A. Cyber Resilience Act (CRA)
Das EU-Parlament, der Rat und die Kommission haben sich am 30.11.2023 vorläufig über den Vorschlag für eine Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (sog. Cyber Resilience Act – CRA) geeinigt. Der CRA legt verbindliche Cybersicherheitsanforderungen für das Inverkehrbringen von Hard- und Software fest. Damit soll der CRA gewährleisten, dass vernetzte Produkte wie z.B. Spielzeuge, Kühlschränke oder Fernseher beim Inverkehrbringen bestimmten Cybersicherheitsanforderungen genügen. Im Vergleich zum ersten Entwurf der Kommission haben sich einige Änderungen ergeben (vgl. unsere News vom 29.10.2022).
Nach der vorläufigen Einigung ist nun mit einer zeitnahen Verabschiedung der Verordnung zu rechnen. Nach Inkrafttreten haben die betroffenen Unternehmen nunmehr 36 Monate (statt vormals 24 Monate) Zeit, um die Vorgaben umzusetzen. Eine hiervon abweichende Übergangsfrist von 21 Monaten gilt allerdings für die Meldung von ausgenutzten Schwachstellen und Sicherheitsvorfällen.
I. Sachlicher Anwendungsbereich
Der CRA gilt für alle Produkte, die entweder direkt oder indirekt mit einem anderen Gerät oder dem Internet verbunden sind; er erfasst nach Art. 3 Abs. 1 CRA Hard- und Software gleichermaßen. Vom Anwendungsbereich ausgenommen sind Produkte, bei denen die Anforderungen an die Cybersicherheit bereits in bestehenden EU-Rechtsakten festgelegt sind, z.B. Medizinprodukte, die Luftfahrt oder Fahrzeuge.
Stark umstritten waren die Auswirkungen auf Open-Source-Software: Es wurde befürchtet, dass der CRA die Entwicklung von Open-Source-Software aufgrund von insbesondere für kleinere, nicht kommerzielle Softwareentwickler kaum zu stemmenden Anforderungen hemmen wird. Hier wurde nun nachgebessert. Vom Anwendungsbereich ausgenommen sind nicht-kommerzielle Projekte, vor allem Open-Source-Software (insoweit sie nicht Teil eines kommerziellen Projektes ist). Als nicht-kommerziell gelten auch die Tätigkeiten von gemeinnützigen Organisationen, die Einnahmen generieren und diese anschließend in die Software reinvestieren.
Nicht erfasst vom Anwendungsbereich des CRA sind reine Cloud-Lösungen und Cloud-Service-Modelle (wie z.B. Software-as-a-Service – SaaS), welche die Funktionalität eines Produkts mit digitalen Elementen nicht unterstützen oder die außerhalb der Verantwortung des Herstellers konzipiert oder entwickelt worden sind. Maßgeblich in diesem Bereich ist die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (sog. NIS-2-Richtlinie).
II. KMU im persönlichen Anwendungsbereich
Neu vereinbart wurden zusätzliche Unterstützungsmaßnahmen für Kleinstunternehmen, kleine und mittlere Unternehmen (KMU), die nicht vom persönlichen Anwendungsbereich des CRA ausgeklammert sind. Die Mitgliedstaaten können hierfür z.B. Programme in den Bereichen Ausbildung, Sensibilisierung, Informationsvermittlung sowie hinsichtlich der Konformitätsbewertungsverfahren entwickeln. Darüber hinaus können die Mitgliedsstaaten einheitliche Sprachregelungen für die Kommunikation bei Sicherheitsvorfällen und die einschlägigen Unterlagen (wie z.B. die technische Dokumentation) festlegen, um den Verwaltungsaufwand für die Hersteller zu reduzieren.
