Article

Beschaffung von Generative AI-Systemen und Risikominimierung in der Lieferkette für Generative AI

Deloitte Legal Whitepaper

Generative AI (GenAI) ist ein innovativer Bereich der künstlichen Intelligenz, der darauf abzielt, neue Inhalte zu erzeugen, indem er auf umfangreiche Trainingsdaten zurückgreift. Diese Technologie hat das Potenzial, die Art und Weise, wie Unternehmen arbeiten, grundlegend zu verändern, indem sie die Effizienz steigert und neue Möglichkeiten für Wachstum und Innovation eröffnet.

Laut einer Deloitte-Umfrage aus dem Jahr 2024 erwarten über 79 % der CEOs, , dass GenAI ihre Unternehmen in den nächsten drei Jahren transformieren wird. Diese Technologie bietet jedoch nicht nur Chancen, sondern bringt auch eine Reihe von Herausforderungen mit sich, die sorgfältig gemanagt werden müssen. Dazu gehören rechtliche, ethische und operative Risiken, wie die Verletzung von Rechten am geistigen Eigentum, Datenschutzbedenken und die Einhaltung eines zunehmend komplexen regulatorischen Umfelds. Kritisch wird es auch, wenn GenAI in Lieferketten integriert wird, da dies potenziell zu Reputationsschäden und Klagen führen kann, wenn keine angemessenen Maßnahmen zur Risikominderung getroffen werden.

 

Klicken Sie hier für eine größere Ansicht.

 

Wichtige rechtliche Fragen im Zusammenhang mit GenAI

Die Einführung von GenAI in Unternehmen wirft eine Vielzahl rechtlicher Fragen auf, die bei der Beschaffung und Nutzung dieser Technologie berücksichtigt werden müssen:

  • Datenschutz: GenAI-Systeme verarbeiten während ihrer Entwicklung und Nutzung große Mengen an Daten. Dies erfordert die Einhaltung strenger Datenschutzgesetze, insbesondere wenn personenbezogene Daten involviert sind. Insbesondere in der EU gibt es mit der Datenschutzgrundverordnung spezielle Anforderungen für automatisierte Entscheidungsfindungen, die erhebliche Auswirkungen auf Einzelpersonen haben können.
  • Rechte am geistigen Eigentum: Die Frage, ob GenAI-Systeme die Rechte am geistigen Eigentum verletzen, ist komplex und variiert je nach Rechtsordnung. Es ist entscheidend, die Eigentumsrechte an den von GenAI erzeugten Inhalten zu klären und sicherzustellen, dass keine geschützten Werke ohne Erlaubnis genutzt werden.
  • Vertrauliche Informationen: Unternehmen müssen dafür Sorge tragen, dass die Nutzung von GenAI nicht gegen Geheimhaltungsvereinbarungen verstößt, insbesondere wenn Daten von Dritten verwendet werden.
  • Regulierung: Die regulatorischen Anforderungen an GenAI variieren weltweit. Die Nichteinhaltung kann zu erheblichen Sanktionen führen, weshalb Unternehmen sicherstellen müssen, dass sie alle relevanten Vorschriften berücksichtigen.
  • Ungenauigkeit und Blackbox: GenAI-Systeme können ungenaue Ergebnisse liefern, die als korrekt dargestellt werden. Die "Blackbox"-Natur dieser Systeme erschwert es, die Entscheidungsprozesse nachzuvollziehen, was die Einhaltung von Transparenzanforderungen erschwert.
  • Haftung und Voreingenommenheit: Unternehmen müssen sich der rechtlichen Haftung bewusst sein, die sich aus ungenauen oder voreingenommenen Ergebnissen von GenAI ergeben kann. Dies umfasst auch das Risiko von Diskriminierung z.B. aufgrund des Geschlechts.
  • Umwelt, Soziales und Governance (ESG): Der hohe Energieverbrauch von GenAI-Systemen kann sich auf die ESG-Verpflichtungen von Unternehmen auswirken. Zudem können Diskriminierungen in den Ergebnissen soziale Folgen haben.

Das Ziel dieses Whitepapers ist es, die kritischen vertraglichen Fragen und Risiken, die bei der Beschaffung von GenAI zu berücksichtigen sind, auf einer von der Rechtsordnung weitgehend unabhängigen Basis zu erläutern. Darüber hinaus soll ein Überblick über einige der wichtigsten Schritte gegeben werden, die eine Organisation in Betracht ziehen sollte, um diese Fragen und Risiken effektiv anzugehen und zu mindern.

Vertragliche Anforderung an die Beschaffung von GenAI-Systemen

Bei der Beschaffung von GenAI-Systemen sollten Unternehmen eine Reihe spezifischer Risiken in ihren Verträgen berücksichtigen:

