A. Vor dem Ausblick ein kurzer Rückblick: EU-Produkthaftungsrichtlinie und Cyber Resilience Act
Mit Blick auf das Produkthaftungsrecht und das produktbezogene Cybersicherheitsrecht hat das Jahr 2024 ein besonderes Ende genommen. Denn im Jahresendspurt hat die EU die neue EU-Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853) und den Cyber Resilience Act (Verordnung (EU) 2024/2847 – CRA) verabschiedet. Die am 18.11.2024 veröffentlichte EU-Produkthaftungsrichtlinie, die einige Haftungsverschärfungen mit sich bringt, muss von den Mitgliedstaaten bis 09.12.2026 in nationales Recht umgesetzt werden. Demgegenüber findet der CRA, der erstmals Cybersicherheitsanforderungen an sog. Produkte mit digitalen Elementen aufstellt, in den Mitgliedstaaten weitestgehend ab dem 11.12.2027 unmittelbare Anwendung; ausführlich zum CRA siehe unseren Blog-Beitrag.
B. Delegierte Verordnung (EU) 2022/30
Mit der Delegierten Verordnung (EU) 2022/30 wurden erstmals Datenschutz- und Cybersicherheitsanforderungen für bestimmte Funkanlagen eingeführt. Im Fokus stehen dabei mit dem Internet verbundene Funkanlagen (vgl. zum Begriff Art. 1 Abs. 1 VO (EU) 2022/30). Solche Funkanlagen dürfen weder schädliche Auswirkungen auf das Netz oder seinen Betrieb haben noch eine missbräuchliche Nutzung von Netzressourcen bewirken, wodurch eine unannehmbare Beeinträchtigung eines Dienstes verursacht würde (Art. 1 Abs. 1 VO (EU) 2022/30). Sie müssen zudem über Sicherheitsvorrichtungen verfügen, die sicherstellen, dass personenbezogene Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden (Art. 1 Abs. 2 VO (EU) 2022/30). Diese datenschutzbezogene Anforderung gilt auch für weitere Funkanlagen wie z.B. Wearables und Spielzeug.
Nachdem die Verordnung zunächst ab dem 01.08.2024 gelten sollte, wurde der Geltungsbeginn um ein Jahr – auf den 01.08.2025 – verschoben, weil die Ausarbeitung der konkretisierenden harmonisierten Normen mehr Zeit in Anspruch nimmt. Solange keine im EU-Amtsblatt veröffentlichten harmonisierten Normen existieren, hat der Hersteller einer mit dem Internet verbundenen Funkanlage eine notifizierte Stelle im Rahmen des Konformitätsbewertungsverfahrens einzubeziehen (Art. 17 Abs. 4 Richtlinie 2014/53/EU).
C. KI-Verordnung (Verordnung (EU) 2024/1689)
Am 01.08.2024 ist mit der Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (sog. KI-VO) das weltweit erste Regelwerk in Kraft getreten, mit dem verbindliche Anforderungen an die Entwicklung und für den Einsatz von künstlicher Intelligenz geschaffen werden. Die Verordnung folgt einem risikobasierten Ansatz, durch den die Grundrechte, die Demokratie, die Rechtsstaatlichkeit und die Personensicherheit vor risikoreichen KI-Anwendungen geschützt werden sollen.
Zentraler Regelungsgegenstand der KI-Verordnung sind sog. Hochrisiko-KI-Systeme mit potenziellen Risiken für Gesundheit, Sicherheit, Grundrechte, Umwelt, Demokratie und Rechtsstaatlichkeit. Sie unterliegen strengen Anforderungen wie etwa einer obligatorischen Folgenabschätzung für die Grundrechte (Art. 27 KI-VO).
Allgemeine KI-Systeme (GPAI) müssen z.B. über eine technische Dokumentation verfügen, die Einhaltung des Urheberrechts gewährleisten und Informationen zu Trainingsdaten bereitstellen (vgl. Art. 53 KI-VO). An GPAI mit hohem systemischem Risiko werden darüber hinaus zusätzliche Anforderungen aufgestellt.
Die KI-Verordnung sieht Sanktionen vor, die von den Mitgliedstaaten in nationales Recht umgesetzt werden müssen. Verstöße sollen mit Geldbußen geahndet werden, deren Höhe je nach Schwere des Verstoßes und Unternehmensgröße variiert – von EUR 7,5 Millionen oder 1,5 % des weltweiten Umsatzes bis zu EUR 35 Millionen oder 7 % des weltweiten Umsatzes (Art. 99 KI-VO).
