Dr. Christoph Werkmeister, Julia Utzerath, LL.M.

Neues aus Brüssel zur europäischen Digitalstrategie – was Unternehmen jetzt wissen müssen

Allgemein, Blog, News zur Veranstaltung

Dr. Christoph Werkmeister, Julia Utzerath, LL.M., Freshfields Bruckhaus Deringer, Rechtsanwälte Steuerberater PartG mbB

Die Europäische Kommission arbeitet seit Februar 2020 an einer EU Digitalstrategie mit dem Ziel, die digitale Souveränität von Europa auszubauen und globale Standards in der digitalen Wirtschaft zu setzen. Ein bedeutsamer Teilaspekt dieser Digitalstrategie ist die EU Datenstrategie, aus der bereits eine Reihe von neuen Rechtsakten zu den Themen Datenzugang und -nutzung sowie Cyber-Sicherheit hervorgegangen sind und in den kommenden Jahre hervorgehen werden.

Darüber hinaus steht die Regulierung digitaler Plattformen und die Schaffung eines Rechtsrahmens für künstliche Intelligenz im Fokus. Zudem sind eine Reihe von sektorspezifische Datenregulierungen in der Mache, zum Beispiel in Form eines sog. Europäischen Gesundheitsdatenraums oder Initiativen, die den Zugang zu Mobilitäts- oder Finanzdaten betreffen. Die neuen Gesetze setzen einen gemeinsamen Rechtsrahmen für den europäischen Digital- und Datenmarkt mit erheblichen Auswirkungen auf Anbieter digitaler Dienste, Plattformen und alle Unternehmen, die vernetzte Produkte in der EU anbieten.

I. Die Rechtsakte der europäischen Datenstrategie

1. Data Governance Gesetz

Ziel des Data Governance Gesetz (DGG) ist es, die Entwicklung eines grenzfreien digitalen Binnenmarktes sowie das Vertrauen in eine sichere Datengesellschaft und -wirtschaft voranzutreiben. Dafür soll die gemeinsame Nutzung von Daten durch Unternehmen, Einzelpersonen und öffentliche Organisationen zu gemeinnützigen Zwecken erleichtert werden.

a) Regulierungsumfang

Es werden Regeln eingeführt, die

  • die Weiterverwendung von bestimmten Daten, die im Besitz von öffentlichen Stellen sind, vorsehen,
  • den Austausch von Daten für altruistische Zwecken, z.B. für die Forschung, fördern und
  • eine neuartige Regulierung für sog. Datenvermittlungsdienste einführen.

 

Datenvermittlungsdienste im Sinne des DGG sind in drei Kategorien eingeteilt:

  • Zum einen sind Anbieter von Datenpools oder Datenmarktplätzen, die Dateninhaber mit potenziellen Datennutzern zusammenzubringen, um für diese eine Geschäftsbeziehung zum Teilen von Daten herzustellen, umfasst. Als Beispiel nennt die Kommission Plattformen wie das Data Intelligence Hub der Deutsche Telekom und das API-AGRO, ein landwirtschaftlicher Datenaustausch-Hub. In beiden Fällen monetarisieren die Betreiber der Plattformen die Daten nicht, sondern fungieren als neutrale Dritte, die Dateninhaber und Datennutzer verbinden.
  • Eine weitere Kategorie betrifft Anbieter von Datenpools und Datenmarktplätzen, die eine Vermittlungstätigkeit zwischen natürlichen Personen und potenziellen Datennutzern ausüben. Hierbei spielt es keine Rolle, ob personenbezogene oder nichtpersonenbezogene Daten Gegenstand der Vermittlung sind. Laut dem Impact Assessment der Kommission zum DGG fällt beispielsweise das dänische Unternehmen Peercraft darunter, welches ein Tool anbietet, mit dem Kunden Produkte und Dienstleistungen finden und unmittelbar auf der Website des Produktanbieters erwerben können, um so die Kosten für Plattformintermediäre zu sparen. Erfasst sind insbesondere auch Unternehmen, die Datenmarkplätze für personenbezogene Daten anbieten und die die Selbstwirksamkeit beim Umgang mit den eigenen Daten stärken wollen, indem sie die Monetarisierung der Daten und die Ausübung von Betroffenenrechten ermöglichen.
  • Die dritte Kategorie sind Datengenossenschaften, das heißt genossenschaftlich organisierte Anbieter von Datenvermittlungsdiensten, die sich aus betroffenen Personen, Ein-Personen-Unternehmen oder kleinen und mittelständischen Unternehmen zusammensetzen und dessen Hauptzweck die Unterstützung ihrer Mitglieder bei der Ausübung ihrer datenbezogenen Rechte ist.

