Datenschutz

Neues Datenrecht: EU-Gesetzgebungsvorhaben

11.01.2023

IITR Information[IITR – 11.01.23] „Der digitale Wandel sollte allen zugutekommen, den Menschen an oberster Stelle setzen und neue Chancen für die Wirtschaft bieten. Ohne Digitalisierung bleiben Klimaschutz und ökologischer Wandel reines Wunschdenken.“ (so die Europäische Union)

In Brüssel wurde die „digitale Dekade“ ausgerufen, die europaweit den Fortschritt der und durch Digitalisierung vorantreiben soll. Dieses europäische Konzept stützt sich auf drei Säulen:

  • Technologie im Dienste der Menschen,
  • eine faire und wettbewerbsfähige digitale Wirtschaft sowie
  • eine offene, demokratische und nachhaltige Gesellschaft.

Damit der digitale Wandel andere Bereiche nicht negativ beeinflusst, wird die Europäische Union verschiedene Rechtsakte erlassen, die die Rahmenbedingungen vorgeben sollen.

Wie schon bei der „Datenschutzgrundverordnung“ wird es sich nicht um Richtlinien, sondern um verbindliche Verordnungen handeln, die nicht erst durch den nationalen Gesetzgeber umzusetzen sind, sondern unmittelbar rechtliche Geltung haben.

Eine europäische Datenstrategie: Was plant die EU?

„Die Europäische Datenstrategie soll die EU an die Spitze einer datengesteuerten Gesellschaft bringen. Ein Binnenmarkt für Daten ermöglicht eine EU-weite und branchenübergreifende Datenweitergabe zum Nutzen von Unternehmen, Forschenden und öffentlichen Verwaltungen.“ (so die Europäische Kommission)

Die Europäische Union wird darauf hinarbeiten, zu einem globalen Vorbild für die digitale Wirtschaft zu werden, Entwicklungsländer bei der Digitalisierung unterstützen und digitale Standards entwickeln sowie international für diese werben. – Zentraler Aspekt des digitalen Wandels stellen Daten dar, die Bürgern einerseits unmittelbare Vorteile bieten können (z.B. durch personalisierte Medizin oder bessere Verkehrsmittel), aber andererseits ein hohes Risiko des Missbrauchs darstellen.

Ein Übergang der EU zu einer attraktiven, sicheren und dynamischen Datenwirtschaft könne laut Kommission nur gelingen, wenn klare und faire Regelungen zur Datenzugang oder ihrer Weiterverwendung bestünden. Außerdem seien die Nutzer mit Rechten auszustatten, um auch in der Realität die volle Kontrolle über ihre Daten behalten zu können.

Europäische Ermächtigungsgrundlage: Warum kann das die EU?

Im „Vertrag über die Arbeitsweise der Europäischen Union“ (AEUV) ist in Art. 16 Abs. 1 festgehalten, dass jede Person das Recht auf Schutz der für sie betreffenden personenbezogenen Daten hätte. Dies dient als Grundlage für den Erlass der Datenschutzgrundverordnung.

Darüber hinaus – in Absatz 2 – ist festgehalten, dass Vorschriften „über den freien Datenverkehr“ erlassen werden können. Das fungiert als Grundlage für den Erlass verschiedener Verordnungen über die unterschiedlichsten Bereiche des Datenverkehrs.

Die Europäische Union hat für diese Bereiche somit die Gesetzgebungskompetenz und darf entsprechende Regelungen treffen, bzw. Verordnungen erlassen.

Data Act: Datengesetz

„Die Menge der (…) erzeugten Daten hat in den letzten Jahren exponentiell zugenommen. Die meisten Daten bleiben jedoch ungenutzt (…). Es ist daher von entscheidender Bedeutung, dieses Potenzial freizusetzen, indem Möglichkeiten für die Weiterverwendung von Daten geschaffen und Hindernisse für die Entwicklung (…) beseitigt werden, damit alle von diesen Möglichkeiten profitieren können.“ (so die Zielvorgabe aus Brüssel)

Der Data Act (bzw. zu Deutsch „Datengesetz“) will faire Rahmenbedingungen hinsichtlich des Datenzugangs als auch der Datennutzung schaffen.

Primäres Ziel des Gesetzesvorhaben bleibt also die Erhöhung der Rechtssicherheit. So soll die Frage geklärt werden, wer Daten unter welchen Bedingungen nutzen und übermitteln dürfe. Legitimiert würde beispielsweise der Zugriff oder die Nutzung durch öffentliche Stellen, damit diese schnellere und insgesamt bessere Reaktionsmöglichkeiten in näher zu definierenden Notfällen haben.

