203. Newsletter - sicherheitskultur.at - 31.12.2023

von Philipp Schaumann

Hier die aktuellen Meldungen:

1. Das Tech-Thema des Jahres 2023: generative AI-Systeme - large language models

Das wohl prägende Tech-Ereignis in 2023 war wohl der Rollout der generativen AI-Systeme in Form von LLMs (large language models) - Beispiel ChatGPT und viele andere, ich habe jeden Monat berichtet.

Vor 2023 war AI etwas für Science Fiction oder für Spezialisten, nun spühren die meisten Menschen, die 'mit dem Kopf arbeiten', dass sie von dieser Technologie 'berührt' oder sogar um ihren Job gebracht werden könnten.

New Scientist illustriert seinen Jahresrückblick mit einem Bild der streikenden Filmschaffenden. Sowohl die Drehbuchautor:innen als auch die Schauspieler:innen versuchten im diesem Frühjahr, durch geeignete Verträge zu verhindern, dass AI-Systeme ihren Job übernehmen: Schauspieler wollen nicht durch Avatare ersetzt werden und die Drehbücher sollen weiterhin von Menschen geschrieben werden - beides lässt sich derzeit bereits leidlich durch generative AI-Systeme ersetzen.

Lehrer:innen und Professor:innen wissen (noch) nicht, wie sie erreichen können, dass Hausaufgaben und Prüfungen weiter von ihren Schülern oder Studenten erstellt werden.

Das Internet (z.B. die Social Networks und auch Youtube) füllt sich immer mehr mit Texten, Bildern, Büchern, Videos und anderen Inhalten die durch die generativen Systeme erzeugt werden, eine 'enshittification' des Internets (Cory Doctorow) wird befürchtet, bzw. ein 'model-collapse', wenn diese Systeme durch die von anderen AI-Systemen erzeugten Inhalte (zum Teil grober Unsinn) trainiert werden.

Um bei der extrem lukrativen Internetsuche (durch das Schalten von Werbung auf Grund der Suchanfrage) nur nicht ins Hintertreffen zu kommen, haben Google und Microsoft ihre Web-Suche um eine AI-Komponente erweitert. Dies wird möglicherweise das Web wie wir es kennen, gründlich verändern. Zeitungen leben derzeit davon, dass Suchmaschinen die Nutzer zu ihnen senden und dass sie die Inhalte (und die Werbung) dort konsumieren. Wenn AI-Systeme die Inhalte 'abernten' und direkt anzeigen so entfällt ein wichtiger Teil der Geschäftsgrundlage für die Erzeugung dieser Werte.

Eine Riesenproblematik ist, dass die generativen Systeme zum Halluzinieren neigen - dh manchmal Fakten erfinden, auf Nachfrage auch noch mit erfundenen Originalquellen - wirkliche Fakten werden immer schwieriger zu identifizieren sein.

Dies kann eine riesige Gefahr für die Demokratie darstellen, AI-generierte, gut gemachte Fake-News, verteilt über private Accounts in Social Networks, werden vermutlich in den Wahlkämpfen des nächsten Jahres eine wichtige (und möglicherweise desaströse) Rolle spielen.

Und dies sind nicht mal alle möglichen Risiken - noch bedrohlichere Szenarien gleich im Anschluss.

Interessant für Menschen, die sich für Details zu AI interessieren, z.B. 2 gute Vorträge zu neuronalen Netzen auf dem Chaos Computer Congress: Lass mal das Innere eines Neuronalen Netzes ansehen! - an Hand von einfachen Beispielen zeigt sie, wie ein einfaches neuronales Netz aufgebaut ist (Multiplikationen mit Gewichtsfaktoren und Additionen). Hacking Neural Networks zeigt ebenso die Struktur eines selbstprogrammierten 'Netzes' und gibt bei der Beschreibung möglicher Angriffe weiteren Einblick in die (durchaus verständlichen) 'mathematischen Innereien'. AI Coffee Break with Letitia bringt auf Youtube kurze Erklärvideos zu AI-Themen.

Im März 2024 berichte ich dass immer mehr Firmen Einstellungsgespräche durch AI-Systeme durchführen zu lassen. Oft führt dies auch zur automatisierten Ablehnung des Bewerbers:Bewerberin. Ob dabei was schief gehen kann? ;-)

2. Fünf mögliche Zukunftsszenarien was AI betrifft

Wir sind, die Zukunft von AI betreffend, ungefähr an dem Punkt, an dem wir 2000 in Bezug auf das Internet waren: Viele hatten das Gefühl, dass da ganz viel möglich wäre, im Dot-com Boom entstand eine große Aufbruchsstimmung, aber erst im Laufe des dann folgenden Jahrzehnts lernten wir, welche guten und schlechten Effekte sich zeigen würden.

