Mit der NIS-2-Richtlinie der EU werden für große Teile der Wirtschaft gesetzliche Pflichten zur Erreichung eines hohen Cybersicherheitsniveaus normiert. In Deutschland sind davon schätzungsweise ca. 30.000 Unternehmen betroffen. Die Richtlinie hätte bis zum 17. Oktober 2024 in deutsches Recht umgesetzt werden müssen. Aufgrund der vorgezogenen Neuwahlen ist dies nicht rechtzeitig erfolgt, doch die Umsetzung bleibt weiterhin vordringlich.
Dr. Thomas Stögmüller, LL.M. (Berkeley), Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtanwälte referiert hierzu online auf dem Midrange-ExpertDay am 13. März 2025. In seinem Vortrag behandelt er u.a.:
– Wer ist von NIS-2 betroffen?
– Welche rechtlichen Anforderungen an die Cybersicherheit bringt NIS-2 mit sich?
– Was müssen Betreiber kritischer Einrichtungen besonders beachten?
– Welche Pflichten und Verantwortlichkeiten hat die Geschäftsleitung?
– Welche Sanktionen drohen bei Verstößen?
– Wie ist der Stand des Gesetzgebungsverfahrens in Deutschland?
Weitere Informationen und Anmeldung unter https://event.gotowebinar.com/event/844f6bc8-e323-43b5-a549-019ac0c02513
Unsere Münchener Partnerin Dr. Truiken Heydn leitet dieses Jahr wieder gemeinsam mit Prof. Dr. Fabian Schuster die Kölner Tage IT-Recht am kommenden Donnerstag und Freitag, 13.-14. März 2025. Ein spannendes Programm u.a. zu den Themen KI, Cybersecurity und Cloud-Verträge erwartet Sie. Teilnahme in Präsenz und Online möglich.
TCI Rechtsanwälte sponsern auch 2025 das Göttinger Forum IT-Recht, eine der führenden juristischen Fachtagungen zum IT- und Datenschutzrecht. Die hybride Konferenz findet unter dem Thema „Mit Recht in die digitale Zukunft –
Innovation gestalten, Daten nutzen und schützen, KI beherrschen“ am 13. und 14. Februar 2025 statt.
TCI-Partner Dr. Thomas Stögmüller, LL.M. (Berkeley), Rechtsanwalt und Fachanwalt für Informationstechnologierecht, wird dort am 14. Februar 2025 über die aktuelle Rechtsprechung des EuGH und des BGH zum immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO berichten.
Nähere Informationen unter: https://www.goettingen-itrecht.de/
Am 1. August 2024 ist die EU-Verordnung 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO) in Kraft getreten. Die Verordnung soll einen sicheren und verantwortungsvollen Einsatz von KI in der EU gewährleisten und setzt umfassende Anforderungen für Unternehmen, die KI-Systeme entwickeln, bereitstellen oder nutzen. Die Anwendung der einzelnen Bestimmungen erfolgt jedoch gestaffelt:
- Ab dem 2. Februar 2025: Kapitel I (Allgemeine Bestimmungen) und Kapitel II (Verbotene Praktiken im KI-Bereich) treten in Kraft. Dies umfasst unter anderem das Verbot bestimmter KI-Praktiken und die Verpflichtung zur Sicherstellung der KI-Kompetenz.
- Ab dem 2. August 2025: Weitere Regelungen, insbesondere für Anbieter von allgemeinen KI-Modellen, sowie Sanktionsbestimmungen werden wirksam.
- Ab dem 2. August 2026: Es gelten grundsätzlich alle Regelungen der KI-VO, die nicht ausdrücklich zu einem anderen Zeitpunkt anwendbar werden. So etwa die Pflichten der Betreiber von Hochrisiko-KI-Systemen. wie Transparenz- und Berichtspflichten.
- Ab dem 2. August 2027: Regelungen zur Einstufung bestimmter Hochrisikosysteme werden anwendbar.
