Obwohl Künstliche Intelligenz (KI), IT-Sicherheit und Cybersicherheit schon lange im Rahmen der Produktregulierung, insbesondere im Zusammenhang der Produkthaftung, diskutiert werden, haben diese Regelungsaspekte bislang kaum Eingang in konkrete Produktrechtsvorschriften gefunden. Daher hat die EU in letzter Zeit mehrere Initiativen gestartet, um die Digitalisierung der Produktwelt rechtlich zu erfassen. Nachfolgend gilt es, die wesentlichen Gesetzesvorhaben, die im Jahr 2022 Realität oder zumindest vorangebracht werden könnten, vorzustellen. Konkret geht es um den Aspekt der Cybersicherheit im Rahmen der geplanten EU-Produktsicherheitsverordnung (im Folgenden (GPSR-E“) (dazu A.), den Vorschlag einer KI-Verordnung (dazu B.), den Entwurf einer Verordnung zur Betreiberhaftung für KI-Systeme (dazu C.) und der Reform der Richtlinie 85/374/EWG (sog. Produkthaftungsrichtlinie) (dazu D.).
A. Cybersicherheit im Rahmen des EU-Produktsicherheitsverordnung
Der in der gestrigen Übersicht dargestellte GPSR-E, der als allgemeiner Teil dem europäischen Produktsicherheitsrecht vorgeschaltet werden soll, greift explizit den Aspekt der Cybersicherheit auf. Nach Art. 7 Abs. 1 Buchst. h GPSR-E soll das Bestehen von erforderlichen Cybersicherheitsmerkmalen ein Kriterium bei der Beurteilung der Sicherheit eines Produkts darstellen. Schließlich können Cybersicherheitsrisiken Auswirkungen auf die Sicherheit von Verbrauchern haben, weshalb sie vom produktsicherheitsrechtlichen Sicherheitskonzept erfasst werden müssen. Art. 7 Abs. 1 Buchst. h GPSR-E ist insofern dahingehend zu verstehen, dass er rechtliche Mindestanforderungen für die Cybersicherheit verlangt. Die Verordnung (EU) 2019/881, die einen EU-weiten Zertifizierungsrahmen für die Cybersicherheit von IKT-Produkten, Dienstleistungen und Prozessen verankert, legt nämlich ein solches Mindestmaß nicht fest.
Der erstmals ausdrücklich erwähnte Aspekt der Cybersicherheit wird besondere Relevanz für digitale Produkte (etwa IoT-Produkte) haben. Konkret wird Art. 7 Abs. 1 Buchst. h GPSR-E für das gesamte Produktsicherheitsrecht eine hohe Bedeutung besitzen, weil die sektoralen EU-Rechtsakten den Aspekt der Cybersicherheit nicht ausdrücklich behandeln. Lediglich der im April 2021 veröffentlichte Entwurf einer EU-Maschinenverordnung greift die IT- und Cybersicherheit als Gegenstände der grundlegenden Sicherheits- und Gesundheitsschutzanforderungen in den Abschnitten 1.1.9 und 1.2.1 des Anhangs III auf.
Weitere Details zur Reform der Allgemeinen Produktsicherheitsrichtlinie sind in unserem Blog-Beitrag Das ändert sich 2022: Produktsicherheitsrecht enthalten.
B. Entwurf einer KI-Verordnung
Die EU-Kommission hat am 21.04.2021 einen Vorschlag einer KI-Verordnung (im Folgenden „KI-VO-E“) vorgelegt. Dieser Rechtsakt soll die gesetzlichen Rahmenbedingungen für die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen festlegen. Der Rechtsrahmenentwurf lehnt am produktsicherheitsrechtlichen Regelungskonzept – dem sog. New Legislative Framework (NLF) – an und bildet eine IT- und produktsicherheitsrechtlich geprägte Querschnittsmaterie.
