Der Enthusiasmus über die Nutzung von KI scheint im Moment kaum Grenzen zu kennen. Nachdem die meisten von uns KI- Modelle dazu verwenden, schnell Wissen aus allgemeinen Datenbanken zu beziehen, geht es bei unternehmenseigenen Anwendungen darum, dass KI- Modelle häufig mit unternehmenseigenen Daten und Know-how verbunden werden sollen.
Dabei werden die KI- Systeme meistens nicht selbst entwickelt, sondern vorhandene und meist US- amerikanische Modelle verwendet. Die Adaption der generellen KI- Systeme an die besonderen Bedürfnisse des jeweiligen Unternehmens gleicht der Anpassung einer Standardsoftware durch ein spezialisiertes IT-Softwarehaus, weswegen in der Branche schon davon gesprochen wird, dass sogenannte KI- Integratoren für den Kunden die Anpassung der allgemeinen Systeme an die Kunden- Bedürfnisse vornehmen.
Die Arbeiten des KI Integrators bestehen z.B. in der Einspeisung von Datenquellen, der Konfiguration und in der Erstellung besonderer System- Prompts sowie die Anwendung/ Einbindung von KI- Tools in das eigene Software- System.
Fragestellung
Damit stellt sich die Frage, in welchem Umfang eigentlich der KI- Integrator bei der Erfüllung dieser Arbeiten die Regelung der KI- Verordnung zu beachten hat. Inwieweit haftet der KI Integrator für Verletzungen der KI- Verordnung?
Grundsatz: Soweit das Gesetz nicht den Hersteller adressiert, ist der Nutzer verantwortlich.
Die grundsätzliche Antwort auf die Frage ist eigentlich recht einfach. Die KI- Verordnung ist eine Regelung des öffentlichen Rechts. Solange ein Gesetz oder eine Richtlinie aus dem Bereich des öffentlichen Rechts nicht direkt den Hersteller oder den Tuner (Integrator) adressiert, gilt, dass der Nutzer des Systems selbst in der Lage sein muss, die öffentlich rechtlichen Vorschriften einzuhalten. Ob er das dann tut, ist eine zweite Frage.
Ein Autohersteller muss Autos so entwickeln, dass sie den Regelungen für die Herstellung und Entwicklung von Autos entsprechen, bevor sie in den Verkehr gebracht werden. Die neueste Ausprägung dieses Grundsatzes ist das „EU-_Gebimmel“, das mich als Käufer eines neuen Autos gerade nervt. Aber ob ich als Käufer nun mit dem Auto zu schnell fahre oder nicht, ist nicht Sache des Herstellers des Autos. Er muss ein Auto bauen, das mich in der Lage versetzt, die Regeln einzuhalten, die für Fahrer (Nutzer) gelten. Mit Ausnahme des Art 25 DSGVO (privacy by design) ist Hersteller einer von Software, die personenbezogene Daten verarbeitet, nicht dafür verantwortlich, ob sich der Kunde an den Datenschutz hält oder nicht; aber die Software muss so entwickelt sein, dass der Kunde diese Regelungen einhalten kann.
Die KI VO nutzt andere Begriffe: Der Anbieter (Hersteller) und der Betreiber (Nutzer)
Die KI- VO kennt die Begriffe des Betreibers und die des Anbieters. Der Anbieter ist derjenige, der das System entwickelt oder entwickeln lässt § 3 Nr.3 KI VO). Wer selbst entwickelt, bietet auf dem Markt verwendungsfähige Systeme an. Wer im Auftrag entwickelt, adaptiert Systeme im Auftrag des Kunden. Der Kunde ist in diesem Fall der Anbieter und hat die entsprechenden Pflichten der KI- VO einzuhalten. Nicht der Integrator. Insofern scheidet eine Anbieterhaftung des Integrators aus. Dann ist zu Das System muss in der Lage sein, die Vorgaben der KI- VO einzuhalten, aber es muss grundsätzlich nicht so entwickelt sein, dass es eine Anwendung ausschließt, die nach der KI- VO verboten ist. Ausnahme ist die Entwicklung der nach der KI- VO verbotenen Systeme für ein privates Unternehmen.
Haftet das IT Unternehmen jetzt, weil es ein neues System betreibt?
Im zweiten Teil des Blogs erkläre ich, welche Ausnahme von diesem Grundsatz besteht, welche vertraglichen Gestaltungsmöglichkeiten bestehen und wann man überhaupt von dem Betrieb eines neuen Systems sprechen kann.
