Austria: Machine Learning: Whom to Credit, Whom to Blame?

Rapid technological progress, artificial intelligence, machine learning – all those advancements require a new concept of legal thinking.

Data protection in a connected world

Data protection will become more and more important, thanks in no small part to ever more rapid technological progress. Self-driving cars, the internet of things, automated medical diagnosis – all these things invariably require data processing. Algorithm-based data analysis will play a key role in the future. This will raise certain questions about data protection, such as how to ensure proper data anonymisation, pseudonymisation or aggregation in order to comply with applicable data protection laws.

In addition, joint data processing and all the questions related to it will become increasingly important. As our world becomes more and more connected, huge amounts of data will need to be exchanged and (inter)transferred, making it more and more difficult to determine the responsibilities and roles of the data controller, in particular when no proper contracts are in place.

The most recent legal developments we have seen in Europe will boost the relevance of data protection, as will the General Data Protection Regulation, as it becomes effective by 2018. It will introduce new concepts to the existing regulatory framework (such as the Privacy Impact Assessment). On an overall note the General Data Protection Regulation will push companies towards a higher degree of responsibility. Crucially, the General Data Protection Regulation will apply directly and on a Union level in the Member States. This means that Austrian companies will be measured against a Union-wide benchmark so that Austrian companies will have to handle a benchmark as it is created by globally acting corporate groups and their (well-established) data privacy standards. This becomes no less challenging when considering the significant increase in fines that will come with the General Data Protection Regulation, foreseen at up to EUR 20 m in the most severe data protection infringement cases.

Rights to work products of “self-learning” systems

Only natural and legal persons can be owners of rights and duties, but not machines. Hence one always has to look at the person behind the system when attributing rights in creative endeavours or inventions. If certain work (including software code) created by an autonomously learning system would generally qualify for copyright or patent protection, under Austrian law it would have to initially be attributed to a natural person (ie a human being). Authors in the sense of the Austrian Copyright Act or inventors in the sense of the Austrian Patent Act must always be natural persons. Of course, such authors or inventors can grant third parties, which includes legal persons, rights to the to the protected work results.

But what is the author’s or inventor’s position when a self-learning system autonomously produces work? One could take the position that a work created by a self-learning system is only a consequence of the creative or inventive efforts of the person who created the logic behind the self-learning system, and that therefore this person is also to be credited for the end result. On the other hand, it can be argued that rights must be attributed to the person who provided the impetus for creating the concrete work result – eg by entering certain data. Perhaps both persons are co-authors or joint-inventors. Or maybe nobody can assume rights to such work results, if their contribution to the end result was so small that a “creative” or “inventive” effort can hardly be seen, as the system developed the work result almost fully autonomously.

Whom to blame for damages?

The question of liability is complex when it comes to autonomous systems or systems with artificial intelligence. They have been discussed for quite some time now in the context of self-driving cars, and not only in terms of accidents. A central principle of the right to compensation, namely the fault of the party causing damage, is already questionable in the case of a driver whose self-driving car has caused an accident. In this case, the issue might be whether the driver could have intervened to prevent the accident. The fault of the manufacturer (for example in the person of the software programmer) will generally be technically difficult and expensive to verify.

However, since the injured party usually does not have an agreement with the manufacturer, direct contractual liability will not be applicable. This leaves liability according to product liability acts (questionable whether also for software), liability based on contract with protective effects in favour of third parties, or tort liability. What is clear, however, is that only persons can by liable, not machines.

For damages caused by self-driving cars, in contrast to other systems with artificial intelligence, the so-called “car owner’s liability” (Halterhaftung) might be a valid basis for a claim. This special liability is based on the mere fact that operating a car poses a risk to the general public and is not based on the principle of culpability. How this will ultimately affect the manufacturers, especially concerning claims for recourse by the car owner’s insurance company, cannot yet be seriously assessed.

Technological developments do not only lead to connected data flows; they also require new concepts of connected legal thinking. An interesting and demanding challenge for any legal professional.

Selbslernende Systeme: Wem gehört's – wer hat Schuld?

Die rasante technologische Entwicklung bis hin zu den sich selbst weiterentwickelnden Systemen künstlicher Intelligenz verlangt nach neuen juristischen Denkansätzen.

Datenschutz in einer vernetzten Welt

Die Wichtigkeit des Datenschutzrechts wird weiter zunehmen. Dies ist alleine schon angesichts der rasanten technischen Entwicklungen zu erwarten. Selbstfahrende Autos, Internet of things, medizinische Diagnoseprozesse – in Bereichen wie diesen werden Datenauswertungen, Datenanalysen und algorithmische Prognoserechnungen in Zukunft eine zentrale Rolle spielen. Damit erlangen auch datenschutzrechtliche Fragen immer höhere Brisanz und es werden viele Fragen eine weitaus wichtigere Rolle spielen als bisher. So etwa, wie Daten zu aggregieren, zu anonymisieren oder zu pseudonymisieren sind, um den Anforderungen des Datenschutzrechts zu entsprechen. Aber auch der gemein-schaftlichen Datenverarbeitung wird ein weitaus höherer Stellenwert zukommen. Dies ist der stetig steigenden globalen Vernetzung geschuldet, die zunehmend nach gemeinschaftlichen Datenverarbeitungen durch mehrere Unternehmen verlangt. Wer nun die datenschutzrechtliche Verantwortung für diese Datenverarbeitungen trägt, lässt sich in vielen solcher Szenarien zunehmend schwieriger bestimmen, vor allem wenn klare vertragliche Regelungen fehlen. Aber auch durch die jüngsten rechtlichen Entwicklungen wird der Datenschutz in Zukunft eine Schlüsselrolle einnehmen. So enthält die ab 2018 rechtswirksame Datenschutz-Grundverordnung viele Neuerungen (wie etwa die Risikofolgenabschätzung) und sie erteilt den datenverarbeitenden Unternehmen generell einen verstärkten Auftrag zur Eigenverantwortung. Vor allem aber gilt sie unmittelbar und europaweit. Das bedeutet, dass österreichische Unternehmen zukünftig in einem europaweiten rechtlichen Benchmark stehen. Mit anderen Worten muss man sich an global agierenden Unternehmensgruppen und deren (oftmals schon jetzt sehr guten) datenschutzrechtlichen Standards messen lassen. Dies wird eine große Herausforderung, vor allem wenn man sich die exorbitant hohen Strafrahmen der Datenschutz-Grundverordnung vor Augen hält, welche bei schweren Datenschutzverfehlungen Strafen von bis zu 20 Millionen Euro vorsehen.

Rechte an Arbeitsergebnissen “selbstlernender” Systeme

Nur natürliche oder juristische Personen können Träger von Rechten sein, nicht die Maschine. Es ist also immer nach der hinter dem System stehenden Person zu suchen, wenn es darum geht, Rechte an geistigen Schöpfungen oder Erfindungen zuzuordnen. Handelt es sich bei dem von einem selbstlernenden System geschaffenen Arbeitsergebnis um eines, das seiner Art nach grundsätzlich urheberrechtlichem (darunter fällt zB auch der Software-Quellcode) oder patentrechtlichem Schutz zugänglich wäre, so muss sie nach österreichischem Rechtsverständnis zunächst sogar einer natürlichen Person zuordenbar sein. Denn “Urheber” im Sinne des UrhG bzw “Erfinder” im Sinne des PatG können nur natürliche Personen sein. Der Urheber bzw Erfinder kann dann aber Dritten, auch juristischen Personen, Rechte am Schutzgegenstand einräumen.

Wo ist nun der Urheber oder Erfinder, wenn ein selbstlernendes System ein Arbeitsergebnis quasi eigenständig hervorbringt? Man kann sich auf den Standpunkt stellen, dass das durch das vom selbstlernenden System hervorgebrachte Arbeitsergebnis eigentlich bloß Folge der schöpferischen Leistung bzw erfinderischen Tätigkeit jener Person ist, die die Logik hinter dem selbstlernenden System geschaffen hat und dass daher diese Person auch für das Endergebnis verantwortlich ist. Man kann aber auch argumentieren, dass die Person Rechteinhaber ist, die dem System einen konkreten Anstoß gegeben hat, das Arbeitsergebnis zu schaffen – etwa durch Einspeisung bestimmter Daten. Oder es sind beide Miturheber/Miterfinder. Oder möglicherweise gar niemand, wenn der Beitrag dieser Personen zum Endergebnis so gering war, dass darin keine “geistige Schöpfung” bzw keine “erfinderische Tätigkeit” erblickt werden kann, das System also praktisch eigenständig tätig war.

Wer haftet für Schäden?

Haftungsfragen sind bei autonomen Systemen bzw Systemen mit künstlicher Intelligenz in der Tat komplex. Am Bespiel des selbstfahrenden Autos werden sie ja bereits seit einiger Zeit, aufgrund von tragischen Unfällen auch breitenwirksam, diskutiert. Ein Grundsatz des Schadenersatzrechts, nämlich das Verschulden, ist bei einem Autofahrer, dessen selbst fahrendes Auto einen Unfall verursacht, nämlich bereits fraglich. Hier könnte man allenfalls darauf abstellen, ob der Fahrer hätte eingreifen können, um den Unfall zu verhindern. Ein Verschulden des Herstellers (beispielsweise in der Person des Programmierers der Software) wird in der Regel nur mit sehr hohem technischem und damit finanziellem Aufwand nachweisbar sein. Da aber der Geschädigte in der Regel keinen Vertag mit dem Hersteller hat, scheidet zumindest eine direkte vertragliche Haftung aus. Womit noch eine Haftung über PHG (fraglich ob auch für Software), Vertrag mit Schutzwirkungen zugunsten Dritter oder allenfalls eine deliktische Haftung bleibt. Klar ist aber, dass immer nur ein Mensch haften kann, nicht die Maschine.

Für selbstfahrende Autos kommt, im Gegensatz zu anderen Systemen mit künstlicher Intelligenz, noch die sogenannte Halterhaftung in Frage. Hierbei handelt es sich um eine vom Verschulden unabhängige Gefährdungshaftung, die ihre Grundlage in der vom Betreib eines Kraftfahrzeugs ausgehenden Gefahr hat. Es ist davon auszugehen, dass diese Anspruchsgrundlage auch zur Halterhaftung bei selbstfahrenden Autos führen wird. Wie sich das auf die Hersteller letztlich auswirken wird, auch was Regressansprüche von Versicherungsunternehmen betrifft, die die Halter versichern, kann aber noch nicht ernsthaft beurteilt werden.