 

b) Pflichten und Herausforderungen für Unternehmen

Datenvermittlungsdienste, die unter dem DGG reguliert werden, müssen einen Katalog an bußgeldbewehrten Pflichten erfüllen, u.a. unterliegen sie einer Anmeldepflicht, sie müssen die für den Vermittlungsdienst genutzte Daten strikt von anderen Daten trennen und nur für die Zwecke der Vermittlung nutzen. Das Verfahren und der Preis für den Zugang zu den Vermittlungsdiensten muss fair, transparent und nichtdiskriminierend gestaltet sein und der Vermittler muss die Daten mit angemessenen technischen, rechtlichen und organisatorischen Maßnahmen vor rechtswidrigem Zugriff schützen.

Der DGG reguliert sowohl personenbezogene als auch nicht-personenbezogene Daten, wobei die Datenschutz-Grundverordnung (DSGVO) grundsätzlich neben dem DGG Anwendung finden soll. Damit stellt er Datenvermittlungsunternehmen u.a. bei gemischten Datensätzen, also solchen, die personenbezogen und nicht-personenbezogene Daten enthalten, vor schwierige Herausforderungen in der praktischen Umsetzung bei der Einhaltung beider Verordnungen.

Der DGG überlässt es den Mitgliedstaaten, Vorschriften über Sanktionen zu erlassen und die zuständige Aufsichtsbehörde festzulegen. Laut eines noch nicht ressortabgestimmten Referentenentwurfs für ein deutsches Daten-Governance-Umsetzungsgesetz sollen die Bußgelder in Deutschland max. 500.000 Euro bzw. bei vorsätzlichem Verstoß bis zu 2% des Vorjahrsumsatzes des Unternehmens betragen und die Bundesnetzagentur ist als zuständige Aufsicht vorgesehen.

Der DGG trat am 24. Juni 2022 in Kraft und gilt ab dem 24. September 2023.

2. Data Act

Ein weiterer wesentlicher Baustein der Datenstrategie ist der Data Act (dt. Titel: Datengesetz), der sich noch im Gesetzgebungsprozess befindet und dessen Entwurf von der Kommission am 23. Februar 2022 vorgestellt wurde. Im Gefüge der Datenstrategie soll der Data Act regeln, wer unter welchen Bedingungen einen wirtschaftlichen Mehrwert aus Daten generieren kann, während der DGG die Prozesse und Strukturen zur Erleichterung des Umgangs mit Daten schafft.

a) Regulierungsumfang

Ziel des Data Acts ist vornehmlich die Regulierung des ‚Internet of Things“, das heißt aller vernetzten Produkte und digitaler Dienste in diesem Zusammenhang, um eine gerechte Verteilung der Wertschöpfung aus Daten auf die Akteure der Datenwirtschaft zu gewährleisten und den Datenzugang und die Datennutzung zu fördern. Daneben strebt der Data Act die Bereitstellung von Daten privater Akteure für öffentliche Stellen in außergewöhnlichen Fällen an und soll den Wechsel von Cloud-Anbietern durch Nutzer vereinfachen.

b) Pflichten und Herausforderungen für Unternehmen

Die Regelungen des Data Acts gelten für alle Unternehmen, die vernetzte Produkte herstellen oder anbieten, sowie für Anbieter cloudbasierter Dienste in der EU.

