Unternehmenshaftung für KI – zur Konformitätsbewertung in Permanenz (Denga, CR 2023, 277)

Der Beitrag untersucht die Relevanz einer „Zertifizierung" künstlicher Intelligenz für die vertragliche wie deliktische Haftung von KI-Anbietern. Dafür wird der Regelungsrahmen künstlicher Intelligenz (KI) dargelegt und das Produktsicherheitskonzept der EU erläutert, wobei die gegenwärtig im Gesetzgebungsverfahren befindliche KI-VO eine zentrale Rolle einnimmt (II.).

Im Schwerpunkt werden sodann das Modell und die tragende Rolle der Konformitätsbewertung von Hochrisiko-KI-Systemen im Regelungskonzept der KI-VO dargetan (III.). Hierauf aufbauend kann gezeigt werden, wie eine Konformitätsbewertung durch externe Experten wesentlich zu einer Reduzierung von Fehlern in KI-Systemen und damit auch der Haftungsrisiken von Unternehmen, die KI anbieten, beitragen kann (IV.). Die vorliegenden Ausführungen gelten für alle Anbieter von KI und zur Veranschaulichung dient der Leitfall des Kreditscoring durch die Schufa (I.).

INHALTSVERZEICHNIS:

I. Leitbeispiel: Kreditscoring durch Drittanbieter

II. Qualität von KI-Systemen

1. Begriff des KI-Systems

2. Gesetzliche Anforderungen an KI-Systeme

a) De lege lata – Sorgfaltspflicht und „Stand von Wissenschaft und Technik“

b) Stufenmodell der KI-VO

c) Anforderungen an Hochrisiko-KI-Systeme

III. Arten der Konformitätsbewertung

1. Konformitätsbewertung im Produktsicherheitsrecht

2. Konformitätsbewertung unter der KI-VO

IV. Haftungsrelevanz externer Konformitätsbewertung

1. Originäre Rechtsträgerpflichten

2. Ordentliche Delegation

3. Folgen ordentlicher Delegation

V. Kritisches Fazit

 

Leseprobe:

"I. Leitbeispiel: Kreditscoring durch Drittanbieter

1

Der EuGH entscheidet gegenwärtig drei Fälle ¹ zur Bonitätsbewertung von Bankkunden durch die Schufa mittels sog. Kreditscores. ² Den Fällen liegt folgende Dreieckskonstellation zugrunde: Die Ausgangskläger begehrten einen Kreditvertrag bei ihrer Bank; diese holte von der Schufa eine Bonitätsbewertung zu den jeweiligen Kunden ein; da diese Bonitätsbewertung negativ war, bzw. der Kreditscore nicht ausreichte, wurde den Kunden der Abschluss des Kreditvertrags verweigert.

2

Nach den Schlussanträgen des zuständigen Generalanwalts Pikamäe handelt es sich bei der softwaregestützten Erstellung eines Kreditscores um eine unter Art. 22 Abs. 1 DSGVO insbesondere durch Einwilligung zu legitimierende automatisierte Entscheidung. ³ Neben der Eigenschaft des Kreditscoring als automatisierte Entscheidung und dem Fehlen einer Einwilligung ist in den anhängigen Verfahren insbesondere auch die Qualität der durch den automatisierten Kreditscore verarbeiteten und ihm zugrunde liegenden Daten streitig. Denn zweien der Ausgangskläger ist nach Insolvenz eine vorzeitige Restschuldbefreiung unter dem neunten Teil der Insolvenzordnung erteilt worden. ⁴ Dieser Umstand wurde im Internet amtlich veröffentlicht und der Eintrag nach sechs Monaten gelöscht. ⁵ Die Schufa allerdings hatte die Insolvenz auch nach der Löschung weiter in ihrem Kreditscore berücksichtigt. ⁶

3

In Frage steht damit im Kern die Qualität der durch ein KI-System verarbeiteten Daten, im weiteren Sinne auch die Qualität von KI-Systemen überhaupt. Diese Frage wird weiter an Bedeutung gewinnen, weil künftig neben die Ordnung der DSGVO jene der KI-VO ⁷ treten soll, welche explizit Sorgfaltspflichten in Bezug auf bestimmte KI-Systeme definiert. Sie enthält vor allem engmaschige Vorgaben für Trainingsdaten, die insbesondere relevant und fehlerfrei sein müssen. Wenn etwa die Restschuldbefreiung schon nicht in die abstrakten Trainingsmodelle einfließen darf, läge ganz unabhängig von einer konkreten datenschutzrechtlichen Bewertung ein Verstoß gegen die KI-VO vor.

4

Die KI-VO trifft auch an anderen Stellen weitreichende Vorgaben für KI-Systeme, was umso brisanter ist, als sie von einem sehr weiten KI-Begriff ausgeht. Insbesondere werden statistische Modelle erfasst, die auch beim Kreditscoring der Schufa wirken, allerdings de-facto jede komplexere Software, wie sie etwa zur Generierung von Texten à la ChatGPT oder auch zur Steuerung von Kfz eingesetzt wird. Im Falle der Missachtung stehen nicht nur behördliche Geldbußen im Raum, ⁸ sondern auch privatrechtliche Schadensersatzansprüche, und zwar nicht nur deliktischer sondern – was vielfach verkannt wird – auch vertraglicher Art.

5

So dürfte sich die Bank bei Einsatz eines europarechtswidrigen Kreditscores einem Schadensersatzbegehren wegen Verletzung ihrer vorvertraglichen Nebenleistungspflichten aus §§ …"

Hier direkt weiterlesen im juris PartnerModul IT-Recht