Skip to content

LG Kiel: Betreiber einer Online-Datenbank für Wirtschaftsinformationen haftet für falsche KI-generierte Inhalte

LG Kiel
Urteil vom 29.02.2024
6 O 151/23


Das LG Kiel hat entschieden, dass der Betreiber einer Online-Datenbank für Wirtschaftsinformationen für falsche KI-generierte Inhalte haftet.

Aus den Entscheidungsgründen:
1. Der Klägerin steht ein Unterlassungsanspruch aus §§ 1004 Abs. 1 S.2 analog, 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, 19 Abs. 3 GG zu, dass die Beklagte es unterlässt zu behaupten, dass die Klägerin wegen Vermögenslosigkeit nach § 394 FamFG gelöscht wird (siehe Anlage K2).

a) § 1004 BGB ist analog und das allgemeine Persönlichkeitsrecht nach Art. 19 Abs. 3 GG auch auf die Klägerin anwendbar.

Unmittelbar schützt § 1004 BGB nur das Eigentum. Wegen ähnlichen Schutzes anderer absoluter Rechte wird § 1004 BGB analog auf alle absoluten Rechte des § 823 BGB angewendet (Grüneberg BGB/ Herrler § 1004 BGB Rn. 4). Eine juristische Person kann sich auf den Ehrenschutz durch das allgemeine Persönlichkeitsrecht berufen, wenn sie dieses Rechtsschutzes aus ihrem Wesen als Zweckschöpfung des Rechts und ihren Funktionen bedarf (BGH, Urteil vom 04.04.2017 - VI ZR 123/16, Rz. 16). Geschützt wird durch Art. 2 Abs. 1, Art. 1 Abs. 1 i.V.m. Art. 19 Abs. 3 GG auch der soziale Geltungsanspruch eines Wirtschaftsunternehmens (BGH, Urteil vom 16.12.2014 - VI ZR 39/14, Rz. 12). Als mittelständisches Wirtschaftsunternehmen lebt die Klägerin von ihrem Ruf und wird deshalb auch vom Wesensgehalt des allgemeinen Persönlichkeitsrecht nach Art. 19 Abs. 3 GG erfasst.

Die Klägerin ist in den äußerungsrechtlichen Schutzgehalten ihres Unternehmenspersönlichkeitsrechts betroffen.

Zur Erfassung des Inhalts der von der Klägerin beanstandeten Äußerung ist diese auszulegen. Maßgeblich für die Deutung einer Äußerung ist weder die subjektive Absicht des sich Äußernden noch das subjektive Verständnis des von der Äußerung Betroffenen, sondern der Sinn, den sie nach dem Verständnis eines unvoreingenommenen und verständigen Publikums hat (BVerfG, Beschluss vom 25.10.2012 - 1 BvR 901/11, Rz. 20). Auszugehen ist dabei stets vom Wortlaut der Äußerung, deren Sinn allerdings auch von dem sprachlichen Kontext, in dem die umstrittene Äußerung steht und von den erkennbaren Begleitumständen, unter denen sie fällt, bestimmt wird (BVerfG, a.a.O.). Dementsprechend ist die isolierte Betrachtung eines Äußerungsteils regelmäßig nicht zulässig (BGH, Urteil vom 16.11.2004 - VI ZR 298/03, Rz. 23). Ausgehend hiervon muss bei der Auslegung der streitgegenständlichen Mitteilung maßgeblich berücksichtigt werden, wie die Beklagte unter dem Menüpunkt „Über uns" ihren Nutzern die Herkunft der von ihr bereitgestellten Informationen erklärt (siehe Anlage T1):

XXX analysiert Handelsregisterbekanntmachungen und andere Pflichtveröffentlichungen deutscher Firmen, um Wirtschaftsinformationen zu gewinnen, insbesondere zu finanziellen Kennzahlen und zu Zusammenhängen zwischen Firmen untereinander sowie zu Personen. Dazu werden Methoden der Big-Data Verarbeitung

und der Künstlichen Intelligenz (KI) verwendet.

Demnach versteht das unvoreingenommene und verständige Publikum die Mitteilung (Anlage K2) so, dass die Klägerin eine Pflichtmitteilung hinsichtlich ihrer Löschung wegen Vermögenslosigkeit nach § 394 FamFG machen musste und entsprechend vor der Löschung steht.

Während das Recht auf informationelle Selbstbestimmung Schutz davor bietet, dass Dritte sich individueller Daten bemächtigen, und sie in nicht nachvollziehbarerweise als Instrument nutzen, um die Betroffenen auf Eigenschaften, Typen oder Profile festzulegen, auf die sie keinen Einfluss haben und die aber für die freie Entfaltung der Persönlichkeit sowie eine gleichberechtigte Teilhabe in der Gesellschaft von erheblicher Bedeutung sind, bietet das Persönlichkeitsrecht in seiner äußerungsrechtlichen Ausprägung Schutz vor den Gefährdungen, die sich für die Persönlichkeitsentfaltung aus der sichtbaren Verbreitung bestimmter Informationen im öffentlichen Raum ergeben (BVerfG, Beschluss vom 06.11.2019- 1 BvR 16/13, Rz. 89 ff.; BGH, Urteil vom 26.11.2019 - VI ZR 12/19, Rz. 27 ff.; so auch OLG Düsseldorf I-16 U 136/20; Anlage K6 S. 15). Gegen Letzteres wendet sich die Klägerin, weil sie sie dagegen zur Wehr setzt, dass die Beklagte bei Suchanfragen nach ihr, der Klägerin, ihren Nutzern unter anderem die streitgegenständliche Mitteilung (Anlage K2) angezeigt hat.

