Mehr als ein Jahr nach dem Vorschlag[1] der Europäischen Kommission für einen neuen Cyber Resilience Act zum Schutz von Verbrauchern und Unternehmen vor (digitalen) Produkten mit unzureichenden Sicherheitsmerkmalen durch die Einführung verbindlicher Anforderungen wurde nun eine politische Einigung[2] am 1. Dezember 2023 zwischen den beiden anderen Teilen des «Trilogs», nämlich dem Europäischen Parlament und dem Rat.

Der recht umfassende Vorschlag soll sowohl Hardware- als auch Softwareprodukte abdecken, die unterschiedliche Risikoniveaus aufweisen können und daher unterschiedliche Sicherheitsmassnahmen erfordern. Infolgedessen soll die Art der Konformitätsbewertung für jedes Produkt an das jeweilige Risikoniveau angepasst werden.

Folglich müssen Hersteller von Hard- und Software, Entwickler und Händler, die ihre Produkte in die EU importieren und auf dem EU-Markt anbieten wollen, im Wesentlichen Cybersicherheitsmassnahmen für den gesamten Lebenszyklus ihrer Produkte umsetzen, von der Entwurfs- und Entwicklungsphase bis zum Inverkehrbringen. Konkret geht es nicht nur um Produkte, die an Endnutzer und Verbraucher verkauft werden, sondern auch um solche, die in Unternehmen für die Produktion verwendet werden, die als Vorprodukte bezogen und weiterverarbeitet werden oder die Teil von Lieferketten sind.

Insbesondere werden Produkte, die bereits unter andere bestehende EU-Rechtsvorschriften fallen, wie z. B. in den Anwendungsbereich der NIS2-Richtlinie, ausgenommen sein.

In diesem Zusammenhang wird die Einhaltung der vorgeschlagenen Rechtsvorschriften im Wesentlichen in Form einer CE-Kennzeichnung erfolgen, mit der bestätigt wird, dass die auf dem Markt des Europäischen Wirtschaftsraums (EWR) verkauften Produkte ordnungsgemäss auf die Einhaltung der Sicherheits-, Gesundheits- und Umweltschutzanforderungen geprüft worden sind.

Darüber hinaus werden die Hersteller verpflichtet, den Verbrauchern eine genaue Angabe über die voraussichtliche Nutzungsdauer eines bestimmten Produkts zu machen.

Die vorgeschlagenen Rechtsvorschriften, die für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder Netz verbunden sind, müssen nun förmlich genehmigt werden und dürften nach ihrer Veröffentlichung im Amtsblatt in Kraft treten.

Da die EU für viele Branchen und Sektoren in der Schweiz der wichtigste Absatzmarkt ist, sind die direkten Auswirkungen der vorgeschlagenen Rechtsvorschriften auf die Schweizer Akteure und Interessengruppen unbestreitbar. Wichtig ist, dass die Schweizer Exporteure von Produkten, die im Sinne des vorgeschlagenen Textes als «kritisch» eingestuft werden könnten, erstens nachweisen müssen, dass die entsprechenden digitalen Komponenten die festgelegten Sicherheitsstandards erfüllen, und zweitens Konformitätsbewertungen vorlegen müssen, wenn dies für erforderlich gehalten wird.

[1] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/IP_22_5374.

[2] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/ip_23_6168.

Der Bundesrat hat vor kurzem angekündigt[1], dass er bis zum 29. November 2023 eine Vernehmlassung für eine Gesetzesvorlage zur Verschärfung der bestehenden Geldwäschereibestimmungen durchführen wird.

Der vorgeschlagene Rahmen konzentriert sich insbesondere auf die Identifizierung juristischer Personen, wobei ein obligatorisches bundesweites (Transparenz-)Register mit Informationen über wirtschaftliche Eigentümer eingeführt werden soll, das sich im Wesentlichen an alle juristischen Personen richtet. Das nicht-öffentliche Register wird vom Eidgenössischen Justiz- und Polizeidepartement (EJPD) koordiniert und den zuständigen Behörden zugänglich gemacht. Abweichend davon wird es für bestimmte Rechtsformen wie Einzelunternehmen, Stiftungen, Vereine, sowie Gesellschaften mit beschränkter Haftung auch ein vereinfachtes Verfahren geben.

Darüber hinaus wird der Schwellenwert für Sorgfaltspflichten im Handel mit Edelmetallen und Edelsteinen von CHF 100’000 auf CHF 15’000 deutlich gesenkt.

