DMA, DAS, AIA, DGA, DA – Hä?
Gesetzesvorhaben der EU im Bereich der Datenverarbeitung
22.06.2023
In der EU gibt es eine große Anzahl von Gesetzesvorhaben, die bis zum Frühjahr 2024 abgeschlossen werden sollen und die vor allem große Technologiekonzerne, aber auch kleine und mittlere Unternehmen betreffen.
DMA Digital Markets Act
(in Kraft 1.11.2022, wirksam 1.5.2023)
Zielgruppe sind die Gatekeeper (große Onlineplattformen), die diskriminierungsfrei ihre Plattformen zur Verfügung stellen müssen und weitere Vorgaben einhalten müssen. Diese sind aktuell bereits mit der Umsetzung befasst und wohl nicht Leser dieses Newsletters.
DSA Digital Services Act
(in Kraft 16.11.2022, wirksam 17.2.2023)
Zielsetzung ist die Haftung von Onlineplattformen wegen unrechtmäßiger Inhalte. Zielgruppe sind hier „vermittelnde Onlinedienste“ (wie Hosting-Dienste, Internetanbieter, Online-Marktplätze, App-Stores, Social-Media-Plattformen). Geschützt werde sollen Verbraucher.
AIA Artificial Intelligence Act
(verabschiedet am 14.6.2023)
Gegenstand ist die Regulation von KI-Systemen je nach Risiko (der Manipulation von Verbrauchern). KI-Systeme mit geringem oder minimalem Risiko (Chatbots, Spamfilter u.ä.) werden kaum reguliert – hier bestehen Transparenzpflichten. Werden Hochrisikosystem verwandt, muss ein Risikomanagementsystem einreichtet werden.
Sollten Sie KI einsetzen, müssen Sie sich mit diesem Gesetz auseinander setzen!
DGA Data Governance Act
(in Kraft 23.9.2022, wirksam 24.9.2023)
Es soll einen europäischen Datenraum in strategisch wichtigen Bereichen geschaffen werden. Ziel ist es, die Verfügbarkeit von Daten zur Nutzung zu fördern. Dies soll durch die Weiterverwendung öffentlicher Datensätze, die gemeinsame Datennutzung durch Unternehmen gegen Entgelt und die Ermöglichung der Nutzung personenbezogener Daten für Einzelpersonen mithilfe von Datenmittlern erreicht werden.
DA Data Act
(noch im Gesetzgebungsverfahren)
Es geht hier um die Nutzung nicht personenbezogener Daten. Diese müssen zukünftig in den Datenschutzmanagementsystemen berücksichtigt werden. Der Data Act soll eine breitere Nutzung des Potentials insbesondere maschinengenerierter Daten eröffnen und regeln, wer die in der EU von den Nutzern erzeugten Daten nutzen darf und Zugriff darauf erhält. Dabei werden auch Anforderungen an die Interoperabilität von Anwendungen geregelt.
Wir werden dazu weiter berichten.
CRA Cyber Resilience Act
(noch im Gesetz-gebungsverfahren)
Mit dieser Verordnung sollen EU-weite Cybersicherheitsstandards geschaffen werden. Zielgruppe sind Hersteller und Händler/Verteiler von Produkten mit digitalen Bestandteilen.
DORA Digital Operational Resilience Act
(in Kraft 16.1.2023 wirksam 17.1.2025)
Zielgruppe ist die Finanzbranche. Die Sicherheitsstandards sind hier gegenüber anderen Unternehmen verschärft.
Und was gibt’s Neues zur ePrivacy-Verordnung?
Seit Jahren erzählen wir, dass die ePrivacy-Verordnung kommt, die wiederum den Umgang mit personenbezogenen Daten weiter regeln sollte. Aber dazu gibt es nichts Neues, außer dass es immer ruhiger wird. Vielleicht haben das Parlament und die entsprechenden Ausschüsse mit der DA genug zu tun (oder war das bei Harry Potter?).
Was bedeutet das für Sie?
Aktuell besteht für Sie kein Handlungsbedarf (es sei denn Sie betreiben eine Onlineplattform oder sind ein Gatekeeper). Die beiden Vorhaben, die noch in der Pipeline sind, der Data Act und die Regelungen zu künstlichen Intelligenz, werden aber Auswirkungen haben. Über diese werden wir rechtzeitig informieren.
Nachschlag
Auch im Inland ist der Gesetzgeber dabei, das Datenrecht zu regeln und zu regeln. Hier will ich vor allem auf das Hinweisgeberschutzgesetz verweisen, das ab dem 2.Juli 2023 in Kraft treten wird. Wir werden in der nächsten Woche darüber berichten.
Autorin: Katharina Gündel, GROSS Rechtsanwaltsgesellschaft mbH
Bildnachweis: Pixabay