Zentraler Regelungsgegenstand dieses Entwurfs sind sog. Hochrisiko-KI-Systeme, die im Gegensatz zu KI-Systemen mit unannehmbarem Risiko grundsätzlich zulässig sind. Nach Art. 3 Nr. 1 KI-VO-E ist ein KI-System eine Software, „die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren“. Diese sehr weit gefasste Legaldefinition ist beinahe uferlos und ist aufgrund dessen einer starken Kritik ausgesetzt. Ausgehend von diesem Regelungsgegenstand normiert der Entwurf allgemeine softwarebezogene Sicherheitsanforderungen an Hochrisiko-KI-Systeme (vgl. Artt. 9–15 KI-VO-E). Diese Anforderungen erfahren eine Konkretisierung durch harmonisierte technische Normen, deren Einhaltung eine Konformitätsvermutung auslöst, Art. 40 KI-VO-E. Die primäre Verantwortung für die Konformität mit den Sicherheitsanforderungen trägt der Anbieter, d.h. „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System entwickelt oder entwickeln lässt, um es unter ihrem eigenen Namen oder ihrer eigenen Marke – entgeltlich oder unentgeltlich – in Verkehr zu bringen oder in Betrieb zu nehmen“, Art. 3 Nr. 2 KI-VO-E. Ihn trifft das umfangreichste Pflichtenprogramm. Hierzu gehören unter anderem:
- Pflicht zur Durchführung eines Konformitätsbewertungsverfahrens, an dessen Ende die Anbringung der CE-Kennzeichnung steht, Artt. 16 Buchst. e und i, 43, 49 KI-VO-E
- Instruktionspflichten, Art. 13 Abs. 3 KI-VO
- Pflicht zur Etablierung eines Qualitätsmanagementsystems, Artt. 16 Buchst. b i.V.m. 17 KI-VO-E
- Behördliche Meldepflichten, Artt. 16 Buchst. h i.V.m. 21 S. 1 KI-VO-E
- Pflicht zur Ergreifung von Korrekturmaßnahmen, Artt. 16 Buchst. g i.V.m. 21 S. 1 KI-VO-E
Daneben zählen Einführer und Händler ebenso zu den Pflichtenadressaten. Sie treffen in erster Linie die klassischen formellen Prüfpflichten sowie Kooperations- und Meldepflichten. Unter produktsicherheitsrechtlichen Gesichtspunkten ist die Erfassung der Nutzer neu; auch sie sind Pflichtenadressaten, wodurch der Entwurf ein Produktnutzungsrecht vorsieht. So müssen sie den in der Gebrauchsanweisung festgelegten Instruktionen der Anbieter nachkommen und den Betrieb des Hochrisiko-KI-Systems überwachen, Art. 29 Abs. 1, 4 S. 1 KI-VO-E. Ferner überantwortet der Entwurf den Nutzer ebenso Kooperations- und Meldepflichten, Art. 29 Abs. 4 S. 2 und 3 KI-VO-E).
Mit diesem ambitionierten Vorhaben soll der EU ein „großer Wurf“ gelingen. Der Entwurf zielt auf nichts geringeres, als „die technische Führungsrolle der EU auszubauen und dafür zu sorgen, dass die Europäerinnen und Europäer von den im Einklang mit den Werten, Grundrechten und Prinzipien der Union entwickelten und funktionierenden neuen Technologien profitieren können“. Eine Reihe von Regelungsvorschlägen steht jedoch in der Kritik, wie etwa die erwähnte weitgehende Legaldefinition des Begriffs „KI-System“. Vor dem Hintergrund des Diskussions- und Abstimmungsbedarfs ist abzuwarten, ob die geplante KI-Verordnung im Jahr 2022 verabschiedet wird.
