KI Serie 5: M&A – Investitionen in Künstliche Intelligenz

Wesentliche Überlegungen bei einer Due Diligence von KI-Investitionen sind z.B. Technologieevaluierung, Bewertung des geistigen Eigentums, Datenqualitätsanalyse, Bewertung der Teamkompetenz, Überprüfung des Geschäftsmodells, regulatorische Konformität, ethische Überlegungen, Leistungsvalidierung, Risikomanagement und Cybersicherheitsmassnahmen.

Im Folgenden werden einige der wichtigsten Punkte hervorgehoben, die bei einer Investition im KI-Bereich zu berücksichtigen sind:

1. Technologie und geistiges Eigentum

• Bewertet die Technologie hinter dem KI-Produkt oder -Dienst. Während der Output/Dienst einer KI-Lösung von aussen beeindruckend aussehen kann, ist es wichtig zu verstehen, auf welcher Basis die KI-Lösung arbeitet, z.B. auf welchem Software-Code/Algorithmus und basierend auf welchen Trainings-/Inputdaten.
• Verstehen Sie die Einzigartigkeit und den Wettbewerbsvorteil der KI-Algorithmen, -Modelle oder -Software. Wie unterscheidet sich das KI-Tool von anderen Tools bzw. wie geht es anders an die Problemlösung heran als die Ihnen bekannten Tools?
• Bewerten Sie den Schutz des geistigen Eigentums (Urheberrechte, Patente, Geschäftsgeheimnisse), um die Robustheit und Verteidigungsfähigkeit der jeweiligen KI-Lösung sicherzustellen. Beachten Sie, dass Urheberrechte wahrscheinlich das relevanteste geistige Eigentum in KI-Software-Tools darstellen (Patentschutz für Software-Tools ist nicht ausgeschlossen, wird jedoch nur unter bestimmten Umständen nach schweizerischem Recht gewährt).

Eigenerstellter Software-Code wird gemeinhin als durch Urheberrechte geschützt betrachtet. Nach schweizerischer Doktrin entstehen Urheberrechte im Moment ihrer Schöpfung und können nicht registriert werden (im Gegensatz zu z.B. Patenten und Marken). Daher ist es wichtig, den Entwicklungsprozess der zugrunde liegenden Software, die Titelkette (wer hat die Rechte entwickelt und an das Zielunternehmen abgetreten) zu hinterfragen. In diesem Zusammenhang sollte auch über Open-Source-Software ("OSS")-Compliance nachgedacht werden. Beruht die KI-Lösung auf Elementen von OSS? Wenn ja, welche OSS unter welchen öffentlichen Lizenzbedingungen? Beachten Sie, dass bestimmte OSS-Lizenzen die Art und Weise, wie ein OSS-basiertes Produkt weitervertrieben/vermarktet werden darf, erheblich einschränken und zusätzliche Verpflichtungen auferlegen können, z.B. Verfügbarkeit des Quellcodes für die Öffentlichkeit. Abhängig davon, welche OSS-Elemente Teil der KI-Lösung sind, führt eine rechtliche Risikobewertung zu Schlussfolgerungen über die Vermarktbarkeit der KI-Lösung. Schliesslich sollte man sich bewusst sein, dass ein Grossteil des Wissens über eine KI-Lösung auch aus Know-how besteht. Versuchen Sie herauszufinden, ob dieses Know-how dokumentiert ist und ob es angemessen vor unbefugtem Zugriff und Nutzung geschützt ist. Je besser es geschützt ist, desto einfacher wird es sein, die Vertraulichkeit gegenüber Unbefugten durchzusetzen.