Die Klägerin wird durch die Äußerung der Beklagten in ihrem sozialen Geltungsanspruch berührt, weil sich daraus ergibt, dass die Klägerin wegen Vermögenslosigkeit nach § 394 FamFG gelöscht würde, was sich abträglich auf ihr Ansehen in der Öffentlichkeit und ihre Kreditwürdigkeit auswirkt. Offenbleiben kann, ob die Beklagte, wie sie meint, ein haftungsprivilegierter Host-Provider im Sinne von §§ 2, Abs. 1 Nr. 1, 10 TMG ist. Das Haftungsprivileg des § 10 Satz 1 TMG erstreckt sich nur auf die strafrechtliche Verantwortung und die Schadensersatzhaftung eines Diensteanbieters von Telemedien im Sinne von § 2 Satz 1 Nr. 1 TMG (BGH, Versäumnisurteil vom 25.10.2011- VI ZR 93/10, Rz. 19) und lässt die Möglichkeit unberührt, den Diensteanbieter wegen einer vorangegangenen Rechtsverletzung auf Unterlassung in Anspruch zu nehmen (BGH, Urteil vom 01.03.2016 - VI ZR 34/15, Rz. 19 f.).

Dieser Eingriff in das allgemeine Persönlichkeitsrecht der Klägerin ist auch rechtswidrig gewesen.

Da das Persönlichkeitsrecht ein Rahmenrecht ist, dessen Reichweite nicht absolut feststeht, kann erst durch eine Abwägung der widerstreitenden grundrechtlich geschützten Belange, bei der die besonderen Umstände des Einzelfalls sowie die betroffenen Grundrechte zu berücksichtigen sind, bestimmt werden, ob der Eingriff in das Persönlichkeitsrecht rechtswidrig gewesen ist (BGH, Urteil vom 01.03.2016 – VI ZR 34/15, Rz. 30). Nichts anderes gilt für das Recht am eingerichteten und ausgeübten Gewerbetrieb. Dieses Recht stellt einen offenen Tatbestand dar, dessen Inhalt und Grenzen sich erst aus einer Abwägung mit den im Einzelfall konkret kollidierenden Interessen anderer ergeben (BGH, Urteil vom 16.12.2014 - VI ZR 39/14, Rz. 16). Demnach ist das durch Art. 2 Abs. 1, 12 Abs. 1 und 19 Abs. 3 GG geschützte Interesse der Klägerin an ihrer sozialen Anerkennung und wirtschaftlichen Stellung mit der in Art. 5 Abs. 1 GG verankerten Meinungsfreiheit und Kommunikationsfreiheit der Beklagten sowie ihrer durch Art. 12 Abs. 1 GG geschützten Unternehmensfreiheit abzuwägen, bei deren Einschränkung die durch Art. 5 Abs. 1 GG geschützte Meinungs- und Informationsfreiheit der Nutzer des von der Beklagten betriebenen Portals zu berücksichtigen ist (vgl. BGH, Urteil vom 27.07.2020 - VI ZR 405/18, Rz. 33 und 36).

Die Beklagte will sich zwar gar nicht auf ihre Meinungsfreiheit berufen, weil sie den Rechtsstandpunkt einnimmt, ihr sei ähnlich einem Suchmaschinenbetreiber nicht an der Verbreitung einer bestimmten Meinung, sondern nur daran gelegen, die potentiellen Interessen ihrer Nutzer möglichst optimal zu befriedigen (vgl. BVerfG, Beschluss vom 6. November 2019-1 BvR 276/17, Rz. 106). Wie jedoch bereits ausgeführt wurde, ist die streitgegenständliche Äußerung nicht mit der typischen Dienstleistung eines Suchmaschinenbetreibers vergleichbar, weil die Beklagte nach der obigen Auslegung eine eigene Stellungnahme abgegeben hat. Es würde ihren Rechtsschutz erheblich verkürzen, wenn man ihr in dieser Situation den Schutz von Art. 5 Abs. 1 GG versagen würde, nur weil sie sich darauf nicht beruft.

Eine Abwägung der widerstreitenden Interessen ist allerdings entbehrlich, wenn es sich um Schmähkritik (oder - hier gänzlich fernliegend - um eine Formalbeleidigung oder einen Verstoß gegen die Menschenwürde) handelt, weil diese am Schutz der Meinungsfreiheit nach Art. 5 Abs. 1 Satz 1 GG nicht teilhaben (BVerfG, Beschluss vom 19.05.2020 - 1 BvR 2397/19, Rz. 19 und 21). Die Mitteilung der Beklagten ist jedoch nicht als Schmähkritik zu werten.

Wegen seines die Meinungsfreiheit verdrängenden Effekts ist der Begriff der Schmähkritik eng auszulegen (BVerfG, a.a.O., Rz. 20; BGH, Urteil vom 16.12.2014 - VI ZR 39/14, Rz. 18). Von einer Schmähung ist nur auszugehen, wenn eine Äußerung keinen irgendwie nachvollziehbaren Bezug mehr zu einer sachlichen Auseinandersetzung hat und es bei ihr im Grunde nur um das grundlose Verächtlichmachen der betroffenen Person als solcher geht (BVerfG, a.a.O., Rz. 19; BGH, Urteil vom 27.02.2018 - VI ZR 489/16, Rz. 37). Daher stellt auch eine überzogene, ungerechte oder gar ausfällige Kritik noch keine Schmähung dar (BVerfG, a.a.O., Rz. 18; BGH, Urteil vom 16.12.2014 - VI ZR 39/14, Rz. 18). Auch bei dieser Auslegungsfrage ist die Äußerung in ihrem Gesamtzusammenhang zu betrachten (BGH, a.a.O., Rz. 19). Demnach stellt die streitgegenständliche Äußerung keine Schmähkritik dar. Die Aussage, die Klägerin würde wegen Vermögenslosigkeit nach § 394 FamFG gelöscht, kann zwar ihren sozialen Geltungsanspruch und ihre wirtschaftliche Stellung gegenüber anderen Marktteilnehmern ganz erheblich beeinträchtigen, unter Umständen sogar gefährden. Die in Rede stehende Meldung ist jedoch sachlich gehalten.


Für die demnach gebotene Abwägung ist zu berücksichtigen, dass es sich bei der Aussage um eine unwahre Tatsachenbehauptung handelt.

