im Hinblick auf Sicherheit und Haftung der EU-Kommission an das Europäische Parlament, den Rat und den europäischen Wirtschafts- und Sozialausschuss vom 19.2.2020

Dieser Bericht wurde zusammen mit dem Weißbuch zur künstlichen Intelligenz – ein europäisches Konzept für Exzellenz und Vertrauen – am 19.2.2020 von der EU-Kommission veröffentlicht. In diesem Bericht wird der einschlägige, gegenwärtige Rechtsrahmen in der EU analysiert. Dabei wird der Frage nachgegangen, wo es Unsicherheiten hinsichtlich der Anwendung dieses Rechtsrahmens wegen der spezifischen Risiken gibt, die von KI-Systemen und anderen Technologien ausgehen. Der Bericht kommt zu dem Schluss, dass die geltenden Produktsicherheitsvorschriften bereits ein erweitertes Konzept des Schutzes von allen Arten von Risiken, die von dem Produkt je nach seiner Verwendung ausgehen, unterstützen. Um größere Rechtssicherheit zu schaffen, könnten jedoch Bestimmungen aufgenommen werden, die sich ausdrücklich auf neuere Risiken im Zusammenhang mit den neuen digitalen Technologien beziehen. Zusammenfassend könnte man sagen, dass der Bericht einen Ausblick über die zu erwartenden gesetzlichen Regelungen auf EU-Ebene für die nächsten Jahre im Bereich KI-Systeme und dort insbesondere hinsichtlich der damit verbundenen Sicherheits- und Haftungsfragen gibt. Der Bericht unterscheidet hier zwischen zwei wesentlichen Regelungsbereichen, den Produktsicherheitsvorschriften und den Fragen nach den bestehenden Haftungsrahmen für die digitalen Technologien.

  1. Produktsicherheitsvorschriften
    Der Bericht kommt zwar zu dem Schluss das geltende Produktsicherheitsvorschriften bereits ein erweitertes Konzept des Schutzes vor allen Arten von Risiken, die von einem Produkt je nach seiner Verwendung ausgehen, unterstützen. Um eine größere Rechtssicherheit zu schaffen, könnten jedoch Bestimmungen aufgenommen werden, die sich ausdrücklich auf neue Risiken im Zusammenhang mit den neuen digitalen Technologien beziehen.
    1. Das autonome Verhalten bestimmter KI-Systeme während ihres Lebenszyklus kann zu erheblichen sicherheitsrelevanten Änderungen der Produkte führen, die eine neue Risikobewertung erforderlich machen können. Darüber hinaus kann es nötig sein, als Schutzmaßnahme die Kontrolle durch die Menschen ab der Phase der Auslegung während des gesamten Lebenszyklus der KI-Produkte und-Systeme vorzusehen.
    2. Explizite Verpflichtungen für Hersteller könnten gegebenenfalls auch in Bezug auf psychische Sicherheitsrisiken für Anwender in Erwägung gezogen werden (zum Beispiel bei Zusammenarbeit mit humanoiden Robotern).
    3. Die Produktsicherheitsvorschriften der Union könnten sowohl spezifische Anforderung vorsehen, um die Sicherheitsrisiken auszuräumen, die von fehlerhaften Daten in der Phase der Auslegung ausgehen als auch Mechanismen, mit denen sichergestellt wird, dass die Qualität der Daten während der gesamten Nutzung der KI-Produkte und-Systeme aufrechterhalten wird.
    4. Die Frage der Opazität- also der Möglichkeit durch selbstgesteuertes Lernen und selbstgesteuerter Leistungsverbesserung einiger KI-Produkte – von auf Algorithmen basierenden Systemen könnte durch die Festlegung von Transparenzanforderungen angegangen werden.
    5. Im Falle eigenständiger Software, die als solche in Verkehr gebracht wird oder nach dem Inverkehrbringen in ein Produkt heruntergeladen wird, müssen die bestehenden Vorschriften möglicherweise angepasst und präzisiert werden, wenn die Software sicherheitsrelevante Auswirkungen hat.
    6. Angesichts der zunehmenden Komplexität der Lieferketten bei neuen Technologien könnten auch Bestimmungen, die eine Zusammenarbeit zwischen den Wirtschaftsteilnehmern in der Lieferkette und den Nutzern verbindlich vorschreiben, zu Rechtssicherheit beitragen.

