Navigieren im Dschungel der EU-Digitalgesetzgebung: DMA, DSA, DA, DGA, AIA und EHDS im Überblick
In der heutigen digitalen Welt stehen Unternehmen vor einer wachsenden Herausforderung: die immer komplexer werdende digitale Gesetzgebung der Europäischen Union. Diese Gesetzgebung, bestehend aus einer Vielzahl horizontaler und vertikaler Acts, ist bereits in Kraft oder in Entwicklung und betrifft eine breite Palette von Unternehmen.
In diesem Artikel bieten wir Ihnen einen umfassenden Überblick über die neuesten Entwicklungen und Trends in der EU-Digitalgesetzgebung.
Unser Fokus liegt auf den Acts DMA, DSA, DA, DGA, AIA und EHDS, und wir werden die wichtigsten Regelungen und Entwürfe in den entsprechenden Abschnitten behandeln.
Ziel ist es, Unternehmen dabei zu unterstützen, die relevanten Rechtsvorschriften zu identifizieren, zu priorisieren und umzusetzen und dadurch Geschäftsrisiken zu minimieren.
Digital Markets Act (DMA):
Regulierung von Online-Plattformen und Compliance-Anforderungen für Torwächter
Der Digital Markets Act (DMA) der Europäischen Union ist ein bedeutendes Regulierungsinstrument, das gezielt auf große Technologiegiganten wie Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft abzielt, die als “Torwächter” auf den digitalen Märkten agieren. Die EU-Kommission hat diese Unternehmen als Gatekeeper identifiziert und unterliegt damit den Vorschriften des DMA. Dieser Gesetzgebungskomplex, der am 1. November 2022 in Kraft getreten ist, stellt sicher, dass diese Tech-Riesen keine unfairen Geschäftspraktiken auf Kosten des fairen Wettbewerbs und der Offenheit digitaler Märkte anwenden.
Die DMA-Verordnung identifiziert spezifische Plattformen und Dienste, die von den genannten Unternehmen betrieben werden, darunter soziale Netzwerke wie TikTok, Facebook, Instagram und LinkedIn, Webbrowser wie Chrome und Safari, Messenger-Anwendungen wie WhatsApp und Facebook Messenger, Video-Plattformen wie YouTube, die Google-Suchmaschine sowie Betriebssysteme wie Android, iOS und Windows. Darüber hinaus sind auch die App-Stores von Apple, Google und Amazon, sowie Google Maps von den Bestimmungen des DMA betroffen.
Die zentrale Zielsetzung des DMA ist die Ergänzung des europäischen Wettbewerbsrechts, um sicherzustellen, dass diese digitalen Torwächter keine unlauteren Wettbewerbspraktiken einsetzen, um ihre dominante Position auszunutzen. Diese Regulierung zielt darauf ab, die Offenheit und den fairen Wettbewerb auf digitalen Märkten zu schützen und zu gewährleisten.
Ein Unternehmen wird als Torwächter bezeichnet, wenn es erheblichen Einfluss auf den Binnenmarkt hat, einen zentralen Plattformdienst anbietet, der für gewerbliche Nutzer als wichtiger Zugang zu Endnutzern fungiert und eine gefestigte oder absehbar gefestigte Position in seinen Tätigkeiten hat.
Die benannten Torwächter haben nun grundsätzlich sechs Monate Zeit, um die Verpflichtungen aus dem DMA zu erfüllen. Dazu gehört beispielsweise das Verbot, Endnutzer “in anderen Diensten des Torwächters” anzumelden, um personenbezogene Daten zusammenzuführen. Sie dürfen auch nicht ihre eigenen Dienstleistungen und Produkte gegenüber ähnlichen Angeboten Dritter bevorzugen.
Der DMA legt Verhaltensregeln für diese Torwächter fest, darunter die Ermöglichung von Sideloading von Apps, Interoperabilität und den Zugang zu Servicedaten. Bei Nichteinhaltung dieser Vorschriften können Strafen von bis zu 10% des weltweiten Jahresumsatzes verhängt werden. Die Umsetzung des DMA hat bereits begonnen und unterliegt strengen Fristen, um die Einhaltung dieser neuen Regeln sicherzustellen. Damit sollen die digitalen Märkte fairer und wettbewerbsfähiger gestaltet werden, um das Gleichgewicht zwischen den Tech-Giganten und kleineren Wettbewerbern sicherzustellen.
Digital Services Act (DSA):
Einheitliche Regulierung für sicheren Online-Raum
Die “Verordnung (EU) 2022/2065 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG,” kurz DSA, ist eine wegweisende EU-Verordnung, die am 16. November 2022 in Kraft getreten ist. Sie ist ein zentraler Bestandteil der “Digitalstrategie für Europa” und zielt darauf ab, ein sicheres, vorhersehbares und vertrauenswürdiges Online-Umfeld zu schaffen, indem sie harmonisierte Vorschriften für die Erbringung von Vermittlungsdiensten im gesamten EU-Binnenmarkt festlegt.
