Neuer EU-Rechtsrahmen: Compliance in einer digitalen Welt

Als Reaktion auf die technischen Entwicklungen arbeitet der EU-Gesetzgeber daher seit einigen Jahren kontinuierlich an „Digitalgesetzgebungspaketen“ in Form von Verordnungen und Richtlinien. Ein zentrales Ziel der Digital-Strategie der EU ist dabei die Regulierung von Systemen und Anwendungen künstlicher Intelligenz (KI) sowie die Stärkung von Zugangsrechten zu (Maschinen-)Daten.

Während EU-Verordnungen unmittelbare Wirkung in allen EU-Mitgliedstaaten entfalten, sind EU-Richtlinien noch in nationales Recht umzusetzen, sodass sich Unternehmen teilweise auf nationale Besonderheiten einstellen müssen. Auch 2023 und 2024 ist auf EU-Gesetzgebungsseite einiges in der „Pipeline“. Je eher eine Auseinandersetzung mit dem neuen Rechtsrahmen erfolgt, desto eher können Geschäftsprozesse auf die neue Rechtslage angepasst werden.

Überblick kürzlich abgeschlossener oder aktuell laufender EU-Digitalgesetzgebungsverfahren:

• Artificial Intelligence Act (AI-Act):  Der Verordnungsentwurf der EU-Kommission richtet sich an Anbieter und Nutzer von Systemen künstlicher Intelligenz, beinhaltet Vorschläge zum rechtlichen Umgang mit Formen von künstlicher Intelligenz in der EU einschließlich Fragen zur Zulässigkeit des Einsatzes künstlicher Intelligenz zur biometrischen Fernidentifizierung im öffentlichen Raum. Erklärtes Ziel ist es, die Forschungs- und Industriekapazitäten zu stärken und gleichzeitig Sicherheit und Grundrechte zu gewährleisten. Im Juni 2023 wurde der Weg für Trilogverhandlungen freigemacht. Derartige Verhandlungen können sich zwar ziehen, allerdings ist hier mit Blick auf die 2024 stattfindenden Wahlen zum EU-Parlament mit Beschleunigung zu rechnen.

• Cyber Resiliance Act: Der Verordnungsentwurf der EU-Kommission stellt für die Entwicklung und das Inverkehrbringen von Hardware- und Softwareprodukten verbindliche Anforderungen gegenüber den Herstellern auf, um das Risiko von Cybersicherheitsrisiken auch während des Lebenszyklus der Produkte zu minimieren. Kürzlich wurde im zuständigen Ausschuss des EU-Parlaments für die Aufnahme von Trilogverhandlungen gestimmt.

• Data Act: Der Verordnungsentwurf für den fairen Zugang zu und der Nutzung von Daten soll Fairness im Bereich der Datenwirtschaft schaffen, indem Regeln für die Nutzung von Daten festgelegt werden, die von Internet of Things (IoT)-Geräten generiert werden. Insbesondere soll festgelegt werden, wann und unter welchen Bedingungen Unternehmen und Privatpersonen Informationen von vernetzten Geräten (z.B. aus dem Bereich des vernetzten Fahrens oder bei Smart-Home-Geräten), erhalten und weitergeben dürfen. Auch soll der Wechsel von Anbietern sogenannter Cloud-Dienste vereinfacht werden. Damit solle der EU-Kommission zufolge der Wettbewerb gefördert und die Bindung an einen einzigen Dienst verhindert werden. Das Gesetz muss noch vom EU-Parlament und dem Rat der EU bestätigt werden.

• DMA und DSM: Im Juli 2022 hat der EU-Gesetzgeber den Digital Markets Act (DMA) und den Digital Services Act (DSA) zur Regulierung global agierender Internetkonzerne verabschiedet.  Bei beiden Regulierungen handelt es sich um Verordnungen, die seit Ablauf der Umsetzungsfrist (2023) unmittelbar in allen Mitgliedsstaaten gelten. Der DMA ((EU) 2022/1925) soll die Marktmacht großer IT-Unternehmen einschränken, und damit für faireren Wettbewerb sorgen und Verbrauchern mehr Wahlfreiheit bei Onlineangeboten verschaffen. Er stellt dazu strenge Vorgaben für sog. Gatekeeper auf. Der DSA ((EU) 2022/2065) richtet sich an alle Anbieter von Onlinevermittlungsdiensten und führt neue Transparenz- und Rechenschaftsregeln für Online-Plattformen ein, die zu einem höheren Schutz für Verbraucher und ihre Grundrechte im Internet führen sollen.