Artikel 4 KI-VO: Sicherstellung der KI-Kompetenz
Artikel 4 der KI-Verordnung verpflichtet Anbieter und Betreiber von KI-Systemen Maßnahmen zu ergreifen, um nach besten Kräften sicherzustellen, dass alle Personen, die mit dem Betrieb, der Entwicklung oder der Nutzung von KI-Systemen betraut sind, über die erforderliche KI-Kompetenz verfügen.
Dies umfasst:
- Technische Kenntnisse: Verstehen der Funktionsweise von KI-Systemen und deren Algorithmen.
- Erfahrung im spezifischen Einsatzkontext: Schulung und praktische Anwendung von KI in branchenspezifischen Szenarien.
- Bewusstsein für Risiken und Chancen: Vermittlung von Wissen über mögliche ethische und rechtliche Konsequenzen.
Ziel ist es, dass Unternehmen nicht nur die Sicherheit und Wirksamkeit ihrer Systeme gewährleisten, sondern auch das Vertrauen von Nutzern und Kunden stärken. Anbieter und Betreiber von KI-Systemen müssen entsprechende Maßnahmen dokumentieren und nachweisen.
Artikel 3 Nr. 56 KI-VO: Definition der KI-Kompetenz
Gemäß Artikel 3 Nr. 56 wird KI-Kompetenz als die Fähigkeiten, Kenntnisse und das Verständnis definiert, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen der KI-Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen. Dies schließt ein:
- das Verständnis technischer, ethischer und rechtlicher Aspekte von KI,
- die Fähigkeit, Chancen und Risiken zu bewerten und
- den Umgang mit potenziellen Fehlfunktionen oder Missbrauchsszenarien.
Dies unterstreicht, wie wichtig ein ganzheitlicher Ansatz für den Umgang mit KI ist, der über rein technische Aspekte hinausgeht.
Welche Maßnahmen jetzt sinnvoll sind
Die Einhaltung der KI-Verordnung erfordert gezielte Maßnahmen in verschiedenen Bereichen. Unternehmen sollten frühzeitig aktiv werden, um rechtliche Risiken zu minimieren und die neuen Anforderungen zu erfüllen. Auch wenn z.B. ein Verstoß gegen Art. 4 KI-VO weder bußgeld- noch strafbewehrt ist, so kann das Nichtergreifen entsprechender Maßnahmen im Schadensfall als Sorgfaltspflichtverletzung gewertet werden und zu einer Haftung des Unternehmens führen.
- Mitarbeiter regelmäßig schulen und weiterbilden
- Entwickeln Sie Schulungsprogramme, die auf die spezifischen Anforderungen Ihrer Branche zugeschnitten sind.
- Fördern Sie das Verständnis für technische, rechtliche und ethische Aspekte von KI-Systemen.
- Sensibilisieren Sie Mitarbeiter für die Risiken und Chancen von KI.
- Interne Richtlinien erstellen
- Legen Sie klare Regeln für die Entwicklung und Nutzung von KI-Systemen fest.
- Integrieren Sie ethische Prinzipien, wie Transparenz und Fairness, in Ihre Unternehmensrichtlinien.
- Berücksichtigen Sie auch Datenschutz- und IT-Sicherheitsanforderungen sowie arbeits- und mitbestimmungsrechtliche Aspekte.
- KI-Systeme bewerten und anpassen
- Überprüfen Sie bestehende Systeme auf ihre Konformität mit der KI-VO.
- Identifizieren Sie Schwachstellen und setzen Sie notwendige Verbesserungsmaßnahmen um.
- Dokumentieren Sie alle Änderungen, um bei Kontrollen Transparenz zu gewährleisten.
- Interdisziplinäre Teams einrichten
- Bringen Sie Experten aus verschiedenen Bereichen zusammen, darunter IT, Recht, Compliance und Ethik.
- Stellen Sie sicher, dass Entscheidungen zum KI-Einsatz aus verschiedenen Perspektiven betrachtet werden.
- Nutzen Sie diese Teams, um innovative und gleichzeitig rechtskonforme Lösungen zu entwickeln.
Fazit: Chancen und Verantwortung im Umgang mit KI
Die KI-Verordnung stellt nicht nur Herausforderungen dar, sondern bietet auch Chancen, den Einsatz von KI zu professionalisieren und nachhaltig zu gestalten.