Die KI-Verordnung gilt – nach einer Übergangsfrist von 24 Monaten – im Wesentlichen ab dem 02.08.2026. Es gibt allerdings eine Reihe von Ausnahmen: So gelten die die Kapitel I (Allgemeine Bestimmungen) und II (Verbotene Praktiken im KI-Bereich) bereits ab dem 02.02.2025, während für Kapitel III Abschnitt 4 (Notifizierende Behörden und notifizierte Stellen), Kapitel V (KI-Modelle mit allgemeinem Verwendungszweck), Kapitel VII (Governance) und Kapitel XII (Sanktionen; mit Ausnahme des Art. 101 KI-VO) sowie Art. 78 KI-VO (Vertraulichkeit) der 02.08.2025 als Geltungsbeginn bestimmt wird (Art. 113 KI-VO).
D. NIS-2-Richtlinie (Richtlinie (EU) 2022/2555)
Neben dem Cyber Resilience Act (CRA) und dem Cyber Security Act (CSA) bildet die Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) die dritte Säule der EU zur Stärkung der Cybersicherheit mit einem Fokus auf die Resilienz ausgewählter Wirtschaftssektoren. Die Richtlinie hat allerdings keinen Produkt-, sondern einen Organisationsbezug. Sie ersetzt die erste NIS-Richtlinie aus dem Jahr 2016 und bringt zahlreiche Neuerungen im Recht der Netzwerk- und Informationssicherheit mit sich. Mit einer Umsetzung der bereits Anfang 2023 in Kraft getretenen NIS-2-Richtlinie in das deutsche Recht ist zwar vor dem Zusammentritt des neuen Bundestages im Laufe des Jahres 2025 nicht mehr zu rechnen, obwohl die Umsetzungsfrist für Richtlinie am 17.10.2024 endete; ein Entwurf für ein NIS-2-Umsetzungsgesetz (sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) liegt aus der aktuellen Legislaturperiode aber bereits vor.
Von der NIS-2-Richtlinie sind zahlreiche besonders große oder relevante Organisationen in kritischen Sektoren betroffen, die in den Anhängen aufgezählt sind und von den Branchen Energie, Finanzen, Gesundheit und Abwasser bis hin zur Raumfahrt reichen. Eine relevante Größenschwelle wird dabei bei über 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanz von über EUR 10 Mio. erreicht.
Wenn eine Einrichtung erfasst ist, sind zahlreiche Pflichten aus den Bereichen Governance und Risikomanagement sowie neue Berichtspflichten zu beachten. Das Risikomanagement muss dabei insbesondere technische, operative und organisatorische Risiken und Maßnahmen einbeziehen. Erhebliche Sicherheitsvorfälle sind künftig bereits bis zu 24 Stunden (!) nach Kenntnisnahme im Rahmen einer Frühwarnung zu melden.
Verstöße sollen schließlich empfindliche Sanktionen nach sich ziehen. Je nach Größe und Relevanz der Einrichtung sind dabei Risikoermittlungs- und Risikoabwehrbefugnisse der zuständigen Behörden, eine persönliche Haftung von Leitungspersonen, Bußgelder vorgesehen. Im Ernstfall sollen sogar der Entzug von Zertifizierungen oder Genehmigungen und die Suspendierung von Leitungspersonen in Betracht kommen.
E. KI-Haftungsrichtlinie
Nach dem Inkrafttreten der KI-Verordnung wurde auch die Arbeit an der KI-Haftungsrichtlinie wieder aufgenommen: Im September 2024 hat das Europäische Parlament eine Folgenabschätzung zu der Richtlinie veröffentlicht.
Von der Grundidee soll die KI-Haftungsrichtlinie keine Regelungen des materiellen Produkthaftungsrechts enthalten. Vielmehr soll sie der Erleichterung der Geltendmachung von außervertraglichen verschuldensabhängigen Ersatzansprüchen in Bezug auf Schäden dienen, die durch ein KI-System verursacht wurden. KI-Systeme unterfallen allerdings ohne Weiteres verschuldensunabhängig auch der neuen EU-Produkthaftungsrichtlinie. Das Europäische Parlament sieht allerdings Anwendungsbereiche der KI-Haftungsrichtlinie, die von der EU-Produkthaftungsrichtlinie nicht abgedeckt werden. Dazu zählen z.B. reine Vermögensschäden, Diskriminierungen oder Grundrechtsverletzungen. Insgesamt tendiert das Europäische Parlament dazu, die KI-Haftungsrichtlinie zu einem allgemeinen Softwarehaftungsregime umzugestalten.
Aufgrund der vielen offenen Fragen und der neuen Vorstellungen des Europäischen Parlaments ist ein Ende dieses Gesetzgebungsvorhabens nicht in Sicht. Auch wenn sich die Stakeholder in 2025 auf einen Gesetzestext einigen sollten, wird es ohnehin eine gewisse Umsetzungsfrist geben, bis die neuen Haftungsregelungen gelten werden.
Haben Sie zu dieser News Fragen oder wollen Sie mit dem Autor über die News diskutieren? Kontaktieren Sie gerne: Dr. Gerhard Wiebe