Wie weit der Anwendungsbereich ausfallen wird, zeigt ein Blick in den Verordnungswurf, der auf den Seiten der Europäischen Kommission abrufbar ist. So sollen „Daten“ jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material umfassen.

Dabei stellt sich unmittelbar die Frage, wie das mit Blick auf die Datenschutzgrundverordnung zu verstehen sei. Dazu erklärt der Gesetzgeber in den Erwägungsgründen zum Data Act, dass keine Bestimmung aus dieser Verordnung so angewandt oder ausgelegt werden dürfte, dass das Recht auf Schutz personenbezogener Daten geschwächt oder eingeschränkt würde. Eine logische Schlussfolgerung, deren genaue Anwendbarkeit sich vermutlich erst in der Praxis zeigen dürfte.

Ein Datum, wann der Data Act in Kraft treten wird, ist jedoch bislang nicht absehbar.

Data Governance Act: Daten-Governance-Rechtsakt

Ein weiterer Rechtssetzungsakt ist der Data Governance Act (kurz: DGA), mithilfe dessen die Verfügbarkeit von Daten gefördert werden soll, das Vertrauen in bestimmte datenmittelnde Akteure erhöht und Mechanismen gemeinsamer Datennutzung gestärkt.

Zentraler Regelungsbestandteil ist die Weiterverwendung von geschützten Daten im „Besitz“ öffentlicher Stellen.

Unter der potenziellen Weiterverwendung bestimmter Daten des öffentlichen Sektors sind Daten zu verstehen, die ursprünglich nicht als offene Daten zur Verfügung gestellt werden können. Ein Beispiel hierfür sind Gesundheitsdaten für Forschungszwecke. Grundlage für eine bedenkenlose Weiterverwendung sollen Maßnahmen bieten, mithilfe derer sichergestellt würde, dass Datenvermittler als vertrauenswürdige Organisatoren für die gemeinsame Nutzung oder Bündelung von Daten in den gemeinsamen europäischen Datenräumen fungierten. Außerdem solle es Bürgern und Unternehmen erleichtert werden, ihre Daten zum Wohle der Gesellschaft zur Verfügung zu stellen.

Der Data Governance Act, der sich wie dargestellt primär an den öffentlichen Sektor wendet, tritt im September 2023 in Kraft.

Digital Markets Act: Gesetz über digitale Märkte

Neben Vorgaben für öffentliche Stellen finden sich in der angekündigten Gesetzgebungslandschaft der Europäischen Union auch neue Rahmenbedingungen für bestimmte Bereiche des privaten Sektors.

Der Digital Markets Act (kurz: DMA) will für eine faire Gestaltung des Wettbewerbs sorgen und vor Missbrauch der Machtposition großer Online-Plattformen schützen.

Dies soll durch Verbote von Meistbegünstigungsklauseln sowie Verbote bestimmter Dienstbindungen und Kopplungspraktiken gelingen.

Wirft man einen Blick in die Verordnung, so erkennt man schnell, dass sich diese nur wie angekündigt an sehr große Wettbewerber richtet. Das sind nämlich Online-Plattform-Anbieter, die

  • einen Jahresumsatz im EWR von 7,5 Milliarden Euro in den vergangenen drei Geschäftsjahren vorzuweisen haben und
  • mehr als 45 Millionen Endnutzer pro Jahr oder 10.000 Endnutzer pro Monat in den vergangen drei Jahren in der Union hatten.

Erreicht ein Unternehmen all diese Schwellenwerte, so hat es nach der neuen Verordnung besondere Anforderungen zu erfüllen.

Zum Beispiel wird das Zusammenführen oder Weiterverwenden von personenbezogenen Daten aus zentralen Plattformdiensten ohne Einwilligung des betroffenen Endnutzers nicht mehr möglich sein. Die Verarbeitung im Rahmen der Bereitstellung der Plattform solle sich darüber hinaus nicht auf Werbedienste erstrecken. Außerdem unterfallen die Anbieter dazu strengeren Auskunfts- bzw. Informationsrechten und müssen Werbetreibenden und Verlagen auf Antrag kostenlos Zugang zu Instrumenten der Leistungsmessung und Informationen gewähren, die benötigt werden, um eigene unabhängige Überprüfungen des Werbeinventars vorzunehmen.

Sollte man diesen – oder den vielen anderen – neuen Anforderungen nicht nachkommen, so können nach dem aus der Datenschutzgrundverordnung bekannten Muster Geldbußen bis zu einem Höchstbetrag von 10% des im vorausgegangenen Geschäftsjahres erzielten Gesamtumsatzes verhängt werden.

Der Digital Markets Act tritt in Gänze am 2. Mai 2023 in Kraft.

Digital Services Act: Gesetz über digitale Dienste

„Das Gesetz über digitale Dienste regelt die Pflichten digitaler Dienste, die als Vermittler fungieren und Verbrauchern den Zugang zu Waren, Dienstleistungen und Inhalten ermöglichen. Dies umfasst u.a. Online-Marktplätze.“ (so die Kommission)

Mit dieser Verordnung versucht der europäische Gesetzgeber – ähnlich wie bereits im Digital Markets Act – Rechte und Rechtspositionen von Betroffenen besser zu schützen.

Vergleichbar mit dem Netzwerkdurchsetzungsgesetz (NetzDG) wird mit dem Digital Services Act das Ziel verfolgt, illegaler Hetze und Hass im Internet entschlossen entgegenzutreten. So kennt der Verordnungsentwurf eine Pflicht zur Löschung illegaler Inhalte sowie einer Anzeigepflicht bei schweren Straftaten. Um diesen Pflichten gebührend Nachdruck zu verleihen, wurden Bußgelder von bis zu 6 % des im vorausgegangenen Geschäftsjahrs erzielten Gesamtumsätze festgelegt.

„Illegale Inhalte“ – so der Verordnungsentwurf – können alle Informationen sein, die als solche oder durch ihre Bezugnahme auf eine Tätigkeit nicht im Einklang mit dem Unionsrecht oder dem Recht eines Mitgliedstaats stünden. Der Anbieter derartiger Plattformen hafte nur dann nicht, wenn er über keinerlei Kenntnis von der rechtswidrigen Tätigkeit oder den illegalen Inhalten habe. Mangelnde Kenntnis kann jedoch bereits dann nicht mehr ausgeschlossen werden, wenn ein potenziell „illegaler“ Kommentar an den Plattformbetreiber gemeldet wird.

Mit einem In-Kraft-Treten der Verordnung ist ab Januar 2024 zu rechnen.

Artificial Intelligence Act: Gesetz zur Künstlichen Intelligenz

Ein weitere wichtige Rolle spielt die Künstliche Intelligenz und insbesondere der Umgang mit dieser. So sollen mittels einer eigenen Verordnung Rahmenbedingungen für eine sichere Entwicklung, Vertrieb und Verwendung von KI-Systemen geschaffen werden.

Der angedachte Regelungsbereich ist risikobasiert aufgebaut. Systeme, die ein besonders hohes Risikopotenzial innehaben sollen verboten werden, während Systeme mit hohen bzw. geringen Risiken Regulierungs- bzw. Transparenzverpflichtungen zu erfüllen haben. Für „risikolose“ Systeme gelte lediglich eine Selbstgovernance.

Nun stellt sich jedoch die Frage, was unter „Künstlicher Intelligenz“ zu verstehen sei. Ein erster Definitionsversuch des europäischen Verordnungsgebers ist dabei – um sämtliche potenziellen Aspekte von KI berücksichtigt zu haben – äußerst weit ausgefallen, so dass viele Unternehmen den Vorschriften unterfielen. Es bleibt abzuwarten, wie weitgreifend die Definition in der Praxis zu verstehen sein wird.

Ein In-Kraft-Treten dieser Verordnung wird für 2025 bis 2026 erwartet.

Fazit: Es kommt einiges auf Unternehmen zu

Die angesprochenen Verordnungen sind lediglich ein Auszug aus vielen weiteren europäischen Gesetzesvorhaben. Man wird jedenfalls bereits jetzt nicht vermeiden können, sich mit Blick auf das eigene Unternehmen die verschiedenen neuen Anforderungen anzusehen, die einen potenziell betreffen können, um somit bestenfalls bereits in Vorbereitung zu gehen, um nicht von möglicherweise völlig neuen rechtlichen Rahmenbedingungen überrascht zu werden.

Viele Themenbereiche, die aus der Datenschutzgrundverordnung bekannt sein sollten, werden in den neuen Verordnungen aufgegriffen: Risikomanagement, Dokumentationspflichten, Transparenzpflichten. – Sollten diese sauber durch- und ausgeführt sein, ist bereits ein wichtiger erster Schritt getan, um sich den neuen Herausforderungen aus Brüssel zu stellen.

Michael Wehowsky

Über den Autor - Datenschutzbeauftragter Michael Wehowsky

Herr Michael Wehowsky ist zertifizierter Datenschutzbeauftragter (udis) und zertifizierter Berater im Datenschutzrecht (FernUniversität Hagen). Darüberhinaus ist er Certified Information Privacy Professional Europe (CIPP/E) und Certified Information Privacy Technologist (CIPT), jeweils durch die iapp. - In seiner Funktion als Teil des Beratungsteams unterstützt er Unternehmen verschiedenster Ausrichtung und Größe im Datenschutz in deutscher, englischer und italienischer Sprache.

Beitrag teilen:

1 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot