Seite 3: Digitale Dekade

Inhaltsverzeichnis

An anderer Stelle hat die EU-Kommission ihre Ziele zu größeren Teilen erreicht: "Wir müssen die kommenden Jahre zu Europas digitaler Dekade machen, damit alle Bürger und Unternehmen die Vorteile der digitalen Welt bestmöglich nutzen können", hatte Ursula von der Leyen zum Start ihrer Amtszeit gefordert. Im Rahmen ihrer schriftlich fixierten Digitalstrategie machte sich die EU-Kommission daran, einen gesamteuropäischen Rechtsrahmen für digitale Produkte und Dienstleistungen zu schaffen.

Und tatsächlich erscheint die Menge der Gesetzesinitiativen mit digitalen Anteilen in der nun endenden Legislaturperiode enorm. "In der Gesetzgebung ist auf EU-Ebene in der letzten Legislatur so viel passiert, dass es selbst für Fachleute eine Herausforderung ist, den Überblick zu behalten", betonte Stefan Heumann, der den Thinktank Agora Digitalwende in Berlin leitet, gegenüber c’t. Gäbe es Fleißpunkte, Politiker und Beamte in Brüssel hätten sie sich in der Digitalpolitik redlich verdient. Ob die vielen neuen Gesetze gelungen seien, müsse sich allerdings erst noch zeigen: "Für eine Bilanz ist es noch zu früh, weil die Regulierungen teilweise noch gar nicht in Kraft sind oder sich noch in der Umsetzung befinden."

Das gilt besonders für den Bereich der Datenpolitik. Ergänzend zur Datenschutzgrundverordnung wollte die EU-Kommission weitere Regelwerke schaffen, um Datennutzung klar zu regeln und damit zu fördern – insbesondere, wenn es nicht um personenbezogene Daten geht. Der Data Act und der Data Governance Act sollen vor allem industrielle Datennutzung, den Transfer von Daten ins Ausland und das Teilen von Daten zwischen Unternehmen und Behörden regulieren. So will die EU eine datenbasierte Wirtschaft ankurbeln. Doch nach wie vor zögern viele Unternehmen, sich auf die datenökonomischen Spielregeln und Märkte einzulassen. Ihnen erscheint der Aufwand hoch, der Nutzen jedoch noch nicht ganz klar.

Anders sieht es nur da aus, wo die EU-Kommission sektorspezifisch eingreift. Sie will insgesamt 14 Branchen eigene Regeln für den Umgang und Austausch von Daten geben. So sollen "Datenräume" für Unternehmen und den öffentlichen Bereich entstehen, unter anderem in den Bereichen Verkehr, Energie und Kultur. Den Anfang machte gerade erst der als Verordnung beschlossene European Health Data Space (EHDS) als Gesundheitsdatenraum. Ihn hat man infolge der Coronapandemie als riesigen Pool für Gesundheitsdaten von EU-Bürgern konzipiert. Die Pharmaindustrie freut sich, leichter an Forschungsdaten zu kommen, Bürger sollen von EU-weit einsetzbaren E-Rezepten und E-Patientenakten profitieren. Unzufrieden mit dem Ergebnis sind Bürgerrechtler, für die der Datenschutz bei den Verhandlungen ums Gesetz auf der Strecke geblieben ist.

Apropos: Datenschutz bleibt sicherlich auch in den kommenden Jahren ein Schwerpunkt der EU-Tätigkeit. 2026 wird die DSGVO zehn Jahre alt. Seit acht Jahren ist sie vollständig wirksam, und über die Jahre haben sich einige Schwierigkeiten bei der Anwendung ergeben. Bis heute ist der EuGH in Luxemburg mit Auslegungsfragen zur DSGVO intensiv beschäftigt. Einige EU-Verantwortliche würden derweil das Gesetz gerne überarbeiten.

Auch weiterhin stehen Datentransfers ins Nicht-EU-Ausland auf wackeligen Beinen. 2023 organisierte die EU-Kommission mit dem EU-US-Data-Privacy-Framework aufgrund einiger Zusicherungen des amtierenden US-Präsidenten Joe Biden eine neue rechtliche Grundlage für den Transfer personenbezogener Daten in die USA. Ob diese allerdings einen möglichen US-Präsidenten Trump oder den nächsten Richterspruch aus Luxemburg überlebt, also die erwartete Schrems-III-Entscheidung, ist vollkommen offen.

