Regelungsschwerpunkte

Der DA-E soll den Zugang zu und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden. Umfasst sind alle Datenarten, also nicht nur personenbezogene Daten. Private und Unternehmen sollen vor allem Zugang zu den Daten erhalten, die bei der Nutzung von Produkten und Diensten anfallen. Sie sollen auch berechtigt werden, die Weitergabe dieser Daten an Dritte verlangen zu können. Darüber hinaus soll der DA-E den Wechsel zwischen Diensten regeln, die Daten verarbeiten, z.B. wenn ein Kunde eines Cloud-Anbieters zu einem anderen Cloud-Anbieter wechseln möchte. Da ein solcher Anspruch dazu führt, dass vorhandene Datenverarbeitungsdienste miteinander kompatibel sein müssen, regelt der DA-E schließlich Anforderungen an die Interoperabilität von Daten.

Adressaten

• Nutzer von Produkten
• Dateninhaber
• Unternehmen
• Öffentliche Stellen

Verhältnis zum Datenschutzrecht

Es besteht ein gewisses Spannungsverhältnis. Während die DSGVO einen möglichst umfassenden Schutz personenbezogener Daten sicherstellen soll, ist es das Ziel des DA-E, einen fairen Datenzugang und eine faire Datennutzung sicherzustellen. Der DA-E soll die DSGVO und die ePrivacy-Richtlinie ergänzen und darf den Datenschutz nicht schwächen (ErwG 7 DA-E). Beim Zugang / der Weiterleitung personenbezogener Daten sollen die Grundsätze der Datenminimierung und Datenschutz durch Technikgestaltung / datenschutzfreundliche Voreinstellungen sichergestellt werden. Ob sich dies in der Praxis umsetzen lässt, wird von den Datenschutzbehörden (bisher) eher kritisch gesehen.

Auswirkungen für Unternehmen / öffentliche Stellen

Aus dem DA-E folgen weitgehende Pflichten insbesondere für Unternehmen, den Zugang zu Daten der Nutzer zu ermöglichen und diese auf Wunsch des Nutzers an Dritte weiterzugeben. Daraus folgt, dass Unternehmen je nach Art des Produkts / der Dienstleistung ggf. erhebliche Anpassungen vornehmen müssen, um den Datenzugang / die Datenweitergabe sowie insbesondere die Interoperabilität von Daten sicherzustellen. Der derzeitige Entwurf sieht vor, dass im Fall der Zuwiderhandlung gegen den DA-E Sanktionen verhängt werden können, die „wirksam, verhältnismäßig und abschreckend“ sind.

Regelungsschwerpunkte

Die ePrivacy-VO-E soll die bestehende ePrivacy-Richtlinie ersetzen, auf der die deutschen Regelungen zum Telekommunikations- und Telemedienrecht (TKG und TTDSG) basieren. Insbesondere soll sie

• die Vertraulichkeit der Kommunikation (Fernmeldegeheimnis),
• die Verarbeitung von Kommunikationsdaten (bisher Verkehrsdaten),
• das Speichern und Auslesen von Informationen auf Endgeräten (z.B. Cookies),
• die Anzeige von Rufnummern und Endnutzerverzeichnissen und
• die Direktwerbung mittels elektronischer Kommunikation regeln.

Die Verhandlungen zwischen und innerhalb der verschiedenen Organe der Europäischen Union (Rat, Parlament und Kommission) dauern bereits fünf Jahre an.

Adressaten

• Kommunikationsdienstleister
• Website- / App-Betreiber
• Unternehmen (v.a. im Konetxt des Direktmarketings)

Verhältnis zum Datenschutzrecht

Soweit Verpflichtungen aus der ePrivacy-VO-E bestehen, gelten keine zusätzlichen Pflichten aus der DSGVO (Art. 95 DSGVO i.V.m Art. 27 Nr. 2 ePrivacy-VO-E).

Auswirkungen für Unternehmen / öffentliche Stellen

Bisher ist weitgehend unklar, wie die Regelungen der ePrivacy-VO-E final aussehen werden, da die Fassung des Europäischen Rats und die des Parlaments zum Teil grundlegend voneinander abweichen. Die Regelungen der ePrivacy-VO-E werden sich aber voraussichtlich erheblich auf das Marketing durch Unternehmen und auch das Tracking im Internet oder Apps auswirken. Hier kann es im Vergleich zur bestehenden Rechtslage zu neuen oder geänderten Voraussetzungen kommen.

