ProdukthaftungEU-Kommission will klare Haftungsregeln für KI-Systeme

Wer zahlt für den Schaden, wenn ein selbstfahrendes Auto einen Unfall baut oder eine Lieferdrohne ins Fenster knallt? Ein Gesetzesvorschlag der EU-Kommission soll für diese Frage Antworten geben und Klagen erleichtern.

Selbstfahrende Autos
Wer haftet, wenn ein autonomes Auto crasht? Diese Frage behandelt ein neues EU-Gesetz (Symbolbild) CC-BY-SA 4.0 Grendelkhan / Bearbeitung netzpolitik.org

Die Europäische Kommission schlägt ein neues Haftungsgesetz für algorithmische Entscheidungssysteme vor. Die Richtlinie soll europaweit einheitliche Regeln für die Frage schaffen, wer haftet, wenn Produkte oder Dienstleistungen durch den Einsatz von sogenannter „Künstlicher Intelligenz“ physische oder immaterielle Schäden verursachen. Der Entwurf ist Teil eines größeren Gesetzesvorhabens, bei dem auch die Haftungsrichtlinie für viele andere Produkte reformiert werden soll.

Die neuen Spielregeln sollen beispielsweise Schadenersatzforderungen erleichtern, wenn eine Person durch den Einsatz von KI im Bewerbungsverfahren diskriminiert wird, so die EU-Kommission in einer Pressemitteilung. Die Richtlinie soll es auch juristisch einfacher machen, eine schädliche Wirkung von KI nachzuweisen. Dafür werde eine „Grundannahme der Kausalität“ geschaffen, nach der algorithmische Systeme verantwortlich gemacht werden könnten, wenn das hinreichend wahrscheinlich sei. Damit seien auch Klagen möglich, wenn die genaue Funktionsweise einer KI eine „Black Box“ bleibe, die Entscheidungsfindung also nicht nachvollziehbar sei.

Auch sollen Geschädigte bei einer problematischen Funktionsweise eines hochriskanten KI-Systems ein Recht auf Zugang zu Beweismitteln haben. Hersteller müssen dann also Daten liefern, etwa Log-Files von Produkten. Tun sie das nicht, soll unter dem Gesetzesvorschlag die Annahme gelten, dass das KI-System für den Schaden verantwortlich sei. Die neue Richtlinie soll auch Verbandsklagen von Verbraucherverbänden wegen Schäden durch KI-Systeme ermöglichen. Gelten soll das Gesetz nicht nur für Produkte privater Firmen, sondern auch für staatliche KI-Systeme.

Als hochriskant werden laut der EU-Kommission solche Systeme eingestuft, die besonders weitreichende Auswirkungen auf der Leben und die Gesundheit haben können. Darunter fallen etwa Systeme, die den Zugang zu Sozialleistungen steuern, über die Vergabe von Studienplätzen entscheiden oder im Asylverfahren eingesetzt werden.

Neue Regeln für autonome Fahrzeuge und „smarte“ Assistenten

Bereits im Vorjahr hat die Kommission einen Vorschlag für eine KI-Verordnung vorgelegt, die den Einsatz von riskanten KI-Systemen regulieren und in einigen Fällen beschränken soll. Über dieses Gesetz wird derzeit noch im Rat der EU-Staaten und im Parlament verhandelt. Die nun vorgeschlagenen Haftungsregeln sollen darüber hinaus gehen und zudem Lücken im bisherigen Haftungsrecht schließen. Laut dem Gesetzesvorschlag der Kommission schaffe die Reform der Haftungsregeln Rechtssicherheit, die wiederum neue wirtschaftliche Aktivität von bis zu 1,1 Milliarden Euro ermögliche.

Die neuen Haftungsregeln sollen für alle KI-Produkte gelten, darunter selbstfahrende Autos, Staubsaugerroboter oder „smarte“ Heimassistenten. Nicht gelten soll die Richtlinie lediglich für jene Produkte, für die es bereits eigene, spezifische Haftungsregeln gebe. Die konkrete Umsetzung der EU-Richtlinie liegt nun an den Mitgliedsstaaten – das heißt, einige Länder könnten die Regeln strenger auslegen als andere. Die Kommission schickte ihren Entwurf für das Gesetz an den Rat der EU-Staaten und das EU-Parlament. Dort dürften langwierige Verhandlungen bevorstehen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Wenn es wirklich strenge Haftungsregelungen geben sollte, was ich zu bezweifeln wage, dann ist der ganze KI Mumpitz tot. Das wäre die richtige Entscheidung, denn man kann die Safe Operating Area einer KI nicht bestimmen und damit auch Fehlentscheidungen nicht verhindern. Noch kann man beim maschinellen Lernen spezifische Lerndatensätze wieder entfernen. man kann entweder von vorne trainieren oder noch mehr trainieren, in der Hoffnung, die falschen Trainingssätze in ihrer Wirksamkeit zu dämpfen.

    1. Man sieht einfach mal wieder, wie Personen etwas regulieren wollen, von dem sie nichtmal im Ansatz etwas verstehen. Alleine die Forderung, dass die Unternehmen im Zweifel Daten, wie Logfiles liefern müssen ist grandios. Das kann erstmal datenschutztechnisch schnell zu einem Problem werde und wird in der Praxis besitzen diese Daten wenig Aussagekraft, um zu begründen, warum die KI so entschieden hat. Im Ergebnis wird es dann vermutlich nur darauf hinauslaufen, ob die Unternehmen den jeweiligen Richter überzeugen können, ob die Entscheidung der KI der Datenlage angemessen ist. Da diese Datensätze vielfach ohne eine entsprechende Aufbereitung für Menschen vielfach nicht mehr überschaubar sind und zudem leicht ein verzerrtes Bild erzeugt werden kann, wird das alles andere als Rechtssicherheit bewirken.

