TEIL 8 – Künstliche Intelligenz | Europäisches Parlament beschließt Gesetz über Künstliche Intelligenz (KI-Verordnung)

Nach langen Verhandlungen einigten sich die europäischen Gesetzgeber (das Europäische Parlament und der Europäische Rat) am 08. Dezember 2023 zunächst auf politischer Ebene auf das Gesetz über die Künstliche Intelligenz (KI-Verordnung). Über die Einigung und worum es bei dem Gesetz geht, haben wir in Teil 5 unserer KI-Reihe berichtet. Nun wurde die KI-Verordnung am 13. März 2024 von den Abgeordneten des Europäischen Parlamentes mit großer Mehrheit (523 zu 46 Stimmen bei 49 Enthaltungen) verabschiedet.

Wie geht es weiter?
Im nächsten Schritt muss die KI-Verordnung vom Europäischen Rat verabschiedet werden. Sie tritt 20 Tage nach Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die meisten Regelungen sind 24 Monate nach Inkrafttreten umzusetzen. Einige sind jedoch schon früher, andere später anwendbar: So greifen z.B. die Regelungen zu verbotenen Praktiken bereits nach 6 Monaten, während für die Verpflichtungen für Hochrisiko-Systeme eine Frist von 36 Monaten vorgesehen ist.

Was müssen Organisationen jetzt tun?
Organisationen müssen sich dringend damit auseinandersetzen, wie sie KI-Compliance sicherstellen. Dabei kann auf grundlegende Prinzipien des Compliance-Managements bzw. Erfahrungswerte mit anderen Gesetzen (z.B. DS-GVO) zurückgegriffen werden. Bestehende Compliance-Strukturen und Schnittstellen (z.B. zu IT, Informationssicherheit, Datenschutz) sollten dabei ebenfalls berücksichtigt werden.

Wie sieht KI-Compliance in der Praxis aus?
Dies ist individuell von der jeweiligen Organisation abhängig – z.B. wo und in welchem Bereich sie tätig ist, ihrer Größe, in welchem Umfang sie KI einsetzt und welches Risiko davon ausgeht. Folgendes ist dabei jedoch grundsätzlich wichtig:

Zunächst sollte die Leitungsebene ein Verständnis für KI schaffen, um einerseits für die Risiken zu sensibilisieren, aber andererseits auch möglichen Ängsten oder Vorbehalten zu begegnen.

Im nächsten Schritt bedarf es einer Analyse der KI-Verordnung in Bezug auf die Tätigkeitsbereiche der Organisation (Risiko-Analyse) und eine technische Bestandsaufnahme: Welche Systeme und Anwendungen gibt es in der Organisation? Bei welchen kommt KI zum Einsatz oder ist geplant? Handelt es sich dabei überhaupt um KI im Sinne der KI-Verordnung? Und wenn ja, welcher Risiko-Kategorie ist sie zuzuordnen? Welche Pflichten sind bei der jeweiligen Kategorie zu erfüllen? Ein Beispiel dazu aus den Use-Cases unseres letzten Blog-Beitrags, in dem wir den Einsatz von KI im Personalbereich – vor allem aus datenschutzrechtlicher Perspektive – näher betrachtet haben: KI-Systeme, die im Recruiting eingesetzt werden (z.B. zur Auswahl und Analyse von Bewerbungen) können Hochrisiko-Systeme darstellen, da ihre Bewertung erhebliche Auswirkungen auf die Karriereaussichten der betroffenen Personen haben. Erfüllen die Systeme die Voraussetzungen für Hochrisiko-Systeme, ist z.B. ein Risiko- und Qualitätsmanagement erforderlich, es sind diverse technische Anforderungen umzusetzen und strengere Dokumentationspflichten zu erfüllen. Bei Systemen, die für die Interaktion mit natürlichen Personen bestimmt sind (z.B. Chatbots), muss über den Einsatz von KI informiert werden (Stichwort: Transparenz), um einen weiteren Use-Case aufzugreifen.

Sobald diese Fragen geklärt wurden, sollten Verantwortlichkeiten und Zuständigkeiten definiert werden. Essenzieller Bestandteil der KI-Compliance sind entsprechende Regelungen, Prozesse sowie damit einhergehende Informationen und Schulungen. Schließlich muss die Dokumentation eine laufende Überprüfung und Anpassung des (KI-)Compliance-Managements ermöglichen.