Ähnlich steht es derzeit mit AI und unserer Zukunft. 2 Menschen haben versucht, die vielen möglichen Szenerien zu kategorisieren und sind dabei auf 5 Grundtypen gestoßen. Ich halte das für einen interessanten Zugang. Hier eine Zusammenfassung:

Diese Kurzfassung des Textes ist etwas länger, daher hier gleich der Kern:
Welches dieser Szenarien eintreten wird, das entscheiden wir Menschen selbst, z.B. durch Gesetze, die regeln, zu welchem Zweck AI-Systeme eingesetzt werden dürfen und zu welchen Zwecken nicht. Außerdem indem wir verhindern, dass die Firmen, die die AI-Systeme entwickeln, diese einseitig zu ihren eigenen Machtgewinn missbrauchen. Hier zu

AI fizzle

Futurama

Dystopia

AI Futurama

Macht und Fortschritt

AI-Dystopia

Welches dieser beiden Szenarien eintritt ist keine Entscheidung der AI-Systeme, sondern das entscheiden wir Menschen, zB indem wir mittels demokratischer Prozesse verhindern, dass eine Elite die Macht der AI-Systeme für eine Dystopia missbrauchen kann, der AI Act der EU ist ein solcher vorsichtiger Versuch.

Super-Intelligenz

Singularität

einige Bücher auf meiner Website

Singularia

Paperclipalypse

Experten, die vor diesem letzten Szenario warnen, weisen darauf hin, dass wir mit unserer heutigen Regulierungsgeschwindigkeit so etwas, wenn es sich abzeichnen würde, nicht verhindern könnten (der AI Act wurde bereits 2019 begonnen und tritt nicht vor 2026 in Kraft - wenn ein AI-System es schaffen würde, sich selbst exponentiell ständig zu optimieren, so wären wir Menschen mit Regulierungsversuchen viel zu langsam).

Ein anderer Artikel listet 6 derzeit ungelöste / unbeantwortbare Fragen zur AI-Zukunft auf:

Will we ever mitigate the bias problem?
Systeme, die mit dem Inhalt des WWW trainiert werden, 'lernen' alle seine Vorurteile und Unarten
How will AI change the way we apply copyright?
Die Idee, dass einige (Künstler, Schriftsteller, Journalisten) wirkliche Inhalte produzieren und andere diese dann kostenlos für das Training ihrer generativen Systeme für kommerzielle Zwecke nutzen, hat hoffentlich keine Zukunft.
How will it change our jobs?
Welche Jobs werden in 20 Jahren noch existieren und wie werden sich diese verändert haben?
What misinformation will it make possible?
Wie kann das Fake-News Problem gelöst werden?
Will we come to grips with its costs?
Da sind z.B. die hohen Energiekosten beim Training; da sind aber auch die hohen menschlichen Kosten die dadurch entstehen, dass die derzeit genutzten Systeme darauf beruhen, dass nach dem automatischen Training mit dem hohen Energieaufwand viele Menschen in Entwicklungsländern diese Systeme durch ihr Feedback zu dem Verhalten bringen, das wir derzeit sehen und die schlimmsten Auswüchse, die durch das Training mit rohen Internet-Daten entstehen, zu mindern.
Will doomerism continue to dominate policymaking?
Das heißt, auf welches der 5 Szenarien weiter oben sollen wir uns einstellen und wogegen Maßnahmen setzen?

3. AI Act wurde (nahezu) beschlossen

Alle Zeitungen haben gefeiert, dass es zwischen EU-Rat, EU-Parlament und EU-Kommission letztendlich doch noch gelungen ist, sich auf eine Formulierung des AI Acts zu einigen. Aber . . .

Wenn alles gut geht, könnte das Dokument im Mai 2024 endgültig verabschiedet werden. Falls dies gelingt, so sind 6 Monate später die ersten Aspekte gültig und dann zieht sich das bis 2026 bis es vollständig in Kraft ist. Im Laufe von 2025 müssen dann Implementierungsdetails, z.B. die detaillierten technischen Standards, ausgehandelt werden - da ist noch viel Verwässerung möglich.

