Datenschutz

Neue EU-Rechtsakte: Eine Blaupause für Wachstum im digitalen Sektor 

Aktualisiert am 09/05/2024

MiCA, DSA, DMA, DGA. Seid ihr ├╝berfordert von all den neuen EU-Rechtsakte im digitalen Bereich? Wir helfen euch weiter. In diesem Blogpost entschl├╝sseln wir neue und kommende EU-Rechtsakte, die sich auf den digitalen Sektor auswirken, und erl├Ąutern ihre Anwendbarkeit und Verpflichtungen. Lass uns in die Materie dieser Gesetze eintauchen und uns auf ihre Auswirkungen auf euer Unternehmen konzentrieren.

Daten und KI: Wie die EU-Daten- und KI-Vorschriften die Branche pr├Ągen werden

Navigating the digital realm demands a keen understanding of the new data and AI regulatory updates. This section explains the new EU data- and AI-related norms that are applicable to data driven companies: 

Die Verordnung ├╝ber den freien Verkehr nicht-personenbezogener Daten demokratisiert die Daten in der EU. Sie gilt speziell f├╝r Unternehmen, die mit nicht-personenbezogenen Daten umgehen, wie z.B. Unternehmen aus den Bereichen Cloud-Dienste, Datenanalyse und IT. Die Verordnung legt Regeln fest, die sich auf Folgendes beziehen:

  • Der freie Verkehr nicht-personenbezogener Daten ├╝ber Grenzen hinweg: Jede Organisation sollte in der Lage sein, Daten ├╝berall in der EU zu speichern und zu verarbeiten
  • Leichterer Wechsel zwischen Cloud-Anbietern f├╝r professionelle Nutzer
  • Die Verf├╝gbarkeit von Daten f├╝r die beh├Ârdliche Kontrolle

Die Data Governance Verordnung (DGA) hebt die Bedeutung des Datenaustauschs hervor und sch├╝tzt gleichzeitig die Privatsph├Ąre. Sie gilt f├╝r Einrichtungen, die an der gemeinsamen Nutzung personenbezogener und nicht personenbezogener Daten beteiligt sind, z.B. ├Âffentliche Stellen, Datenvermittler und Unternehmen aus verschiedenen Branchen, die Daten nutzen. Dieses Gesetz legt Bedingungen fest f├╝r:

  • die Weiterverwendung bestimmter Kategorien von Daten ├Âffentlicher Stellen innerhalb der EU
  • ein Regelwerk f├╝r Anbieter von Datenvermittlungsdiensten, wie z. B. Datenmarktpl├Ątze
  • eine freiwillige Registrierung von Einrichtungen, die Daten sammeln und verarbeiten, die f├╝r altruistische Zwecke zur Verf├╝gung gestellt werden

Unternehmen, die dem Gesetz unterliegen, m├╝ssen klare Zustimmungsmechanismen f├╝r die Datennutzung einrichten, Plattformen f├╝r den Datenaustausch sichern und die Governance-Standards des Gesetzes einhalten, um einen vertrauensvollen Datenaustausch zu gew├Ąhrleisten.

Die Datenverordnung (Data Act) zielt darauf ab, den Wert der Daten zu erschliessen, die unter anderem von IoT-Produkten erzeugt werden. Sie betrifft Hersteller von IoT-Ger├Ąten, Anbieter digitaler Dienste und datenverarbeitende Unternehmen und zwingt sie, Daten zur Verf├╝gung zu stellen. Neue Massnahmen sind zum Beispiel: 

  • klare Regeln f├╝r die zul├Ąssige Nutzung von Daten und die damit verbundenen Bedingungen, einschliesslich Mustervertragsklauseln
  • Erm├Âglichung des Zugriffs auf und der Nutzung von Daten des privaten Sektors durch ├Âffentliche Stellen f├╝r bestimmte Zwecke von ├Âffentlichem Interesse
  • Schaffung der Rahmenbedingungen, damit die Kunden effektiv zwischen verschiedenen Anbietern von Datenverarbeitungsdiensten wechseln k├Ânnen

Daher m├╝ssen die Hersteller von intelligenten Ger├Ąten transparente und faire Mechanismen f├╝r die gemeinsame Nutzung von Daten in ├ťbereinstimmung mit dem Gesetz einrichten und bei Bedarf klare Nutzungsbedingungen und die Zug├Ąnglichkeit der Daten sicherstellen.