Du fragst dich, wie du KI-Compliance in deiner Organisation sicherstellst? Der erste Schritt auf dem Weg dahin ist ein Gespräch mit uns – melde dich einfach per E-Mail an contact@morgenstern-legal.com und wir kommen auf Dich zu!

MORGENSTERN Rechtsanwaltsgesellschaft mbH erneut mit Legal 100 Award ausgezeichnet

Wir sind stolz darauf, dass die MORGENSTERN Rechtsanwaltsgesellschaft mbH erneut mit dem Legal 100 Award von Lawyer International ausgezeichnet wurde. Diese Auszeichnung würdigt weltweit führende Kanzleien und Einzelpersonen für ihre herausragenden Leistungen in bestimmten Rechtsgebieten und geografischen Regionen. Die erneute Anerkennung durch die Legal 100 Awards unterstreicht unser Engagement, unsere Qualität und unser Leistungsportfolio in unseren verschiedenen Fachbereichen.

Gerne möchten wir dir einen Einblick in einige unserer Fachgebiete geben und dir die Bedeutung der einzelnen Bereiche erläutern. Wir möchten dir damit einen Überblick geben und dir zeigen, wie wir dir helfen können.

1. IT-Recht:
In einer immer digitaler werdenden Welt gewinnt das IT-Recht zunehmend an Bedeutung. Unsere Expertinnen und Experten sind nicht nur mit den rechtlichen Herausforderungen der Informationstechnologie bestens vertraut, sondern auch darauf spezialisiert, innovative und maßgeschneiderte Lösungen zu entwickeln. Sie verstehen die Dynamik des digitalen Umfelds. Sie bieten umfassende Beratung, die über herkömmliche rechtliche Aspekte hinausgeht.

2. Datenschutzrecht:
In einer Zeit, in der Datenschutzbedenken zunehmen, ist das Datenschutzrecht umso wichtiger. Unsere Datenschutzexpertinnen und -experten arbeiten daran, sicherzustellen, dass Unternehmen nicht nur die geltenden Bestimmungen verstehen, sondern auch proaktiv Maßnahmen ergreifen, um die Sicherheit und Integrität personenbezogener Daten zu gewährleisten. Wir bieten umfassende Beratung, um Unternehmen bei der Erfüllung datenschutzrechtlicher Anforderungen und dem verantwortungsvollen Umgang mit sensiblen Informationen zu unterstützen.

3. Compliance:
Die Einhaltung gesetzlicher Vorschriften ist nicht nur rechtlich notwendig, sondern auch entscheidend für den nachhaltigen Geschäftserfolg. Unsere Compliance-Expertinnen und -Experten arbeiten an der Schnittstelle von Recht und Unternehmenspraxis und unterstützen Unternehmen dabei, ihre Prozesse und Praktiken in Übereinstimmung mit den höchsten rechtlichen Standards zu gestalten.

4. Vergaberecht:
Das Vergaberecht spielt eine wichtige Rolle bei öffentlichen Aufträgen und Ausschreibungen. Unsere Rechtsanwältinnen und -anwälte setzen sich dafür ein, dass unsere Mandantinnen und Mandaten in allen Aspekten des Vergabeprozesses gut beraten und vertreten sind.

Wie du siehst, umfasst unsere Fachexpertise verschiedene Bereiche und dabei haben wir das Urheberrecht, Medienrecht, Internetrecht oder Markenrecht noch gar nicht erwähnt. Wir helfen dir, den oder die passende*n Ansprechpartner*in für deine IT-Recht-Herausforderung zu finden. Besuche unsere Webseite und überzeuge dich von unserem breiten Leistungsspektrum und unserer individuellen Betreuung.

Wir sind bereit, deine rechtlichen Anliegen zu bearbeiten und dich bestmöglich zu unterstützen. Bist du es auch?

TEIL 7 – Künstliche Intelligenz | Personalbereich

In unserem letzten Beitrag sind wir darauf eingegangen, welche Gefahren KI für dein Unternehmen mit Blick auf den Schutz von Geschäftsgeheimnissen birgt. Dabei ging es unter anderem darum, welche Geschäftsgeheimnisse von Arbeitnehmenden bei der Nutzung von KI-Systemen möglicherweise offengelegt werden und welche Vorkehrungen erforderlich sind, um dies zu vermeiden. Apropos Arbeitnehmende: Was ist eigentlich beim Einsatz von KI-Systemen und KI-Komponenten im Personalbereich zu beachten, besonders beim Datenschutz? Darum geht es in diesem Beitrag.