Falls Sie Fragen zur Umsetzung der Anforderungen der KI-Verordnung oder zur rechtlichen Bewertung Ihrer KI-Systeme haben, steht Ihnen unser erfahrenes Team gerne zur Verfügung. Kontaktieren Sie uns, um eine individuelle Beratung zu erhalten. Unternehmen, die frühzeitig handeln, können nicht nur ihre Compliance sicherstellen, sondern auch einen Wettbewerbsvorteil erzielen. Mit der richtigen Strategie können sie das volle Potenzial der KI ausschöpfen und gleichzeitig das Vertrauen ihrer Kunden und Partner stärken.
In der Ausgabe Nr. 52/2024 der Neuen Juristischen Wochenschrift (NJW) berichtet Dr. Thomas Stögmüller, Rechtsanwalt und Fachanwalt für Informationstechnologierecht, über aktuelle Entwicklungen im IT-Recht im Jahr 2024. Der Beitrag gibt einen umfassenden Überblick über die neuen EU-Gesetze von der KI-Verordnung bis zum Cyber Resilience Act und beleuchtet wichtige Gerichtsentscheidungen wie etwa des EuGH zur Urheberrechtsverletzung durch „Cheat-Software“.
Am 10. Dezember 2024 ist der „Cyber Resilience Act“ (CRA, der deutsche Name lautet „Cyberresilienz-Verordnung“) der EU in Kraft getreten. Mit dieser Verordnung werden europaweit erstmalig horizontal geltende Cybersicherheitsvoraussetzungen für Produkte mit digitalen Elementen gesetzlich normiert. Vernetzte Produkte wie Heimkameras, Kühlschränke, Fernsehgeräte und Spielzeug müssen hiernach „cybersicher“ sein, bevor sie in Verkehr gebracht werden, und auch über ihren gesamten Lebenszyklus hinweg bleiben. Um diese Cybersicherheit zu belegen, müssen sie künftig mit einer CE-Kennzeichnung versehen sein.
Zwar gelten die wesentlichen Regelungen der Verordnung erst ab dem 11. Dezember 2027, sodass Unternehmen eine großzügige Übergangsfrist haben, ihre in das Internet eingebundenen Produkte an die neuen Regelungen anzupassen. Doch da Produktentwicklungszyklen mehrere Monate bis Jahren dauern können, soll bereits jetzt auf einige wesentliche Anforderungen unter dem CRA hingewiesen werden:
– Der Anwendungsbereich des CRA ist äußerst weit und umfasst Software, in das Internet eingebundene Hardware wie intelligente Haushaltsgeräte (Stichwort „Internet of Things“) und Cloud-Dienste, die es den Nutzern ermöglichen, Geräte aus der Ferne zu steuern
– Hersteller, die ein Produkt mit digitalen Elementen in den Verkehr bringen, müssen dieses gemäß den grundlegenden, im CRA näher spezifizierten Cybersicherheitsanforderungen konzipieren, entwickeln und herstellen
– Grundlegende Cybersicherheitsanforderungen umfassen beispielsweise, sicherzustellen, dass Schwachstellen durch Sicherheits-Updates behoben werden können, dass geeignete Kontrollmechanismen bestehen, die Schutz vor unbefugtem Zugriff bieten, dass die Vertraulichkeit und Integrität gespeicherter und übermittelter Daten geschützt wird und dass den Nutzern die Möglichkeit geboten wird, alle Daten und Einstellungen dauerhaft sicher und einfach zu löschen
– Während der Supportdauer des Produkts ist dessen Cybersicherheitsrisiko zu bewerten, zu dokumentieren und ggf. zu aktualisieren
– Hersteller müssen Schwachstellen während der erwarteten Lebensdauer des Produkts oder über mindestens fünf Jahre ermitteln, beheben und entsprechende Sicherheits-Updates bereitstellen
– Hersteller müssen ein Konformitätsbewertungsverfahren durchführen (lassen) und, sofern das Produkt mit digitalen Elementen den grundlegenden Cybersicherheitsanforderungen genügt, eine CE-Kennzeichnung anbringen
