Bildnachweis: Zirngibl Rechtsanwälte Partnerschaft mbB.
KI-Technologien zählen zu den wertbildenden Faktoren vieler Start-ups. Gleichzeitig werden die rechtlichen Anforderungen an Entwicklung und Einsatz von KI komplexer. KI-Compliance wird entscheidender Faktor für die Bewertung von Start-ups. Der Due Diligence-Prozess muss das Thema der KI-Compliance daher umfassend abbilden.
Die Anzahl der kapitalsuchenden Start-ups, die KI-Lösungen entwickeln oder in ihr Leistungsangebot integrieren, ist über die letzten Jahre stetig gestiegen. Förderprogramme sollen diese Entwicklung in Deutschland weiter vorantreiben. Mit dem AI Act hat der europäische Gesetzgeber allerdings einen regulatorischen Rahmen mit durchaus weitreichenden Auswirkungen auf die Entwicklung und den Einsatz Künstlicher Intelligenz gesetzt. Darüber hinaus sind Regelungen der klassischen Rechtsgebiete wie des Urheberrechts und des Datenschutzrechts und nicht zuletzt auch Haftungsfragen zu beachten. Die Frage, ob und wie sich ein Start-up in diesem regulatorischen Umfeld bewegt und entwickeln kann, entscheidet nicht nur über die Bewertung, sondern letztendlich auch darüber, ob das Start-up überhaupt für eine Anschub- oder Wachstumsfinanzierung in Betracht kommt.
AI Act
Der AI Act ist das weltweit erste Gesetz, das die Verwendung und Entwicklung von Künstlicher Intelligenz regelt. Es unterscheidet drei Kategorien von KI-Systemen: verbotene KI-Praktiken, Hochrisiko-KI-Systeme und sonstige KI-Systeme. Verboten sind unter anderem KI-Systeme für Social Scoring, aber auch solche, die zur Emotionserkennung am Arbeitsplatz eingesetzt werden. Als Hochrisiko-KI-System können insbesondere KI-Systeme für Biometrie, Aufgaben der öffentlichen Verwaltung und Justiz sowie zur Bewertung von Bewerbern und Arbeitnehmern gelten. Die Abgrenzung zwischen Hochrisiko-KI-Systemen und sonstigen KI-Systemen ist nicht immer eindeutig. Hinzu kommt, dass die EU-Kommission die Liste der Hochrisiko-KI-Systeme fortlaufend anpassen kann. Gleichwohl ist die Unterscheidung elementar. Von ihr hängt ab, welche Pflichten zu erfüllen sind. Der AI Act definiert Rollen, die mit unterschiedlichen Pflichtenstandards und Risiken einhergehen. Unterschieden wird zwischen Anbietern, Einführern, Händlern und Betreibern. KI-Start-ups sind Anbieter von KI-Systemen, wenn sie ein KI-System selbst entwickelt haben oder entwickeln lassen und in Verkehr bringen oder in Betrieb nehmen. Anbieter treffen Transparenzpflichten beim Umgang mit Chatbots und der Erkennbarkeit KI-generierter Inhalte. Anbieter von Hochrisiko-KI-Systemen müssen zudem Mindestanforderungen an die Qualität der Trainingsdaten erfüllen und ein Daten-Governance-System einrichten. Hinzu kommen weitreichende Dokumentations- und Aufzeichnungspflichten und das KI-System muss durch einen Menschen wirksam beaufsichtigt werden („human in the loop“). Verstöße gegen den AI Act können mit empfindlichen Bußgeldern von bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes belegt werden. Im Rahmen der Due Diligence sollte daher geklärt werden, in welche Kategorie die KI-Systeme des Start-ups fallen und wie die jeweiligen Anforderungen umgesetzt werden.
Investitionsschutz
Reine KI-Anwendungen können häufig keinen Patentschutz erhalten, da es sich hierbei um Software handelt, die grundsätzlich nicht patentierbar ist. Gleichwohl gibt es auch für KI-Anwendungen Möglichkeiten, sich vor Nachahmern zu schützen: Für urheberrechtlichen Schutz müssen die Rechte an der KI-Anwendung zweifelsfrei geklärt und dokumentiert sein. Insbesondere wenn das KI-Start-up Teile des Quellcodes von Dritten bezieht oder einer der Gesellschafter diesen ins Unternehmen einbringt, sind klare Vereinbarungen unverzichtbar. Gesetzlich geschützt sind auch Geschäftsgeheimnisse, soweit sie nicht allgemein bekannt oder leicht zugänglich sind, angemessene Geheimhaltungsmaßnahmen ergriffen wurden und ein berechtigtes Geheimhaltungsinteresse besteht. Verwenden Dritte das Geschäftsgeheimnis, kann das KI-Start-up Unterlassungs- und Schadensersatzansprüche geltend machen. Häufig verfügen Start-ups allerdings über kein ausreichendes Geheimhaltungskonzept. Fragen nach den getroffenen Geheimhaltungsmaßnahmen sind daher wichtig, um den Investitionsschutz zu bewerten.
Haftung
Der EU-Gesetzgeber plante, mit der KI-Haftungsrichtlinie ein eigenes Haftungsregime für die Verwendung von KI-Systemen zu etablieren. Diese Pläne wurden jedoch – zumindest für den Moment – verworfen und auch der AI Act trifft hierzu keine Aussage. Rechtlich ist daher bislang nicht abschließend geklärt, ob und unter welchen Voraussetzungen Anbieter für Fehler in den Ergebnissen ihrer KI-Systeme haften. Gleichzeitig sind weitreichende Haftungsbeschränkungen in den meisten Fällen unwirksam. Haftungsrisiken können gemindert werden, wenn klar festgelegt ist, was das KI-System leisten kann, aber gegebenenfalls auch, was nicht. KI-Unternehmen werben oft mit umfassenden Fähigkeiten ihrer Lösungen. Zu vollmundige Versprechen können allerdings gefährlich werden. Um bestehende Haftungsrisiken zu beurteilen, sind die Verträge mit Kunden und gegebenenfalls Lieferanten daraufhin zu überprüfen, ob diese eindeutige Leistungsbeschreibungen und womöglich auch Leistungsausschlüsse vorsehen.
Weitere rechtliche Anforderungen und Spezialgesetz
Für den Betrieb von KI-Anwendungen spielen weitere Anforderungen aus dem Datenschutzrecht, dem Arbeitsrecht und den Verträgen mit Partnerunternehmen zentrale Rollen. Sollen die KI-Anwendungen in einem regulierten Bereich wie dem Gesundheitswesen oder der Versicherungswirtschaft zum Einsatz kommen, müssen zusätzlich Spezialgesetze beachtet werden. Für Investoren ist daher nicht nur die Einhaltung der allgemeinen gesetzlichen Rahmenbedingungen, sondern auch die Bewertung regulatorischer Anforderungen ein zentraler Bestandteil der Due Diligence.
KI-Compliance beim Investment in KI-Start-ups
Investments in KI-Start-ups bieten große wirtschaftliche Chancen. Bei aller Euphorie ist es aber wichtig, die rechtlichen Risiken richtig einzuschätzen und zu bewerten. Dabei besteht KI-Compliance aus mehr als dem AI Act. Investoren und Start-ups müssen sich mit einer Vielzahl rechtlicher Fragen auseinandersetzen, um das Risiko einer Investition zutreffend bewerten zu können.
Über die Autoren:
Dr. Florian Rockenbach und Louis Rapp sind Rechtsanwälte bei Zirngibl Rechtsanwälte Partnerschaft mbB in München.