• e-Evidence Verordnung: Im Sommer 2023 wurde die Verordnung (EU) 2023/1543 über europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren von EU-Parlament und dem Rat der EU bestätigt. Europäische Polizeibehörden können nun direkt bei Online-Diensten die Daten von Verdächtigen abfragen. Mit Blick auf Überwachungsrisiken und die herzustellende Kohärenz mit der DSGVO, ist die Verordnung nicht unumstritten.

• e-Privacy-Verordnung: Die europäische e-Privacy-VO, die die in die Jahre gekommene Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) ersetzen und ursprünglich parallel zur Datenschutzgrundverordnung (DSGVO) in Kraft treten sollte, soll die Nutzung elektronischer Kommunikationsdienste innerhalb der Europäischen Union regeln. Die e-Privacy-Verordnung richtet sich vor allem an Unternehmen der Digitalwirtschaft und macht ihnen weitere Vorgaben im Zusammenhang mit der Verarbeitung personenbezogener Daten. Nachdem der Gesetzesentwurf immer wieder ins Stocken geraten ist, ist der Ausgang trotz inzwischen aufgenommener Trilogverhandlungen weiterhin nicht klar prognostizierbar, obgleich eine Einigung näher zu rücken scheint.

• KI-Haftungsrichtlinie: Die KI-Haftungsrichtlinie zur Anpassung der zivilrechtlichen Vorschriften über außervertragliche Haftung bei künstlicher Intelligenz wurde parallel zum AI Act und der Reform der EU-Produkthaftungs-Richtlinie initiiert. Ziel ist die Regulierung insbesondere im Hinblick auf Sicherheit und Zurechenbarkeit der mittels KI getroffenen Entscheidungen. Sie soll, wie der AI Act, Wirkung für Anbieter und Nutzer entfalten, nimmt aber über die Statuierung einer Gefährdungshaftung besonders die Anbieter von KI-Systemen (z.B. im Bereich des autonomen Fahrens) in die Pflicht.

• NIS-2-Richtlinie: Die NIS-2-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union dient der Regulierung von Cyber-Systemen im Bereich der Kritischen Infrastruktur (KRITIS) und ist Anfang 2023 in Kraft getreten. Die Umsetzung der NIS-2-Richtlinie ins nationale Recht muss bis Herbst 2024 erfolgen. Der Anwendungsbereich der Cyber-Sicherheitsregulierung und damit der Kreis der betroffenen Unternehmen soll auch in Deutschland enorm ausgeweitet werden (z.B. in den Bereichen Cloud-Computing und Rechenzentrumsdienste, Fernwärme, Öffentliche Verwaltung). Die betroffenen Unternehmen und Organisationen müssen daher angemessene Maßnahmen in Bereichen Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Penetrationstests und Reaktion auf Vorfälle sowie Berichterstattung an die Behörde und Abhilfemaßnahmen ergreifen. Für die Geschäftsleitung der betroffenen Organisationen sollen ebenfalls strengere Haftungsregeln eingeführt werden.

• Produkthaftungsrichtlinie: Der 2022 vorgelegte Entwurf der EU-Kommission für eine neue Produkthaftungsrichtlinie sieht für die Industrie eine massive Verschärfung der Produkthaftung vor. Zudem soll sich die Produkthaftung auch auf Wirtschaftsakteure erstrecken, für die dieses Thema bislang keine Rolle gespielt hat. Nach dem neuen Entwurf der EU-Kommission soll die europäische Produkthaftung nicht mehr nur für bewegliche Sache und Elektrizität, sondern ausdrücklich auch für Produktionsdateien und für Software gelten. Unter den Softwarebegriff sollen auch Systeme künstlicher Intelligenz (KI-Systeme) fallen. Zudem soll das Inverkehrbringen künftig nicht mehr der alleinige Anknüpfungspunkt für die Produkthaftung sein. Die Haftung eines Herstellers soll künftig nämlich auch dann entstehen, wenn er sein Produkt nach dem Inverkehrbringen weiter kontrollieren kann (z. B. durch entsprechende Sicherheits-Softwareupdates). Nach der neuen Richtlinie sollen zudem künftig auch Bevollmächtigte des Herstellers im Sinne des Produktsicherheitsrechts und der Fulfilment-Dienstleister wie Hersteller für Produktfehler haften können.

Wie behalten Unternehmen den Überblick?

Auf dem Hoffmann Liebs Compliance-Day am 7. November 2023 im NRW-Forum können auch die neuen Herausforderungen durch den EU-Digital-Rechtsrahmen sowie die damit verbundenen Chancen für Unternehmen diskutiert werden. Wir freuen uns auf Ihre Teilnahme und den Austausch!