Legal Roadmap 2024 – Wir navigieren Sie durch die maßgeblichen Änderungen im Bereich Information Technology
Digital Services Act – Gesetz über digitale Dienste
Worum geht es bei diesem Thema?
Nachdem der Digital Services Act (DSA) nach seinem Inkrafttreten vorerst nur für sehr große Online-Plattformen und sehr große Online-Suchmaschinen gilt, entfaltet er zum 17. Februar 2024 für alle „digitalen Vermittlungsdienste“ Wirkung.
Der DSA ist Nachfolger der E-Commerce-Richtlinie. Er soll als Teil der europäischen Digitalstrategie zur Schaffung eines transparenten und sicheren Online-Umfeldes beitragen, indem er einen einheitlichen Rechtsrahmen für Haftungs- und Sicherheitsvorschriften für „digitale Vermittlungsdienste“ statuiert. Zu den digitalen Vermittlungsdiensten zählen Internetzugangsdienste (z. B. Telekom), soziale Netzwerke (z. B. X ehemals Twitter), Online-Marktplätze (z. B. eBay) und Online-Suchmaschinen (z. B. Google). Auch nach Einführung des DSA besteht für betroffene Anbieterinnen und Anbieter keine allgemeine Überwachungspflicht hinsichtlich der von ihnen übermittelten oder gespeicherten Informationen. Sie trifft jedoch eine Reihe von Sorgfaltspflichten. So müssen sie z. B. Transparenzberichtspflichten hinsichtlich der Moderation von Inhalten erfüllen. Auch enthält die Verordnung Vorgaben hinsichtlich der Einrichtung von Verfahren zur Meldung und Entfernung illegaler Inhalte. Die Sorgfaltspflichten variieren dabei je nach Rolle, Auswirkungen und Reichweite der Dienste; sehr große Online-Plattformen und sehr große Online-Suchmaschinen treffen die strengsten Vorgaben.
Was gilt es zu beachten?
Im Falle des Verstoßes gegen die Regelungen des DSA drohen Unternehmen Schadensersatzansprüche und Bußgelder von bis zu 6 % des weltweiten Jahresumsatzes. Auch die übrigen Anbieterinnen und Anbieter digitaler Vermittlungsdienste, für die der DSA nunmehr ebenfalls gilt, sollten daher unbedingt eine rechtzeitige und vollständige Umsetzung der Vorgaben sicherstellen. Dabei wird aufgrund des abgestuften Regelungssystems des DSA zunächst auszumachen sein, welche Anforderungen das jeweilige Unternehmen überhaupt treffen.
Kontakt
Digital Operational Resilience Act – Verordnung über die digitale operationale Resilienz im Finanzsektor
Worum geht es bei diesem Thema?
Auch im Bereich Cybersicherheit gibt es in Zukunft nennenswerte Neuerungen. Die Regelungen des Digital Operational Resilience Act (DORA) gelten zum 17. Januar 2025. Die Verordnung harmonisiert die Anforderungen bezüglich der Sicherheit von Netzwerk- und Informationssystemen von Finanzunternehmen. Der europäische Gesetzgeber reagiert damit auf die stetig steigenden Cyberrisiken im Finanzsektor. Durch die festgelegten Maßnahmen sollen Cyberangriffe möglichst verhindert und in ihren Auswirkungen begrenzt werden. Betroffen sind neben Finanzunternehmen (z. B. Kreditinstitute) auch Unternehmen, die Dienstleistungen im Bereich der Informations- und Kommunikationstechnologie (IKT) für diese bereitstellen.
Was gilt es zu beachten?
DORA verpflichtet die betroffenen Unternehmen u. a. Testprogramme zur Prüfung der operationellen Resilienz einzuführen. Auch wird die Steuerung und Überwachung von IKT-Drittdienstleisterrisiken erforderlich. Die Regelungen bedeuten neben einem nicht unerheblichen Organisationsaufwand ggf. auch die Umstellung technischer Prozesse. Betroffene sollten sich daher frühzeitig darüber informieren, welche Änderungen zur Umsetzung der Verordnung notwendig sind.
Kontakt
Entwurf des Artificial Intelligence Acts – Verordnung zur Festlegung harmonisierter Vorschriften für KI
Worum geht es bei diesem Thema?
Im Jahr 2024 will die Europäische Union einen Rechtsrahmen für vertrauenswürdige künstliche Intelligenz schaffen. Über die Einzelheiten haben sich nun auch das Europäische Parlament und der Rat geeinigt, sodass die Verabschiedung zeitnah erfolgen kann. Der Artificial Intelligence Act (AI Act) soll Anfang 2024 in Kraft treten und nach einer 24-monatigen Übergangsfrist vollständig gelten. Vorgesehene Verbote von KI-Systemen sollen allerdings bereits sechs Monate und Vorschriften für „General Purpose“ KI-Systeme 12 Monate nach Inkrafttreten der Regelungen anwendbar sein.
Was gilt es zu beachten?
Der Entwurf sieht einen „risikobasierten Regulierungsansatz“ vor. Danach steigen die Anforderungen hinsichtlich Sicherheit und Transparenz parallel zu dem von dem jeweiligen Tool ausgehenden Risiko für Europäische Grundrechte. Während für KI-Systeme mit minimalem Risiko nur ein freiwilliger Verhaltenskodex gilt, müssen als Hochrisiko-KI-System eingestufte Modelle u. a. auch technische Dokumentation leisten und ein Risikomanagementsystem einführen. Zur Sicherstellung von Transparenz gesondert geregelt sind „General Purpose“ KI-Systeme. Das sind Systeme, die mit einer Vielzahl von Daten trainiert wurden. Gänzlich verboten sein sollen manipulativ wirkende KI-Systeme und Social Scoring. Der Entwurf sah zudem ein gänzliches Verbot von biometrischen Fernidentifizierungssystemen vor; diese sollen nach der politischen Einigung entgegen der ursprünglichen Auffassung des Parlaments nun doch in bestimmten Fällen unter richterlicher Kontrolle erlaubt sein. Ein behördliches Zulassungsverfahren ist grundsätzlich nicht vorgesehen. Vielmehr müssen Anbieterinnen und Anbieter sich im Rahmen eines „Konformitätsbewertungsverfahrens“ selbst einschätzen.
Problematisch ist das nur unzureichend geklärte Verhältnis zur Datenschutzgrundverordnung und zum DSA. Zu begrüßen ist aber, dass der europäische Gesetzgeber sich für die Möglichkeit der Selbstregulierung entschieden hat, um eine überbordende Regulierung zu vermeiden. Dennoch sollten betroffene Anbieterinnen und Anbieter sich rechtzeitig über die richtige Einstufung in das risikobasierte Regulierungssystem informieren und für sie geltende Vorgaben umsetzen, um ggf. hohe Geldbußen zu vermeiden.
Kontakt
