Update 2022 zu produktbezogener IT-/KI-Regulierung und Produkthaftungsrecht

Wesentliche Gesetzesvorhaben

Obwohl Künstliche Intelligenz (KI), IT-Sicherheit und Cybersicherheit schon lange im Rahmen der Produktregulierung, insbesondere im Zusammenhang der Produkthaftung, diskutiert werden, haben diese Regelungsaspekte bislang kaum Eingang in konkrete Produktrechtsvorschriften gefunden. Daher hat die EU in letzter Zeit mehrere Initiativen gestartet, um die Digitalisierung der Produktwelt rechtlich zu erfassen. Nachfolgend fassen wir die wesentlichen Gesetzesvorhaben zusammen, die im Jahr 2022 Realität oder zumindest vorangebracht werden könnten. 

 

Cybersicherheit im Rahmen der EU-Produktsicherheitsverordnung

Der Entwurf einer neuen Produktsicherheitsverordnung (GPSR-E), der als allgemeiner Teil dem europäischen Produktsicherheitsrecht vorgeschaltet werden soll, greift explizit den Aspekt der Cybersicherheit auf. Nach Art. 7 Abs. 1 Buchst. h GPSR-E soll das Bestehen von erforderlichen Cybersicherheitsmerkmalen als ein Kriterium bei der Beurteilung der Sicherheit eines Produkts darstellen. Schließlich können Cybersicherheitsrisiken Auswirkungen auf die Sicherheit von Verbrauchern haben, weshalb sie vom produktsicherheitsrechtlichen Sicherheitskonzept erfasst werden müssen. Art. 7 Abs. 1 Buchst. h GPSR-E ist insofern dahingehend zu verstehen, dass er rechtliche Mindestanforderungen für die Cybersicherheit verlangt. Die Verordnung (EU) 2019/881, die einen EU-weiten Zertifizierungsrahmen für die Cybersicherheit von IKT-Produkten, Dienstleistungen und Prozessen verankert, legt nämlich ein solches Mindestmaß nicht fest.

Der erstmals ausdrücklich erwähnte Aspekt der Cybersicherheit wird besondere Relevanz für digitale Produkte (etwa IoT-Produkte) haben. Konkret wird Art. 7 Abs. 1 Buchst. h GPSR-E für das gesamte Produktsicherheitsrecht eine hohe Bedeutung besitzen, weil die sektoralen EU-Rechtsakte den Aspekt der Cybersicherheit nicht ausdrücklich behandeln. Lediglich der im April 2021 veröffentlichte Entwurf einer EU-Maschinenverordnung greift die IT- und Cybersicherheit als Gegenstände der grundlegenden Sicherheits- und Gesundheitsschutzanforderungen in den Abschnitten 1.1.9 und 1.2.1 des Anhangs III auf.

 

Entwurf einer KI-Verordnung

Die EU-Kommission hat am 21.04.2021 einen Vorschlag einer KI-Verordnung (im Folgenden „KI-VO-E“) vorgelegt. Dieser Rechtsakt soll die gesetzlichen Rahmenbedingungen für die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen festlegen. Der Rechtsrahmenentwurf lehnt am produktsicherheitsrechtlichen Regelungskonzept – dem sog. New Legislative Framework (NLF) – an und bildet eine IT- und produktsicherheitsrechtlich geprägte Querschnittsmaterie.

Zentraler Regelungsgegenstand dieses Entwurfs sind sog. Hochrisiko-KI-Systeme, die im Gegensatz zu KI-Systemen mit unannehmbarem Risiko grundsätzlich zulässig sind. Nach Art. 3 Nr. 1 KI-VO-E ist ein KI-System eine Software, „die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren“. Diese sehr weit gefasste Legaldefinition ist beinahe uferlos und ist aufgrund dessen einer starken Kritik ausgesetzt. Ausgehend von diesem Regelungsgegenstand normiert der Entwurf allgemeine softwarebezogene Sicherheitsanforderungen an Hochrisiko-KI-Systeme (vgl. Artt. 9–15 KI-VO-E). Diese Anforderungen erfahren eine Konkretisierung durch harmonisierte technische Normen, deren Einhaltung eine Konformitätsvermutung auslöst, Art. 40 KI-VO-E.

Die primäre Verantwortung für die Konformität mit den Sicherheitsanforderungen trägt der Anbieter, d.h. „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System entwickelt oder entwickeln lässt, um es unter ihrem eigenen Namen oder ihrer eigenen Marke – entgeltlich oder unentgeltlich – in Verkehr zu bringen oder in Betrieb zu nehmen“, Art. 3 Nr. 2 KI-VO-E. Ihn trifft das umfangreichste Pflichtenprogramm. Hierzu gehören unter anderem:

  • Pflicht zur Durchführung eines Konformitätsbewertungsverfahrens, an dessen Ende die Anbringung der CE-Kennzeichnung steht, Artt. 16 Buchst. e und i, 43, 49 KI-VO-E
  • Instruktionspflichten, Art. 13 Abs. 3 KI-VO
  • Pflicht zur Etablierung eines Qualitätsmanagementsystems, Artt. 16 Buchst. b i.V.m. 17 KI-VO-E
  • Behördliche Meldepflichten, Artt. 16 Buchst. h i.V.m. 21 S. 1 KI-VO-E
  • Pflicht zur Ergreifung von Korrekturmaßnahmen, Artt. 16 Buchst. g i.V.m. 21 S. 1 KI-VO-E

Daneben zählen Einführer und Händler ebenso zu den Pflichtenadressaten. Sie treffen in erster Linie die klassischen formellen Prüfpflichten sowie Kooperations- und Meldepflichten. Unter produktsicherheitsrechtlichen Gesichtspunkten ist die Erfassung der Nutzer neu; auch sie sind Pflichtenadressaten, wodurch der Entwurf ein Produktnutzungsrecht vorsieht. So müssen sie den in der Gebrauchsanweisung festgelegten Instruktionen der Anbieter nachkommen und den Betrieb des Hochrisiko-KI-Systems überwachen, Art. 29 Abs. 1, 4 S. 1 KI-VO-E. Ferner überantwortet der Entwurf den Nutzer ebenso Kooperations- und Meldepflichten, Art. 29 Abs. 4 S. 2 und 3 KI-VO-E).

Mit diesem ambitionierten Vorhaben soll der EU ein „großen Wurf“ gelingen. Der Entwurf zielt auf nichts geringeres, als „die technische Führungsrolle der EU auszubauen und dafür zu sorgen, dass die Europäerinnen und Europäer von den im Einklang mit den Werten, Grundrechten und Prinzipien der Union entwickelten und funktionierenden neuen Technologien profitieren können“. Eine Reihe von Regelungsvorschlägen steht jedoch in der Kritik, wie etwa die erwähnte weitgehende Legaldefinition des Begriffs „KI-System“. Vor dem Hintergrund des Diskussions- und Abstimmungsbedarfs ist abzuwarten, ob die geplante KI-Verordnung im Jahr 2022 verabschiedet wird.

 

Vorschlag einer Verordnung zur Betreiberhaftung für KI-Systeme

Das Europäische Parlament hat bereits im Oktober 2020 Empfehlungen an die Kommission für eine Regelung der zivilrechtlichen Haftung beim Einsatz künstlicher Intelligenz gerichtet und einen Vorschlag einer Verordnung zur Betreiberhaftung für KI-Systeme erarbeitet. Der Verordnungsvorschlag des Europäischen Parlaments sieht eine verschuldensunabhängige Haftung des Betreibers eines sog. KI-Systems mit hohem Risiko vor, die in einem Katalog ausdrücklich erwähnt werden, Art. 4 Nr. 1 KI-BetreiberhaftungsVO-E. Haftungsadressat ist dabei sowohl der Frontend- als auch Backend-Betreiber, für die eine Versicherungspflicht besteht, Art. 4 Nr. 4 KI-BetreiberhaftungsVO-E. Mit Blick auf andere KI-Systeme schlägt das Europäischen Parlament eine verschuldensabhängige Haftung vor. Dabei wird das Verschulden des Betreibers vermutet; jedoch hat er die Möglichkeit, sich unter Berufung auf folgende Gründe zu entlasten, Art. 8 Nr. 2 KI-BetreiberhaftungsVO-E:

  • Das KI-System wurde ohne seine Kenntnis aktiviert, während alle angemessenen und erforderlichen Maßnahmen getroffen waren, um eine solche Aktivierung außerhalb der Kontrolle des Betreibers zu verhindern.
  • Alle folgenden Maßnahmen wurden mit gebührender Sorgfalt getroffen: Auswahl eines geeigneten KI-Systems für die jeweilige Aufgabe und die jeweiligen Fähigkeiten, ordnungsgemäße Inbetriebnahme des KI-Systems, Überwachung der Aktivitäten und Aufrechterhaltung der betrieblichen Zuverlässigkeit durch regelmäßiges Installieren aller verfügbaren Aktualisierungen.

Durch ein Verlangen des Betreibers soll eine an den Hersteller des KI-Systems gerichtete Kooperationspflicht aktiviert werden, um die Feststellung der Haftung zu ermöglichen, Art. 8 Nr. 4 KI-BetreiberhaftungsVO-E.

Es darf angenommen werden, dass der Vorschlag des Europäischen Parlament umgesetzt wird, wenngleich Änderungen zu erwarten sind. Da auch noch die EU-Kommission im Zuge des Gesetzgebungsverfahrens eingeschaltet werden muss, ist damit zu rechnen, dass das Inkrafttreten des Rechtsakts in nicht genau absehbarer Zukunft liegt.

 

Reform der Produkthaftungsrichtlinie

Die EU-Kommission hat im Rahmen des Berichts über die Auswirkungen von KI, IoT und Robotik auf Sicherheit und Haftung einen Anpassungsbedarf der Produkthaftungsrichtlinie formuliert und darauf fußend ein Gesetzesvorhaben zur Anpassung der Haftungsregeln an das digitale Zeitalter und an die Entwicklungen im Bereich der KI initiiert. Die Herausforderungen im Zuge der Digitalisierung von Produkten bestehen laut des Berichts der Kommission in der Komplexität von Produkten, Dienstleistungen und der Wertschöpfungskette, der Konnektivität und Offenheit sowie der Autonomie und Opazität. Die Reform der Produkthaftungsrichtlinie soll unter anderem die Fragen nach der Einstufung von Stand-alone Software als Produkt, den haftungsrechtlichen Auswirkungen von Produktveränderungen durch Software-Updates sowie der Herstellerhaftung von autonom weiterentwickelnden KI-Systemen und von neuaufbereiteten Gebrauchtprodukten adressieren.

Ob und in welchem Ausmaß die Reform Realität wird, ist derzeit noch offen, da eine ganze Reihe von Regelungsvorhaben, insbesondere die Erforderlichkeit von bestimmten Regelungen, in der Diskussion stehen. Die Umsetzung der Reform wird jedenfalls noch einige Zeit in Anspruch nehmen. Schließlich wurde die öffentliche Konsultation erst kürzlich am 10.01.2022 beendet. Die Annahme durch die Kommission ist für das dritte Quartal 2022 geplant.

 

Da wir es selbst nicht besser auf den Punkt gebracht hätten, ist dies ein Gastbeitrag von Dr. Gerhard Wiebe der Produktkanzlei, mit der GLOBALNORM partnerschaftlich zusammenarbeitet. Die Produktkanzlei mit Sitz in Augsburg und Berlin begleitet und vertritt Unternehmen und Verbände in Rechtssetzungsverfahren im Bereich der Produktregulierung auf nationaler und europäischer Ebene. Sie berät Wirtschaftsakteure bei der Identifizierung, Umsetzung und Einhaltung der maßgeblichen produktrechtlichen Anforderungen und unterstützt Mandanten bei der Verteidigung ihrer Produkte und Anwendungen gegenüber nationalen wie europäischen Marktüberwachungs- und Regulierungsbehörden.

 

Bei Fragen oder Gesprächsbedarf rund um diese Neuerungen kommen Sie gern auf uns zu!

Veröffentlicht am 09.02.2022
Kategorie: Fokus Automotive, Fokus Industry, Fokus Consumer Goods & Retail, Fokus Electrical and Electronics, Fokus Medical Devices, Fokus Third Party, Fokus Wireless, Compliance

Neues aus der Welt der Normen und Product Compliance

Auch wenn die Welt der Normen und Marktzulassungsanforderungen nicht allzu schnelllebig ist – es gibt auch hier regelmäßig Neuigkeiten und Neuerungen. Hier halten wir Sie auf dem Laufenden!

Weitere Neuigkeiten zu Normen und Product Compliance
GLOBALNORM News
"Spenden statt Versenden" - auch in 2021

Fortsetzung der Weihnachtsaktion

mehr

GLOBALNORM unterstützt Impfkampagne

#ZusammenGegenCorona

mehr

Neuerscheinung: Praxisband Funkanlagenrichtlinie 2014/53/EU

Neues Fachbuch von Dipl.-Ing. (FH) Michael Loerzer

mehr

STANDARDS News
Harmonisierte Funk-Normen zur Funkanlagenrichtlinie (2014/53/EU) erschienen

UKW- und DAB-Empfänger benötigen keine Benannte Stelle mehr

mehr

Entwicklung von Standards zur Cybersecurity

Committee Draft zu Sicherheitsaspekten im Zusammenhang mit funktionaler Sicherheit veröffentlicht

mehr

Die geplante 4. Ausgabe der IEC 62368-1

Aktueller Entwurf am 11.02.22 von IEC veröffentlicht

mehr

COMPLIANCE News
EU-Batterie-Verordnung: Ratsposition einstimmig verabschiedet

mehr

Neue Cybersecurity-Norm für Home Gateways veröffentlicht

Ohne Konformitätsvermutungswirkung

mehr

Entwurf der neuen Ökodesign-Verordnung veröffentlicht

Mit Erweiterungen in Anwendungsbereich und Informationsanforderungen

mehr

Login
x

Gemäß der Cookie-Richtlinie der EU (RL 2009/136/EG) möchten wir Sie darüber informieren, dass unsere Website Cookies verwendet. Wenn Sie unsere Webseite benutzen, akzeptieren Sie das und stimmen unseren Datenschutzbestimmungen zu. Welche Cookies konkret gesetzt werden und wie Sie von Ihrem Widerspruchsrecht Gebrauch machen können, erfahren Sie auf unserer Seite zum. Datenschutz.

OK