Am 28. Juli 2020 habe ich im Rahmen eines gemeinsamen Online-Seminars mit der Cloudflight GmbH über sog. adverserielle Angriffe und die aktuelle wie zukünftige Haftung für KI, hier im Falle “autonomer” Fahrzeuge gesprochen. Unterstützt wurde das Event vom AI Frankfurt Rhein-Main e.V. 

Bevor Benedikt Fuchs erklärte, wie sog. adverserielle Angriffe ablaufen können, zeigte ich die technischen und rechtlichen Angriffspunkte im Falle sog. autonomer Fahrzeuge auf. Als die 10 wesentlichen Grunderkenntnisse konnten die zahlreich zugeschalteten Teilnehmerinnen und Teilnehmer mitnehmen:

1. “Autonom” als Begriff ist wie “KI”: Als “autonom” wird schnell alles bezeichnet, was dem gemeinen Menschen (mangels Nachvollziehbarkeit) autonom erscheint. 
2. Das Fahrzeug wird auch zukünftig nicht selbst haften. Eine Sache ist und wird einer Rechtsperson nicht gleichgestellt.
3. Die vom EU-Parlament vorgeschlagene Verordnung zur Regelung zivilrechtlicher Haftung soll eine (ferne) Zukunft regeln, denn die erfassten Automatisierungsgrade 4 und 5 SAE J3016 sind noch Zukunftsmusik. Das gilt sogar für Automatisierungsgrad 3.
4. Die geplante Verordnung scheint den bislang verschuldensabhängig haftenden Fahrzeugführer zukünftig neben dem Halter verschuldensunabhängig haften lassen zu wollen und schafft auch sonst Verwirrung.
5. Attributionsproblem: Angreifer werden regelmäßig nicht in Regress genommen werden können. 
6. Das Angriffsrisiko für “autonome” Fahrzeuge liegt nicht in ihrer “KI”, sondern ihrer Vernetzung als IoT-Device begründet. D.h. es besteht grundsätzlich unabhängig vom Automatisierungsgrad.
7. Bislang wird die Fahrzeug-Cybersecurity jedoch noch stiefmütterlich behandelt. Selbst Rechtsnormen fehlen.
8. Das sog. IT-Grundrecht, begründet vom Bundesverfassungsgericht (im Rahmen seiner Urteile zum Verfassungsschutzgesetz NRW und BKA-Gesetz), könnte zukünftig eine große Rolle bei der Haftung für die Sicherheit smarter Fahrzeuge spielen.
9. Der Hersteller wird das größte Haftungsrisiko tragen und sollte hier in jeder Hinsicht vorsorgen (u.a. durch kluge Vertragsgestaltung).
10. Hersteller sollten die angekündigte ISO/SAE DIS 21434 “Road vehicles – Cybersecurity engineering” im Auge behalten.