Die Rolle des Aufsichtsrats beim Einsatz von Künstlicher Intelligenz
Wer kennt das Investmentunternehmen Deep Knowledge Ventures mit Sitz in Hongkong? Neben den Mitarbeitern vermutlich nur ein überschaubarer Kreis von Geschäftspartnern, dafür aber eine ungleich größere Fangemeinde aus dem IT-Bereich. Deep Knowledge Ventures ist nämlich – soweit ersichtlich – das erste Unternehmen weltweit, das einen Computer-Algorithmus als Mitglied in seinen Board of Directors aufgenommen hat.1 Der Algorithmus trägt den Namen Vital für Validating Investment Tool for Advancing Life Sciences. Er soll seine Kollegen beim Aufspüren von interessanten Investitionsmöglichkeiten unterstützen. Bei den Entscheidungen des Gremiums hat er volles Stimmrecht. Eine Investitionsentscheidung trifft der Board erst dann, wenn Vital die benötigten Daten geliefert hat.
Dass die Bestellung eines Computer-Algorithmus zum Mitglied des Vorstands oder Aufsichtsrats einer deutschen Aktiengesellschaft an § 76 Abs. 3 S. 1 bzw. § 100 Abs. 1 S. 1, jeweils i.V.m. § 23 Abs. 5 AktG, scheitern würde, dürfte klar sein. Immerhin wird aber schon darüber diskutiert, ob einem Roboter eine irgendwie geartete Rechtsfähigkeit verliehen werden kann.2 Mit der Idee, die hinter der Bestellung von Vital zum Direktor steckt, sollte man sich aber auch im deutschen Rechtskreis befassen. Das Schlagwort dazu lautet Künstliche Intelligenz (KI).
I. Künstliche Intelligenz als Zukunftsfaktor
Wer von KI spricht, sollte wissen, dass er einen – wenn auch nicht scharf abgegrenzten – Fachbegriff verwendet.3 KI tritt in verschiedenen Formen auf. Stichworte sind etwa Deep Learning, neuronale Netze, Smart Factories, Industrie 4.0, Internet der Dinge, Smart Contracts oder – übergreifend – schwache, nämlich halb-künstliche, und starke KI. Ein wichtiger Unterschied zwischen schwacher und starker KI besteht darin, dass starke KI die Fähigkeit hat, ohne Hilfe eines Programmierers zu lernen und dabei menschliche Intelli-
Dass der Gesetzgeber vor diesen Phänomen nicht die Augen verschließt, zeigt sich etwa an dem IT-Sicherheitsgesetz, mit dem materielle Standards für die IT-Sicherheit vorgegeben werden.8 Weiter werden in § 80 WpHG bestimmte Verhaltenspflichten für den sog. algorithmischen Handel – also etwa den Hochfrequenzhandel – aufgestellt. Im Wesentlichen das Gleiche gilt in den Anwendungsbereichen der §§ 28 KAGB, 64a VAG, 25a KWG und für das Rundschreiben 09/2017 der BaFin über Mindestanforderungen an das Risikomanagement – MaRisk – vom 27. 10. 2017.9 Auch im politischen Bereich unterhalb der Ebene der Gesetzgebung ist die Bedeutung von KI für die Wirtschaft erkannt worden. So hat das Bundesministerium für Wirtschaft und Technologie (jetzt: für Wirtschaft und Energie) das Förderprogramm Autonomik für die Industrie 4.0 aufgelegt.10 Ebenso wird auf unionsrechtlicher Ebene an der Förderung und Regulierung des Einsatzes von KI gearbeitet. Hier sind zu erwähnen der geplante Einsatz von 20 Mrd. Euro aus privater und öffentlicher Hand bis Ende 2020,11 die geplante ePrivacy-VO12 und nicht zuletzt die
In dem vorliegenden Editorial soll die Frage aufgeworfen werden, ob und inwieweit der Aufsichtsrat in der Lage ist, seine Kontroll- und Beratungspflichten aus § 111 AktG in Bezug auf Geschäftsführungsmaßnahmen aus dem Bereich der selbstlernenden, starken KI zu erfüllen.
