Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist.
Die gesetzliche Regelung digitaler Sachverhalte ist längst nicht mehr nur Aufgabe des nationalen Gesetzgebers. Digitale Sachverhalte kennen keine Ländergrenze. Es ist daher nur konsequent, dass die Regulierung solcher Sachverhalte in den Aufgabenbereich der EU rutscht und dort immer mehr Platz einnimmt. Hielt man das Inkrafttreten der DSGVO 2018 noch für eine kleine Besonderheit, da der Einfluss der Digitalisierung nicht mehr auf nationaler, sondern auf EU-Ebene geregelt wurde, rauschen die Verordnungen und Richtlinien 5 Jahre später in die nationale Anwendbarkeit. Hier ein kleiner Überblick was 2024 wichtig wird und ist:
HinSchG
Mit Umsetzung der EU-Richtlinie EU-RL 2019/1937, der sogenannten Whistleblower-Richtlinie, und der nationalen Umsetzung durch das Hinweisgeberschutzgesetz (HinSchG) wurde der lang ersehnte Schutz für Hinweisgebende geschaffen. Ziel ist es, Personen zu schützen, die Informationen über Verstöße gegen nationales Recht oder das EU-Recht melden.
Für Unternehmen mit mehr als 250 Mitarbeitenden ist die Einführung eines Whistleblower-Systems bereits seit dem 17. Dezember 2021 verpflichtend. Unternehmen mit mehr als 50 Mitarbeitenden hatten bis zum 17. Dezember 2023 Zeit für die Implementierung ihres Hinweisgebersystems.
Die Umsetzung des HinSchG ist nicht an bestimmte Branchen gebunden, sondern bemisst sich lediglich an der Zahl der Mitarbeitenden.
Übrigens können Sie hier testen, wie die elektronische Abgabe eines Hinweises aussehen könnte: https://hinweisportal.reichert-reichert.de/
NIS2
Die NIS2-Richtlinie („The Network and Information Security Directiv“, (EU) 2022/2555) regelt Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Genau wie bei der Whistelblower-Richtlinie handelt es sich hier ebenfalls um eine Richtlinie. Sie bedarf also der der Umsetzung in nationales Gesetz. Die Richtlinie ist 2022 in Kraft getreten und muss bis zum 17.10.2024 in nationales Recht umgesetzt worden sein. Derzeit gibt es in Deutschland einen ersten Referentenentwurf des Umsetzungsgesetztes zur NIS2-Richtlinie – abgekürzt NIS2UmsuCG -, an dem im Frühjahr 2024 weitergearbeitet werden soll.
NIS2 und NIS2UmsuCG haben unmittelbare Wirkung für besonders wichtige Einrichtungen (z.B. Gesundheitsdienstleister, Anbieter von Cloud-Computingdiensten), wichtige Einrichtungen (z.B. verarbeitendes Gewerbe zur Herstellung von Medizinprodukten, Maschinenbau oder Herstellung von Kraftwagen und Kraftwagenteilen und sonstiger Fahrzeugbau) und Betreiber kritischer Infrastruktur (z.B. Energieversorger, Lieferanten von Trinkwasser). Ob Unternehmen einer dieser drei Kategorien zuzuordnen sind, lässt sich aus dem Anhang 1 der NIS2-Richtlinie entnehmen (Sektoren mit hoher Kritikalität und sonstige kritische Sektoren). Lassen sich Einrichtungen einer Kategorie zuordnen, gelten weitere Voraussetzungen. An dieser Stelle möchten wir Sie auf den Sonderartikel unserer geschätzten Kollegin verweisen. Dieser ist aktuell noch in Arbeit. Der Link wird nach Veröffentlichung hier eingetragen werden.
Sie wollen nicht warten? Nehmen Sie Kontakt mit uns auf, wir unterstützen Sie gerne.
DSA & DMA
Der Digital Service Act (DSA, Gesetz über Digitale Dienste) und der Digital Markets Act (DMA, Gesetz über Digitale Märkte) sind ein von der EU entworfenes einheitliches Regelwerk mit dem Ziel der Schaffung eines sichereren digitalen Raums, in dem die Grundrechte aller Nutzer digitaler Dienste geschützt werden sowie der Schaffung gleicher Wettbe-werbsbedingungen für die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit sowohl im europäischen Binnenmarkt als auch weltweit.