      Genau genommen beginnt das Problem aber schon bei der Verwendung des Begriffes KI ohne ausreichende Unterscheidung für alle ihre Unterbereiche. Wenn es sich bei der KI z.B. um Suchalgorithmen oder Constraint Solving handelt, ist die Wahrscheinlichkeit hoch mit dem Algorithmus und den Eingangsdaten das Verhalten nachzuvollziehen. Beim maschinellen Lernen hingegen kann das Ergebnis ja alleine durch die unmittelbar vorherigen Datensätze deutlich abweichen.

      Man sollte in sensiblen Bereichen, wenn möglich immer Expertensysteme vorziehen, anstatt ein trainiertes neuronales Netzwerk, bei dem es nicht möglich ist im nachhinein nachzuvollziehen, welche Verbindungen in den Datensätzen, wie in das Ergebnis eingeflossen sind.

      1. Nachvollziehbare KI geht nur konstruktiv, also wenn das System so gebaut ist, und eingeschränkt, wenn das System reproduzierbar gebaut werden kann, d.h. alle Trainingsdaten, Parameter und Software (und zur Not auch Hardware) vorhanden und dokumentiert sind, so dass man das System post-mortem prüfen könnte.

        Jetzt könnten die unpräzise Hardware einsetzen, und das Gesetz bestimmt auch kein Maß für die Zeit, die es zum Prüfen maximal brauchen soll. Logfiles sind lustig – wenn das nur ein Beispiel ist, und die Formulierung juristisch greift, „ginge es noch“, allerdings dürfte „die Industrie“ da auf die Barrikaden gehen (Google alle Daten?).

      2. Naja wobei…

        bei einem Auto oder einem Gerät, bei dem die Gefahr in der Ansteuerung von physischen Elementen besteht, ergeben Logfiles durchaus Sinn. Aber erst, wenn man die Pflicht zu einer Blackbox einführt, wo dann nach Norm befüllt werden muss, so dass nicht Unsicherheit bestehen kann, was Eingaben der Fahrer sind und was von autonomen bzw. Assistenzsystemen kommt. Zudem wird es interessant, wenn ein Auto z.B. bei der Steuerung adaptiv ist, weil dann die naiven Blackboxdaten gegebenenfalls nichts mehr aussagen, wenn man das nicht zueinander in Beziehung setzen kann.

        Das bleibt kompliziert, und „irgendwie Logfiles“ geht da gar nicht.

  2. In meiner Arbeitsumgebung würde sich „klare Haftungsregeln“ mit „wenn das hinreichend wahrscheinlich sei“ (siehe Absatz 2) etwas wiedersprechen.

    Auch kann ich im Artikel nicht ganz nachvollziehen, welche natürliche oder juristische Person nun tatsächlich haftbar wird.

    1. Ersteres ist eine semantische Frage, die kann ich nicht klären. Haftbar gemacht werden soll die Herstellerfirma eines KI-Produkt.

      1. „Herstellerfirma“ ist immer noch extrem vage. Vor allem da Software i.d.R. lizenziert wird.
        Haftet dann die Software-Firma die die KI programmiert hat, oder der Hersteller des Geräts das die KI lizenziert bzw. verwendet hat? In letzterem Fall würde das wohl zu sehr vielen Briefkasten-Firmen führen, die nur den Vertrieb eines einzigen KI-Geräts übernehmen und im Schadensfall einfach Insolvenz anmelden. In ersterem Fall stellt sich die Frage wie man überhaupt in die Haftung kommen kann, denn auch heute schon schließen praktisch alle Software-Hersteller wirksam jegliche Haftung für Softwarefehler/Bugs aus.

  3. Danke! Mehr Details bzgl. wer genau wofür haften soll, wären interessant (muss mir aber ggfs. auch selbst mal den Text vornehmen). Ich sehe ein mögliches Spannungsfeld zwischen offener Hardware, die wir ja alle gern hätten, um sie mit der Software unserer Wahl zu bespielen, und einer eindeutigen Haftung. Wenn wir also z.B. KI-gestützte Autos oder auch nur Rasenmäher haben und ich ein Betriebssystem bzw. Software meiner Wahl darauf spielen können soll, wer haftet, wenn hinterher was schief läuft? Bei Autos ist die Antwort vermutlich leicht, dass vermutlich jede Kombi von Auto – Betriebssystem getestet werden müsste…doch wo ist die Grenze?

    Die Kausalitätsannahme klingt auf jeden Fall echt super. Realistischerweise wird es für Einzelne nie leicht sein, Schaden ausgeglichen zu bekommen, doch das wird es signifikant erleichtern.

  4. Ein „Elephant in the Room“ ist meines Erachtens nach:

    Was ist mit dem Verfasser der Software/Firmware¹? Haftet der in irgendeiner Weise an irgendeiner Stelle mit? Oder wird dessen Beitrag bzw. „Schuldanteil“ juristisch komplett ignoriert?

    ¹ wie auch immer das dann auch heißt

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.