II. Künstliche Intelligenz im Prüfkonzept des Aufsichtsrats
Je dynamischer und agiler ein Unternehmen aufgestellt ist, desto eher besteht die Gefahr, dass dem Vorstand die Pferde durchgehen und er sich auf immer riskantere Geschäftsführungsmaßnahmen einlässt. Dann ist es Sache des Aufsichtsrats, ein Gegengewicht zu bilden, das Vorstandshandeln engmaschig zu überwachen und den Vorstand zu beraten. Als Mittel der Informationsgewinnung stehen dem Aufsichtsrat dabei in erster Linie die Berichte des Vorstands nach § 90 AktG zur Verfügung. Besteht ein erhöhter Überwachungsbedarf, reichen diese Berichte oft nicht aus. Es bedarf weiterer Erkenntnisquellen, um den Aufsichtsrat in die Lage zu versetzen, seine Kontroll- und Beratungstätigkeit auszuüben. Ein sehr wirksames Mittel sind dabei Fragen des Aufsichtsrats an den Vorstand. Wer die richtigen Fragen stellt, wird im Zweifel erfahren, was er wissen will. Der Aufsichtsrat hat dabei den Vorteil, dass er nicht in das Tagesgeschäft eingebunden ist, sondern mit einem gewissen Abstand das Geschehen in der Gesellschaft verfolgen und bewerten kann.
1. Grenzen der Informationsbeschaffung
Was aber nutzt das Fragerecht, wenn es ausnahmsweise keine Antwort auf die Frage gibt? In diesem Graubereich bewegt sich der Aufsichtsrat, wenn er einen Vorstand überwachen und begleiten soll, der selbstlernende KI-Systeme in seine Geschäftsabläufe eingebettet hat oder einbetten will.
Das selbstlernende Computersystem erkennt Fehler oder Schwachstellen und stellt sie ab. Damit verändert sich der ursprüngliche Algorithmus, den der Programmierer zu Beginn des Prozesses geschrieben hat. Der sich von selbst
Wie sich das konkrete KI-System weiterentwickelt, kann schon der Programmierer – nach derzeitigem Stand – nicht vorhersagen. Erst recht ist der Vorstand dazu nicht in der Lage. Dann kann der Vorstand dem Aufsichtsrat auch nicht mehr Informationen geben, als dass man in einem bestimmten Sektor selbstlernende KI verwende und damit bestimmte Erfahrungen gemacht habe.
Die Öffentlichkeit nimmt im IT-Bereich vor allem Cyberschäden zur Kenntnis.18 So entsteht regelmäßig eine weltweite Diskussion über die Ursachen eines Verkehrsunfalls, an dem ein selbstfahrendes Auto beteiligt war. Das Gleiche gilt für den Verlust von Daten oder die Verwendung von Daten für rechtswidrige Zwecke, etwa nach einem Hacker-Angriff. Die hier aufgeworfene Frage, wie man mit einer eigendynamischen Software umgeht, findet nur geringere Aufmerksamkeit. Die Folgen einer Fehlentwicklung der KI-Software können aber ebenso einschneidend sein wie die genannten Cyberfälle. Der Lernprozess eines Computerprogramms führt nicht immer sogleich zu einem “richtigen” Ergebnis. Die selbstlernenden Systeme benutzen bei ihrem Lernprozess vielmehr die Trial-and-Error-Methode. Dass sie dabei auch dem Error unterliegen, ist systembedingt. Ob sie innerhalb der Grenzen von noch hinnehmbaren Fehlern bleiben, ist nicht sicher. Sicher ist aber, dass sich durch das selbsttätige Lernen des Systems die Wissensbasis des Algorithmus stets verändert. Anhand der in der Vergangenheit gemachten Erfahrungen und Beobachtungen passt der Algorithmus den Inhalt der eigenen Wissensbasis ständig an.19
2. Handlungsoptionen des Aufsichtsrats
Wie muss der Aufsichtsrat mit einer solchen Situation umgehen? Bei der Antwort auf diese Frage ist zu unterscheiden zwischen der – vergangenheitsbezogenen – Kontrolltätigkeit des Aufsichtsrats und seiner – zukunftsbezogenen – Beratungstätigkeit.
a) Kontrolltätigkeit
Die Kontrolltätigkeit ist eine gesetzliche Pflicht, auf die die Business Judgment Rule keine Anwendung findet.20 Entweder hat der Vorstand seine Pflichten (schuldhaft) verletzt und der Gesellschaft dadurch einen Schaden zugefügt oder nicht. Nimmt der Aufsichtsrat die Voraussetzungen eines Schadensersatzanspruchs an, muss er nach den Grundsätzen von ARAG/Garmenbeck die Vorstandsmitglieder in Anspruch nehmen21 und ggf. ihre Bestellung widerrufen. Bei der Frage, ob sich der Vorstand pflichtwidrig verhalten hat, ist freilich die Business Judgment Rule in Bezug auf ihn, den Vorstand, anzuwenden.22 Dabei ist zu prüfen, ob das Vorstandsmitglied – wie es in § 93 Abs. 1 S. 2 AktG heißt – bei seiner unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Das Informationsproblem verlagert sich also auf den Vorstand. Er hat seine Geschäftsführung vor dem Aufsichtsrat zu verantworten und muss deshalb den Aufsichtsrat durch geeignete Information auch in die Lage versetzen, seiner Kontrollaufgabe nachzukommen. Sichtbarer Ausfluss dieser Regel ist die Umkehr der Darlegungs- und Beweislast in § 93 Abs. 2 S. 2 AktG. Dem Vorstand kann allerdings nicht vorgeworfen werden, keinen Zutritt zu der Black Box der selbstlernenden KI zu haben. Denn das ist die systembedingte Folge des Einsatzes von starker KI. Sein Fehlverhalten kann vielmehr entweder darin bestehen, dass er ein selbstlernendes KI-System überhaupt implementiert hat, oder darin, dass er im Falle einer Fehlentwicklung diese nicht rechtzeitig erkannt und nicht richtig kommuniziert hat. So kann der Vorstand versucht haben, Probleme zu vertuschen, was zumindest zu einem Imageschaden führen kann oder schon geführt hat. Möglich ist auch der Vorwurf, kein wirksames Überwachungssystem im Sinne des § 91
b) Beratungstätigkeit
Neben der Kontrolltätigkeit obliegt dem Aufsichtsrat die Pflicht, den Vorstand bei der Leitung des Unternehmens zu beraten und an Entscheidungen von grundsätzlicher Bedeutung mitzuwirken. Das entspricht der Beschreibung in Nr. 5. 1. 1 des Deutschen Corporate Governance Kodex und ist mittlerweile auch im Übrigen Standard einer zielführenden Aufsichtsratstätigkeit.24 Dem Aufsichtsrat kann sich im Rahmen dieser Beratung die Frage stellen, ob er die – künftige – Anwendung von KI im Unternehmen gutheißen will. Dabei hat er – ebenso wie der Vorstand – grundsätzlich einen Ermessensspielraum nach der Business Judgment Rule.25 Denn es geht vorrangig um die Wahrnehmung und Abwägung der mit der selbstlernenden KI verbundenen zukünftigen Risiken, speziell des Risikos, dass sich das Netzwerk eigenständig in eine Richtung weiterentwickelt, in der man es nicht haben will und die man auch nicht – jedenfalls nicht innerhalb angemessener Zeit – korrigieren kann. Diese Fragestellung ist nicht zu verwechseln mit der Compliance des Unternehmens. Unter den Begriff Compliance fällt die Gesamtheit aller Maßnahmen, welche erforderlich sind, um ein rechtmäßiges Verhalten des Unternehmens, seiner Organmitglieder und Mitarbeiter mit Blick auf alle gesetzlichen oder satzungsmäßigen Gebote und Verbote zu gewährleisten.26 Eine KI zu verwenden, die nicht bis ins Letzte beeinflussbar ist, verstößt aber noch nicht gegen gesetzliche oder satzungsmäßige Gebote oder Verbote. Wenn es um selbstlernende KI geht, muss der Aufsichtsrat vielmehr – gemeinsam mit dem Vorstand – abwägen, ob diese Risiken eingegangen werden sollen. Dabei lässt sich der Umfang der Risiken ex ante noch nicht genau bestimmen. Da niemand Zugriff auf den Inhalt der Black Box hat, kann auch niemand eine valide Risikoabschätzung vornehmen. Das ist keine Frage der Information, weil diese Information für niemanden abrufbar ist. Dennoch müssen Aufsichtsrat und Vorstand in dieser Situation eine Abwägung der Risiken und Chancen vornehmen. Ein mögliches Ergebnis dieser Abwägung kann darin bestehen, auf die Verwendung selbstlernender KI-Programme schlicht zu verzichten. Das ist der sicherste Weg. Je nach Zuschnitt des Unternehmens ist es auch der sinnvollste.