Und dann wird man sehen, ob die Inhalte wirklich in allen EU-Ländern durchsetzbar sind, eine große Frage! Die von vielen geforderte zentrale Behörde konnte nicht durchgesetzt werden, in jedem Land werden "competent national authorities" eingesetzt, die die ersten Ansprechpartner für die Durchsetzung sind -viele Länder sind bereits säumig bei diesem Schritt, auch Deutschland und Österreich. (Zur Durchsetzung, siehe die Probleme der DSGVO- /GDPR-Durchsetzung in den verschiedenen Ländern, z.B. Irland). Nach den (gemischten) Erfahrungen mit der Datenschutz-Durchsetzung wird aber zumindest eine zentrale KI-Behörde innerhalb der EU-Kommission geschaffen, zuständig vor allem für die Regulierung von Basis- und General-Purpose-AI-Modellen.

Das inhaltliche Ergebnis, das wir nun haben, ist konzeptionell sehr anders als das, was in 2020 geplant war - ein Ergebnis der jahrelangen zähen Verhandlungen zwischen 'Kräften' in der EU. (Alle diese Details sind aus dem Video "The EU AI Act: A Success Story", berichtet von Teilnehmern an den Verhandlungen).

Dass überhaupt etwas (akzeptables) entstanden ist, ist nicht selbstverständlich - die registrierte Lobbyistenzahl war bei diesem Thema größer als im Bereich Pharma, fossilen Brennstoffen, Finanzen oder Chemie und es gab extremen Gegenwind. Dazu kam zuletzt noch erheblicher Widerstand aus Ländern, z.B. Deutschland und Frankreich die lokale Startups schützen wollen. Ein weiteres Problem ist das Drehtürprinzip - viele der Industrie-Lobbyisten waren früher im politischen Prozess tätig und die Firmen (auch die europäischen) beschäftigen Ex-Politiker um mehr Einfluss zu gewinnen und Regulierungen zumindest einzubremsen.

Aber der entgültige Text wird erst in den nächsten Monaten bis zum Mai entstehen und dann werden bis 2025 die detaillierten Standards formuliert werden, d.h. der Kampf ist noch nicht vorbei - da kann noch viel im Sinne der Industrie entschärft werden. Ein guter kritischer Text dazu: EU und Big Tech riskieren eine Krise des Wissens.

Die Inhalte des AI Acts im 'kurzen' Überblick

Alle AI-Systeme werden in 1 von 4 Risikoklassen eingestuft:

unbedenklich, das heißt: nicht vom Gesetz betroffen
KIs mit begrenztem Risiko und Transparenzverpflichtung: ein KI-System muss beim Kontakt mit Menschen immer betonen, dass es eine Maschine ist, z.B. bei einem Hilfe-Chatbot auf einer Website, allen generativen Systemen wie ChatGPT oder in den Suchmaschinen oder ein automatischer Anrufbeantworter
hohes Risiko, der Kern des Gesetzes. Hier müssen (vom primären Hersteller des Systems) Risikoanalysen vorgelegt und vor ihrem Einsatz überprüft werden. Außerdem sind Pflicht: Kontrolle der KI durch Menschen, ein Einspruchsrecht, detaillierte technische Dokumentation und ein System zum Risikomanagement. Beispiele von Systemen mit hohem Risiko sind Anwendungen in kritischer Infrastruktur, bei Sicherheitsbehörden und in der Personalverwaltung, im medizinischen Bereich oder bei Bewerbungsprozessen.
inakzeptables Risiko, z.B. Systeme zur Verhaltensmanipulation (z.B. "dark pattern"), die ungezielte Erfassung von Gesichtern aus Sozialen Medien oder durch Überwachungskameras, sowie Systeme zur Emotionserkennung, z.B. am Arbeitsplatz oder in Bildungseinrichtungen, Social Scorings, d.h. die Bewertung des Verhaltens von Bürgern, wie sie in China eingesetzt werden. Das inkludiert "Predictive Policing für einzelne Personen", wie dies z.B. in den USA bereits eingesetzt wird

Eine gute Zusammenfassung der wichtigsten Punkte veröffentlich die EU in einem AI Act Q & A.

Einer der großen Streitpunkte war die biometrische Überwachung. Das Parlament wollte ein grundsätzliches Verbot, die Länder wollten Ausnahmen zum Schutz der nationalen Sicherheit, zur Verteidigung und für andere militärische Zwecke durchsetzen (die beiden letzten Punkte waren immer klar: Das AI Act gilt grundsätzlich nicht für Militär-Anwendungen).
Der Beschluss erlaubt die Nutzung biometrischer Identifizierungssysteme durch die Strafverfolgungsbehörden, aber nur mit richterlicher Genehmigung und für einen fixen Straftatenkatalog - Details werden aber in der Zukunft noch verhandelt werden. Aber es wird eine "zeitlich und örtlich begrenzte" Echtzeitüberwachung möglich sein, die Details entscheidet ein lokaler Richter.
Falls es bei "Verbrechen, für die drei Jahre Haft oder mehr drohen" bleibt so wären in Österreich nicht nur Mörder und Terroristen betroffen, sondern auch Einbrecher, Geldfälscher oder Handtaschendiebe - quasi eine Legalisierung der biometrischen Überwachung und AI-Profiling. Vor allem Frankreich forderte weitgende Erlaubnis für Gesichtserfassung für die Olympischen Spiele 2024. Für mehr Details zum AI Act