Tatsachen können anders als Meinungen wahr oder unwahr sein. Der Unterschied liegt in der Beziehung zwischen der Äußerung und der Realität (BVerfGE 90, 241 (247) = NJW 1994, 1779). Der Wahrheitsgehalt der Äußerung steht im Vordergrund. Hierüber kann im Wege einer Beweisaufnahme erkannt werden. Meinungen können hingegen nicht wahr oder unwahr sein, sondern zum Beispiel wahrhaftig oder unaufrichtig, überlegt oder unbedacht (BVerfGE 33, 1 (14) = NJW 1972, 811).

Die Aussage, dass der Klägerin die Löschung nach § 394 FamFG bevorsteht, ist entweder richtig oder falsch. Eine Beweisaufnahme darüber wäre denkbar. Insofern handelt es sich bei der Aussage der Beklagten um eine Tatsachenbehauptung.

Tatsachen sind nur dann grundgesetzlich geschützt, wenn sie Voraussetzung für die Bildung von Meinungen sind und zur Meinungsbildung beitragen (BVerfGE 85, 1 (15) = NJW 1992, 1439). Die Richtigkeit der Information hat Bedeutung für den grundrechtlichen Schutz, denn unwahre Äußerungen sind kein schützenswertes Gut (BVerfGE 54, 208 (219) = NJW 1980, 2072). Kennt der sich Äußernde die Unwahrheit, lügt er also bewusst, oder ist die Unwahrheit der Tatsache im Zeitpunkt der Äußerung erwiesen, entfällt grundrechtlicher Schutz, da diese Äußerungen nicht einmal vom Schutzbereich erfasst sind (BVerfGE 99, 185 (197) = NJW 1999, 1322).

Die Beklagte bediente sich einer künstlichen Intelligenz, um die Registerpublikationen auf ihrer Website zu veröffentlichen. Die Beklagte hatte damit unbestritten keine positive Kenntnis von der Unrichtigkeit der Meldung. Von dieser Tatsache hat sie erst erfahren, als die Klägerin an sie herangetreten ist (Bl. 17 d.A.).

Dass die Meldung unrichtig ist, führt die Beklagte selbst aus (Bl. 19 d.A.). Demnach lag eine Verwechslung mit der XXX, Amtsgericht XXX HRB XXX, beim Registergericht vor (XXX vs XXX).

Die zentrale Abwägung zwischen dem Persönlichkeitsrecht der Klägerin mit der Meinungsfreiheit der Beklagten ergibt ein deutliches Überwiegen auf Seiten der Klägerin.

Die streitgegenständliche Äußerung betrifft den durch Art. 2 Abs. 1, 19 Abs. 3 GG gewährleisteten sozialen Geltungsanspruch der Klägerin als Wirtschaftsunternehmen und ihr durch Art. 12, 19 Abs. 3 GG gewährleistetes Recht am eingerichteten und ausgeübten Gewerbebetrieb. Die unternehmerische Tätigkeit vollzieht sich zwar von vornherein im Kontakt mit der Umwelt. Dementsprechend muss sich ein Gewerbetreibender wertende, nicht mit unwahren Tatsachenbehauptungen verbundene Kritik an seiner gewerblichen Leistung in der Regel auch dann gefallen lassen, wenn sie scharf formuliert ist (BGH, Urteil vom 16.12.2014 – VI ZR 39/14, Rz. 21). Allerdings muss der Gewerbetreibende nicht hinnehmen, dass seine wirtschaftliche Stellung durch falsche Tatsachenbehauptungen geschwächt wird. Dies gilt insbesondere für die streitgegenständliche Äußerung, weil die falsche Meldung, dass die Klägerin wegen Vermögenslosigkeit nach § 394 FamFG gelöscht würde, jemanden ernstlich davon abhalten kann, mit der Klägerin in geschäftlichen Kontakt zu treten. Berücksichtigt werden muss dabei, dass die Beklagte bei Suchanfragen zum Namen der Klägerin an zweiter Stelle, also besonders prominent, auftaucht und damit ein breites an der Klägerin interessiertes Publikum erreicht (Anlage K5). Der Eingriff in das Schutzrecht ist entsprechend erheblich, die Interessen der Beklagten müssen hinter denen der Klägerin zurücktreten.

b) Die Beklagte ist unmittelbare Störerin im Sinne von § 1004 Abs. 1 BGB. Als Störer ist, unabhängig von einem Verschulden, jeder anzusehen, der die Störung adäquat kausal herbeigeführt hat oder dessen Verhalten eine Beeinträchtigung befürchten lässt (Grüneberg BGB/ Herrler § 1004 BGB Rn. 16 f.; BGH NZM 19, 893 Tz. 15). Auch der mittelbare Störer ist von der Norm umfasst, der in irgendeiner Weise willentlich und adäquat kausal an der Herbeiführung der rechtswidrigen Beeinträchtigung mitgewirkt hat (BGH, Urteil vom 28.07.2015 – VI ZR 340/14, Rz. 34).

Die Klägerin ist jedoch als unmittelbare Störerin anzusehen, weil sie sich willentlich zur Beantwortung von Suchanfragen einer eigenen Software bedient, die Informationen aus den veröffentlichten Pflichtmitteilungen extrahiert und aufbereitet veröffentlicht. Die Beklagte kann sich nicht darauf zurückziehen, sie sei an diesem automatischen Vorgang nicht beteiligt gewesen, weil sie sich bewusst zur Beantwortung von Suchanfragen ihrer Nutzer einer künstlichen Intelligenz bedient hat, die in Fällen wie diesem unzulänglich programmiert war, weil sie nicht erkannt hat, dass vorliegend die XXX, Amtsgericht XXX HRB XXX, gemeint war und ein Zuordnungsfehler (XXX vs XXX) vorlag (so auch OLG Düsseldorf I-16 U 136/20; Anlage K6 S. 19). Zum anderen haftet der Betreiber eines Portals auch dann als unmittelbarer Störer für die von einem Dritten eingestellten Inhalte, wenn er sich diese aus Sicht eines verständigen Durchschnittsnutzers auf der Grundlage einer Gesamtbetrachtung aller relevanten Umstände zu eigen gemacht und dafür nach außen erkennbar die inhaltliche Verantwortung übernommen hat (BGH, Urteil vom 01.03.2016 – VI ZR 34/15, Rz. 17; so auch OLG Düsseldorf I-16 U 136/20; Anlage K6 S. 19). Dies schafft die Beklagte dadurch, dass sie die Pflichtveröffentlichungen zu einem Unternehmen bei sich auf der Seite bündelt und die Informationen teilweise untereinander verknüpft.

c) Eine Wiederholungsgefahr liegt vor.

