Das Angebot an Tools mit künstlicher Intelligenz wächst weiter, insbesondere im GenAI-Segment. Laut einer aktuellen PwC-Studie werden sie jedoch von Unternehmen, insbesondere in der Schweiz, mit einiger Vorsicht übernommen. Dabei stehen insbesondere regulatorische Bedenken im Raum.
Um Schweizer Unternehmen dabei zu helfen, die einzuhaltenden Anforderungen klarer zu erkennen, hat der Zürcher Anwalt David Rosenthal von der Anwaltskanzlei Vischer eine Checkliste mit den wichtigsten Aspekten erstellt, die bei Verträgen mit Dienstleistern für KI zu berücksichtigen sind.
In seinem Artikel (Teil einer Artikelserie über KI), in dem diese Checkliste vorgestellt wird, erklärt David Rosenthal, dass der Schutz von Daten, Geschäftsgeheimnissen, geistigen Eigentumsrechten und die Einhaltung zukünftiger europäischer Vorschriften wichtige Punkte sind, die in Verträge mit KI-Dienstleistern integriert werden müssen.
Datenschutz und Berufsgeheimnisse
Wenn sich ein Unternehmen für die Nutzung eines KI-Dienstes entscheidet, muss es dessen potenzielle rechtliche Schwachstellen, insbesondere im Hinblick auf den Schutz personenbezogener Daten, identifizieren. Es ist zwingend erforderlich, einen Datenverarbeitungsvertrag (AVV) im Einklang mit der DSGVO bzw. dem schweizerischen Datenschutzrecht abzuschließen. Auch wenn nur Verbindungsdaten verarbeitet werden, ist dieser Vertrag sinnvoll, um einen Missbrauch der erzeugten Daten abzusichern und einzuschränken.
Gleichzeitig ist der Schutz geheimer Informationen ebenso wichtig. Vereinbarungen müssen strikte Geheimhaltungsverpflichtungen vorsehen, die sowohl die Geschäftsgeheimnisse des Unternehmens als auch die von Dritten anvertrauten Geschäftsgeheimnisse abdecken.
Geistige Eigentumsrechte und Einhaltung gesetzlicher Vorschriften
Auch die Frage der geistigen Eigentumsrechte muss berücksichtigt werden. Unternehmen müssen sicherstellen, dass proprietäre Inhalte, die von KI-Diensten verwendet werden, nicht ohne ihre Zustimmung für andere Zwecke genutzt werden. Es sollte geprüft werden, ob die durch den KI-Dienst generierten Ergebnisse, wie Texte, Bilder oder Videos, vom Unternehmen frei genutzt werden können oder ob der Anbieter Einschränkungen vorsieht.
Auch wenn die Bestimmungen des künftigen EU-KI-Gesetzes noch nicht in Kraft sind, sollten Unternehmen hinsichtlich der KI-Vorschriften diesen Anforderungen zuvorkommen, indem sie von ihren Lieferanten die Einhaltung künftiger Verpflichtungen verlangen.
In der Praxis können Unternehmen verschiedene rechtliche Punkte auf vielfältige Weise in ihre Verträge integrieren. Beispielsweise verlangen einige große Unternehmen mittlerweile von ihren Lieferanten die Unterzeichnung eines „IA Annex“, der sie dazu verpflichtet, den Einsatz von KI vorab zu erklären, erklärt David Rosenthal.
Die Frage der Auslagerung von KI-Operationen
Es ist auch üblich, dass Unternehmen diese Technologien nicht selbst verwalten und diese Vorgänge auslagern. Dies erschwert Compliance-Aspekte, da vertragliche Zusagen nur dann gültig sind, wenn sie auch von Subunternehmern garantiert werden. Das andere Szenario betrifft Lieferanten, die KI-Lösungen entwickeln und diese in der IT-Infrastruktur ihrer Kunden implementieren. „In manchen Fällen verwalten nur Kunden die Systeme; in anderen Fällen ist der Lieferant verantwortlich. Rechtlich gesehen gilt jedoch der Kunde als Hauptlieferant der KI-Lösung“, betont der Anwalt.
