Blog

Software Bill of Materials (SBOM)

Eine SBOM ist ein maschinenlesbares Dokument und entspricht einer elektronischen Stückliste. Es inventarisiert eine Codebasis und enthält somit Informationen über alle verwendeten Komponenten einer Software. Diese Informationen können in unterschiedlicher Breite und Tiefe dargestellt werden und von einer groben Struktur bis zu einer detaillierten Aufschlüsselung von Produkten und Softwarekomponenten reichen. Entsprechende Vorgaben sind in der Technischen Richtlinie TR-03183 des BSI enthalten.

Software Bill of Materials (SBOM) weiterlesen

AI-Act: Der nächste Schritt ist getan (Juni 2023)

Das Europäische Parlament hat den nächsten großen Schritt zur Regulierung der Nutzung von Künstlicher Intelligenz (KI) in Europa gemacht. Das kürzlich verabschiedete KI-Gesetz (AI-Act, auch KI-Verordnung genannt, hier schon etwas ausführlicher vorgestellt) ist das weltweit Erste seiner Art und schafft einen umfassenden Rechtsrahmen für KI-Anwendungen.

AI-Act: Der nächste Schritt ist getan (Juni 2023) weiterlesen

EUGH formuliert erste Anforderungen beim behördlichen Einsatz von KI zur öffentlichen Sicherheit

Im Kontext der Richtlinie über die Verarbeitung von Fluggastdaten (PNR-RL bzw. Richtlinie (EU) 2016/681) konnte sich der EuGH erstmals zu den grundrechtlichen Voraussetzungen des Einsatzes von KI durch eine Behörde äußern.

In diesem Zusammenhang warnt der Europäische Gerichtshof (EuGH) davor, dass die Art und Weise, wie künstliche Intelligenz (KI) funktioniert, oft nicht nachvollziehbar ist. Dies kann es schwierig machen, festzustellen, warum ein KI-Programm bestimmte Ergebnisse liefert. In solchen Fällen könnte der Einsatz von KI die Möglichkeit einer Person einschränken, einen wirksamen Rechtsbehelf nach Artikel 47 der Charta einzulegen, insbesondere um geltend zu machen, dass die Ergebnisse nicht diskriminierend sind. Dies steht im Zusammenhang mit der Gewährleistung eines hohen Schutzniveaus gemäß der PNR-Richtlinie.

Die Behörden müssen daher sicherstellen, dass der Einsatz von KI sowohl automatisch als auch individuell überprüft wird und rechtmäßig und insbesondere nicht diskriminierend ist. Bei KI-Anwendungen, die selbst bei wenigen Fehlern erhebliche Auswirkungen auf die betroffene Person haben können, ist eine manuelle Überprüfung der Ergebnisse unerlässlich.

EUGH formuliert erste Anforderungen beim behördlichen Einsatz von KI zur öffentlichen Sicherheit weiterlesen

KI-Verordnung: EU reguliert Einsatz künstlicher Intelligenz

KI-Verordnung (KI-VO, auch AI-Act): Die EU möchte Entwicklung und Einsatz künstlicher Intelligenz regulieren. Hierzu liegt inzwischen ein Vorschlag für eine Verordnung über ein europäisches Konzept für Künstliche Intelligenz vor, wobei aus meiner Sicht zuvorderst besonders spannend die Frage sein dürfte, was man überhaupt unter künstlicher Intelligenz verstehen möchte.

Im Übrigen ist es noch recht früh für eine umfassende Übersicht der KI-Verordnung. Wichtig ist: Es soll einen Katalog absolut verbotener Einsatz-Szenarien von KI geben, es soll eine „High-Risk“-KI geben, für die besondere Vorgaben gelten; darüber hinaus gibt es Transparenzpflichten bei eingesetzter KI.

Update zum Stand der KI-Verordnung: Am 19.10.2022 hat die (tschechische) EU-Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen, Ziel ist gegen Ende des Jahres 2022 eine Einigung für ein „KI-Gesetz“ zu finden. In dem 8. Vorschlag werden wesentliche Streitpunkte aufgegriffen. Am 11.5. wurde dann ein Kompromissvorschlag gefunden und beschlossen (der aber noch durch die weitere Gesetzgebung muss). Mehr dazu unten im Abschnitt „laufende Updates“.