Auch für Barzahlungen im Immobiliengeschäft wird eine pauschale Sorgfaltspflicht eingeführt, unabhängig von der Höhe des Betrags.

Nach dem Ablauf der Vernehmlassungsperiode soll der Vorschlag Anfang 2024 dem Parlament vorgelegt werden.

[1] Siehe hier: https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-97561.html.

In einer aktuellen Entscheidung des Gerichtshofs der Europäischen Union (EuGH)[1], nämlich Breyer gegen REA, wurde erneut die Frage aufgeworfen, wie und wann ein Gleichgewicht zwischen kommerziellen Interessen und öffentlichem Interesse, insbesondere dem Recht auf Privatsphäre, Gleichheit und Meinungsäusserung, herzustellen ist.

Der Fall betrifft ein von der EU finanziertes Forschungsprojekt, nämlich iBorderCtrl, zur Entwicklung einer KI-gestützten Emotionserkennungstechnologie, die im Rahmen des EU-Grenzkontrollmanagementsystems an Grenzen eingesetzt werden soll. Das Problem ergab sich aus der Weigerung der EU-Institutionen, Informationen offenzulegen und uneingeschränkten Zugang zu Unterlagen zu gewähren, die sich sowohl auf die Genehmigung des Projekts als auch auf dessen Fortschritt beziehen. Als Hauptbegründung wurde der Schutz der kommerziellen Interessen der Beteiligten genannt.

Daraufhin wurde von einem Mitglied des Europäischen Parlaments (EP) Klage gegen die Europäische Exekutivagentur für die Forschung (REA) erhoben, hauptsächlich mit der Begründung, dass eindeutig ein überwiegendes öffentliches Interesse bestehe, das die Notwendigkeit einer vollständigen Offenlegung der Unterlagen rechtfertige, insbesondere im Zusammenhang mit einer Technologie, die grundsätzlich zur Massenüberwachung und  Kontrolle von Menschenmengen eingesetzt werden könnte.

Dem Urteil des EuGH gelingt es jedoch nicht, das öffentliche Interesse gegenüber kommerziellen Interessen tatsächlich aufzuwiegen, da es im Wesentlichen festlegt, dass „allgemeine Erwägungen“ des überwiegenden öffentlichen Interesses möglicherweise nicht ausreichen, um ein „besonders dringendes“ Bedürfnis nach Transparenz zu begründen.

Eine solche Haltung könnte sicherlich die Bedeutung demokratischer Kontrolle und öffentlicher Debatte sowie die Notwendigkeit von Transparenz bei der Softwareentwicklung in Projekten mit unbestreitbaren Auswirkungen auf den Einzelnen untergraben.

Darüber hinaus wurde bestätigt, dass die im Rahmen eines bestimmten Projekts entwickelten Instrumente und Technologien als Geschäftsgeheimnis gelten und lediglich die Ergebnisse des Projekts ausser Acht gelassen werden.

[1] Siehe hier: https://curia.europa.eu/juris/document/document.jsf?mode=DOC&pageIndex=0&docid=277067&part=1&doclang=DE&text=&dir=&occ=first&cid=1901751.

Mit mehr als 750 Mitgliedsfirmen und 36.000 Anwälten in mehr als 200 Ländern gilt das Nextlaw Referral Network[1] als das grösste Rechtsberatungsnetzwerk der Welt. Das von Dentons ins Leben gerufene Netzwerk verwendet ein detailliertes Screening-System, um die Qualität seiner Mitgliedsfirmen zu gewährleisten, und hat eine proprietäre Technologie entwickelt, die es Mitgliedern ermöglicht, Anwälte, Rechtsberater und Berater anderer Mitgliedsfirmen mit entsprechender gebietsspezifischer Erfahrung zu identifizieren, wenn Kunden personalisierte Beratung benötigen.

[1] Weitere Informationen finden Sie hier: https://www.nextlawnetwork.com/.

Das Europäische Parlament (EP) hat kürzlich[i] in einer Plenarsitzung seine Verhandlungsposition zum Gesetz über künstliche Intelligenz (KI) verabschiedet.

Die Diskussionen über die Regeln folgen im Wesentlichen einem risikobasierten Ansatz und zielen darauf ab, sicherzustellen, dass die Entwicklung und der Einsatz von KI-Anwendungen und -Systemen in Europa theoretisch mit den Rechten und Werten der EU in Einklang stehen, darunter «menschliche Aufsicht, Sicherheit, Privatsphäre, Transparenz, Nichtdiskriminierung sowie soziales und ökologisches Wohlergehen».