III. Kritische Produkte mit digitalen Elementen
Ein unter die CRA fallendes Produkt muss die grundlegenden Cybersicherheitsanforderungen nach Art. 5 CRA i.V.m. Anhang I des CRA erfüllen. Das für die Einhaltung der materiellen Anforderungen maßgebliche Konformitätsbewertungsverfahren führt der Hersteller nach Art. 24 CRA in der Regel selbst durch. Anders ist dies bei den sog. kritischen Produkten mit digitalen Elementen im Sinne des Art. 6 CRA. Ein Produkt unterfällt dieser Kategorie, wenn seine Kernfunktion einer der in Anhang III des CRA abschließend aufgeführten Anwendungen entspricht, wobei zwischen Produkten der Klasse I und solchen der Klasse II unterschieden wird. Bei Klasse I-Produkten kann der Hersteller die Konformität durch die vollständige Anwendung harmonisierter Normen im Sinne des Art. 18 CRA nachweisen, andernfalls hat er eins der in Art. 24 Nr. 2 CRA aufgeführten Verfahren unter Einbindung einer notifizierten Stelle durchzuführen. Bei Produkten der Klasse II ist hingegen zwingend ein Konformitätsbewertungsverfahren unter Einbindung einer notifizierten Stelle zu durchlaufen. Zu den kritischen Produkten der Klasse I gehören nun auch Produkte wie Smart-Home-Systeme, internetfähiges Spielzeug oder sog. Wearables. Nicht mehr zu den Produkten der Klasse I zählen dagegen Betriebssysteme (z.B. für Server, Desktops und Mobilgeräte).
IV. Zeitraum für Sicherheitsupdates
Der Hersteller trägt die primäre Verantwortung für die Produktkonformität. Ein Ausdruck dessen ist die Pflicht des Herstellers, über die gesamte Lebensdauer des Produkts Sicherheitsaktualisierungen bereitzustellen. Diese Unterstützung sollte mindestens über einen Zeitraum von fünf Jahren erfolgen. Etwas anderes gilt nur, wenn Produkte absehbar eine geringere Lebensdauer haben.
V. Meldungen von aktiv ausgenutzten Schwachstellen oder Sicherheitsvorfällen
Aktiv ausgenutzte Schwachstellen oder Sicherheitsvorfälle gilt es, gleichzeitig an die zuständigen nationalen Behörden (die sog. Computer Security Incident Response Teams – CSIRT) und die ENISA (die European Union Agency for Cybersecurity) zu richten. Zu diesem Zweck soll eine gemeinsame Meldeplattform eingerichtet werden. Allerdings sollen die Hersteller bei einer Meldung unter außergewöhnlichen Umständen das zuständige CSIRT darum ersuchen können, die Weitergabe einer Meldung an andere CSIRTs oder die ENISA vorerst zu unterlassen.
B. Verordnung über künstliche Intelligenz (KI-VO)
Nach zähem Ringen haben das EU-Parlament und der Rat am 08.12.2023 eine politische Einigung über die Verordnung über künstliche Intelligenz (KI-Verordnung) erzielt. Eine Verabschiedung der KI-Verordnung in 2024 ist daher sehr wahrscheinlich, auch wenn sie aufgrund des geplanten Übergangszeitraums nicht mehr in diesem Jahr zu gelten beginnen wird. Der vereinbarte Verordnungstext, der bislang nicht verfügbar ist, muss nun im nächsten Schritt vom EU-Parlament und Rat förmlich angenommen werden. Die Ausschüsse für Binnenmarkt und bürgerliche Freiheiten des Parlaments werden in einer der nächsten Sitzungen über die KI-Verordnung abstimmen.
Mit der KI-Verordnung zielt die EU darauf, dass die Grundrechte, die Demokratie, die Rechtsstaatlichkeit und die ökologische Nachhaltigkeit vor risikoreichen KI-Anwendungen geschützt werden. Zugleich soll die KI-Verordnung Innovationen fördern und Europa zu einem Vorreiter in diesem Bereich machen. Die EU versucht mit der KI-Verordnung, die einem risikobasierten Ansatz folgt, somit einen „großen Wurf“.
I. Verbotene KI-Anwendungen
Aufgrund potenzieller Bedrohung für die Bürgerrechte und die Demokratie sollen folgende KI-Anwendungen gänzlich verboten werden:
- biometrische Kategorisierungssysteme, die sensible Merkmale verwenden (z.B. politische, religiöse oder philosophische Überzeugungen, sexuelle Orientierung oder Rasse)
- das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsanlagen zur Erstellung von Gesichtserkennungsdatenbanken
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- „Social Scoring“ auf der Grundlage von Sozialverhalten oder persönlichen Merkmalen
- KI-Systeme, die das menschliche Verhalten manipulieren, um den freien Willen zu umgehen
- Schwächen von Menschen (Alter, Behinderung, soziale oder wirtschaftliche Lage) ausnutzende KI
Ausnahmen von dem Verbot des Einsatzes biometrischer Identifizierungssysteme in öffentlich zugänglichen Räumen soll es jedoch für Strafverfolgungszwecke geben.