Sowohl der DSA als auch der DMA sind Verordnungen. Anders als die beiden oben vorgestellten Richtlinien sind sie direkt anwendbar und benötigen kein nationales Umsetzungsgesetz. Der DMA gilt seit dem 02.05.2023. Der DSA gilt seit dem 17.02.2024.
Während der DMA nur sog. „Gatekeeper“, also marktbeherrschende Digitalkonzerne wie Amazon, Google oder Meta in den Anwendungsbereich nimmt, fasst sich der DSA um eines weiter. Die Verordnung richtet sich an Vermittlungsdienste wie Internetanbieter, Cloud- oder Webhosting-Dienste, Social-Media-Plattformen und Online-Marktplätze, wenn die Produkte in der EU angeboten werden. Anhand des weiten Anwendungsbereichs können sogar Web-Shops kleiner KMUs von der Verordnung betroffen sein.
AIA
Auch der Artificial Intelligence Act ist Teil der EU-Digitalstrategie und soll als Gesetz über Künstliche Intelligenz den Einsatz von ebendieser in Forschung und Wirtschaft regulieren. Auch hierbei handelt es sich wieder um eine Verordnung, wird also ohne Umsetzungsgesetz direkt anwendbar sein. Aktuell liegt das Gesetz noch im Entwurf vor und soll voraussichtlich im Mai 2024 in Kraft treten. Für die Umsetzung der in den Anwendungsbereich fallenden Unternehmen und Einrichtungen bleiben diesen 2 Jahre Zeit.
Der AI Act wird gemäß Art. 2 der Verordnung für (1) Anbieter, die KI-Systeme in der Union in Verkehr bringen oder in Betrieb nehmen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen sind, (2) Nutzer von KI-Systemen, die sich in der Union befinden und (3) Anbieter und Nutzer von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das vom System hervorgebrachte Ergebnis in der Union verwendet wird, gelten.
Darüber hinaus wird die Verordnung den Begriff „Künstliche Intelligenz“ definieren.
Auszug Art. 3 Nr. 1 der Verordnung 2021/0106:
„Für die Zwecke dieser Verordnung bezeichnet der Ausdruck
1.„System der künstlichen Intelligenz“ (KI-System) eine Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren;„
Auszug aus dem Anhang Teil 1 zur Verordnung 2021/0106:
„Konzepte des maschinellen Lernens, mit beaufsichtigtem, unbeaufsichtigtem und bestärkendem Lernen un-ter Verwendung einer breiten Palette von Methoden, einschließlich des tiefen Lernens (Deep Learning);
b) Logik- und wissensgestützte Konzepte, einschließlich Wissensrepräsentation, induktiver (logischer) Programmierung, Wissensgrundlagen, Inferenz- und Deduktionsmaschinen, (symbolischer) Schlussfolgerungs- und Expertensysteme;
c) Statistische Ansätze, Bayessche Schätz‑, Such- und Optimierungsmethoden“
AILD
Über die Artificial Intelligence Liability Directive, zu deutsch KI-Haftungs-Richtlinie, ist noch nicht viel bekannt, da bisher keine offizielle Veröffentlichung der Richtlinie vorliegt. Die Richtlinie liegt im Entwurfsstadium und muss noch das gesamte europäische Gesetzgebungsverfahren durchlaufen. Bekannt ist lediglich, dass die KI-Haftungs-Richtlinie das Gesetz über Künstliche Intelligenz ergänzen soll. Ein Zeitplan bis zum Inkrafttreten gibt es noch nicht. Durch die Richtlinie sollen nationale Vorschriften über die zivilrechtliche Haftung bei Schäden durch KI-Produkte oder KI-Dienste ergänzt werden.
DA
Der Data Act (Datengesetz) ist ebenfalls Teil der EU-Digitalisierungsstrategie und bindet das Internet of Things (Internet der Dinge) mit in das EU-Regelwerk über Digitale Sachverhalte mit ein. Das Datengesetz wird als europäische Verord-nung unmittelbar in den Mitgliedstaaten der EU anwendbar sein und gilt ab Mitte 2025.