Zusätzliche Regeln gibt es für die generativen AI-Systeme (GPT, Gemini, LaMDA, LLaMA, Midjourney, etc): Es werden 2 Klassen von KI-Systemen unterschieden, kleine und große, bestimmt z.B. über Rechenleistung und Trainingsaufwand - dies soll kleinere Startups entlasten. Als quantitativer Schwellenwert kann unter anderem die zum Trainieren des Modells verwendete Rechenleistung herangezogen werden oder die Anzahl geschäftlicher Nutzer und die Zahl der eingeflossenen Parameter.

Die großen KI-Player müssen mögliche Risiken für Gesundheit, Sicherheit, Grundrechte, Umwelt, Demokratie und Rechtsstaatlichkeit unter Einbeziehung unabhängiger Experten prüfen, dokumentieren und gegebenenfalls abmildern. Benötigt wird dann auch eine technische Dokumentation mit Angaben zu Trainings- und Testverfahren, Energieeffizienz, Angaben zur Herkunft der Trainingsdaten (keine Urheberrechtsverletzungen mehr) - eine große Neuerung gegenüber jetzt.

Open-Source-Modelle mit öffentlich verfügbaren Informationen und Einflussgrößen sind vom AI Act nicht betroffen, solange ihre Nutzungsfälle nicht in die Kategorien hochriskanter oder verbotener Technologien fallen oder mit einer besonderen Manipulationsgefahr verknüpft sind. Juristen dürften sich noch darüber streiten, ob dies etwa für LLaMA von Meta gilt.

Das Parlament wollte, dass vor allem mittelständische Firmen KI-Lösungen entwickeln können ohne übermäßigen Druck, weder von Branchenriesen die die Wertschöpfungskette kontrollieren, noch durch diese Verordnung. Zu diesem Zweck fördert die Vereinbarung sogenannte regulatorische Sandkästen als Testumgebungen, die von nationalen Behörden eingerichtet werden, um innovative KI vor der Markteinführung zu entwickeln und zu trainieren.

Die theoretisch möglichen Strafen für Übertretung dieses Gesetzes sind übrigens ähnlich drastisch wie die theoretisch möglichen Strafen beim Datenschutz: bis zu 7% des Jahresumsatzes oder 35 Millionen Euro Strafe.

Hier ein ausführlicher Artikel zur leicht gruseligen Wunschliste der Länder nicht nur bei Biometrie - viele der (m.E. wunderbar) restriktiven Wünsche des EU-Parlaments wurden durch die Länder sabotiert - NGOs kritisieren dies.

2 Bewertungen: 'Der AI Act ist da: EU einigt sich auf erstes staatenübergreifendes KI-Regelwerk' und 'Das umfangreichste KI-Gesetz der Welt und seine Lücken'

Ganz kurze ambivalente Bewertung aus US-Sicht

MIT Technology Review fasst ihre ambivalente Bewertung in 4 Punkten zusammen:

The AI Act ushers in important, binding rules on transparency and ethics
AI companies still have a lot of wiggle room
The EU will become the world's premier AI police
National security always wins

Die Details finden sich im darüber verlinkten Bericht.

Dieser Beitrag zum AI Act ist die Fortsetzung vom Nov und hier die Fortsetzung im März 2024.

4. EU Gesetzgebungen (Data Act, Cyber Resilience Act, Produkthaftungsrichtlinie, European Accessibility Act, EU Lieferkettengesetz, European Media Freedom Act)

EU Data Act

Der Data Act (zuletzt berichtet im November) ist nun wirklich verabschiedet worden. Ziel dieser Verordnung ist, dass jeder EU-Bürger und andere Interessierte Zugriff auf die Daten erhalten sollen, die von elektronischen Geräten erzeugt wurden, z.B. von vernetzten Waschmaschinen, Fitnessuhren, Landmaschinen, Flugzeugen oder Industrierobotern. Dazu gehören auch die Daten, die ein modernes Auto erzeugt und kontinuierlich an den Hersteller liefert. Dies soll neue Geschäftsmodelle für europäische Firmen und Vorteile für die Nutzer der Geräte bieten.

