Monat: Juli 2024

Zum 14.05.2024 wurde das Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Außerdem ist das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) nun das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG).

Es müssen daher folgende Änderungen auf Webseiten vorgenommen werden:

In den Datenschutzhinweisen ist oftmals der Hinweis auf § 25 Abs. 1 TTDSG enthalten, insbesondere, wenn es um die Nennung der Gesetzesgrundlage für Einwilligungen im Bereich von Tracking Tools, wie z.B. Google Analytics, geht. Bitte ändern Sie die Vorschrift ab. Dies bedeutet nunmehr, dass es § 25 Abs. 1 TDDDG und nicht mehr § 25 Abs. 1 TTDSG heißen muss.

Sollten sie auf Ihrer Impressumsseite den § 5 TMG genannt haben, ändern Sie das bitte auf § 5 DDG um.

Damit haben Sie dann Ihre Website aktuell.

Die neue Version des TISAX VDA ISA Katalogs ist jetzt verfügbar. Diese aktualisierte Version enthält erweiterte Anforderungen, die auf die neuesten Sicherheitsstandards abgestimmt sind. Unternehmen wird empfohlen, sich mit den neuen Vorgaben vertraut zu machen, um ihre Daten weiterhin optimal zu schützen.

TISAX (Trusted Information Security Assessment Exchange) ist von großer Bedeutung für die Automobilindustrie, da es eine einheitliche Bewertung der Informationssicherheit ermöglicht. Mit einer TISAX-Zertifizierung können Unternehmen ihren Geschäftspartnern und Kunden nachweisen, dass sie hohen Sicherheitsstandards entsprechen und in der Lage sind, sensible Informationen effektiv zu schützen. Die Einhaltung dieser Standards bietet einen entscheidenden Vorteil in einer Zeit, in der Datenschutz und Informationssicherheit immer wichtiger werden.

Einleitung

Die am 21.05.2024 verabschiedete KI-Verordnung (AI-Act) ist das weltweit erste Gesetz zur Regulierung von Künstlicher Intelligenz. Es wird erwartet, dass viele Branchen sich zukünftig intensiv mit dieser Verordnung auseinandersetzen müssen.

Geplant ist, dass die KI-Verordnung 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft tritt. Die Veröffentlichung im Amtsblatt der Europäischen Union ist für Juni/Juli 2024 vorgesehen.

Anschließend wird ein gestaffeltes System an Übergangsfristen in Kraft treten. Zunächst werden 6 Monate nach Inkrafttreten die Vorschriften über verbotene KI-Systeme gelten, deren Nutzung eingestellt werden muss. 24 Monate nach Inkrafttreten werden die übrigen Vorgaben der KI-Verordnung, wie etwa die Transparenzpflichten für generative KI-Systeme, gelten. Eine Ausnahme bilden die Pflichten in Bezug auf Hochrisiko-KI-Systeme, für die eine Übergangsfrist von 36 Monaten nach Inkrafttreten vorgesehen ist.

Der Zweck der Verordnung ist, wie aus Art. 1 I KI-VO hervorgeht, die Stärkung des gesellschaftlichen Vertrauens in KI-Anwendungen. Aus diesem Grund werden Compliance-Anforderungen an die KI gestellt, die im Verhältnis zu den jeweiligen drohenden Grundrechtseingriffen stehen. Mit diesem risikobasierten Ansatz soll die KI-Verordnung flexibel auf zukünftige technische Entwicklungen reagieren können. Für betroffene Unternehmen dürften die Herausforderungen vor allem in der formellen Durchführung des Zertifizierungsverfahrens und der Implementierung des Compliance-Managementsystems liegen.

Überblick über wesentliche Inhalte

Ein Hauptaugenmerk verdient die in Art. 3 Nr. 1 KI-VO enthaltene Definition von Künstlicher Intelligenz, die maßgeblich für den sachlichen Anwendungsbereich ist und anhand derer die jeweiligen Anforderungen bei der Entwicklung und dem Einsatz der KI festgelegt werden.

Demnach ist ein KI-System ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann, nach dem Einsatz Anpassungsfähigkeit zeigt und explizite oder implizite Ziele aus den Eingaben ableitet, um Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu erzeugen, die physische oder virtuelle Umgebungen beeinflussen können.

