Im September 2022 hat die Kommission einen Entwurf für eine neue Produkthaftungsrichtlinie vorgelegt, um das aus 1985 stammende und derzeit geltende Produkthaftungsgesetz zu überarbeiten und europaweit zu vereinheitlichen. Wenn der Entwurf so verabschiedet werden sollte, kommen auf Hersteller strengere Regelungen zu.

Eine maßgebliche Veränderung wird demnach sein, dass zukünftig neben Software auch KI unter das Produkthaftungsgesetz fallen wird. Auch das Thema Cybersicherheit von Produkten ist im neuen Gesetzesentwurf verankert. Hersteller sollen in die Pflicht genommen werden, dass relevante Sicherheitsupdates abgedeckt sein müssen.

Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ ist am 27. November 2023 von Rat der Europäischen Union verabschiedet worden. Nun gilt eine Übergangsfrist von 20 Monaten. Nach dieser Übergangsfrist wird der Data Act europaweit anwendbares Recht werden. Ziel des neuen Data Acts ist es, dass Daten in unterschiedlichen Lebensbereichen zukünftig besser genutzt werden können. Dadurch soll die Digitalisierungsstrategie der Bundesregierung weiter vorangetrieben und mehr Wertschöpfung, v.a. für Start-ups und neue Geschäftsmodelle erzielt werden.

„Insbesondere enthält der Data Act Vorschriften hinsichtlich

• der Datenweitergabe von Unternehmen an Verbraucher (B2C) und zwischen Unternehmen (B2B),
• der Pflichten der Dateninhaber, die nach dem Recht der EU verpflichtet sind, Daten bereitzustellen (inkl. Entgeltregelungen im B2B-Bereich),
• des Verbots missbräuchlicher Vertragsklauseln für den Datenzugang und die Datennutzung zwischen Unternehmen (B2B),
• der Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit (B2G) und
• vertraglicher Regelungen und der technischen Umsetzung beim Wechsel zwischen Datenverarbeitungsdiensten („Cloud Switching“)“ (vgl. Bundesinnenministerium für Digitales und Verkehr)

Gesetzestext

Durch die in KI-System verborgenen Gefahren hat sich der Bedarf nach einer rechtlichen Regulierung deutlich erhöht. Am 21.4.2021 hat die EU-Kommission den weltweit ersten Vorschlag für einen Rechtsrahmen für künstliche Intelligenz vorgelegt (Rechtsgrundlage: Art. 114 AEUV) mit dem Ziel: „Europa soll das globale Zentrum für vertrauenswürdige künstliche Intelligenz werden.“

Es handelt sich primär um ein präventives Verbotsgesetz, das den Einsatz von KI in bestimmten Anwendungsszenarien verbietet oder von technisch-organisatorischen Voraussetzungen und Sicherheitsanforderungen abhängig macht. Reguliert werden soll hingegen nicht die künstliche Intelligenz als Technologie selbst. Der neue Rechtsrahmen soll ein „ecosystem of trust“ schaffen, in dem das Vertrauen der Bürger in den Einsatz von KI gestärkt wird.

Mit dem Parlamentsbeschluss wird Anfang 2024 gerechnet.

Text der KI-Verordnung

Hier geht es um Cybersecurity-Regeln beim Herstellen und dem Vertrieb von Produkten mit digitalen Elementen.

Der Cyber Resilience Act befindet sich derzeit noch im Gesetzgebungsverfahren. Die Europäische Kommission hat am 15.09.2022 ihren Entwurf für eine Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (sogenannte Cyber Resilience Act) veröffentlicht. Im Juni 2023 haben das Europäische Parlament und der Rat der Europäischen Union eine vorläufige Einigung über den Entwurf erzielt. Nun befindet sich der Cyber Resilience Act im Trilogverfahren.

Mit einer Verabschiedung wird Anfang des Jahres 2024 gerechnet. Den Un­ter­neh­men wer­den nach der Veröff­ent­li­chung der Ver­ord­nung im Amts­blatt der Eu­ropäischen Union 24 Mo­nate für die Um­set­zung der er­for­der­li­chen Maßnah­men blei­ben.

Der Referentenentwurf des „Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)“ liegt seit Juli 2023 bereits vor. Mithilfe dieses Gesetzes sollen die kritischen Infrastrukturen deutschlandweit identifiziert und physische Schutzmaßnahmen definiert werden. Die bestehenden IT-Sicherheitsmaßnahmen werden nun um den physischen Schutz ergänzt, um die Widerstandskraft gegenüber Angriffen zu stärken.

Mit dem KRITIS-Dachgesetz soll deshalb die Sicherheit innerhalb der Verzahnung der einzelnen Sektoren sichergestellt werden. Es wird ein ganzheitlicher Ansatz („All-Gefahren-Ansatz“) etabliert. Betroffen vom KRITIS-Dachgesetz sind Einrichtungen, die mehr als eine halbe Million Menschen versorgen oder essenziell für die deutschlandweite Gesamtversorgung ist. Sektorenübergreifende Ziele und entsprechende Maßnahmen auf Basis von Risikoanalysen sind hierbei maßgebend.

Der Entwurf ist in der Bundesregierung noch nicht abschließend abgestimmt. Stellungnahmen der Länder- und Verbände werden derzeit noch angefordert. Eine Verabschiedung ist im Laufe des Jahres 2024 zu erwarten.