Der Data Act soll ändern, dass der Datenzugriff auf Daten, die durch Produkte oder verbundene Dienste mit Anschluss an das Internet erzeugt, gesammelt und gespeichert werden, nicht nur den Geräteherstellern und Cloud-Provider obliegt. Der DA ergänzt die DSGVO insoweit als nun z.B. auch Auskunftsansprüche für nicht personenbezogene Daten gestellt werden können, welche an sich genau wie personenbezogene Daten einen hohen wirtschaftlichen Wert darstellen.
Produkte sind u.a. Smartphones, Tablets, Smartwatches oder verbundene Fahrzeuge. Verbunden Dienste sind Anwendungen, die derart mit dem Produkt verbunden sind, dass das Produkt ohne Anwendung nutzlos ist, z.B. die Appgesteuerte Waschmaschine oder der Saugroboter.
Die Verordnung gilt für Dateninhaber (oft die Gerätehersteller selbst) und für Nutzer, um die Kontrolle über ihre nicht-personenbezogenen Daten zurückzubekommen. Nutzer können, anders als in der DSGVO, auch juristische Personen sein.
DGA
Weiter geht es mit dem Gesetz über die europäische Daten-Governance (Data Governance Act). Die Verordnung gilt seit dem 24.09.2023 unmittelbar in den EU-Mitgliedstaaten. Das Gesetz soll die gemeinsame Datennutzung innerhalb der EU erleichtern. Hierzu werden sogenannte „Datenintermediäre“ oder „Datenmittler“ eingesetzt, die Personendaten zusammentragen, verwalten und weiterleiten. Die Datenerhebung erfolgt bei Personen und Unternehmen, die diese freiwillig zur Verfügung stellen. Die Weiterleitung durch den Datenmittler erfolgt kontrolliert an z.B. öffentliche Stellen. Zweck ist es, durch die europaweit gesammelten Datenmengen eine schnellere Entwicklung und Innovationen z.B. in Wirtschaft und Gesundheit zu erreichen. Das Gesetz regelt jedoch lediglich, wie mit den Daten umgegangen werden soll, dass die Daten nur nach Einwilligung durch die Nutzer gesammelt werden dürfen. Es stellt sich hier also nicht die Frage, wer die Verordnung beachten muss. Zentraler Punkt ist die Sensibilisierung der Nutzer über die Verarbeitungen ihrer Personendaten.
CRA
Zum Abschluss der langen Liste an Kürzeln soll es um den Cyber Resilience Act (Gesetz über Cyberresilienz) gehen, welcher insbesondere das NIS2-Umfeld ergänzen soll. Die Verordnung soll Anfang 2024 in Kraft treten und zielt darauf ab, Verbraucher und Unternehmen vor gekauften und verwendeten Produkte oder Software mit einer digitalen Komponente zu schützen. Gemeint sind Produkte, die direkt oder indirekt mit anderen Geräten oder dem Netzwerk verbunden sind.
Die Verordnung richtet sich an Hersteller und Einzelhändler solcher Produkte und erhöht die Cybersicherheitsanforderungen bei der Einführung.
Fazit
Unternehmen werden sich darauf einstellen müssen, das immer schneller und immer mehr Regelungen zur Regulierung digitaler Sachverhalte aus der EU kommen und einen breiten Anwendungsbereich haben. Das bedeutet viel Fachberatung und Umsetzungsaufwand für Unternehmen und Einrichtungen, aber auch mehr Schutz unserer Grundrechte im digitalen Raum, durch Missbrauch großer marktbeherrschender Unternehmen, genauso wie durch kleine und mittlere Digitalangebote. Dieser Beitrag gibt nur einen kurzen Überblick der EU-Gesetzgebung wieder. Sollten Sie sich unsicher sein, ob Ihr Unternehmen oder Ihre Einrichtung den Anwendungsbereich fallen oder sollten Sie mehr Informationen benötigen, hier noch einmal das Angebot: Nehmen Sie Kontakt mit uns auf, wir unterstützen Sie gerne.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]