Künstliche Intelligenz (KI) revolutioniert bereits jetzt zahlreiche Bereiche von Gesellschaft und Wirtschaft. Sie eröffnet neue Chancen für Wachstum und Innovation, indem sie Prozesse automatisiert, Ressourcen effizienter nutzt und völlig neue Geschäftsmodelle ermöglicht. Dementsprechend ist die Nachfrage nach KI groß. Die Entwicklung und der Betrieb eigener KI-Modelle sind kosten- und zeitintensiv und setzen hohe Anfangsinvestitionen sowie ausgeprägte Spezialkenntnisse voraus. Um die Nachfrage nach kostengünstigen Alternativen zu decken, hat der Markt eine Lösung gefunden, auf die im IT-Bereich bereits seit Langem zurückgegriffen wird. Unter der griffigen Bezeichnung Software-as-a-Service (SaaS) werden Software- und Hardware-Ressourcen als cloud-basierte Lösungen angeboten. Ressourcen können den Nutzern so skalierbar und kostengünstig bereitgestellt werden. Der neue Stern am Himmel der cloud-basierten Dienstleistungen nennt sich AI-as-a-Service (AIaaS). Über diese Dienstleistung können Unternehmen vordefinierte oder selbst trainierbare KI-Modelle, die auf der Infrastruktur großer Cloud-Anbieter laufen, per API nutzen. Die Vorteile, die sich hinsichtlich Kosten, Zeitaufwand, Skalierbarkeit und Zugriff auf aktuelle KI-Technologien ergeben, sind immens. Somit können auch kleinere oder mittlere Unternehmen KI-Projekte realisieren, die sonst nur großen Technologieunternehmen vorbehalten wären. Auch wenn die Ähnlichkeit zu SaaS-Lösungen groß ist, wirft AIaaS eine Reihe eigener rechtlicher Fragen auf, die vor der Umsetzung von AIaaS-Projekten geklärt werden müssen.
Altbekanntes mit einem neuen Twist
Es sind bereits eine Reihe verschiedener KI-Anwendungen auf dem Markt, die unterschiedliche Funktionen bedienen. Diese reichen von KI-Chatbots über Textverarbeitung bis hin zu innovativen Investmenttools. Wie schon bei SaaS spielt auch bei AIaaS die richtige Vertragsgestaltung eine entscheidende Rolle. Der Vertrag muss dem jeweiligen Anwendungsfall gerecht werden. Zu regeln sind insbesondere die Leistungspflichten der Vertragsparteien. Die Vertragsparteien sollten sich die Zeit für klare Leistungsbeschreibungen nehmen, um Missverständnissen vorzubeugen und Klarheit für die Auslegung und rechtliche Einordnung zu schaffen. Um eine ausreichende Verfügbarkeit und Qualität der AIaaS-Dienstleistung und Wartungszeiten sowie Reaktionszeiten bei Störungen sicherzustellen, sollten Service-Level-Agreements vereinbart werden. Ein wichtiges Thema ist auch der richtige Umgang mit Datenschutz im Sinne der DSGVO, da in der Regel personenbezogene Daten verarbeitet werden. Oft ist mit der Verwendung cloud-basierter AIaaS-Lösungen auch ein Drittlandtransfer der personenbezogenen Daten verbunden, der nur unter den strengen Voraussetzungen der DSGVO erlaubt ist. Zu klären ist, wer Verantwortlicher ist und ob eine gemeinsame Verantwortlichkeit oder eine Auftragsverarbeitung vorliegt. Zu klären ist auch, ob die Verwendung der AIaaS als Auslagerung vom eigenen Unternehmen an den AIaaS-Dienstleister anzusehen ist und ob hieraus konkrete gesetzliche Pflichten folgen. Auch die IT-Sicherheit spielt eine wichtige Rolle. Dies gilt insbesondere für Finanzunternehmen, die der Verordnung (EU) 2022/2554 (DORA) unterliegen. AIaaS-Anbieter dürften regelmäßig als IKT-Drittdienstleister im Sinne der DORA qualifizieren, weshalb die weitreichenden Anforderungen der DORA einzuhalten sind. Die Anforderungen an Vertragsgestaltung, Projektorganisation und -überwachung können im Einzelfall hoch sein, es bieten sich jedoch auch viele Gestaltungsmöglichkeiten an, die am besten durch eine sorgfältige Planung und einen engen Austausch der Beteiligten für eine gelungene Umsetzung des Projekts genutzt werden.
Neuland KI-Verordnung (KI-VO)
Zusätzlich zu den oben genannten Themen kommt als neuere europäische Gesetzgebung auch die KI-Verordnung (EU) 2024/1689 (KI-VO) als weiteres Regelwerk ins Spiel, dem die Beteiligten im Fall des AIaaS gerecht werden müssen. Die Anforderungen können hier im Einzelfall sehr weitreichend sein. So werden durch die KI-VO bestimmte Praktiken im KI-Bereich verboten. Außerdem werden besondere Anforderungen zum Risikomanagement für Hochrisiko-KI-Systeme und Pflichten für Akteure in Bezug auf solche Systeme festgelegt. Es werden auch Transparenzpflichten für bestimmte KI-Systeme festgelegt und Anbietern und Betreibern von KI-Systemen wird aufgegeben, Maßnahmen zu ergreifen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Dies kann auch bedeuten, dass entsprechende Schulungen notwendig werden. In den meisten Fällen halten sich die Anforderungen an Unternehmen, die AIaaS-Lösungen in ihr Unternehmen einbinden, in Grenzen und Stellen keine wesentlichen Hindernisse dar. So ist es auch ein erklärtes Ziel der KI-Verordnung, Innovation und Beschäftigung fördern und der Union eine Führungsrolle bei der Einführung vertrauenswürdiger KI zu verschaffen.
Rechtsanwalt Anton Schröder
Newsletter abonnieren-
Book Launch Party für den Crypto Assets MiCAR Kommentar in Wien
Rechtsanwalt Lutz Auffenberg, LL.M. (London) auf der Book Launch Party zum Kommentarwerk „Crypto Assets“. -
Erneute Auszeichnung für Rechtsanwalt Lutz Auffenberg, LL.M. (London)
Das renommierte, auf die Bewertung und Empfehlung von Anwälten spezialisierte Onlineportal Lexology hat unseren Gründungspartner Rechtsanwalt Lutz Auffenberg, LL.M.(London) als einen der führenden Experten in Deutschland in seinen Lexology Index: Fintech & Blockchain (Vormals als Who’s Who Legal bekannt) aufgenommen. -
Rechtsanwältin Anja von Rosenstiel steuert Kapitel zum Handbuch MiCAR bei
Rechtsanwältin Anja von Rosenstiel, LL.M. (Boston University), M.A. (Viadrina) und of counsel bei FIN LAW hat im voraussichtlich im Februar 2025 erscheinenden Handbuch MiCAR, herausgegeben von Johannes Meier, eine rechtsvergleichende Betrachtung der MiCAR mit den US-Amerikanischen Regulierungen vorgenommen.