In Kürze enthält die vorgeschlagene Aufgabenliste, die sich unter anderem an Anbieter und Einsatzkräfte richtet, neben einer überarbeiteten Definition des Begriffs «KI-System», die mit der OECD-Version übereinstimmt, folgende Punkte:

Insbesondere würde das Verbot der nachträglichen biometrischen Fernidentifizierung der Ausnahme unterliegen, dass die Strafverfolgung nach vorheriger richterlicher Genehmigung im Zusammenhang mit schweren Straftaten erfolgt.

Darüber hinaus müssten generative KI-Systeme, die auf Basismodellen basieren (wie ChatGPT), Transparenzanforderungen erfüllen und wirksame Schutzmechanismen gegen illegale Inhalte einrichten. Im Falle der Verwendung urheberrechtlich geschützter Daten für Trainingsmodelle müssten detaillierte Zusammenfassungen davon öffentlich zugänglich gemacht werden. Die Registrierung in der EU-Datenbank wird für Basismodelle obligatorisch sein.

Wichtig ist, dass das EP neben der Festlegung der Zuständigkeiten der verschiedenen Akteure in der KI-Wertschöpfungskette auch die Entwicklung unverbindlicher Standardvertragsklauseln vorschlägt, um die Rechte und Pflichten entsprechend dem Grad der Kontrolle der einzelnen Akteure in einer bestimmten Wertschöpfungskette zu regeln.

In Anbetracht der Tatsache, dass das KI-Gesetz auch für Anbieter und Nutzer von KI-Systemen ausserhalb der EU gelten soll – vorausgesetzt, die erzeugten Ergebnisse sind für die Verwendung in der EU bestimmt – sind diese Entwicklungen für den Schweizer Markt von entscheidender Bedeutung.

[i] Siehe hier https://www.europarl.europa.eu/news/de/press-room/20230609IPR96212/parlament-bereit-fur-verhandlungen-uber-regeln-fur-sichere-und-transparente-ki; https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_DE.html.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 8. März 2023[i] ihre grundsätzliche Haltung zur Klassifizierung von Non-Fungible-Token-Modellen (NFTs) bekannt gegeben.

Die BaFin schlägt eine strenge Einzelfallprüfung vor und verfolgt einen eher konservativen Ansatz bei der Definition von NFTs als Wertpapiere, vor allem wegen der fehlenden unmittelbaren Austauschbarkeit. Mit anderen Worten: Ein NFT könnte nur dann als Wertpapier angesehen werden, wenn beispielsweise eine erhebliche Anzahl dieser Token identische Rückzahlungs- und Zinsansprüche verkörpern würde.

Auch wenn ein NFT Arten von Eigentumsrechten wie z.B. ein Ausschüttungsversprechen verkörpert, könnte der Token grundsätzlich als Anlage im Sinne des Vermögensanlagengesetzes (VermAnIG) angesehen werden. Der blosse Akt der Spekulation durch Token-Inhaber würde dagegen grundsätzlich nicht ausreichen, um dem betreffenden NFT einen Anlagezweck zu unterstellen.

NFTs können grundsätzlich im Finanzsektor eingesetzt werden, insbesondere wenn sie übertragbar und auf dem Finanzmarkt handelbar sind und somit bestimmte sicherheitsähnliche Rechte, d.h. Mitgliedschaftsrechte oder vertragliche Ansprüche ähnlich wie Aktien und Schuldtitel, beinhalten. Wie die BaFin feststellt, «kann die Übertragbarkeit bei den gängigen Standards als gegeben unterstellt werden […], während die Handelbarkeit ein Mindestmass an Standardisierung voraussetzt.»

Zusammenfassend lässt sich sagen, dass der Nexus hier in der Definition der Arten von Rechten besteht, die mit einem bestimmten Token-Modell verbunden sind, sowie im potenziellen Nutzen dieser Rechte nach der Token-Ausgabe.

Die BaFin vertritt einen ähnlichen Standpunkt wie der Entwurf des EU-Vorschlags für eine Verordnung über Märkte für Kryptowerte (MiCA) und ist der Ansicht, dass eine Fragmentierung von NFT, die zu fungiblen Token führt, die jeweils einen gleichen Anteil an einem NFT darstellen, theoretisch das Merkmal der Austauschbarkeit erfüllen würde.

