Icon für Compliance - weißes Paragrafenzeichen auf orangenen Grund –
Compliance

Da kommt was auf uns zu – die EU plant zahlreiche neue Datenschutzgesetze

Arne Wolff
Verfasst von: Arne Wolff
Berater für Datenschutz und IT-Sicherheit

Die DSGVO ist im fünften Jahr ihrer Gültigkeit. Viele Erfahrungen wurden gemacht, viel Kritik eingesteckt und auch durchaus manches Lob eingefahren – insbesondere international. Nun will die EU nachlegen und hat einige ambitionierte Gesetzinitiativen aufgelegt.


Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überabeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.


Schon Anfang 2020 hatte die EU-Kommission angekündigt, in der Datenwirtschaft zukünftige eine führende Rolle übernehmen zu wollen und die EU zu einer Gesellschaft zu machen, die „dank Daten in der Lage ist, in der Wirtschaft wie im öffentlichen Sektor bessere Entscheidungen zu treffen“. Um die digitale Wirtschaft zu fördern und die Produktivität allgemein zu steigern, müsse der rechtliche Rahmen für den Umgang mit Daten verbessert und „Pools mit hochwertigen Daten“ bereitgestellt werden.

Der Weg dahin soll durch eine ganze Reihe von Gesetzen geebnet werden, von denen vor allem die im Folgenden kurz umrissenen fünf „Acts“ das Potential haben, unsere Gesellschaft dauerhaft zu prägen. In ihrer Eigenschaft als Verordnungen – wie die DSGVO – gelten Acts unmittelbar als europäisches Recht und müssen nicht erst von den Parlamenten der Mitgliedsstaaten in nationale Gesetze umgesetzt werden.

Der Digital Services Act (DSA), ab 2024

  • Ein digitaler Raum frei von rechtswidrigen Inhalten soll entstehen.
  • Die Betreiber von Onlinemarktplätzen müssen die dort platzierten Angebote überwachen.
  • Bestimmte Werbepraktiken werden verboten.

Der DSA befasst sich vor allem mit Anbietern von Onlinediensten und sozialen Medien – waren diese bisher teilweise recht zögerlich, wenn es darum ging, illegale Inhalte zu löschen, sollen künftig insbesondere Dienste mit über 45 Millionen Usern „systemische Risiken“ adressieren müssen – gemeint sind Themen wie Wahlmanipulation, Desinformation durch “Fake News“, Cybermobbing oder jugendgefährdende Inhalte. So sollen „europäische Werte wie Demokratie und Rechtsstaatlichkeit“ im virtuellen Raum verteidigt werden. Der DSA ersetzt damit das nationale Netzwerkdurchsetzungsgesetzes (NetzDG), das bisher in Deutschland die sozialen Medien reguliert.

Aber auch Onlinemarktplätze werden stärker reguliert. Die Betreibenden müssen künftig sicherstellen, dass auf ihren Portalen keine gefährlichen oder illegalen Produkte – wie gefälschte Markenware – angeboten werden. Unter anderem zu diesem Zweck müssen sie Verfahren einrichten, mit denen Kaufinteressenten solche Inhalte melden können – ähnlich dem Hinweisgeberschutzgesetz (HinSchG).

Das lange diskutierte grundsätzliche Verbot von Tracking zu Werbezwecken hat es zwar nicht ins Gesetz geschafft, enthalten ist aber unter anderem ein Verbot irreführender, gezielt auf Kinder ausgerichteter oder auf sensiblen Daten – wie Religionszugehörigkeit, sexueller Ausrichtung oder politischer Meinung – basierender Werbung.

Und schließlich werden auch sogenannte Dark Patterns verboten, also Benutzerschnittstellen, die durch ihre Gestaltung zu bestimmten Handlungen verleiten – die „Fähigkeit, freie und fundierte Entscheidungen zu treffen“ darf nicht beeinträchtigt oder behindert werden.

Der Digital Markets Act (DMA), ab Mitte 2023

  • Der Einfluss großer Digitalkonzerne wird begrenzt.
  • „Gatekeeper“ werden zu fairem Wettbewerb verpflichtet.
  • Interoperabilität zwischen Anbietern (Messenger) wird vorgeschrieben.

Als Ergänzung des Wettbewerbsrechts soll der DMA verhindern, dass die Macht einzelner Digitalkonzerne so groß wird, dass sie völlig marktbeherrschend werden. Ihre Gatekeeper genannten Plattformen werden künftig stärker gesetzlich reguliert.