Nicht geliefert hat die EU bei einem anderen wichtigen Vorhaben: der E-Privacy-Verordnung. Diese sollte ursprünglich parallel zur DSGVO bereits 2016 in Kraft treten und den Umgang mit User-Tracking im Web regeln. Zwei Legislaturperioden später hat man sie offiziell noch nicht beerdigt. Aber immer noch gilt die unzureichende E-Privacy-Richtlinie. Diese stammt aus dem Jahr 2002, als Facebook noch nicht einmal gegründet war. Die Positionen der Mitgliedsstaaten zum Thema liegen bis heute unvereinbar weit auseinander. Parlament und Kommission können ohne sie keinen Fortschritt erzielen.

Erfolgreich verhandelt haben die Institutionen dagegen drei andere Gesetzeswerke: Die KI-Verordnung (AI Act) ist gerade verabschiedet und tritt im Sommer in Kraft, ihre praktischen Auswirkungen zeigen sich erst ab dem kommenden Jahr. Mit dem Gesetz über digitale Märkte (Digital Markets Act, DMA) hat sich die EU neue Instrumente geschaffen, um auch unterhalb der klassischen Monopolschwelle für Unternehmen auf den Märkten für digitale Dienste eingreifen zu können, wenn ein Konzern seine Marktmacht zulasten Dritter missbraucht.

Das Gesetz über digitale Dienste (Digital Services Act, DSA) dagegen betrifft fast alle Anbieter von Diensten im Netz auf die eine oder andere Weise und legt Grundregeln fest. Insbesondere geht es um Fragen nach der Verantwortung und den Umgang mit nutzergenerierten Inhalten. Das umfangreiche Gesetzeswerk, von EU-Verantwortlichen auch gerne einmal als "Ende des Wilden Westens" oder "Grundgesetz für das Netz" bezeichnet, bürdet den größten Anbietern zusätzliche Pflichten auf. Beispielsweise geht es da um Transparenzanforderungen und Risikomanagement. Ob und wie gut das Werk wirkt, ist noch offen. Die Durchsetzung steht auch noch ganz am Anfang, erste Verfahren gegen Social-Media-Riesen wie X und TikTok laufen aber bereits. Sollte sich dabei Nachbesserungsbedarf ergeben, hätten das kommende EU-Parlament und die neue Kommission eine wichtige Aufgabe mehr.

Herzen per Ladebuchse gewinnen

Oft scheint das, was in Brüssel und Straßburg, dem Sitz des Europaparlaments, beschlossen wird, weit weg von der Lebensrealität der EU-Bürger. Besonders stolz sind EU-Politiker und Beamte deshalb auf Entscheidungen, die Bürger direkt im Alltag positiv wahrnehmen. Als beispielsweise das EU-weite Mobilfunkroaming eingeführt wurde, war das ein solcher Moment. Dass es in dieser Legislaturperiode verlängert wurde, nahmen die EU-Bürger bereits eher achselzuckend zur Kenntnis.

Bei der EU hofft man nun, dass die Pflicht zur einheitlichen Ladebuchse nach USB-C-Standard in mobilen Endgeräten ebenfalls positiv wahrgenommen wird. Die EU erleichtere Bürgerinnen und Bürgern damit das Leben, heißt es. Man helfe ihnen, dem Kabelsalat ein Ende zu bereiten sowie unnötige Kosten und Elektroschrott zu vermeiden. Letzteres versuchte die EU auch über das neue Recht auf Reparatur von Elektrogeräten zu erreichen. Dieses hat man aber erst auf den allerletzten Metern der Legislatur ausverhandelt und Ende April 2024 final verabschiedet. Es wird wie die Ladebuchsenvorschrift erst nach und nach wirken, und das auch erst nach der Wahl im Juni.

Um weniger Elektroschrott entstehen zu lassen, hat die EU-Kommission an weiterer Stelle angesetzt: Mit dem Cyber Resilience Act (CRA) kommen für vernetzte Geräte nicht nur Sicherheitsvorschriften, sondern auch jahrelange Updatepflichten für die Hersteller. Das soll die Sicherheit von allen Geräten, die ins Internet funken, merklich erhöhen und Botnetze auf Webcam- oder Waschmaschinenbasis in Zukunft verhindern. Zum anderen soll der CRA auch dazu beitragen, dass Geräte nicht mehr so schnell unbrauchbar werden, weil der Hersteller sie aufs Service-Abstellgleis setzt. Auch diese Pflichten für Hersteller greifen erst in den kommenden Jahren und dann nur für Neugeräte.