Gefragt ist also Transparenz. Das Mittel der Transparenz sind die regelmäßigen Geschäftsberichte des Vorstands28 und der Bericht des Aufsichtsrats an die Hauptversammlung nach § 171 Abs. 2 AktG.29 Dafür bedarf es keines Computer-Algorithmus im Vorstand oder im Aufsichtsrat wie bei Deep Knowledge Ventures. Es genügt vielmehr, die Umrisse der Black Box aufzuzeigen und darzustellen, dass in dem so abgegrenzten Bereich ein nicht beherrschbares Risiko durch die Verwendung von starker KI besteht. Das sollte genügen, um einerseits die in den neuen Systemen liegende Innovationskraft zu entfalten und andererseits die Beteiligten davor zu schützen, ungewollte Risiken einzugehen.
Lutz Strohn
1 | Möslein, ZIP 2018, 204, 206. Der Begriff Algorithmus wird hier gebraucht zur Bezeichnung einer softwaregestützten, komplexen Entscheidungsfindung; so auch Spindler, DB 2018, 41, 45 Fn. 60. |
2 | Siehe etwa Schirmer, JZ 2016, 660 ff.; Specht/Herold, MMR 2018, 40 ff.; Günther, DB 2017, 651, 652; dagegen Spindler, DB 2018, 41, 50. |
3 | Siehe dazu das Interview mit dem Präsidenten des Deutschen Forschungszentrums für Künstliche Intelligenz, Wahlster, FAZ v. 25. 4. 2018, 16. |
4 | Kirn/Müller-Hengstenberg, MMR 2014, 225, 226; Anderl, FAZ v. 29. 3. 2018, 11; siehe dazu Boos, FASZ v. 3. 6. 2018, 27: “Und so trainieren wir auch unsere Computer. Wir zeigen ihnen Daten, sie sollen darin Muster erkennen und gewünschte Aktionen auslösen. Intelligent ist ein System nur, wenn es erkennt: Da rennt ein unbekanntes Tier auf mich zu, das zwar kein Tiger ist, aber Zähne hat wie ein Tiger, also renne ich besser weg.” |
5 | So auch das Forschungsprogramm des BMWi: “Bei Autonomik geht es um zukunftsweisende Ansätze für die Entwicklung einer neuen Generation von intelligenten Werkzeugen und Systemen, die eigenständig in der Lage sind, sich zu vernetzen, Situationen zu erkennen, sich wechselnden Einsatzbedingungen anzupassen und mit Nutzern und anderen Objekten zu interagieren.”, zitiert nach Kirn/Müller-Hengstenberg, MMR 2014, 225 Fn. 3. |
6 | Maier, https://www.bmwi.de/Redaktion/DE/Artikel/Digitale-Welt/Intelligente-Vernetzung/News-und-Termine/newsletter-03–17–ki-ist-keine-magie.html (letzter Abruf: 10. 7. 2018); a.A. Spindler, DB 2018, 41 Fn. 93. |
7 | Werner, SZ 2018, 26. |
8 | Gesetz zur Erhöhung der Sicherheit Informationstechnischer Systeme (BSIG) vom 17. 7. 2015, BGBl. I (2015), S. 1324; dazu Hornung, NJW 2015, 3334 ff. |
9 | Geschäftszeichen: BA 54–FR 2210–2017/0002. |
10 | Kirn/Müller-Hengstenberg, MMR 2014, 225. |
11 | FAZ v. 28. 4. 2018, 16. |