Das Gesetz gilt von Herbst 2025 an, aber der Zugang zu den Daten vernetzter Geräte muss erst 32 Monate nach Inkrafttreten des Datengesetzes implementiert werden, d.h. Herst 2026. Bis zu 49 Milliarden vernetzte Geräte sollen dann betroffen sein, das Gesetz soll bis 2028 eine Wertschöpfung von 270 Milliarden Euro liefern, und zwar ohne mit dem Datenschutz zu kollidieren (in der Theorie geht die DSGVO immer vor - wie das in der Praxis klappt, werden wir sehen).

Die positive Idee ist, dass die Nutzer von Geräten (z.B. dem Auto) anderen Einrichtungen, z.B. einer unabhängigen Reparaturwerkstatt mittels eines Datennutzungsvertrags Zugriff auf die Daten geben kann. Seit September 2023 gilt dazu das Daten-Governance-Gesetz, das sogenannte Datenvermittlungsdienste definiert. Das Gesetz ist umfangreich (250 Seiten) und komplex. Wie sich die Implementierung dann gestalten wird, ist noch offen: Datengesetz der EU: Das falsche Versprechen vom fairen Datenreichtum. Bedenken werden z.B. von Datenschützern bezüglich der erwarteten Anonymität der Daten geäußert. Von anderen wird befürchtet, dass Hersteller sich evt. das alleinige Recht auf diese Daten im Verkaufsvertrag zusichern lassen.

Cyber Resilience Act

Nun kommen 2 Regelungen mit ganz langer Vorlaufzeit - und in diesem Fall verstehe ich das wirklich. Es geht um sichere Software und das erfordert, wenn Hersteller das wirklich ernst nehmen wollen, einiges an Änderungen am Software-Entwicklungsprozess und viel gründlicheres Testen. Dazu eine Infrastuktur für das Einspielen von Software-Patches übers Internet.

Der Cyber Resilience Act (CRA) wurde im Juli bereits kurz erwähnt. Er wurde nun beschlossen und gilt voraussichtlich ab 2027. In diesem Gesetz geht um einen besseren Schutz digitaler, vernetzter Geräte gegen Angriffe. Der nun gefundene Kompromiss zum Cyber Resilience Act sieht unter anderem vor, dass vernetzbare Produkte (auch IoT-Devices genannt - Internet of Things) und Software Mindestkriterien erfüllen müssen, damit sie künftig das CE-Zeichen tragen dürfen. Die Produkte müssen beim Verkauf grundsätzlich sicher sein und mindestens fünf Jahre lang mit Sicherheitsupdates versorgt werden. Verschärfte Anforderungen gelten für Produkte wie Babyphones oder vernetzte Türklingeln.

In besonders kritischen Fällen kann es sogar notwendig werden, dass unabhängige Tester die Produkte prüfen und zertifizieren. Wenn die Hersteller von Softwarelücken Kenntnis erhalten, so müssen sie diese innerhalb von 24 Stunden an die nationale Aufsichtsbehörde und die Europäische Behörde für Netz- und Informationssicherheit ENISA melden, das ist analog zur NIS-Richtlinie 2 die für die sog. 'kritische Infrastruktur' wie Energieversorgung gilt - d.h. die private vernetzte Infrastruktur soll sehr ähnlich behandelt werden.

Ein Streitpunkt waren Open Source Entwicklungen die von Privatleuten als Hobby entwickelt werden. Für solche Fälle wurden Ausnahmen definiert. Open Source Entwicklungen sind viel relevanter als man erwarten könnte. Es gibt extrem weit verbreitete Open Source-Bibliotheken, wie z.B. OpenSSL für die Verschlüsselung von Internetverbindungen, die traditionell von ehrenamtlichen Entwicklern entwickelt und betreut werden. Fehler, die in diesen Software-Bibliotheken entdeckt werden, müssen nun sehr zeitnah an die Entwickler gemeldet werden und die typischerweise schnell korrigierte Software muss zeitnah bei allen Nutzern ausgerollt werden. In einem früheren Beitrag habe ich ausführlich begründet, warum dieses Gesetz längst überfällig ist.

2 Aktualisierungen März 2004: Der Cyber Resilience Act wurde nun im März vom EU-Parlament angenommen. Ich finde das sehr gut. Das Gesetz muss aber noch durch den Rat.

In den USA die FCC ganz vorsichtig 'nachgezogen' und mit sehr ähnlichen Zielen eine freiwillige Zertifizierung der Cybersecurity eingeführt, die zur Verleihung einer US Cyber Trust Mark für das jeweilige Produkt führen kann. Das ist zwar kein Vergleich zu der kommenden Pflicht in der EU, ich finde das aber trotzdem gut. So bringt die Einhaltung der EU-Vorschriften automatisch im großen US-Markt die Möglichkeit, den Aufwand auch dort zu verwerten.

