Europäische Regulierungen

Neue Regeln aus Brüssel: Auf Sachsens Softwareschmiede wartet pralles Arbeitspaket

KI-Gesetz, Product Liability Directive und deutsches Lieferkettengesetz, Data Act, Fachkräfte-Einwanderungsgesetz, Cyber Resilience Act… Zahlreiche Richtlinien, Dokumentationsvorgaben und Gesetze aus Brüssel und Berlin überlappen sich teilweise und stellen gerade stark international operierende Software-Unternehmen in Sachsen vor wachsende Herausforderungen.

Vor allem am EU AI Act hatten sich zuletzt die Geister entzweit: Während die Einen darin Überrregulierung und eine Innovationsbremse für den Einsatz „Künstlicher Intelligenz“ (KI) in Europa wittern, sehen andere hier für europäische Softwareschmieden eine Chance, gleiche Wettbewerbsbedingungen („Level playing field“) zu schaffen und den Abstand der großen Hyperscaler aus den USA und China ein Stück weit einzuholen.

„Hinter dem AI Act steht die Idee, ein Level playing field zumindest in Europa zu schaffen, so dass das Start-up aus Sachsen dieselben Chancen hat wie ein Softwareunternehmen in Polen oder Litauen“, meint Geschäftsführer Daniel Abbou vom KI-Bundesverband. Die Erfahrung zeige allerdings, dass Deutschland ganz besonders „regulierungsoffen“ sei. Sprich: „Es bleibt abzuwarten, wie Deutschland im Vergleich zu anderen EU-Staaten den AI Act implementieren wird.“ So dürfe sich die besonders strikte Auslegung der Datenschutz-Grundverordnung durch Deutschland beim KI-Gesetz nicht wiederholen – „sonst drohen Abwanderungsbewegungen“.

Auch Amerikaner und Chinesen planen KI-Regelwerke

Allerdings liegt außerhalb der EU auch nicht durchweg regelfreies Terrain für KI: „Die EU spielt bei der Regulierung von KI durchaus eine Vorreiterrolle, ist aber natürlich nicht allein“, erläutert Innovationsdirektor Christoph Kögler von Infineon Dresden. „Auch die USA und China arbeiten an eigenen Regulierungsvorschriften für diese Technologie.“

Denn in vielen Ländern hat sich angesichts der neu entflammten öffentlichen Debatten um Chancen und Risiken von KI eine Erkenntnis verfestigt: „Ohne Richtlinien geht es nicht“, argumentiert Technikdirektor Frank Schönefeld von der Telekom MMS in Dresden mit Blick auf den rasant wachsenden KI-Einsatz in der Software-Branche. Dies hätten große Akteure wie die Telekom oder SAP schon vor Jahren erkannt und daher eigene „Regel-Sets für den Umgang mit KI“ formuliert, damals noch unternehmensintern. Allerdings dürften die Politiker bei der KI-Regulierung nicht das rechte Maß verfehlen: „Die Gefahr, dass zu viele und strikte Regeln das Innovationsgeschehen lähmen, ist nicht von der Hand zu weisen.“

„Für die neue EU-Kommission sollte die Umsetzung bestehender Digitalgesetze Vorrang vor neuen regulatorischen Großprojekten haben“, fordert angesichts der zahlreichen neuen Regeln nun Software-Bereichsleiter Frank Termer vom deutschen Digitalverband „Bitkom“: Dabei gelte es zunächst vor allem, „Rechtssicherheit für Unternehmen zu gewährleisten und die Praxistauglichkeit des neuen Rechtsrahmens sicherzustellen. Mögliche neue Gesetzesinitiativen sollten insbesondere die zentrale Bedeutung des Open Source Ökosystems für Innovationsprojekte berücksichtigen.“

Auch Christoph Kögler von Infineon warnt: „Regulierung ist grundsätzlich eine gute Sache, wenn sie für einen klaren Rechtsrahmen und gleiche Wettbewerbsbedingungen sorgt. Die Kehrseite der Medaille können aber bürokratische Hürden und unnötige Einschränkungen sein.“