II. Anforderungen an Hochrisiko-KI-Systeme
Für KI-Systeme, die aufgrund ihres erheblichen Schadenspotenzials für Gesundheit, Sicherheit, Grundrechte, Umwelt, Demokratie und Rechtsstaatlichkeit als hochriskant eingestuft werden, sollen klare Anforderungen verankert werden. Zu solchen Hochrisiko-KI-Systemen gehören etwa KI-Systeme, die zur Beeinflussung des Wahlergebnisses und des Wählerverhaltens eingesetzt werden. Hochrisiko-KI-Systeme sind somit zentraler Regelungsgegenstand der KI-Verordnung. Insoweit muss etwa eine obligatorische Folgenabschätzung für die Grundrechte, die auch für den Versicherungs- und Bankensektor gilt, durchgeführt werden. Zudem haben die Bürgerinnen und Bürger das Recht, sich über Hochrisiko-KI-Systeme zu beschweren und Erklärungen zu Entscheidungen zu erhalten, die auf Hochrisiko-KI-Systemen basieren und ihre Rechte beeinträchtigen. Anbieter von Hochrisiko-KI-Systemen müssen folglich ein „Beschwerdemanagementsystem 2.0“ implementieren.
III. Vorgaben für allgemeine KI-Systeme
Allgemeine KI-Systeme (GPAI) und die GPAI-Modelle, auf denen sie beruhen, treffen ebenfalls bestimmte Vorgaben. Unter anderem müssen sie Transparenzanforderungen genügen, zu denen die Erstellung einer technischen Dokumentation, die Einhaltung des EU-Urheberrechts und die Verbreitung detaillierter Zusammenfassungen über die für das Training der KI verwendeten Inhalte zählen.
Strengere Anforderungen gelten für GPAI-Modelle mit hohem systemischem Risiko. Unter bestimmten Kriterien gilt es, Modellevaluierungen durchzuführen, systemische Risiken zu bewerten und zu minimieren, die Kommission über schwerwiegende Vorfälle zu unterrichten, Cybersicherheit zu gewährleisten und über ihre Energieeffizienz zu berichten. Zudem soll bis zur Veröffentlichung harmonisierter Normen auf Verhaltenskodizes und Praxisleitfäden zurückgegriffen werden können, um die KI-Verordnung einzuhalten.
IV. Förderung von KI-Innovationen
Zentraler Kritikpunkt der KI-Verordnung war ihre innovationshemmende Wirkung aufgrund von Überregulierung. Innovationsfördernde Lösungen sollen mit Blick darauf nunmehr sog. regulatorische Sandkästen und Praxistests bieten, die von nationalen Behörden eingerichtet werden, um innovative KI zu entwickeln und zu trainieren, bevor sie auf den Markt gebracht wird.
V. Sanktionen
Die KI-Verordnung sieht in nationales Recht umzusetzende Sanktionen vor. Die Nichteinhaltung der KI-Verordnung soll mit Geldbußen geahndet werden können, die je nach Verstoß und Größe des Unternehmens zwischen EUR 35 Millionen oder 7 % des weltweiten Umsatzes und EUR 7,5 Millionen oder 1,5 % des weltweiten Umsatzes liegen.
C. Datenschutz und Cybersicherheit im Funkanlagenrecht
Die Anfang 2022 veröffentlichte Delegierte Verordnung (EU) 2022/30 nimmt Änderungen an der Richtlinie 2014/53/EU (sog. EU-Funkanlagenrichtlinie) vor und führt erstmals Datenschutz- und Cybersicherheitsanforderungen für bestimmte Funkanlagen ein. Funkanlagen, die selbst über das Internet (unabhängig davon, ob sie direkt oder über andere Geräte) kommunizieren können, dürfen weder schädliche Auswirkungen auf das Netz oder seinen Betrieb haben noch eine missbräuchliche Nutzung von Netzressourcen bewirken, wodurch eine unannehmbare Beeinträchtigung des Dienstes verursacht würde, Art. 1 Abs. 1 VO (EU) 2022/30. Zudem müssen diese Funkanlagen über Sicherheitsvorrichtungen verfügen, die sicherstellen, dass personenbezogene Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden, sofern sie im Sinne von Art. 4 Abs. 2 VO (EU) 2016/679 personenbezogene Daten im Sinne von Art. 4 Abs. 1 VO (EU) 2016/679 oder Verkehrsdaten oder Standortdaten im Sinne von Art. 2 Buchst. b), c) Richtlinie 2002/58/EG verarbeiten können, Art. 1 Abs. 2 Buchst. a) VO (EU) 2022/30.