EU-Produkthaftungsrichtlinie - Revised Product Liability Directive

Eine sehr ähnliche Zielsetzung hat die EU-Produkthaftungsrichtlinie (auch bereits im Juli erwähnt). Das "Revised" bezieht sich darauf, dass die bisherige Produkthaftung Software explizit ausnahm, dies ist nun ganz klar enthalten, inkl. einer Haftung für Schäden durch die Nutzung von AI-Systemen (als Thema bereits Nov. 2022). Das ist ein alter Wunsch von mir, dass an Software die gleichen Sicherheitsanforderungen gestellt werden wie an die Geräte selbst. Wenn ein Gerät nicht in der EU hergestellt wird, so haftet der Händler oder der Importeur.

Der verlinkte Artikel behandelt auch die Frage was passiert, wenn der Nutzer die Fehlerhaftigkeit des Produkts oder den Kausalzusammenhang zwischen dem Gerät und dem Schaden nicht schlüssig nachweisen kann. Ein Streitpunkt war die Haftung der Freizeit-Entwickler die Open Source Software erstellen - diese sind von der Haftung ausgenommen.

In den USA wurde im März ebenfalls eine Haftung für Software eingeführt, und zwar in der National Cybersecurity Strategy. Aber Haftung trit nur dann ein, wenn gegen 'Best Practices' verstoßen wurde oder typische Fehler wiederholt werden.

European Accessibility Act

Das hatte ich bisher noch gar nicht in meinem Fokus: European Accessibility Act. Hier geht es um barriere-freien Zugang auch zu digitalen Diensten. Österreich setzt diese EU-Richtlinie (4 Jahre nach dem Erlass der EU-Richtlinie) mit dem im Juli beschlossenen Barrierefreiheitsgesetz BaFG um. Eigentlich eine tolle Sache, dass auch Menschen mit Einschränkungen (körperlich, sehen, hören, aber auch mit Verständnisproblemen beim Lesen) besser berücksichtigt werden. Es geht um (Online-)Dienstleistungen, Websites, Selbstbedienungsterminals, Ticketautomaten, E-Banking, Geldautomaten / Bankomaten, Informationsblätter und Verträgen (dies bedeutet z.B., dass die Banken und andere Institutionen ihre Verträge deutlich einfacher formulieren müssen, eine sehr große Baustelle). Bis Mitte 2025 müssen auch digitale Produkte barrierefrei sein. In irgendeiner Weise sind in der EU 80 Millionen Menschen betroffen.

Nicht so toll sind die zum Teil sehr langen Fristen bei Geräten wie Bankomaten. Geldautomaten etwa, die vor dem 28. Juni 2025 in Verkehr gebracht wurden, dürfen weitere 20 Jahre in Betrieb bleiben. Im Extremfall kann ein Bankomat bis 2045 im Einsatz sein, obwohl er dem BaFG nicht entspricht, kritisiert der Bundesverband für Menschen mit Behinderungen (ÖZIV). Auch Dienstleistungen, die vor 28. Juni auf den Markt kommen, müssen erst fünf Jahre später angepasst werden. Der ÖZIV ortete "eine sehr verhaltende Vorgehensweise" seitens der Banken. Angepasst werden muss vieles. So sollen etwa Texte für Menschen mit Sehbehinderung akustisch zur Verfügung stehen und Produktinformationsblätter, die etwa Kreditbedingungen erläutern, nicht in Einfacher Sprache formuliert werden. Noch ist von solchen Bemühungen wenig zu spüren.

EU Ecodesign Regulation

Die EU Ecodesign Regulation - oder im Langtext: Ecodesign Framework for Sustainable Products, deutsch Ökodesign-Verordnung, soll die Kreislaufwirtschaft stärken, die Lebensdauer von Geräten verlängern. Produkte müssen länger halten sowie einfacher zu reparieren, aufzurüsten und zu recyceln sein. Der EU-Rat hat die neue Ökodesign-Verordnung gebilligt. Produkte für den EU-Markt müssen Ressourcen sparen, langlebig, reparierbar und energieeffizient sein. Das klingt wie eine gute Sache.

Sie gilt grundsätzlich für fast alle Warenkategorien, also etwa für Geschirrspüler, Fernseher, Telefone, Laptops, Fenster und Autoladegeräte und soll voraussichtlich im 2. Quartal 2024 in Kraft treten. Nicht betroffen sind z.B. Autos oder Medizingeräte, wenn für sie in anderen Gesetzen schon einschlägige Vorschriften gelten. Auch Produkte, die Auswirkungen auf die Verteidigung oder die nationale Sicherheit haben, fallen nicht in den Anwendungsbereich.

