Neuere EU-Gesetze für den digitalen Bereich – ein Überblick
Der EU-Gesetzgeber schafft mit der umfassenden Regulierung des digitalen Bereichs einen neuen Rechtsrahmen, der insbesondere auch Unternehmen betrifft. Dieser Beitrag gibt einen Überblick über einige wesentliche gesetzliche Vorhaben der EU, die die digitale Welt betreffen. Über die einzelnen Gesetze und Verordnungen werden auf wir auf unternehmensstrafrecht.de noch ausführlicher berichten.
Bereits in Kraft getretene EU-Verordnungen
P2B-Verordnung (Platform to Business-Verordnung)
Die Verordnung (EU) 2019/1150 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten gilt seit dem 12. Juli 2020. Sie soll zum reibungslosen Funktionieren des Binnenmarkts beitragen und legt Diensten wie Online-Suchmaschinen, Marktplätzen oder App-Stores diverse Pflichten auf. Ziel der Verordnung ist es, mehr Wettbewerb und Rechtssicherheit für europäische Unternehmen zu schaffen, die stark von Rankings auf den genannten Plattformen abhängig sind.
Verordnung gegen terroristische Online-Inhalte
Seit dem 7. Juni 2022 gilt die Verordnung (EU) 2021/784 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte. Sie sieht beispielsweise den Erlass einer Entfernungsanordnung vor, mit der Hostingdiensteanbieter verpflichtet werden, terroristische Inhalte innerhalb einer Stunde zu entfernen oder den Zugang zu diesen zu sperren.
EU-Gesetzesvorhaben
Digital Services Act (DSA)
Bereits im Jahr 2020 hat die EU-Kommission den Vorschlag für eine Verordnung über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG als Teil des Gesetzespakets „Digitale Dienste“ zur Regulierung der Online-Welt vorgestellt. Ziel der Verordnung ist die Regulierung und Aufsicht von Online-Vermittlungsdiensten, die ihre Dienste in der EU anbieten, zum Beispiel Online-Plattformen, wie Soziale Netzwerke. Insbesondere sollen Nutzerrechte gestärkt und die Verbreitung illegaler Inhalte bekämpft werden. Nach dem EU-Parlament hat Anfang Oktober 2022 auch der Rat dem DSA zugestimmt (siehe Pressemitteilung des Rates der EU). Nach seiner Unterzeichnung durch den Präsidenten des Europäischen Parlaments und den Präsidenten des Rates wird der DSA im Amtsblatt der Europäischen Union veröffentlicht und tritt fünfzehn Monate später in Kraft.
Digital Markets Act (DMA)
Zweiter Teil des im Jahr 2020 vorgestellten Gesetzespakets „Digitale Dienste“ ist der Vorschlag für eine Verordnung über bestreitbare und faire Märkte im digitalen Sektor (Gesetz über digitale Märkte). Ziel des DMA ist die Schaffung gleichwertiger Wettbewerbsbedingungen in der gesamten Europäischen Union. Dies soll durch gesetzliche Beschränkungen marktbeherrschender Digitalkonzerne geschehen (sog. Gatekeeper bzw. Torwächter). Die Verordnung soll neben das bestehende europäische und nationale Kartellrecht treten. Das Europäische Parlament und der Rat haben Mitte September 2022 eine Einigung erzielt. Der DMA wird am 13. Oktober 2022 im Amtsblatt der Europäischen Union veröffentlicht (siehe Pressemitteilung des Rates der EU). Er tritt zwanzig Tage später in Kraft und gilt nach Ablauf von weiteren sechs Monaten.
Data Governance Act (DGA)
Das Europäische Parlament und der Rat haben im Mai 2022 dem Vorschlag für eine Verordnung über europäische Daten-Governance (Daten-Governance-Gesetz) zugestimmt. Mit der geplanten Verordnung soll die Verfügbarkeit von Daten, zum Beispiel für die Forschung, gefördert und ein vertrauenswürdiges Umfeld für die gemeinsame Nutzung von Daten geschaffen werden. Speziellere EU-Datenschutzregelungen, wie z. B. die DSGVO, sollen vom DGA unberührt bleiben. Der DGA ist Teil der europäischen Datenstrategie, mit welcher die Datenwirtschaft, d. h. der mit digitalen Daten arbeitende Wirtschaftszweig gestärkt werden soll.
