Die Herbst-Agenda der EU-Digitalpolitik

Der politische Betrieb in Brüssel nimmt für gewöhnlich im Herbst deutlich an Fahrt auf. Zu Beginn der entscheidenden Jahreshälfte wirft der DMB daher einen Blick auf den Status Quo in der EU-Digitalpolitik. Welche Entscheidungen können bis zum Jahreswechsel noch erwartet werden und wann und wie wirken sich die europäischen Rechtsakte auf kleine und mittlere Unternehmen (KMU) aus?

Die Europäische Kommission war mit großen Ambitionen im Digitalbereich angetreten. Zwei bedeutende Vorhaben – die Gesetze über digitale Märkte (Digital Markets Act, kurz DMA) und digitale Dienste (Digital Services Act, kurz DSA) – konnten bereits unter Dach und Fach gebracht werden. Nun wird die Kommission die kommenden Monate nutzen, um weitere Legislativvorschläge vorzulegen, die noch eine Chance auf Verabschiedung bis zum Ende der Legislaturperiode 2024 haben. Doch wo stehen die einzelnen Rechtsakte und Initiativen derzeit und wie werden sie sich auf den Mittelstand auswirken?

Maßgeblich für Fortschritte in den digital- und netzpolitischen Dossiers der Kommission wird auch die Arbeit der tschechischen Ratspräsidentschaft sein. Das Land hat am 1. Juli 2022 den Vorsitz übernommen und kündigte an, Akzente beim digitalen Wandel setzen zu wollen. Besonderes Augenmerk richtet Tschechien auf die Verteidigungsfähigkeiten der Union und ihre Cybersicherheit.

Künstliche Intelligenz

Weit oben auf der Liste der digitalen Prioritäten steht der Rechtsakt über Künstliche Intelligenz (Artificial Intelligence Act, kurz AI Act). Mit dem Gesetz will die EU-Kommission KI-Anwendungen fairer, transparenter und sicherer machen. Europäische Unternehmen sollen zu bestimmten Regeln verpflichtet werden. Die tschechische Ratspräsidentschaft beabsichtigt eine allgemeine Positionierung zum Kommissionsvorschlag bis Dezember zu erreichen. Eine Einigung zwischen Kommission, Parlament und Rat wird frühestens 2023 erwartet. Der im April 2021 vorgelegte Entwurf war aufgrund der hohen Komplexität und technischen Ausprägung des Themas bisher nur schleppend vorangekommen. Der AI Act könnte ähnlich wie die DSGVO weitreichende Auswirkungen über europäische Grenzen hinweg entfalten. Nach Verabschiedung bleiben Unternehmen voraussichtlich zwei Jahre Zeit, um die Voraussetzungen umzusetzen. Die Regeln des AI Act würden dann ab 2025 gelten. Für KMU könnte sich ein erhöhter Verwaltungsaufwand, etwa durch Zertifizierungen, ergeben. Gleichzeitig könnte der Rechtsakt mehr Klarheit bei ungeklärten Haftungsfragen schaffen.

Datenwirtschaft

Der neue Data Act soll einen EU-weiten Rechtsrahmen für das Nutzen und Teilen von Daten schaffen. Damit soll der Datenaustausch zwischen Unternehmen vorangebracht und Datenzugangsrechte bei vernetzten Produkten eingeführt werden. Der im Februar dieses Jahres vorgestellte Rechtsakt wird in diesem Herbst im EU-Ministerrat und in den zuständigen Ausschüssen des EU-Parlaments diskutiert. Stellungnahmen werden frühestens für Oktober erwartet. Die tschechische Ratspräsidentschaft will bis zum Dezember eine allgemeine Ausrichtung erreichen. Das Votum im Plenum könnte dann im März 2023 folgen. Für den produzierenden Mittelstand bieten Industriedaten und ein praxisnaher Rechtsrahmen, der die Speicherung, Verarbeitung und Weitergabe regelt, weitreichende Chancen. Zudem ergeben sich durch die bessere Nutzung von Daten Möglichkeiten für neue und innovative Geschäftsmodelle. Ein zu abstrakt formulierter Gesetzestext könnte jedoch zu Prüfaufwänden und bürokratischen Überforderungen führen. Insbesondere dann, wenn die geplanten Regelungen nicht im Einklang mit der Datenschutz-Grundverordnung (DSVGO) stehen. Wichtig ist zudem, dass bestehende und funktionierende Systeme zum Datenaustausch zwischen Unternehmen vom Anwendungsbereich ausgenommen werden.

Cybersicherheit

Auch bei den cybersicherheitspolitischen Vorhaben wird es im Herbst Bewegung geben. Die überarbeitete Richtlinie zur Netz- und Informationssicherheit (NIS2) soll noch in diesem Jahr vom Rat gebilligt werden. Nach Inkrafttreten haben die Mitgliedstaaten 21 Monate Zeit, die Richtlinie in nationales Recht zu überführen. Die NIS2 soll hohe Cybersicherheitsstandards einführen und mehr Unternehmen verpflichten, Cyberschutz-Vorkehrungen vorzunehmen. Die Ausweitung des Anwendungsbereichs umfasst nun auch kleinere Unternehmen der „wesentlichen Sektoren“ (u.a. Energie, Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur) und der „wichtigen Sektoren“ (u.a. Maschinenbau, Chemie, Automobilindustrie) ab einer Mitarbeiterzahl von 50 Personen. Es wird befürchtet, dass mit der Richtlinie ein großer bürokratischer Mehraufwand (Meldewesen, Risikomanagement) auf den Mittelstand zukommen könnte.

Ein weiterer Verordnungsvorschlag soll die Cybersicherheit von vernetzten Geräten und digitalen Produkten reglementieren. Der sogenannte Cyber Resilience Act soll am 13. September 2022 vorgestellt werden und in erster Linie die Sicherheit von Nebendienstleistungen zu Produkten wie Software durch gewisse Standards und Updatepflichten gewährleisten.

Halbleiter

Der weltweite Halbleiter-Mangel hat die Kommission veranlasst, Pläne zur strategischen Autonomie Europas zu entwickeln. Der Vorschlag für eine europäische Chip-Gesetzgebung (Chips Act) soll im zweiten Quartal 2022 vorgestellt werden. Das Gesetz soll 43 Mrd. EUR an öffentlichen und privaten Investitionen mobilisieren und Europas technologische Führungsrolle stärken. Bis 2030 soll der EU-Marktanteil an der weltweiten Chip-Produktion auf ein Fünftel verdoppelt werden. Die Initiative sieht unter anderem auch die Beseitigung des Fachkräftemangels in diesem Bereich und die Unterstützung von innovativen KMU beim Zugang zur Beteiligungsfinanzierung vor.