Hinweis: Hier geht es um den Entwurf einer Verordnung zur Regulierung von KI („KI-Verordnung“, auch „AI Act“). Dies ist nicht zu verwechseln mit dem zugleich laufenden Versuch der EU, zivilrechtliche Haftungsregelung für künstliche Intelligenz aufzustellen, dazu siehe beispielsweise den zwischenzeitlich beschlossenen Text hier.

KI-Verordnung: EU reguliert Einsatz künstlicher Intelligenz weiterlesen

EU regelt Kryptomarkt: MiCA & Transfer von Kryptowährungen

Die EU hat einen wesentlichen Schritt getan zur Regulierung von Kryptowährungen. Entgegen vorschnellen Berichten geht es dabei gerade nicht um das Verbot anonymer Zahlungen, sondern um die Etablierung eines seriösen Kryptomarktes. Auch wenn kurzfristig die Kryptowerte im Schnitt danach wiedermal eingesackt sind, dürfte mittelfristig eine Stabilisierung zu erhoffen sein.

EU regelt Kryptomarkt: MiCA & Transfer von Kryptowährungen weiterlesen

Predictive Policing: Automatisierte Datenanalyse und Informationelle Selbstbestimmung

Die Zukunft der Kriminalitätsbekämpfung liegt wahrscheinlich in einem Wandel von der reinen Reaktion hin zur Prävention. Technisch möglich wird dieser Wandel durch die Kombination zweier technologischer Entwicklungen: Auf der einen Seite eine eklatante Anhäufung von Daten („Big Data“) und auf der anderen Seite die zunehmende Möglichkeit, durch bestimmte Formen künstlicher Intelligenz diese Daten nicht nur auszuwerten, sondern daraus auch brauchbare statistische Vorhersagen zu gewinnen. Dies ermöglicht zumindest theoretisch die Vorhersage des Auftretens von Straftaten, das sogenannte Predictive Policing.

Das Bundesverfassungsgericht hatte nun erstmals Gelegenheit, sich zu diesem Thema zu äußern. Die Entscheidung dürfte für Jahrzehnte richtungsweisend sein. Sie beginnt wenig überraschend mit der Klarstellung, dass, wenn gespeicherte Datenbestände mittels einer automatisierten Anwendung zur Analyse oder Auswertung von Daten verarbeitet werden, dies einen Eingriff in die informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) all derjenigen darstellt, deren Daten bei diesem Vorgang personenbezogen verwendet werden (1 BvR 1547/19 und 1 BvR 2634/20). Betroffen sind also nicht nur die Personen, die am Ende der Auswertung möglicherweise Gegenstand von (weiteren) Ermittlungsmaßnahmen sind.

Ebenso hat das Bundesverfassungsgericht ausdrücklich klargestellt, dass dann, wenn die entsprechende automatisierte Datenanalyse oder -auswertung einen schwerwiegenden Eingriff in das informationelle Selbstbestimmungsrecht ermöglicht, dieser nur unter den engen Voraussetzungen gerechtfertigt werden kann, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten. Das heißt: nur zum Schutz besonders gewichtiger Rechtsgüter, sofern für diese eine zumindest hinreichend konkrete Gefahr besteht.

Auf das Erfordernis einer zumindest hinreichend konkretisierten Gefahr für besonders wichtige Rechtsgüter kann aus verfassungsrechtlicher Sicht nur dann verzichtet werden, wenn die zulässigen Analyse- und Auswertungsmöglichkeiten durch Regelungen insbesondere zur Begrenzung von Art und Umfang der Daten und zur Beschränkung der Datenverarbeitungsmethoden normenklar und hinreichend bestimmt so eng begrenzt werden, dass das Eingriffsgewicht der Maßnahmen erheblich reduziert wird. Dabei hat das BVerfG sogar einen Kriterienkatalog für die jeweilige Abwägung gleich mitgeliefert, der äußerst umfangreich ist, zugleich aber eine formelhafte Betrachtung im Keim unterbindet.

Predictive Policing: Automatisierte Datenanalyse und Informationelle Selbstbestimmung weiterlesen

Nach Ansicht des Gerichtshofs erfordert die Achtung der Grundrechte eine Beschränkung der in der PNR-Richtlinie vorgesehenen Befugnisse auf das absolut Notwendige

Besteht keine reale und aktuelle oder vorhersehbare terroristische Bedrohung eines Mitgliedstaats, steht das
Unionsrecht nationalen Rechtsvorschriften entgegen, die eine Übermittlung und Verarbeitung von PNR-Daten
bei EU-Flügen sowie bei Beförderungen mit anderen Mitteln innerhalb der Union vorsehen, so der EUGH (C-817/19).

Die PNR-Richtlinie schreibt zur Bekämpfung von Terrorismus und schwerer Kriminalität die systematische Verarbeitung einer großen Zahl von PNR-Daten (Passager Name Record) der Fluggäste von Flügen zwischen der Union und Drittstaaten (Drittstaatsflüge) bei der Einreise in die bzw. der Ausreise aus der Union vor. Darüber hinaus können die Mitgliedstaaten diese Richtlinie nach ihrem Art. 2 auch auf Flüge innerhalb der Union (EU-Flüge) anwenden.

Hinweis: Die Entscheidung ist ein Meilenstein in der Bewertung der Zulässigkeit von KI-Lösungen speziell mit Blick auf Ethik und Diskriminierung!

Nach Ansicht des Gerichtshofs erfordert die Achtung der Grundrechte eine Beschränkung der in der PNR-Richtlinie vorgesehenen Befugnisse auf das absolut Notwendige weiterlesen

Strafbarkeit des Betreibens krimineller Darknet-Plattform

Das Betreiben krimineller Plattformen im Internet, auf denen illegale Güter und Dienstleistungen vermarktet werden, ist inzwischen mit dem neu geschaffenen §127 StGB eine Straftat. Der Bundesgerichtshof konnte in der wohl nun ersten Entscheidung zum schlichten Betrieb einer solchen Plattform (also ohne eigene aktive Händlertätigkeit) klarstellen, dass die in §127 StGB vorgesehene Strafbarkeit jedenfalls bei stattfindenden Drogengeschäften unbedeutend sein wird.

Und dass der Betrieb solcher Plattformen ruinös ist.

Strafbarkeit des Betreibens krimineller Darknet-Plattform weiterlesen

NIS2-Richtlinie

Es ist so weit: Die NIS2-Richtlinie wird endlich kommen. Schon Ende des Jahres 2020 hatte man erkannt, dass die bisherige NIS-Richtlinie den Anforderungen nicht mehr hinreichend gewachsen ist und es wurde – entsprechend der Mitteilung über die Gestaltung der digitalen Zukunft Europas – die Überprüfung der Richtlinie bis Ende des Jahres 2020 beschleunigt, eine Folgenabschätzung durchgeführt und ein neuer Vorschlag vorgelegt.

In diesem Beitrag (zuletzt aktualisiert im März 2023) finden Sie wesentliche Informationen rund um die NIS2-Richtlinie und deren Wirkungen auf Unternehmen.

NIS2-Richtlinie weiterlesen

Verordnung über sichere Maschinenprodukte

Im Juni 2022 haben sich die EU-Mitgliedstaaten haben auf ein Mandat für Verhandlungen mit dem Europäischen Parlament über den Vorschlag für eine Verordnung über Maschinenprodukte geeinigt: Mit diesem Vorschlag soll die Maschinenrichtlinie aus dem Jahr 2006 in eine Verordnung umgewandelt.

Die Verordnung ist bedeutsam: Der Wortlaut sorgt für ausreichende Flexibilität für aufstrebende Technologien, einschließlich künftiger Anwendungen künstlicher Intelligenz im Maschinensektor.

Update: Dazu unser Beitrag „EU-Maschinenverordnung (EU 2023/1230)“

Verordnung über sichere Maschinenprodukte weiterlesen