Data Act (Datengesetz)
„Daten besser nutzbar machen“ – so könnte das Motto für den von der EU-Kommission im Februar 2022 vorgelegten Vorschlag für eine Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz) lauten. Ziel des Data Acts ist es, den Zugang und die Nutzung von Daten innerhalb der EU zu erleichtern und die bestehenden Regelungen für Datenbanken zu überarbeiten. Betroffen sind Daten, die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugt werden, z. B. Maschinendaten. Des Weiteren ist unter anderem geplant, dass öffentliche Stellen in bestimmten Situationen, bei außergewöhnlicher Notwendigkeit, die sich im Besitz von Unternehmen befindlichen Daten nutzen dürfen. Der Data Act ist ebenfalls Teil der europäischen Datenstrategie und ergänzt den DGA sowie den DMA.
Artificial Intelligence Act (AI-Act)
Den Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte in der Union hat die EU-Kommission im April 2021 vorgelegt. Der Einsatz künstlicher Intelligenz (KI) kann für die Gesellschaft und Umwelt von Nutzen sein und Unternehmen und der Wirtschaft Wettbewerbsvorteile verschaffen. Gleichzeitig sind mit dem Einsatz von KI gewisse Risiken verbunden. Der AI-Act soll einen Ausgleich schaffen. Dazu unterscheidet der Gesetzesentwurf zwischen verschiedenen Risikoklassen von KI-Systemen. Je höher das Risiko, umso strenger sind die Anforderungen – bis hin zu einem Verbot. Des Weiteren sind Transparenzvorgaben und eine behördliche Aufsicht vorgesehen.
Verordnung zur Bekämpfung des Kindermissbrauchs
Der Vorschlag für eine Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des Missbrauchs von Kindern vom 11. Mai 2022 sieht neue Pflichten für Hosting-, OTT- und Internetzugangsanbieter vor. Ziel des Gesetzesvorhabens ist es, einheitliche Regeln für diese Anbieter einzuführen und die rechtlichen Grundlagen für die Prävention, Ermittlung und Hilfe für Opfer sexuellen Missbrauchs in der EU zu verbessern. Was der Vorschlag der Kommission vorsieht und ob dieser zur Massenüberwachung führt, haben wir bereits in unserem Blog diskutiert.
Richtlinie zur Bekämpfung von Gewalt gegen Frauen
Im März 2022 hat die Europäische Kommission einen Vorschlag für eine Richtlinie zur Bekämpfung von Gewalt gegen Frauen und häuslicher Gewalt vorgelegt. Sie soll sicherstellen, dass Gewalt gegen Frauen und häusliche Gewalt in der Union wirksam bekämpft werden. Vorgesehen sind u.a. Maßnahmen gegen Cybergewalt einschließlich der Weitergabe oder der Manipulation von intimen Materialien ohne Zustimmung, Cyberstalking und Cybermobbing.
ePrivacy-Verordnung
Der Vorschlag für eine Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation), wie der offizielle Name der ePrivacy-Verordnung lautet, wurde bereits im Jahr 2017 von der EU-Kommission eingebracht. Mit der ePrivacy-Verordnung soll die Richtlinie 2002/58/EG („e-Datenschutz-Richtlinie“) aus dem Jahr 2002 ersetzt werden und die Voraussetzungen geregelt werden, unter welchen Diensteanbieter Daten der elektronischen Kommunikation verarbeiten und Zugang hierzu erhalten dürfen. Ursprünglich war geplant, dass die ePrivacy-Verordnung gemeinsam mit der DSGVO in Kraft treten sollte. Sie wäre insoweit als Spezialgesetz vorrangig und würde deren Vorschriften ergänzen. Da sich die EU-Mitgliedsstaaten bisher aber nicht einigen konnten, dauern die Verhandlungen über die ePrivacy-Verordnung noch an.
