Das Zeitalter des europäischen Datenrechts ist angebrochen. Als neues Rechtsgebiet hat das Datenrecht mittlerweile schon sehr konkrete Konturen angenommen. DGA, DSA, DMA, AIA und DA bestimmen zukünftig neben der DSGVO über Austausch, Nutzung und Dienste um Daten. Diese Rechtsakte hängen auf verschiedene Art und Weise zusammen und greifen ineinander. Die folgende kleine Übersicht mit weiterführenden Links, die unser geschäftsführender Gesellschafter Paul C. Johannes erstellt hat, soll bei der ersten Orientierung helfen. Dieser Beitrag erschien in leicht abgewandelter Form erschienen in ZD-Aktuell 2022, 01166.
Eine aktuellere Version des Spickzettels finden hier: Spickzettel europäisches Datenrecht (v3)
1. Datenschutz-Grundverordnung (DSGVO)
Die Datenschutz-Grundverordnung 2016/679 wurde bereits 2016 verabschiedet und kommt seit 2018 unionsweit zu Anwendung. Sie trifft Regelungen für die Verarbeitung von personenbezogenen Daten und wird durch spezielleres Recht auf Unionsebene (zB JI-RL 2016/680) und nationaler Ebene (zB Bundesdatenschutzgesetz) ergänzt.
2. ePrivacy-Verordnung
Die Bemühungen um die Verabschiedung der sogenannten ePrivacy-Verordnung dauern an. Über den bereits 2017 eingebrachten Vorschlag (Vorgang 2017/0003/COD) wird immer noch verhandelt, aktuell in der Version des Entwurfs vom 10. Februar 2021 (Dokumentennr. 6087/21). Die E-Privacy-Verordnung soll im Schwerpunkt dezidierte Regeln für die Vertraulichkeit der Kommunikation (Fernmeldegeheimnis), die Verarbeitung von Kommunikationsdaten (bisher Verkehrsdaten) und das Speichern und Auslesen von Informationen auf Endeinrichtungen (z.B. Cookies) enthalten und so die DSGVO ergänzen.
3. Digital Markets Act (DMA)
Ende März 2022 wurde zwischen dem Europäischem Parlament und dem Rat der Europäischen Union eine politische Einigung über den Digital Markets Act (Vorgang 2020/0374/COD) erzielt. Diese Verordnung über bestreitbare und faire Märkte im digitalen Sektor (Gesetz über digitale Märkt) wird vorrausichtlich Ende 2022 beschlossen werden und mit einer Übergangszeit von 6 Monaten in Kraft treten. Der DMA wird bestimmte Praktiken großer Plattformen, die als „Gatekeeper“ fungieren, verbieten und die Kommission in die Lage versetzen, Marktuntersuchungen durchzuführen und nicht konformes Verhalten zu sanktionieren.
4. Digital Services Act (DSA)
Ende April 2022 wurde im Trilogverfahren eine politische Einigung über den Digital Services Act (Vorgang 2020/0361/COD) erzielt. Die Verordnung über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) muss noch vom Rat und Europäischem Parlament gebilligt werden. Der DSA wird vermutlich Ende 2022 verabschiedet werden und spätestens zum 1. Januar 2024 anwendbar werden. Der DSA richtet sich an Anbieter von Vermittlungsdiensten (z.B. Internetdienstleister, Cloud-Anbieter, Suchmaschinen, soziale Netzwerke und andere Online-Plattformen sowie Online-Marktplätze). Es deckt eine Reihe von Fragen ab, unter anderem
- ein Verbot von gezielter Werbung, die sich an Minderjährige richtet oder auf besonderen Datenkategorien beruht;
- ein Verbot irreführender Praktiken und Schnittstellen;
- Sorge für mehr Transparenz bei den Parametern für die Empfehlung, Kuratierung oder Priorisierung von Inhalten für Nutzer;
- Pflicht zu „Notice and Action“-Verfahren, um die Meldung und Entfernung illegaler Online-Inhalte zu ermöglichen und zu
- „Know your business customer“-Anforderungen für Online-Marktplätze, um die Zuverlässigkeit von Händlern zu gewährleisten.
5. Artificial Intelligence Act (AIA)
Am 21. April 2021 schlug die EU-Kommission eine Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) vor (Vorgang 2021/0106/COD). Der Vorschlag wird nun von den Mitgesetzgebern, dem Europäischen Parlament und dem Rat (EU-Mitgliedstaaten), erörtert. Im Rat haben die Verhandlungen begonnen, um einen gemeinsamen Standpunkt der Mitgliedstaaten zu finden. Der AIA zielt auf die Regulierung von Systemen und Praktiken im Bereich Künstlicher Intelligenz ab. Es soll ein robuster und flexibler Rechtsrahmen geschaffen werden, der den Umgang mit KI und automatischen Entscheidungsfindungssystemen vertrauenswürdig und sicher gestaltet.
6. Data Governance Act (DA)
Der Vorschlag für eine Verordnung über europäische Daten-Governance (Daten-Governance-Gesetz) wurde Ende 2020 eingebracht (Vorgang 2020/0340/COD). Das Europäische Parlament und der Rat haben am 30. November 2021 eine vorläufige politische Einigung erzielt. Das Parlament hat den endgültigen Text am 6. April 2022 angenommen, während die Annahme durch den Rat noch aussteht. Der DGA zielt darauf ab, das Vertrauen in die gemeinsame Nutzung von Daten zu stärken. Es soll neue EU-Regeln für die Neutralität von Datenmarktplätzen schaffen und die Wiederverwendung bestimmter Daten im Besitz des öffentlichen Sektors erleichtern.
7. Data Act (DA)
Der Vorschlag (Vorgang 2022/0047/COD) für eine Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz) wurde am 24. Februar 2022 in das offizielle Gesetzgebungsverfahren der EU (COM(2022) 68) eingebracht. Der Entwurf des DA enthält unter anderem Regelungen für
- ein Recht der Nutzer auf Zugang und Nutzung nutzergenerierter Daten,
- ein Verbot unfairer Vertragsklauseln in standardisierten Datenlizenzverträgen,
- ein Recht auf Datenzugang und -nutzung durch öffentliche Stellen,
- eine Erleichterung des Wechsels von Datenverarbeitungsdiensten (insb. Cloud- und Edge-Anbieter) sowie
- Anforderungen an die Interoperabilität von Datenverarbeitungsdiensten sowie an die internationale Datenübertragung.
8. eIDAS-Verordnung 2.0 (eIDAS-VO)
Die Verordnung über elektronische Identitäten und Vertrauensdienste (VO EU 910/2014) wurde bereits in 2016 anwendbar. Sie bildet einen unionsweit verbindlichen Rechtsrahmen für elektronische Identifizierungs- und Sicherungsverfahren. Mitte 2021 legte die EU-Kommission einen Reformvorschlag vor (Vorgang 2021/0136/COD). Darin enthalten ist ein Vorschlag zur neuen Europäischen digitalen Identität (EUid), einer Art digitaler Brieftasche, in der die nationale elektronische Identität (eID) hinterlegt ist, wo aber auch Nachweise anderer persönlicher Attribute gespeichert werden können (Führerschein, Zeugnisse, Geburts- und Heiratsurkunden). Ziel soll es sein, als Nutzender online auf Dienste zugreifen können, ohne private Identifizierungsmethoden nutzen oder unnötig personenbezogene Daten weitergeben zu müssen und somit volle Kontrolle über die Daten zu erhalten, die Nutzende weitergeben.
9. Einordnung
Mit den bestehenden und den geplanten Rechtsakten geht ein hohes Maß an Rechtsunsicherheit zur Auslegung neuer Rechtsbegriffe und der Abgrenzung der Rechtsakte zueinander einher. Das europäische Datenrecht ist hochkomplex. Miteinander verwobene Rechtsakte ringen um Anwendungshoheit, sowohl auf unionaler als auch auf nationalstaatlicher Ebene. Akteure müssen durch ein zunehmendes Dickicht datenregulatorischer Anforderungen navigieren und zahlreiche Compliance-Vorgaben erfüllen. Die mit den neuen Rechtsakten einhergehenden Regelungen zum Datenzugang, zum Datenaustausch und zur Datennutzung wird vielfach im Zielkonflikt mit dem Regelungsgehalt der DSGVO stehen.