Verhindert werden soll, dass die Firmen

  • die Daten ihrer Nutzer über Plattformgrenzen hinweg zusammenführen,
  • ihre eigenen Dienste oder Produkte besser bewerten oder höher gewichten als die anderer geschäftlicher Nutzer und
  • ihre Angebote inkompatibel zu denen von Wettbewerbern machen.

Im Fokus hat die Kommission dabei besonders US-amerikanische Unternehmen wie Alphabet (Google), Amazon, Meta (Facebook), Microsoft, Apple und Airbnb – auch weil die digitale Wirtschaft im europäischen Raum gestärkt werden soll.

Bei Verstößen sind empfindliche Geldstrafen vorgesehen, die bis zu 10 Prozent des Gesamtumsatzes betragen können, den das Unternehmen im vorhergehenden Geschäftsjahr weltweit erzielt hat – bei wiederholten Verstößen sogar bis zu 20 Prozent. Zur Einordnung: Bei Amazon wären das derzeit 94 Milliarden US-Dollar.

Zusammenspiel von Messengern

Geplant ist auch, Anbieter von Messengern zu zwingen, ihre Dienste für konkurrierende Anbieter zu öffnen. Was vor allem die Marktdominanz von WhatsApp und iMessage mildern soll, stößt bei den kleineren Anbietern wie Signal und Threema nicht auf Begeisterung, da sie durch den Zugriff auf Metadaten die Sicherheit und Vertraulichkeit ihrer Systeme bedroht sehen – beide Firmen habe schon angekündigt, die Möglichkeit zum Austausch von Nachrichten etwa mit WhatsApp nicht einrichten zu wollen.

Der Data Governance Act (DGA), ab September 2023

  • Faire Datenbroker werden ermöglicht.
  • Die Verfügbarkeit von Daten für den öffentlichen Sektor wird reguliert.
  • Die Basis für Datenvermittlungsdienste wird geschaffen.

Seit 2018 regelt die DSGVO den Umgang mit personenbezogenen Daten – was aber mit all den anderen Informationen geschehen darf, ist oft nicht so klar. Der DGA soll hier – insbesondere für die Forschung, neue Produkte und innovative Dienste – ein „vertrauenswürdiges Umfeld“ schaffen, denn gerade für das Anlernen neuronaler Netze beziehungsweise das Training künstlicher Intelligenzen werden große Mengen valider Daten benötigt, deren Beschaffung oft schwierig ist.

Der DGA zielt insbesondere auf Daten, die im Rahmen öffentlich geförderter Projekte gewonnen, also quasi mit Steuermitteln bezahlt wurden. Das schließt auch personenbezogene Daten, als geistiges Eigentum geschützte Werke und sogar Geschäftsgeheimnisse mit ein – sofern sie sich bereits „im Besitz öffentlicher Stellen“ befinden. Solche Daten dürfen dann etwa für Forschungszwecke im öffentlichen Interesse verwendet werden.

Datenbroker

Als weiterer Punkt ist vorgesehen, Datenvermittlungsdienste zu ermöglichen, die über eine sichere Plattform einen Datenaustausch für Privatpersonen und Unternehmen anbieten, ohne dass diesen dadurch Wettbewerbsnachteile entstehen. Diese Datenbroker müssen ansonsten neutral agieren und dürfen die vermittelten Daten nicht zu eigenen Zwecken nutzen.

So könnten ganz neue Geschäftsmodelle entstehen, zum Beispiel „Daten-Wallets“ – also Apps, mit denen jeder Einzelne per Einwilligung seine persönlichen Daten gegen Bezahlung zur Verwertung freigeben kann.

Daten für alle

Daten sollen aber auch unentgeltlich für Ziele im allgemeinen Interesse zur Verfügung gestellt werden können, etwa damit die Forschung im Bereich des Klimawandels, der Medizin oder der Verbesserung öffentlicher Dienstleistungen erleichtert wird. Es werden hohe Anforderungen an technische Ausstattung und Transparenz an solche Datenspender gestellt, die dann auch umfangreiche Berichtspflichten erfüllen müssen.

Der Data Act (DA)

  • Die Wirtschaft wird durch stärkere Datennutzung gefördert.
  • Voraussetzungen, unter denen Firmen ihre Daten teilen müssen, werden geregelt.
  • Ein freier Datenmarkt für nicht-personenbezogene Daten wird angestrebt.

