Ratgeber: Mit guter Vorbereitung öffentliche Aufträge gewinnen
- Ausschreibungen finden
- Das richtige strategische Vorgehen bei der Angebotsabgabe
- Präqualifizierung
- Eignungsnachweise
- Tipps zur Angebotserstellung
Alle reden von KI. Wir auch! In Teil 2 erfahren Sie, wie KI-bezogene Verträge gestaltet werden können und welche Möglichkeiten es gibt. Rechtliche Tipps für Auftraggeber und Bieter.
Der erste Teil dieser zweiteiligen Beitragsserie befasste sich mit den Fragen, was KI ist, welche Bedeutung ihr im Rahmen der Beschaffung zukommt und welche Verfahrensarten sich für die Ausschreibung von KI-Leistungen anbieten. Dieser 2. Teil verschafft einen ersten Überblick über die Gestaltungsmöglichkeiten bei KI-bezogenen Verträgen.
Es existiert keine spezielle „KI-Vertragsart“. Vielmehr basieren Entwicklungs- und Nutzungsverträge über KI auf Vertragstypen, die dem deutschen Recht bereits bekannt sind: Für KI-Entwicklungsverträge kommen vornehmlich der Werkvertrag, der Dienstvertrag oder ein typengemischter Vertrag mit dienst- und werkvertraglichen Elementen in Betracht. Dagegen werden KI-Nutzungsverträge regelmäßig als Kauf- oder Mietverträge zu qualifizieren sein.
Auch „spezielle“ Vertragsregelungen wie beispielsweise zur Haftung (u.a. BGB, ProdHaftG), zum Datenschutz (u.a. DSGVO, TTDSG, BDSG), Wettbewerbsrecht (UWG, GWB) und zum Urheberrecht (UrhG) lassen sich grundsätzlich mithilfe des bestehenden Rechtsrahmens auf EU- und nationaler Ebene abbilden.
Dennoch sind nationale und EU-weite gesetzliche Entwicklungen im Blick zu behalten:
Die von der EU-Kommission ausgearbeiteten Standardvertragsklauseln für KI-Systeme enthalten zwar hilfreiche Formulierungsbeispiele, allerdings beziehen sich diese primär auf KI-Systeme im Geltungsbereich des o.g. AI-Act – der sich gegenwärtig im Trilog befindet – und umfassen nicht sämtliche für KI-Verträge relevanten Regelungen (z.B. Datenschutz, geistiges Eigentum, Abnahme, Zahlungsmodalitäten). Aufgrund der fehlenden KI-spezifischen EVB-IT-Vertragsmuster bzw. unvollständigen Standardvertragsklauseln können öffentliche Auftraggeber und Bieter daher nur in begrenztem Umfang auf vorbestehendes Wissen und einschlägige Erfahrung zurückgreifen.
Vor diesem Hintergrund beschränken sich die nachfolgenden Ausführungen auf die wesentlichen Bestandteile von KI-Verträgen:
1. Eindeutige Leistungsbeschreibung
Grundlegend sollten öffentliche Auftraggeber und Bieter darauf hinwirken, die geschuldeten Leistungen eindeutig zu beschreiben. In der Konsequenz sind kurz gefasste Verfahrensbezeichnungen und Fachausdrücke, deren Bedeutung nur den Vertragsparteien bekannt ist, möglichst zu vermeiden. Stattdessen sollten Prozesse und gewünschte Funktionen objektiv und für Dritte verständlich beschrieben werden.
Aus vergaberechtlichen Gründen müssen Leistungsbeschreibungen nicht bloß eindeutig, sondern außerdem erschöpfend sein. Denkbare Bestandteile einer KI-Leistungsbeschreibung sind beispielsweise:
2. Nutzungsrechteregelungen und Vertragszweck
In Bezug auf die einzuräumenden Nutzungsrechte sind einige Grundvoraussetzungen zu berücksichtigen.
Beabsichtigt der öffentliche Auftraggeber beispielsweise, die KI eigenständig zu trainieren, sollte dies ausdrücklich vertraglich geregelt werden. Denn nach umstrittener Auffassung des OLG Hamburg (Urt. v. 13.04.2012, Az. 5 U 11/11) liege eine zustimmungsbedürftige Umarbeitung von Software gem. § 69c Nr. 2 UrhG bereits dann vor, wenn durch die Änderung von Daten (hier: KI-Training) auf den Programmablauf eingewirkt werde.