Diese liegt vor, wenn es die auf Tatsachen gegründete objektive ernstliche Besorgnis weiterer Störungen gibt. In der Regel begründet die vorangegangene rechtswidrige Beeinträchtigung eine tatsächliche Vermutung für die Wiederholungsgefahr (BGH NJW 12, 3781; Grüneberg BGB/ Herrler § 1004 BGB Rn. 32), an deren Wiederlegung durch den Störer hohe Anforderungen zu stellen sind (BGH NJW 99, 356).

Die aus der rechtswidrigen Beeinträchtigung folgende Vermutung konnte die Beklagte bisher nicht entkräften. Ihr Verweis, dass sie lediglich fremde Daten aus Pflichtveröffentlichungen ohne Prüfung veröffentliche, bekräftigt sogar die Wiederholungsgefahr. Denn die Pflichtinformationen sind nach Aussage der Beklagten, die sich auf das elektronische Handelsregister bezieht, unzuverlässig, sodass es „zu falschen Anzeigen kommt“ (Bl. 19 d.A.). Insofern kann nicht ausgeschlossen werden, dass der gleiche Fehler (Verwechslung XXX vs. XXX) erneut auftritt.

d) Eine den Unterlassungsanspruch ausschließende Duldungspflicht nach § 1004 Abs. 2 BGB kommt vorliegend nicht in Betracht.

2. Der von der Klägerin angekündigte Unterlassungsantrag ist insoweit unbegründet, als dass es auch zukünftige Informationsveröffentlichungen durch die Beklagte einbezieht, die sich nicht auf die vermeintliche Löschung der Klägerin nach § 394 FamFG beziehen.

Das Persönlichkeitsrecht ist ein Rahmenrecht, dessen Reichweite erst durch die Abwägung der betroffenen grundrechtlich geschützten Interessen bestimmt wird und dementsprechend ein aus dem Persönlichkeitsrecht abgeleitetes Gebot, eine Äußerung zu unterlassen, auf die konkrete Verletzungsform beschränkt werden muss, damit die wesentlichen abwägungsrelevanten Gesichtspunkte, die zur Rechtswidrigkeit der Äußerung geführt haben, in die Rechtskraft der Entscheidung miteinbezogen werden (vgl. BGH, Urteil vom 04.12.2018 - VI ZR 128/19, Rz. 19; so auch OLG Düsseldorf I-16 U 136/20; Anlage K6 S. 17).

3. Die Klägerin hat gegen die Beklagte einen Anspruch auf Ersatz der vorgerichtlichen Rechtsverfolgungskosten in Höhe des Obsiegens von 527,00 € gemäß §§ 280 Abs. 2, 286 Abs. 1 BGB.

Das Schuldverhältnis ergibt sich aus der Verletzung des allgemeinen Persönlichkeitsrechts der Klägerin gemäß § 823 Abs. 1 BGB.

Angemahnt wurde die Beklagte durch die Klägerin mit Fristsetzung am 21.07.2023, die daraufhin zwar die Meldung von ihrer Website entfernte, jedoch die Unterlassungserklärung nicht unterschrieben hat. Angesichts des erheblichen Eingriffs in das allgemeine Persönlichkeitsrecht der Klägerin war das Tätigwerden eines Rechtsanwalts auch erforderlich.

Die Klägerin kann jedoch die Umsatzsteuer in Höhe von 100,13 € nicht von der Beklagten verlangen. Die Klägerin ist nämlich vorsteuerabzugsberechtigt gemäß § 15 Abs. 1 S. 1 Nr. 1 UstG.Nach § 15 Abs. 1 S. 1 Nr. 1 UStG kann der Unternehmer die gesetzlich geschuldete Steuer für Lieferungen und sonstige Leistungen, die von einem anderen Unternehmer für sein Unternehmen ausgeführt worden sind, als Vorsteuer abziehen, wenn er eine nach den §§ 14, 14a UStG ausgestellte Rechnung besitzt. Auf der Rechnung des Prozessbevollmächtigten der Klägerin ist zwar ein Umsatzsteuerbetrag in Höhe von 155,46 € aufgeführt. Die Klägerin ist jedoch als GmbH Unternehmerin im Sinne des § 2 Abs. 1 S. 1 UStG. Die Beauftragung des Rechtsanwalts erfolgte für das Unternehmen nach § 15 Abs. 1 S. 1 UStG, da eine Unterlassung aufgrund einer Rechtsverletzung aufgrund ihres Unternehmenspersönlichkeitsrechts begehrt wird. Nach dem schadensrechtlichen Bereicherungsverbot soll der Geschädigte über den Schadensersatz keine Bereicherung erlangen. Den in der Abzugsmöglichkeiten liegenden Vorteil muss sich der Geschädigte auf den Schaden anrechnen lassen (BGH, Urteil vom 18.3.2014 – VI ZR 10/13 Rz. 17).


Den Volltext der Entscheidung finden Sie hier:

Verbotene Praktiken nach Art. 5 der KI-Verordnung - Manipulative KI-Systeme - Ausnutzung der Schwächen von Personengruppen - Social Scoring - Biometrische Fernidentifizierung im öffentlichen Raum

Mit Inkrafttreten der Verordnung (EU) 2024/1689 zur Regulierung von Künstlicher Intelligenz (KI-Verordnung) hat die Europäische Union einen neuen regulatorischen Rahmen geschaffen, um die Nutzung von KI-Systemen zu steuern und Risiken für Sicherheit, Gesundheit und Grundrechte zu minimieren. Die Verordnung basiert auf einem risikobasierten Ansatz und enthält klare Vorgaben für den Einsatz von KI-Systemen. Im Mittelpunkt steht dabei die Unterscheidung zwischen verschiedenen Risikokategorien, wobei die gefährlichsten KI-Praktiken vollständig verboten sind.

