Der Schlüssel zum Aufbau eines erfolgreichen Technologieunternehmens liegt in schnellem Wachstum. Dazu müssen wir die 500 Millionen Verbraucher vor unserer Haustür erschließen. Deshalb unterstützen digitale Unternehmen den EU-Binnenmarkt und die Idee, ein Regelwerk statt 27 zu haben, nachdrücklich.
Cecilia Bonefeld-Dahl, Generaldirektorin von DIGITALEUROPE.
Leider beginnen unsere digitalen Gesetze, einer regulatorischen Spaghettischüssel zu ähneln. Und während wir uns darum bemühen, eine Einigung über wegweisende Gesetze zu KI und Cybersicherheit zu erzielen, riskieren wir eine weitere Verstrickung. Während wir in diese letzte, entscheidende Phase der Verhandlungen eintreten, dürfen wir nicht vergessen, dass die Kompromisse von heute zu Problemen für die Wettbewerbsfähigkeit Europas von morgen werden könnten.
Nur 8 % der weltweiten Unicorns – junge Unternehmen mit einem Wert von einer Milliarde Dollar – stammen aus Europa. Dieser Prozentsatz stagnierte in den letzten vier Jahren.
Warum? Laut unserer Gemeinschaft vielversprechender kleiner Technologieunternehmen sind die regulatorische Belastung und Komplexität einer der Gründe Die drei größten Hindernisse zum Wachstum.
Das Problem verschlimmert sich dann, wenn EU-Gesetze auf die Mitgliedstaaten durchsickern, was zu einem Labyrinth nationaler Behörden führt, die manchmal regional dupliziert sind und die Regeln alle unterschiedlich interpretieren und durchsetzen. In Europa handeln nur 8 % der KMU über eine EU-Binnengrenze, eine Zahl, die sich in den letzten fünf Jahren nicht verändert hat.
Daher ist es kein Wunder, dass Unternehmen versuchen, anderswo zu wachsen. Laut Sifted, 20 % der französischen Einhörner haben ihren Hauptsitz verlegt in die USA im vergangenen Jahr.
Insgesamt geben die Mitglieder von DIGITALEUROPE an, im Durchschnitt 15 % mehr für Compliance auszugeben als noch vor fünf Jahren, und es werden noch weitere Gesetze folgen. In Brüssel ist es an der Zeit, sowohl beim AI Act als auch beim Cyber Resilience Act (CRA) an die Macht zu kommen. Zwei riesige Dateien, die über Jahre hinweg erstellt wurden. Gesetze, die sich auf Millionen von Produkten auf dem EU-Markt sowie auf Software in zwei der Bereiche auswirken werden, die in den nächsten Jahren das größte Wachstum generieren werden – IoT und künstliche Intelligenz.
Das KI-Gesetz und die CRA werden nicht isoliert existieren und auf sektoralen Vorschriften basieren. Nehmen Sie das Gesundheitswesen, einen Sektor, der sich sehr schnell digitalisiert, aber auch unter die Medizinprodukteverordnung (MDR) fällt.
Stellen Sie sich vor, Sie sind ein mittelständisches Unternehmen aus Portugal, das neue KI-gestützte medizinische Bildgebungsgeräte entwickelt hat, mit denen sich Tumore erkennen lassen, die Ärzten entgehen könnten. Ein potenziell lebensrettendes Werkzeug.
Nach dem KI-Gesetz als hochriskant eingestuft, müssten zusätzliche Compliance-Prüfungen und Papierkram durchgeführt werden, um sicherzustellen, dass es sicher ist. Es muss jedoch auch einem anderen System der Medizinprodukteverordnung entsprechen, was eine ganze Reihe anderer Vorschriften, Formulare und Rahmen mit sich bringt, die durchlaufen werden müssen, um die Sicherheit genau desselben Produkts erneut zu gewährleisten. Die Kommission selbst schätzte die Kosten allein für die Einhaltung des KI-Gesetzes auf 300.000 Euro, eine konservative Schätzung, die die zusätzliche Komplexität sich überschneidender Gesetze außer Acht lässt.