12 | Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation), vom 10. 1. 2017, COM(2017) 10 final; dazu Spindler, DB 2018, 41, 43. |
13 | VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. 4. 2016, ABl. L 119 vom 4. 5. 2016, S. 1 ff. |
14 | Vorbildlich der 71. Deutsche Juristentag 2016, der sich in seinen zivil- und arbeitsrechtlichen Abteilungen mit dem Thema Digitalisierung befasst hat; siehe für den zivilrechtlichen Bereich das Gutachten von Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016. |
15 | Möslein, ZIP 2018, 201, 211. |
16 | FASZ v. 28. 1. 2018, 21. |
17 | Siehe Huszár, Accuracy vs Explainability of Machine Learning Models, http://www.inference.vc/accuracy-vs-explainability-in-machine-learning-models-nips-workshop-poster-review/ (letzter Abruf: 10. 7. 2018); dazu der CEO von IBM, Rometty, der erwartet, dass der Programmierer die Entscheidung der Maschine erklären könne, FAZ v. 13. 6. 2018, 21. |
18 | Siehe dazu König, AG 2017, 266. |
19 | Kirn/Müller-Hengstenberg, MMR 2014, 225, 229. |
20 | LG Essen v. 25. 4. 2012 – 41 O 45/10, ZIP 2012, 2061 ff.; Hüffer, NZG 2007, 47, 48; Habersack, AG 2014, 1, 2; Henssler/Strohn/Henssler, Gesellschaftsrecht, 3. Aufl. 2016, § 116 Rdn. 11; Hüffer/Koch, AktG, 13. Aufl. 2018, § 116 Rdn. 4a; zurückhaltend KölnKommAktG/Mertens/Cahn, 3. Aufl. 2013, § 116 Rdn. 67 ff.; Karsten Schmidt/Lutter/Drygala, AktG, 3. Aufl. 2015, § 116 Rdn. 11: Beurteilungsspielraum. |
21 | BGH v. 21. 4. 1997 – II ZR 175/95, BGHZ 135, 244. |
22 | BGH v. 21. 4. 1997 – II ZR 175/95, BGHZ 135, 244, 255. |
23 | Habersack, AG 2014, 1, 4 f.; Karsten Schmidt/Lutter/Krieger/Sailer-Coceani (Fn. 20), § 91 Rdn. 13 ff.; Henssler/Strohn/Dauner-Lieb (Fn. 20), § 91 Rdn. 9. |
24 | BGH v. 25. 3. 1991 – II ZR 188/89, BGHZ 114, 127, 129 f.; v. 2. 3. 2018 – II ZR 359/16, DB 2018, 1136, Rdn. 17; MünchKommAktG/Habersack, 4. Aufl. 2014, § 111 Rdn. 12; Spindler/Stilz/Spindler, AktG, 3. Aufl. 2015, § 111 Rdn. 10 f. |
25 | KölnKommAktG/Mertens/Cahn (Fn. 20), § 116 Rdn. 68; Hüffer/Koch (Fn. 20), § 116 Rdn. 5: GroßkommAktG/Hopt/Roth, 4. Aufl. 2005, § 161 Rdn. 105 ff. |
26 | Siehe Nr. 4. 1. 3 Deutscher Corporate Governance Kodex; ebenso etwa Reichart/Ott, NZG 2014, 241; Spindler/Stilz/Fleischer (Fn. 24), § 91 Rdn. 47 ff.; zur Compliance-Verantwortung des Aufsichtsrats Habersack, AG 2014, 1 ff. |
27 | Für eine weit gehende Verwendung selbstlernender Systeme in diesem Bereich auch Spindler, ZGR 2018, 17, 43. |
28 | Siehe Nr. 6. 2. Deutscher Corporate Governance Kodex. |
29 | MünchKommAktG/Hennrichs/Pöschke, 4. Aufl. 2018, § 171 Rdn. 193; Hüffer/Koch (Fn. 20), § 171 Rdn. 20. |