2. Datenqualität und Datenschutz

• Bewerten Sie die Qualität, Quantität und Vielfalt der Input-Daten, die zum Trainieren des KI-Systems verwendet werden. Beachten Sie, dass der Erfolg der meisten KI-Lösungen weitgehend von den Input-Daten abhängt, die zur Erstellung und zum Training des KI-Systems verwendet werden. Wenn die Input-Daten bereits schwach/validiert sind, wird der Output wahrscheinlich ähnlich aussehen.
• Verstehen Sie die Datenquellen, auf die die KI-Lösung zurückgreift (sind es proprietäre Daten, lizenzierte Daten von einer offiziellen Plattform oder öffentlich zugängliche Daten?).
• Bewerten Sie den Datenbearbeitungs- und -sammelprozess. Hier kommt die Einhaltung der Datenschutzbestimmungen ins Spiel. Es versteht sich von selbst, dass KI-Tools beeindruckende Ergebnisse basierend auf grossen Datenmengen erzielen können, aber ist der Rechteinhaber des Tools berechtigt, diese Daten überhaupt zu besitzen und zu verwenden? Wem gehören diese Daten und auf welcher Grundlage ist der Rechteinhaber des Tools berechtigt, sie zu verwenden? Wenn der Rechteinhaber des Tools berechtigt ist, sie zu verwenden und es sich um Personendaten handelt, ist dann transparent, wie diese Daten überhaupt verwendet und bearbeitet werden (z.B. gibt es eine Zweckbindung der Bearbeitung basierend auf Datenschutzgesetzen)? Kann der Rechteinhaber des Tools den Datenbearbeitungszweck so erklären, dass Einzelpersonen darüber informiert sind? Sind Schutzmassnahmen vorhanden, um auszuschliessen, dass die Bearbeitung voreingenommene, falsche oder unvollständige Ergebnisse erzeugt? Die Kompatibilität von KI-Projekten und Datenschutzgesetzen kann je nach Menge der betroffenen Personendaten einen umfangreicheren Prüfungsprozess erfordern (weitere Informationen hierzu werden in einer separaten AI-Serie zur Datenschutzkonformität und KI bereitgestellt).

3. Team und Fachwissen

• Bewerten Sie das Team hinter dem KI-Unternehmen (Erfahrung, Qualifikationen, Expertise in KI, Datenwissenschaft). Sollten Sie sich für eine Investition in ein KI-Unternehmen entscheiden, müssen Sie sicherstellen, dass relevante Schlüsselkräfte und Know-how zumindest für eine Übergangszeit an Bord bleiben, um einen nahtlosen Übergang des Know-hows zu gewährleisten, der es Ihnen ermöglicht, den Geschäftsbetrieb in der aktuellen Art und Weise fortzuführen.
• Suchen Sie nach einer Erfolgsbilanz von erfolgreichen KI-Projekten oder Branchenerfahrungen. Die bestehende Kundenbasis, die Breite der involvierten Sektoren innerhalb der Kundenbasis, die relevanten Umsätze, die mit Kunden generiert werden, und das Fehlen von Streitigkeiten geben Ihnen Hinweise auf die Nutzbarkeit und das Potenzial zur Kommerzialisierung der KI-Lösung.
• Bewerten Sie den Hintergrund des Teams in technischer, schulischer, forschungs- und geschäftlicher Expertise. Woher kommen die Leute und was ist ihr schulischer Hintergrund? Sind sie mit der jeweiligen Branche vertraut, die sie bedienen, oder kommen sie aus anderen oder völlig verschiedenen Bereichen?

4. Geschäftsmodell

• Bewerten Sie das Geschäftsmodell, die Einnahmequellen und den relevanten Markt des KI-Tools. Während einige Tools vor Ort eingesetzt werden (oft aus Sicherheitsgründen), werden die meisten plattformbasiert angeboten. Es gibt verschiedene kommerzielle Abonnementmodelle und Geschäftsbedingungen, die in diesem Zusammenhang überprüft werden müssen. Überlegen Sie auch, wie und in welchem Umfang der KI-Anbieter berechtigt ist, Daten seiner Kunden wiederzuverwenden, um das KI-Tool mit neuen Daten weiter zu füttern/trainieren. Diese Option ist als separate Einnahmequelle zu betrachten, wenn auch nicht in Geldwährung, sondern in Datenwährung, die weitere Möglichkeiten zur Erweiterung des Potenzials der KI-Lösung bietet.
• Verstehen Sie den Zielmarkt, den Wettbewerb und die Eintrittsbarrieren. KI-Tools breiten sich derzeit aus, aber überlegen Sie, ob der KI-Anbieter Zugang zu kritischen Daten hat oder auf diese zugreifen kann, die für seinen langfristigen Erfolg erforderlich sind, und wie ausgeklügelt sein Tool im Vergleich zu aktuellen Konkurrenzangeboten ist. KI-Tools leben bzw. gedeihen von Daten, und nur mit Zugang zu notwendigen Datenressourcen wird es möglich sein, Ergebnisse zu erzielen, die für Benutzer von Interesse sind und den Konkurrenten voraus sind. Beachten Sie, dass nicht nur offene generative KI-Angebote (wie z.B. ChatGPT) Potenzial haben, sondern auch geschlossene Systeme, die auf vertraulichen kundenspezifischen Daten basieren und dem Kunden ermöglichen, mehr Einblicke zu gewinnen, als er zuvor hatte.
• Bewerten Sie die Skalierbarkeit, Risiken und Herausforderungen bei der Kommerzialisierung der KI-Technologie. In diesem Zusammenhang sind Verträge im KI-Bereich ein relevantes Risikomanagement-Tool. Überprüfen Sie die Vertragsvorlagen zwischen dem KI-Anbieter und seinen Kunden. Setzt die Vereinbarung die Erwartungen der Kunden richtig? Schränkt sie ausreichend Garantien und Haftungen in Bezug auf bestehende Daten-Inputs und zukünftige Daten-Outputs ein? Bietet sie dem KI-Anbieter ausreichend Freiraum, um Kundendaten langfristig für eigene Zwecke zu bearbeiten, weiterzubearbeiten und auf Dauer zu nutzen.