Insbesondere in Bereichen wie der Cybersicherheit wird es regulatorische Verwirrung geben. Wenn es zu einem Cyberverstoß oder „Vorfall“ kommt, müssen Sie ihn den Behörden melden. Allerdings unterscheiden sich die MDR und das KI-Gesetz in ihren Definitionen eines „schwerwiegenden Vorfalls“. Daher könnte das Unternehmen im schlimmsten Fall möglicherweise bis zu einreichen müssen 54 separate Benachrichtigungen oder Berichte – eine für jede nationale Behörde sowohl nach dem AI Act als auch nach der MDR.
Auch dieses Unternehmen würde der DSGVO und den zahlreichen neuen Datenregeln unterliegen. Die DSGVO war eine bahnbrechende Verordnung, aber es wird häufig bemängelt, dass jede Datenschutzbehörde sie unterschiedlich auslegt.
Kann ich meine Daten weitergeben oder nicht? Kann ich Daten von meiner europäischen Fabrik an meine Kunden und Lieferanten in den USA übertragen? Dies sollten einfache Fragen sein, es gibt jedoch mehrere Antworten, je nachdem, wen Sie fragen.
Zusätzlich zu den Datenschutzbehörden (eine in jedem Mitgliedstaat und manchmal pro Region – wenn Sie sich Deutschland ansehen) wird jeder Mitgliedstaat über eine oder mehrere Behörden verfügen, die die neuen Datenregeln verwalten, die sich aus dem Datenschutzgesetz ergeben, sowie über eine neue Befugnis zur Zertifizierung von KI-Systemen. Ganz zu schweigen von dem riesigen Netz unterschiedlicher Cyber-Behörden und -Regeln auf EU- und nationaler Ebene.
Die CRA wird auch Regeln hinzufügen, vom Risikomanagement bis zur Berichterstattung, wobei wiederum mehr technische Standards und Behörden an der Regulierung genau desselben Produkts beteiligt werden.
Glücklicherweise sind medizinische Geräte von der CRA ausgenommen, da die Vorschriften für medizinische Geräte bereits Cyber-Schutzmaßnahmen vorsehen. Wenn Sie jedoch ein italienisches Unternehmen sind, das Industrieroboter oder andere vernetzte Produkte herstellt, haben Sie kein solches Glück. Die KI Act, DSGVO, Data Act und CRA (ganz zu schweigen von der Maschinenverordnung und anderen Vorschriften) gelten für Sie.
Wenn ich der CEO eines dieser Unternehmen wäre, würde ich wahrscheinlich aufgeben. Würdest du nicht?
Wie es in unserem jüngsten Manifest hieß: Wir glauben, dass Europa ein digitales Kraftwerk sein kann. Aber wir müssen die Probleme der regulatorischen Überschneidungen ernst nehmen.
Das Ziel von Präsidentin von der Leyen, die Geschäftsberichterstattung um 25 % zu reduzieren, ist ein fantastischer Anfang. Unser eigenes Manifest fordert eine Reduzierung um 50 % bis 2030 unter Berücksichtigung aller Barrieren zwischen und innerhalb der Mitgliedstaaten. Wir müssen die bereits bestehende Komplexität angehen.
Aber die traurige Wahrheit ist, dass es äußerst schwierig ist, eine einmal bestehende Barriere zu beseitigen. Rund zwei Drittel der von der Kommission identifizierten Hindernisse bestehen seit zwei Jahrzehnten.
Es ist besser, sie gar nicht erst zu erstellen.
Die Gesetze zu KI und Cybersicherheit werden verhandelt Dies könnte dazu beitragen, einige dieser Probleme zu lösen oder sie zu verschlimmern. Wir haben die Möglichkeit, unseren besten Innovatoren die Skalierung und den Verbleib in Europa zu erleichtern, aber die Zeit wird knapp.