In einer Welt, die zunehmend von Technologie und Daten geprägt ist, hat die Europäische Union reagiert und mehrere Verordnungen im Bereich der Digitalisierung beschlossen, die auch Unternehmen und öffentliche Einrichtungen vor neue Herausforderungen stellen. Dieser Blogbeitrag bietet eine verständliche Übersicht über die wichtigsten Verordnungen und Richtlinien, die zum Teil auch schon in Kraft getreten sind. Im Laufe der nächsten Zeit stellen wir die neuen Rechtsakte im Detail noch detaillierter vor.
Data Act
Der Data Act ist eine wichtige Initiative der EU-Kommission, die sich auf den Umgang mit Daten fokussiert, die Nutzende auf Ihren vernetzten Geräten (IoT) erzeugen und soll den Datenaustausch in der EU erleichtern. Personenbezogene Daten stehen dabei nicht im Vordergrund. Stattdessen zielt der Data Act darauf ab, Datenzugang und Datennutzung zu harmonisieren, um das Potenzial von Daten zu fördern. Insbesondere kleine und mittelständische Unternehmen sollen durch eine gemeinsame Datennutzung profitieren. Dieses Gesetz soll das Vertrauen der Verbraucher stärken, indem auch Nutzende Zugang zu den von ihren vernetzten Geräten erzeugte Daten erhalten, die sonst ausschließlich von Herstellern gesammelt werden.
Die Grundsätze der Datenschutz-Grundverordnung (DSGVO) sollen dabei unberührt bleiben.
Weitere Informationen zum Data Act finden Sie in diesem Blogbeitrag von uns:
Artificial Intelligence Act
Der AI-Act konzentriert sich auf die Regulierung von künstlicher Intelligenz (KI) in der EU. Dieser soll sowohl die Entwicklung von KI fördern als auch ein hohes Schutzniveau für öffentliche Interessen gewährleisten und eine Vertrauensbasis für KI-Systeme schaffen. Er enthält klare Regeln und Standards für den Einsatz von KI-Systemen, um negative Auswirkungen auf die Sicherheit, Gesundheit und Grundrechte von Menschen zu reduzieren.
Die Verordnung definiert vier verschiedene Risikostufen von KI-Systemen: ein minimales, ein begrenztes, ein hohes und ein inakzeptables Risiko. Je nach Einordnung des KI-Systems werden unterschiedliche Zulassungsvoraussetzungen und Kontrollen mit verschiedenen Regulierungen erforderlich. Hochrisikoreiche KI-Systeme benötigen bestimmte Qualitätsanforderungen, um die Sicherheit und ethische Nutzung sicherzustellen. Dazu gehören beispielsweise die Protokollierungs- und Dokumentationsvorgaben, eine weitreichende Information der Nutzenden, eine hohe Qualität der Datensätze oder auch eine menschliche Aufsicht. KI-Anwendungen, die der Manipulation von Menschen dienen oder sie nach ihrem sozialen Status klassifizieren, sollen nach dem Entwurf nicht erlaubt sein.
Die Durchsetzung des AI Act soll sowohl durch Aufsichtsbehörden der Mitgliedsländer als auch die das „European Artificial Intelligence Office“ (AI Office) erfolgen.
Digital Services Act
Der Digital Services Act (DSA) ist bereits am 16. November 2022 in Kraft getreten und darauf ausgerichtet, digitale Plattformen und Dienste zu regulieren. Daher wird er zum Teil auch als „Grundgesetz des Internets“ bezeichnet. Die Umsetzung des Digital Services Acts muss bis zum 17. Februar 2024 durch die Mitgliedsstaaten der EU erfolgen. Er schafft klare Regeln für Online-Plattformen in Bezug auf die Bekämpfung illegaler Inhalte und Desinformation, Transparenzregeln, Benachrichtigungen von Nutzenden und Rechenschaftspflicht. Dies soll die Verantwortung der Plattformen im digitalen Raum stärken und gleichzeitig die Meinungsfreiheit schützen.
Von großer Bedeutung sind aus datenschutzrechtlicher Sicht insbesondere die Regelungen zur Datennutzung für Tracking und Profiling im Rahmen der Online-Werbung. Diese ist für Minderjährige durch den DAS verboten. Dies gilt ebenfalls für Werbung, die auf der Verwendung personenbezogener Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DSGVO basiert – auch für Erwachsene.
Ebenso sollen Forschungseinrichtungen Zugang zu Daten großer Online-Plattformen erhalten, um die Algorithmen analysieren zu können, die dafür verantwortlich sind, welche Inhalte den Nutzenden angezeigt werden. Ferner ist die Aufsicht über die Unternehmen durch den „Digital Services Coordinator“ geplant. In Deutschland soll dies durch die Bundesnetzagentur abgebildet werden.
Der Digital Services Act bietet Potenzial, um Online-Plattformen, Online-Marktplätze und Suchmaschinen verbraucher- und datenschutzfreundlicher zu gestalten. Es bleibt jedoch abzuwarten, wie effektiv er in der Praxis sein wird und welche Auswirkungen er auf die Nutzenden der Plattformen sowie auf die Unternehmen haben wird.