  2. Haftungsvorschriften
    Die Merkmale neuer digitaler Technologien wie KI können bestimmte Aspekte der bestehenden Haftungsrahmen infrage stellen und deren Wirksamkeit verringern. Aufgrund mancher dieser Eigenschaften könnte es schwierig werden, den Schaden zu einer Person zurückzuverfolgen, was nach den meisten nationalen Vorschriften erforderlich wäre, um verschuldensunabhängige Ansprüche geltend zu machen. Dies könnte die Kosten für die Geschädigten erheblich erhöhen und dazu führen, dass Haftungsansprüche gegenüber anderen Akteuren als den Herstellern schwer geltend zu machen oder zu belegen sind.
    1. Personen, die infolge der Nutzung von KI-System ein Schaden erlitten haben müssen, das gleiche Schutzniveau genießen wie Personen, die durch andere Technologien geschädigt wurden. Gleichzeitig muss genug Raum für die Weiterentwicklung technologischer Innovation bleiben.
    2. Alle Optionen, die zur Erreichung dieses Ziels ins Auge gefasst werden – einschließlich möglicher Änderung der Produkthaftungsrichtlinie und einer etwaigen weiteren gezielten Harmonisierung der nationalen Haftungsvorschriften – sollten sorgfältig geprüft werden. So bittet die Kommission beispielsweise um Stellungnahme zu der Frage, ob und in welchem Umfang es erforderlich sein könnte, die Folgen der Komplexität abzumildern, in dem für Schäden, die durch den Betrieb von KI-Anwendungen verursacht werden, die in den nationalen Handlungsvorschriften vorgesehenen Beweislastregeln geändert werden.
    3. Angesichts der vorstehenden Ausführungen zum Haftungsrahmen kommt die Kommission zu dem Schluss, dass – zusätzlich zu den möglichen Anpassung dieser bestehenden Rechtsvorschriften – möglicherweise neue, speziell auf KI ausgerichtete Rechtsvorschriften erforderlich sind, um den Rechtsrahmen der EU an die derzeitigen und erwarteten technologischen und kommerziellen Entwicklung anzupassen.

    Als mögliche zusätzliche Regulierungspunkte werden in dem Weißbuch folgende Bereiche genannt:
    • Eine klare rechtliche Definition von KI
      Hier sollte man einen risikobasierten Ansatz verfolgen, d. h., dass es KI-Anwendungen mit hohem bzw. nur geringem Risiko geben sollte. Hierbei sollte man die regulatorischen Bestrebungen auf diejenigen Anwendungen konzentrieren mit hohem Risiko, um den Aufwand für KMU nicht unverhältnismäßig hoch zu verursachen.
      Kriterien für die Risikoklasse sollte sein die Frage ob die KI Anwendung in einem Sektor eingesetzt wird, in dem aufgrund der Art der typischen Tätigkeiten mit erheblichen Risiken zu rechnen ist. Zweites Kriterium ist, ob die KI-Anwendung in dem betreffenden Sektor so eingesetzt wird das mit erheblichen Risiken zu rechnen ist.
    • Schlüsselmerkmale
      Die Anforderungen an KI-Anwendungen mit hohem Risiko kann sich dabei auf folgende Schlüsselmerkmale beziehen: Trainingsdaten, Aufbewahrung von Daten und Aufzeichnungen, Vorzulegende Information, Robustheit und Genauigkeit, menschliche Aufsicht, besondere Anforderungen an bestimmte KI-Anwendungen, zum Beispiel Anwendungen für die biometrische Fernidentifikation.
    • Adressaten
      Im Lebenszyklus eines KI-Systems sind viele Akteure beteiligt. Hierzu gehört der Entwickler, der Betreiber und möglicherweise weitere Akteure wie Hersteller, Händler Importeur, Dienstleister, professioneller oder privater Nutzer. Nach Auffassung der Kommission sollten in einem künftigen Rechtsrahmen die einzelnen Verpflichtungen jeweils dem Akteur/den Akteuren obliegen, die am besten in der Lage sind, potenzielle Risiken zu bewältigen. So wären möglicherweise die Entwickler von KI am besten in der Lage, den Risiken zu begegnen, die sich aus der Entwicklungsphase ergeben, während ihre Fähigkeit die Risiken in der Nutzungsphase zu kontrollieren, eher eingeschränkt wäre. Nach Ansicht der Kommission ist es von entscheidender Bedeutung, dass die Auflagen für alle einschlägigen Wirtschaftsteilnehmern gelten, die KI-gestützte Produkte oder Dienstleistungen in der EU anbieten, unabhängig davon, ob sie in der EU niedergelassen sind oder nicht.
    • Einhaltung und Durchsetzung
      angesichts des hohen Risikos, dass bestimmte KI-Anwendungen insgesamt darstellen, ist die Kommission zum gegenwärtigen Zeitpunkt der Auffassung, dass eine objektive vorab vorzunehmende Konformitätsbewertung erforderlich wäre, um zu überprüfen und sicherzustellen, dass bestimmte der oben genannten obligatorischen Auflagen für Anwendungen mit hohem Risiko erfüllt sind. Eine vorab vorzunehmende Konformitätsbewertung könnte Verfahren für die Prüfung, Inspektion oder Zertifizierung umfassen. Dies könnte eine Überprüfung der Algorithmen und der in der Entwicklungsphase verwendeten Datensätze beinhalten.