Die unter die neue Regulierung fallenden Unternehmen müssen insbesondere Zugangsrechte zu den durch ihre Produkte erzeugten personenbezogenen und nicht-personenbezogenen Daten gewähren. Die Nutzer eines vernetzten Produkts sollen berechtigt sein, auf alle von den vernetzten Produkten erzeugten Daten zuzugreifen sowie die Weitergabe dieser Daten an Dritte zu veranlassen. Diese Regeln gelten sowohl im B2B-, B2C- als auch B2G-Kontext. Bei Verstößen gegen den Data Act gelten die Sanktionsvorschriften der DSGVO. Die Grenze für Bußgelder liegt damit bei 20 Millionen Euro oder 4 % des Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist.

Auch der Data Act führt zu einer Vielzahl an neuen Herausforderungen für Unternehmen. So bedeutet die Umsetzung der Verpflichtungen bezüglich der Datenzugangsrechte einen nicht unerheblichen Compliance-Organisationsaufwand. Darüber hinaus werden den Unternehmen bestimmte Anforderungen an die technische Gestaltung der Datenübertragbarkeit vorgeschrieben, insbesondere um den Nutzern von vernetzten Produkten den Zugang und die Übertragbarkeit der generierten Daten zu ermöglichen. Datenverarbeitungsdiensten werden außerdem Schutzvorkehrungen für den internationalen Transfer von nicht-personenbezogenen Daten auferlegt, die denen aus dem sog. Schrems-II-Urteils des EuGH für personenbezogene Daten ähneln.

Daneben ist auch beim Data Act das Spannungsverhältnisse zu bestehenden Rechtsakten zu klären: Nicht nur das Zusammenspiel zwischen der DSGVO und dem Data Act – mit ähnlichen Abgrenzungsthemen wie beim DGG -, sondern auch der Konflikt zwischen den Datenzugangsrechten der Nutzer nach dem Data Act und dem Geschäftsgeheimnisschutz der Unternehmen kann im Einzelfall problematisch sein. Unklar ist auch, ob die Datenzugangsverpflichtungen aus dem Data Act in jedem Fall kostenfrei erfüllt werden müssen oder ob und wie kommerzielle Vereinbarungen denkbar sind.

Dennoch schaffen die Zugangsrechte nach dem Data Act auch Chancen für Unternehmen, denn sie erhalten hierdurch die Möglichkeit, Datenpools anzuzapfen, die bislang nur den Herstellern bzw. Anbietern von vernetzten Produkten und Diensten vorbehalten waren.

 

c) Ausblick

Nach Veröffentlichung des Gesetzesentwurfs durch die Kommission wurde schnell klar, dass der Data Act Unternehmen vor eine Vielzahl an Herausforderung stellen würde. Dementsprechend schwerfällig gestaltet sich der Gesetzgebungsprozess. So veröffentlichte der Europäische Rat bereits seinen fünften Kompromissvorschlag im Februar 2023 und eine Einigung von Rat und Parlament auf einen gemeinsamen Standpunkt wird im Verlauf des Jahres 2023 erwartet. Die endgültige Ausgestaltung der neuen Verpflichtungen bleibt somit noch abzuwarten.

Da die Grundprinzipien des Data Act indes klar sind, bereiten sich bereits zum jetzigen Zeitpunkt einige Unternehmen auf das neue Regelwerk vor. Der Schwerpunkt derartiger Projekte liegt dabei auf der Prüfung der Umsetzbarkeit von Datenzugangsprozessen und der mittelfristigen kommerziellen Evaluierung von datenbasierten Geschäftsmodellen.