Weitere Information zum Digital Services Act finden Sie in dem Blogbeitrag unseres Kooperationspartners der Rechtsanwaltskanzlei Bette Westenberger Brink von unserem Kollegen Christoph Möx:
Digital Markets Act
Der Digital Markets Act (DMA) zielt auf große Online-Plattformen, sogenannte digitale „Gatekeeper“, ab und ist seit dem 17. Februar 2024. Er soll den Wettbewerb fördern und sicherstellen, dass digitale Märkte offen und fair bleiben. Außerdem stärkt er die Kooperation zwischen der Wettbewerbs- und der Datenschutzaufsicht. DMA verlangt von digitalen Gatekeepern, bestimmte Verhaltensregeln einzuhalten und trifft Regelung zu Profiling und Datenportabilität. Beispielweise müssen Gatekeeper die Beschreibung von Techniken zur Erstellung von Verbraucherprofilen auch dem Europäischen Datenschutzausschuss (EDSA) zur Verfügung stellen sowie eine Ende-zu-Ende-Verschlüsselung zwischen einzelnen Nutzenden in der Kommunikation sicherstellen.
Data Governance Act
Der Data Governance Act (DGA), der seit dem 24. September 2023 anzuwenden ist, soll das Vertrauen in die gemeinsame Nutzung von Daten stärken und einen Binnenmarkt für den Datenaustauschen schaffen, indem unter anderem Behörden personenbezogene Daten etwa zur kommerziellen Weiterverwendung freigeben. Außerdem sollen neutrale Vermittlungsdienste Datenanbietende und Datennutzende zusammenbringen, um eine Datenökonomie zu schaffen. Weiter besteht auch die Möglichkeit für die Mitgliedsstaaten datenaltruistische Organisationen zu gründen, denen die EU-Bürger:innen freiwillig ihre personenbezogenen Daten für Zwecke des Gemeinwohls geben.
In diesem Rahmen ist auch eine Aufsichtsstruktur geschaffen worden. Datenvermittlungsdienste müssen sich bei der zuständigen Behörde anmelden und auch einen EU-Vertreter benennen, wenn der Dienstleistungserbringer außerhalb der EU niedergelassen ist.
NIS 2-Richtlinie
Das Network and Information Systems Directive (NIS) ist eine Richtlinie, die auf die Sicherheit von Netzwerken und Informationssystemen abzielt und am 16. Januar 2023 in Kraft getreten ist. Sie enthält Anforderungen an Betreiber wesentlicher Dienste und digitale Diensteanbieter, um ihre Netzwerke und Systeme gegen Cyberangriffe zu schützen. Seit Juli 2023 existiert ein Referentenentwurf des Bundesinnenministeriums für die Umsetzung dieser Richtlinie. Das Umsetzungsgesetz soll im Oktober 2024 in Kraft treten.
Die Richtlinie ist eine Reaktion auf die Herausforderungen, die die Digitalisierung mit sich bringt und enthält Regelungen zu Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen. Darüber hinaus sind auch strengere Haftungsregelungen für die Geschäftsleitung enthalten.
Digital Operational Resilience Act
Mit dieser Verordnung (DORA-Verordnung) verfolgt die EU-Kommission das Ziel, einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und Risiken bei Informations- und Kommunikationstechnologien (nachfolgend: „IKT“) auf den Finanzmärkten zu schaffen. Sie trat am 16. Januar 2023 in Kraft und das Hauptaugenmerk liegt auf der Sicherstellung der Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung, die die Sicherheit des Netzes der Informationssysteme gefährden könnte. Sie betrifft Finanzunternehmen und bildet eine Art „spezielleres Gesetz“ zur zuvor vorgestellten NIS2-Richtlinie.
Insbesondere spielen bei der Verordnung das IKT-Risikomanagement, Management von IKT-Vorfällen, Digital Operational Resilience Testing, das Management von Drittparteien und der Informationsaustausch eine tragende Rolle.
Die Übergangsfrist beträgt zwei Jahre, bis die Verordnung umgesetzt sein muss.
Cyber Resilience Act
Mit Hilfe des Cyber Resilience Act (CRA) sollen die Anforderungen an die Cyber Sicherheit für Produkte mit digitalen Bestandteilen verbindlich festgelegt werden und ergänzt weitere bestehende und geplante Rechtsvorschriften, unter anderem auch die NIS2-Richtlinie und den AI Act.
Vom CRA sind jegliche Software- und Hardwareprodukte umfasst, die Lösungen enthalten, mit denen ein Fernzugriff auf ein Produkt oder Netzwerk erfolgt, also Produkte mit digitalen Bestandteilen. Ausgenommen sind allerdings SaaS und Open Source Software Lösungen. Umsetzen müssen die Verordnung sowohl Hersteller als auch Importeure und Gesellschaften, die solche Produkte in der EU vertreiben. In diesem Zusammenhang ist auch eine Aufsichtsstruktur geplant, die Produkte vom Markt nehmen lassen oder Bußgelder verhängen kann.
Diese Verordnung befindet sich ebenfalls noch im Entwurf.
Fazit
Unternehmen und Organisationen, insbesondere im Technologiesektor, müssen sich auf die Einhaltung dieser Vorschriften vorbereiten, um rechtliche Konsequenzen zu vermeiden. Da viele Überschneidungen und Parallelen bei den Verordnungen und Richtlinien absehbar sind, dürfte in der Praxis eine ganzheitliche Betrachtung in der Umsetzung und in den unternehmensinternen Prozessen empfehlenswert sein.
Die EU hat klare Leitlinien festgelegt, um sicherzustellen, dass die digitale Zukunft in Europa auf soliden Grundlagen aufbaut. Allerdings stellt sich dies teils schwierig dar, da die technologische Entwicklung rasant ist und die Diskussionsprozesse manchmal schlicht überholt.