5. Regulatorischer Rahmen

• Verstehen Sie das regulatorische Umfeld und die rechtlichen Implikationen im Zusammenhang mit KI-Angeboten. Wie bereits erwähnt, können KI-Angebote (d.h. ihre Basis zur Datensammlung und -bearbeitung) manchmal mit gesetzlichen datenschutzrechtlichen Anforderungen kollidieren. Wichtiger ist jedoch, dass Künstliche Intelligenz als solche mehr regulatorische Aufmerksamkeit unter dem Europäischen KI-Gesetz erfährt (siehe unsere AI-Serie 1 mit detaillierteren Informationen zu den Anforderungen dieses Gesetzes: https://cms.law/en/che/publication/ai-series-1-the-eu-artificial-intelligence-act-is-almost-ready-to-go) und weiteren bestehenden und kommenden europäischen KI-Gesetzen, wie (i) die Europäische Richtlinie über KI-Haftung, (ii) das Europäische Gesetz über digitale Dienste , (iii) das Europäische Gesetz über digitale Märkte und z.B. (iv) das Europäische Datenschutzgesetz. Beachten Sie, dass auch ein nicht in der EU ansässiges Unternehmen schnell unter den Anwendungsbereich dieser europäischen Statuten fällt, wenn es KI-Tools (wie in diesen Gesetzen definiert) Kunden in der EU oder EU-Unternehmen anbietet, die sie in ihre eigenen Produkte integrieren und an Kunden weiterverkaufen. Diese Gesetze bringen eine grosse Komplexität mit sich, da ein KI-Tool die regulatorischen Anforderungen all dieser Gesetze zusammen erfüllen muss. Im Inhouse-Counsel-Jargon wird die Vielzahl dieser europäischen Gesetze oft als "Stack" bezeichnet; ein Stack von Gesetzen, durch den jedes KI-Tool sozusagen den Eintrittstest bestehen muss. Ohne ins Detail zu gehen, erfordert der Stack, dass ein KI-Anbieter das Risikopotenzial seines KI-Tools analysiert und kategorisiert, diese Bewertung dokumentiert und ein umfassendes Risikomanagementsystem implementiert, das Risikominderungs- und Cybersicherheitsmassnahmen umfasst. Der Q&A-Prozess sollte in diesem Zusammenhang Ausgangsfragen auflisten und sicherstellen, dass der Ansatz des Unternehmens zu ethischen Überlegungen wie Voreingenommenheitsminderung, Transparenz, Fairness und Verantwortlichkeit bewertet wird.

6. Leistung

• Fordern Sie Nachweise zur Leistung, Genauigkeit und Zuverlässigkeit des KI-Systems an. Ein KI-Anbieter sollte in der Lage sein, Kundenreferenzen vorzulegen, daher fordern Sie Zugang zu solchen Informationen oder unabhängigen Drittbewertungen oder Fallstudien, die die Wirksamkeit der KI-Lösung demonstrieren. Berücksichtigen Sie auch Pilotprojekte, um das Tool selbst zu bewerten, ohne sich zu sehr zu verpflichten.

7. Finanzen

• Analysieren Sie die finanzielle Gesundheit des KI-Unternehmens (Finanzberichte, Umsatzprognosen, Finanzierungsgeschichte).
• Bewerten Sie den potenziellen Bedarf an zusätzlicher Finanzierung.
• Verstehen Sie die Eigentümerstruktur und bestehende Investoren.

8. Partnerschaften

• Bewerten Sie bestehende Partnerschaften oder Kooperationen mit anderen KI-Anbietern oder IT-Dienstleistern bzw. die Integration mit anderen Technologien; diese können Zugang zu Synergien und einer breiteren Marktkapitalisierung eröffnen, als wenn das KI-Tool in einem isolierten Kanal angeboten wird. Stellen Sie sicher, dass Sie die Risiken und Vorteile bestehender oder zukünftiger Partnerschaften für KI-Investitionen verstehen. Insbesondere kann ein Partner Zugang zu einer beträchtlichen Menge kritischer Daten bieten, die erforderlich sind, um das volle Potenzial der KI zu erreichen.
• Überprüfen Sie die relevanten "partner agreements" aus rechtlicher Sicht und die damit verbundenen Risiken (insbesondere Provisionszahlungen und deren Vereinbarkeit mit Interessenkonfliktgrundsätzen).

9. Risikomanagement

• Bewerten Sie den Ansatz des KI-Unternehmens zum Risikomanagement und zur Cybersicherheit. Beachten Sie, dass europäische Gesetze zur Künstlichen Intelligenz (siehe Abschnitt 5) umfangreiche Anforderungen an Risikoanalysen, -kategorisierungen und Risikominderungsmassnahmen (Risikomanagement) stellen, um die Einhaltung dieser Gesetze nachzuweisen (weitere Informationen hierzu z.B. unter https://cms.law/en/che/publication/ai-series-1-the-eu-artificial-intelligence-act-is-almost-ready-to-go).
• Verstehen Sie Massnahmen, die zum Schutz sensibler Daten und zur Gewährleistung der Systemintegrität getroffen wurden (insbesondere zur Verhinderung unbefugten Zugriffs). Überprüfen Sie, ob der KI-Anbieter eine formale Zertifizierung zur IT-Sicherheit erhalten hat (z.B. ISO). Obwohl dies keine formale rechtliche Anforderung ist, wird sie als Hinweis auf das Mass an IT-Sicherheitsmassnahmen angesehen und solche Standards werden oft von Regulierungsbehörden oder Gerichten als stichhaltig angesehen.
• Bewerten Sie Notfallpläne für potenzielle Risiken wie Systemausfälle, Sicherheitsverletzungen, d.h. die Fähigkeit, die "Geschäftskontinuität" sicherzustellen. Beachten Sie, dass diese Anforderung für regulierte Kunden der KI-Lösung, insbesondere Banken und Versicherungsunternehmen in der Schweiz, von hoher Relevanz ist. Kunden sind auch verpflichtet, dem Regulator in der Schweiz Massnahmen zur Schadensbegrenzung nachzuweisen, wenn Datenverletzungen auftreten, und je mehr Notfallpläne/Abhilfemassnahmen bereits vorhanden sind, desto besser für die Vermarktbarkeit auf dem Markt.

10. Exit-Plan

• Erwägen Sie potenzielle Exit-Optionen für die Investition, z.B. Wachstum, Übernahme, Börsengang oder Verkauf Ihres Anteils an einen neuen Partner oder Investor etc. Beachten Sie, dass, wenn Sie Ihre Hausaufgaben zur Due Diligence für Ihre anfängliche Investition gemacht haben, die Dokumentation für die nächsten Exit-Schritte bereit ist.

Schlussfolgerung

Wie man sieht, weisen Investitionen in Künstliche Intelligenz viele Ähnlichkeiten mit den allgemein bekannten Investitionen im Technologiebereich auf. Dennoch umfasst Künstliche Intelligenz als Produkt viele Besonderheiten, insbesondere ihre starke Abhängigkeit von grossen Datenmengen und detaillierten Risikoanalysen und -managementanforderungen, die durch europäische KI-Gesetze vorgeschrieben sind. Letztere betreffen Schweizer Unternehmen, wenn ihre KI-Angebote Kunden in der EU angeboten werden oder wenn ihre Angebote in Produkte integriert werden, die in der EU verwendet oder angeboten werden. Wenn und soweit ein KI-Tool von der Nutzung von Personendaten abhängt, sollten beträchtliche Due Diligence-Bemühungen auch der Bewertung der Datenschutzkonformität des gesamten Input- und Output-Prozesses der KI-Lösung und der ethischen Schutzmechanismen (z.B. um eine Kompromittierung von Daten und/oder die Replikation von Voreingenommenheiten im Datenoutput-Prozess zu vermeiden) gewidmet werden. Die Checkliste in dieser AI-Serie bietet eine grobe Anleitung, wie solche Investitionen angegangen werden können. Idealerweise sollte der Due Diligence-Prozess von Rechtsexperten auf den Gebieten Informationstechnologie (IT) und geistiges Eigentum (IP) begleitet werden.