Artikel 5 der KI-Verordnung benennt abschließend bestimmte verbotene KI-Praktiken. Diese Praktiken gelten als so schwerwiegend, dass ihr Einsatz unabhängig vom Verwendungszweck oder der jeweiligen Branche vollständig untersagt ist. Unternehmen, die solche KI-Systeme entwickeln oder einsetzen, müssen mit erheblichen Sanktionen rechnen. In diesem Beitrag wird detailliert erläutert, wann verbotene KI-Praktiken vorliegen, welche Vorschriften dies regeln und welche rechtlichen Konsequenzen dies für Unternehmen hat.

I. Wann liegen verbotene KI-Praktiken vor?
Die KI-Verordnung unterscheidet in Artikel 5 zwischen verschiedenen KI-Praktiken, die per se verboten sind, da sie gegen fundamentale Rechte und Werte verstoßen oder erhebliche Risiken für die öffentliche Sicherheit darstellen. Diese Praktiken sind abschließend aufgelistet und umfassen folgende Hauptkategorien:

1. Manipulative KI-Systeme
Artikel 5 Abs. 1 lit. a verbietet den Einsatz von KI-Systemen, die durch unterbewusste Techniken das Verhalten von Personen in einer Weise manipulieren, dass dies zu physischen oder psychischen Schäden führt. Ziel dieser Vorschrift ist der Schutz der Autonomie und des freien Willens von Individuen. Manipulative Systeme, die gezielt unterbewusste Techniken nutzen, um Menschen zu bestimmten Handlungen zu verleiten, stellen ein erhebliches Risiko dar.

Beispielsweise könnte ein KI-System, das unbewusst Kaufentscheidungen beeinflusst oder Menschen zu gesundheitsschädlichem Verhalten verleitet, unter diese Kategorie fallen. Ein solches System würde das Risiko mit sich bringen, dass die betroffene Person gegen ihren Willen zu Handlungen gedrängt wird, die ihr schaden.

2. Ausnutzung von Schwächen bestimmter Personengruppen
Nach Artikel 5 Abs. 1 lit. b ist der Einsatz von KI-Systemen verboten, die die besonderen Schwächen bestimmter Personengruppen ausnutzen, wie z. B. Kinder oder Menschen mit Behinderungen. Diese Vorschrift zielt auf den Schutz besonders schutzbedürftiger Gruppen ab, die durch KI-Systeme besonders leicht zu manipulieren oder zu beeinflussen sind.

Ein Beispiel wäre eine KI, die Kinder gezielt dazu verleitet, exzessiv Videospiele zu spielen oder Käufe zu tätigen, indem sie deren mangelnde kognitive Reife oder emotionale Schwächen ausnutzt.

3. KI-Systeme zur sozialen Bewertung (Social Scoring)
Artikel 5 Abs. 1 lit. c verbietet den Einsatz von KI-Systemen durch Behörden zur Bewertung des Verhaltens von Bürgern über einen längeren Zeitraum hinweg und zur Vergabe von sozialen Vorteilen oder Nachteilen (sogenanntes „Social Scoring“). Ein solches System könnte dazu führen, dass Personen aufgrund ihres Verhaltens oder anderer Kriterien in diskriminierender Weise behandelt werden.

Ein bekanntes Beispiel hierfür ist das Social Credit System, das in einigen Staaten zur Bewertung des Verhaltens von Bürgern eingesetzt wird. Dieses Vorgehen birgt das Risiko, dass soziale, wirtschaftliche oder rechtliche Entscheidungen auf Grundlage ungenauer oder unverhältnismäßiger Bewertungen getroffen werden.

4. Biometrische Fernidentifizierung im öffentlichen Raum
Artikel 5 Abs. 1 lit. d der KI-Verordnung untersagt den Einsatz von KI-Systemen zur biometrischen Fernidentifizierung in Echtzeit in öffentlichen Räumen, es sei denn, sie sind ausdrücklich durch das Recht der Union oder der Mitgliedstaaten erlaubt. Derartige Systeme, wie beispielsweise Gesichtserkennungstechnologien, können eine massive Überwachung ermöglichen und das Recht auf Privatsphäre erheblich einschränken.

Ausnahmen bestehen nur in streng geregelten Fällen, etwa bei der Verhinderung schwerer Straftaten oder zur Terrorismusbekämpfung, und müssen von den zuständigen Behörden genehmigt werden.

II. Rechtliche Konsequenzen für Unternehmen
Für Unternehmen, die verbotene KI-Praktiken anwenden, hat die Nichteinhaltung der Vorschriften schwerwiegende Folgen. Die Verordnung sieht umfassende Sanktionen vor, die insbesondere in Artikel 71 geregelt sind.

1. Bußgelder
Verstöße gegen Artikel 5 der KI-Verordnung können mit erheblichen Bußgeldern geahndet werden. Artikel 71 Abs. 3 legt fest, dass Unternehmen bei Verstößen gegen die Verbotsvorschriften Geldbußen von bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes des Unternehmens zu zahlen haben, je nachdem, welcher Betrag höher ist. Diese hohen Bußgelder unterstreichen den Stellenwert der Verordnung und die Schwere von Verstößen.

Diese Sanktionen stehen in ihrer Höhe den Bußgeldern der Datenschutz-Grundverordnung (DSGVO) nahe und verdeutlichen die Entschlossenheit der EU, die Einhaltung der Vorschriften durchzusetzen.