Die kommende Verordnung ├╝ber den europ├Ąischen Raum f├╝r Gesundheitsdaten (EHDS) konzentriert sich auf Gesundheitsdaten, ein wichtiges Gut im digitalen Zeitalter. Wenn diese Verordnung in Kraft tritt, gilt sie f├╝r Hersteller und Anbieter von Gesundheitsdatensystemen und Wellness-Anwendungen sowie f├╝r in der EU ans├Ąssige Verantwortliche und Auftragsverarbeiter, die elektronische Gesundheitsdaten verarbeiten oder mit MyHealth@EU verbunden sind, und f├╝r Datennutzer, denen elektronische Gesundheitsdaten von Dateninhabern in der Union zur Verf├╝gung gestellt werden.

Sie soll Regeln, gemeinsame Standards und Praktiken, Infrastrukturen und einen Governance-Rahmen f├╝r die prim├Ąre und sekund├Ąre Nutzung elektronischer Gesundheitsdaten schaffen und so die Gesundheitsversorgung und Forschung verbessern. So sollen zum Beispiel die Rechte nat├╝rlicher Personen in Bezug auf die Verf├╝gbarkeit und Kontrolle ihrer elektronischen Gesundheitsdaten gest├Ąrkt und das Inverkehrbringen von elektronischen Gesundheitsdatensystemen geregelt werden. Die EU-Gesetzgeber haben eine vorl├Ąufige Einigung ├╝ber die EHDS-Verordnung erzielt, die nun noch vom Europ├Ąischen Parlament und vom Rat formell verabschiedet werden muss, bevor sie in Kraft treten kann, was voraussichtlich noch in diesem Jahr geschehen wird.

Die NIS-2-Richtlinie erweitert die Cybersicherheitsverpflichtungen im digitalen Sektor und legt Massnahmen f├╝r ein hohes gemeinsames Cybersicherheitsniveau in der EU fest. Die Richtlinie gilt f├╝r ein breites Spektrum von Unternehmen, darunter wesentliche und wichtige Unternehmen in verschiedenen Sektoren wie Energie, Verkehr, Banken und digitale Infrastruktur. Sie richtet sich insbesondere an Anbieter digitaler Dienste wie Cloud-Computing-Dienste, Online-Marktpl├Ątze und Suchmaschinen. F├╝r diese Unternehmen sieht die Richtlinie Folgendes vor: 

  • die Notwendigkeit, Massnahmen zum Risikomanagement im Bereich der Cybersicherheit sowie Meldepflichten, Cybersicherheitshygiene und Schulungen zu ergreifen
  • Regeln und Verpflichtungen zum Austausch von Cybersicherheitsinformationen
  • strengere Aufsichtsmassnahmen f├╝r nationale Beh├Ârden und strengere Durchsetzungsanforderungen

Die kommende Verordnung zur Harmonisierung der Durchsetzung der DSGVO versucht, die datenschutzrechtlichen Durchsetzungsmechanismen zu harmonisieren, um sicherzustellen, dass die DSGVO in allen EU-Mitgliedstaaten einheitlich angewendet wird. Dies ist besonders wichtig f├╝r den Umgang mit grenz├╝berschreitenden F├Ąllen, bei denen Datenverarbeitungsaktivit├Ąten Personen in mehreren L├Ąndern betreffen. Das Parlament und der Rat sind dabei, den Vorschlag zu bewerten und ihre jeweiligen Positionen zu erarbeiten.

