Home » Fachbeiträge » Security Management » EU-Datenregulierung: Gesamtschau der Digitalgesetzgebung

EU-Datenregulierung: Gesamtschau der Digitalgesetzgebung

Kaum ein Unternehmen durchblickt vollständig das komplizierte Beziehungsgefüge der bereits wirksamen und teilweise noch im Entstehen begriffenen sektorenübergreifenden, sektorspezifischen und zuweilen widersprüchlichen Digitalrechtsakte im europäischen Mehrebenensystem.

12 Min. Lesezeit
Justitia vor digitalen Daten
Foto: ©AdobeStock/Alexander Limbach

Dieser Beitrag schafft hier Abhilfe: Im Rahmen einer Gesamtschau werden die wichtigsten Neuerungen und Tendenzen der überbordenden EU-Digitalgesetzgebung für Unternehmen und die Gesellschaft dargestellt. Das ermöglicht eine Einstimmung auf die einzelnen Acts und eine anschließende Priorisierung. Auf dieser Grundlage können geschäftliche Risiken abgeschätzt werden. Das Augenmerk wird auf folgende Acts gelegt: DMA, DSA, DA, DGA und AIA.

Der Digital Markets Act (DMA) zielt auf die Regulierung der digitalen Märkte und hierbei insbesondere der großen Online-Plattformen ab, die als Gatekeeper die digitalen Märkte kontrollieren. Regelungsadressaten sind die von den Gatekeepern betriebenen zentralen Plattformdienste, die in Art. 2 Abs. 2 Nr. 2 lit. a–j abschließend aufgezählt werden. Dazu gehören beispielsweise Online-Vermittlungsdienste, Online-Suchmaschinen, Online-Dienste sozialer Netzwerke sowie virtuelle Assistenten.

Ob eine digitale Plattform als Gatekeeper gilt, bestimmt sich nach qualitativen und quantitativen Maßstäben. In qualitativer Hinsicht wesentlich sind dabei vor allem die Auswirkungen der Plattform auf den Binnenmarkt, ihre Vermittlereigenschaft zwischen gewerblichen Nutzern und Endnutzern und die absehbare Festigkeit und Dauerhaftigkeit ihrer Tätigkeit. In quantitativer Hinsicht stellt das Überschreiten bestimmter Schwellenwerte eine Indizwirkung auf:

Von einer Gatekeeper-Funktion wird ausgegangen, wenn unter anderem in jedem der drei vergangenen Geschäftsjahre der unionsweite Jahresumsatz mindestens 7,5 Milliarden Euro oder die Marktkapitalisierung mindestens 75 Milliarden Euro beträgt und der Dienst mindestens 45 Millionen monatliche aktive Endnutzer sowie 10 000 jährliche aktive gewerbliche Nutzer in der EU hat.

Zur Regulierung der Online-Plattformen stellt der DMA zahlreiche Verhaltensvorgaben für Gatekeeper auf. Dabei entfalten sämtliche Vorgaben unmittelbare Rechtswirkung und sind direkt anwendbar. So verpflichtet beispielsweise Art. 5 Gatekeeper dazu, das Sideloading von Apps zu erlauben, Interoperabilität zu gewährleisten und den Nutzern Zugang zu Plattformdienstdaten bereitzustellen. Dies hat insbesondere bei Apple für Unmut gesorgt, da Nutzer durch das Sideloading unter Umgehung des App-Stores Apps auf ihren Apple-Geräten installieren könnten. Apple sieht hierdurch die Sicherheit der Nutzer gefährdet, da der App-Store eine sichere Umgebung für seine Nutzer böte und sämtliche Apps einer strengen Überprüfung unterzogen würden, bevor sie zum Download bereitstehen.

Im Fall von Verstößen gegen die Verhaltensregeln des DMA drohen Bußgelder in Höhe von bis zu 10 Prozent, bei wiederholtem Verstoß von 20 Prozent des weltweiten Jahresumsatzes. Bei systematischem regelwidrigem Verhalten kann den Torwächtern sogar für begrenzte Zeit ein Fusionsverbot auferlegt werden. Die Kommission allein ist für die Anwendung des DMA zuständig. Nationale Behörden haben hingegen keine Durchsetzungsbefugnis.

Der DMA ist am 1. November 2022 in Kraft getreten und gilt seit dem 2. Mai 2023. Bis zum 3. Juli 2023 haben potenzielle Gatekeeper Zeit, um die Kommission darüber zu informieren, dass sie zentrale Plattformdienste betreiben. Die Kommission prüft daraufhin in den folgenden 45 Arbeitstagen (also bis spätestens zum 6. September 2023), ob das jeweilige Digitalunternehmen als Gatekeeper einzustufen ist. Ist dies der Fall, erlässt sie einen sogenannten Benennungsbeschluss. Bis spätestens zum 6. März 2024 müssen die benannten Gatekeeper die Vorgaben umsetzen.

Der DMA setzt stark auf Selbstüberwachung. Ein fein abgestimmtes Compliance-Management-System spielt deshalb eine zentrale Rolle. Gatekeeper sind dazu verpflichtet, Compliance-Maßnahmen mit den ihnen vorgegebenen Verhaltensregeln nachzuweisen sowie eine mit erheblichen Befugnissen ausgestattete Compliance-Funktion innerhalb ihres Unternehmens einzurichten, die für die interne Überwachung der Pflichten aus dem DMA zuständig ist. Ferner besteht eine ausführliche Berichterstattungspflicht. Hiernach müssen Gatekeeper innerhalb von sechs Monaten nach Benennung einen Bericht vorlegen, aus dem hervorgeht, welche Maßnahmen ergriffen wurden.

Digital Services Act

Der Digital Services Act (DSA) wird die Aktivitäten von Anbietern digitaler Dienste einheitlich regeln. Dies soll dazu beitragen, einen sicheren digitalen Raum zu schaffen, der frei von illegalen Inhalten ist und dem Schutz der Grundrechte der Nutzer dient.

Der DSA richtet sich dabei im Wesentlichen an digitale Vermittlungsdienste (Business-to-Business, B2B und Business-to-Consumer, B2C), die Nutzern Zugang zu Waren, Dienstleistungen und Inhalten verschaffen. Der DSA sieht hierbei verschiedene Regulierungsstufen vor:

  • Stufe 1: Vermittlungsdienste (Durchleitungs-, Caching- und Hosting-Dienste)
  • Stufe 2: verschärfte Regeln für bestimmte Hosting-Dienste
  • Stufe 3: Online-Plattformen
  • Stufe 4: Sehr große Online-Plattformen und Suchmaschinen

Danach gelten für alle Vermittlungsdienste grundlegende Sorgfaltspflichten wie beispielsweise die Einrichtung zentraler Kontaktstellen, die Befolgung von Transparenzvorgaben
für die Gestaltung von Allgemeinen Geschäftsbedingungen sowie jährliche Transparenzberichtspflichten.

Den Hosting-Diensten werden spezielle Pflichten für Melde- und Abhilfeverfahren auferlegt, während für Online-Plattformen darüber hinaus die Implementierung eines internen Beschwerdemanagement- und Streitbeilegungssystem vorgesehen ist. Die Entscheidungen des Beschwerdesystems dürfen nicht allein mit automatisierten Mitteln getroffen werden. Im Gegenteil, es muss der Aufsicht qualifizierten Personals unterliegen. Es genügt jedoch, dass die automatisierten Ergebnisse im Anschluss von menschlichen Entscheidungsträgern kontrolliert werden. Hervorzuheben seien noch die allgemeinen Interface-Vorgaben für Online-Plattformen. Der DSA untersagt jegliche Gestaltung, Organisation oder Betriebsweise des Online-Interface, durch die Nutzer getäuscht, manipuliert oder anderweitig in ihrer Entscheidungsfreiheit beeinträchtigt oder behindert werden können. Damit soll in der Praxis die Verwendung sogenannter „Dark Patterns“, also verhaltensmanipulierender Designs und Prozesse, Einhalt geboten werden.

Den größten Compliance-Aufwand müssen sehr große Plattformen und Suchmaschinen bewältigen. Über die für alle Plattformanbieter geregelten Transparenzpflichten für Online-Werbung und das begrenzt geltende Profiling-Verbot hinaus verlangt das Gesetz von Anbietern der vierten Stufe ferner die Anlegung eines auf ihren Online-Schnittstellen verfügbaren Archivs, in dem neben Werbeinhalt und Werbetreibendem unter anderem Angaben zu den für die personalisierte Anzeige der Werbung verwendeten Hauptparameter enthalten sein müssen.

Bei Verstößen gegen die im DSA getroffenen Vorgaben drohen Bußgelder in Höhe von bis zu 6 Prozent der Jahreseinnahmen beziehungsweise des Jahresumsatzes. Zuständig sind hierfür von den Mitgliedstaaten ernannte Behörden, von denen eine als „Digital Services Coordinator“ wirkt. Sie wird mit umfassenden Auskunfts-, Durchsuchungs-, Anordnungs- und Sanktionsrechten ausgestattet. Im Fall von Maßnahmen gegen sehr große Online-Plattformen hat die Kommission ein Eintrittsrecht.

Der DSA ist am 16. November 2022 in Kraft getreten und gilt im Wesentlichen ab dem 17. Februar 2024 (vereinzelte Regelungen sind bereits seit 16. November 2022 in Geltung; vgl. hierzu Art. 93). Die im Rahmen des DSA geregelten umfangreichen Sorgfalts- und Transparenzpflichten der Vermittlungsdienste betreffen alle Bereiche unternehmerischen Handelns. Sie sind bereits bei der technischen Gestaltung der Dienste zu berücksichtigen.

Data Governance Act

Der Data Governance Act (DGA) soll die Verfügbarkeit von Daten fördern, indem das Vertrauen in bestimmte datenmittelnde Akteure erhöht wird und die Mechanismen für die gemeinsame Datennutzung in der EU gestärkt werden. Zur Erreichung dieses Ziels fokussiert sich die Verordnung auf vier unterschiedliche Regelungsschwerpunkte:

  • die Weiterverwendung der geschützten Daten im „Besitz“ des öffentlichen Sektors
  • die Stärkung der Datenvermittlungsdienste als Schlüsselrolle in der Datenwirtschaft
  • die Förderung des Datenaltruismus, also die Steigerung der Datenverfügbarkeit durch freiwillige Datenspenden
  • die Erschaffung eines europäischen Innovationsrates, einem beratenden Gremium, das Expertenbeiträge zur Entwicklung von Leitlinien für europäische Datenräume liefern soll

Für das Verständnis dieses Acts ist wesentlich, dass er keinen Anspruch auf Datenzugang regelt. Das Gesetz regelt vielmehr nur Voraussetzungen, unter denen (die als erlaubt vorausgesetzte) Weiterverwendung ausgestaltet werden soll. Technische Hindernisse der Datenweiterverwendung sollen durch Interoperabilität und ein angemessenes Schutzniveau überwunden werden. Überdies wird ein Anmelde- und Aufsichtsrahmen für Datenvermittler geschaffen. „Anerkannte datenaltruistische Organisationen“ haben die Möglichkeit, Privilegierungen zu erhalten.

Die Vorschriften des am 23. Juni 2022 in Kraft getretenen DGA gelten ab dem 24. September 2023. Bis dahin soll der bereits erwähnte Dateninnovationsrat eingerichtet werden. Die Überwachung und Registrierung der Datenintermediäre, auch die Festlegung von etwaigen Sanktionen (keine Höchstgrenzen seitens der EU) wird den Mitgliedsstaaten überlassen.

Data Act

Der Data Act (DA) regelt, wer unter welchen Bedingungen auf Daten zugreifen darf, die bei der Nutzung eines Internet-of-Things-Produkts oder damit verbundener Dienste erzeugt werden. Kernanliegen des Gesetzes ist es, eine gerechte Verteilung der Wertschöpfung aus Daten auf die Akteure der Datenwirtschaft zu gewährleisten. Der DA schafft neue Datenzugangsrechte und regelt in Teilen die rechtlich zulässigen Formen der Datennutzung zwischen Privaten, sowohl B2B als auch B2C.

Um eine gerechtere Verteilung der Datenwertschöpfung zu erreichen, statuiert der DA vor allem Pflichten für die Hersteller und Entwickler von Produkten, um die bei der Verwendung der entsprechenden Produkte erzeugten Daten für den Nutzer verfügbar zu machen. Dabei wird nur der Zugriff auf die Daten geregelt, die von dem entsprechenden Produkt über seine Nutzung oder Umgebung erlangt, erzeugt oder gesammelt werden und von dem Produkt über einen elektronischen Kommunikationsdienst übermittelt werden können. Das entsprechende Zugangsrecht verpflichtet den Dateninhaber zugleich als weiteren Adressaten des DA. Dieser muss das sogenannte „Access by Design“ sicherstellen. Eine Ausnahme gilt für kleine Unternehmen und Kleinstunternehmen.

Darüber hinaus enthält der DA allgemeine Regelungen für faire und nicht-diskriminierende Datenbereitstellungspflichten, spezifische AGB-Kontrollen von Vertragsklauseln und den (ausnahmsweise zwangsweisen) Zugang öffentlicher Stellen auf Daten im „Besitz“ von Unternehmen sowie zum sogenannten Cloud-Switching. Um den Wechsel der Cloud zu vereinfachen, werden die Provider weitreichenden Pflichten unterworfen, die nicht nur auf den Zugang zu und die Herausgabe von Daten beschränkt bleiben. Vielmehr enthält der DA kleinteilige Vorgaben für die Vertrags- und Konditionengestaltung. So sieht das Gesetz zum Beispiel eine „funktionsäquivalente Datenübertragung“ bei einem Cloud-Provider-Wechsel vor. Was dies im Einzelnen bedeutet und wie dies realisiert werden soll, ist noch unklar.

Da der Schutzstandard der Datenschutzgrundverordnung (DSGVO) durch den DA unberührt bleiben soll, werden dem Dateninhaber Prüf- und Handlungspflichten auferlegt. Er muss bewerten, ob die von dem Herausgabeverlangen betroffenen Daten (auch) personenbezogene Daten enthalten. Soweit dies der Fall ist, muss sichergestellt werden, dass eine Rechtsgrundlage nach der DSGVO für die Offenlegung der Daten gegeben ist. Dabei besteht die Gefahr von Normenkollisionen: Werden Daten dem Anwendungsbereich der DSGVO fehlerhaft zugerechnet und wird mit dieser Begründung der Zugang auf Grundlage des DA verweigert, begründet dies zugleich einen Verstoß gegen den DA. Deshalb erlangt die treffsichere Zuordnung der Daten eine hohe Relevanz.

Bei Verstößen gegen die Pflichten aus dem DA können Bußgelder in Höhe von 20 Millionen Euro beziehungsweise im Fall von Unternehmen bis zu 4 Prozent ihres weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden. Es wird erwartet, dass der DA 2024 verabschiedet wird. Berücksichtigt man die gesetzlich vorgegebene zwölfmonatige Übergangsfrist, so ist mit einer Geltung ab Ende 2025 zu rechnen.

Artificial Intelligence Act

Vor dem Hintergrund der zunehmenden Nutzung algorithmischer Systeme soll der Artificial Intelligence Act (AIA) den Rechtsrahmen für „trustworthy AI“ mittels eines sektoralen, risikobasierten und anthropozentrischen Regulierungsansatzes bilden. Ziel ist es, Unternehmen dazu zu befähigen, die kompetitiven Vorteile der KI-Technologie (künstliche Intelligenz, KI) für sich auszuschöpfen und die Wirtschaft des Binnenmarktraums zu stärken. Der AIA richtet sich dabei an die Anbieter, die solche KI-Systeme in den Verkehr bringen (unabhängig vom Niederlassungsort des Anbieters) sowie an ihre Nutzer, die sich in der EU befinden. Die Regelungen des AIA sind auch anwendbar auf Anbieter oder Nutzer von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das vom System hervorgebrachte Ergebnis in der Union verwendet wird.

Für den Geltungsbereich des AIA ist von zentraler Bedeutung, was unter KI im Sinne des Rechtsakts zu verstehen ist. Die in Art. 3 Nr. 1 des Kommissionsentwurfs zugrunde gelegte Definition ist sehr weit und erfasst im Ergebnis nahezu jedes Computerprogramm. Da dies zu widersinnigen Ergebnissen führen kann (man denke nur an einen Taschenrechner), wurden Überlegungen zur Eingrenzung des weiten Anwendungsbereichs angestellt. Dem Rat der EU zufolge soll ein System danach nur dann als vom AIA erfasst angesehen werden, wenn es mit autonomen Elementen arbeitet (…) und anhand von maschinellem Lernen und/oder logik- und wissensbasierten Ansätzen entscheidet, wie eine bestimmte Reihe von definierten Zielen erreicht werden kann. Das EU-Parlament möchte wiederum KI als ein System definieren, das so konzipiert ist, dass es mit unterschiedlichen Autonomiegraden arbeitet und das zu expliziten oder impliziten Zwecken Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die Auswirkungen auf die physische oder virtuelle Umgebung haben können. Legt man diese Vorschläge zugrunde, lässt sich im Ergebnis extrahieren, dass für das Vorliegen von KI ein autonomes, adaptives System erforderlich ist.

Der AIA folgt einem risikobasierten Regulierungsansatz. Je höher das Risiko ist, das von einem System ausgeht, desto strenger sind die Anforderungen, an denen sich das System messen lassen muss. Hauptregelungsgegenstand sind hierbei diejenigen Systeme, die ein hohes Risiko bergen (vgl. Art. 6 und Anhang II und III). Für diese Systeme ist ein umfangreiches Pflichtenprogramm vorgesehen (z. B. Risikomanagement, Data Governance, Designvorgaben). Aktuell wird noch diskutiert, ob Large Language Models, wie ChatGPT, zu dieser Kategorie gehören und ob Ausnahmen eingebaut werden sollen.

Bei KI-Systemen mit einem geringen Risiko gelten Transparenzpflichten, wenn sie mit Menschen interagieren (z. B. durch Chatbots oder Emotionserkennung) oder bestimmte Inhalte erstellen (Art 52). Unterhalb dieser Schwelle (minimales Risiko) greifen keine Verpflichtungen, aber es können freiwillige Verhaltenskodizes (Art. 69) statuiert werden. Mit dem Wertesystem der EU unvereinbare Systeme wie Social-Scoring-Systeme oder die biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen zu Strafverfolgungszwecken sind gänzlich verboten.

Die Überwachung der betroffenen KI-Anwendungen soll durch die nationalen Aufsichtsbehörden erfolgen. Sie sind es auch, die etwaige Bußgelder festsetzen, deren Schwellenwerte im AIA geregelt werden. Dabei können Sanktionen maximal 30 Millionen Euro oder 6 Prozent des weltweiten Jahresumsatzes erreichen.

Zum Kommissions-Entwurf vom 21. April 2021 hat der EU-Rat im Dezember 2022 einen gemeinsamen Standpunkt („allgemeine Ausrichtung“) festgelegt. Derzeit stehen noch die finale Positionierung des EU-Parlaments sowie die sich anschließenden Trilogverhandlungen aus. Mit dem Inkrafttreten des AIA wird nach derzeitiger Prognose in circa einem Jahr gerechnet, dem sich eine dreijährige Umsetzungsfrist anschließt. Die Anwendung der Vorgaben aus dem AIA wird infolgedessen erst ab 2027 erwartet.

Für die Zeit bis dahin ist es für betroffene Unternehmen ratsam, interdisziplinäre Teams zu bilden und die „KIAssets“ zu identifizieren. Um später komplexe Nachdokumentationen
und zwangsweise Abschaltungen von Systemen zu vermeiden, ist es darüber hinaus empfehlenswert, ein KI-Compliance-Management-Systems zu implementieren beziehungsweise Compliance-Anforderungen aus AIA in bestehende Compliance-Prozesse und Dokumente zu integrieren. Ein besonderes Augenmerk sollten Unternehmen bei ihren KI-Konzeptionen auf „Explainable Artificial Intelligence“ (XAI) richten. Da die Förderung von Innovationen im KI-Bereich mit den anderen Digitalrechtsakten eng verwoben ist, empfiehlt es sich zudem, die Anforderungen der anderen Verordnungen im Blick zu behalten.

Fazit

Datengetriebene Unternehmen sollten sich intensiv mit den jeweiligen Acts auseinandersetzen und darauf achten, dass die Geschäftsmodelle entsprechend der jeweiligen Acts gestaltet werden. Eine Justierung entsprechend der Besonderheiten und Ausrichtungen der jeweiligen IT-Firmen erfordert eine detaillierte Beschäftigung mit den Acts sowie mit deren Zusammenwirken.

Porträt Ilan Selz

Ilan Leonard Selz, LL.M. (Minnesota) ist Rechtsanwalt und Associated Partner bei Schürmann Rosenthal Dreyer und berät schwerpunktmäßig im Datenschutzrecht, IT-Recht und Gewerblichen Rechtschutz. Dabei betreut er in erster Linie Mandate in den Bereichen Technologie, E-Commerce und Bankwesen.

www.srd-rechtsanwaelte.de

Andere interessante Fachbeiträge

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.

Pentests: Fusionen, Übernahmen und Expansionen absichern

Das schnelle Wachstum von Unternehmen, sei es durch Fusionen, Übernahmen oder einfach durch Expansion, kann zu unbekannten Schwachstellen führen. Penetrationstests sind der Schlüssel zur Identifizierung dieser Sicherheitslücken.