2. Betriebseinstellungen und Vertriebsverbote
Neben Bußgeldern kann die zuständige Aufsichtsbehörde gemäß Artikel 71 Abs. 4 auch andere Sanktionen verhängen, darunter:

Einstellung des Betriebs eines KI-Systems, das gegen die Verbote verstößt,
Rückruf von Produkten, die verbotene KI-Systeme enthalten,
Verbot des Inverkehrbringens oder der Bereitstellung von solchen Systemen auf dem europäischen Markt.
Diese Maßnahmen können für Unternehmen besonders schwerwiegend sein, da sie direkt den Fortbestand des Geschäftsmodells oder den Einsatz von innovativen Technologien betreffen.

3. Haftung für Schäden
Unternehmen, die verbotene KI-Systeme einsetzen, können zudem zivilrechtlich für Schäden haftbar gemacht werden, die durch den Einsatz solcher Systeme verursacht wurden. Dies ergibt sich aus den allgemeinen Haftungsvorschriften im Zivilrecht, aber auch aus der DSGVO, sofern personenbezogene Daten betroffen sind. Geschädigte Personen haben das Recht, auf Schadensersatz zu klagen, insbesondere wenn durch den Einsatz eines verbotenen KI-Systems ihre Grundrechte verletzt wurden.

III. Praktische Herausforderungen für Unternehmen
Die Implementierung der Vorschriften der KI-Verordnung erfordert von Unternehmen erhebliche Anstrengungen. Insbesondere die Einhaltung der Verbote nach Artikel 5 stellt Unternehmen vor praktische Herausforderungen:

1. Risikoabschätzung und Compliance
Unternehmen müssen sicherstellen, dass ihre KI-Systeme im Einklang mit den Verboten stehen. Hierzu sind umfassende Risikomanagement-Systeme erforderlich, die mögliche Risiken von KI-Anwendungen erfassen und geeignete Maßnahmen zur Vermeidung von Verstößen festlegen. Da KI-Systeme oft komplex und schwer durchschaubar sind, müssen Unternehmen sicherstellen, dass sie die Funktionsweise ihrer Systeme genau kennen und regelmäßig überprüfen.

2. Interne Kontrollen und Prüfmechanismen
Ein wichtiger Bestandteil der Compliance-Strategie ist die Implementierung von internen Prüfmechanismen, die sicherstellen, dass verbotene KI-Praktiken nicht unbewusst in die Unternehmensprozesse eingebaut werden. Dies erfordert insbesondere regelmäßige Audits und die Einrichtung von Kontrollinstanzen innerhalb des Unternehmens, etwa durch Ethik- oder Datenschutzbeauftragte, die den Einsatz von KI-Systemen überwachen.

3. Schulung und Sensibilisierung der Mitarbeiter
Da KI-Systeme oft tief in den Unternehmensprozessen verankert sind, ist es notwendig, die Mitarbeiter regelmäßig zu schulen und für die rechtlichen Anforderungen zu sensibilisieren. Dies gilt insbesondere für Entwickler und Anwender von KI-Systemen, die für die Einhaltung der Vorschriften verantwortlich sind.

Fazit
Artikel 5 KI-Verordnung soll sicherstellen, dass besonders gefährliche und ethisch bedenkliche KI-Praktiken vollständig verboten werden. Für Unternehmen ist die Einhaltung dieser Verbote von entscheidender Bedeutung, da Verstöße nicht nur zu erheblichen Bußgeldern, sondern auch zu Betriebsverboten und anderen schwerwiegenden Konsequenzen führen können.

Unternehmen müssen daher umfassende Compliance-Strategien entwickeln, um sicherzustellen, dass ihre KI-Systeme im Einklang mit der Verordnung stehen. Besonders im Hinblick auf die verbotenen Praktiken erfordert dies ein hohes Maß an Transparenz und interne Prüfmechanismen, um die Risiken, die von der Nutzung von KI ausgehen, wirksam zu kontrollieren. Rechtsprechung und Aufsichtspraxis werden zeigen, wie streng die Vorschriften der KI-Verordnung durchgesetzt werden. Ein Blick in die Vergangenheit zeigt, dass sich immer Gerichte und Aufsichtsbehörden finden, welche einen besonder strengen Maßstab bei der Auslegung rechtliche Vorgaben anglegen.


OLG Nürnberg: Schadensersatzanspruch einer GmbH gegen Geschäftsführer bei unzureichender Einrichtung eines Compliance Management Systems - Vier-Augen-Prinzip im schadensträchtigen Bereich

OLG Nürnberg
Urteil vom 30.03.2022
12 U 1520/19


Das OLG Nürnberg hat entschieden, dass ein Schadensersatzanspruch einer GmbH gegen den Geschäftsführer bei unzureichender Einrichtung eines Compliance Management Systems besteht. Hierzu kann auch die Einführung eines Vier-Augen-Prinzip im schadensträchtigen Bereich gehören.

Aus den Entscheidungsgründen:
Der Geschäftsführer ist gemäß § 43 Abs. 1 GmbHG dem Wohl der Gesellschaft verpflichtet. Er hat daher für eine nachhaltige Rentabilität der Gesellschaft Sorge zu tragen und Verluste tunlichst zu vermeiden. Die Sorgfalt eines ordentlichen Geschäftsführers gebietet hierbei - gerade, wenn der Geschäftsführer nicht sämtliche Maßnahmen selbst beschließt und selbst durchführt -, eine interne Organisationsstruktur der Gesellschaft zu schaffen, die die Rechtmäßigkeit und Effizienz ihres Handelns gewährleistet. Insoweit konkretisiert die Sorgfaltspflicht sich zu Unternehmensorganisationspflichten. Der Geschäftsführer muss das von ihm geführte Unternehmen so organisieren, dass er jederzeit Überblick über die wirtschaftliche und finanzielle Lage der Gesellschaft hat. Dies erfordert ggf. ein Überwachungssystem, mit dem Risiken für Unternehmensfortbestand erfasst und kontrolliert werden können (vgl. BGH, Urteil vom 20.02.1995 - II ZR 9/94, ZIP 1995, 560, Rn. 7 bei juris; Beurskens in: Noack/Servatius/Haas, GmbHG, 23. Aufl., § 43 Rn. 29, § 37 Rn. 11). Aus der Legalitätspflicht folgt die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance Management Systems, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. Dabei ist der Geschäftsführer nicht nur verpflichtet, den Geschäftsgang so zu überwachen oder überwachen zu lassen, dass er unter normalen Umständen mit einer ordnungsgemäßen Erledigung der Geschäfte rechnen kann; er muss vielmehr weitergehend sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen. Zwar haftet der Geschäftsführer nicht für fremdes Verschulden. Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Diesbezüglichen Verdachtsmomenten muss der Geschäftsführer unverzüglich nachgehen; weiterhin muss der Geschäftsführer geeignete organisatorische Vorkehrungen treffen, um Pflichtverletzungen von Unternehmensangehörigen hintanzuhalten (BGH, Urteil vom 08.10.1984 - II ZR 175/83, GmbHR 1985, 143, Rn. 13 bei juris; KG, NZG 1999, 400, Rn. 41 bei juris; Fleischer in: MünchKomm/GmbHG, 3. Aufl., § 43 Rn. 134ff., 138; jeweils m.w.N.).

