Standardvertragsklauseln für KI-Applikationen – initiale Gedanken aus der rechtlichen Praxis

News-Portale, Blogs und Netzwerke wie LinkedIn explodieren aktuell mit Beiträgen zum Thema Künstliche Intelligenz (im Folgenden bezeichnet als: „KI“) – zumindest wird dieser Eindruck in der „Bubble“ des Verfassers erweckt. Häufig geht es um potentielle Anwendungsszenarien, die korrekte Art zu „prompten“, Klageverfahren von Autoren gegen Anbieter generativer künstlicher Intelligenz oder ob und wann wir durch KI ersetzt werden.

Wie man die Einführung und Verwendung von KI-Applikationen aber tatsächlich vertraglich abbildet, ist aktuell noch eher selten Thema. Das verwundert. Denn wer KI einsetzen möchte, sollte sich damit im Detail beschäftigen.

KI und Vertragsgestaltung – altes Brot?!

Auch wenn viele rechtliche Themen im Zusammenhang mit KI aktuell noch durch den Europäischen Gesetzgeber geschärft werden, bildet die juristische Praxis KI-Applikationen bereits seit Jahren in Verträgen ab. Die zu berücksichtigenden Themenbereiche wie z.B. Umgang mit Trainings- und Produktivdaten, Urheberrechte, Datenschutz oder Verantwortung und Haftung sind dabei nicht neu.

Mit der kommenden KI-Verordnung sowie den zugehörigen Richtlinien zur Adressierung der Haftungsfolgen des Einsatzes von KI (Details hierzu) wird der Blickwinkel auf verschiedene Themenbereiche allerdings neu justiert. Wer am Puls der Zeit kontrahiert, verringert rechtliche Risiken und unterstützt die rechtzeitige Umsetzung rechtlicher KI-Compliance-Vorgaben.

Neue Standardvertragsklauseln für KI sind da

Ein guter Anlass also, sich mit frischem Wind auseinanderzusetzen:

Die Procurement of AI Community hat über die Website der Europäischen Kommission jüngst aktualisierte Standardvertragsklauseln für KI-Beschaffung veröffentlicht (Link – im Folgenden nur: „KI-SCC“) und lädt dazu ein, sich mit Feedback an der weiteren Ausarbeitung zu beteiligen.

Die KI-SCC sollen öffentliche Auftraggeber bei der Beschaffung von KI-Leistungen unterstützen, indem sie die Anforderungen der neuen EU-Gesetzgebung implementieren. Sie sind als „Add-On“ zu einem üblichen IT-Vertrag über die Beschaffung einer KI-Applikation gedacht. Nicht enthalten sind dementsprechend Regelungen z.B. zu kommerziellen Konditionen, Haftung oder anwendbarem Recht.

Man soll die KI-SCC also in einer Anlage als zusätzlich geltende Bestimmungen in Bezug nehmen – ein smartes Vorgehen zur Sicherstellung einer flexiblen Verwendbarkeit.

Insgesamt wurden zwei Dokumentenversionen veröffentlicht, die den Spirit der EU-Gesetzgebung durch eine Unterteilung in ein Dokument zur Beschaffung von „Hochrisiko-KI-Systemen“ und ein Dokument für „Normale-KI-Systemen“ aufgreifen. Die Hochrisikoversion der KI-SCC enthält zusätzliche Bestimmungen zur Umsetzung der erhöhten Voraussetzungen an die Compliance von Hochrisiko-KI-Systemen – ein zentraler Regelungsgesichtspunkt der geplanten KI-Verordnung.

Es bestehen noch Unklarheiten

Die KI-SCCs sind erstellt auf Basis der aktuell bekannten Entwürfe zur KI-Gesetzgebung. Die Gesetzgebungsvorhaben befinden sich momentan im Trilog-Verfahren – das ist die Abstimmung der konkreten Textentwürfe zwischen den drei Legislativorganen der Europäischen Union. Diverse Kernthemen werden in diesem Zusammenhang derzeit noch heiß diskutiert und denklogisch kann eine Richtungsänderung hierbei Auswirkungen auf die KI-SCC haben.

Dennoch ist die frühe Auseinandersetzung mit der tatsächlichen Umsetzung der gesetzlichen Anforderungen ein gutes Signal und eine wünschenswerte Entwicklung.

Die aus dieser „Vorläufigkeit“ entstehenden Unsicherheiten werden auch an anderer Stelle deutlich: Die KI-SCC verweisen wiederholt auf Begrifflichkeiten und Normen (nachstehend zusammengefasst als „Standards“), die mit der KI-Verordnung erst definiert werden oder in Zukunft durch die Praxis bzw. die Rechtsprechung mit Leben zu befüllen sind. Beispielsweise „state of the art“, „common specifications“ oder “recognized standards”.