  • Datenschutz: Es muss sichergestellt werden, dass alle Datenschutzanforderungen erfüllt sind, um eine konforme Nutzung der GenAI-Systeme zu ermöglichen. Dies umfasst die Klärung der Rollen von Datenverantwortlichen und Datenverarbeitern sowie die Sicherstellung, dass die Datenverarbeitung transparent und nachvollziehbar ist.
  • Trainingsmaterialien: Unternehmen sollten sich ein klares Bild von den Datensätzen machen, die für das Training der GenAI verwendet werden, und sicherstellen, dass diese rechtmäßig genutzt werden. Dies kann durch vertragliche Zusicherungen und Entschädigungen abgesichert werden.
  • (Weiter-)Verwendung der Daten: Die Grenzen der Nutzung von Eingabe- und Ausgabedaten sollten klar definiert werden, um die Vertraulichkeit zu wahren und die Geschäftsgeheimnisse zu schützen.
  • Unterstützung bei der Umsetzung der Anforderungen des EU AI Acts: Der EU AI Act stellt spezifische Anforderungen an die Anbieter und Nutzer von KI-Systemen. Unternehmen müssen sicherstellen, dass sie diese Anforderungen erfüllen, insbesondere wenn sie GenAI-Systeme beschaffen oder in ihrer Lieferkette einsetzen. Dies umfasst die Implementierung von Risikomanagementsystemen, die Überprüfung der Eingabedaten und die Einhaltung von Transparenz- und Sicherheitsanforderungen. Entsprechende Unterstützung durch den Anbieter muss sich das Unternehmen zusichern lassen.
  • Sektorale Regulierung: In vielen Branchen gibt es zusätzliche Vorschriften, die bei der Beschaffung von GenAI-Systemen berücksichtigt werden müssen. Unternehmen sollten sicherstellen, dass ihre Verträge den Anbieter verpflichten, die Einhaltung dieser Vorschriften zu unterstützen.
  • Haftung: Unternehmen sollten sorgfältig prüfen, welche Haftungsrisiken mit dem Einsatz von GenAI verbunden sind, und sicherstellen, dass diese Risiken durch angemessene vertragliche Regelungen wie Freistellungen und Haftungsbeschränkungen abgedeckt sind.
  • Cybersicherheit: Cybersicherheitsaspekte sollten bei den Verhandlungen mit dem Anbieter berücksichtigt werden. Unternehmen sollten daher sicherstellen, dass der Anbieter über angemessene Sicherheitsmaßnahmen verfügt und diese in den Vertrag aufgenommen werden.
  • Kostenkontrolle: Der Betrieb von GenAI-Systemen kann kostspielig sein, insbesondere aufgrund des hohen Energieverbrauchs und der teuren Hardwareanforderungen. Unternehmen sollten transparente Preismechanismen vereinbaren, die ihren Bedürfnissen entsprechen, und sicherstellen, dass die langfristige Preisstabilität gewährleistet ist.
  • Vendor Lock-in: Um eine langfristige Abhängigkeit von einem bestimmten Anbieter zu vermeiden, sollten Unternehmen die Vertragsbedingungen sorgfältig prüfen und sicherstellen, dass sie im Falle einer Vertragsbeendigung bei Bedarf Unterstützung beim Ausstieg erhalten.
  • ESG-Richtlinien: Unternehmen sollten ihre ESG-Richtlinien überprüfen und sicherstellen, dass diese in den Vertrag für ein GenAI-System aufgenommen werden. Dies umfasst auch die Berücksichtigung der Entwicklung der ESG-Richtlinien während der Vertragslaufzeit.

Beschaffung von „AI-Enabled Services“ in der Lieferkette

Neben der Beschaffung von GenAI-Systemen kommt dem Einsatz von GenAI in der Lieferkette eine immer größere Bedeutung zu. Unter solchen „AI-Enabled Services“ ist der Bezug solcher Leistungen zu verstehen, die wesentlich durch den Einsatz von GenAI erbracht werden, ohne dass das Unternehmen das GenAI-System jedoch selbst bezieht. Der Einsatz dieser AI-Enabled Services kann zusätzliche Risiken mit sich bringen, die sorgfältig bewertet und gesteuert werden müssen. Trifft beispielsweise ein Dienstleister als Personalvermittler innerhalb der Lieferkette eine Entscheidung zur Auswahl einer sich bewerbenden Person, die auf der Verwendung eines voreingenommenen Tools beruht oder das nicht den KI-spezifischen rechtlichen Anforderungen entspricht, kann dies für den Endkunden erhebliche Reputationsschäden bedeuten und ihn einem Klagerisiko aussetzen. Das Unternehmen sollte sich daher darüber informieren, auf welche Art und Weise die als AI-Enabled Service eingekaufte Leistung erbracht wird, um die erforderlichen Maßnahmen anzugehen. Unter anderem muss berücksichtigt werden, welche „Rolle(n)“ das Unternehmen als Kunde einnimmt. Im Rahmen ihrer Verträge mit Lieferanten und Dienstleistern, sollten Unternehmen darüber hinaus klare Regelungen zur Nutzung von GenAI treffen und diese regelmäßig überprüfen und aktualisieren.

 

Umsetzung in die Praxis

Um die in diesem White Paper erörterten Risiken effektiv zu managen, müssen Unternehmen ihre Standardvertragsvorlagen anpassen und ihre Beschaffungsprozesse so umgestalten, dass sie die GenAI spezifischen Risiken frühzeitig erkennen und abdecken.

Für weitere Informationen oder Unterstützung bei der Bewältigung der Herausforderungen und Chancen, die GenAI bietet, stehen Ihnen unsere Experten bei Deloitte Legal zur Verfügung. Bitte zögern Sie nicht, uns zu kontaktieren, um mehr darüber zu erfahren, wie wir Ihre Unternehmen unterstützen können.

Sprechen Sie uns an!

Stand: Dezember 2024

Fanden Sie diese Information hilfreich?