– Produkte mit digitalen Elementen, die mit einem höheren Cybersicherheitsrisiko behaftet sind – als „wichtige Produkte mit digitalen Elementen“ bezeichnet – unterliegen einem strengeren Konformitätsbewertungsverfahren; dies gilt etwa für Betriebssysteme, Passwort-Manager, VPN, Modems für die Internetanbindung, intelligente Türschlösser, Babyphones, Alarmanlagen und Wearables
– Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle dem zuständigen nationalen Computer-Notfallteam (Computer Security Incident Response Team – CSIRT) und der Agentur der Europäischen Union für Cybersicherheit (ENISA) über eine einheitliche Meldeplattform melden
– Der CRA enthält Ausnahmen und spezielle Regelungen für freie Software und Open Source Software
In der Ausgabe 11/2024 der Fachzeitschrift Recht Digital (RDi) ist der Artikel unseres Partners Stephan Schmidt zum Thema „Der Regierungsentwurf zur NIS-2-Richtlinie – Richtliniengetreue Umsetzung oder deutscher Sonderweg?“ erschienen. Der Aufsatz beleuchtet den kürzlich veröffentlichten Entwurf zur Umsetzung der EU-Richtlinie für Cybersicherheit in deutsches Recht, der mit dem geplanten „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ wesentliche Änderungen für Unternehmen und öffentliche Einrichtungen vorsieht. Der Regierungsentwurf zur Umsetzung der NIS-2-Richtlinie zielt wie diese darauf ab, die Sicherheitsstandards für Netz- und Informationssysteme in der gesamten Europäischen Union zu verbessern. Schmidt analysiert in seinem Artikel detailliert die verschiedenen Aspekte des Entwurfs und geht darauf ein, wie Deutschland beabsichtigt, die EU-Vorgaben umzusetzen.
Besonders interessant ist dabei die Frage, inwieweit der deutsche Gesetzgeber nationale Besonderheiten in die Umsetzung einfließen lässt und ob diese möglicherweise über die Anforderungen der NIS-2-Richtlinie hinausgehen. Schmidt erläutert die geplanten Maßnahmen der Bundesregierung und hebt hervor, dass der Entwurf nicht nur eine Wiedergabe des Richtlinientextes darstellt, sondern auch spezielle nationale Anpassungen enthält. Diese Anpassungen betreffen insbesondere den Anwendungsbereich und die Pflichten für betroffene Unternehmen, die zum Teil strenger gefasst sind als die in der EU-Richtlinie vorgesehenen Anforderungen. Zudem analysiert Schmidt, welche Bereiche des Gesetzesentwurfs noch Verbesserungen benötigen, um sicherzustellen, dass die Umsetzung den europäischen Vorgaben entspricht.
Der Beitrag ist auch über beck-online abrufbar (Paywall).
Gemäß Art. 20 Absätze 2 und 3 der Verordnung (EU) 2023/1804 über den Aufbau der Infrastruktur für alternative Kraftstoffe (AFIR) müssen Betreiber von öffentlich zugänglichen Ladepunkten (Charge Point Operator – CPO) ab dem 14. April 2025 neue Vorgaben in Bezug auf die Bereitstellung von Daten umsetzen.
Diese Anforderung hat den Hintergrund, dass die Datenbereitstellung von grundlegender Bedeutung dafür ist, dass die Ladeinfrastruktur ordnungsgemäß funktioniert. Gemäß Art. 20 Abs. 1 benennen die Mitgliedstaaten eine ID-Registrierungs-Organisation („IDRO“). Die IDRO vergibt und verwaltet bis zum 14. April 2025 individuelle Identifizierungscodes („ID“): Mithilfe dieses individuellen Identifizierungscodes können die Betreiber von Ladepunkten und E-Mobilitätsdienstleister identifiziert werden.