Ein digitaler Produktpass soll Auskunft über die Nachhaltigkeit von Waren geben. Die Vernichtung nicht verkaufter Bekleidung, Accessoires und Schuhe soll zwei Jahre nach Inkrafttreten des Gesetzes ausdrücklich verboten sein. Für mittelständische Unternehmen gilt eine Übergangsfrist von sechs Jahren.

Hier Kritikpunkte: Online-Marktplätze außerhalb der EU werden es bestimmt schaffen, die Nachhaltigkeitsvorschriften für die von ihnen verkauften Produkte zu vermeiden. Dies öffnet Hintertüren, z.B. für Produkte aus China. Generell fielen Maßnahmen zur Marktüberwachung zu schwach aus. Das Europäische Umweltbüro vermisst ein Verbot, Elektronikgeräte zu vernichten.

EU Lieferkettengesetz

Ein Lieferkettengesetz für die EU ist schon lange in Arbeit, aber immer noch Baustelle. Die geplante EU-Richtlinie über die Sorgfaltspflichten von Unternehmen im Hinblick auf Nachhaltigkeit (CSDD), ist schärfer als z.B. das derzeitige Gesetz über unternehmerische Sorgfaltspflichten in Lieferketten. Daher gibt es von der Industrie Widerstand gegen eine neue Verordnung.

Es geht darum, den Schutz der Umwelt, Menschen- und Kinderrechte entlang globaler Lieferketten zu verbessern. Unternehmen, die im Ausland Komponenten, Rohstoffe oder Fertigerzeugnisse einkaufen, müssen Verantwortung für Produktionsverfahren und Arbeitsbedingungen bei ihren Zulieferern übernehmen, Missstände zurückverfolgen und diese von vornherein oder ab Kenntniserlangung vermeiden oder abstellen. Klingt gut für mich. :-)

Der Widerstand rührt daher, dass dies für Unternehmer und Händler einiges an Aufwand bedeutet. Sie müssen ihre Lieferanten dazu verpflichten, entsprechende Berichte über das Fehlen von Menschrechtsverletzung vorzulegen, z.B. eine unabhängige Bestätigung, dass in der gesamten Produktionskette bis zum Schürfen der Rohstoffe keine Kinderarbeit eingesetzt wird. Menschenrechtsorganisationen berichten, dass derzeit fast überall Kinderarbeit drin steckt.

Ergänzungen Februar 2024:
Die geplante Richtlinie würde Unternehmen dazu verpflichten, ihre Lieferanten auf Verstöße gegen Umwelt- und Menschenrechtsstandards zu prüfen. Bei Verstößen könnten Strafen von bis zu fünf Prozent des Jahresumsatzes fällig werden.

Betroffen wären Unternehmen mit mehr als 500 Mitarbeitenden und einem Umsatz von über 150 Millionen Euro. In besonders gefährdeten Sektoren wie der Textilbranche würden niedrigere Grenzen von 250 Mitarbeitenden und 40 Millionen Euro Umsatz gelten. Indirekt betroffen wären aber so gut wie alle Unternehmen. Es wäre dann zu erwarten, dass große Konzerne alle ihre Zulieferer vertraglich zu den Vorgaben der Richtlinie verpflichten würden.

Im Fokus stehen neben Umweltstandards soziale Rechte nach internationalen völkerrechtlichen Übereinkommen wie der Allgemeinen Erklärung der Menschenrechte oder dem UN-Sozialpakt. Der Standard kommentiert:

Wer ehrlich debattiert, muss nämlich zugeben, dass es weniger um komplizierte Lieferketten geht als um Geld: Produkte, die unter der Einhaltung von Menschenrechten und Umweltstandards hergestellt werden, sind teurer. Europäische Unternehmen wären im internationalen Wettbewerb benachteiligt; Konsumenten müssten mit höheren Preisen rechnen. Am Ende des Tages ließe sich ein gewisser Wohlstandsverlust kaum verhindern. Daraus folgt eine unangenehme, aber wenigstens ehrliche Frage: Wollen wir auf Wohlstand verzichten, wenn er auf Ausbeutung basiert? Oder weitermachen wie bisher?

2. Aktualisierung Februar 2024:
Schlechte Nachricht für die Kinder: EU-Lieferkettengesetz verfehlt nötige Mehrheit unter den EU-Staaten. Der Falter-Natur Newsletter berichtet darüber, wie Märkte eine Diffusion von Verantwortung erzeugen. Tests zeigen, dass, je mehr Menschen in einer wirtschaftlichen Entscheidung beteiligt sind, desto weniger verantwortlich für Unethisches sieht sich der:die Einzelne.

