KI in SaaS-Verträgen: Zwischen Innovation und Regulierung

Vertragsrechtliche Einordnung: Was wird geschuldet?

SaaS-Verträge stellen keinen eigenen Vertragstyp nach dem BGB dar, sondern vereinen üblicherweise Elemente aus dem Miet-, Dienst- und Werkvertragsrecht.

Entsprechend gibt es auch für die Erweiterung von SaaS-Verträgen für zusätzliche KI-Features keinen eigenen Vertragstyp.

Im Vertrag hat das Auswirkungen auf die Beschreibung der zu erbringenden Leistungspflichten und die Anwendbarkeit gesetzlicher Regelungen.

Fällt ein Vertrag unter einen der gesetzlichen Vertragstypen, greifen (soweit nicht durch Vereinbarung modifiziert) die dafür festgelegten Regeln zu Umfang und Güte der geschuldeten Leistung.

Ist eine solche Zuordnung nicht möglich, greift das Recht des Vertragstypus, der dem Vertragsgegenstand am nächsten kommt.

Um Rechtsunsicherheiten zu vermeiden – und um im Streitfall eine präzise Grundlage zu haben – sollten die jeweiligen Leistungspflichten möglichst genau festgelegt werden.

Der Vertrag sollte eine klare Definition der KI-Funktionalitäten und der verarbeiteten Daten beinhalten.

Um Klarheit zu schaffen, kann es hilfreich sein, bestimmte Funktionalitäten ganz auszuschließen und Einschränkungen transparent zu beschreiben.

Außerdem sind Verfügbarkeiten der KI-Features festzulegen – eine 100-prozentige Verfügbarkeit ist praktisch nämlich nicht zu gewährleisten.

Spielt die Digitale-Inhalte-Richtlinie eine Rolle?

Soweit die SaaS-Lösung Verbrauchern angeboten wird, können sich zusätzliche Pflichten aus der Digitale-Inhalte-Richtlinie (in Deutschland umgesetzt in §§ 327 ff. BGB) ergeben.

Beispielsweise muss gewährleistet werden, dass die KI-Funktion wie beworben funktioniert.

Im B2B-Bereich besteht insofern mehr Spielraum für individuelle Vereinbarungen.

Allerdings ist es auch hier nicht ratsam, die KI-Funktion und die Erwartungshaltung des Kunden weit auseinanderfallen zu lassen.

Welche vertraglichen Haftungsbeschränkungen sind möglich?

Mit der Einführung von KI-Elementen steigt auch das Risiko, von Nutzern aufgrund fehlerhaften oder irreführenden Outputs in Haftung genommen zu werden.

Um etwaige Ansprüche seitens der Nutzer zu vermeiden, sollten sowohl in Allgemeinen Geschäftsbedingungen (AGB) als auch in individuellen Verträgen klare Haftungsbeschränkungen aufgenommen werden.

Wichtig ist es hierbei, die Grenzen des Machbaren aufzuzeigen: Eine KI liefert in der Regel Wahrscheinlichkeiten statt unfehlbarer Ergebnisse.

Neben der vertraglichen Haftung kann – beispielsweise bei Verletzungen von Persönlichkeitsrechten durch KI-generierte Inhalte – auch eine deliktische Haftung des Anbieters in Betracht kommen.

Im Hinblick auf mögliche Haftungsausschlüsse müssen jedoch die gesetzlichen Schranken (etwa betreffend Vorsatz oder grobe Fahrlässigkeit) und eine Vielzahl an Urteilen berücksichtigt werden.

Vor allem in AGB dürften allzu exotische Haftungsausschlüsse für KI-Produkte zur Unwirksamkeit des Haftungsausschlusses führen.

Spielt das Produkthaftungsrecht eine Rolle?

Nach der neuen Produkthaftungsrichtlinie der EU (ProdHaftRL) gilt Software – und somit auch KI-Komponenten – als „Produkt“ im Sinne des Produkthaftungsrechts.

Die neue Richtlinie erweitert damit die klassische Produkthaftung auf SaaS-Produkte, soweit diese im geschäftlichen Kontext auf dem Markt bereitgestellt werden.

Anbieter haften somit verschuldensunabhängig, wenn Fehler der Software zu einem Schaden an Gesundheit, Eigentum oder bestimmten Daten einer natürlichen Person führen.

Produkte gelten schon dann als fehlerhaft, wenn ein Schaden daraus resultiert, dass sicherheitsrelevante Updates nicht bereitgestellt wurden.

Die Vorschriften des Produkthaftungsrechts sind vertraglich gerade nicht abdingbar und etwaige Haftungsausschlüsse unwirksam.

Anbieter können dem folglich nur begegnen, indem sie ihre Dienste sicher gestalten.

Auf die Vertragsgestaltung hat das Produkthaftungsrecht jedoch in der Regel keine Auswirkung.

Das Produkthaftungsrecht findet schlicht Anwendung.

Gegenwärtig ist die Produkthaftungsrichtlinie noch nicht in einer Novelle des Produkthaftungsgesetzes umgesetzt.

Was muss datenschutzrechtlich abgebildet werden?

KI-Komponenten in SaaS können personenbezogene Daten verarbeiten – beispielsweise, wenn die Anwender das Tool mit Nutzerdaten füttern.

Insofern müssen die Grundprinzipien der DSGVO eingehalten werden, also eine eindeutige Rechtsgrundlage für die Verarbeitung bestehen und insbesondere die Grundsätze der Zweckbindung und Datenminimierung.

Häufig betreiben SaaS-Anbieter ihre Lösungen als Auftragsverarbeiter und müssen entsprechend einen Auftragsverarbeitungsvertrag abschließen.