Empfehlenswert sind zudem eindeutige Regelungen zu den Rechten an weitertrainierten Modellen und etwaigen Ergebnissen (u.U. „abgeleitete Werke“). Denn nicht der „nackte“ Auslieferungszustand einer KI spiegelt den wahren wirtschaftlichen Wert einer KI-Lösung wider, sondern vielmehr ihr Stand nach dem Training und etwaige Arbeitsergebnisse. Sollen Auftragnehmer und/oder Datenlieferanten keine „Rücklizenzen“ an weitertrainierten Modellen oder Arbeitsergebnissen erhalten, sollte dies eindeutig aus dem Vertrag hervorgehen.
Was Sie als Bieter zum Datenschutz bei öffentlichen Ausschreibungen wissen müssen, erfahren Sie im Webinar „Datenschutz und IT-Sicherheit im Vergabeverfahren“ mit Rechtsanwalt Lars Lange.
3. Zugang zu Daten und Programmversionen
Öffentliche Auftraggeber können hinsichtlich der Verarbeitungsprozesse der eingesetzten KI-Software spezifischen Auskunftspflichten und Rechtfertigungs- bzw. Nachweispflichten unterliegen, die sie häufig nicht selbstständig erfüllen können. Aufgrund dessen sind öffentliche Auftraggeber gut beraten, entweder den Zugang zu den benötigten Informationen (Prozessdaten, personenbezogene Daten, ältere Programmversionen etc.) oder die Kooperationspflicht des Auftragnehmers bzw. Datenlieferanten vertraglich sicherzustellen.
4. Haftungsfragen
Sowohl der KI-Hersteller als auch der Kunde/öffentliche Auftraggeber können unter Umständen der vertraglichen und deliktischen Haftung unterliegen. Dabei wird der öffentliche Auftraggeber regelmäßig der einzige Vertragspartner des Endnutzers (z.B. Bürger einer Gemeinde) sein. Die Haftung zu beschränken, wird deshalb sowohl im Interesse des Herstellers bzw. Bieters als auch des öffentlichen Auftraggebers stehen.
Gleichzeitig sollten Auftraggeber eigene Regressansprüche gegen den Hersteller/Anbieter der KI-Lösung und den Datenlieferanten vertraglich sichern.
5. Datenschutz
Das Datenschutzrecht ist für die Beschaffung und den Einsatz von KI nur von Bedeutung, wenn personenbezogene Daten verarbeitet werden sollen. Ist dies der Fall, greift das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt: Jede Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO bedarf einer Rechtsgrundlage.
Für öffentliche Auftraggeber und Auftragnehmer bedeutet dies, dass die Verarbeitungsvorgänge der Datenakquise, des KI-Trainings/-Tests mittels personenbezogener Daten, des eigentlichen Einsatzes der KI, der Generierung von Datenkopien i.Z.m. Deep Learning-Layern usw. jeweils für sich genommen sowie als Ganzes bewertet werden müssen.
Die datenschutzrechtliche Analyse eines KI-Systems erfolgt dabei unter Berücksichtigung des gesamten Lebenszyklus (vgl. DSK-Positionspapier – KI-Systeme u. TOM vom 06.11.2019):
Beim Einsatz eines KI-Systems kommen zudem verschiedene Verantwortliche in Betracht (d.h. der öffentliche Auftraggeber, Auftragnehmer, ggf. Subauftragnehmer, ggf. Hersteller usw.). Die Verantwortlichkeiten und etwaige Auftragsverarbeitungsverhältnisse müssen frühzeitig – d.h. möglichst während der Vorbereitung des Vergabeverfahrens – ermittelt, in den Vergabe- und Vertragsunterlagen geregelt und klar kommuniziert werden. Daran anknüpfend sind die jeweils notwendigen Maßnahmen vorzusehen, um die rechtmäßige Verarbeitung, die Betroffenenrechte, die Sicherheit der Verarbeitung und die Beherrschbarkeit des KI-Systems zu gewährleisten (vgl. auch DSK – Hambacher Erklärung zur Künstlichen Intelligenz vom 03.04.2019).