Aktualisierung März 2024:
Die EU-Staaten einigten sich auf ein Lieferkettengesetz - in einer sehr verwässerten Version. Unternehmen müssen sehr groß sein, dass sie davon betroffen sind. Die Einigung war sehr schwierig, zuletzt haben sich 10 Staaten enthalten damit es angenommen werden kann (z.B. Deutschland und Österreich). Hier Hintergründe zu dem Konflikt rund um das Gesetz: Wer hat es boykottiert? (mit interessanten Hinweisen auf mögliche Interessenkonflikte bei einer Abgeordneten, die sehr aktiv dagegen gearbeitet hat). Jetzt muss das Gesetz aber auch noch durch das EU-Parlament.

European Media Freedom Act (EMFA)

European Media Freedom Act klingt gut, aber die Detail-Diskussionen sind gruselig. Das Gesetz soll Journalist:innen schützen, auch vor staatlicher Überwachung durch die eigene Regierung. Diesen Schutz der Journalist:innen wollen aber nicht alle Regierungen in der EU. Einige Ländern, z.B. Frankreich forderten eine generelle Ausnahme für nationale Sicherheit, dann sollen die Smartphones sehr wohl abgehört werden dürfen. Ob die nationale Sicherheit bedroht ist, das will die jeweilige Regierung im Einzelfall entscheiden - in manchen Ländern tritt dies bereits ein, wenn die Wiederwahl der Regierungspartei (z.B. durch Veröffentlichung von Bestechung) bedroht scheint.

Für das EU-Parlament war eine generelle Ausnahme der nationalen Sicherheit ein No-Go, einige Regierungen hingegen wollten gleich den ganzen EMFA unter den Vorbehalt der nationalen Sicherheit stellen, nicht nur den Spyware-Paragraphen (bei dem Spyware-Paragraphen geht es um Software wie z.B. das berüchtige Pegasus - die Wikipedia listet die vielen (auch EU-) Länder auf, die diese Spyware einsetzen. Oder siehe die Berichte von Amnesty International zu den Predator Files.

Der EMFA schreibt nun vor, dass staatliche Behörden für das Abhören von Journalist:innen eine richterliche Genehmigung brauchen und es ein "überwiegendes öffentliches Interesse" geben muss. Zudem müssen Journalist:innen informiert werden, wenn Sie gehackt wurden. Das Parlament wollte außerdem ein Verbot für Überwachungsmaßnahmen, wenn dies zum Zugang zu journalistischen Quellen führen könnte oder auch nur in Verbindung zur Arbeit als Journalist steht. Auch das fehlt im finalen Text.

Wieder die alte Beobachtung: Das EU-Parlament will vernünftige Sachen, aber meist sind es die EU-Länder, die ganz eigene Vorstellungen von Demokratie, Menschenrechten und Freiheit haben. :-(

5. Aktualisierungen zu früheren Themen

Kryptokriminalität vor Gericht, das DSA gilt für 3 große Pornwebseiten.

Zu Chatkontrolle / Chatcontrol gibt es aktuell eine Entwarnung: Das Gesetz wird wohl in dieser EU-Wahlperiode nicht mehr kommen. Die Details berichten auf dem Chaos Computer Congress 3 Menschen, die am Scheitern aktiv beteiligt waren: Chatkontrolle - Es ist noch nicht vorbei! - Eine Tragödie in X Akten. Das 'noch nicht vorbei' bezieht sich darauf, dass Polizei und Geheimdienste in einigen EU-Ländern die Ende-zu-Ende-Verschlüsselung und die Abhörsicherheit unserer Geräte wirklich nicht passt und dass die Keule mit "aber die armen Kinder" bestimmt wieder rausgeholt wird.

Und dann noch eskalierende Copyright-Probleme für die generative AI.

Kostenlos: ÖIAT-Online-Schulungen

Auch weiterhin kostenlose Online Schulungen beim Österreichischen Institut für angewandte Telekommunikation (ÖIAT). Hier die kommenden Termine und Themen - alle diese Schulungen sind empfehlenswert (ich nehme an vielen davon Teil).

Die Termine und Themen der neuen Kurse: (jeweils Montags 18:30 - 20:00)

15. Januar | Smartphone, Tablet & Co. sicher nutzen

12. Februar | Betrugsfallen & Fakes im Internet

11. März | Wie schütze ich mich vor Identitätsdiebstahl?

Anmeldung auf academy.oiat.at - der Zoom-Link kommt dann per Email - wie gesagt: m.E. sehr empfehlenswert.