Das Gesetz ├╝ber k├╝nstliche Intelligenz (KI-Gesetz) ist das erste Gesetz ├╝ber den Einsatz von k├╝nstlicher Intelligenz in der EU. Dieser Rechtsrahmen richtet sich u.a. an Anbieter, Bereitsteller und Importeure von KI-Systemen. Es

  • klassifiziert und reguliert KI-Systeme nach ihren Risiken mit besonderem Fokus auf Anwendungen, die ein hohes Risiko f├╝r die Gesellschaft und den Einzelnen darstellen
  • stellt sicher, dass sich die Endnutzer bewusst sind, dass sie mit KI interagieren
  • regelt Allzweck KI Modelle (General Purpose AI), um z.B. technische Dokumentationen bereitzustellen und Urheberrechtsgesetze einzuhalten

Der Vorschlag f├╝r die Richtlinie ├╝ber die Haftung f├╝r k├╝nstliche Intelligenz betrifft Unternehmen, die an der Konzeption, Entwicklung und Bereitstellung von KI-Systemen beteiligt sind, wobei der Schwerpunkt auf risikoreichen Anwendungen liegt, z.B. in den Bereichen Gesundheitswesen, Verkehr und ├Âffentliche Dienste. Die Unternehmen m├╝ssen sicherstellen, dass ihre KI-Systeme sicher und fair sind und Sch├Ąden f├╝r ihre Nutzer/innen minimieren. Diese Richtlinie befasst sich mit der komplexen Problematik der Haftung f├╝r Sch├Ąden, die durch Systeme der k├╝nstlichen Intelligenz verursacht werden, und schafft einen gemeinsamen Rechtsrahmen f├╝r die Haftung im Zusammenhang mit KI.

Produkte und digitale Dienstleistungen: Neue EU-Vorschriften heben die Standards f├╝r digitale Produkte und Dienstleistungen an

In diesem Abschnitt befassen wir uns mit den neuen Vorschriften f├╝r Produkte und digitale Dienstleistungen, einem wichtigen Aspekt f├╝r Unternehmen in der digitalen Landschaft. Diese Rahmenbedingungen sind entscheidend, um sicherzustellen, dass digitale Dienstleistungen und Inhalte die h├Âchsten Standards in Bezug auf Fairness, Transparenz und Qualit├Ąt erf├╝llen und so den Ruf eures Unternehmens sch├╝tzt und das Vertrauen der Verbraucher/innen f├Ârdert. 

Die Richtlinie ├╝ber bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen ist eine Richtlinie, die Vertr├Ąge ├╝ber die Bereitstellung von digitalen Inhalten und Dienstleistungen regelt. Die Richtlinie gilt f├╝r alle Unternehmen, die Verbrauchern in der EU digitale Inhalte oder digitale Dienstleistungen anbieten, unabh├Ąngig davon, ob der Verbraucher mit Geld bezahlt oder im Gegenzug pers├Ânliche Daten zur Verf├╝gung stellt. Sie gilt zum Beispiel f├╝r Unternehmen, die Software zum Herunterladen, Cloud-Dienste und Social-Media-Plattformen sowie Streaming-Dienste f├╝r Musik und Videos anbieten. Die Richtlinie:

  • verlangt von den Unternehmen, dass sie detaillierte Informationen ├╝ber die Funktionalit├Ąt des Produkts bereitstellen, einschliesslich notwendiger Updates und Support
  • st├Ąrkt die Rechte der Verbraucherinnen und Verbraucher, Vertr├Ąge zu k├╝ndigen, wenn die digitalen Inhalte oder Dienstleistungen nicht der Beschreibung entsprechen oder nicht ordnungsgem├Ąss funktionieren

Das Gesetz ├╝ber digitale Dienste (DSA) ist eine Verordnung, die darauf abzielt, einen sichereren digitalen Raum zu schaffen. Das Gesetz gilt f├╝r Online-Vermittler und -Plattformen, darunter soziale Netzwerke, Online-Marktpl├Ątze und Content-Sharing-Plattformen, die in der EU t├Ątig sind. Es verpflichtet diese Plattformen zum Beispiel dazu:

  • illegale Inhalte zeitnah zu entfernen
  • ├╝ber ihre Aktivit├Ąten zur Moderation von Inhalten zu berichten
  • klare Nutzungsbedingungen aufzustellen

Das Gesetz verlangt auch Transparenz bei der Werbung und den Algorithmen, die f├╝r Empfehlungen verwendet werden. Die Unternehmen, f├╝r die es gilt, reichen von kleinen Start-ups bis hin zu grossen Tech-Unternehmen, die nutzergenerierte Inhalte hosten oder Waren, Dienstleistungen oder Inhalte online verkaufen.