Bei wichtigen Knackpunkten verlagern die KI-SCC den Kern der Diskussion also auf noch zu entwickelnde Standards oder von Beteiligten zu erarbeitete technische und organisatorische Maßnahmen. Böse formuliert: Die KI-SCC sind aktuell nicht mehr als eine leere Hülle. Denn sie erfordern den Rückgriff auf harmonisierte Standards (z.B. in Bezug auf Transparenz, menschliche Aufsicht, Genauigkeit, Erklärbarkeit) – oder bis zu deren Einführung auf eine ausführliche Konkretisierung durch diejenigen, die sich auf die KI-SCC berufen wollen.

Das spielt Anbietern von KI-Applikationen (=Auftragnehmer) in die Hände. Getreu nach dem Motto „nichts Genaues weiß man nicht“, verpflichten sich Anbieter lieber auf unklare Begrifflichkeiten anstelle von präzisen Anforderungen. Das Risiko der Nichtumsetzung gesetzlicher Anforderungen trifft dann in vielen Anwendungsfällen zunächst die Beschaffer von IT-Leistungen (=Auftraggeber). Diese sind daher gut beraten, sich mit den gesetzlichen Anforderungen an den rechtskonformen Einsatz von KI auseinanderzusetzen und die KI-SCC durch Konkretisierung unbestimmter Formulierungen mit Leben zu befüllen.

Der mit den KI-SCC eingeschlagene Weg ist trotzdem der Richtige. Beispielsweise aus dem Datenschutzrecht wissen wir, dass eine Präzisierung unbestimmter Rechtsbegriffe teilweise erst Jahre nach Wirksamkeit einer neuen Gesetzgebung erfolgt. Die Devise ist also nicht abwarten sondern frühzeitige und konstruktive Diskussion.

Man kann den Entwurf der KI-SCC daher durchaus als wichtigen Meilenstein betrachten.

Theoretisch tolle Idee – praktisch umsetzbar?

Nach erster Lektüre fällt auf, dass die Verteilung der Verantwortlichkeiten zwischen Auftraggeber und Auftragnehmer in der aktuellen Fassung der KI-SCC nicht immer gelingt.

So treffen den Auftragnehmer beispielsweise eine ganze Reihe an (Prüf-)Pflichten in Bezug auf in die KI eingespeiste Daten. Aktuell aber ohne differenzierte Betrachtung für den Fall, dass der Auftraggeber die Daten erhebt, bereitstellt, pflegt und somit die primäre Verantwortung dafür übernimmt. Nur ein Punkt von mehreren, an dem nach Auffassung des Verfassers noch Hand angelegt werden sollte, um die erforderliche Flexibilität und Praktikabilität der KI-SCC sicherzustellen.

Denn Ziel der KI-SCC muss eine breite Akzeptanz (auch auf Seiten der Anbieter von KI) sein. Einseitige, nicht oder nur mit erheblichen Nachverhandlungen durchsetzbare Standardvertragsklauseln bieten Beschaffern von KI-Leistungen keinen Mehrwert. Umso besser, dass die Dokumente bereits jetzt mit der Aufforderung zur Abgabe von Feedback veröffentlicht sind.

Eine angeregte Diskussion zwischen Vertretern der Anbieter- und Beschafferseite, wie wir es in Deutschland beispielsweise bei der Verhandlung der EVB-IT Verträge kennen, ist wünschenswert. Nur so können die KI-SCC eine Ausgestaltung erfahren, die ein breites Anwendungsspektrum gewährleistet und so auch hierzulande bei öffentlichen Auftraggebern und in der Privatwirtschaft als Leitfaden Relevanz entfaltet.

Ein Ausblick und ein Apell

Die Herausforderungen im Zusammenhang mit der vertraglichen Abbildung von KI-Applikationen werden aller Voraussicht nach trotz solch früher Diskussionen immens. Denn die künftigen gesetzlichen Anforderungen an rechtskonformen KI-Einsatz werden hoch und die Beweglichkeit großer Anbieter (insb. sog. Hyperscaler) ist nach den bisherigen Erfahrungen – z.B. im Datenschutzrecht oder im Zusammenhang mit den EVB-IT Cloud Verträgen – in der Regel eher gering.

Da vermutlich auch im KI-Markt Applikationen von großen Anbietern auf dem Vormarsch sein werden oder zumindest deren Algorithmen / Modelle die Basis vieler Applikationen bilden werden, ist eine frühzeitige Einbindung dieser Player sinnvoll. Gleichzeitig sind Beschaffer von KI-Leistungen angehalten, Expertise im Bereich KI-Regulatorik aufzubauen und Anforderungen an den Einsatz von KI in ihrer Organisation zu etablieren bzw. konkretisieren, um Standardverträge mit Leben zu befüllen.

Situationen, in denen Rechtsunsicherheiten primär auf dem Rücken derer ausgetragen werden, die neue Technologien in ihrer Organisation gewinnbringend einsetzen wollen, sollten wir bei KI versuchen zu vermeiden. Denn das bremst Innovation und kann uns im internationalen Vergleich abhängen – ein Learning aus den Digitalisierungsthemen vergangener Jahre.