VISCHER ist eine Schweizer Anwaltskanzlei, die sich der rechtlichen Lösung von Geschäfts-, Steuer- und Regulierungsfragen widmet.
SWISS LAW AND TAX
Dienstleistungen
Immaterialgüterrecht
Life Sciences, Pharma, Biotechnologie
Prozessführung und Schiedsgerichtsbarkeit
Lernen Sie unser Team kennen
Unser Know-how, unsere Expertise und unsere Publikationen
Alle anzeigen
Events
Blog
Karriere
23. April 2024
Die Mehrheit unserer Klienten setzt generative KI vor allem in Form von Online-Services ein. Dabei tummeln sich mittlerweile eine grosse Zahl an Providern auf dem Markt. Ihre Versprechungen sind regelmässig vollmundig, ihre Verträge aber oftmals ungenügend. Doch worauf sollte bei solchen Verträgen geachtet werden? Dies erklären wir in Teil 15 unserer KI-Blog-Serie.
Um es gleich vorweg zu nehmen: Die wichtigsten Punkte, auf die bei Verträgen mit Providern von KI-Services zu achten ist, haben wir in einer kostenlosen Checkliste zusammengestellt, anhand derer die Verträge geprüft werden können. Diese kann hier auf Deutsch (und hier auf Englisch) bezogen werden:
Die Liste der relevanten Aspekte ist recht lang, was damit zu tun hat, dass sie unterschiedliche Konstellationen und Themen abdeckt. Diese spielen nicht in allen Projekten eine Rolle oder sind gleich wichtig. Die wichtigsten Punkte, auf die an sich fast immer geachtet werden sollte, haben wir mit einem Stern markiert.
Entscheidet ein Unternehmen sich für die Nutzung eines KI-Services, dann muss es sich zunächst bewusst werden, in welchen Bereichen es rechtlich durch den Einsatz von KI exponiert sein könnte. Wir unterscheiden hierbei grob vier Bereiche:
In der Praxis können die obigen Punkte bzw. die Punkte auf der Checkliste auf unterschiedlichste Weise in den Vertrag eingebunden werden. Wir haben erste (grössere) Unternehmen gesehen, die von ihren Lieferanten die Unterzeichnung eines "AI Annex" verlangen, in welchem diese insbesondere verpflichtet werden, von sich aus den Einsatz von KI offenzulegen. Das hat durchaus eine gewisse Logik, denn Unternehmen sind zur Einhaltung der einschlägigen Vorgaben an KI-Systeme z.B. unter dem AI Act auch dann verpflichtet, wenn sie gar nicht wissen, dass sie solche Systeme einsetzen. Wir verweisen auf unseren ausführlichen Beitrag zum EU AI Act in Teil 7 unserer Blog-Serie. Es macht daher durchaus Sinn, dass Unternehmen auch seitens ihrer Lieferanten Schritte unternehmen um zu verstehen, welche der von ihnen eingekauften Services und Produkte "KI" beinhalten, also Systeme, die ganz oder teilweise auf Basis eines Trainings statt einer Programmierung arbeiten.
Eine weitere Entwicklung, die wir in der Praxis beobachten, ist die starke Zunahme an Unternehmen, die die von ihnen angebotene KI nicht selbst betreiben, sondern dies wiederum an Subunternehmer ausgelagert haben. Das ist auch nachvollziehbar, ist es doch heute für viele Unternehmen viel einfacher, KI-Basisfunktionalität bei einem der grossen Hyperscaler einzukaufen und dort betreiben zu lassen. Hinsichtlich der Verträge und Compliance macht es die Sache allerdings komplizierter, da ein Provider seinem Kunden vertraglich natürlich maximal nur jene Zusagen machen will, die er von seinem Subunternehmer bestätigt erhalten hat. Mit diesen werden solche ISVs aber nur beschränkt verhandeln können. Jeder zusätzliche Subunternehmer ist zudem ein weiterer "Point of Failure" in der Leistungserbringung.
Die dritte Entwicklung, die wir beobachten, ist der zunehmende Einsatz von Anbietern, welche KI-Lösungen entwickeln und dann in der IT-Infrastruktur ihrer Kunden implementieren. Teilweise betreiben dann nur noch die Kunden die Systeme, teils tun das noch die Anbieter. Nach aussen hin ist jedoch der Kunde rechtlich gesehen der (primäre) Anbieter der KI-Lösung. Das klassische Beispiel ist der Chatbot auf der Website eines Unternehmens, mit welchem es seinen Kundendienst entlastet. In diesen Fällen kommt es teilweise zu Diskussionen, welche Rolle diese Anbieter haben und wie weit sie in die Pflicht genommen werde können. Aus unserer Sicht sind hier Absprachen in Bezug auf die Einhaltung des rechtlichen Rahmens und entsprechende vertragliche Zusagen auch dann sinnvoll, wenn diese Anbieter lediglich als Technologielieferanten und Implementationspartner auftreten und nicht als Service-Provider. Dabei geht es um Angaben zu den verwendeten KI-Modellen, wie die Lösungen gegen Missbräuche geschützt sind und ob die Lösungen die künftigen Vorgaben wie z.B. bezüglich der Markierung von generierten Texten, Bildern und Videos einhalten oder einhalten werden.
In der Checkliste haben wir schliesslich noch jeweils den Fall erwähnt, dass ein Drittunternehmen nicht als klassischer Dienstleister auftritt, sondern als Partner in einem gemeinsamen KI-Projekt. Zu denken ist etwa an Situationen, in denen ein Unternehmen eine bestimmte Lösung eines anderen Anbieters an die eigene Systemwelt anbinden will, ihn aber nicht als ihren Auftragsverarbeiter betrachtet, sondern als eigenständigen Verantwortlichen. Auch in diesen Fällen sind vertragliche Regelungen angezeigt.
Ohnehin ist das Thema KI - und das Interesse, von Kunden gewonnene Daten für KI-Trainings einzusetzen - nicht nur auf Dienstleister beschränkt, die ihrerseits KI-Services und -Produkte anbieten. Früher oder später werden die meisten Unternehmen sich Gedanken dazu machen, ob und wie sie ihre Daten auch aus Kundenprojekten für KI-Zwecke einsetzen können. Entsprechende vertragliche Regelungen (wie in der Checkliste aufgeführt) können daher auch in anderen Partner- und Lieferantenverträgen sinnvoll sein. Einen "Grundschutz" liefert bereits eine Geheimhaltungsklausel, die auch besagt, dass vertrauliche Informationen des Vertragspartners nicht für andere Zwecke als den Vertrag benutzt werden dürfen.
David Rosenthal
Dieser Beitrag ist Teil einer Serie über den verantwortungsvollen Einsatz von KI im Unternehmen:
Wir unterstützen Sie bei allen Fragen zu Recht und Ethik beim Einsatz von künstlicher Intelligenz. Wir reden nicht nur über KI, sondern setzen sie auch selbst ein. Weitere Hilfsmittel und Publikationen von uns zum Thema finden Sie hier.
Kategorie: Data & Privacy
Team Head
Der Datenschutz verlangt sie nach Ansicht von gewissen Datenschützern immer, der EU AI Act tut dies...
Nebst Sorgen betreffend Daten- und Geheimnisschutz ist die Furcht einer Verletzung von...
Das von uns entwickelte kostenlose Werkzeug zur Beurteilung von Anwendungen generativer KI...