Der DSA reguliert Vermittlungsdienste, die den Nutzern den Zugang zu Waren, Dienstleistungen und Inhalten ermöglichen, und legt spezifische Anforderungen an verschiedene Arten von Diensten fest. Hosting-Dienste und Online-Plattformen haben besondere Pflichten hinsichtlich Melde- und Abhilfeverfahren sowie interner Beschwerdemanagement- und Streitbeilegungssysteme.
Die DSA setzt hohe Standards für Transparenz und Sorgfaltspflichten, verbietet verhaltensmanipulierendes Design und Verfahren und ermöglicht nationalen Behörden Maßnahmen gegen rechtswidrige Inhalte. Bei Verstößen gegen den DSA drohen Bußgelder von bis zu 6% des Jahresumsatzes.
Besonders große Online-Plattformen mit mehr als 45 Millionen aktiven Nutzern pro Monat, als “very large online platforms” (VLOP) bezeichnet, unterliegen verschärften Meldepflichten. Diese gelten ab dem 25. August 2023. Für alle anderen Hostingdiensteanbieter tritt die Meldepflicht ab dem 17. Februar 2024 in Kraft.
Der DSA ist ein wichtiger Schritt, um das Online-Umfeld sicherer und vertrauenswürdiger zu gestalten. Ab dem 24. Februar 2024 wird er digitale Dienstleister, insbesondere Online-Plattformen, zu mehr Schutz und Transparenz für Verbraucher:innen verpflichten. Schon seit dem 25. August 2023 müssen sehr große Plattformen und Suchmaschinen mit mehr als 45 Millionen Nutzern pro Monat in der EU erste Vorgaben umsetzen, darunter neue Transparenzregeln und Beschwerde-Möglichkeiten. Der Grundsatz lautet: Was offline illegal ist, muss auch online illegal sein, und es werden konkrete Beschwerdemöglichkeiten bereitgestellt, um Verstöße zu melden.
Data Governance Act (DGA):
Förderung der Datenverfügbarkeit und Stärkung der Datenwirtschaft
Das Data Governance Act (DGA) ist ein bedeutendes europäisches Gesetz, das im Einklang mit den Werten und Grundsätzen der EU steht und erhebliche Vorteile für Bürger und Unternehmen in der EU bringt. Dieses Gesetz, das am 23. Juni 2022 in Kraft trat, ist ein zentraler Bestandteil der europäischen Datenstrategie und zielt darauf ab, das Vertrauen im Datenaustausch zu stärken, die Datenverfügbarkeit zu erhöhen und technische Hürden für die Datenweiterverwendung zu überwinden.
Der DGA unterstützt die Schaffung und Entwicklung gemeinsamer europäischer Datenräume in strategischen Bereichen, die private und öffentliche Akteure in Bereichen wie Gesundheit, Umwelt, Energie, Landwirtschaft, Mobilität, Finanzen, verarbeitende Industrie, öffentliche Verwaltung und Kompetenzen einbeziehen.
Die Initiative zielt darauf ab, mehr Daten verfügbar zu machen und den Datenaustausch zwischen Sektoren und EU-Ländern zu erleichtern. Dies wird zu zahlreichen Vorteilen führen:
- Die Industrie kann innovative Produkte und Dienstleistungen entwickeln, die Wirtschaftssektoren effizienter und nachhaltiger gestalten, und KI-Systeme weiterentwickeln.
- Der öffentliche Sektor kann bessere Strategien entwickeln, was zu transparenterer Governance und effizienteren öffentlichen Diensten führt.
- Datengetriebene Innovationen werden Unternehmen und Einzelpersonen in den Bereichen Gesundheit, Mobilität, Umwelt, Landwirtschaft und öffentliche Verwaltung Vorteile bringen, um effizientere Lebens- und Arbeitsweisen zu ermöglichen.
Der DGA ermöglicht dies durch die Einführung von Mechanismen, die die Weiterverwendung bestimmter nicht als offene Daten verfügbarer Daten des öffentlichen Sektors erleichtern. Außerdem fördert er das Vertrauen in Datenintermediäre, die den Datenaustausch innerhalb gemeinsamer europäischer Datenräume organisieren. Dies erleichtert Bürgern und Unternehmen, Daten für das Gemeinwohl bereitzustellen und fördert den sektor- und grenzübergreifenden Datenaustausch.
Insgesamt wird der Data Governance Act die EU zur führenden Innovationskraft im Bereich datengestützter Technologien machen und positive Auswirkungen auf die Gesellschaft, die Wirtschaft und Unternehmen haben.
Data Act (DA):
Zugang zu Daten und faire Verteilung der Wertschöpfung
Der Data Act (DA), von der Europäischen Kommission im Februar 2022 vorgestellt, ist ein Gesetzesentwurf, der darauf abzielt, den Austausch und die Nutzung von Unternehmensdaten in der wirtschaftlichen Wertschöpfungskette zu verbessern. Er betrifft B2B-, B2C- und B2G-Datennutzung und betrifft Hersteller, Dateninhaber und Nutzer vernetzter Geräte, aber auch Anbieter von Datenverarbeitungsdiensten.
Der DA ermöglicht es Nutzern, die Kontrolle über die Daten zu behalten, die sie generieren, und unter bestimmten Bedingungen Daten mit Dritten zu teilen. Hersteller müssen ihre Produkte für den Datenzugang gestalten. Der DA fördert auch den einfachen Wechsel von Datenverarbeitungsdienstanbietern.
Öffentlichen Einrichtungen werden erweiterte Zugangsrechte gewährt, um Daten von Dateninhabern anzufordern, wenn ein “außergewöhnlicher Bedarf” besteht, vorbehaltlich von KMU. Das Gesetz wird im Jahr 2025 in Kraft treten.
Der DA zielt darauf ab, Daten für Unternehmen und Verbraucher leichter nutzbar zu machen, den Datenschutz zu gewährleisten und den Datenfluss zu fördern. Es soll Unternehmen dazu ermutigen, sich an der Datenwirtschaft zu beteiligen und Datenerzeugung zu fördern.
Obwohl der DA Innovation und Datenschutz in Einklang bringen soll, gibt es Bedenken hinsichtlich des Verbraucherschutzes und der Einhaltung der Regeln. Unternehmen befürchten zu große Eingriffe und mangelnden Schutz von Geschäftsgeheimnissen.
Zusammengefasst schreibt der DA Unternehmen folgende Anforderungen vor:
- Transparenz bei Datennutzung und -freigabe
- Interoperabilität zwischen Produkten und Diensten
- Datenschutz und -sicherheit
- Datenaustausch und -tragbarkeit
- Regierungsbehörden erhalten Zugriff bei Notfällen.
Im Vergleich zur Datenschutz-Grundverordnung (DSGVO) konzentriert sich der DA auf industrielle Daten, nicht auf personenbezogene Daten, und strebt einen ausgewogenen Schutz und Nutzung von Daten an, um die Wettbewerbsfähigkeit der EU im globalen Wettbewerb zu stärken. Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
Artificial Intelligence Act (AIA):
Regulierungsansatz und Compliance-Maßnahmen
Der Artificial Intelligence Act (AIA) der Europäischen Union ist ein wichtiger Schritt im Rahmen der EU-Digitalstrategie, um den Einsatz von Künstlicher Intelligenz (KI) in der EU zu regulieren. Dieser Gesetzesentwurf enthält konkrete Vorschläge zur Regelung des Umgangs mit KI in der Forschung und Wirtschaft.
Der AIA betrifft verschiedene Akteure, darunter Anbieter von KI-Systemen, die in der EU vermarktet oder verwendet werden, sowie Nutzer von KI-Systemen in der EU. Dies schließt sowohl juristische Personen, Behörden und Einrichtungen als auch natürliche Personen ein.
Die Definition von Künstlicher Intelligenz im AIA ist recht weit gefasst und umfasst Techniken wie maschinelles Lernen, Deep Learning, logikbasierte Konzepte, wissensgestützte Konzepte und statistische Ansätze. Es umfasst auch KI-Systeme, die vom Menschen festgelegte Ziele verfolgen, Ergebnisse vorhersagen oder Inhalte generieren und dabei mit ihrer Umgebung interagieren.
Der AIA kategorisiert KI-Anwendungen in vier Gruppen, je nach ihrem Risikopotenzial. Dies reicht von inakzeptablem Risiko bis hin zu minimalem Risiko. Je höher das Risiko, desto strenger sind die Regulierungen. Bestimmte KI-Anwendungen mit unannehmbarem Risiko, die etwa menschliches Verhalten manipulieren oder zu sozialer Benachteiligung führen könnten, werden sogar verboten.
Für Hochrisiko-KI-Systeme gelten spezielle Anforderungen, darunter die Einrichtung eines Risikomanagementsystems, die Einhaltung von Daten-Governance- und Datenverwaltungsverfahren, die menschliche Überwachung und transparente Informationen für die Nutzer.
KI-Systeme mit geringerem Risiko unterliegen weniger strengen Vorschriften, was zu Diskussionen darüber geführt hat, ob das tatsächliche Gefahrenpotenzial ausreichend berücksichtigt wird.
Der AIA ist ein wichtiger Schritt zur Regulierung von KI in der EU und demonstriert das Bewusstsein für die Gefahren und Herausforderungen im Zusammenhang mit KI-Anwendungen. Unternehmen, die KI-Systeme entwickeln oder nutzen, sollten sich mit den vorgeschlagenen Regulierungen auseinandersetzen und die Gesetzesentwicklung aufmerksam verfolgen.
European Health Data Space (EHDS):
Förderung der Gesundheits datennutzung
Der EHDS ist Teil der EU-Strategie zur Nutzung von Gesundheitsdaten und zielt darauf ab, den sicheren und interoperablen Austausch von Gesundheitsdaten in der EU zu ermöglichen. Er soll Innovationen im Gesundheitswesen fördern, die Forschung unterstützen und die Gesundheitsversorgung verbessern.
Die Europäische Kommission hat einen Vorschlag für eine Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten vorgelegt. Dieser Vorschlag ist Teil der EU-Digitalstrategie und zielt darauf ab, das Potenzial von Gesundheitsdaten in der gesamten Europäischen Union zu erschließen. Der europäische Raum für Gesundheitsdaten ist ein spezifischer Datenraum, der aus Vorschriften, gemeinsamen Standards, Infrastrukturen und einem Governance-Rahmen besteht.
Die Hauptziele des Vorschlags sind:
1. Verbesserter Zugang und mehr Kontrolle für Einzelpersonen:
Der Vorschlag sieht vor, dass Einzelpersonen kostenlosen Zugang zu ihren persönlichen Gesundheitsdaten erhalten. Sie haben das Recht, eine elektronische Kopie ihrer Daten zu erhalten, diese in ihre elektronische Patientenakte aufzunehmen und Daten an Empfänger ihrer Wahl im Gesundheits- oder Sozialversicherungsbereich zu übermitteln.
2. Sekundärnutzung von Gesundheitsdaten:
Der Vorschlag ermöglicht die Nutzung von Gesundheitsdaten für Forschung, Innovation und politische Entscheidungsfindung. Dies erfolgt unter strenger Einhaltung der Datenschutzbestimmungen. Mindestanforderungen an die bereitzustellenden Gesundheitsdaten werden festgelegt, und die Rechtmäßigkeit der Sekundärnutzung richtet sich nach den Datenschutzbestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO).
3. Regulierung von Patientendatensystemen und Gesundheits-Apps:
Der Vorschlag enthält auch Regelungen für Lösungen im Bereich der Patientendatensysteme und Gesundheits-Apps, die auf dem Markt angeboten werden. Dies soll sicherstellen, dass diese Lösungen den Datenschutzanforderungen entsprechen.
Der europäische Raum für Gesundheitsdaten ist ein wichtiger Bestandteil der europäischen Gesundheitsunion, die darauf abzielt, nationale Gesundheitssysteme in der EU besser zu vernetzen. Durch die Zusammenführung von national erhobenen Gesundheitsdaten soll die Versorgung, Forschung und die Infrastruktur der einzelnen Gesundheitssysteme insgesamt verbessert werden.
Der Vorschlag folgt dem Konzept einer primären und sekundären Nutzung von Gesundheitsdaten. Die primäre Nutzung betrifft den Zugang und die Kontrolle von Einzelpersonen über ihre eigenen Daten, während die sekundäre Nutzung die Nutzung der Daten zum Nutzen der Gesellschaft für Forschung und Innovation umfasst. Der Vorschlag hebt die Bedeutung der Weiterverwendung von Gesundheitsdaten hervor, insbesondere im Hinblick auf die öffentliche Gesundheit und die Entwicklung im Gesundheits- oder Pflegesektor.
Fazit
Die EU-Digitalgesetzgebung entwickelt sich ständig weiter und stellt Unternehmen vor neue Herausforderungen. Die Acts DMA, DSA, DA, DGA, AIA und EHDS sind wichtige Bestandteile dieses Regelwerks und beeinflussen Unternehmen in verschiedenen Branchen.
Unternehmen sollten sich aktiv über die Anforderungen dieser Acts informieren, um sicherzustellen, dass sie die Compliance-Anforderungen erfüllen und potenzielle Sanktionen vermeiden. Dies erfordert eine gründliche Prüfung der spezifischen Regelungen, die für ihr Geschäft relevant sind, und die Implementierung geeigneter Maßnahmen zur Einhaltung der Vorschriften.
Die EU-Digitalgesetzgebung zielt darauf ab, einen fairen und sicheren digitalen Binnenmarkt zu schaffen und die Rechte der Verbraucher zu schützen. Unternehmen, die sich frühzeitig mit diesen Gesetzen auseinandersetzen und proaktiv handeln, werden in der Lage sein, die Chancen der digitalen Wirtschaft voll auszuschöpfen und gleichzeitig die Einhaltung der Vorschriften sicherzustellen.