      a) Governance
      eine europäische Governance-Struktur für KI in Form eines Rahmens für die Zusammenarbeit der zuständigen nationalen Behörden ist notwendig, um eine Aufsplitterung der Zuständigkeiten zu vermeiden, die Kapazitäten in den Mitgliedstaaten auszubauen und sicherzustellen, dass Europa sich schrittweise mit der für die Prüfung und Zertifizierung von KI-gestützten Produkten und Dienstleistungen erforderlichen Kapazitäten ausstattet.
  1. Fazit
    Wenn auch die von der EU-Kommission im Weißbuch und im Bericht über die Auswirkung Auswirkungen künstlicher Intelligenz gemachten Überlegungen über Anpassung der rechtlichen national unterschiedlichen vorhandenen Regelungen hinsichtlich künstlicher Intelligenz noch in einem sehr unkonkreten Stadium und sich noch mitten in der politischen Diskussion befinden, so kann man doch folgendes festhalten:
    1. Mit einer angepassten bzw. ergänzenden gesetzlichen Regelung auf EU-Ebene hinsichtlich der Fragen der Produktsicherheit (also Markt-Zugangsvoraussetzungen) als auch hinsichtlich der Neuordnung der haftungsrechtlichen Fragen im Zusammenhang mit KI-Systemen kann mit einiger Sicherheit im Laufe der nächsten Jahre ausgegangen werden.
    2. Gerade KI-Anbieter sollten sich hier darauf einstellen, dass der Algorithmus transparenter, überprüfbarer und schließlich auch gewissen Zertifizierungsansprüchen genügen muss. Daneben ist sicherlich eine erweiterte Haftung und damit Verantwortlichkeit des KI-Anbieters die über das bisher bekannte Maß einer Produkthaftung hinausgeht, zum Beispiel auch im Hinblick einer Verantwortung für Lieferketten und komplexe Produkte, zu rechnen. Im Ergebnis wird dies nur mit geänderten, transparenteren Entwicklungsprozessen und einer erweiterten Verantwortlichkeit, sprich einem erheblich höheren Aufwand für den entsprechenden Versicherungsschutz, verbunden sein.

Am 9. Dezember 2020 beabsichtigt die EU-Kommission die Bekanntgabe einer Reihe neuer geplanter wettbewerbsrechtlicher und kartellrechtlicher Regelungen zur besseren Kontrolle von Technologie-Konzernen, insbesondere den großen Internetplattformen.