C. Vorschlag einer Verordnung zur Betreiberhaftung für KI-Systeme
Das Europäischen Parlament hat bereits im Oktober 2020 Empfehlungen an die Kommission für eine Regelung der zivilrechtlichen Haftung beim Einsatz künstlicher Intelligenz gerichtet und einen Vorschlag einer Verordnung zur Betreiberhaftung für KI-Systeme erarbeitet. Der Verordnungsvorschlag des Europäischen Parlaments sieht eine verschuldensunabhängige Haftung des Betreibers eines sog. KI-Systems mit hohem Risiko vor, die in einem Katalog ausdrücklich erwähnt werden, Art. 4 Nr. 1 KI-BetreiberhaftungsVO-E. Haftungsadressat ist dabei sowohl der Frontend- als auch Backend-Betreiber, für die eine Versicherungspflicht besteht, Art. 4 Nr. 4 KI-BetreiberhaftungsVO-E. Mit Blick auf andere KI-Systeme schlägt das Europäischen Parlament eine verschuldensabhängige Haftung vor. Dabei wird das Verschulden des Betreibers vermutet; jedoch hat er die Möglichkeit, sich unter Berufung auf folgende Gründe zu entlasten, Art. 8 Nr. 2 KI-BetreiberhaftungsVO-E:
- Das KI-System wurde ohne seine Kenntnis aktiviert, während alle angemessenen und erforderlichen Maßnahmen getroffen waren, um eine solche Aktivierung außerhalb der Kontrolle des Betreibers zu verhindern.
- Alle folgenden Maßnahmen wurden mit gebührender Sorgfalt getroffen: Auswahl eines geeigneten KI-Systems für die jeweilige Aufgabe und die jeweiligen Fähigkeiten, ordnungsgemäße Inbetriebnahme des KI-Systems, Überwachung der Aktivitäten und Aufrechterhaltung der betrieblichen Zuverlässigkeit durch regelmäßiges Installieren aller verfügbaren Aktualisierungen.
Durch ein Verlangen des Betreibers soll eine an den Hersteller des KI-Systems gerichtete Kooperationspflicht aktiviert werden, um die Feststellung der Haftung zu ermöglichen, Art. 8 Nr. 4 KI-BetreiberhaftungsVO-E.
Es darf angenommen werden, dass der Vorschlag des Europäischen Parlament umgesetzt wird, wenngleich Änderungen zu erwarten sind. Da auch noch die EU-Kommission im Zuge des Gesetzgebungsverfahrens eingeschaltet werden muss, ist damit zu rechnen, dass das Inkrafttreten des Rechtsakts in nicht genau absehbarer Zukunft liegt.
D. Reform der Produkthaftungsrichtlinie
Die EU-Kommission hat im Rahmen des Berichts über die Auswirkungen von KI, IoT und Robotik auf Sicherheit und Haftung einen Anpassungsbedarf der Produkthaftungsrichtlinie formuliert und darauf fußend ein Gesetzesvorhaben zur Anpassung der Haftungsregeln an das digitale Zeitalter und an die Entwicklungen im Bereich der KI initiiert. Die Herausforderungen im Zuge der Digitalisierung von Produkten bestehen laut des Berichts der Kommission in der Komplexität von Produkten, Dienstleistungen und der Wertschöpfungskette, der Konnektivität und Offenheit sowie der Autonomie und Opazität. Die Reform der Produkthaftungsrichtlinie soll unter anderem die Fragen nach der Einstufung von Stand-alone Software als Produkt, den haftungsrechtlichen Auswirkungen von Produktveränderungen durch Software-Updates sowie der Herstellerhaftung von autonom weiterentwickelnden KI-Systemen und von neuaufbereiteten Gebrauchtprodukten adressieren.
Ob und in welchem Ausmaß die Reform Realität wird, ist derzeit noch offen, da eine ganze Reihe von Regelungsvorhaben, insbesondere die Erforderlichkeit von bestimmten Regelungen, in der Diskussion stehen. Die Umsetzung der Reform wird jedenfalls noch einige Zeit in Anspruch nehmen. Schließlich wurde die öffentliche Konsultation erst kürzlich am 10.01.2022 beendet. Die Annahme durch die Kommission ist für das dritte Quartal 2022 geplant.
Haben Sie zu dieser News Fragen oder wollen Sie mit dem Autor über die News diskutieren? Kontaktieren Sie gerne: Dr. Gerhard Wiebe