Die Digitalpolitik der EU

 

Die Digitalpolitik der EU

Ulrich Herfurth, Rechtsanwalt in Hannover und Brüssel
Sara Nesler, Mag. iur. (Torino), LL.M. (Münster)

 

Datenwirtschaft

Daher ist der europäische Gesetzgeber in den letzten Jahren in mehreren Bereichen aktiv geworden, er hat den europäischen Digitalpakt ins Leben gerufen und für weite Bereiche neue und grundlegende Rechtsmodelle geschaffen.

Der bislang massivste Komplex ist die europäische Datenschutzgrundverordnung, die für Unternehmen seit Mai 2017 gilt und Verbrauchern umfassenden Datenschutz gewährt, Unternehmen aber auch stark durch seine Anforderungen belastet.

Dieser Beitrag gibt einen aktuellen Überblick über die Regelungsbereiche – die meisten waren bereits Gegenstand von Compacts und sind barrierefrei zugänglich.

>>          www.herfurth.de/publikationen

 

Data Act

Der Data Act zielt auf die Schaffung eines Datenmarktes in allen Sektoren innerhalb der Europäischen Union ab. Er kann als Grundstein für die Rechtsordnung zu Daten betrachtet werden: er schafft EU-weit eine Zuordnung der Daten an Dateninhaber und Datennutzer, also deren Erzeuger. Dies betrifft nicht nur die durch den Datenschutz bereits geschützten Personendaten, sondern insbesondere auch Maschinendaten (Industriedaten/Systemdaten). Der Data Act bestimmt, wer auf die von vernetzten Geräten erzeugten Daten zugreifen und sie nutzen darf, und er fördert Fairness und Innovation bei der gemeinsamen Nutzung von Daten. Die Verordnung sieht vor, dass die Dateninhaber den Nutzern und auf deren Ersuchen auch Dritten die Daten zu fairen und transparenten Bedingungen zur Verfügung stellen müssen, während es gleichzeitig sicherstellt, dass die Daten in Ausnahmefällen, wie z. B. bei öffentlichen Notfällen, für öffentliche Stellen zugänglich sind. Darüber hinaus enthält der Data Act Bestimmungen zur Gewährleistung der Interoperabilität von Daten und zur Verhinderung des unrechtmäßigen Zugriffs durch Drittländer. Der Data Act wird ab dem 12. September 2025 direkt in den Mitgliedstaaten anwendbar sein.

>>          Siehe dazu: HP Compact, Der Europäische Data Act: Aktualisierung 2024, Februar 2024

 

Data Governance Act

Ziel des Data Governance Act ist es, die Verfügbarkeit von Daten für die Nutzung zu fördern, indem Mechanismen für die gemeinsame Nutzung von Daten in der gesamten EU gestärkt und das Vertrauen in Datenmittler erhöht werden. Dies will die Verordnung vor allem durch drei Maßnahmen erreichen: die Bereitstellung von Daten des öffentlichen Sektors, die Registrierungspflicht für Datenvermittler und neue Regeln für datenaltruistische Organisationen sowie für sogenannte Datentreuhänder. Der Data Governance Act ist seit dem 24. September 2023 anwendbar.

>>          Siehe dazu: HP Compact, „Der Data Governance Act und der Data Act der EU“, Februar 2022

 

Digital Markets Act

Mit dem Digital Markets Act (DMA) will die EU die Marktmacht der großen Digitalkonzerne („Gatekeeper“) begrenzen und die Fairness im digitalen Markt erhöhen. Die Verordnung soll insbesondere Innovation, Wachstum und Wettbewerbsfähigkeit kleinerer Unternehmen fördern. Zu diesem Zweck untersagt der DMA Gatekeepern, Unternehmen und Verbrauchern aufgrund ihrer Marktmacht unfaire Bedingungen aufzuzwingen.

Mit einem ähnlichen Ansatz hat bereits Deutschland das Gesetz gegen Wettbewerbsbeschränkungen (GWB) mit der 11. GWB-Novelle erweitert. Das GWB erleichtert dem Bundeskartellamt unter anderem die Überprüfung von Unternehmen mit „überragender marktübergreifender Bedeutung für den Wettbewerb“. Damit werden also auch Fälle abgedeckt, die mit dem Kriterium „Marktmacht“ in definierten Märkten nicht erfasst waren. Der DMA ist seit dem 02. Mai 2023 anwendbar.

>>          Siehe dazu: HP Compact, Der Digital Markets Act der EU, Februar 2022

 

Digital Services Act

Der Digital Services Act (DSA) wird erhebliche Auswirkungen auf den digitalen Sektor in der EU haben. Durch einheitliche Regeln für Diensteanbieter in der EU erhöht der DSA die Sicherheit im digitalen Umfeld. Neue Regeln gelten insbesondere für Online-Plattformen wie Online-Marktplätze und soziale Netzwerke. Für sie gelten beispielsweise eine strengere Haftung für rechtswidrige Inhalte sowie erhöhte Anforderungen an die Moderation von Inhalten und die Transparenz von Werbung. Darüber hinaus enthält das DSA auch Regelungen für andere Anbieter von Online-Diensten wie z.B. Webhoster. Der DSA ist seit dem 17. Februar 2024 anwendbar.

>>          HP Compact, Digital Services Act, September 2020, update 2024 folgt

 

Neue Vertikal-GVO und Vertikal-Leitlinien

 Die neue Fassung der Vertikal-Gruppenfreistellungsverordnung (Vertikal-GVO) schafft wie die bisherige eine Ausnahme vom grundsätzlichen Verbot von Wettbewerbsbeschränkungen für bestimmte vertikale Vereinbarungen, d.h. zwischen Unternehmen, die auf unterschiedlichen Ebenen der Produktions-, Liefer- und Vertriebskette tätig sind. Die aktualisierte Fassung der Verordnung enthält mehrere Änderungen, die den Online-Vertrieb betreffen und eine Anpassung der Vertriebsmodelle der Unternehmen erfordern oder ermöglichen könnten. Die neue Vertikal-GVO und die neuen Vertikal-Leitlinien sind am 01. Juni 2022 in Kraft getreten. Für laufende Verträge galt ein Übergangszeitraum bis zum 31. Mai 2023.

>>          Siehe dazu: HP Compact, Wettbewerbsbeschränkungen im Vertrieb, Oktober 2022

 

MiCAR

Verordnung über Märkte für Kryptowährungen (MICAR) schafft einen einheitlichen europäischen Regulierungsrahmen für Kryptowährungen. Der Handel mit Kryptowährungen (Sekundärmarkt) wird europaweit erlaubnispflichtig. Dienstleister müssen dementsprechend eine Reihe von Anforderungen erfüllen, um die Erlaubnis zu erhalten und zu behalten. Durch die MiCAR ist der Handel mit Kryptowährungen zumindest innerhalb der Europäischen Union für Anleger etwas sicherer geworden. Die MiCAR wird ab dem 30. Dezember 2024 anwendbar sein.

 

Cybersicherheit

Cyber Resilience Act

Der Cyber Resilience Act verfolgt die Verbesserung der Cybersicherheit von Produkten mit digitalen Elementen, die sowohl Hardware als auch Software umfassen, wie z. B. Babyphones, Smartwatches, Computerspiele und Router. Die Verordnung erlegt Herstellern, Importeuren und Händlern eine Reihe von Verpflichtungen auf, um sicherzustellen, dass diese Produkte strenge Cybersicherheitsstandards erfüllen.

Zu den wichtigsten Maßnahmen gehören die Forderung nach Cybersicherheit durch Design, Konformitätsbewertungen, die rechtzeitige Meldung von Sicherheitslücken und die Offenlegung von Sicherheitsvorfällen. Das Europäische Parlament hat den Cyber Resilience Act am 12. März 2024 verabschiedet. Der Text muss noch vom Rat verabschiedet werden, bevor er in Kraft treten kann.

>>          Siehe dazu: HP Compact, Der Cyber Resilience Act der EU, März 2022

 

NIS 2.0 Richtlinie

Ziel der Richtlinie zur Netz- und Informationssicherheit Richtlinie ist die Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU durch Cybersicherheitsmaßnahmen. Im Vergleich zur Vorgängerrichtlinie wird der Anwendungsbereich erweitert und die Anforderungen an Unternehmen und öffentliche Stellen erhöht, um die Widerstandsfähigkeit gegen Cyberangriffe zu verbessern. Darüber hinaus stärkt die Richtlinie die Befugnisse des BSI und fördert die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten, um Bedrohungen schneller und effektiver begegnen zu können. Die NIS 2.0 Richtlinie wurde am 27. Dezember 2022 veröffentlicht und muss von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.

>>          Siehe dazu: HP Compact, Die NIS 2 Richtlinie, erscheint demnächst

 

Künstliche Intelligenz

Der AI Act | Die Künstliche Intelligenz Verordnung

 Mi dem AI Act schafft Europa weltweit als erster eine grundlegende rechtliche Einordnung und Strukturierung von KI. Ziel der Verordnung ist es, künstliche Intelligenz in der EU zu fördern und gleichzeitig ein hohes Maß an Schutz und Sicherheit zu gewährleisten. Dazu hat die EU einen risikobasierten Ansatz mit vier Risikostufen gewählt: KI-Systeme mit einem inakzeptablen Risiko sind verboten. Für KI-Systeme mit einem hohen oder geringen Risiko schafft die VO neue Anforderungen, während KI-Systeme mit nur einem minimalen Risiko weiterhin im Rahmen des bereits bestehenden Rechtsrahmens verwendet werden dürfen. Der AI-Act ist am 21. Mai 2024 vom Rat verabschiedet worden und soll in Kürzen in Kraft treten. Er wird zwei Jahre nach seinem Inkrafttreten anwendbar.

>>          Siehe dazu: HP Compact, Künstliche Intelligenz im Rechtsrahmen, Januar 2019; Künstliche Intelligenz in Europa, September 2021

 

Produkthaftungs-Richtlinie

Die europäische Produkthaftungsrichtlinie war zum Schutz von Verbrauchern gegen Schäden und Verletzungen durch unsichere physische Produkte geschaffen worden. Dazu hat sich die Auffassung entwickelt, dass auch Produkte mit digitalen Elementen und auch Software als solche unter die Produkthaftung falle sollen. Die aktuelle Änderung der Richtlinie bestimmt nun ausdrücklich, dass auch Softwareanwendungen und KI-Systeme „Produkte“ sind.  Damit legt die Richtlinie den Grundstein für eine verschuldensunabhängige Haftung für Software und KI-Systeme. Das Europäische Parlament hat die neue Produkthaftungsrichtlinie am 12. März 2024 verabschiedet. Sie soll Ende 2026 in Kraft treten.

 

KI-Haftungs-Richtlinie

Die Richtlinie sollte in Ergänzung zur Produkthaftungsrichtlinie als Grundlage für verschuldensabhängige Schadenersatzansprüche dienen, behandelt aber nicht die Haftung als solche, sondern nur Verfahren dazu.  Kernpunkte des Entwurfs sind die Pflicht zur Offenlegung von Beweismitteln und eine widerlegbare Kausalitätsvermutung zwischen dem Verschulden des Lieferanten oder des Benutzers und dem eingetretenen Schaden. Das Gesetzgebungsverfahren zur KI-Haftungsrichtlinie ist ins Stocken geraten. Nach einer Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (EWSA) im Januar 2023 wurden keine weiteren Schritte unternommen.

 

Social

 Whistleblower-Richtlinie

Die Richtlinie dient dem Schutz von Personen, die Verstöße gegen das EU-Recht melden. Sie verpflichtet Unternehmen mit mehr als 50 Beschäftigten sowie öffentliche Stellen, interne Meldewege einzurichten. Hinweisgeber dürfen wegen ihrer Meldung nicht benachteiligt oder verfolgt werden. Zudem müssen die Meldungen vertraulich behandelt werden, um die Identität der Hinweisgeber zu schützen. Verstöße gegen die Richtlinie können erhebliche Sanktionen nach sich ziehen. Die Whistleblower-Richtlinie musste von den Mitgliedstaaten bis zum 17. Dezember 2021 in nationales Recht umgesetzt werden. In Deutschland ist das entsprechende Hinweisgeberschutzgesetz am 02. Juni 2023 in Kraft getreten.

>>          Siehe dazu: HP Compact, Das Hinweisgeberschutzgesetz, September 2023

 

Richtlinie zur Plattformarbeit

Die Richtlinie führt zwei wichtige Neuerungen ein: Sie hilft bei der Bestimmung des korrekten Beschäftigungsstatus von Personen, die für digitale Plattformen arbeiten, und sie regelt erstmals auf EU-Ebene den Einsatz algorithmischer Systeme am Arbeitsplatz. Die Richtlinie zur Plattformarbeit ist am 24. April 2024 verabschiedet worden und sollte nach der Annahme durch den Rat und die Publizierung frühstens ab Mitte 2026 in Kraft treten.

>>          Siehe dazu: HP Compact, Plattformarbeit, erscheint demnächst