LEXR Legal BlogBlog / Datenschutz

Neue EU-Rechtsakte: Eine Blaupause für Wachstum im digitalen Sektor 

By Sebastian Schneider, Francisco Arga e Lima

Last Updated 09/05/2024

MiCA, DSA, DMA, DGA. Seid ihr überfordert von all den neuen EU-Rechtsakte im digitalen Bereich? Wir helfen euch weiter. In diesem Blogpost entschlüsseln wir neue und kommende EU-Rechtsakte, die sich auf den digitalen Sektor auswirken, und erläutern ihre Anwendbarkeit und Verpflichtungen. Lass uns in die Materie dieser Gesetze eintauchen und uns auf ihre Auswirkungen auf euer Unternehmen konzentrieren.

Daten und KI: Wie die EU-Daten- und KI-Vorschriften die Branche prägen werden

Navigating the digital realm demands a keen understanding of the new data and AI regulatory updates. This section explains the new EU data- and AI-related norms that are applicable to data driven companies: 

Die Verordnung über den freien Verkehr nicht-personenbezogener Daten demokratisiert die Daten in der EU. Sie gilt speziell für Unternehmen, die mit nicht-personenbezogenen Daten umgehen, wie z.B. Unternehmen aus den Bereichen Cloud-Dienste, Datenanalyse und IT. Die Verordnung legt Regeln fest, die sich auf Folgendes beziehen:

  • Der freie Verkehr nicht-personenbezogener Daten über Grenzen hinweg: Jede Organisation sollte in der Lage sein, Daten überall in der EU zu speichern und zu verarbeiten
  • Leichterer Wechsel zwischen Cloud-Anbietern für professionelle Nutzer
  • Die Verfügbarkeit von Daten für die behördliche Kontrolle

Die Data Governance Verordnung (DGA) hebt die Bedeutung des Datenaustauschs hervor und schützt gleichzeitig die Privatsphäre. Sie gilt für Einrichtungen, die an der gemeinsamen Nutzung personenbezogener und nicht personenbezogener Daten beteiligt sind, z.B. öffentliche Stellen, Datenvermittler und Unternehmen aus verschiedenen Branchen, die Daten nutzen. Dieses Gesetz legt Bedingungen fest für:

  • die Weiterverwendung bestimmter Kategorien von Daten öffentlicher Stellen innerhalb der EU
  • ein Regelwerk für Anbieter von Datenvermittlungsdiensten, wie z. B. Datenmarktplätze
  • eine freiwillige Registrierung von Einrichtungen, die Daten sammeln und verarbeiten, die für altruistische Zwecke zur Verfügung gestellt werden

Unternehmen, die dem Gesetz unterliegen, müssen klare Zustimmungsmechanismen für die Datennutzung einrichten, Plattformen für den Datenaustausch sichern und die Governance-Standards des Gesetzes einhalten, um einen vertrauensvollen Datenaustausch zu gewährleisten.

Die Datenverordnung (Data Act) zielt darauf ab, den Wert der Daten zu erschliessen, die unter anderem von IoT-Produkten erzeugt werden. Sie betrifft Hersteller von IoT-Geräten, Anbieter digitaler Dienste und datenverarbeitende Unternehmen und zwingt sie, Daten zur Verfügung zu stellen. Neue Massnahmen sind zum Beispiel: 

  • klare Regeln für die zulässige Nutzung von Daten und die damit verbundenen Bedingungen, einschliesslich Mustervertragsklauseln
  • Ermöglichung des Zugriffs auf und der Nutzung von Daten des privaten Sektors durch öffentliche Stellen für bestimmte Zwecke von öffentlichem Interesse
  • Schaffung der Rahmenbedingungen, damit die Kunden effektiv zwischen verschiedenen Anbietern von Datenverarbeitungsdiensten wechseln können

Daher müssen die Hersteller von intelligenten Geräten transparente und faire Mechanismen für die gemeinsame Nutzung von Daten in Übereinstimmung mit dem Gesetz einrichten und bei Bedarf klare Nutzungsbedingungen und die Zugänglichkeit der Daten sicherstellen.

Die kommende Verordnung über den europäischen Raum für Gesundheitsdaten (EHDS) konzentriert sich auf Gesundheitsdaten, ein wichtiges Gut im digitalen Zeitalter. Wenn diese Verordnung in Kraft tritt, gilt sie für Hersteller und Anbieter von Gesundheitsdatensystemen und Wellness-Anwendungen sowie für in der EU ansässige Verantwortliche und Auftragsverarbeiter, die elektronische Gesundheitsdaten verarbeiten oder mit MyHealth@EU verbunden sind, und für Datennutzer, denen elektronische Gesundheitsdaten von Dateninhabern in der Union zur Verfügung gestellt werden.

Sie soll Regeln, gemeinsame Standards und Praktiken, Infrastrukturen und einen Governance-Rahmen für die primäre und sekundäre Nutzung elektronischer Gesundheitsdaten schaffen und so die Gesundheitsversorgung und Forschung verbessern. So sollen zum Beispiel die Rechte natürlicher Personen in Bezug auf die Verfügbarkeit und Kontrolle ihrer elektronischen Gesundheitsdaten gestärkt und das Inverkehrbringen von elektronischen Gesundheitsdatensystemen geregelt werden. Die EU-Gesetzgeber haben eine vorläufige Einigung über die EHDS-Verordnung erzielt, die nun noch vom Europäischen Parlament und vom Rat formell verabschiedet werden muss, bevor sie in Kraft treten kann, was voraussichtlich noch in diesem Jahr geschehen wird.

Die NIS-2-Richtlinie erweitert die Cybersicherheitsverpflichtungen im digitalen Sektor und legt Massnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU fest. Die Richtlinie gilt für ein breites Spektrum von Unternehmen, darunter wesentliche und wichtige Unternehmen in verschiedenen Sektoren wie Energie, Verkehr, Banken und digitale Infrastruktur. Sie richtet sich insbesondere an Anbieter digitaler Dienste wie Cloud-Computing-Dienste, Online-Marktplätze und Suchmaschinen. Für diese Unternehmen sieht die Richtlinie Folgendes vor: 

  • die Notwendigkeit, Massnahmen zum Risikomanagement im Bereich der Cybersicherheit sowie Meldepflichten, Cybersicherheitshygiene und Schulungen zu ergreifen
  • Regeln und Verpflichtungen zum Austausch von Cybersicherheitsinformationen
  • strengere Aufsichtsmassnahmen für nationale Behörden und strengere Durchsetzungsanforderungen

Die kommende Verordnung zur Harmonisierung der Durchsetzung der DSGVO versucht, die datenschutzrechtlichen Durchsetzungsmechanismen zu harmonisieren, um sicherzustellen, dass die DSGVO in allen EU-Mitgliedstaaten einheitlich angewendet wird. Dies ist besonders wichtig für den Umgang mit grenzüberschreitenden Fällen, bei denen Datenverarbeitungsaktivitäten Personen in mehreren Ländern betreffen. Das Parlament und der Rat sind dabei, den Vorschlag zu bewerten und ihre jeweiligen Positionen zu erarbeiten.

Das Gesetz über künstliche Intelligenz (KI-Gesetz) ist das erste Gesetz über den Einsatz von künstlicher Intelligenz in der EU. Dieser Rechtsrahmen richtet sich u.a. an Anbieter, Bereitsteller und Importeure von KI-Systemen. Es

  • klassifiziert und reguliert KI-Systeme nach ihren Risiken mit besonderem Fokus auf Anwendungen, die ein hohes Risiko für die Gesellschaft und den Einzelnen darstellen
  • stellt sicher, dass sich die Endnutzer bewusst sind, dass sie mit KI interagieren
  • regelt Allzweck KI Modelle (General Purpose AI), um z.B. technische Dokumentationen bereitzustellen und Urheberrechtsgesetze einzuhalten

Der Vorschlag für die Richtlinie über die Haftung für künstliche Intelligenz betrifft Unternehmen, die an der Konzeption, Entwicklung und Bereitstellung von KI-Systemen beteiligt sind, wobei der Schwerpunkt auf risikoreichen Anwendungen liegt, z.B. in den Bereichen Gesundheitswesen, Verkehr und öffentliche Dienste. Die Unternehmen müssen sicherstellen, dass ihre KI-Systeme sicher und fair sind und Schäden für ihre Nutzer/innen minimieren. Diese Richtlinie befasst sich mit der komplexen Problematik der Haftung für Schäden, die durch Systeme der künstlichen Intelligenz verursacht werden, und schafft einen gemeinsamen Rechtsrahmen für die Haftung im Zusammenhang mit KI.

Produkte und digitale Dienstleistungen: Neue EU-Vorschriften heben die Standards für digitale Produkte und Dienstleistungen an

In diesem Abschnitt befassen wir uns mit den neuen Vorschriften für Produkte und digitale Dienstleistungen, einem wichtigen Aspekt für Unternehmen in der digitalen Landschaft. Diese Rahmenbedingungen sind entscheidend, um sicherzustellen, dass digitale Dienstleistungen und Inhalte die höchsten Standards in Bezug auf Fairness, Transparenz und Qualität erfüllen und so den Ruf eures Unternehmens schützt und das Vertrauen der Verbraucher/innen fördert. 