Verordnung zur Transparenz politischer Werbung
Im November 2021 hat die Kommission einen Vorschlag für eine Verordnung über die Transparenz und das Targeting politischer Werbung vorgelegt. Der Vorschlag dient dem Schutz der Wahlintegrität und der Förderung der Demokratie in der EU. Er soll zum reibungslosen Funktionieren des Binnenmarkts für politische Werbung und damit verbundenen Dienstleistungen beitragen. Weiterhin sollen natürliche Personen bei der Verarbeitung personenbezogener Daten geschützt werden. Daher sollen Anbietern politischer Werbung und damit verbundenen Dienstleistungen Transparenzpflichten auferlegt werden. Aufgrund des technologischen Wandels, insbesondere im Online-Bereich, sei nicht klar, ob Anforderungen, die möglicherweise in allgemeinen Wahlvorschriften festgelegt sind, auch für Online-Medien gelten. Dies stelle laut EU-Kommission eine Rechtsunsicherheit für Anbieter politischer Werbedienstleistungen dar. Die Verordnung soll dem entgegenwirken und eine Weiterentwicklung sowie Ergänzung der DSGVO und des DSA sein.
NIS-Richtlinie und NIS 2.0
Die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union ist im August 2016 in Kraft getreten. Sie ist die erste europaweite Vorschrift zur Cybersicherheit und bezweckt ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der EU, um so das Funktionieren des Binnenmarkts zu verbessern. Zur Erreichung dieses Ziels sieht die Richtlinie den Ausbau nationaler Kapazitäten auf dem Gebiet der Cybersicherheit, eine verstärkte Zusammenarbeit der Mitgliedsstaaten sowie Sicherheitsanforderungen und Meldepflichten für die Betreiber wesentlicher Dienste (sog. kritische Infrastrukturen) und Anbieter bestimmter digitaler Dienste vor.
Die EU-Kommission stellte im Jahr 2020 sodann einen Vorschlag für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148 vor. Auf diese NIS 2-Richtlinie bzw. NIS 2.0 haben sich der Europäische Rat und das Europäische Parlament im Mai 2022 vorläufig geeinigt. Die Richtlinie NIS 2.0 wird die derzeit geltende NIS-Richtlinie ersetzen, sobald sie angenommen wird. Sie soll die Cybersicherheit in der EU weiter stärken. Um die Verpflichtungen im Hinblick auf die Cybersicherheit durchzusetzen, sind der Vorschlag hohe Bußgelder vor.
Fazit
Unternehmen sollten neben den nationalen auch die Gesetzesvorhaben der EU stets im Auge behalten, um gerade hinsichtlich der digitalen Infrastruktur rechtzeitig Anpassungen ihrer Compliance vornehmen zu können. Ob DSA, DMA, Data Act, Data Governance Act, P2B-VO und mehr. Werden die darin enthaltenen Pflichten nicht erfüllt, ist oftmals mit hohen Geldbußen zu rechnen. So sieht beispielsweise der Entwurf des DMA bei Verstößen Bußgelder von bis zu 10 % des weltweiten jährlichen Umsatzes des Unternehmens und/oder Zwangsgelder bis zu 5 % des durchschnittlichen Tagesumsatzes vor. Der Entwurf des AI-Act sieht bei bestimmten Verstößen Geldbußen bis zu 30 Mio. EUR bzw. bei Unternehmen bis zu 6 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vor – je nachdem, welcher Betrag höher ist. Daneben sieht der Entwurf des AI-Act vor, dass Mitgliedsstaaten selbst Vorschriften über Sanktionen erlassen – so auch im Entwurf des DSA. Bei Verstößen gegen den vorgeschlagenen Data-Act können Bußgelder in Höhe von bis zu 20 Mio. EUR bzw. bei Unternehmen von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden – je nachdem, welcher der Beträge höher ist. Daneben kann der Europäische Datenschutzbeauftragte Bußgelder in Höhe von bis zu 50 000 EUR pro Verstoß und bis zu insgesamt 500 000 EUR pro Jahr und Delinquenten verhängen.
Der regulatorische Rahmen der Digitalisierung wird immer mehr – wie die DSGVO selbst – durch das Bußgeldrecht abgesichert mit der Folge, dass neben der IT-Compliance auch die Verteidigung wichtiger wird. Darauf werden sich die Rechtsabteilungen insgesamt einzustellen haben.