Andererseits wird Frankreich nach der Parlamentsabstimmung vom 28. Februar 2023[ii] strengere Lizenzierungsregeln für neue Marktteilnehmer in seinem Krypto-Ökosystem einführen, um seine nationalen Gesetze mit der kommenden EU-Gesetzgebung zu harmonisieren. Nach den bestehenden Vorschriften haben Unternehmen die Möglichkeit, sich für vereinfachte Registrierungsverfahren bei der Autorité des Marchés Financiers (AMF) mit geringeren Offenlegungsanforderungen zu entscheiden. Nach der Verabschiedung der neuen Regelungen werden die neuen Marktteilnehmer mit strengeren Massnahmen zur Bekämpfung der Geldwäscherei konfrontiert sein, insbesondere mit einer klaren Trennung der Kundengelder, einer neuen Reihe von Berichterstattungsrichtlinien und einer detaillierteren Offenlegung von Risiken und Interessenkonflikten.

Schliesslich haben die plötzlichen Zusammenbrüche und die jüngsten aufsichtsrechtlichen Probleme in den USA im Zusammenhang mit den drei in der Kryptowährungsbranche tätigen Finanzinstituten Silicon Valley Bank (SVB), Signature Bank und Silvergate Capital Fragen des Vertrauens aufgeworfen und unweigerlich zu einer immer grösseren Volatilität in der Branche geführt. Ein einfacher Bank-Run, bei dem eine grosse Anzahl von Einlegern aus Angst vor einer möglichen Insolvenz gleichzeitig Geld abhebt, wird als Ursache angesehen.

Im Zusammenhang mit dem potenziellen Ansteckungsrisiko ist jedoch auch die Frage aufgetaucht, ob das Bankensystem in Europa im Allgemeinen über eine wirksamere Infrastruktur für das Risikomanagement und strengere Liquiditätsanforderungen verfügt.

[i] Siehe hier https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2023/fa_bj_2303_NFT.html.

[ii] Siehe hier https://www2.assemblee-nationale.fr/scrutins/detail/(legislature)/16/(num)/1098.

Nachdem die endgültige Abstimmung über die EU-Vorschläge für die Verordnungen über Märkte für Kryptowerte (MiCA) und über die Vermittlung von Angaben bei Geldtransfers (TFR) auf April dieses Jahres verschoben wurde, hat der Ausschuss für Wirtschaft und Währung des Europäischen Parlaments kürzlich eine Reihe neuer Bankvorschriften verabschiedet[i].

In Anlehnung an den Basel III Akkord würden die Änderungen die Banken unter anderem dazu verpflichten, ein Risikogewicht von 1.250 % des Eigenkapitals auf Kryptowerte anzuwenden, was nach internationalen Standards als höchstmögliches Niveau gilt. Vereinfacht ausgedrückt müssten die Banken in der Praxis für jeden Euro an Kryptowerten einen Euro an Kapital aufbringen. Darüber hinaus sollen die Banken verpflichtet werden, ihr Engagement in Bezug auf Kryptowerte und Krypto-Vermögensdienstleistungen sowie eine spezifische Beschreibung ihrer Risikomanagementstrategien in Bezug auf Kryptowerte offenzulegen.

Neben der Einführung des Konzepts des «Schattenbankwesens», das z. B. Investmentfonds und Versicherer umfasst, verweisen die Aktualisierungen auch auf ökologische, soziale und Governance-Risiken (ESG) mit verschärften Berichts- und Offenlegungspflichten.

Auch der Basler Ausschuss für Bankenaufsicht (BIZ) hat im Dezember 2022 eine Reihe von Regeln festgelegt[ii], die bis Januar 2025 umgesetzt werden sollen, wobei zwei Gruppen von Kryptowerten auf der Grundlage einer Reihe von Klassifizierungsbedingungen festgelegt werden, um die Mindestanforderungen an das risikobasierte Eigenkapital für Kredit und Markt zu bestimmen.

Die Bedingungen für die Einstufung beziehen sich im Wesentlichen auf die Art der Kryptowerte, Fragen der Rechtssicherheit, die Verlässlichkeit der Gestaltung eines bestimmten Kryptowerts und des zugrunde liegenden Netzwerks sowie die Regulierung und Beaufsichtigung von Einrichtungen, die wichtige Funktionen ausüben.

Dabei wird zwischen tokenisierten traditionellen Vermögenswerten und Kryptowerten, die über einen wirksamen Stabilisierungsmechanismus verfügen, sowie ungesicherten Kryptowerten unterschieden.

Im Falle von Kryptowerten, die keine der Klassifizierungsbedingungen erfüllen, nämlich Gruppe 2, von denen angenommen wird, dass sie zusätzliche und höhere Risiken bergen, «darf das Gesamtengagement der Bank in diesen nicht mehr als 2% des Kernkapitals der Bank betragen und sollte im Allgemeinen unter 1% liegen.»

