Datenschutz - Datensicherheit - Datenwirtschaft
Spickzettel europäisches Datenrecht (v3)
Spickzettel europäisches Datenrecht (v3)

Spickzettel europäisches Datenrecht (v3)

Europäisches Datenrecht

Das Zeitalter des europäischen Datenrechts ist angebrochen. Als neues Rechtsgebiet hat das Datenrecht mittlerweile schon sehr konkrete Konturen angenommen. DGA, DSA, DMA, AIA und DA bestimmen zukünftig neben der DSGVO über Austausch, Nutzung und Dienste um Daten. Diese Rechtsakte hängen auf verschiedene Art und Weise zusammen und greifen ineinander. Die folgende aktualisierte Übersicht mit weiterführenden Links, die unser geschäftsführender Gesellschafter Paul C. Johannes erstellt hat, soll bei der ersten Orientierung helfen.

Dieser Beitrag wurde zuletzt am 25.06.2024 aktualisiert.

1. Datenschutz-Grundverordnung (DSGVO) – 2016/679 – verabschiedet und anwendbar seit 25. Mai 2018

Die Datenschutz-Grundverordnung 2016/679 wurde bereits 2016 verabschiedet und kommt seit 2018 unionsweit zu Anwendung. Sie trifft Regelungen für die Verarbeitung von personenbezogenen Daten und wird durch spezielleres Recht auf Unionsebene (zB JI-RL 2016/680) und nationaler Ebene (zB Bundesdatenschutzgesetz) ergänzt.

2. ePrivacy-Verordnung – im Gesetzgebungsverfahren

Die Bemühungen um die Verabschiedung der sogenannten ePrivacy-Verordnung dauern an. Über den bereits 2017 eingebrachten Vorschlag (Vorgang 2017/0003/COD) wird immer noch verhandelt, aktuell in der Version des Entwurfs vom 10. Februar 2021 (Dokumentennr. 6087/21). Die E-Privacy-Verordnung soll im Schwerpunkt dezidierte Regeln für die Vertraulichkeit der Kommunikation (Fernmeldegeheimnis), die Verarbeitung von Kommunikationsdaten (bisher Verkehrsdaten) und das Speichern und Auslesen von Informationen auf Endeinrichtungen (z.B. Cookies) enthalten und so die DSGVO ergänzen.

3. Digital Markets Act (DMA) – 2022/1925 – verabschiedet und anwendbar seit 2. Mai 2023

Ende März 2022 wurde zwischen dem Europäischem Parlament und dem Rat der Europäischen Union eine politische Einigung über den Digital Markets Act (Vorgang 2020/0374/COD) erzielt. Diese Verordnung über bestreitbare und faire Märkte im digitalen Sektor (Gesetz über digitale Märkt) wurde Ende 2022 beschlossen und zum 2. Mai 2023 anwendbar sein. Der DMA wird bestimmte Praktiken großer Plattformen, die als „Gatekeeper“ fungieren, verbieten und die Kommission in die Lage versetzen, Marktuntersuchungen durchzuführen und nicht konformes Verhalten zu sanktionieren.

4. Digital Services Act (DSA) – 2022/2065 – verabschiedet und anwendbar seit 17. Februar 2022

Ende April 2022 wurde im Trilogverfahren eine politische Einigung über den Digital Services Act (Vorgang 2020/0361/COD) erzielt. Die Verordnung über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) wurde Ende 2022 verabschiedet werden und zum 17. Februar 2024 anwendbar werden. Der DSA richtet sich an Anbieter von Vermittlungsdiensten (z.B. Internetdienstleister, Cloud-Anbieter, Suchmaschinen, soziale Netzwerke und andere Online-Plattformen sowie Online-Marktplätze). Es deckt eine Reihe von Fragen ab, unter anderem

  • ein Verbot von gezielter Werbung, die sich an Minderjährige richtet oder auf besonderen Datenkategorien beruht;
  • ein Verbot irreführender Praktiken und Schnittstellen;
  • Sorge für mehr Transparenz bei den Parametern für die Empfehlung, Kuratierung oder Priorisierung von Inhalten für Nutzer;
  • Pflicht zu „Notice and Action“-Verfahren, um die Meldung und Entfernung illegaler Online-Inhalte zu ermöglichen und zu
  • „Know your business customer“-Anforderungen für Online-Marktplätze, um die Zuverlässigkeit von Händlern zu gewährleisten.

5. Artificial Intelligence Act (AIA) – im Gesetzgebungsverfahren, größtenteils anwendbar ab 2026

Am 21. April 2021 schlug die EU-Kommission eine Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) vor (Vorgang 2021/0106/COD). Der Vorschlag wurde von den Mitgesetzgebern, dem Europäischen Parlament und dem Rat (EU-Mitgliedstaaten), erörtert. Rat und Parlament haben sich auf einen Text geeinigt und diesen am 13. Juni 2024 unterzeichnet. Das Verfahren wird mit der Veröffentlichung des Gesetzestextes im Amtsblatt voraussichtlich im Juli 2024 abgeschlossen werde. Der AIA zielt auf die Regulierung von Systemen und Praktiken im Bereich Künstlicher Intelligenz ab. Es soll ein robuster und flexibler Rechtsrahmen geschaffen werden, der den Umgang mit KI und automatischen Entscheidungsfindungssystemen vertrauenswürdig und sicher gestaltet. Ders AIA wird 20 Tage nach seiner Veröffentlichung im Amtsblatt „in Kraft treten“. Von diesem Datum an werden die folgenden Meilensteine folgen:

  • 6 Monate später – Kapitel I und Kapitel II (Verbot von AI mit unannehmbaren Risiken) finden Anwendung.
  • 12 Monate später – Kapitel III Abschnitt 4 (Meldebehörden), Kapitel V (KI-Modelle für allgemeine Zwecke), Kapitel VII (Governance), Kapitel XII (Vertraulichkeit und Sanktionen) und Art. 78 (Vertraulichkeit) werden mit Ausnahme von Art. 101 (Geldbußen) gelten.
  • 24 Monate später – Die übrigen Bestimmungen des AI-Gesetzes finden Anwendung, außer;
  • 36 Monate später – Es gelten Art.6 Abs. 1 AIA und die entsprechenden Verpflichtungen in dieser Verordnung.
  • Gemäß Art. 56 AIA müssen die Verhaltenskodizes 9 Monate nach Inkrafttreten fertig sein.

6. Data Governance Act (DA) – 2022/868 – verabschiedet und anwendbar seit 24. September 2023

Der Vorschlag für eine Verordnung über europäische Daten-Governance (Daten-Governance-Gesetz) wurde Ende 2020 eingebracht (Vorgang 2020/0340/COD). Er wurde am 30. Mai 2022 offiziell verabschiedet. Der DGA zielt darauf ab, das Vertrauen in die gemeinsame Nutzung von Daten zu stärken. Es soll neue EU-Regeln für die Neutralität von Datenmarktplätzen schaffen und die Wiederverwendung bestimmter Daten im Besitz des öffentlichen Sektors erleichtern.

7. Data Act (DA) – 2023/2854 – verabschiedet und größtenteils anwendbar ab 12. September 2025

Der Vorschlag (Vorgang 2022/0047/COD) für eine Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz) wurde am 24. Februar 2022 in das offizielle Gesetzgebungsverfahren der EU (COM(2022) 68) eingebracht. Der Data Act wurde am 22. Dezember 2023 veröffentlicht. Die Verordnung gilt ab dem 12. September 2025. Die Verpflichtung gemäß Art. 3 Abs. 1 DA gilt für vernetzte Produkte und die mit ihnen verbundenen Dienste, die nach dem 12. September 2026 in Verkehr gebracht wurden.

Der Data Act enthält unter anderem Regelungen für

  • ein Recht der Nutzer auf Zugang und Nutzung nutzergenerierter Daten,
  • ein Verbot unfairer Vertragsklauseln in standardisierten Datenlizenzverträgen,
  • ein Recht auf Datenzugang und -nutzung durch öffentliche Stellen,
  • eine Erleichterung des Wechsels von Datenverarbeitungsdiensten (insb. Cloud- und Edge-Anbieter) sowie
  • Anforderungen an die Interoperabilität von Datenverarbeitungsdiensten sowie an die internationale Datenübertragung.

8. eIDAS-Verordnung 2.0 (eIDAS-VO) – VO EU 910/2014, verabschiedet und anwendbar seit dem 20.05.2024

Die Verordnung über elektronische Identitäten und Vertrauensdienste (VO EU 910/2014) wurde bereits in 2016 anwendbar. Sie bildet einen unionsweit verbindlichen Rechtsrahmen für elektronische Identifizierungs- und Sicherungsverfahren. Mitte 2021 legte die EU-Kommission einen Reformvorschlag vor (Vorgang 2021/0136/COD). Die Verordnung 2024/1183 zur Änderung der VO EU 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität wurde am 11. April 2024 verabschiedet und am 30. April 2024 im Amtsblatt veröffentlicht. Sie trat 20 trage danach in Kraft. Die konsolidierte Fassung der eIDAS, oft eiDAS 2.0 genannt, ist ebenfalls bereits veröffentlicht.

Durch die Änderungen wird die Europäischen digitalen Identität (EUid) eingeführt, einer Art digitaler Brieftasche, in der die nationale elektronische Identität (eID) hinterlegt ist, wo aber auch Nachweise anderer persönlicher Attribute gespeichert werden können (Führerschein, Zeugnisse, Geburts- und Heiratsurkunden). Ziel soll es sein, als Nutzender online auf Dienste zugreifen können, ohne private Identifizierungsmethoden nutzen oder unnötig personenbezogene Daten weitergeben zu müssen und somit volle Kontrolle über die Daten zu erhalten, die Nutzende weitergeben.

9. Einordnung

Mit den bestehenden und den geplanten Rechtsakten geht ein hohes Maß an Rechtsunsicherheit zur Auslegung neuer Rechtsbegriffe und der Abgrenzung der Rechtsakte zueinander einher. Das europäische Datenrecht ist hochkomplex. Miteinander verwobene Rechtsakte ringen um Anwendungshoheit, sowohl auf unionaler als auch auf nationalstaatlicher Ebene. Akteure müssen durch ein zunehmendes Dickicht datenregulatorischer Anforderungen navigieren und zahlreiche Compliance-Vorgaben erfüllen. Die mit den neuen Rechtsakten einhergehenden Regelungen zum Datenzugang, zum Datenaustausch und zur Datennutzung wird vielfach im Zielkonflikt mit dem Regelungsgehalt der DSGVO stehen.

Ein Kommentar

  1. Pingback: Spickzettel neues europäisches Datenrecht - Datenrecht Beratungsgesellschaft

Kommentare sind geschlossen.