Mit der NIS-2-Richtlinie verfolgt die EU das Ziel, ein europaweites Cybersicherheits-Niveau für bestimmte „Sektoren“ zu schaffen. Betroffen sind Tausende von Unternehmen, die Risikomanagementmaßnahmen einführen und künftig Berichts- und Meldepflichten nachkommen müssen. Die Richtlinie ist verabschiedet und muss bis zum 17.10.2024 von den Mitgliedsstaaten der EU in das jeweilige nationale Recht umgesetzt werden --> NIS2UmsuCG

Hier liegt bereits der 3. Entwurf als Diskussionspapier vor.

Ausführliche Informationen zu NIS-2 finden Sie in hier.

Anfang August 2023 hat das Bundesministerium des Innern und für Heimat (BMI) einen Referentenentwurf für ein Erstes Gesetz zur Änderung des Bundesdatenschutzgesetzes vorgelegt. 

Ziel des Gesetzentwurfs ist, dass die Vereinbarungen aus dem aktuellen Koalitionsvertrag aufgegriffen und die Ergebnisse der

Evaluierung des Bundesdatenschutzgesetzes (BDSG) eingearbeitet werden.

Ein wichtiger Punkt ist, dass das Thema Datenschutz vereinheitlicht und somit Rechtsunsicherheiten aus dem Weg geschafft werden sollten durch klar definierte Ansprechpartner. Unterschiedliche Auffassungen der einzelnen Aufsichtsbehörden der jeweiligen Bundesländer sollten damit der Vergangenheit angehören. Auch der Beschäftigtendatenschutz soll in einem speziellen Gesetz geregelt werden, die einer nationalen Datenstrategie folgt.

Mehr Infos von der GDD

• Interessant: § 16 a BDSG-neu à Institutionalisierung der Datenschutzkonferenz von Bund und Ländern (DSK), die DSK würde sich hier eine Geschäftsordnung geben.
• Ziel: v.a. Erreichung und Fortentwicklung der einheitlichen Anwendung des europäischen und nationales Datenschutzrechts.
• Jedoch: keine Regelungen zur rechtlichen Verbindlichkeit von DSK-Beschlüssen, da diese die Kompetenzen von Bundes- und Landesbehörden betrifft und damit verfassungsrechtliche Grenzen betreffen würde (Mischverwaltung beim Datenschutz nicht möglich).
• Weiterhin keine Regelungen zur Zusammenarbeit der verschiedenen Aufsichtsbehörden und der DSK.
• Interessant zudem der angedachte neue § 40a BDSG
  --> Unternehmen sind gemeinsam in einem Projekt datenschutzrechtlich verantwortlich.
• Zuständig: Aufsichtsbehörde desjenigen Unternehmens, das im vorangegangenen Geschäftsjahr den höchsten Umsatz erzielt halt.
• Gilt auch für länderübergreifende Forschungsprojekte: Zuständigkeit der Aufsichtsbehörde des Forschungspartners, der die meisten Personen beschäftigt, die kontinuierlich personenbezogene Daten verarbeiten.
• Ziel: Vermeidung von Rechtunsicherheit beim Auftreten unterschiedlicher Rechtsauffassungen bei länderübergreifenden Vorhaben.

Der Referentenentwurf wird der Änderungsbedarf im BDSG  im Zuge der Evaluierung des BMI wie folgt zusammengefasst:

• „ In § 1 bedarf es einer Klarstellung, um eindeutig auszudrücken, dass das BDSG nur anwendbar ist, wenn die Datenverarbeitung einen Inlandsbezug aufweist. Auch wird § 1 Absatz 4 Satz 3 so umformuliert, dass deutlich wird, dass die Norm nur nichtöffentliche Stellen adressiert.
• Die Regelung zur Videoüberwachung öffentlich zugänglicher Räume (§ 4) muss mit Blick auf nichtöffentliche Stellen überarbeitet werden.
• § 17 bedarf einer Ergänzung, um Vakanzen in der Stellvertretung des Gemeinsamen Vertreters im Europäischen Datenschutzausschuss (EDSA) zu vermeiden.
• Die §§ 19 und 40 werden um Klarstellungen zur zuständigen federführenden Datenschutzaufsichtsbehörde ergänzt.
• In den §§ 27 und 29 müssen redaktionelle Änderungen vorgenommen werden
• In § 34 ist klarzustellen, dass das Auskunftsrecht nach Artikel 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) nicht aufgrund privater, sondern nur aufgrund öffentlich-rechtlicher Satzungen eingeschränkt werden kann. Auch sollte in § 34 das Auskunftsrecht nach Artikel 15 der Verordnung (EU) 2016/679 im Hinblick auf Geheimhaltungsinteressen eingeschränkt und zudem eine Pflicht von Bundesbehörden geregelt werden, betroffene Personen über die Möglichkeit nach § 34 Absatz 3 zu informieren, dass eine Auskunftserteilung an die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) verlangt werden kann.

In der Regelung zur automatisierten Entscheidung im Einzelfall (§ 37) ist eine Streichung erforderlich.“

Ergebnis:
Es sind wenig Änderungen für die Unternehmen zu erwarten.

Stand: 06.12.2023