Längst ist KI im Personalbereich angekommen: Entlang der gesamten HR-Wertschöpfungskette finden sich zahlreiche Produkte und Lösungen am Markt, die Entlastung von HR-Mitarbeitenden und Erfolg im hart umkämpften Wettbewerb um Fach- und Führungskräfte versprechen. Ob Chatbots, die Fragen zu ausgeschriebenen Stellen und zum Unternehmen beantworten, Tools zur Auswahl und Analyse von Bewerbungen, Gamification bei Bewerbungsverfahren und Personalentwicklung, Analyse-Tools oder administrative Unterstützung – die Möglichkeiten scheinen so vielfältig wie nie zuvor.

Aber ist das überhaupt alles erlaubt? Und wie verhält es sich dabei mit dem Datenschutz?

Zunächst ist dringend zu empfehlen, die relevanten Compliance-Risiken vor dem Einsatz von KI-Systemen und KI-Komponenten zu identifizieren und während des gesamten Lebenszyklus zu berücksichtigen. Dies umfasst nicht nur den Datenschutz, sondern auch Themen wie Informationssicherheit, Urheberrecht oder Geheimnisschutz. Kommt dir bekannt vor? Davon handelten die letzten Beiträge unserer KI-Reihe (die du übrigens in unserem Blog nachlesen kannst). Außerdem musst du besonders bei KI-Lösungen im Personalbereich darauf achten, den Betriebsrat mit einzubeziehen.

Aus datenschutzrechtlicher Sicht bedarf es grundsätzlich einer Rechtsgrundlage, um personenbezogene Daten verarbeiten zu dürfen. Im Personalbereich werden personenbezogene Daten von Bewerberinnen und Bewerbern sowie Arbeitnehmenden verarbeitet, also finden die Regelungen des Beschäftigtendatenschutzes Anwendung. Bei der Prüfung der einschlägigen Rechtsgrundlage ist jedoch Vorsicht geboten: Zum einen besteht seit einem Urteil des EuGH im letzten Jahr eine gewisse Rechtsunsicherheit, welche Rechtsgrundlage im Beschäftigtendatenschutz jeweils Anwendung findet (ausführlich dazu im Beitrag „Prognosen und Trends im Datenschutz“ der MORGENSTERN consecom GmbH), zum anderen scheidet die Einwilligung in der Regel mangels echter Freiwilligkeit aus. Der Gesetzgeber arbeitet derzeit an einer Neuregelung des Beschäftigtendatenschutzes, darüber halten wir dich in unserem Newsletter und über unseren Blog auf dem Laufenden.

Nicht nur die Rechtsgrundlage ist zu prüfen, auch die weiteren Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DS-GVO sind umzusetzen. So spielt zum Beispiel der Grundsatz der Transparenz beim Einsatz von KI eine wichtige Rolle. Das bedeutet, dass gegenüber Bewerberinnen und Bewerbern sowie Arbeitnehmenden unter anderem die Informationspflichten gemäß Art. 13, 14 DS-GVO erfüllt werden müssen. Insbesondere beim Bewerbungsverfahren ist das Recht auf eine nicht-automatisierte Entscheidung im Sinne des Art. 22 Abs. 1 DS-GVO zu beachten. Schon beim Design von KI-Systemen oder KI-Komponenten sind datenschutzfreundliche Technikgestaltung und Voreinstellungen im Sinne des Art. 25 DS-GVO zu gewährleisten. Bei hohem Risiko für die Rechte und Freiheiten der betroffenen Personen ist vor dem Einsatz der KI-Systeme und KI-Komponenten möglicherweise eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erforderlich. Schließlich muss die Umsetzung der gesetzlichen Anforderungen aus Gründen der Nachweisbarkeit (Stichwort: Rechenschaftspflicht) dokumentiert werden.

Der Datenschutz ist jedoch nicht nur wegen der Compliance so wichtig: Nur wenn die Daten der Bewerber*innen und Arbeitnehmenden geschützt sind, werden diese sich auf KI-Anwendungen einlassen und nur dann können diese ihren Nutzen voll entfalten. Insofern schafft Datenschutz Vertrauen – nicht nur in die eingesetzten KI-Systeme, sondern auch in den (potenziellen) Arbeitgeber.

Du möchtest die Möglichkeiten nutzen, die KI im Personalbereich oder an anderer Stelle im Unternehmen bietet? Wir unterstützen dich gerne dabei. Komm einfach auf uns zu!

Wann dürfen öffentliche Aufträge nachträglich geändert werden?