3. Gemeinsame europäische Datenräume

Gemeinsame europäische Datenräume (sog. EU Data Spaces) bilden den dritten Pfeiler der EU Datenstrategie. Ziel ist es laut der Kommission, mit Hilfe von sektorspezifischen Datenräume einen Binnenmarkt für Daten zu schaffen, in dem öffentliche Stellen, Unternehmen und Bürger vielfältige Daten auf sichere und gerechte Weise im Interesse des Gemeinwohls nutzen können. Im Rahmen dieser Initiative werden Vorschriften ausgearbeitet, um Daten der öffentlichen Hand besser für die Forschung nutzbar zu machen, das freiwillige Teilen von Daten durch Einzelpersonen und Unternehmen zu erleichtern und Strukturen zu schaffen, die wichtigen Organisationen eine gemeinsame Nutzung von Daten ermöglichen.

Im Februar 2020 kündigte die Kommission die Schaffung von Datenräumen in zehn strategischen Bereichen, u.a. in den Bereichen Gesundheit, Landwirtschaft, verarbeitendes Gewerbe, Energie, Mobilität und Finanzen, an.

a) Europäischer Gesundheitsdatenraum

Mit dem Verordnungsentwurf der Kommission vom 5. März 2022 für einen Europäischen Gesundheitsdatenraum (European Health Data Space, im folgenden EHDS), liegt der erste Vorschlag für einen gemeinsamen Datenraum vor.

Er sieht die Schaffung eines gesundheitsspezifischen Ökosystems vor, das aus Regeln, gemeinsamen Normen und Praktiken, Infrastrukturen und einem Governance-Rahmen für den Gesundheitssektor besteht. Ziel ist es, national erhobene Gesundheitsdaten innerhalb der EU sicher und effizient zu verknüpfen, um so die medizinische Versorgung, Forschung und politische Entscheidungen und Regulierungsvorhaben zu verbessern.

Der Vorschlag für den EHDS hat Auswirkungen auf eine Vielzahl von Akteuren und beinhaltet in seiner jetzigen Form verschiedene Unsicherheiten für im Gesundheitssektor tätige Unternehmen.

  • So wird eine wesentliche Herausforderung die Interoperabilität der Daten betreffen. Denn im Zentrum des EHDS steht die Schaffung eines sicheren Raums für Gesundheitsdaten durch eine zentrale Datenplattform, die Gesundheitsdaten EU-weit dem medizinischen Personal zur medizinischen Versorgung zugänglich machen soll. Gleichzeitig sollen die Patienten die volle Kontrolle über ihre Daten behalten und kostenlosen Zugang zu den von ihnen verarbeiteten Daten erhalten.
  • Die Mitgliedstaaten werden grenzüberschreitende Zugangssysteme entwickeln müssen, um Gesundheitsdienstleistern den Zugang und die Registrierung zu der zentralen Datenplattform zu gewährleisten. Das Wechselspiel zwischen den Zugangssystemen und bestehenden Systemen zur elektronischen Identifikation ist eine weitere Unsicherheit bei der anstehenden technischen Ausgestaltung.
  • Ein weiterer Aspekt ist ein geplantes Selbstzertifizierungssystem für Systeme für die elektronische Patientenakte, um die Interoperabilität und Datenportabilität zu gewährleisten. Welche Produkte unter den Anwendungsbereich der Selbstzertifizierung fallen, was die wesentlichen vorgeschriebenen Spezifikationen sein werden und wie der EHDS sich in dieser Hinsicht zu existierenden Regelungen, wie zum Beispiel der Telematikinfrastrukturregeln in Deutschland, verhält ist noch offen.
  • Auch beim EHDS wird es zu Spannungsverhältnissen in Bezug auf die DSGVO und die geplanten Regeln des DGG und des Data Act kommen, die es in der Praxis zu lösen gilt. Insbesondere das geplante Datennutzungsrecht für Forschung, private Unternehmen und öffentliche Einrichtungen wirft Umsetzungsfragen auf, die noch durch die geplanten nationalen Stellen für den Zugang zu Gesundheitsdaten in enger Abstimmung mit den nationalen Datenschutzbehörden und der Kommission zu klären sein werden.

 

b) Ausblick

Es wird erwartet, dass der EHDS im Anschluss an die Verabschiedung des Data Acts, auf den er u.a. aufbaut, finalisiert wird. Nach derzeitigem Wortlaut würde er 12 Monate nach seiner Verabschiedung in Kraft treten, das heißt aller Voraussicht nach im Jahre 2025. Einige Bestimmungen werden ein oder drei Jahre später gelten: Dies gilt insbesondere für die Bestimmungen über die Zugangsrechte von Einzelpersonen und Angehörigen der Gesundheitsberufe zu personenbezogenen Gesundheitsdaten und wohl auch für die Bestimmungen über die Systeme für die elektronische Patientenakte, die solche Daten verarbeiten. Interne Systeme für die elektronische Patientenakte müssen die Bestimmungen über solche Systeme drei Jahre nach Inkrafttreten der Verordnung erfüllen. Der nächste Bericht über den Stand der Entwicklung der weiteren geplanten europäischen Datenräume wird im Laufe des Jahres 2023 erwartet.

II. Das Europäische Paket für digitale Plattformen

Neben der Datenstrategie beinhaltet die Digitalstrategie auch das Europäische Paket für digitale Plattformen mit dem Digital Services Act und dem Digital Markets Act.

1. Digital Services Act

Der Digital Services Act (DSA) führt einen neuen horizontalen und technologieneutralen Rahmen ein, der auf dem Grundsatz „was offline illegal ist, muss auch online illegal sein“ basiert. Er zielt darauf ab, digitale Räume gegen die Verbreitung illegaler Inhalte zu schützen und den Schutz der Grundrechte der Nutzer zu gewährleisten. Er richtet sich an alle Anbieter digitaler Dienste, die als Vermittler fungieren und legt eine Reihe von abgestuften Verantwortlichkeiten fest, wobei für komplexere und größere Unternehmen strengere Vorschriften gelten. Die strengsten Verpflichtungen gelten für Anbieter sehr großer Online-Plattformen (VLOP) und sehr großer Online-Suchmaschinen (VLOSE) mit mindestens 45 Millionen monatlich aktiven Empfängern in der EU. Der DSA wird ab dem 17. Februar 2024 Anwendung finden, wobei bestimmte Regeln bereits ab dem 16. November 2022 greifen.

Die neuen Vorschriften sehen Durchsetzungsregelungen vor, die ein Zusammenspiel zwischen der Europäischen Kommission und den nationalen Behörden mit Geldbußen von bis zu 6 % des weltweiten Jahresumsatzes eines Unternehmens festlegen.

Der DSA wird Unternehmen, die als Diensteanbieter unter die Verordnung fallen, vor umfassende Compliance-Aufgaben stellen. Digitale Geschäftsmodelle werden zu prüfen sein und müssen unter Umständen auf das neue Regelwerk angepasst und ausgelegt werden. Die Bereitstellung von Ressourcen für die Implementierung eines umfassenden Beschwerdesystemen, Änderungen der AGB und anderer Vertragsdokumente und nicht zuletzt eine solide Strategie für den Umgang mit Datenzugriffsanfragen sowie Transparenz- und Compliance-Anfragen der nationalen Behörden und der Europäischen Kommission sind Themen, die Unternehmen unter dem DSA adressieren müssen.

2. Digital Markets Act

Der Digital Markets Act (DMA) basiert auf der Annahme, dass digitale Unternehmen oberhalb bestimmter Schwellenwerte – die sog. „Gatekeeper“ – so groß und etabliert sind, dass sie einer besonderen Regulierung bedürfen, um Märkte wettbewerbsfähig und fair zu halten. Der DMA trat am 1. November 2022 in Kraft. Die Designierung von Gatekeepern durch die Europäische Kommission soll bis September 2023 erfolgen, die Einhaltung der Regelungen ist dann ab März 2024 erforderlich.