Die Betreiber von öffentlich zugänglichen Ladepunkten oder – gemäß den vertraglichen Vereinbarungen – deren Eigentümer haben dafür zu sorgen, dass statistische und dynamische Daten über die betriebene Ladeinfrastruktur oder die damit verbundenen Dienstleistungen kostenfrei zur Verfügung gestellt werden. Unter die statistischen Daten fallen insbesondere die geografische Lage der Ladepunkte, Anzahl der Anschlüsse, Kontaktdaten des Eigentümers und des Betreibers der Ladestation, Betriebszeiten, Stromart (AC/DC), maximale Ladeleistung (kW) der Ladestation bzw. des Ladepunkts sowie ID-Codes mindestens des Betreibers des Ladepunkts. Zu den dynamischen Daten zählen der Betriebszustand (betriebsbereit/außer Betrieb), die Verfügbarkeit (im Betrieb/nicht in Betrieb), der Ad-hoc-Preis und die Angabe, ob der Fahrstrom zu 100 % aus erneuerbaren Quellen geliefert wird (Ja/Nein).
Ferner hat jeder Betreiber bzw. – gemäß den getroffenen vertraglichen Vereinbarungen – der Eigentümer der Ladepunkte eine Anwendungsprogrammierschnittstelle (API) einzurichten, die einen freien und uneingeschränkten Zugang zu den vorgenannten Daten bietet, und den nationalen Zugangspunkten Informationen über diese API zu übermitteln.
Bis zum 31.12.2024 haben die Mitgliedstaaten sicherzustellen, dass diese Daten allen Nutzern, insbesondere E-Mobility Service-Providern (eMSP) und E-Mobility Usern, in offener und nichtdiskriminierender Weise zugänglich gemacht werden. Ziel dieser Vorgaben ist die Schaffung eines einheitlichen Rechtsrahmens und einheitlicher Standards in Bezug auf die Datenbereitstellung zur Nutzung der Elektromobilität, als eine von vielen Maßnahmen, um die Errichtung von Ladeinfrastruktur für Elektrofahrzeuge in Europa voranzubringen.
Diese neuen europarechtlichen Vorgaben sind bei der Gestaltung von Verträgen im Bereich der Erbringung von Betriebsleistungen des CPO bzw. eMSP umzusetzen.
Unsere Partnerin Dr. Truiken Heydn hat die neuen Kapitel zu Schiedsverfahren, IT-Litigation und typischen Streitpunkten in IT-Streitigkeiten in der neuen Auflage des Praxishandbuchs Softwarerecht von Marly verfasst, die heute erschienen ist. Das Praxishandbuch Softwarerecht gilt seit vielen Jahren als die „Bibel“ des Softwarerechts. Die Kapitel geben einen Überblick für alle Juristen, die mit einem gescheiterten IT-Projekt konfrontiert sind. Auch wer IT-Verträge verfasst und der Streitbeilegungsklausel die notwendige Aufmerksamkeit widmen will, findet dort eine Fülle an nützlichen und praktischen Informationen.
TCI Rechtsanwälte und Rechtsanwalt Stephan Schmidt wurden im aktuellen Kanzleimonitor 2024/25 des diruj Deutsches Institut für Rechtsabteilungen und Unternehmensjuristen für ihre Expertise im IT-Recht und Datenschutzrecht ausgezeichnet. TCI Rechtsanwälte konnte sich unter den führenden Kanzleien in beiden Rechtsgebieten platzieren. Rechtsanwalt Stephan Schmidt wurde als einer der führenden Anwälte sowohl im Bereich IT-Recht als auch im Datenschutzrecht gelistet.
Der Kanzleimonitor basiert auf einer umfassenden Befragung von Unternehmensjuristen und Rechtsabteilungen. Für die aktuelle Ausgabe 2024/2025 wurden 9.868 Empfehlungen aus 649 Unternehmen ausgewertet. Die Empfehlungen stammen ausschließlich von Unternehmensjuristen, die ihre Erfahrungen mit externen Rechtsberatern teilen. Durch dieses Konzept liefert der Kanzleimonitor einen wertvollen Überblick über die Mandatierungspraxis deutscher Unternehmen.
„Wir freuen uns sehr über diese erneute Auszeichnung“, kommentiert Stephan Schmidt. „Sie bestätigt unsere Arbeit und die langjährige Zusammenarbeit mit unseren Mandanten in den hochspezialisierten Rechtsgebieten IT-Recht und Datenschutz. Sie motiviert uns, unsere Mandanten auch weiterhin auf höchstem Niveau zu beraten.“
