Die beginnende Regulierung von KI-Systemen wird sich zunehmend auch auf den Ablauf und die Ausgestaltung von M&A-Transaktionen auswirken.
Der Entwurf des Gesetzes über Künstliche Intelligenz (KI-Verordnung, AI Act) wirft seine Schatten voraus. Er wird voraussichtlich noch in diesem Sommer in Kraft treten und danach stufenweise zur Anwendung kommen.
Die Einsatzmöglichkeiten von KI sind so vielfältig wie die Unternehmen, in denen KI zum Einsatz kommen kann. Auswirkungen hat die KI-Verordnung daher nicht nur für Unternehmen aus der Tech-Branche, sondern grundsätzlich für alle Unternehmen, die Berührungspunkte zu KI-Systemen haben. Mit der erstmaligen Regulierung solcher KI-Systeme durch die KI-Verordnung auf europäischer Ebene ergeben sich neue Compliance-Anforderungen für potenzielle Targets sowie daraus resultierende Risiken, die es für einen potenziellen Käufer oder Investor zu bewerten und abzusichern gilt.
Entwicklung, Einsatz und Vertrieb von KI-Systemen zukünftig Teil der Due Diligence
Die Due Diligence im Rahmen von M&A-Transaktionen wird sich daher zukünftig auch auf die Entwicklung, den Einsatz oder den Vertrieb von KI-Systemen durch das potenzielle Target erstrecken müssen. Die Einsatzfelder der KI-Systeme müssen hierfür zunächst aus technischer Sicht identifiziert werden, um die daraus resultierenden rechtlichen Anforderungen und Pflichten für das Target zu bestimmen.
Dabei gilt es entlang der Bestimmungen der künftigen KI-Verordnung herauszuarbeiten, ob KI-Systeme beispielsweise im Rahmen verbotener Praktiken eingesetzt werden (z.B. zur Manipulation von Nutzern), als „Hochrisiko-KI-Systeme“ (z.B. im Bereich der kritischen Infrastrukturen) einzustufen sind oder für die Interaktion mit natürlichen Personen zur Anwendung kommen. Abhängig vom Einsatzfeld und der Anwendungsweise der KI-Systeme können sich aus der KI-Verordnung zukünftig weitreichende Compliance-Pflichten ergeben. Die Nichteinhaltung solcher Pflichten wird durch die KI-Verordnung mit erheblichen Bußgeldern belegt sein. Diese Risiken gilt es mittels einer für das potenzielle Target zugeschnittenen Due Diligence zukünftig zu identifizieren und zu bewerten.
Um die Relevanz der Thematik überhaupt einschätzen zu können, sollten etwaige Berührungspunkte mit KI-Systemen zukünftig im Rahmen einer Due Diligence Request List standardmäßig abgefragt werden.
Vertragsgestaltung
Wie bei M&A-Transaktionen üblich, wird sich ein Käufer oder ein Investor je nach Risikoprofil des Targets gegen mögliche abstrakte oder konkrete Risiken aus dem Einsatz von KI-Systemen absichern wollen.
Etwaige Pflichten aus der KI-Verordnung werden sich in der Regel dem Bereich der Corporate Compliance zuordnen lassen. Unternehmenskauf- oder Beteiligungsverträge enthalten insoweit häufig allgemeine „Compliance-Garantien“, die (nach Kenntnis des Verkäufers) die Einhaltung aller anwendbaren (und wesentlichen) Vorschriften und Bestimmungen durch das Target zusichern. Bestandteil einer solchen Compliance-Garantie wäre daher grundsätzlich auch die Einhaltung der KI-Verordnung sowie der darauf basierenden nationalen Gesetze (soweit diese bereits jeweils anwendbar sind).
Abhängig vom Risikoprofil des Targets und der Ausgestaltung der allgemeinen Compliance-Garantie kann es jedoch sachgerecht sein, sich die Einhaltung der KI-Verordnung und insbesondere die ordnungsgemäße Einrichtung eines spezifischen Compliance-Systems garantieren zu lassen. Darüber hinaus wird man sich unter Umständen auch zusichern lassen müssen, dass das Target innerhalb eines bestimmten Zeitraums vor Abschluss der Verträge keine Mitteilungen der zuständigen KI-Aufsichtsbehörden erhalten hat. Insoweit kann man sich an der gängigen Praxis zur Einhaltung datenschutzrechtlicher Bestimmungen orientieren.
Sofern das Target im Rahmen der Due Diligence die Aussage trifft, keine KI-Systeme im Sinne der KI-Verordnung zu verwenden, kann auch diese Aussage durch eine Garantie abgesichert werden. Dies erscheint vor allem dann interessant, wenn man bereits jetzt sicherstellen möchte, dass das Target mit seinem derzeitigen Geschäftsmodell voraussichtlich nicht in den zukünftigen Anwendungsbereich der KI-Verordnung fallen wird.
Wurden im Rahmen der Due Diligence konkrete Risiken aus dem Einsatz von KI-Systemen oder sogar Verstöße gegen Compliance-Anforderungen identifiziert, wird man sich vertraglich über eine Risikoverteilung zwischen Verkäufer und Käufer einigen müssen.
W&I-Versicherung: Ist das Risiko der KI-Nutzung versicherbar?
Vor dem Hintergrund der Versicherbarkeit möglicher Risiken wird es spannend sein, wie sich W&I-Versicherer zukünftig zu diesem Themenfeld positionieren.
Auf erste Anfrage stehen W&I-Versicherer diesem Thema grundsätzlich offen gegenüber. Für eine Versicherbarkeit entsprechender Garantien soll es darauf ankommen, dass sich das zugrundeliegende Risiko zu einem gewissen Grad prüfen lasse. Für Garantien mit einem technischen Inhalt komme ggfs. nur eine wissensqualifizierte Deckung des Risikos in Frage. Die vollständige Deckung eines technischen KI-Risikos setze in Abhängigkeit von der konkreten Garantie unter Umständen einen technischen Scan im Rahmen der Due Diligence voraus, wie dies bei Open Source Software Garantien bereits praktiziert wird. Denkbar erscheine aber auch eine Due Diligence durch Experteninterviews, Nutzerfeedback und -umfragen, historische Leistungsdaten und Compliance-Audits.
Für die Deckung KI-spezifischer Risiken wird es also auch hier auf eine spezifische Due Diligence und einen darauf abgestimmten Underwriting-Prozess ankommen.
KI-Verordnung schon jetzt im Blick behalten
Auch wenn die KI-Verordnung derzeit noch keine Anwendung findet, sollten ihre zukünftigen Auswirkungen auf die Corporate Compliance potenzieller Targets bereits jetzt berücksichtigt werden.
Um diese Auswirkungen aus Sicht eines Käufers oder Investors besser einschätzen zu können, kann bereits jetzt eine spezifische Due Diligence sinnvoll sein. Darüber hinaus ist individuell zu prüfen, wie mögliche Risiken auch vertraglich abgesichert werden können.