(EuGH, 07.12.2023 – C-441/22, C-443/22)

Unter welchen Voraussetzungen öffentlich vergebene Aufträge nachträglich geändert werden dürfen, stellt öffentliche Auftraggeber seit jeher vor Herausforderungen.

Während Verträge normalerweise aufgrund der Privatautonomie der Vertragsparteien ohne Weiteres nachträglich geändert werden dürfen, ist dies bei öffentlichen Aufträgen nur möglich, wenn bestimmte Bedingungen eingehalten werden. Dies liegt darin begründet, dass öffentliche Aufträge normalerweise in einem Vergabeverfahren vergeben werden. Dasselbe soll gelten, wenn es sich um wesentliche Vertragsänderungen handelt. Andernfalls würden potenzielle öffentliche Aufträge dem Wettbewerb entzogen.

Daher gilt der Grundsatz, dass „wesentliche“ Vertragsänderungen in einem neuen Vergabeverfahren vergeben werden müssen (§ 132 Abs. 1 S.1 GWB). Wesentlich sind Vertragsänderungen etwa, wenn es sich um eine deutliche Erhöhung des ursprünglichen Auftragswerts handelt (bspw. wenn der EU-Schwellenwert überschritten wird), oder wenn das ursprüngliche Vergabeverfahren bei Geltung der Änderung einen anderen Ausgang gehabt hätte.

Der Europäische Gerichtshof (EuGH) hatte sich jüngst mit der Frage zu beschäftigen, ob eine Vertragsänderung in diesem Sinne voraussetzt, dass die Änderung schriftlich zwischen den Parteien vereinbart wurde. In dem zu entscheidenden Fall hatten die Parteien die Vertragsänderung lediglich mündlich vereinbart. Der EuGH entschied, dass keine schriftlich fixierte Vereinbarung erforderlich ist, um von einer Vertragsänderung im Sinne des Vergaberechts auszugehen (EuGH, 07.12.2023 – C-441/22, C-443/22). Er begründete dies damit, dass andernfalls die Regelungen über nachträgliche Auftragsänderungen von den Parteien leicht umgangen werden könnten, indem sie diese Änderungen lediglich mündlich vereinbarten.

Von dem Grundsatz, dass wesentliche Auftragsänderungen ein neues Vergabeverfahren erfordern, gibt es gesetzlich definierte Ausnahmen. Dies liegt darin begründet, dass öffentlichen Auftraggebern ein gewisses Maß an Flexibilität zustehen soll, auf nachträgliche Änderungen zu reagieren.

Eine dieser Ausnahmen liegt vor, wenn unvorhersehbare Umstände eine Vertragsänderung erforderlich machen (§ 132 Abs. 2 S. 1 Nr. 3 GWB). Unvorhersehbare Umstände sind externe Umstände, die auch bei einer nach vernünftigem Ermessen sorgfältigen Vorbereitung der ursprünglichen Zuschlagserteilung durch den öffentlichen Auftraggeber nicht hätten vorausgesagt werden können.

Der EuGH hatte zuletzt die Fragen zu beurteilen, ob auch gewöhnliche Wetterereignisse oder ein bereits vor Vertragsschluss bekanntes gesetzliches Verbot unvorhersehbare Umstände im Sinne des Vergaberechts darstellen. Er verneinte beide Fragen (EuGH, 07.12.2023 – C-441/22, C-443/22). Gewöhnliche Wetterereignisse sind keine unvorhersehbaren Umstände, da der Ausnahmecharakter der Vorschrift erfordert, dass es sich um außergewöhnliche Ereignisse, wie etwa Naturkatastrophen handelt. Weitere Beispiele wären etwa die Corona-Pandemie oder eine Finanzkrise.

Gesetzliche Verbote können zwar grundsätzlich ein unvorhersehbarer Umstand sein. In dem zu entscheidenden Fall war jedoch bereits vor Vertragsschluss bekannt, dass das Verbot nach Vertragsschluss in Kraft treten würde. Daher war das Verbot nicht unvorhersehbar.

Weitere Ausnahmetatbestände können bspw. dann gegeben sein, wenn der Auftragnehmer ausgetauscht wird, es sich dabei jedoch um eine rein interne Umstrukturierung handelt, etwa bei einem Wechsel der Gesellschafter-Anteile an einer GmbH.

Zusammenfassend lässt sich feststellen, dass die Frage der nachträglichen Änderung von öffentlichen Aufträgen ein komplexes und rechtlich anspruchsvolles Thema ist. Bei Fragen zum Thema „Auftragsvergabe im öffentlichen Sektor“ stehen wir gerne zur Verfügung. Ausführliche Informationen und Kontaktdaten finden du auf unserer Webseite.

