13.03.2024Fachbeitrag

Update Datenschutz Nr. 173

EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act

Die EU kommt voran mit der Umsetzung des neuen EU-Digitalrechts, insbesondere zur Regelung der künstlichen Intelligenz, zur IT-Sicherheit vernetzter Produkte sowie zur Medienfreiheit. In dieser Woche hat sich insoweit das EU-Parlament hinsichtlich drei wichtigen Verordnungen geeinigt: So erfolgte einerseits die formelle Zustimmung zu der Verordnung zur Regulierung Künstlicher Intelligenz („AI-Act“ wir berichteten in den Updates Datenschutz Nr. 168, 162, 146 und 121) und zum Cyber Resilience Act („CRA“ wir berichteten in den Updates Datenschutz Nr. 160, 132 und 118) sowie der Komplettersetzung der Produkthaftungsrichtlinie. Andererseits stimmte das EU-Parlament dem European Media Freedom Act (Medienfreiheitsgesetz – „EMFA“) zur Sicherung der Pressefreiheit und der Unabhängigkeit von Mediendiensteanbietern in der EU zu.

A. AI Act

Bis zuletzt wurde über den Inhalt des weltweit ersten Gesetzes zur Regulierung künstlicher Intelligenz gestritten, das auf einem Vorschlag der EU-Kommission aus dem Jahr 2021 beruht. Gerade die Frage nach einem Verbot der biometrischen Echtzeitüberwachung war Kern zahlreicher Diskussionen im Rahmen des Gesetzgebungsverfahrens. . Nun bleibt jedenfalls grundsätzlich die anlasslose biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum verboten, ebenso wie Systeme zum Social Scoring oder zur Emotionserkennung von Mitarbeitenden, es gibt jedoch zahlreiche Ausnahmen, etwa für die „vorhersehbare Gefahr einer Straftat“, und auch die nachträgliche biometrische Überwachung ist möglich. Außerdem darf KI zur Gesichtserkennung zumindest bei Grenzkontrollen weiterhin eingesetzt werden und die Transparenzverpflichtungen der Verordnung sollen nicht für die sensiblen – jedoch für private Unternehmen weniger relevante – Bereiche Strafverfolgung, Migration, Grenzkontrolle oder Asyl gelten.

Allerdings dürfen die Mitgliedstaaten strengere Regelungen erlassen, die über den AI Act hinausgehen. Deutschland hat beispielsweise bereits ein Verbot der biometrischen Echtzeit-Überwachung angekündigt, die FDP möchte sogar die nachträgliche biometrische Überwachung, etwa zu Zwecken der Strafverfolgung, unterbinden. Auch die Nutzung von KI zur Emotionserkennung wird von den Parteien der Ampel eher kritisch gesehen. Insofern bleibt noch abzuwarten, ob der Katalog der verbotenen KI-Systeme für Deutschland noch erweitert wird.

Auch um die Regulierung von General Purpose KI (GPAI), wie etw ChatGPT, wurde gerungen. Diese ist, trotz entgegenstehender Bestrebungen vieler Lobbyverbände, Gegenstand besonderer Vorgaben etwa hinsichtlich der Transparenz oder der Qualität der verwendeten Daten geblieben.

Insgesamt fallen die Unterschiede gegenüber der im Trilog erzielten Einigung aus Dezember, der im Februar auch die Vertreter der EU-Mitgliedstaaten formal zugestimmt haben, dennoch geringer aus als erwartet, sodass Unternehmen auf bereits begonnen Bemühungen zur Umsetzung der Verordnung aufbauen können. Alle anderen sollten spätestens jetzt tätig werden, um Bußgelder von bis zu 35 Mio. EUR oder 7 % des weltweiten Vorjahresumsatzes zu vermeiden.

B. Cyber Resilience Act (CRA)

Der CRA richtet sich an Hersteller, Einführer und Händler vernetzter Produkte wie etwa IoT-Geräte, Laptops, Mikrochips oder Smartwatches sowie der mit diesen verbundenen Software. Hersteller solcher sog. „Produkte mit digitalen Elementen“, sollen während des gesamten Lebenszyklus der Produkte verpflichtet sein, die IT-Sicherheit dieser Produkte sicherzustellen. Auch Einführer und Händler treffen im Produktsicherheitsrecht zwar grundsätzlich bereits bekannte Pflichten, die jedoch gerade im Hinblick auf IT-Sicherheit gänzlich neu sind und damit auch neue praktische Herausforderungen mit sich bringen werden. Gegenüber der politischen Einigung über den CRA im Dezember gibt es kaum Änderungen, sodass der Umfang der Verpflichtungen, der den beteiligten Wirtschaftsakteuren auferlegt werden soll, in weiten Teilen bereits bekannt ist. Eine zentrale Festlegung des CRA ist die privilegierte Behandlung von Open-Source Software. Die Reichweite dieser Bereichsausnahme dürfte allerdings gerade aufgrund ihrer Formulierung und der Geltung, wenn „keine kommerziellen Zwecke verfolgen werden“ in vielen Fällen einer detaillierten Prüfung bedürfen.