Zur Überwachungspflicht gehört außerdem eine hinreichende Kontrolle, die nicht erst dann einsetzen darf, wenn Missstände entdeckt worden sind. Ihre Intensität darf sich je nach Gefahrgeneigtheit der Arbeit und Gewicht der zu beachtenden Vorschriften nicht in gelegentlichen Überprüfungen erschöpfen. Über diese allgemeine Kontrolle hinaus muss der Geschäftsführer die Aufsicht so führen, dass Unregelmäßigkeiten auch ohne ständige unmittelbare Überwachung grundsätzlich unterbleiben. Danach sind stichprobenartige, überraschende Prüfungen erforderlich und regelmäßig auch ausreichend, sofern sie den Unternehmensangehörigen vor Augen halten, dass Verstöße entdeckt und geahndet werden können. Ist allerdings abzusehen, dass stichprobenartige Kontrollen nicht ausreichen, um die genannte Wirkung zu erzielen, so bedarf es anderer geeigneter Aufsichtsmaßnahmen. In solchen Fällen kann es geboten sein, überraschend umfassendere Geschäftsprüfungen durchzuführen. Eine äußere Grenze finden alle Aufsichtsmaßnahmen an ihrer objektiven Zumutbarkeit. Dazu gehören auch die Beachtung der Würde der Unternehmensangehörigen und die Wahrung des Betriebsklimas, die überzogenen, von zu starkem Misstrauen geprägten Aufsichtsmaßnahmen entgegenstehen, vor allem für Maßnahmen, die ausdrücklich oder erkennbar mit der nicht durch Tatsachen belegten Befürchtung begründet werden, die Arbeitnehmer könnten vorsätzliche Gesetzesverstöße begehen. Weitere Zumutbarkeitsschranken ergeben sich aus der Eigenverantwortlichkeit der Unternehmensangehörigen und dem bei Arbeitsteilung geltenden Vertrauensgrundsatz. Infolgedessen wird den Geschäftsführern nicht abverlangt, ein nahezu flächendeckendes Kontrollnetz aufzubauen (Fleischer in: MünchKomm/GmbHG, 3. Aufl., § 43 Rn. 139 m.w.N.).

Eine gesteigerte Überwachungspflicht, bei der intensivere Aufsichtsmaßnahmen notwendig sind, besteht, wenn in einem Unternehmen in der Vergangenheit bereits Unregelmäßigkeiten vorgekommen sind (Fleischer a.a.O. Rn. 140 m.w.N.).

Delegiert der Geschäftsführer seine Überwachungsaufgabe, reduziert sich die effektive Überwachungspflicht des Geschäftsführers auf die ihm unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten („Überwachung der Überwacher“). Man spricht insoweit von einer Meta-Überwachung. Ausdrücklich angesprochen wird diese mehrstufige Verteilung der Aufsichtspflichten in § 130 Abs. 1 Satz 2 OWiG, wonach zu den erforderlichen Aufsichtsmaßnahmen auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen gehören. Auch bei mehrstufiger Verteilung der Aufsichtspflichten verbleibt die sog. Oberaufsicht aber unentrinnbar bei dem Geschäftsführer. Zu diesen unübertragbaren Kernpflichten gehört insbesondere die Organisations- und Systemverantwortung für die unternehmensinternen Delegationsprozesse (Fleischer a.a.O. Rn. 141 m.w.N.).
[...]
3. Eine Pflichtverletzung des Beklagten ist bereits deshalb gegeben, weil dieser es unterlassen hat, im Rahmen der internen Unternehmensorganisation der Klägerin Compliance-Strukturen zu schaffen, die ein rechtmäßiges und effektives Handeln gewährleisten und die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter - auch mittels Überwachungs- und Kontrollmaßnahmen - verhindern.

Dies zeigt sich insbesondere daran, dass der Beklagte keine Maßnahmen ergriffen hat, um das (von ihm selbst als relevant erkannte) Vier-Augen-Prinzip im schadensträchtigen Bereich der Ausgabe von Tankkarten sowie deren EDVmäßige Verbuchung und Zuordnung an Kartenkunden einzuhalten.

a) Das Vier-Augen-Prinzip (englisch two-man rule) ist in der Organisationslehre eine präventive Kontrolle, bei der bestimmte Ablaufabschnitte, Arbeitsabläufe, Arbeitsprozesse, Arbeitsvorgänge, Aufgaben, Entscheidungen, Handlungen oder Prozesse nur durch gleichlautende Entscheidungen von mindestens zwei Personen durchgeführt werden dürfen. Ziel des Vier-Augen-Prinzips ist es, das Risiko von Fehlern und Missbrauch zu reduzieren. Die Vier-Augen-Kontrolle ist branchenübergreifend bei einer Vielzahl von unternehmensinternen Arbeitsprozessen zu finden, die als kritisch gewertet werden. Kritisch sind Prozesse immer dann, wenn sie bei einer nicht ordnungsgemäßen Durchführung Personenschäden oder erhebliche finanzielle Auswirkungen zur Folge haben können.