 

Prognosen und Trends 2024: IT-Sicherheitsrecht | Teil II

Den zunehmenden Bedrohungen der Informations- und IT-Sicherheit für Staat, Wirtschaft und Gesellschaft tragen auch die Rechtsentwicklungen im IT-Sicherheitsbereich auf EU-Ebene Rechnung.

Kern der Regulierung bilden dabei die NIS2-Richtlinie und der Cyber Resilience Act.

Die NIS2-Richtlinie baut auf der bestehenden KRITIS-Gesetzesstruktur auf und erweitert den Anwendungsbereich der KRITIS um weitere Sektoren. Bis Oktober 2024 muss der deutsche Gesetzgeber die Richtlinie umsetzen.

Was wird neu geregelt?

Die Anzahl der betroffenen Sektoren steigt. Betroffen sind nunmehr insgesamt 18 Sektoren, die sich wiederum in „kritische“ und „wichtige“ Sektoren untergliedern werden.

Eingeführt wird außerdem die Size-Cap-Regel, wonach Unternehmen mit mehr als 50 Beschäftigten oder einem Umsatz von mehr als 10 Mio. EUR die Richtlinie umsetzen müssen. Im aktuellen Referentenentwurf des NIS2UmsuCG (das Umsetzungsgesetz zur NIS2-Richtlinie) werden sogar weitergehende Anforderungen definiert.

Mit dieser Erweiterung müssen betroffene Organisationen in Zukunft auch weitreichendere Melde- und Informationsverpflichtungen erfüllen, die aufgrund der Stärkung der Kontroll- und Aufsichtsbefugnisse besser kontrolliert werden können.

Der Cyber Resilience Act (kurz: CRA) wird als Verordnung wohl noch in diesem Jahr in Kraft treten. Hiernach haben Unternehmen, die Produkte mit digitalen Elementen herstellen, künftig umfassende Organisations- und Produktcomplianceverpflichtungen einzuhalten, sofern sie diese Produkte auf dem EU-Markt anbieten oder derartige Produkte als White-Label-Produkte auf den EU-Markt importieren.

Was wird neu geregelt?

Hersteller von Produkten mit digitalen Elementen werden künftig verpflichtet, Cybersicherheitsrisiken, die von den Produkten ausgehen, proaktiv zu minimieren und bestehende Sicherheitslücken zu schließen und zu melden.

Das betrifft den gesamten Produktionsprozess einschließlich der Produktentwicklung und der Produktüberwachung. Maßnahmen wie vorgelagerte Risikobewertungen, technische Sicherheitsdokumentationen und Konformitätsbewertungsverfahren werden künftig verpflichtend. Unternehmen müssen bei Produkten, die erkannte Schwachstellen aufweisen, Updates einspielen und bei Bedarf Rücknahme- und Rückrufprozesse etablieren.

Was ist zu tun?

Die neuen rechtlichen Entwicklungen nehmen verstärkt Branchen und Produkte in den Fokus, die aufgrund ihrer Relevanz für Wirtschaft und Gesellschaft mehr IT-Sicherheitsverantwortung tragen sollen. Cyber- und Informationssicherheit sind damit mehr denn je Themen, mit denen sich Entscheider*innen konkret befassen sollten.

Organisationen sollten im ersten Schritt analysieren, inwieweit sie von den neuen Rechtsakten betroffen sind und im Fall der Betroffenheit je nach Gesetz genau prüfen, welche neuen Handlungsverpflichtungen umzusetzen sind. Ganz allgemein ist zu empfehlen, dass sich betroffene Organisationen verstärkt und vor allem rechtzeitig mit dem Aufbau von Informationssicherheits-Management-Systemen (ISMS) befassen sollten. Hier ist übrigens damit zu rechnen, dass aufgrund der breiteren Betroffenheit der Unternehmen IT-und Informationssicherheit in Zukunft auch in der sonstigen Lieferkette relevant werden. Daher ist zu empfehlen, dass auch Unternehmen, die nicht direkt unter die neue Cyberregulierung fallen, ihre IT-Sicherheitskonzepte und Management-Systeme professionalisieren.

Du hast noch nicht genug von Trends und Prognosen, dann empfehlen wir dir unseren Beitrag Prognosen und Trends 2024: IT-Recht | Teil I.

Oder schau doch mal bei unserem Partner MORGESNTERN consecom GmbH vorbei, dort empfehlen wir diese Beiträge: