DGA, DSA, DMA und AIA – Neues Datenschutzrecht für Europa

Fachbeitrag

„Der Weg ins digitale Jahrzehnt“ – so bezeichnet die Europäische Kommission ihr Vorhaben, Europa bis 2030 hinsichtlich digitaler Herausforderungen zu wappnen. Vier neue Rechtsakte sollen dieses Ziel begleiten. Wir stellen den aktuellen Stand und die Inhalte des Data Governance Acts (DGA), Digital Services Act (DSA), Digital Markets Act (DMA) und des Artificial Intelligence Acts (AIA) vor.

Data Governance Act (DGA)

Eines der ersten Vorschläge stellt der Data Governance Act vom 25. November 2020 dar. Dieser Rechtsrahmen hat das Ziel, den Austausch und die Verfügbarkeit von Daten zwischen Privatpersonen, Unternehmen und dem öffentlichen Sektor zu erleichtern. Insbesondere Agrar-, Umwelt- und Gesundheitsdaten sollen im Rahmen dieses Gesetzes effektiver genutzt werden können. Potenziale in den Bereichen der Forschung, Innovation und Statistiken könnten somit weiter ausgeschöpft werden.

Um eine notwendige Vertrauensbasis zu schaffen, werden nach Verordnungsentwurf neutrale Datentreuhänder und Datenmittler eingesetzt. Datenbanken mit personenbezogenen Daten setzen planmäßig auf:

„Techniken, die datenschutzfreundliche Analysen ermöglichen, z.B. Anonymisierung, Pseudonymisierung, differentielle Privatsphäre, Generalisierung oder Datenunterdrückung und Randomisierung.“

Weiterhin soll die Nutzung von Daten aus „altruistischen Gründen“ ermöglicht werden. Dies umfasst konkret die freiwillige Datenbereitstellung durch Einzelpersonen oder Unternehmen zum Wohle der Allgemeinheit. Organisationen können sich als „in der Union anerkannte datenaltruistische Organisation“ eintragen lassen, um das Vertrauen in ihre Tätigkeiten zu stärken.

Bei dem Data Governance Act handelt es sich bisher nur um einen Verordnungsentwurf. Nach dem aktuellen Stand steht die Verhandlung mit dem Europäischen Parlament aus, in dem sich auf eine endgültige Fassung der Verordnung geeinigt werden muss.

Digital Services Act (DSA)

Der Vorschlag für ein Gesetz über digitale Dienste (Digital Services Act) vom 15. Dezember 2020 ist ebenfalls ein Vorhaben im Rahmen des Digitalisierungsprogramms der EU. Die Verordnung soll gute Bedingungen für die Bereitstellung innovativer digitaler Dienste im Binnenmarkt schaffen und einen Beitrag zur Online-Sicherheit leisten. Anbieter von Vermittlungsdiensten, insbesondere Online-Plattformen wie soziale Medien und Marktplätze sollen mithilfe umfassenderer Sorgfalts- und Rechenschaftspflichten stärker in die Pflicht genommen werden.

Plattformbetreiber verpflichten sich dann beispielsweise dazu, gegen rechtswidrige Inhalte stärker vorzugehen, Widerspruchsmöglichkeiten für Nutzer zu schaffen, für mehr Transparenz zu sorgen und die Kooperation zu Behörden zu verbessern. Verstöße gegen den Digital Services Act enden schlecht für die Unternehmen mit Bußgeldern bis zu 6 % des Gesamtjahresumsatzes für „sehr große Online-Plattformen“. Social Media Giganten wie Facebook müssten sich somit in Acht nehmen. Derzeit steht aber noch das Datum des Inkrafttretens des Digital Services Acts aus. Die Mitgliedsstaaten und das Europäische Parlament beraten sich zu dem Verordnungsvorschlag der EU-Kommission.

Digital Markets Act (DMA)

Der Vorschlag für eine Verordnung über bestreitbare und faire Märkte im digitalen Sektor (Digital Markets Act) wurde gemeinsam mit dem Digital Services Act am 15. Dezember 2020 veröffentlicht. Auch diese Verordnung richtet sich an die großen, den Markt dominierenden Online-Plattformen. Der Digital Markets Act hat das Ziel, ein höheres Maß an Wettbewerb auf den europäischen digitalen Märkten herzustellen. Große Unternehmen sollen daran gehindert werden, ihre Marktmacht zu missbrauchen und stattdessen neuen Akteuren der Markteintritt ermöglicht werden.

Ein zentraler Begriff der Verordnung ist der sogenannte „Gatekeeper“. Gatekeeper sind insbesondere Betreiber, denen eine gewisse Monopolstellung oder zumindest ein erheblicher Einfluss auf dem Markt zugeschrieben wird. In Art. 26 des Verordnungsentwurfs wird festgelegt, dass vorsätzliche oder fahrlässige Verstöße der Gatekeeper mit einem Bußgeld in Höhe von 10 % des weltweiten Jahresumsatzes geahndet werden können.

Unter anderem sieht der Digital Markets Act vor, dass Daten von unterschiedlichen Online-Diensten eines Unternehmens nicht mehr kombiniert werden dürfen. Die Facebook-Unternehmensgruppe wird also auch hier vor neue Herausforderungen für Instagram, Whatsapp und Facebook gestellt. Aber auch Microsoft, Google, Apple und Amazon könnten als Gatekeeper umfangreichen Pflichten unterliegen.

Wie auch für den Digital Services Act steht derzeit noch das Inkrafttreten der Verordnung aus. Die Mitgliedstaaten und das Europäische Parlament verhandeln aktuell eine endgültige Verfassung des DMAs.

Artificial Intelligence Act (AIA)

Über den Vorschlag eines Rechtsrahmens für Künstliche Intelligenz berichteten wir bereits. Der neueste Verordnungsentwurf vom 21. April 2021 aus dem Digitalisierungspaket stellt erstmals konkretere Umsetzungsmaßnahmen für den Einsatz von künstlicher Intelligenz (KI) vor. Die EU-Kommission hat die Chancen, aber auch die Gefahren für die Grundrechte der BürgerInnen dieser neuen Technologie richtig erkannt. Der Artificial Intelligence Act unterscheidet KIs in Bezug auf ihre Risikoklasse. Je höher das Risiko, desto umfangreicher sind die Pflichten, die den Unternehmen auferlegt werden. KIs mit einem unannehmbaren Risiko sollen sogar verboten werden. Dabei kann es sich beispielsweise um KIs handeln, die von Behörden zur Bewertung oder Einstufung des sozialen Verhaltens eingesetzt werden, was nachteilige Folgen für bestimmte Personengruppen haben kann (sog. Social Scoring).

Für Verstöße gegen diese Verordnungen sind Bußgelder bis zu 6 % des weltweiten Jahresumsatzes des Unternehmens angesetzt. Der Entwurf des Artificial Intelligence Acts wird von dem EU-Rat und dem EU-Parlament derzeit evaluiert.

Neue Wege für die Digitalisierung in Europa?

Das Vorhaben der EU in Bezug auf den digitalen Markt ist zielstrebig. Nach derzeitigem Stand (September 2021) werden insgesamt 49 Richtlinien und Verordnungen für die Digitalisierung in der EU verhandelt. Das Ziel ist hier klar: US-amerikanische Unternehmen sind Vorreiter auf diesem Gebiet und agieren zum Teil in rechtsfreien Räumen. Um die Grundrechte der EU-BürgerInnen zu schützen, werden besonders diesen Unternehmen umfangreiche Pflichten auferlegt und Kontrollmechanismen geschaffen. Wie effektiv diese sein werden und ob die Verordnungsentwürfe in dieser Form angenommen werden, wird sich zeigen. Die finanziellen Konsequenzen eines Verstoßes werden höchstwahrscheinlich einige Technologie-Unternehmen zum Handeln zwingen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.