Ursprünglich sollte die Verordnung ab dem 01.08.2024 gelten. Der Geltungsbeginn wurde zwischenzeitlich um ein Jahr – auf den 01.08.2025 – verschoben, weil die Ausarbeitung der konkretisierenden harmonisierten Normen mehr Zeit in Anspruch nimmt. Mit Geltungsbeginn des CRA dürften die mit Verordnung (EU) 2022/30 einhergehenden Änderungen im CRA aufgehen.
D. Neue Produkthaftungsrichtlinie und KI-Haftungsrichtlinie
Am 11.12.2023 haben sich die Verhandlungsführer des EU-Parlaments und des Rates informell auf die neue Produkthaftungsrichtlinie geeinigt. Mit der Produkthaftungsrichtlinie, welche die in die Jahre gekommene Richtlinie 85/374/EWG ersetzen wird, soll insbesondere neuen Technologien und der Digitalisierung von Vertriebswegen und Produkten und den damit einhergehenden neuen Gefahren für Verbraucherinnen und Verbraucher Rechnung getragen werden. Beispielsweise wurde der Produktbegriff erweitert, sodass eine verschuldensunabhängige Haftung auch für schadensstiftende Software eintreten kann. Um Innovationen nicht zu behindern, sollen die Vorschriften jedoch nicht für Open-Source-Software gelten, die außerhalb einer gewerblichen Tätigkeit entwickelt oder bereitgestellt wird.
Die neue Produkthaftungsrichtlinie sieht insgesamt Haftungserweiterungen vor: Nicht nur der Kreis der potenziellen Haftungsadressaten wird vergrößert (insbesondere mit Blick auf Bevollmächtigte, Fulfilment-Dienstleister und Anbieter von Online-Plattformen). Zudem werden Daten für nicht-berufliche Zwecke künftig zu den geschützten Rechtsgütern zählen. Ferner soll die Ausschlussfrist in Ausnahmefällen 25 Jahre betragen, wenn die Symptome der Gesundheitsbeeinträchtigung erst langsam auftreten. Die geschädigte Person kann dann nach Fristablauf noch Schadenersatz erhalten, sofern das Gerichtsverfahren innerhalb dieser Frist initiiert wurde.
Neben materiellen Haftungsregeln enthält die neue Produkthaftungsrichtlinie auch prozessuale Vorgaben. Denn sie zielt auch darauf ab, den Verbraucherinnen und Verbrauchern den Zugang zu Entschädigungen zu erleichtern. So kann die Fehlerhaftigkeit eines Produkts vermutet werden, wenn der Kläger insbesondere aufgrund der technischen oder wissenschaftlichen Komplexität übermäßige Nachweisschwierigkeiten hat. Zudem können Anspruchssteller beantragen, dass das Gericht den verklagten Wirtschaftsakteur zur Offenlegung der „notwendigen und angemessenen“ Dokumente verpflichtet.
Das Schicksal der KI-Haftungsrichtlinie ist demgegenüber ungewiss. Diese Richtlinie betrifft nicht das materielle Produkthaftungsrecht, sondern dient lediglich der Erleichterung der Geltendmachung von außervertraglichen verschuldensabhängigen zivilrechtlichen Ersatzansprüchen in Bezug auf Schäden, die durch ein KI-System verursacht wurden. Der weitere Verlauf des Gesetzgebungsverfahrens, das aufgrund der engen Verknüpfung von der KI-Verordnung abhing, bleibt abzuwarten; zumindest offiziell wurde das Gesetzgebungsvorhaben noch nicht „begraben“. KI-Systeme unterfallen allerdings ohne Weiteres verschuldensunabhängig auch der neuen Produkthaftungsrichtlinie.
Haben Sie zu dieser News Fragen oder wollen Sie mit dem Autor über die News diskutieren? Kontaktieren Sie gerne: Dr. Gerhard Wiebe