Neues Digitalrecht der EU: Diese Herausforderungen kommen auf Unternehmen zu

Die kommenden EU-Regulierungen zwingen Unternehmen zum Handeln. Hier gilt die Devise: besser früh umsetzen, als später Strafe zahlen.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Lesezeit: 6 Min.
Von
  • Stefan Hessel
  • Monika Menz
Inhaltsverzeichnis

Die EU-Kommission plant eine ganze Reihe neuer gesetzlicher Vorschriften, die von der Regulierung von Daten als Wirtschaftsgut über Cybersicherheit bis zu künstlicher Intelligenz reichen. Für Unternehmen bringen die geplanten Vorschriften Chancen, aber – ähnlich wie die Datenschutz-Grundverordnung (DSGVO) – auch zusätzliche Belastungen aufgrund hoher Aufwände bei der Umsetzung. Wer den Überblick nicht verlieren und hohe Bußgelder vermeiden will, sollte die neuen Vorschriften daher proaktiv zum Teil des Compliance-Managements machen.

Die EU-Kommission hat die Bedeutung von Daten als Wirtschaftsgut erkannt und möchte mit einer neuen EU-Verordnung, dem sogenannten Data Act, den rechtlichen Rahmen für die Nutzung nicht-personenbezogener Daten und den Handel damit schaffen. Hierzu ist unter anderem geplant, Daten, die sich bisher in den Händen großer Plattformen befinden sind, einem breiteren Markt zugänglich zu machen. Insbesondere kleine und mittelständische Unternehmen sollen so die Chance bekommen, innovative Geschäftsmodelle zu entwickeln und umzusetzen. Der europäische Datenmarkt soll außerdem dadurch befeuert werden, dass Produkte es dem Nutzer zukünftig erlauben sollen, die durch die eigene Nutzung generierten Daten einzusehen und an Dritte weiterzugeben.

Auf große Plattformen zielen zwei weitere EU-Verordnungen, die gerade die Trilog-Verhandlungen zwischen der EU-Kommission, dem Rat und dem EU-Parlament passiert haben: der Digital Markets Acts (DMA) und der Digital Services Acts (DSA). Der DMA erlegt Gatekeepern, die eine starke wirtschaftlichen Macht auf dem EU-Binnenmarkt haben und in mehreren EU-Ländern vertreten sind, weitreichende Pflichten auf. So soll es ihnen zukünftig unter anderen untersagt sein, Dienstleistungen und Produkte anderer Anbieter gegenüber den eigenen Angeboten auf der eigenen Plattform zu benachteiligen. Eine Parallele zum Data Act ist die Verpflichtung für Gatekeeper-Plattformen, gewerblichen Nutzern zu ermöglichen, auf die von ihnen generierten Daten zuzugreifen.

Auch die Vorschriften des DSA treffen in erster Linie große Online-Plattformen, die von mindestens 45 Millionen Menschen in der Europäischen Union monatlich genutzt werden. Deren Betreiber müssen mindestens einmal im Jahr eine Risikominderungsanalyse durchführen. Dadurch sollen die nennenswerten Risiken, die durch die Benutzung der Dienste entstehen, auf folgenden Feldern reduziert werden: Verbreitung illegaler Inhalte, negative Auswirkungen auf die Ausübung von Grundrechten sowie absichtliche Manipulation des Dienstes und daraus resultierende Gefahren, etwa in Bezug auf die Integrität von Wahlen oder den öffentlichen Diskurs.

Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS), die in Deutschland im IT-Sicherheitsgesetz umgesetzt wird, verpflichtet Betreiber Kritischer Infrastruktur (KRITIS) zu Maßnahmen der Cybersicherheit. Inzwischen liegt mit der NIS-2.0-Richtlinie ein Entwurf für eine Neuauflage der Regelung vor. Sie sieht eine deutliche Ausweitung der betroffenen Branchen vor, unter anderem auf die Industrie. Gleichzeitig reduziert sie die notwendige Unternehmensgröße.

Nach der aktuellen Fassung des Entwurfs würden bereits 50 Mitarbeiter in einem Unternehmen der betroffenen Branchen ausreichen, um entsprechende Pflichten auszulösen. Zudem soll es in manchen Bereichen auf die Größe des Unternehmens gar nicht mehr ankommen. Dies gilt etwa für die Anbieter von Cloud-Computing-Diensten, die völlig unabhängig von der Größe des Unternehmens in Zukunft in den Anwendungsbereich der NIS-Richtlinie fallen sollen. Umfasst wären nach der jetzigen Formulierung dann auch SaaS-Anbieter (Software as a Service) – unabhängig davon, ob das Bereitstellen von Software und Speicherplatz Kerngeschäft oder bloße Nebenleistung ist.

Die Zahl vernetzter Geräte nimmt immer weiter zu: Ob vernetze Haushaltsgeräte, Spielzeuge oder sogar Autos – Alltagsgegenstände verbinden sich heute mit dem Internet oder kommunizieren über Bluetooth miteinander. Die Risiken, die von IoT-Geräten und anderen Funkanlagen ausgehen, adressiert die Radio Equipment Directive (RED). Sie wurde zu Beginn des Jahres von der EU-Kommission mit einer delegierten Verordnung mit Leben gefüllt. Bestimmte Klassen von Funkanlagen müssen zukünftig die Vorgaben zu Cybersicherheit und Datenschutz erfüllen. Obwohl die genauen Verpflichtungen noch unklar sind, beträgt die Umsetzungsfrist nur knappe 30 Monate und endet bereits 2024 – dann droht Herstellern bei Non-Compliance der Verlust des Marktzugangs.

Einen gegenüber der RED breiteren Anwendungsbereich soll der geplante Cyber Resilience Act (CRA) haben. Ziel des CRA soll es sein, die Cybersicherheit von Produkten über den kompletten Lebenszyklus festzuschreiben und die Cyberwiderstandsfähigkeit insgesamt zu erhöhen. Ein konkreter Entwurf liegt noch nicht vor, aber die bisherigen offiziellen Verlautbarungen der EU-Kommission lassen vermuten, dass die Verordnung am Ende für alle Produkte mit digitalen Elementen verbindlich sein könnte.

Mit der geplanten KI-Verordnung (KI-VO) will die EU-Kommission die mit der DSGVO erkämpfte Vorreiterrolle Europas im Digitalrecht verteidigen und erneut weltweit Standards für den Einsatz von Künstlicher Intelligenz (KI) setzen. Was KI ist, definiert die EU-Kommission in ihrem Entwurf großzügig: Bereits eine Software, die auf einem Logik- und wissensgestützten Konzept basiert und deren Ergebnisse Auswirkungen auf das Umfeld haben, könnten zukünftig unter die KI-VO fallen. Inhaltlich folgt die Verordnung einem risikobasierten Ansatz und differenziert zwischen gänzlich verbotenen Formen, Hochrisiko-KI-Systemen und Systemen mit niedrigem Risiko. Bei Hochrisiko-KI-Systemen sieht die KI-VO tiefgreifende Eingriffe in das Produktdesign vor. So werden etwa Anforderungen an die Daten formuliert, mit denen das System trainiert wird. Außerdem verlangt die Verordnung ein Implementieren von Protokollierungsmöglichkeiten und eine Ausgestaltung, die eine menschliche Aufsicht ermöglicht.

Aufgrund der hohen Schlagzahl neuer Regulierungen mit teils weitem Anwendungsbereich und kurzen Umsetzungsfristen kommt mit dem neuen Digitalrecht der EU auf viele Firmen ein hoher Umsetzungsdruck zu. Dem sollten Unternehmen damit begegnen, dass sie den Fokus stärker als bisher auf die die zukünftige Rechtslage richten, diese im Compliance-Management-System berücksichtigen und nach Möglichkeit bereits vor Inkrafttreten antizipieren. Bei Verstößen drohen hohe Bußgelder und weitere negative rechtliche Konsequenzen. Gleichzeitig sollten Unternehmen prüfen, wie sie von neuen Entwicklungen profitieren und Chancen auf Datenzugang, wie sie zum Beispiel der Data Act vorsieht, für ihre Zwecke nutzen können.

(fo)