Auch der in einer recht frühen Phase des Gesetzgebungsverfahrens befindliche Data Act soll die europäische Wirtschaft fördern. Zu diesem Zweck werden Unternehmen dazu verpflichtet, insbesondere nicht-personenbezogene Daten zum Beispiel aus Industrieanlagen, medizinischen Geräten oder IoT-Prozessen Dritten zur Verfügung zu stellen.

Die Voraussetzungen dafür und für die Berechtigung, diese Daten zu verwenden, werden noch diskutiert. Es regt sich aber bereits prinzipieller Widerstand gegen das Vorhaben, natürlich besonders bei den Unternehmen, die die Daten herausgeben sollen. Es bleibt abzuwarten, was nach dem langen Weg durch die Instanzen der europäischen Gesetzgebung am Ende vom Ansatz übrigbleibt.

Der Artifical Intelligence Act (AIA), nicht vor 2024

  • Die Entwicklung und der Einsatz künstlicher Intelligenz werden reguliert.
  • Für KI-Anwendungen werden Risikoklassen mit bestimmten Beschränkungen eingeführt.

KI in Schach halten

Nur wenige Technologien schüren so viele Ängste wie künstliche Intelligenz; gleichzeitig gilt sie als wichtige Zukunftstechnologie. Einen europaweit einheitlichen rechtlichen Rahmen für ihre (Weiter-) Entwicklung soll der AIA festlegen.

Kern ist ein System, das KI-Anwendungen in vier Risikoklassen mit daraus resultierenden Regeln einteilt:

  1. Inakzeptables Risiko – die Technologie wird als Bedrohung bewertet und grundsätzlich verboten.
    Beispiele hierfür sind
    • Social Scoring, also die „Klassifizierung der Vertrauenswürdigkeit natürlicher Personen auf der Grundlage ihres sozialen Verhaltens“,
    • Nudging im Sinne der Beeinflussung einer Person außerhalb des Bewussten,
    • das „Ausnutzen der Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen aufgrund ihres Alters oder ihrer Behinderung“ und
    • mindesten teilweise die biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen zur Strafverfolgung.

      Autonome Waffensysteme, die ihre Ziele selbst auswählen, werden erstaunlicherweise nicht in diese Risikoklasse eingestuft.
  2. Hohes Risiko – die Anwendung ist potenziell bedrohlich.
    Beispiele sind die biometrische Identifikation und Kategorisierung natürlicher Personen, die Strafverfolgung, die Rechtspflege und die Verwaltung und der Betrieb kritischer Infrastrukturen. Für den Einsatz von KI in einem solchen Bereich müssen die Sicherheit der Anwendung nachgewiesen und zahlreiche Voraussetzungen erfüllt werden.
  3. Begrenzten Risikos
    Beispiele sind Chatbots oder ähnliches. Hier muss vor allem Transparenz hergestellt werden – die Nutzer sollen informierte Entscheidungen treffen können, ob sie diese Angebote nutzen wollen.
  4. Minimales Risiko – von der Anwendung geht nur eine geringe Gefahr für die Sicherheit und Rechte der Nutzer aus
    Selbstlernende Spamfilter und KI-gestützte Videospiele sind Beispiele. Diese Risikoklasse wird nicht reguliert.

Generell sollen die von einer KI getroffenen Entscheidungen „transparent und fair“ sein müssen – was unter Umständen in einigen Bereichen, wie etwa neuralen Netzen, sehr schwierig werden könnte, denn diese folgen bei der Entscheidungsfindung nicht einem Logiksystem mit nachvollziehbaren Regeln, sondern eher einer intuitiven Musterverarbeitung, deren Logik nachträglich ermittelt werden muss.

Fazit

Grundsätzlich ist es positiv zu bewerten, dass die EU-Kommission frühzeitig Leitplanken für die digitale Entwicklung aufstellt – hat sie doch das Potential, sich auf unser aller Leben gravierend auszuwirken. Es erscheint aber sehr ehrgeizig, in einen so dynamischen und agilen Bereich umfassend reglementierend einzugreifen, ohne ihn zu sehr zu behindern oder gar auszubremsen. Eigentlich soll ja die internationale Wettbewerbsfähigkeit der europäischen Wirtschaft gesteigert werden. Abzuwarten bleibt auch ob es gelingt, sowohl ein klares Verhältnis der einzelnen Acts untereinander, als auch in Bezug auf die DSGVO zu schaffen.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.