b) Bei der Klägerin war für die vom Mitarbeiter H. ausgeführte Tätigkeit der Verwaltung von Tankkarten und Kartenkunden die Wahrung des Vier-Augen-Prinzips erforderlich. Diese Tätigkeit konnte zu weitreichenden finanziellen Folgen für die Klägerin führen und stellt seitens der Klägerin auch eine Art der Kreditgewährung an ihre Kunden dar. Hinsichtlich der Regularien der Kreditgewährung an Kunden geben die Schulungsunterlagen der Klägerin vom 20./21.09.2012 sowie vom 19./20.11.2012 die Einhaltung des Vier-Augen-Prinzips vor (vgl. Anlage K20, Seiten 4ff.; Anlage K21, Seiten 13ff., 41f.).

Jedenfalls soweit es um die Ausgabe von Tankkarten sowie deren EDVmäßige Verbuchung und Zuordnung an Kartenkunden ging, war deshalb bei der Klägerin für die vom Mitarbeiter H. ausgeübte Tätigkeit die Wahrung des Vier-Augen-Prinzips erforderlich. Hiervon geht selbst der Beklagte aus, der vortragen lässt, er habe sich bemüht, einen weiteren Mitarbeiter für diesen Tätigkeitsbereich zu finden, „damit das Vier-Augen-Prinzip gewahrt bleibt“ (Seite 3 der Klageerwiderung = Bl. 24 d.A.). Unerheblich ist, dass der Beklagte nach seinem Vortrag kein hierfür geeignetes Personal gefunden haben will; soweit aus diesem Grund eine Überwachung nicht delegiert werden konnte, hätte der Beklagte selbst die notwendigen Überwachungstätigkeiten durchführen müssen.


Den Volltext der Entscheidung finden Sie hier:


Hackerangriff auf Unternehmensseite - IT-Sicherheit muss stimmen – sonst drohen Schadensersatzansprüche

IT-Sicherheit muss stimmen – sonst drohen Schadensersatzansprüche
Rechtsanwalt Marcus Beckmann

In der Vergangenheit sind große und klein Anbieter von Waren und Dienstleistungen im Internet sowie Cloud-Anbieter Opfer von Datenklau und Erpressungsversuchen gekommen. Wird ein Online-Shop Opfer eines Datenklaus oder Hackerangriffs bedeutet dies nicht nur einen erheblichen Vertrauensverlust, sondern ist auch ein rechtliches Problem

Ein Unternehmen hat grundsätzlich alle ihm zumutbaren Maßnahmen zu treffen, um Schäden von Dritten fernzuhalten. Das Unternehmen haftet für alle vorhersehbaren und vermeidbaren Schäden, die durch eine unzureichende Sicherung vor Datenklau entstanden sind. Auch Zahlungsdienstleister und Kreditkartenunternehmen können ggf. Schadensersatzansprüche haben, wenn Kreditkartendaten missbraucht werden. Schließlich besteht die Gefahr, dass eigene Geschäftsgeheimnisse oder die von Vertragspartnern in falsche Hände geraten. Diese Grundsätze galten auch schon vor Inkrafttreten des IT-Sicherheitsgesetzes. Auch die datenschutzrechtlichen Vorschriften schreiben vor, dass personenbezogene Daten vor dem unbefugten Zugriff Dritter zu schützen sind. Bei einem Verstoß drohen Ordnungsgelder.

Zu den notwendigen Maßnahmen gehört eine dem Stand der Technik entsprechende IT-Infrastruktur sowie die regelmäßige Aktualisierung von Hard- und Software zur Vermeidung von Sicherheitslücken. Regelmäßige Belehrungen und Schulungen der Mitarbeiter zu Sicherheitsfragen und die Überwachung der Integrität der IT-Sicherheit sind ebenso notwendig. Zudem sollten Kunden bzw. Nutzern Informationen an die Hand gegeben werden, um ungewollten Datendiebstahl zu vermeiden.

Kommt es zu einem Datenklau, Hackerangriff oder Erpressungsversuchen gilt es zunächst etwaige Lücken zu stopfen. Zudem sollten strafrechtliche Schritte eingeleitet werden. Darüber hinaus müssen Unternehmen die betroffenen Kunden und Nutzer umgehen über die Sicherheitslücke informieren. Um weiteren Missbrauch durch Accountdaten zu verhindern empfiehlt es sich Kunden zur Änderung der Passwörter aufzufordern bzw. diese zunächst zurückzusetzen.

LG München: Vorstand einer AG haftet für mangelhaftes Compliance-System - 15 Mio. Euro Schadensersatz

LG München I,
Urteil vom 10.12.2013
5 HKO 1387/10
Compliance


Das LG München hat entschieden, dass der Vorstand einer AG für ein mangelhaftes Compliance-System im Unternehmen haftet. Das Gericht verurteile ein Vorstandsmitglied eines börsennotierten Unternehmens zu 15 Mio. EURO Schadensersatz. Das Gericht führt aus, dass ein Vorstandsmitglied seiner Organisationspflicht bei entsprechender Gefährdungslage nur dann genügt, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet.

Den Volltext der Entscheidung finden Sie hier:

Google Anwendungen können zukünftig auch in Einklang mit der EU-Datenschutzrichtlinie genutzt werden

Google hat in dem Blog-Beitrag "Google Apps to offer additional compliance options for EU data protection" bekanntgegeben, dass Google Anwendungen zukünftig auch in Einklang mit der EU-Datenschutzrichtlinie genutzt werden können. Bislang war lediglich eine Nutzung auf Grundlage des Safe-Harbor-Abkommens möglich.

Bitte beachten Sie zum Thema auch unseren Beitrag "CeBIT-Vortrag "Cloud Computing und der sichere Hafen: Was Unternehmen bei der Nutzung cloudbasierter Dienste beachten müssen"