Da der Test für die Bewertung von Stablecoins mit niedrigem Risikoprofil nun die Form einer Bewertung sowohl des Umfangs der Rückzahlungsrisiken als auch des Niveaus der regulatorischen Aufsicht annimmt, werden die BIZ-Regeln im Allgemeinen als dynamisch angesehen und würden sich entsprechend den neuen Entwicklungen ändern.

[i] Siehe hier https://www.europarl.europa.eu/news/en/press-room/20230123IPR68613/econ-committee-voted-to-finalise-reforms-of-banking-rules.

[ii] Siehe hier https://www.bis.org/bcbs/publ/d545.pdf.

Im Anschluss an die Anhörung[i] zur Teilrevision der Geldwäschereiverordnung der Eidgenössischen Finanzmarktaufsicht (GwV-FINMA), die von März bis Mai 2022 lief, und im Einklang mit den jüngsten Revisionen des Geldwäschereigesetzes (GwG) und der dazugehörigen Verordnung (GwV) des Bundes gemäss den Empfehlungen der Financial Action Task Force (FATF), hat die FINMA kürzlich die Revision bekannt gegeben[ii], die am 01. Januar 2023 gleichzeitig mit dem revidierten GwG und der GwV in Kraft tritt[iii].

Das GwG und die GwV, die den Finanzintermediären ab Januar strengere Sorgfaltspflichten auferlegen, namentlich die Pflicht, die Identität der wirtschaftlich Berechtigten, einschliesslich der Kontrollinhaber, zu überprüfen und die Kundendaten zu aktualisieren, verfolgen einen risikobasierten Ansatz. Sie scheinen aber dennoch unklar zu bleiben, was die genaue Form dieser Identitätsprüfungspflicht betrifft. Auch die GwV-FINMA und die Vereinbarung über die Standesregeln zur Sorgfaltspflicht der Banken in der Schweiz, namentlich die VSB 20, scheinen eine solche Präzisierung nicht vorzusehen.

Infolgedessen könnte argumentiert werden, dass die Finanzintermediäre – im Wesentlichen abhängig vom Risikoprofil des jeweiligen Einzelfalls – zunächst eine Plausibilitätsprüfung ihrer eigenen Kenntnisse über ihre Kunden durchführen und – falls dies als notwendig erachtet wird – sicherstellen müssen, dass auch verschiedene Informationsquellen ausgeschöpft werden. Mit anderen Worten: Eine blosse Überprüfung mittels Aufbewahrung von Identitätsdokumenten der wirtschaftlich Berechtigten dürfte in der Regel nicht ausreichen, um die auferlegte Pflicht zu erfüllen.

Bei natürlichen Personen mit normalem Risikoprofil müssten die von den Vertragsparteien vorgelegten Informationen über die wirtschaftlich Berechtigten von den Finanzintermediären geprüft werden, um Kohärenz zu gewährleisten. Bei juristischen Personen hingegen würde mit einem erhöhten Risiko eine strengere Prüfung einhergehen.

Das revidierte GwG verlangt nun eine regelmässige Überprüfung und Aktualisierung der Kundendaten sowie der Dokumente für alle Geschäftsbeziehungen, unabhängig von den Ereignissen und dem Risikoprofil der Unternehmen. Der Begriff ‹Dokumente› würde bei einer weiten Auslegung alle Informationen umfassen, die im Rahmen der Sorgfaltspflicht bei der Erstellung eines jeden Kundenprofils gesammelt werden.

Im Rahmen der aufsichtsrechtlichen Meldungen und deren Änderungen wurde das Kriterium des ‹begründeten Verdachts›, das ansonsten zu einer sofortigen Meldepflicht an die Meldestelle für Geldwäscherei (MROS) führen würde, neu definiert. Ein begründeter Verdacht liegt demnach vor, wenn der Finanzintermediär einen oder mehrere konkrete Anhaltspunkte dafür hat, dass in eine bestimmte Geschäftsbeziehung involvierte Vermögenswerte:

  1. im Zusammenhang mit einer strafbaren Handlung nach Art. 260ter oder 305bis StGB stehen;
  2. aus einem Verbrechen oder einem qualifizierten Steuervergehen herrühren; oder
  3. der Verfügungsmacht einer kriminellen oder terroristischen Organisation unterliegen oder der Terrorismusfinanzierung dienen, und wenn dieser Verdacht nicht durch zusätzliche Abklärungen ausgeräumt werden kann.