Hauptstadtbüroleiter Patrick Häuser vom Bundesverband IT-Mittelstand (siehe Interview) geht noch einen Schritt weiter: Die mittelständische Digitalwirtschaft sehe „sich aktuell mit einer Vielzahl von neuen Regelungen konfrontiert, die zunehmend zu einem Innovationshemmnis werden“, sagt er und warnt: „Viele kleine und mittelständische Unternehmen sind inzwischen an der Grenze der Belastbarkeit durch immer neue Vorgaben angelangt.“

Die praktischen Auswirkungen für Software-KMU

Gerade die KMU in der Branche werden sich auf die jüngsten Richtlinien aus Brüssel, das daraus erwachsende nationale Recht und nicht zuletzt dann auch die entstehende Rechtsprechung erst einmal einstellen müssen. Denn obgleich beispielsweise der AI Act aus Brüssel vor allem auf die Hyperscaler zielt: In eine der neuen Hochrisiko-Klassen für den KI-Einsatz rutscht auch ein kleiner sächsischer Softwarebetrieb ganz schnell hinein, warnt Daniel Abbou vom KI-Bundesverband: „Wer zum Beispiel an KI-Software für biometrische ID-Systemen, Bildungszwecke, kritische Infrastrukturen oder Personalmanagement mitarbeitet, muss mit hohen Kosten rechnen.“ Zudem müssten auch die Software-KMUs die EU-Pläne im Auge behalten, einen „AI Reliable Act“ zu verabschieden, der auch ganz konkrete unternehmerische Haftungen für KI-Fehler vorsehen soll.

Zeit, sich dabei auch noch an den großen internationalen Standardisierungs-Verfahren, die in ein paar Jahren auch die Arbeit der deutschen Softwareschmieden nachhaltig beeinflussen werden, bleibt darüber kaum. „In diesen Gremien sitzen vor allem die großen Akteure der Branche, die Hyperscaler“, betont Abbou. „Das allermeisten Startups in Sachsen haben gar nicht die Ressourcen, um dafür jemanden abzustellen.“

„Die Softwarebranche ist insbesondere von den Anforderungen im AI Act und im Cyber Resilience Act betroffen“, schätzt derweil Frank Termer vom „Bitkom“ ein. „Eine besondere Herausforderung wird der Marktzugang werden, da zum einen notwendige Standards geschrieben werden müssen und zum anderen Software-Produkte bisher nur in Einzelfällen – zum Beispiel Medizinprodukte – einer Konformitätsprüfung nach dem New Legislative Framework unterzogen wurden. Außerdem finden sich Software-Produkte im nun erweiterten Anwendungsbereich der überarbeiteten Product Liability Directive. Das damit einhergehende erhöhte Haftungsrisiko für Software-Entwickler kann neben steigenden Preisen für Software auch erhebliche Folgen für Europas Rolle als Innovations-Standort haben.“

Diese neuen Regeln können sich auch auf die Geschäftsmodelle von Softwareschmieden auswirken und zusätzliche Kosten verursachen. „Das liegt zum Beispiel daran, dass eine sorgfältigere Überwachung und Aktualisierung von Softwareprodukten notwendig ist, um Haftungsrisiken zu minimieren“, erklärt der Bitkom-Experte. „Zudem müssen Softwareunternehmen Mittel bereitstellen, um den gestiegenen Anforderungen gerecht zu werden – das ist insbesondere für kleinere und mittelständische Unternehmen, aber auch für Startups eine Herausforderung.“

Überblick über aktuelle Regulierungen (Auswahl):

EU AI Act

Soll die Sicherheit und Ethik von KI-Systemen gewährleisten und definiert 4 Risikoklassen. Dazu gehören verbotene KI-Systeme (u.a. etwa „Social Scoring“ wie in China oder Emotionserkennung am Arbeitsplatz), Hochrisiko-KI-Systeme (u.a. Gesichtserkennung oder die Bewertung der Kreditwürdigkeit, große Basismodelle), Regelungspflichtige KI-Systeme (z. B. Personalisierung von Werbung oder zur Steuerung von Maschinen) und KI-Systeme mit minimalem Risiko.

👉 Weitere Informationen zu EU KI-Verordnung 

👉 KI-Observatorium

👉 Podcast „Hallo Zukunft“ zum EU AI Act

Termine und Fristen: 20 Tage nach der Veröffentlichung im Amtsblatt der EU (voraussichtlich im Sommer 2024) tritt das KI-Gesetz in Kraft, wobei viele Reglungen erst nach zwei Jahren wirken. Die Verbote und Anforderungen für verbotene KI-Systeme treten schon nach sechs Monaten in Kraft. Die Anforderungen für Hochrisikosysteme gelten erst nach drei Jahren.

Cyber Resilience Act (CRA)

Hersteller müssen ihre Produkte nach einem risikobasierten Verfahren bewerten und sicherstellen, dass sie den Anforderungen des CRA entsprechen. Konforme Produkte werden mit einer CE-Kennzeichnung versehen. Hersteller müssen Schwachstellen in ihren Produkten unverzüglich an die EU-Cybersicherheitsbehörde ENISA melden und für ihre Produkte mindestens fünf Jahre lang Sicherheitsupdates bereitstellen.

👉 Weitere Informationen

Termine und Fristen: Der CRA tritt voraussichtlich in der ersten Jahreshälfte 2024 in Kraft. Danach haben die Unternehmen 36 Monate Zeit, alle Vorgaben zu erfüllen.

Deutsches Fachkräfteeinwanderungsgesetz

Die jüngste Novelle des FachKrEG erleichtert die Einwanderung nichtakademischer Fachkräfte aus Nicht-EU-Staaten. Die Mindestgehaltssgrenze für die Einwanderung mit der „Blauen Karte EU“ sinkt von 56.400 auf 43.992 Euro pro Jahr. Die Anerkennung von Berufsabschlüssen aus Nicht-EU-Staaten wurde vereinfacht. Wer mindestens zwei Jahre Berufserfahrung und einen im Herkunftsland staatlich anerkannten Berufsabschluss hat, kann als Arbeitskraft einwandern. Der Berufsabschluss muss künftig nicht mehr in Deutschland anerkannt sein.

👉 Zum Gesetzestext

Termine und Fristen: Die erste Stufe der neuen Regelungen für die Fachkräfteeinwanderung ist bereits im November 2023 in Kraft getreten. Dazu gehören Blaue Karte, die neuen Regelungen für die Aufenthaltserlaubnisse für Fachkräfte mit Berufsausbildung und Fachkräfte mit akademischer Ausbildung. Seit 1. März 2024: Berufserfahrenenregelung wird auf alle Berufe ausgeweitet

Digital Services Act (DSA)

Der DSA regelt die Haftung von Online-Plattformen und -Intermediären. Er zielt darauf ab, illegale Inhalte und Desinformationen im Internet zu bekämpfen und gleichzeitig die Meinungsfreiheit zu schützen. Der DSA wird die Art und Weise beeinflussen, wie Softwareunternehmen ihre Dienste online anbieten und sie dazu verpflichten, mehr Verantwortung für die Inhalte auf ihren Plattformen zu übernehmen.

Digital Markets Act (DMA)

Der DMA zielt darauf ab, große Online-Plattformen zu regulieren und faire Wettbewerbsbedingungen im digitalen Markt zu schaffen. Er verbietet bestimmten Unternehmen, ihre Marktmacht zu missbrauchen, und fördert den Wettbewerb durch neue Marktregeln. Der DMA wird die Geschäftsmodelle großer Softwareunternehmen beeinflussen und sie dazu verpflichten, ihre Plattformen für Konkurrenten zu öffnen.

Data Act

Der Data Act regelt die Nutzung und Weitergabe von Daten. Er zielt darauf ab, den Zugang zu Daten zu verbessern und die Kontrolle über die eigenen Daten für die Nutzer zu stärken. Der Data Act wird die Art und Weise beeinflussen, wie Softwareunternehmen Daten sammeln und verwenden, und sie dazu verpflichten, den Nutzern mehr Transparenz und Kontrolle über ihre Daten zu geben.

_ _ _ _ _

Autor

Heiko Weckbrodt, unterstützt von Google-Gemini (kontrolliert)
hweckbrodt@gmail.com

_ _ _ _ _

Dieser Beitrag ist exklusiv für die NEXT „Im Fokus: Software” verfasst worden.

👉 Zur Gesamtausgabe des Heftes