Dabei nimmt der DMA eine Alles-oder-Nichts-Bewertung mit sehr weitreichenden Folgen vor: Sobald eine Plattform die gesetzlichen Schwellenwerte überschreitet und damit als „Gatekeeper“ gilt, greifen automatisch die meisten Verpflichtungen des DMA, welche im Einzelfall weitreichende Änderungen des Geschäftsmodells erfordern können. Zu den Verpflichtungen gehören Gebote und Verbote in Bezug auf Interoperabilität, Datenübertragbarkeit, Datenerfassung sowie die Verwendung von und der Zugang zu Daten. Bei Verstößen gegen die Vorschriften des DMA greifen strenge Sanktionen. So sind – je nach Verstoß – Geldbußen in Höhen von bis zu bis zu 10 % des weltweiten Umsatzes im vorangegangenen Geschäftsjahr möglich, bei wiederholter Nichteinhaltung sogar bis zu 20 %.

III. Die Schaffung eines Rechtsrahmens für KI

Die dritte Säule der Digitalstrategie ist die Schaffung eines Rechtsrahmens für KI, der durch zwei Gesetzesvorhaben, den AI Act (dt. Gesetz über künstliche Intelligenz), und die Richtlinie über KI-Haftung, vorangebracht werden soll.

1. AI Act

Der AI Act, dessen Entwurf die Kommission am 21. April 2021 veröffentlichte, zielt darauf ab, EU-weit einheitliche Mindestanforderungen und Verpflichtungen bei der Entwicklung, dem Anbieten und dem Nutzen von KI-Systemen einzuführen.

Dafür teilt der AI Act KI-Systeme in verschiedene Risikoklassen ein. Je nach Risikostufe sind diese entweder gänzlich verboten, weil sie ein nicht-akzeptables Risiko darstellen, das die europäischen Grundrechte verletzt, z.B. Social Scoring durch Regierungen. Oder die jeweiligen KI-Systeme werden als Hochrisikosysteme bzw. begrenzte Risikosystem eingeordnet und sind unter Wahrung umfassender Konformitätsregeln bzw. Transparenzpflichten erlaubt. Systeme, deren Risiko als gering eingestuft werden, sind ohne Einschränkungen aus dem AI Act in der EU nutzbar. Der AI Act hat extra-territoriale Wirkung und gilt sobald das KI-System in die Union in den Verkehr gebracht oder dort genutzt bzw. das vom KI-System hervorgebrachte Ergebnis in der Union verwendet wird. Geldbußen bei Verstößen gegen die Vorschriften des AI Act sollen mit bis zu 30 Millionen EUR oder – im Falle von Unternehmen – bis zu 6 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.

Umstritten ist insbesondere der Anwendungsbereich des AI Acts aufgrund der weiten Definition von ‚AI-Systemen‘ im Kommissionsentwurf, der die Unterscheidung zwischen KI und klassischen Softwaresystemen verschwimmen lässt. Hier scheint sich ein Kompromiss im Gesetzgebungsprozess zu formieren, der klarere Abgrenzungsmerkmale einführen möchte, wie z.B. das Element der ‚Autonomie‘ sowie einen umfassenden Tatbestandskatalog mit tatsächlichen Merkmalen für Hochrisiko-KI-Systeme. In Bezug auf die umfassenden Prüfpflichten für Hochrisikosysteme, die die Hersteller im Rahmen einer Selbstbewertung durchführen müssen, trifft diese Unternehmen aufgrund der Selbstbewertung, gepaart mit dem Risiko hoher Bußgelder, eine gewisse Rechtsunsicherheit.

Unternehmen sind deshalb gut beraten zu prüfen, ob und wie sie mit ihren KI-Systemen in den Anwendungsbereich des AI Acts fallen und wesentliche Elemente der vorgesehenen Rechenschaftspflichten in ihr Compliance System einzuplanen.

Die Verabschiedung des AI Acts wird für Mitte 2023 erwartet.

2. Richtlinie über KI-Haftung

Die Richtlinie über KI-Haftung, die am 28. September 2022 von der Kommission vorgestellt wurde, soll die Lücke schließen, die dadurch entsteht, dass der AI Act keine Haftungsfragen regelt. Sie schafft neue Rechte und prozessrechtliche Erleichterungen für Nutzer von KI-Systemen, damit diese Schadensersatzansprüche gegen Anbieter von KI-Systemen einfacher geltend machen können.

  • Möglichen Klägern wird die Beweislast mithilfe von Offenlegungsmechanismen gezielt erleichtert. Diese können die Offenlegung aller im Besitz des Unternehmens befindlichen Nachweise über das betreffende Hochrisiko-KI-System verlangen, die gemäß dem AI Act aufzuzeichnen bzw. zu dokumentieren sind. Dies umfasst unter anderem Schulungs-, Validierungs- und Testaufzeichnungen, technische Unterlagen und Protokolle, das Qualitätsmanagement und etwaige Korrekturmaßnahmen.
  • Legt ein Beklagter Beweismittel, zu deren Weitergabe er verpflichtet ist, nicht offen oder wurden diese nicht aufbewahrt, so muss das zuständige Gericht nach dem Richtlinienentwurf davon ausgehen, dass der Beklagte die Sorgfaltspflicht verletzt hat, die mit den beantragten Beweismitteln nachgewiesen werden sollte. Es besteht dann die widerlegbare Vermutung, dass der Beklagte gegen die entsprechende Pflicht verstoßen hat.
  • Zu Gunsten des Klägers wird zudem eine widerlegbare Kausalitätsvermutung angenommen. Nach dem Richtlinienentwurf müssen die Mitgliedstaaten dafür sorgen, dass ihre Gerichte den Kausalzusammenhang zwischen (i) einer etwaigen Verletzung einer Sorgfaltspflicht durch den Beklagten gemäß dem AI Act und/oder anderen Rechtsvorschriften der Union oder der Mitgliedstaaten, die unmittelbar vor dem eingetretenen Schaden schützen sollen, einerseits und (ii) der Leistung des fraglichen KI-Systems bzw. der Tatsache, dass es diese Leistung nicht erbringt, andererseits vermuten. Diese – wiederum vom Beklagten widerlegbare – Vermutung würde in Fällen gelten, in denen die Funktionsweise des KI-Systems ansonsten erklärt werden müsste, um den Kausalzusammenhang herzustellen.

Eine Verabschiedung der Richtlinie über KI-Haftung ist im Anschluss an die Verabschiedung des AI Acts erwartet.

IV. Fazit

Ähnlich wie zu der Zeit als die Verabschiedung der DSGVO vor der Tür stand, sollten sich Unternehmen in Bezug auf die Europäische Digital- und Datenstrategie frühzeitig mit der Planung ihrer Compliance-Organisation für die neuen Regelwerke auseinandersetzen, um Produkte und Prozesse zum Start der neuen Ära der Daten- und Digitalregulierung in Einklang mit den vielschichtigen Regelwerken zu bringen. Insbesondere aufgrund der teilweise hohen Komplexität der Rechtsakte und ihrer Überschneidungen untereinander und mit bestehenden Regelungen, ist es ratsam, diese Aufgabe als umfassendes strategisches Compliance-Projekt zu planen und die neuen Prinzipien frühzeitig in Produktentwicklungsprozessen zu verankern (‘Compliance by Design’). Ein Denken in Silos verkennt die Komplexität und das Ineinandergreifen der neuen Regelungen, die bereits in Kraft sind und die in den nächsten Monaten und Jahren in Kraft treten werden.