Das Gesetz ├╝ber digitale M├Ąrkte (DMA) gilt in erster Linie f├╝r grosse Online-Plattformen und Suchmaschinen, die aufgrund ihres grossen Einflusses auf den EU-Binnenmarkt als “Torw├Ąchter” gelten. Sie verbietet bestimmte Praktiken, die als unlauter gelten, wie z. B. Selbstreferenzierung und Datenmonopolisierung. Grosse Unternehmen m├╝ssen den offenen Marktzugang f├╝r Konkurrenten sicherstellen, eine Datenmonopolisierung verhindern und f├╝r Transparenz bei Werbe- und Inhaltsalgorithmen sorgen.

Der Vorschlag f├╝r die Richtlinie zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit befasstsich mit der sich entwickelnden Natur der digitalen Plattformarbeit. Am 11. M├Ąrz 2024 wurde eine vorl├Ąufige Einigung zwischen dem Europ├Ąischen Parlament und dem Rat der EU erzielt, die den Weg zur formellen Verabschiedung durch beide Gremien und zum Inkrafttreten ebnet, welche noch in diesem Jahr erwartet wird.

Der Vorschlag gilt f├╝r digitale Arbeitsplattformen, die Plattformarbeit in der EU organisieren, unabh├Ąngig vom Ort ihrer Niederlassung. Er zielt darauf ab, die Arbeitsbedingungen von Personen zu regeln, die Plattformarbeit leisten (z.B. Taxifahrer/innen, Essenslieferant/innen), indem:

  • eine widerlegbaren gesetzlichen Vermutung f├╝r eine Besch├Ąftigung im Gegensatz zum derzeitigen Status der formalen Selbstst├Ąndigkeit eingef├╝hrt wird
  • neue Regeln f├╝r den Einsatz von Algorithmen f├╝r das Personalmanagement geschaffen werden
  • Verpflichtungen zur Anmeldung von Arbeiten bei den nationalen Beh├Ârden gekl├Ąrt werden

Der Vorschlag f├╝r die Richtlinie ├╝ber die Haftung f├╝r fehlerhafte Produkte ist ein Rechtsakt, der von Unternehmen verlangt, dass sie f├╝r die Sicherheit ihrer Produkte verantwortlich sind. Der Vorschlag wartet derzeit auf die formale Genehmigung durch den Rat, bevor er in Kraft tritt; wir erwarten, dass dies noch in diesem Jahr geschieht. Er wird f├╝r alle Hersteller in der EU gelten, unabh├Ąngig von ihrer Gr├Âsse oder Branche, und unterstreicht die Bedeutung der Produktsicherheit in einer Vielzahl von Branchen – von Elektronik ├╝ber intelligente Ger├Ąte und Software bis hin zu Produkten f├╝r die Automobilindustrie. Der Vorschlag wird zum Beispiel: 

  • digitale Fertigungsdateien und Software in den Geltungsbereich der Produkthaftung aufzunehmen
  • die Definition des Begriffs “Schaden” dahingehend ├Ąndern, dass er den Verlust oder die Besch├Ądigung von Daten einschliesst
  • mehrere neue gesetzliche Vermutungen f├╝r die Beweislast bez├╝glich der Fehlerhaftigkeit von Produkten einf├╝hren

Der Cyber Resilience Act ist ein Verordnungsvorschlag, der sicherstellen soll, dass digitale Produkte und Dienstleistungen bestimmte Sicherheitsstandards erf├╝llen, bevor sie auf den Markt kommen. Der Text des Vorschlags wurde von den EU-Gesetzgebern vorl├Ąufig angenommen und muss noch vom Rat formell verabschiedet werden, bevor er in Kraft treten kann, was voraussichtlich im Laufe dieses Jahres geschehen wird.