Auch der EU-Rechnungshof fordert eindringlich in einem am 19.11.2020 veröffentlichen Bericht die Verbesserung entsprechender EU-Regelungen. Insbesondere kritisiert der Bericht, dass es zwei kartellrechtliche Verfahren gegen Internetplattformen nach gegenwärtigem Recht schon gibt, die Durchsetzung hier aber sehr zu wünschen übriglässt.

Zwar hat die EU-Kommission ein Kartellrechtverfahren gegen Google eröffnet, dieses ist aber jetzt bereits seit mehr als 3 Jahren ohne eine Entscheidung beim europäischen Gerichtshof anhängig.

Bereits vor paar Wochen wurden die Inhalte der geplanten neuen EU-Regelungen – dem sogenannten Digital Services Act- geleakt, sodass ich im Folgenden gern eine kurze Auflistung der beabsichtigten Regelungen geben möchte.

1. Exklusive Datennutzung

Großen Onlineplattformen könnte es unter dem Digital Services Act der EU verboten werden, gesammelte Userdaten zu verwenden, wenn diese nicht auch kleineren Plattform zur Verfügung gestellt werden. Hierbei wird insbesondere auf die Aktivitäten der sogenannten „Gatekeeper“ Plattformen wie Google, Amazon und Facebook eingegangen. Diese Großkonzerne haben ein unverhältnismäßig hohes Maß an wirtschaftlicher Macht und Kontrolle über die Online-Welt und können somit „am Eingangstor“ mitentscheiden, wer auf den Markt eintreten darf.

Nach der neuen Regulierung dürfen Gatekeeper die Daten,

  • welche auf der Plattform selbst
  • oder auf anderen Diensten der Geldgeber erzeugt und gesammelt werden
    nur dann für ihre eigenen kommerziellen Zwecke verwenden, wenn diese Daten auch anderen gewerblichen Nutzern zugänglich gemacht werden.

2. Rankings

Ferner soll es Online-Suchmaschinen verboten werden können ihre eigenen Dienste bevorzugt und an exponierter Stelle anzuzeigen. Diese Regelung stellt eine erhebliche Verschärfung der bisherigen Verordnung der EU aus dem Juli 2019 dar. In dieser waren Suchmaschinen lediglich verpflichtet transparent und deutlich zu machen, wenn sie ihre eigenen Produkte und Dienstleistungen bevorzugt behandeln.

3. Wahlfreiheit und Vorinstallation

Ebenso soll es den E-Commerce Giganten in Zukunft verboten werden die Möglichkeit der geschäftlichen Nutzer einzuschränken, den Verbrauchern dieselben Waren und Dienstleistungen unter anderen Bedingungen über andere Online-Vermittlungsdienste anzubieten. Ebenso soll es verboten sein, dass große Unternehmen  ausschließlich ihre eigenen Apps auf Hardwaresystemen vorinstallieren. Ebenso muss es möglich sein vom Hersteller bereits vorinstallierte Anwendungen durch den Verbraucher deinstallieren zu können.

4. Einführung einer sogenannten „Grauen Liste“

Ferner beabsichtigt die EU-Kommission die Einführung einer sogenannten „Grauen Liste“ von Aktivitäten, die die Exekutive als unfair erachtet und die daher zukünftig möglicherweise einer verstärkten Aufsicht durch eine zuständige Behörde benötigen. Demnach wäre es den Plattformgiganten nicht erlaubt, Drittanbieter am Zugang zu wesentlichen Informationen über Kunden zu hindern, und sie würden angewiesen keine persönlichen Daten zu sammeln die über das hinausgehen, was für die Erbringung ihrer Dienstleistung notwendig ist.


Im Ergebnis bleibt abzuwarten in welcher konkreten Ausgestaltung die EU-Kommission diese Regelungen jetzt im Dezember 2020 vorstellen wird. Es ist aber sicherlich damit zu rechnen, dass durch intensive Lobbyarbeit der großen Internetkonzerne, wie auch bereits mehrfach in der Vergangenheit geschehen, hier bis zur endgültigen Verabschiedung wir noch einiges an Veränderung und öffentliche Diskussion sehen werden. Es bleibt  -wie so oft im Leben- also weiterhin spannend.