Unternehmen sollten zudem ein besonderes Augenmerk darauf legen, ob die von ihnen hergestellten, eingeführten bzw. vertriebenen Produkte mit digitalen Elementen sog. kritische und wichtige Produkte darstellen, die je nach Einstufung in Klasse I oder Klasse II unterschiedlichen Anforderungen an die Konformitätsbewertungsverfahren unter Einbindung sog. notifizierter Stellen unterliegen. Die Listen über diese wichtigen und kritischen Produkte werden von der EU-Kommission regelmäßig überprüft und ggf. aktualisiert, sodass sich die Anforderungen für einzelne Produkte ohne aufwändige Änderungen des Verordnungstextes kurzfristig ändern können.

Außerdem stärkt der CRA die Rolle der Europäischen Behörde für Cybersicherheit, der ENISA, die insbesondere bei Schwachstellen und Sicherheitsvorfällen stärker eingebunden werden soll.

C. EMFA

Daneben hat das Parlament über den European Media Freedom Act abgestimmt, der die Unabhängigkeit der Mediendiensteanbieter schützen soll, indem diese zur Offenlegung ihrer Eigentümerstruktur sowie weiteren Maßnahmen zum Schutz der redaktionellen Unabhängigkeit verpflichtet werden. Betroffen sind allerdings nicht nur audiovisuelle Mediendienste wie Fernsehen und Radio, sondern auch reichweitenstarke YouTube-Kanäle bzw. andere Videokanäle in den Sozialen Medien. Der Schwerpunkt der Verordnung liegt allerdings auf erweiterten Befugnissen der Behörden.

D. Wie geht es weiter?

Alle drei Verordnungen werden in Kürze vom Rat förmlich gebilligt und im Europäischen Gesetzblatt veröffentlicht und treten nach 20 Tagen in Kraft.

Ab diesem Zeitpunkt bleiben Unternehmen noch zwei Jahre Zeit (zuvor waren 36 Monate im Gespräch), um alle Vorgaben des AI Acts umzusetzen. Abweichend davon gilt für GPAI nur eine Umsetzungsfrist von 12 Monaten, die Regeln für in regulierte Produkte eingebettete KI-Systeme gelten hingegen erst nach 36 Monaten.

Dabei lassen sich die Umsetzungsschritte zum AI Act grob in drei Kategorien aufteilen, zu denen Sie weitere Details in unseren vorangegangenen Datenschutz-Updates finden:

  1. Risikoanalyse: Werden KI-Systeme im Unternehmen eingesetzt oder sogar produziert? Handelt es sich um KI mit hohem Risiko oder aber um KI-Systeme zur Interaktion mit natürlichen Personen, Deepfakes, KI-generierte Inhalten oder Systeme zur biometrischen Kategorisierung oder Emotionserkennung?
  2. Governance: Zuständigkeiten festlegen, menschliche Aufsicht über KI-Systeme sicherstellen; Hersteller von Hochrisiko-KI: EU-Konformitätsverfahren durchführen, Qualitätsmanagement- und Risikomanagementsysteme einrichten, regelmäßige Tests durchführen (u. a.)
  3. Information & Transparenzpflichten: Anbringen der CE-Kennzeichnung, Bereithalten der EU-Konformitätserklärung, von Gebrauchsanweisungen sowie der technischen Dokumentation, Kennzeichnung von KI, die wie Chatbots mit natürlichen Personen interagiert, von Deepfakes und KI-generierten Inhalten sowie von biometrischen Kategorisierungs- oder Emotionserkennungssystemen (u. a.)

Zur Umsetzung des CRA bleiben Unternehmen ab Inkrafttreten noch 36 Monate Zeit, also bis Mitte 2027, bis alle Vorgaben umgesetzt sein müssen – in Anbetracht teils langer Produktentwicklungszyklen ein überschaubarer Zeitraum.

Bei der Umsetzung könnte man sich an den folgenden Umsetzungsschritten orientieren:

  1. Identifikation: Welche angebotenen und geplanten Produkte enthalten digitale Elemente? Handelt es sich um kritische und wichtige Produkte der Klassen I und II (regelmäßig mit den Listen der Kommission abgleichen)? (u. a.)
  2. Compliance: Wie soll die Konformitätsbewertung erfolgen? CE-Kennzeichen anbringen, Informationen und Handlungsempfehlungen bereitstellen und Testverfahren zur Produktbeobachtung entwickeln (u. a.)
  3. Produktsicherheit erhalten: Während des gesamten Lebenszyklus (in der Regel fünf Jahre) Sicherheitsupdates bereitstellen (getrennt von funktionalen Updates); ausgenutzte Schwachstellen und Sicherheitsvorfälle an die nationalen Behörden melden und ggf. weitere Meldepflichten erfüllen (u. a.).

Der EMFA gilt grundsätzlich 15 Monate nach seinem Inkrafttreten. Allerdings gilt die Verpflichtung der Mediendiensteanbieter zur Ergreifung von Maßnahmen zur redaktionellen Unabhängigkeit bereits nach neun Monaten. Die betroffenen Medienunternehmen müssen sich also kurzfristig überlegen, welche Maßnahmen notwendig sind, um diese sicherzustellen und diese Maßnahmen dann dokumentieren.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.