Treten weitere externe Dienstleister hinzu, müssen auch deren datenschutzrechtliche Rollen geklärt und vertraglich abgebildet werden.

KI-Anwendungen wie ChatGPT werden oft in den USA oder anderen Drittländern betrieben.

Sobald personenbezogene Daten in ein Land außerhalb der EU übermittelt werden, müssen Anbieter ein angemessenes Datenschutzniveau für diese Übermittlung gewährleisten.

Neben Angemessenheitsbeschlüssen – etwa für die USA oder Schweiz – sind hierfür die Standardvertragsklauseln der EU-Kommission besonders relevant.

In jedem Fall müssen Anbieter ihre Dokumentationen und Prozesse betreffend den Drittstaatentransfer stets aktuell halten, um so ihre Nachweispflichten erfüllen zu können.

Wem gehört der KI-Output?

KI-generierte Inhalte werden durch das deutsche Urheberrecht nicht geschützt, da es sich dabei nicht um die geistige Schöpfung eines Menschen handelt.

Denkbar ist jedoch, dass KI-Modelle Inhalte erzeugen, die geschützte Werke übernehmen oder diese im urheberrechtlichen Sinne bearbeiten.

In solchen Fällen greift auch der urheberrechtliche Schutz und bestimmte Nutzungen – etwa die öffentliche Wiedergabe – sind nur mit Zustimmung des Rechteinhabers zulässig.

Anbieter sollten dies potenziell berücksichtigen und vertragliche Regelungen zur Nutzung generierter Inhalte durch die Anwender sowie zur Verantwortungsverteilung im Falle urheberrechtlicher Ansprüche durch Dritte treffen.

Allgemein ist KI-Output jedoch gemeinfrei und darf prinzipiell ohne Zustimmung von jedermann genutzt werden.

Sollten Anbieter ein Schutzinteresse an den KI-generierten Inhalten haben, muss dies im Rahmen einer Lizenzvereinbarung geregelt werden.

Hat der Data Act Auswirkungen auf die Vertragsgestaltung?

Der Data Act regelt Datenzugang und (gemeinsame) Nutzung von erzeugten Daten und betrifft in erster Linie vernetzte Geräte und Dienste.

Nicht jedes KI-Feature in SaaS-Anwendungen unterliegt somit automatisch den Data-Act-Regelungen.

Die Verordnung greift jedoch überall dort, wo Unternehmen zur Datenweitergabe verpflichtet sind oder technische Portabilitätsanforderungen erfüllen müssen.

Wer KI-Funktionen in sein SaaS-Produkt integriert, sollte daher genau prüfen, ob – und wenn ja, in welchen Punkten – der Data Act Relevanz hat.

Dies kann etwa bei der Einbindung von Drittanbietern oder bei anfallenden IoT-Daten der Fall sein.

Neben passenden Vertragsklauseln sollten Anbieter in solchen Fällen auch für eine den Vorgaben entsprechende Daten- und Schnittstellenstruktur Sorge tragen.

Darüber hinaus sind ggf. Regelungen des Data Act zu berücksichtigen, wenn der Vertrag auch eine Regelung zur Nutzung der Daten für das KI-Training beinhalten soll.

Der Data Act macht Vorgaben für solche Vertragsinhalte.

Welche Konsequenzen hat der AI Act?

Der AI Act schreibt für KI-Anwendungen gestufte Pflichten abhängig vom Risiko des KI-Systems und der Rolle des jeweiligen Akteurs vor.

Die Verordnung ist insofern vor allem für Anbieter relevant, deren KI-Features unter den Begriff der Hochrisiko-KI fallen.

Dies setzt eine dezidierte Einzelfallprüfung voraus, häufig dürfte es sich bei den SaaS-Lösungen jedoch nicht um Hochrisiko-KI handeln.

Ist dies doch der Fall, muss danach unterschieden werden, ob der SaaS-Anbieter „Anbieter“ i.S.d. Art. 3 Nr. 3 AI Act oder „Betreiber“ nach Art. 3 Nr. 4 AI Act ist.

Konsequenzen ergeben sich dann in erster Linie im Hinblick auf Dokumentations- und Compliancepflichten, vertragsrechtliche Implikationen sind insofern möglich.

Eine Übersicht zu den Pflichten nach der KI-Verordnung bietet unser Whitepaper zum AI Act.

In a nutshell: Praktische Tipps für die Vertragsgestaltung

Klare Leistungsbeschreibung

Festlegen, welche KI-Funktionen in welchem Umfang und welcher Güte angeboten werden.

Haftungsregeln anpassen

Haftung für KI-Fehler im gesetzlich zulässigen Rahmen begrenzen.

Datenschutz-Compliance

Auftragsverarbeitungen prüfen, dokumentieren und datenschutzkonform gestalten.

Urheberrechtliche Nutzungsregeln

Verantwortlichkeiten und Rechte bei KI-generierten Inhalten vertraglich klären.

Berücksichtigung des Data Act

Technische Anforderungen und Datenzugriffsrechte in Verträgen abbilden.

KI-Regulierung einplanen

Relevanz des AI Act prüfen und notwendige Compliance-Maßnahmen vorbereiten.

Wie können wir Sie bei der Vertragsgestaltung unterstützen?

Die Einbindung von KI-Features in SaaS-Anwendungen bietet spannende Möglichkeiten, stellt Anbieter jedoch auch vor Herausforderungen.

Im Hinblick auf Leistungsumfang und Haftungsfragen stellen sich häufig die gleichen Fragen wie bei SaaS-Modellen ohne KI-Bezug.

Wir beraten Sie mit Erfahrung und Fachkenntnis zur optimalen vertraglichen Absicherung Ihrer KI-Anwendungen.