absicht für die ebenso diskutierte Einführung einer rechtlich fingierten „E-Person“ als eigenständigen haftungsrechtlichen Anknüpfungspunkt erkennen. Sicherlich werden die Vorgaben der KI-Haftungs-RL – nach deren Umsetzung in nationales Recht – auch (un-) mittelbar Einfluss auf individualvertragliche, insbesondere IT-rechtliche Vertragsgestaltung haben.
Der Entwurf der KI-Haftungs-RL wird zunächst das EU-Gesetzgebungsverfahren durchlaufen. Den Mitgliedstaaten wird danach nach aktuellem Vorschlag der KI-Haftungs-RL ein Umsetzungszeitraum von zwei Jahren nach Inkrafttreten der Richtlinie eingeräumt.
Viele offene Fragen
Bis dahin bleiben viele offene Fragen. Abzuwarten bleibt, wie der deutsche Gesetzgeber die Grundsätze der KI-Haftungs-RL nach deren Verabschiedung umsetzen wird. In der Praxis wird es jedenfalls herausfordernd sein, dass Anbieter und Nutzer selbst bewerten müssen, in welche Risikokategorie der KI-VO ein KI-System fällt. Ob Anbieter und Nutzer ein erhöhtes Haftungsrisiko hinsichtlich eines KI-Systems wegen der in der KI-Haftungs-RL niedergelegten Offenlegungspflicht und Kausalitätsvermutung haben, werden sie erst wissen, wenn ein Gericht über Haftungsansprüche bezüglich des betreffenden KI-Systems entscheidet.
Fraglich ist auch, inwiefern eine Offenlegung von Informationen Geschädigte in die Lage versetzen wird, Entschädigungsansprüche durchzusetzen. Von zentraler Bedeutung wird insoweit sein, wie die umfassenden Transparenz-, Aufzeichnungs- und Dokumentationspflichten (vgl. Art. 11 ff. KI-VO) im Einzelfall auszulegen und umzusetzen sind. In der Praxis wird es spannend sein, ob es Anspruchsgegnern im Einzelfall gelingen wird, die Kausalitätsvermutung selbst zu widerlegen, indem sie ‚andere plausible Erklärungen‘ nachweisen. Denn es ist offen, was darunter konkret zu verstehen ist. Ob die Kausalitätsvermutung Massenklagen zur Datennutzung im KI-Kontext befördern wird, wird vom nationalen Prozessrecht abhängen und davon, wie sich die Rechtsprechung zu immateriellen Schäden entwickelt.
Dabei bleibt auch abzuwarten, ob der deutsche Gesetzgeber bei der Umsetzung der KI-Haftungs-RL auch bereits etablierte Haftungsparameter, wie bspw. den Schadensbegriff und -umfang, einer Anpassung unterziehen wird.
Die KI-Haftungsrichtlinie unterstreicht neben dem EU AI Act, dass es wichtig ist, Trustworthy AI jetzt als elementaren Bestandteil der KI Transformation zu etablieren. Richtig ausgestaltet beschleunigt dies die Innovation und das go-to-market von KI-basierten Produkten. – Hendrik Reese, Partner AI-Experte bei PwC