Zudem wird ein neues Recht eingeführt, das es den Finanzintermediären erlaubt, eine gemeldete Geschäftsbeziehung abzubrechen, wenn die MROS sie nicht innerhalb von 40 Arbeitstagen nach einer Meldung darüber informiert, dass die gemeldeten Informationen an eine Strafverfolgungsbehörde übermittelt werden.

Die neuen Verpflichtungen gelten insbesondere für Geschäftsbeziehungen, die ab Januar aufgenommen werden. Für bestehende Geschäftsbeziehungen hingegen gelten die überarbeiteten Anforderungen nur im Zusammenhang mit der regelmässigen Überprüfung und Aktualisierung der Kundendaten.

Zurückkommend auf die Teilrevision der GwV-FINMA betreffen die Änderungen vor allem eine weitere Präzisierung des Schwellenwertes für Transaktionen mit Kryptowährungen. Im Hinblick auf das Risikomanagement hat die FINMA nun bestätigt, dass «technische Massnahmen erforderlich sind, um zu verhindern, dass der Schwellenwert von CHF 1’000 für verbundene Transaktionen innerhalb von dreissig Tagen (und nicht nur pro Tag) überschritten wird.» Diese Pflicht gelte jedoch nur für den Tausch von Kryptowährungen gegen Bargeld oder «andere anonyme Zahlungsmittel». Der Anwendungsbereich der GwV-FINMA soll auch auf die auf der Distributed-Ledger-Technologie (DLT) basierenden Handelssysteme und -einrichtungen ausgeweitet werden.

In diesem Zusammenhang hat die FINMA auch das aktualisierte Reglement der Selbstregulierungsorganisation des Schweizerischen Versicherungsverbandes (SRO-SVV) anerkannt, das ebenfalls aus denselben Gründen revidiert wurde.

[i] Siehe hier https://www.finma.ch/de/news/2022/03/20220308-mm-anhoerung-gwv-finma/.

[ii] Siehe hier https://www.finma.ch/de/news/2022/11/20221102-mm-gwv-finma/; https://www.finma.ch/en/~/media/finma/dokumente/dokumentencenter/anhoerungen/laufende-anhoerungen/20221102-gwv-finma/gwv_finma_de_20221027_disclaimer.pdf?sc_lang=en&hash=F7B5D65929006EED5E0611BC7958AD1C.

[iii] Siehe hier https://www.sif.admin.ch/sif/de/home/dokumentation/medienmitteilungen/medienmitteilungen.msg-id-90145.html.

Nach dem verbindlichen Entscheid des Europäischen Datenschutzausschusses (EDSA) vom 6. Dezember 2022 zu der Frage, ob Metas Berufung auf seine Vertragsbedingungen zur Rechtfertigung seiner auf personenbezogenen Daten basierenden zielgerichteten Werbung als rechtswidrig anzusehen ist, wurde nun mit der endgültigen Entscheidung[i] der irischen Datenschutzkommission (DPC), der Aufsichtsbehörde von Meta Platforms Ireland, vom 4. Januar 2023 weitere Klarheit geschaffen.

Meta hat nun drei Monate Zeit, eine alternative Rechtsgrundlage für sein auf personenbezogenen Daten basierendes Modell der gezielten Werbung zu schaffen. Mit anderen Worten: «Indem Meta den Zugang zu seinen Diensten davon abhängig machte, dass die Nutzer die aktualisierten Nutzungsbedingungen akzeptierten, «zwang» sie … [die Nutzer] faktisch dazu, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen.» Eine Haltung, die eindeutig gegen die EU-DSGVO und insbesondere gegen deren Artikel 6 verstösst.

Vereinfacht ausgedrückt besagt die Entscheidung, dass Meta den Nutzern innerhalb von drei Monaten eine Version aller Anwendungen zur Verfügung stellen muss, in der keine personenbezogenen Daten für Werbung verwendet werden. Die Nutzer müssen auch die Möglichkeit haben, ihre Zustimmung jederzeit zu widerrufen, wobei Meta die Dienste nicht einschränken darf. Dies schliesst eindeutig die Verwendung nicht-personenbezogener Daten durch Meta für gezielte Werbung aus.

Darüber hinaus haben sich die verhängten Bussen fast verzehnfacht und belaufen sich nun auf 210 Mio. € im Falle von Facebook-Diensten und 180 Mio. € im Falle von Instagram.

Meta Platforms Ireland hat immer noch die Möglichkeit, gegen die Entscheidung vor den irischen Gerichten Berufung einzulegen, wenngleich die Chancen auf einen Erfolg angesichts der Umstände und der Beteiligung des EDSA sehr gering sind.

[i] Siehe hier https://www.dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland; https://noyb.eu/de/breaking-meta-darf-personenbezogene-daten-nicht-fuer-werbung-nutzen.

Mit einem weiteren aktuellen Vorschlagspaket hat die Europäische Kommission die Diskussion über die Produkthaftung in der Europäischen Union (EU) angeheizt.

Am 28. September 2022[i] wurde ein Vorschlag vorgelegt, um (i) die bestehende Produkthaftungsrichtlinie (PLD) zu überarbeiten und (ii) eine völlig neue Richtlinie einzuführen, die speziell für die Gestaltung von verschuldensunabhängigen zivilrechtlichen Haftungsregeln für künstliche Intelligenz (KI) gedacht ist, nämlich die KI-Richtlinie.

Der Text der vorgeschlagenen überarbeiteten Produkthaftungsrichtlinie liegt derzeit zur öffentlichen Stellungnahme bis zum 11. Dezember 2022[ii] auf. Die ursprüngliche Produkthaftungsrichtlinie sieht harmonisierte Haftungsregeln für Schäden vor, die Verbrauchern durch fehlerhafte Produkte entstehen. Der bestehende Rechtsrahmen enthält somit eine verschuldensunabhängige, strenge Haftungsregelung für Hersteller, die nicht durch einen Vertrag ausgeschlossen oder eingeschränkt werden kann. Mit anderen Worten: Ein Verbraucher muss lediglich einen Schadensersatzanspruch geltend machen und einen Kausalzusammenhang zwischen Schaden und Produktefehler nachweisen.

Zu den vorgeschlagenen Änderungen gehört die Ausweitung des Geltungsbereichs der Definition des Begriffs ‹Produkt› auf Software, wobei die Europäische Kommission feststellt, dass Software «als eigenständiges Produkt auf den Markt gebracht werden kann und anschliessend als Bestandteil in andere Produkte integriert werden kann und durch ihre Ausführung Schäden verursachen kann». Software würde folglich als Produkt betrachtet, «unabhängig von der Art ihrer Bereitstellung oder Nutzung und somit unabhängig davon, ob die Software auf einem Gerät gespeichert oder über Cloud-Technologien zugänglich ist.»

Der Quellcode von Software sowie freie und open-source Software, die «ausserhalb einer kommerziellen Tätigkeit entwickelt oder bereitgestellt wird» – d. h. die nicht gegen Gewinn bzw. personenbezogene Daten ausgetauscht wird – würde jedoch nicht in den genannten Anwendungsbereich fallen.

Der Begriff ‹producer› scheint in der vorgeschlagenen Terminologie nicht mehr enthalten zu sein, stattdessen wird der Begriff ‹manufacturer› weiter gefasst. In diesem Zusammenhang würden Entwickler und Hersteller von Software, einschliesslich Anbieter von KI-Systemen, im Sinne des künftigen KI-Gesetzes als Hersteller behandelt werden. Nach der vorgeschlagenen Überarbeitung würde die Definition eines ‹Wirtschaftsteilnehmer› zusätzliche Akteure in der Lieferkette umfassen, nämlich Erfüllungsdienstleister, Hersteller wiederaufgearbeiteter Produkte und Händler. In Fällen, in denen ein Hersteller ausserhalb der EU ansässig ist bzw. in denen ein Hersteller nicht identifizierbar ist, könnten ein Importeur eines Produkts oder ein Bevollmächtigter eines Herstellers in der EU sowie Erfüllungsdienstleister neben Händlern haftbar gemacht werden. Ausserdem würde ein Online-Plattformanbieter im Sinne des Gesetzes über digitale Dienste (DSA) «nur dann haften, wenn er das Produkt präsentiert oder die spezifische Transaktion anderweitig ermöglicht, und nur dann, wenn die Online-Plattform es versäumt, einen in der Union ansässigen relevanten Wirtschaftsteilnehmer unverzüglich zu identifizieren.»

Artikel 10 der vorgeschlagenen überarbeiteten PLD listet Szenarien für die Befreiung eines Wirtschaftsteilnehmers von der Haftung auf und legt fest, dass eine Ausnahme von der Befreiung in Fällen möglich ist, «wenn die Fehlerhaftigkeit des Produkts auf eines der folgenden Ursachen zurückzuführen ist, sofern sie der Kontrolle des Herstellers unterliegt: (a) eine verbundene Dienstleistung; (b) Software, einschliesslich Software-Updates oder -Upgrades, oder (c) das Fehlen von Software-Updates oder -Upgrades, die zur Aufrechterhaltung der Sicherheit erforderlich sind«.

Darüber hinaus soll der Bereich der ersatzfähigen Schäden über Personen- und Sachschäden hinaus auf «materielle Verluste infolge des Verlusts oder der Beschädigung von Daten» ausgeweitet werden. Eine solche bedeutende Verschiebung würde bedeuten, dass sich Produkthaftungsrisiken mit Cybersicherheitsrisiken überschneiden können.

Hier verweist die vorgeschlagene überarbeitete PLD auf die Definition von Daten im Daten-Governance-Gesetz, die lautet: «jede digitale Darstellung von Handlungen, Tatsachen oder Informationen […], auch in Form von Ton-, Bild- oder audiovisuellem Material». Die Definition eines Tokens oder eines kryptografisch erzeugten Vermögenswerts gemäss der vorgeschlagenen EU-Verordnung über Märkte für Kryptowerte (MiCA) lautet: «eine digitale Darstellung von Werten oder Rechten, die elektronisch übertragen und gespeichert werden können». Obwohl die Definition von Daten im Rahmen des Daten-Governance-Gesetzes recht weit gefasst ist und möglicherweise so ausgelegt werden könnte, dass sie die Definition des MiCA umfasst, wäre eine solche Überschneidung sicherlich nachteilig und würde dem ordnungsgemässen Funktionieren von Projekten mit Disintermediation und Dezentralisierungsgrad in der Governance, dezentralen Finanzanwendungen (DeFi) sowie den aufkommenden Web3-Protokollen und -Entwicklungen zuwiderlaufen. Angesichts der unveränderlichen und fälschungssicheren Aufzeichnung von Token-Transaktionen in Netzwerkinfrastrukturen auf der Grundlage von Distributed Ledger Technology (DLT) erscheint es unplausibel, Szenarien mit potenziellem Datenverlust oder -verfälschung – und den damit verbundenen Beweisen – in diesem Zusammenhang als gleichwertig mit den von der Europäischen Kommission angedachten Szenarien zu betrachten. Mit anderen Worten: Die vorgeschlagene überarbeitete PLD sollte unbeschadet des Anwendungsbereichs der bevorstehenden MiCA streng interpretiert werden.

Darüber hinaus entwickelt sich Software naturgemäss ständig weiter, so dass eine allumfassende Einstufung von Software als Produkt neben einer grosszügigen Anwendung der Datendefinition im Rahmen des ersatzfähigen Schadens für den Verlust oder die Beschädigung von Daten die Gefahr birgt, dass das System der verschuldensunabhängigen Haftung zum Nachteil des technologischen Fortschritts ausgeweitet wird.

Andererseits soll mit der vorgeschlagenen KI-Richtlinie eine ausservertragliche verschuldensabhängige zivilrechtliche Haftungsregelung für Schäden eingeführt werden, die durch ein KI-System verursacht werden. Ergänzend zur vorgeschlagenen überarbeiteten PLD führt die vorgeschlagene KI-Richtlinie eine ‹Kausalitätsvermutung› zwischen dem Verschulden und dem Schaden ein, den ein bestimmter Geschädigter erlitten hat. Die Bestimmungen gelten für die Anbieter, Betreiber und Nutzer von KI-Systemen. Die Richtlinie soll eine extraterritoriale Wirkung haben, da sie für die Anbieter und/oder Nutzer von KI-Systemen gelten würde, die auf dem EU-Markt verfügbar oder dort tätig sind. Da die Richtlinie eng an das künftige KI-Gesetz angelehnt ist, insbesondere was die Einstufung von KI-Systemen mit hohem Risiko betrifft, müssen sich Änderungen an letzterem in ersterer entsprechend niederschlagen.

Parallel zu den Entwicklungen auf der EU-Regulierungsebene wurde vor kurzem im Europarat ein Ausschuss für künstliche Intelligenz (CAI) eingesetzt, der ein Übereinkommen über künstliche Intelligenz, Menschenrechte, Demokratie und Rechtsstaatlichkeit ausarbeiten soll, an dessen Verhandlungen sich die Schweiz gemäss Bundesratsbeschluss vom September 2022 aktiv beteiligen wird[iii]

[i] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/ip_22_5807.

[ii] Siehe hier https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12979-Produkthaftungsrichtlinie-Anpassung-der-Haftungsvorschriften-an-das-digitale-Zeitalter-die-Kreislaufwirtschaft-und-globale-Wertschopfungsketten_de.

[iii] Siehe hier https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-90367.html.