Nach ihrem Inkrafttreten wird diese Verordnung f├╝r Produkte mit digitalen Elementen gelten, deren Nutzung eine direkte oder indirekte Datenverbindung zu einem Ger├Ąt oder Netzwerk beinhaltet. Sie wird grundlegende Anforderungen an den Entwurf, die Entwicklung und die Produktion dieser Produkte sowie Verpflichtungen f├╝r die Wirtschaftsakteure in Bezug auf Cybersicherheit festlegen. F├╝r ein Technologieunternehmen, das digitale Produkte herstellt oder anbietet, k├Ânnte dies bedeuten, dass es sichere Kodierungspraktiken einf├╝hrt und regelm├Ąssige Sicherheitspr├╝fungen von Softwareprodukten durchf├╝hrt.

Fintech und Blockchain: EU-Regelungen, die Fintech und Blockchain neu definieren 

In diesem letzten Abschnitt geht es um die finanziellen Rahmenbedingungen, die das R├╝ckgrat des digitalen Sektors bilden. Wir besch├Ąftigen uns mit der Einhaltung von Vorschriften, Sicherheit und Transparenz, die f├╝r den Erfolg von Fintechs und digitalen Finanzunternehmen unerl├Ąsslich sind.

Die Verordnung ├╝ber die digitale operationale Resilienz im Finanzsektor (DORA) schafft die Voraussetzungen f├╝r operative Robustheit. Diese Verordnung gilt f├╝r alle Finanzunternehmen in der EU, einschliesslich Banken, Versicherungsgesellschaften und Wertpapierfirmen. Ihr Ziel ist es, einen einheitlichen Reifegrad in Bezug auf Cybersicherheit und betriebliche Widerstandsf├Ąhigkeit zu gew├Ąhrleisten. DORA verlangt von den Unternehmen ein umfassendes Informations- und Kommunikationstechnologie (IKT)-Risikomanagement, das Folgendes umfasst:

  • Einf├╝hrung von IKT-Systemen und -Instrumenten
  • kontinuierliche ├ťberwachung aller Quellen von IKT-Risiken, um abnormale Aktivit├Ąten zu erkennen
  • Einf├╝hrung von Richtlinien zur Gesch├Ąftskontinuit├Ąt und Notfallpl├Ąnen

DORA ist am 16. Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 gelten. 

Die Verordnung ├╝ber M├Ąrkte f├╝r Kryptowerte (MiCA) kl├Ąrt das regulatorische Umfeld f├╝r Krypto-Assets und betrifft Unternehmen, die Krypto-Assets ausgeben, ├Âffentlich anbieten und zum Handel zulassen oder Dienstleistungen im Zusammenhang mit Krypto-Assets erbringen. Sie gilt auch f├╝r Unternehmen ausserhalb der EU, wenn sie in einem EU-Mitgliedstaat t├Ątig werden wollen.

MiCA f├╝hrt Transparenz- und Offenlegungsanforderungen f├╝r die Emission, das ├Âffentliche Angebot und die Zulassung von Krypto-Assets zum Handel auf einer Handelsplattform f├╝r Krypto-Assets. Es sieht ausserdem Anforderungen f├╝r den Schutz der Kunden von Krypto-Asset-Dienstleistern und Massnahmen zur Verhinderung von Insidergesch├Ąften, unrechtm├Ąssiger Offenlegung von Insiderinformationen und Marktmanipulation vor.

Der Vorschlag f├╝r eine Verordnung ├╝ber einen Rahmen f├╝r den Zugang zu Finanzdaten (FiDA) befasst sich mit dem Bedarf an offenen Finanzdaten. Er wird derzeit vom Rat gepr├╝ft. Dieser Verordnungsvorschlag richtet sich an Finanzinstitute, Fintech-Unternehmen und andere Dienstleister, die im EU-Finanzsektor t├Ątig sind. Er legt Regeln f├╝r den Zugang, die Weitergabe und die Nutzung bestimmter Kategorien von Kundendaten bei Finanzdienstleistungen sowie f├╝r die Zulassung und den Betrieb von Finanzinformationsdienstleistern fest. Zum Beispiel m├╝ssen unter FiDA:

  • Kundendaten ohne unangemessene Verz├Âgerung und in Echtzeit zur Verf├╝gung gestellt werden
  • Dateninhaber ihren Kunden ein Berechtigungs-Dashboard zur Verf├╝gung stellen, damit sie die f├╝r den Datenaustausch erteilten Berechtigungen verwalten k├Ânnen
  • Berechtigungen reversibel und begrenzt sein

Der neue Vorschlag f├╝r eine ├╝berarbeitete Zahlungsdiensterichtlinie (PSD3) aktualisiert die Regeln f├╝r Zahlungsdienstleister und wird derzeit vom Rat bewertet, der seinen Standpunkt dazu vorbereiten muss. Diese Richtlinie zielt unter anderem darauf ab:

  • Betrug im Zahlungsverkehr zu bek├Ąmpfen und einzud├Ąmmen, indem Zahlungsdienstleister betrugsrelevante Informationen austauschen k├Ânnen
  • Verbraucherrechte zu verbessern, z. B. durch transparentere Informationen ├╝ber Geldautomatengeb├╝hren und die M├Âglichkeit, Bargelddienstleistungen in Gesch├Ąften in Anspruch zu nehmen
  • Gleiche Wettbewerbsbedingungen f├╝r Banken und Nicht-Banken herzustellen, indem Nicht-Banken-Zahlungsdienstleistern der Zugang zu allen EU-Zahlungssystemen erm├Âglicht wird

Dar├╝ber hinaus hat die Europ├Ąische Kommission einen Entwurf f├╝r eine Verordnung ├╝ber Zahlungsdienste im Binnenmarkt (PSR) ausgearbeitet, der Regeln f├╝r die T├Ątigkeit von Zahlungsdienstleistern enth├Ąlt und einige Anforderungen an technische Standards f├╝r die Kundenauthentifizierung festlegt.

Fazit

W├Ąhrend wir uns durch die st├Ąndig ├Ąndernde Landschaft der EU-Vorschriften bewegen, ist es f├╝r Unternehmen im digitalen Sektor wichtig, informiert und proaktiv zu bleiben. Die neuen Rahmenregelungen – von MiCA bis zum Cyber Resilience Act – zeigen einen klaren Weg zu mehr Transparenz, Sicherheit und operativer Widerstandsf├Ąhigkeit. Diese Vorschriften sind nicht nur Anforderungen zur Einhaltung von Vorschriften, sondern auch eine Chance, eure Gesch├Ąftspraktiken zu verbessern, Vertrauen bei den Verbrauchern aufzubauen und euch einen Wettbewerbsvorteil zu verschaffen.

Um unter diesen neuen Regeln erfolgreich zu sein, m├╝ssen Unternehmen diese Vorschriften verstehen und in ihre Arbeit integrieren. Beginnt damit, herauszufinden, welche Vorschriften sich direkt auf eure Dienstleistungen und Produkte auswirken. Implementiert robuste Systeme f├╝r das Datenmanagement und die Cybersicherheit und ├╝berlegt, wie ├änderungen in der Datenverwaltung neue M├Âglichkeiten f├╝r Innovationen und Serviceverbesserungen er├Âffnen k├Ânnen.

Denkt daran, dass es bei der Einhaltung der Vorschriften nicht nur darum geht, Strafen zu vermeiden, sondern auch darum, regulatorische ├änderungen zu nutzen, um Innovation und Kundenvertrauen zu f├Ârdern. Zieht in Erw├Ągung, euch von einem Experten beraten zu lassen, um diese Komplexit├Ąt effizient und effektiv zu meistern.

By Sebastian Schneider

Head of Privacy & Digital Regulation, Legal Expert

Verwandt

Let’s Go!

Jetzt unverbindliches und kostenloses Erstgespr├Ąch buchen und erfahren, wie wir am besten bei der Erreichung eurer Unternehmensziele unterst├╝tzen k├Ânnen.

Oder alternativ eine E-mail an uns schreiben unter [email protected].

Kostenloses Gespr├Ąch buchen