Der Einkauf von KI-Lösungen und regulatorisches Dickicht

Die Auswahl einer geeigneten KI-Lösung beginnt mit einer klaren Definition des Anwendungsfeldes und einer Analyse der technischen Architektur. Ob Zugriff auf ein Large Language Model («LLM» wie zum Beispiel ChatGPT) oder bei dem Einkauf KI-gestützter Software, gilt es, vorab einige rechtliche Fragen zu klären. Ein präziser Einkaufsvertrag muss Haftungsfragen, Subunternehmerrollen und Besonderheiten des jeweiligen Einsatzgebietes regeln. Hierzu geben wir einen Überblick.

Was kann man beschaffen?

Die Auswahl KI-gestützter Lösungen ist grenzenlos und vielfältig. Daher sollte zuerst intern festgelegt werden, in welchem Anwendungsbereich KI-Software eingesetzt werden soll und welches System oder Angebot dafür am besten passt. Mögliche Optionen sind:

• Zugang zu einem LLM (beispielsweise ChatGPT, Claude)
• Dienstleistung für das Training eines eigenen LLM
• Zugang zu KI-gestützter Software (wie etwa Perplexity, Deepl, CoPilot)
• Spezialisierte KI-gestützte Software (zum Beispiel für Rechtsrecherche oder Angebotserstellung)
• KI-Agenten, beispielshalber für Knowledge-Management
• Chatbots
• KI-gestützte Auswertung (beispielsweise in Steuerämtern oder für Prüfungsbewertungen)
• KI-Predictive-Systeme (wie etwa in der Strafverfolgung)

Ebenso stellt sich die Frage, ob im KI-System ein amerikanisches, chinesisches, europäisches oder Schweizer LLM eingebunden ist. Diese haben Unterschiede im Entwicklungsstand und auch die geopolitischen Auswirkungen, besonders im Hinblick auf die Datensouveränität, spielen für Unternehmen und Behörden eine wichtige Rolle.

Verständnis der System-Architektur und Rechtsverhältnisse

Allein der einfache Aufbau eines ChatbotSystems zeigt, dass bei der Beschaffung des KI-Systems mehrere Rechtsverhältnisse zu berücksichtigen sind: zwischen Nutzer und Betreiber, zwischen Betreiber und Softwareentwickler, zwischen Betreiber und LLM-Anbieter sowie gegebenenfalls auch zu weiteren Dritten wie SaaS-Dienstleistern. Daraus ergeben sich einige Fragestellungen, die für den Beschaffungsvertrag von erheblich rechtlicher Bedeutung sind:

• Was wird beschafft und was ist der konkrete Vertragsgegenstand?
• Wer sind die Vertragspartner und Subunternehmer?
• Liegt ein Dienstleistungs-, Werk- oder suigeneris-Vertrag vor?
• Welche Haftungsklauseln bestehen und wer hat welche Haftung?
• Welche Auswirkungen haben bestehende oder anstehende Regulierungen?

Den Letzten beissen die Hunde? 
Das Thema der Haftung

Derzeit gibt es weder in der Schweiz noch in der EU KI-spezifische Haftungsregelungen. Und eine von der EU-Kommission angekündigte KI-Produkthaftungs-Regelung ist Anfang des Jahres kassiert worden – wohl auch aus geopolitischen Überlegungen. 

Die LLM-Anbieter jedenfalls schliessen die Haftung sehr weitreichend aus, eine Inanspruchnahme in den USA oder China dürfte auch praktische Probleme bringen. Dies ist zu berücksichtigen, denn die Haftung für strafbare oder unzulässige Inputs sowie fehlerhafte Outputs muss klar zwischen den verschiedenen Beteiligten (Nutzer bzw. Kunde, Betreiber z.B. der Website, Softwareentwickler etc.) vertraglich geregelt und in den Nutzungsbedingungen festgehalten werden. Klar ist: Die «KI» haftet mangels Rechtspersönlichkeit jedenfalls nicht.

Datenschutz und Urheberrechte

Allein über diese beiden Bereiche könnte man Abhandlungen schreiben, die den Rahmen dieses Beitrages sprengen würden. Daher als Input für die Vertragsgestaltung: 

Das Geltende Datenschutzgesetz (DSG) «ist auf KI direkt anwendbar», so der Eidgenössische Datenschutzbeauftragte. Zudem handelt es sich nach Auffassung der Datenschutzbeauftragten des Kantons Zürich bei KI-Applikationen rechtlich um eine «neue Technologie», sodass bei der Beschaffung durch öffentliche Organe eine sogenannte Vorabkontrolle der Datenschutzbeauftragten vorzulegen ist. Daher sind datenschutzrechtliche Überlegungen schon vor der Beschaffung von KI-Systemen vorzunehmen. 

Ebenfalls regelungsbedürftig sind die Themen des Urheber- und Nutzungsrechts. Während die LLM-Anbieter diese Rechte dem Nutzer sowohl am Input wie Output vollständig einräumen, sind diese Rechte dann in den erforderlichen Umfängen auch den verschiedenen Beteiligten einzuräumen oder gerade nicht einzuräumen. Werden KILösungen in Unternehmen für produktive oder skalierbare Ergebnisse eingesetzt, besteht das Interesse, dass das Urheber- oder jedenfalls Nutzungsrecht dann auch beim Unternehmen liegt und ggf. an Dritte in der Wertschöpfungskette gegen Vergütung weitergegeben werden kann.

Blick in die Zukunft: das Thema mit der Regulierung

In der Schweiz gibt es keine KI-spezifische Regulierung, jedoch ist die am 12. Februar 2025 vorgelegte Auslegeordnung des Bundesrates ein erster Fingerzeig: sektorspezifische KIRegulierung dürfte auch in der Schweiz kommen – wenn auch die Vernehmlassung erst Ende 2026 erfolgen soll und die tatsächliche Regulierung erst gegen 2030 wirksam werden könnte. Auch die von der Schweiz ratifizierte KI-Konvention des Europarates (nicht zu verwechseln mit dem AI-Act der EU) könnte Auswirkungen auf den Einsatz und die Nutzung von KI-Lösungen haben. Hier wird jede Einkaufsabteilung einen Blick in die Zukunft wagen (müssen), um keine KI-Lösung zu beschaffen, deren Einsatz einer zukünftigen Regulierung unterliegen könnte.

Bereits in Kraft ist der AI-Act der EU, der bereits jetzt verbotene KI-Praktiken unter Busse stellt. Weitere Regelungen treten zeitlich gestaffelt in Kraft. Auch das ist im Blick zu behalten, wenn KI-Lösungen beschafft werden und der Anwendungsbereich die EU betrifft – zum Beispiel, weil das Ergebnis in der EU Auswirkungen hat.

Das Gute daran: Lässt sich alles lösen

Mit KI lässt sich heute schon vieles lösen und vereinfachen. Und auch die Beschaffung und die Nutzung von KI-System lassen sich heute bereits rechtssicher lösen, auch wenn einige Rechtsfragen ungeklärt sind.