Dieser Beitrag stellt den dritten Teil der Serie an Blog-Beiträgen mit dem Titel „Das ändert sich 2023“ dar, in denen die Experten des Teams der Produktkanzlei die relevanten Themen aus ihren jeweiligen Spezialgebieten überblicksartig zusammenfassen. Konkret werden nachfolgend der Entwurf einer KI-Verordnung (dazu A.), Entwurf eines Cyber Resilience Acts (dazu B.), der Datenschutz und die Cybersicherheit im Funkanlagenrecht (dazu C.), der Vorschlag einer Produkthaftungsrichtlinie (dazu D.) sowie der Entwurf einer KI-Haftungsrichtlinie (dazu E.) in den Blick genommen.
A. Entwurf einer KI-Verordnung
Bereits im April 2021 hat die EU-Kommission einen Entwurf einer KI-Verordnung vorgelegt, der die gesetzlichen Rahmenbedingungen für die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen festlegen soll. Dieser Entwurf wurde seitdem kritisch betrachtet und war Gegenstand kontroverser Diskussionen (vgl. etwa Wiebe, BB 2022, 899 ff.). Nachdem auch das Europäische Parlament hunderte Änderungsanträge eingereicht hat, hat der ursprüngliche Kommissionsentwurf unter der tschechischen Ratspräsidentschaft an verschiedensten Stellen Änderungen erfahren. Insbesondere wurde der zunächst weitgefasste Begriff „KI-System“, der im Grunde jegliche Software erfasste, verengt, indem nunmehr ein gewisser Grad an Autonomität verlangt wird. Der sog. New Legislative Framework (NLF) als produktsicherheitsrechtliches Regelungskonzepts blieb indes erhalten.
Entgegen den Erwartungen kam es in 2022 nicht zur Verabschiedung der KI-Verordnung. Daher dürfte damit zu rechnen sein, dass die EU dies 2023 nachholt. Wann aber genau die EU zu einer Einigung gelangt und die KI-Verordnung verabschiedet, ist derzeit noch unklar.
B. Entwurf eines Cyber Resilience Acts
Im Frühherbst letzten Jahres hat die Kommission ihren Vorschlag einer Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, den „Cyber Resilience Act“ veröffentlicht. Dieser europäische Rechtsakt soll verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen während ihres gesamten Lebenszyklus einführen (näher zu den einzelnen Inhalten des Entwurfs siehe unseren Blog-Beitrag zum Entwurf einer EU-Cybersicherheitsverordnung).
Das Gesetzgebungsverfahren steht noch recht am Anfang. Auch wenn die EU dem Gesetzesvorhaben eine hohe Bedeutung zumisst, darf allenfalls Ende 2023 mit einem Erlass der Verordnung gerechnet werden. Angesichts der weitreichenden Regelungen tun die Wirtschaftsakteure jedoch gut daran, die Entwicklungen bereits jetzt genausten zu verfolgen.
C. Datenschutz und Cybersicherheit im Funkanlagenrecht
Anfang letzten Jahres wurde die Verordnung (EU) 2022/30 veröffentlicht, die Änderungen an der Richtlinie 2014/53/EU (sog. EU-Funkanlagenrichtlinie) vornimmt. Mit dieser Änderungsverordnung werden erstmals Datenschutz- und Cybersicherheitsanforderungen für bestimmte Funkanlagen eingeführt. Funkanlagen, die selbst über das Internet (unabhängig davon, ob sie direkt oder über andere Geräte) kommunizieren können, dürfen weder schädliche Auswirkungen auf das Netz oder seinen Betrieb haben noch eine missbräuchliche Nutzung von Netzressourcen bewirken, wodurch eine unannehmbare Beeinträchtigung des Dienstes verursacht würde, Art. 1 Abs. 1 VO (EU) 2022/30. Zudem müssen sie über Sicherheitsvorrichtungen verfügen, die sicherstellen, dass personenbezogene Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden, Art. 1 Abs. 2 Buchst. a) VO (EU) 2022/30.
Diese Verordnung gilt zwar erst ab dem 01.08.2024. Da die Konkretisierung dieser Anforderungen mittels harmonisierter Normen in naher Zukunft erfolgen dürfe, bietet es sich an, 2023 zu nutzen, um sich auf diese neuen, weitreichenden Regelungen vorzubereiten, die eine Vielzahl von Funkanlagen betreffen.
D. Vorschlag einer Produkthaftungsrichtlinie
Die Kommission sieht mit dem eingebrachten Entwurf für eine Richtlinie über die Haftung für fehlerhafte Produkte vom 28.09.2022 (ProdHaftRL-E) eine umfangreiche Reform des verschuldensunabhängigen Produkthaftungsrechts vor. Anlass und Ziel der Reform ist es unter anderem, den produkthaftungsrechtlichen Besonderheiten und Herausforderungen aufgrund der Digitalisierung von Produkten zu begegnen. So erfasst der Produktbegriff nunmehr ausdrücklich auch Software (wie etwa ein KI-System) und digitale Bauunterlagen (etwa funktionale Informationen für 3D-Drucker) (vgl. Art. 4 Abs. 1 ProdHaftRL-E). Dementsprechend gehören die Lernfähigkeit und Veränderbarkeit eines Produkts (bspw. eines KI-Systems), die Vernetzung und Interoperabilität mit anderen Produkten, Software-Updates nach Inverkehrbringen sowie sicherheitsrelevante Cybersicherheitsanforderungen nebst Anforderungen des Produktsicherheitsrechts zu den Kriterien bei der Bewertung der Fehlerhaftigkeit eines Produkts (vgl. Art. 6 Abs. 1 ProdHaftRL-E). Darüber hinaus sieht der Entwurf eine Beachtung behördlicher Korrekturmaßnahmen im Rahmen der Beurteilung der Fehlerhaftigkeit vor, Art. 6 Abs. 1 Buchst. g) ProdHaftRL-E.
Der Entwurf erweitert entsprechend des Reformanlasses den Kreis der Schutzgüter: Daten stellen geschützte Rechtsgüter dar. Der Verlust oder die Verfälschung von Daten, die nicht ausschließlich für berufliche Zwecke verwendet werden, begründen einen ersatzfähigen Schaden (vgl. Art. 4 Abs. 6 Buchst. c) ProdHaftRL-E).
Zudem führt der Entwurf zu einer Erweiterung des persönlichen Anwendungsbereichs. Haftende Wirtschaftsakteure sind neben dem (End- oder Teilprodukt-)Hersteller gemäß Art. 7 Abs. 1 ProdHaftRL-E auch Einführer und Bevollmächtigte des Herstellers, sofern der Hersteller außerhalb der EU ansässig ist (vgl. Art. 6 Abs. 2 ProdHaftRL-E). Subsidiär haften in diesen Fällen ebenso Fulfillment-Dienstleister, Art. 6 Abs. 3 ProdHaftRL-E. Ausgehend von der Herstellerfiktion soll ferner jede natürliche oder juristische Person, die ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Produkt im Sinne des Produktsicherheitsrechts wesentlich verändert, als Hersteller haften, Art. 6 Abs. 4 ProdHaftRL-E. Die subsidiäre Haftung der Lieferanten, zu denen auch Anbieter einer Online-Plattform gehören können, bleibt weiterhin bestehen, Art. 6 Abs. 5, 6 ProdHaftRL-E.
Ein prozessrechtlich neues Terrain beschreitet der Entwurf mit der Möglichkeit der gerichtlichen Anordnung zur Offenlegung von relevanten Beweismitteln, wie etwa unternehmensinterner Konstruktions- oder Produktionsdokumente. Voraussetzung eines „disclosure of documents“ ist die plausible Darlegung des Schadensersatzanspruchs durch den Anspruchssteller. In prozessrechtlicher Hinsicht legt Art. 9 ProdHaftRL-E trotz üblicher Beweislastverteilung außerdem eine Beweiserleichterung zugunsten des Anspruchstellers fest. Danach wird ein Fehler in den folgenden Fällen widerleglich vermutet:
- Verletzung der Offenlegungspflicht von Dokumenten
- Nachweis eines Verstoßes gegen zwingende nationale bzw. EU-Sicherheitsanforderungen
- Nachweis, dass der Schaden durch eine offensichtliche Funktionsstörung des Produkts bei normaler Verwendung oder unter normalen Umständen verursacht wurde
Daneben entfallen die Haftungshöchstgrenze (bisher EUR 85 Mio. gemäß § 10 Abs. 1 ProdHaftG) und der Selbstbehalt in Höhe von EUR 500 bei Sachschäden (bislang gemäß § 11 ProdHaftG). Geplant ist überdies die Erweiterung der Verjährungsfrist bei gesundheitlichen Spätfolgen auf 15 Jahre, Art. 14 Abs. 3 ProdHaftRL-E.
Zweifelsohne hält der Vorschlag einige Verschärfungen bereit. Allerdings ist nicht unbedingt davon auszugehen, dass der Entwurf 1-zu-1 übernommen wird; Änderungen sind also zu erwarten, zumal sich das Gesetzgebungsverfahren erst am Anfang befindet. Vor diesem Hintergrund ist ein Inkraftreten in 2023 nicht sehr wahrscheinlich. Der aktuelle Entwurf sieht ohnehin eine Umsetzungsfrist von 12 Monaten ab Inkraftreten der Richtlinie vor, Art. 18 Abs. 1 ProdHaftRL-E.
E. Entwurf einer KI-Haftungsrichtlinie
Besondere haftungsbezogene Regelungen hat die Kommission in dem Entwurf einer Richtlinie über KI-Haftung vom 28.09.2022 für KI-Systeme angedacht (KI-HaftRL-E). Entgegen dem Titel enthält die Richtlinie kein spezielles Haftungsregime nebst entsprechender materiell-rechtlicher Schadensersatzansprüche. Die Richtlinie hat nur einen beschränken Anwendungsbereich und dient lediglich der Erleichterung der Geltendmachung von außervertraglichen verschuldensabhängigen zivilrechtlichen Schadensersatzansprüchen in Bezug auf durch ein KI-System verursachte Schäden. Insofern berührt die Richtlinie nicht das materielle Produkthaftungsrecht. Konkret beschränkt sich die Richtlinie im Wesentlichen auf zwei Regelungen: eine Offenlegungspflicht für Informationen über Hochrisiko-KI-Systeme einerseits (Art. 3 KI-HaftRL-E) und eine widerlegbare Vermutung eines ursächlichen Zusammenhangs zwischen der Sorgfaltspflichtverletzung und dem Verhalten des KI-Systems andererseits (Art. 4 KI-HaftRL-E).
Der vom Europäischen Parlament im Oktober 2020 vorgelegte Entwurf einer Verordnung zur Betreiberhaftung für KI-Systeme dürfte damit „vom Tisch“ sein. Der Fortgang des KI-HaftRL-E wird aufgrund der engen Verzahnung stark von der Entwicklung der KI-Verordnung abhängen. Auch der ProdHaftRL-E wird den KI-HaftRL-E beeinflussen. Es bleibt abzuwarten, ob die Richtlinie über KI-Haftung bereits in 2023 in Kraft treten wird. Nach Inkraftreten der Richtlinie haben die Mitgliedstaaten jedenfalls zwei Jahre Zeit, um die sie umzusetzen, Art. 7 Abs. 1 KI-HaftRL-E.
Haben Sie zu dieser News Fragen oder wollen Sie mit dem Autor über die News diskutieren? Kontaktieren Sie gerne: Dr. Gerhard Wiebe