Regelungsschwerpunkte

Durch den Richtlinienentwurf soll die Position von Arbeitnehmern und Selbstständigen verbessert werden, die ihre Arbeitskraft über digitale Plattformen anbieten. Neben Regelung zur Vermeidung von Scheinselbstständigkeit enthält der Richtlinienentwurf vor allem auch einige Vorgaben bezüglich des Datenschutzes von Beschäftigten. So sollen besondere Vorgaben in Bezug auf Transparenz, Betroffenenrechte und Rechenschaftspflichten gelten, wenn die Arbeit der Beschäftigten mit Hilfe von Algorithmen organisiert wird.

Eine ausführliche Zusammenfassung des Entwurfs finden Sie hier auf unserer Website.

Adressaten

Nach dem Entwurf soll die Richtlinie nicht pauschal für alle Plattformbetreiber gelten, sondern nur für Betreiber sogenannter digitaler Arbeitsplattformen („digital labour platforms“). Gemeint sind damit Plattformen über die die Arbeit von Arbeitnehmern bzw. Selbstständigen auf Anfrage Dritter (der eigentlichen Leistungsempfänger) organisiert wird. In Erwägungsgrund 18 des Richtlinienentwurfs werden als zu vermittelnde Leistungen zum Beispiel der Transport von Waren oder Personen genannt.

Verhältnis zum Datenschutzrecht

Unter Bezugnahme auf Art. 88 DSGVO enthält der Richtlinienentwurf in Kapitel III einige spezielle Vorgaben zur Verarbeitung von Beschäftigtendaten durch Systeme, die das Verhalten automatisiert überwachen und / oder Entscheidungen im Kontext des Beschäftigung- / Nutzungsverhältnisses treffen oder unterstützen.

Auswirkungen für Unternehmen / öffentliche Stellen

Für die meisten Unternehmen hat die Richtlinie keine Auswirkungen. Für digitale Arbeitsplattformen könnte die Richtlinie aber erhebliche Konsequenzen haben.

Im Kontext der nationalen Umsetzung des Richtlinienentwurfs stellt sich zudem die Frage, ob der deutsche Gesetzgeber allgemein verbindliche Vorgaben für die automatisierte Verarbeitung von Beschäftigtendaten schaffen wird. Vor dem Hintergrund der bereits im Koalitionsvertrag angekündigten Konkretisierung des Beschäftigtendatenschutzes, erscheint das zumindest möglich.

Regelungsschwerpunkte

Mit dem CRA-E sollen horizontale Sicherheitsanforderungen für Produkte mit digitalen Elementen eingeführt und der legislative Flickenteppich auf dem Gebiet der Cybersicherheit beseitigt werden. Dadurch sollen Cybersicherheitsrisiken minimiert und eine sichere Nutzung für Unternehmer und Verbraucher im europäischen Binnenmarkt gewährleistet werden.

Einen detaillierten Überblick zum CRA-E finden Sie hier auf unserer Website.

Adressaten

• Hersteller
• Importeure
• Händler

Verhältnis zum Datenschutzrecht

Der CRA-E lässt die DSGVO in ihrem Regelungsgehalt unberührt, sodass beide Gesetze parallel anwendbar sein können. Ziel der Verordnung ist allerdings auch, die Sicherheit personenbezogener Daten zu erhöhen, indem die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Produkten mit digitalen Elementen geschützt werden.

Auswirkungen für Unternehmen / öffentliche Stellen

Soweit es sich um ein Produkt mit digitalen Elementen (Software, Hardware, Einzelkomponenten) handelt, werden Herstellern, Händlern und Importeuren eine Vielzahl von Pflichten zur Umsetzung von Cybersicherheitsanforderungen auferlegt (u.a. Pflicht zur Risiko- und Konformitätsbewertung sowie Prüf-, Nachweis- und Dokumentationspflichten). Bei Nichtumsetzung dieser Pflichten können Marktüberwachungsbehörden je nach Verstoß und Akteur Bußgelder bis zu 15 Millionen Euro oder 2,5 % des weltweiten Vorjahresumsatzes verhängen.

Letztlich entsteht für Hersteller von Produkten mit digitalen Elementen ein hoher wirtschaftlicher und bürokratischer Mehraufwand im Entwicklungsprozess.

Regelungsschwerpunkte

Der DORA beinhaltet vereinheitlicht rechtliche Anforderungen für die Sicherheit der Netz- und Informationssysteme von Unternehmen im Finanzsektor, um die wachsende Gefahr von Cyberbedrohungen zu minimieren.

Einen detaillierten Überblick zum DORA finden Sie hier auf unserer Website.

Adressaten

• Kreditinstitute
• Zahlungsinstitute
• Kontoinformationsdienstleister
• Wertpapierfirmen
• Anbieter von Krypto-Dienstleistungen
• Versicherungs- und Rückversicherungsunternehmen
• Sonstige Finanzunternehmen
• IKT-Drittdienstleister (z.B. Cloud-Computing-Dienste, Datenanalysedienste, Softwareanbieter, Anbieter von Rechenzentrumsdienstleistungen)

Verhältnis zum Datenschutzrecht

An mehreren Stellen in der Verordnung wird auf datenschutzrechtliche Regelungen Bezug genommen. Beispielsweise soll der Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Finanzunternehmen im Einklang mit der DSGVO erfolgen. Weiterhin müssen die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung sowie die Europäische Wertpapier- und Marktaufsichtsbehörde (zusammen „Europäische Aufsichtsbehörden“ oder „ESA“ genannt) und sonstige zuständige Behörden bei der Verarbeitung von personenbezogenen Daten die Vorschriften der DSGVO oder der Verordnung (EU) 2018/1725 beachten. Zudem müssen Verträge zwischen Finanzunternehmen und IKT-Drittdienstleistern gemäß Art. 30 Abs 2 lit. c) DORA Bestimmungen zum Schutz personenbezogener Daten enthalten. Praxisrelevant ist außerdem, dass gemäß Art. 28 Abs. 7 lit. c) DORA Vereinbarungen über die Nutzung von Diensten zu kündigen sind, wenn der Drittanbieter nachweisliche Schwächen beim Datenschutz aufweist.

Auswirkungen für Unternehmen / öffentliche Stellen

Mit dem DORA werden Finanzunternehmen eine Vielzahl von Pflichten im Bereich des Risikomanagements auferlegt. Beispielsweise müssen sie Maßnahmen für ein solides Management des IKT-Drittparteienrisikos vornehmen und dies, abhängig von der Unternehmensgröße, mindestens jährlich dokumentieren und überprüfen. Insofern kommt auf Finanzunternehmen ein höherer Verwaltungs-, Dokumentations- und Prüfungsaufwand zu.

Regelungsschwerpunkte

Der KI-VO-E enthält folgende Schwerpunkte:

• Rahmenbedingungen für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von Systemen der künstlichen Intelligenz
• Verbot bestimmter Praktiken von KI-Systemen
• besondere Anforderungen an Hochrisiko-KI-Systeme und für Betreiber dieser Systeme
• Festlegung von Transparenzvorschriften für KI-Systeme

Anwendungen werden in vier Gruppen entsprechend ihrer Risiken eingeteilt:

• KI-Systeme mit minimalem Risiko
• KI-Systeme mit geringem Risiko
• Hochrisiko-KI-Systeme
• verbotene KI-Systeme

Schwerpunktmäßig werden Hochrisiko-KI-Systeme durch die KI-VO-E reguliert. An sie werden hohe technische und organisatorische Standards geknüpft. So soll im Fall von Hochrisiko-KI-Systemen bspw. ein Risikomanagementsystem eingerichtet, dokumentiert und aufrechterhalten werden. Außerdem muss eine menschliche Aufsicht eingerichtet und Transparenz- und Instruktionspflichten implementiert werden. Noch nicht final entschieden ist, welche Technologien konkret unter den Begriff der KI fallen. Um zu verhindern, dass auch herkömmliche Software in den Anwendungsbereich fällt, hat der Europäische Rat kürzlich vorgeschlagen, nur solche Systeme als KI zu bezeichnen, die mit Hilfe von maschinellem Lernen sowie logik- und wissensbasierten Ansätzen entwickelt werden. Die Kommission soll die Möglichkeit erhalten, den Begriff durch delegierte Rechtsakte zu präzisieren. Als Sanktionen können Geldbußen von bis zu 30 Mio. Euro bzw. 6 % des Vorjahresbruttoumsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist, verhängt werden. Einen detaillierten Überblick zum KI-VO-E finden Sie hier auf unserer Website.

Adressaten

• Anbieter (z. B. Entwickler) von KI-Systemen (können privat oder öffentlich sein)
• Nutzer von KI-Systemen
• Händler

Verhältnis zum Datenschutzrecht

Die DSGVO bleibt nach der Aussage des KI-VO-E unberührt und ergänzt Regelungen für Hochrisiko-KI- und Fernidentifizierungssysteme. Bspw. werden „modernste Sicherheits- und Datenschutzmaßnahmen“ insoweit gefordert, zu denen Pseudonymisierung und Verschlüsselung gehören sollen, „wenn der erfolgte Zweck durch eine Anonymisierung erheblich beeinträchtigt würde“. Nutzer von Hochrisiko-KI-Systemen sollen zudem Informationen, die Ihnen nach Art. 13 KI-VO-E bereitgestellt werden, verwenden, um eine ggf. erforderlich DSFA (Art. 35 DSGVO) durchzuführen. Dies würde zu einer erheblichen Aufwertung von Datenschutzinformationen führen, deren Qualität unserer Erfahrung nach sehr unterschiedlich sein kann. Die DSGVO wird also beim Einsatz von KI-Systemen zukünftig auch eine wichtige Rolle spielen.

Auswirkungen für Unternehmen / öffentliche Stellen

Gerade beim Einsatz von Hochrisiko-KI-Systemen sollten Unternehmen den Beurteilungs- und Dokumentationsaufwand nicht unterschätzen. Ein zentrales Element ist insoweit die Durchführung einer Konformitätsbewertung und -erklärung für Anbieter von KI-Systemen. Wichtig ist schließlich auch, dass Anbieter von KI-Systemen in einem Drittland nicht von den Anforderungen des KI-VO-E befreit sind, sofern deren Leistungen in der Europäischen Union angeboten werden. Gerade mit Blick auf die möglichen Geldbußen ist dies von höherer Relevanz.

Regelungsschwerpunkte

Die Richtlinie über KI-Haftung enthält Regelungen zur Kausalitätsvermutung und den Zugang zu Beweismitteln der Anbieter und soll den Schutz von Verbrauchern sicherstellen, ohne dabei technologische Innovationen zu konterkarieren. Dabei wird insbesondere dem Umstand Rechnung getragen, dass es Verbrauchern häufig nicht möglich sein wird, dem Schädiger ein Verschulden bei dem Einsatz von KI nachzuweisen und Schadensersatzansprüche geltend zu machen.

Adressaten

• Anbieter, Entwickler und Nutzer von KI-Systemen

Verhältnis zum Datenschutzrecht

Die Richtlinie über KI-Haftung enthält keinen ausdrücklichen Regelungen zum Datenschutz. Allerdings bezweckt die Richtlinie eine Erleichterung der Beweislast für die Opfer von durch KI-Systeme verursachten Schäden im Hinblick auf Haftungsansprüche aus nationalem oder europäischem Recht. Insofern dürfte die Richtlinie diesbezüglich auch Auswirkungen auf die Beweislast bei Schadensersatzansprüchen nach Art. 82 DSGVO haben, wenn den Betroffenen Schäden im Rahmen der Datenverarbeitungen durch KI-Systeme entstehen.

Auswirkungen für Unternehmen / öffentliche Stellen

Für Verbraucher wird die Beweislast erleichtert, sodass bereits der Nachweis über die Nichteinhaltung einer für den Schaden maßgeblichen Verpflichtung und über das Bestehen eines ursächlichen Zusammenhangs zur KI-Leistung ausreicht. In diesem Zusammenhang können Verbraucher z.B. die Offenlegung von Informationen über Hochrisiko-KI-Systeme vor Gericht beantragen. Der Schädiger kann diese Vermutung allerdings widerlegen.

Regelungsschwerpunkte

Die e-Evidence-VO-E regelt die Voraussetzungen, gemäß derer EU-Justizbehörden länderübergreifende Herausgabe- und Sicherungsanordnungen gegenüber Anbietern von Diensten der Informationsgesellschaft und Telekommunikationsdiensten erlassen dürfen. Unter Berufung auf die Verordnung kann dann z.B. eine ungarische Strafverfolgungsbehörde gegenüber einem deutschen Internetprovider die Herausgabe von Daten zum Zwecke der Strafverfolgung anordnen, ohne die deutschen Behörden am Verfahren zu beteiligen.

Herausgabeanordnungen können unter anderem die Identität des Inhabers einer IP-Adresse, Kommunikationsinhalte oder Verkehrsdaten (wann, wie und mit wem wurde kommuniziert) betreffen.

Adressaten

Justizbehörden der EU-Mitgliedstaaten

Unternehmen, die Telekommunikations- und Internetdienste in der EU anbieten, d.h.:

• Klassische Anbieter von TK-Diensten (Telekom, Vodafone, Telefonica, etc.),
• Online-Kommunikationsdienste, wie z.B. Messaging-, Internet- und Videotelefoniedienste sowie E-Mail-Dienste,
• Anbieter von Domainnamen und IP-Adressen,
• Anbieter von Diensten der Informationsgesellschaft (der Begriff kann relativ weit verstanden werden darunter können nach Rechtsprechung des EuGH z.B. Soziale Medien oder Vermittlungsdienste wie Airbnb fallen) über die
  • Nutzer kommunizieren können oder
  • Daten verarbeiten lassen oder speichern.

Verhältnis zum Datenschutzrecht

Aus der e-Evidence-VO-E folgen für die o.g. Unternehmen direkte gesetzliche Pflichten, die auch die Verarbeitung personenbezogener Daten betreffen. Sowohl die Diensteanbieter als auch die Justizbehörden müssen darauf achten, dass eine Verarbeitung personenbezogener Daten nur erfolgt, wenn die Vorgaben der Verordnung eingehalten werden.

Auswirkungen für Unternehmen/ öffentliche Stellen

Unternehmen müssen beachten, dass ihnen Sanktionen drohen, wenn sie die angeforderten Informationen den Justizbehörden nicht zur Verfügung stellen. Wegen der in Einzelfällen sehr kurzen Frist zur Herausgabe (in der Regel innerhalb von 10 Tagen, im Notfall innerhalb von 8 Stunden), sollten Unternehmen sich bereits im Vorfeld auf mögliche Herausgabeanordnungen vorbereiten. Einer zu Unrecht verweigerten Herausgabe kann Bußgelder in Höhe von bis zu 2 % des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden. Eine unberechtigte Herausgabe kann aber ebenfalls einen Verstoß gegen die DSGVO darstellen und mit einem Bußgeld von bis zu 4 % des weltweit erzielten Jahresumsatzes geahndet werden.

Regelungsschwerpunkte

Der Cyber Solidarity Act soll die koordinierte Erkennung, Vorsorge und Bewältigung von Cybersicherheitsbedrohungen und -vorfällen in der EU verbessern. Zu diesem Zweck soll insbesondere ein europäischer Cyberschutzschild und ein Cybernotfallmechanismus geschaffen werden.

Im Rahmen des Cyberschutzschilds sammeln sogenannte Sicherheitseinsatzzentren (SOCs, zuvor benannte nationale Behörden) Erkenntnisse über Cyberbedrohungen und sind Anlaufstellen für öffentliche und private Organisationen. Im Cybernotfallmechanismus sind Vorsorgemaßnahmen, wie die Prüfung von Einrichtungen in besonders kritischen Sektoren (Gesundheitswesen, Verkehr, Energie usw.) auf potenzielle Schwachstellen vorgesehen. Daneben ist die Schaffung einer EU-Cybersicherheitsreserve geplant, die aus Notfalldiensten von vertrauenswürdigen Anbietern besteht, welche im Voraus unter Vertrag genommen wurden und auf Ersuchen eines Mitgliedstaats oder von Stellen der Union im Falle eines Cybersicherheitsvorfalls eingreifen.

Adressaten

• Stellen der EU
• EU-Mitgliedstaaten
• Indirekt Unternehmen aus kritischen Sektoren, die auf potenzielle Schwachstellen getestet werden können
• Indirekt Unternehmen, für die eine Teilnahme an der EU-Cybersicherheitsreserve in Betracht kommt

Verhältnis zum Datenschutzrecht

Der Informationsaustausch zwischen den Teilnehmern des Cyberschutzschilds muss unter Berücksichtigung der Datenschutzvorschriften der Union (DSGVO) und der Mitgliedstaaten erfolgen (ErwG 22 Cyber Solidarity Act). Wenn personenbezogene Daten verarbeitet werden, müssen beispielsweise entsprechende TOMs implementiert werden. Personenbezogene Daten sind zu löschen, wenn sie nicht mehr benötigt werden.

Auswirkungen für Unternehmen / öffentliche Stellen

Unternehmen aus Sektoren mit hoher Kritikalität (die Verordnung verweist auf Anhang I der NIS-2-Richtlinie) können auf potenzielle Schwachstellen getestet werden.

Unternehmen, für die eine Teilnahme an der EU-Cybersicherheitsreserve in Betracht kommt, müssen bestimmte Auswahlkriterien erfüllen und entsprechende Verträge abschließen.

Die Mitgliedstaaten müssen nationale Behörden als SOCs benennen, die dann Aufgaben im Rahmen des Cyberschutzschilds wahrnehmen. Diese Behörden müssen in der Lage sein als Anlaufstelle für öffentliche und privat Organisationen in Bezug auf Bedrohungen und Vorfälle im Bereich der Cybersicherheit zu fungieren. Sie sollen mit neuster Technologie ausgestattet sein und auch zum grenzüberschreitenden Netzwerk von SOCs beitragen.

24. September 2023: DGA: Die Verordnung gilt seit dem 24. September 2023.

18. August 2023: e-Evidence-VO: Die Verordnung ist am 18. August 2023 in Kraft getreten. Sie findet ab dem 18. August 2026 Anwendung.

19. Juli 2023: CRA: Der Rat hat seinen gemeinsamen Standpunkt zum CRA festgelegt (Link).

27. Juni 2023: DA-E: Das Europäischen Parlament und der Rat der EU haben eine politische Einigung über den DA-E erzielt (Link).

14. Juni 2023: KI-VO-E: Das Europäische Parlament hat seine Verhandlungsposition zur KI-VO angenommen (Link).

13. Juni 2023: e-Evidence-VO-E: Das Europäische Parlament hat die e-Evidence-VO verabschiedet.

23. Mai 2023: Cyber Solidarity Act: Die Übersicht enthält jetzt auch Informationen zum Cyber Solidarity Act.

22. Mai 2023: e-Evidence-VO-E: Die Übersicht enthält jetzt auch Informationen zur e-Evidence-VO.

11. Mai 2023: KI-VO-E: Der Binnenmarktausschuss und der Ausschuss für bürgerliche Freiheiten haben den Entwurf eines Verhandlungsmandats angenommen (Link).

02. Mai 2023: DMA: Ab dem 2. Mai 2023 sind die Gatekeeper verpflichtet, ihre Gatekeepereigenschaft gegenüber der Europäischen Kommission offen zu legen.

24. März 2023: DA-E: Der Rat der EU hat seine Position zum Gesetzesentwurf beschlossen (Link).

14. März 2023: DA-E: Das Europäische Parlament hat seine Position zum Gesetzesentwurf beschlossen (Link).

02. Februar 2023: VAP-RL-E: Das Parlament hat seine Verhandlungsposition festgelegt und für das Mandat für Verhandlungen mit Rat gestimmt (Link).

01. Februar 2023: DSA: Die Kommission hat Leitlinien bezüglich der Verpflichtung zur Veröffentlichung von Nutzerzahlen herausgegeben (Link).

23. Januar 2023: Der Digital Operation Resilience Act (DORA) ist am 16. Januar 2023 in Kraft getreten. Die Verordnung findet ab dem 17. Januar 2025 Anwendung.