Diese weitreichende Definition wird durch die Erwägungsgründe der KI-Verordnung genauer spezifiziert und eingeschränkt. So wird z.B. in Erwägungsgrund 12 ausdrücklich klargestellt, dass eine Anwendung nicht als KI im Sinne der Norm angesehen wird, wenn sie auf Grundlage von Menschen aufgestellten Regeln automatisch erfolgt. Vielmehr setzt eine KI ein eigenständiges Schlussfolgern voraus: „Ein wesentliches Merkmal von KI ist ihre Fähigkeit, abzuleiten.“

A) Anwendungsbereich

Aufgrund der digitalen Natur von KI-Systemen und der Möglichkeit der fortwährenden Weiterentwicklung während des Betriebs, ist das Ziehen von eindeutigen Grenzen hinsichtlich der Anwendbarkeit der KI-VO mitunter schwierig.

Zeitlicher Anwendungsbereich

In zeitlicher Hinsicht verfolgt die KI-VO das Ziel, KI während ihres gesamten Lebenszyklus zu regulieren. Dies bedeutet, dass die KI-VO nicht nur Anforderungen an die Entwicklung von KI aufstellt, sondern auch zahlreiche Pflichten nach dem Inverkehrbringen, beispielsweise Überwachungspflichten, vorsieht. Dies ist aus dem Blickwinkel des Produkthaftungsrechts nichts Neues. Die Pflicht, das jeweilige Produkt nach dem Inverkehrbringen zu überwachen, ist seit jeher ein fester Bestandteil des Produkthaftungsrechts.

Persönlicher Anwendungsbereich

Der persönliche Anwendungsbereich umfasst sowohl die Betreiber (Deployer) als auch die Anbieter (Provider). Gemäß Art. 3 Nr. 4 KI-VO ist der Betreiber die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System unter ihrer Aufsicht einsetzt, es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht beruflichen Tätigkeit verwendet.

Gemäß Art. 3 Nr. 3 KI-VO ist der Anbieter die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht.

Örtlicher Anwendungsbereich

Der örtliche Anwendungsbereich erfasst gemäß Art. 2 I a) KI-VO Anbieter, die in der Union ein KI-System oder ein System mit allgemeinem Verwendungszweck in den Verkehr bringen oder es dort in Betrieb nehmen. Außerdem umfasst er Betreiber, die ihren Sitz in der Union haben. Neben dem Niederlassungsprinzip findet auch das Marktortsprinzip Anwendung.

Die KI-VO adressiert also auch Anbieter und Betreiber, die ihren Sitz in einem Drittstaat haben, deren KI-System aber in der Union wirkt. So soll verhindert werden, dass Unternehmen in Drittstaaten die Anforderungen der KI-VO nicht beachten müssen.

(wird in Überblick KI-Verordnung Teil 2 fortgeführt)

B) Risikobasierter Ansatz der KI-Verordnung

Die KI-VO verfolgt, wie im Überblick KI-Verordnung Teil 1 bereits beschrieben, einen risikobasierten Ansatz. Dies bedeutet, dass der Grad der Regulierung von der Schwere der Risiken, die von den KI-Anwendungen ausgehen, abhängt. Um einschätzen zu können, welche Anforderungen zu erfüllen sind, muss eine betroffene Organisation zunächst prüfen, welche Art von KI-System vorliegt. Generell werden KI-Systeme in vier Kategorien unterteilt:

• Nach Art. 5 I KI-VO in KI-Systeme für verbotene Praktiken
• Nach Art. 6 KI-VO in Hochrisiko-Systeme
• Nach Art. 50 KI-VO in KI-Systeme mit beschränktem Risiko
• Nach Art. 95 KI-VO in KI-Systeme mit geringem Risiko

Zusätzliche Voraussetzungen werden für Systeme mit allgemeinem Verwendungszweck gefordert. Dazu später mehr. Um einschätzen zu können, welche Anforderungen zu erfüllen sind, muss eine betroffene Organisation zunächst prüfen, welche Art von KI-System vorliegt.

a) Verbotene Praktiken

Verbotene Praktiken werden in Art. 5 KI-VO aufgezählt. Es wird davon ausgegangen, dass die von diesen Systemen ausgehende Gefahr für die Betroffenen zu gravierend ist, um eine Nutzung zu genehmigen. So ist z.B. das Inverkehrbringen, die Inbetriebnahme sowie die Verwendung von KI zur unterschwelligen Beeinflussung außerhalb des Bewusstseins eines Menschen verboten, wenn diese Beeinflussung wesentlich ist und darauf abzielt, dieser oder einer anderen Person physischen oder psychischen Schaden zuzufügen.

b) Hochrisikosysteme

Die Regelung von KI-Hochrisikosystemen stellt einen Großteil der KI-Verordnung dar. Eine genaue Definition für Hochrisikosysteme hat der europäische Gesetzgeber nicht in das Gesetz eingefügt. Er setzt vielmehr darauf, hier möglichst anpassungsfähig zu bleiben und keine zu engen Grenzen zu setzen. Anknüpfungspunkte sind daher auf Art. 6 KI-VO und Art. 7 KI-VO verteilt. Gemäß Art. 6 I KI-VO liegt ein Hochrisikosystem vor, wenn es als Sicherheitskomponente für ein Produkt verwendet wird oder selbst ein Produkt ist, das bestimmten EU-Regulierungen unterliegt. In Art. 7 I KI-VO wird die EU-Kommission dazu ermächtigt, einen Katalog von Lebenssachverhalten bzw. Anwendungen zu erstellen, die unter diese Definition fallen. Weitere Anwendungsfälle können von der EU-Kommission zukünftig hinzugefügt werden. So wurden z.B. als Hochrisikosysteme KI-Systeme bestimmt, die für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere zur Schaltung gezielter Stellenanzeigen, zur Analyse und Filterung von Bewerbungen und zur Bewertung von Bewerbern.

Anforderungen an Hochrisikosysteme

In den Art. 8 ff. KI-VO werden die Compliance-Voraussetzungen für Hochrisiko-KI-Systeme definiert. Zentrale Vorschrift dürfte hier der Art. 9 KI-VO sein, die zur Einrichtung eines Risikomanagementsystems verpflichtet, das den gesamten Lebenszyklus der KI umfasst. Die Risikoanalyse soll hierbei die Gefahren im Hinblick auf Gesundheit, Sicherheit und Grundrechte berücksichtigen, die das KI-System bei einer zweckgemäßen Verwendung mit sich bringt.

c) KI-Systeme mit beschränktem Risiko

Sowohl für Betreiber als auch Anbieter von KI-Systemen mit beschränktem Risiko statuiert Art. 50 KI-VO Informationspflichten. Der Nutzer muss darüber aufgeklärt werden, dass er mit einer KI interagiert, um sich darauf vorbereiten zu können. So müssen KI-Systeme nach Art. 50 I KI-VO derart gestaltet werden, dass eine normale Person eindeutig erkennt, dass sie mit einer KI interagiert.

d) KI-Systeme mit minimalem Risiko

Für KI-Systeme, die weder unter Art. 50 KI-VO fallen noch ein Hochrisikosystem darstellen, kann gemäß Art. 95 KI-VO freiwillig ein Verhaltenskodex befolgt werden. Dies soll nach Aussage des Gesetzgebers dazu dienen, das gesellschaftliche Vertrauen in KI-Anwendungen zu stärken.

e) Sonderbestimmungen für KI-Systeme mit allgemeinem Verwendungszweck

Für KI-Systeme mit allgemeinem Verwendungszweck gelten gemäß Art. 51 ff. KI-VO zusätzliche Pflichten, die neben den Anforderungen der jeweiligen Stufe erfüllt werden müssen.

Es ist zu beachten, dass diese zusätzlichen Pflichten ausschließlich für Anbieter von sogenannten GPAI (General Purpose Artificial Intelligence) gelten. Betreiber solcher Systeme sind von diesen zusätzlichen Pflichten nicht betroffen.

Ein GPAI-Modell ist ein KI-Modell, das, selbst wenn es mit großen Datenmengen unter Verwendung von Selbstüberwachung in großem Maßstab trainiert wurde, eine erhebliche Allgemeinheit aufweist und in der Lage ist, eine breite Palette unterschiedlicher Aufgaben kompetent zu erfüllen. Dies gilt unabhängig davon, wie das Modell auf den Markt gebracht wird. Es kann in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden, mit Ausnahme von KI-Modellen, die für Forschungs-, Entwicklungs- oder Prototyping-Zwecke verwendet werden, bevor sie auf den Markt gebracht werden.

Ein bekanntes Beispiel für ein GPAI-Modell ist derzeit ChatGPT.

Unternehmen, die beabsichtigen, KI-Systeme einzusetzen oder bereits einsetzen, müssen daher eine Reihe von Aspekten berücksichtigen. Es wird dringend empfohlen, sich durch die Einrichtung einer KI-Compliance sich entsprechend vorzubereiten.

NIS2UmsuCG – eine kompliziert klingende Buchstabenkette – kommt noch in diesem Jahr auf uns zu und bedeutet übersetzt NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz.

Mit seiner Einführung wird das Gesetz schätzungsweise mindestens 30 Tausend Unternehmen betreffen.

Wichtig ist also, dass Sie prüfen, ob Sie ebenfalls darunter fallen. Das ist der Fall, wenn Sie zu den „wesentlichen“ und „wichtigen“ Einrichtungen gehören, oder aber wenn Sie KRITIS Betreiber sind. Bis Oktober 2024 ist mit dem Abschluss des Gesetzgebungsverfahrens zu rechnen.

In jedem Fall müssen Sie sich also mit den Vorschriften beschäftigen, wenn Sie in den folgenden Sektoren tätig sind:

Wesentlich: Energie, Transport, Bankwesen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT Service Management, Verwaltung, Finanzmarkt, Raumfahrt,
oder
Wichtig: Post, Abfallwirtschaft, Industrie, digitale Dienste, Forschung, chemische Betriebe, Nahrungsmittelgewerbe,

und wenn Sie ab 50 Mitarbeitern beschäftigen und 10 Millionen Jahresumsatz erwirtschaften.

Wichtig ist aber zu beachten, dass auch kleine Unternehmen in den Anwendungsbereich fallen können, die weniger Umsatz generieren oder weniger Mitarbeitende haben. Üben diese kritischen Tätigkeiten aus, welche Auswirkungen auf die öffentliche Ordnung haben können, oder aber sind grenzüberscheitende Auswirkungen damit verbunden, sind diese ebenfalls betroffen.

Von besonderer Bedeutung ist die NIS 2 Richtlinie auch für Geschäftsführer und Vorstände, da diese in die Verantwortung genommen werden. Konkret bedeutet dies, dass diese Personen das Risikomanagement billigen und auch überwachen müssen.

Kommen sie diesen Pflichten nicht nach, kann dies auch eine persönliche Haftung bedeuten. Auch mangelnde oder nicht ausreichende Vorbereitungshandlungen können eine solche Haftung bereits begründen.

In jedem Fall sollte hier also schnell gehandelt werden und – wenn nötig – auch professionelle Unterstützung herbeigeholt werden. Im Rahmen unserer Informationspflichten weisen wir Sie darauf besonders hin. Auch die GINDAT kann Sie dabei in allen Phasen des Prozesses unterstützen. Zuletzt haben wir im Rahmen unserer ITQC Veranstaltung einen Überblick über diese Thematik referiert, um Sie zu sensibilisieren. Kommen Sie gerne auf uns zu, wenn Sie Fragen oder Unklarheiten haben. Unser Team steht Ihnen jederzeit zur Verfügung.

Das geplante EU-Lieferkettengesetz hat eine entscheidende Hürde überwunden: Trotz Widerständen in der deutschen Bundesregierung unterstützt eine Mehrheit der EU-Staaten das Gesetz zum Schutz der Menschenrechte. Es soll sicherstellen, dass europäische Unternehmen die Einhaltung von Menschenrechts- und Umweltstandards in ihren Lieferketten garantieren – auch bei ihren Lieferanten. Unternehmen müssen künftig nachweisen, dass ihre importierten Produkte aus Drittländern ohne Kinderarbeit oder Umweltschäden hergestellt wurden. Der verabschiedete Entwurf ist weniger streng als ursprünglich vorgesehen: Das Gesetz gilt nun für Unternehmen ab 1.000 Beschäftigten und einem Jahresumsatz von mindestens 450 Millionen Euro, anstatt wie zunächst geplant ab 500 Beschäftigten und 150 Millionen Euro Umsatz. Die Möglichkeit einer zivilrechtlichen Haftung wurde ebenfalls abgeschwächt. Die EU-Mitgliedstaaten, das EU-Parlament und die Kommission hatten sich bereits im Dezember auf das Gesetz geeinigt.

Was Unternehmen nun beachten müssen:

• Sorgfaltspflichten: Durchführung von Risikoanalysen und Ergreifung präventiver Maßnahmen.
• Dokumentation: Regelmäßige Berichte über die Einhaltung von Standards müssen erstellt und öffentlich zugänglich gemacht werden.
• Beschwerdemechanismen: Einrichtung von Systemen zur anonymen Meldung von Verstößen.
• Vertragsanpassungen: Sicherstellung, dass Lieferanten die Standards einhalten.
• Datenschutz: Einhaltung der DSGVO bei der Datenverarbeitung.

Aufgrund unserer Informationspflichten als Ihre externen Datenschutzbeauftragten möchten wir Sie für diese Themen sensibilisieren und stehen Ihnen bei Fragen jederzeit gerne zur Verfügung.