Die Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen ist eine Richtlinie, die Verträge über die Bereitstellung von digitalen Inhalten und Dienstleistungen regelt. Die Richtlinie gilt für alle Unternehmen, die Verbrauchern in der EU digitale Inhalte oder digitale Dienstleistungen anbieten, unabhängig davon, ob der Verbraucher mit Geld bezahlt oder im Gegenzug persönliche Daten zur Verfügung stellt. Sie gilt zum Beispiel für Unternehmen, die Software zum Herunterladen, Cloud-Dienste und Social-Media-Plattformen sowie Streaming-Dienste für Musik und Videos anbieten. Die Richtlinie:

  • verlangt von den Unternehmen, dass sie detaillierte Informationen über die Funktionalität des Produkts bereitstellen, einschliesslich notwendiger Updates und Support
  • stärkt die Rechte der Verbraucherinnen und Verbraucher, Verträge zu kündigen, wenn die digitalen Inhalte oder Dienstleistungen nicht der Beschreibung entsprechen oder nicht ordnungsgemäss funktionieren

Das Gesetz über digitale Dienste (DSA) ist eine Verordnung, die darauf abzielt, einen sichereren digitalen Raum zu schaffen. Das Gesetz gilt für Online-Vermittler und -Plattformen, darunter soziale Netzwerke, Online-Marktplätze und Content-Sharing-Plattformen, die in der EU tätig sind. Es verpflichtet diese Plattformen zum Beispiel dazu:

  • illegale Inhalte zeitnah zu entfernen
  • über ihre Aktivitäten zur Moderation von Inhalten zu berichten
  • klare Nutzungsbedingungen aufzustellen

Das Gesetz verlangt auch Transparenz bei der Werbung und den Algorithmen, die für Empfehlungen verwendet werden. Die Unternehmen, für die es gilt, reichen von kleinen Start-ups bis hin zu grossen Tech-Unternehmen, die nutzergenerierte Inhalte hosten oder Waren, Dienstleistungen oder Inhalte online verkaufen.

Das Gesetz über digitale Märkte (DMA) gilt in erster Linie für grosse Online-Plattformen und Suchmaschinen, die aufgrund ihres grossen Einflusses auf den EU-Binnenmarkt als “Torwächter” gelten. Sie verbietet bestimmte Praktiken, die als unlauter gelten, wie z. B. Selbstreferenzierung und Datenmonopolisierung. Grosse Unternehmen müssen den offenen Marktzugang für Konkurrenten sicherstellen, eine Datenmonopolisierung verhindern und für Transparenz bei Werbe- und Inhaltsalgorithmen sorgen.

Der Vorschlag für die Richtlinie zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit befasstsich mit der sich entwickelnden Natur der digitalen Plattformarbeit. Am 11. März 2024 wurde eine vorläufige Einigung zwischen dem Europäischen Parlament und dem Rat der EU erzielt, die den Weg zur formellen Verabschiedung durch beide Gremien und zum Inkrafttreten ebnet, welche noch in diesem Jahr erwartet wird.

Der Vorschlag gilt für digitale Arbeitsplattformen, die Plattformarbeit in der EU organisieren, unabhängig vom Ort ihrer Niederlassung. Er zielt darauf ab, die Arbeitsbedingungen von Personen zu regeln, die Plattformarbeit leisten (z.B. Taxifahrer/innen, Essenslieferant/innen), indem:

  • eine widerlegbaren gesetzlichen Vermutung für eine Beschäftigung im Gegensatz zum derzeitigen Status der formalen Selbstständigkeit eingeführt wird
  • neue Regeln für den Einsatz von Algorithmen für das Personalmanagement geschaffen werden
  • Verpflichtungen zur Anmeldung von Arbeiten bei den nationalen Behörden geklärt werden

Der Vorschlag für die Richtlinie über die Haftung für fehlerhafte Produkte ist ein Rechtsakt, der von Unternehmen verlangt, dass sie für die Sicherheit ihrer Produkte verantwortlich sind. Der Vorschlag wartet derzeit auf die formale Genehmigung durch den Rat, bevor er in Kraft tritt; wir erwarten, dass dies noch in diesem Jahr geschieht. Er wird für alle Hersteller in der EU gelten, unabhängig von ihrer Grösse oder Branche, und unterstreicht die Bedeutung der Produktsicherheit in einer Vielzahl von Branchen – von Elektronik über intelligente Geräte und Software bis hin zu Produkten für die Automobilindustrie. Der Vorschlag wird zum Beispiel: 

  • digitale Fertigungsdateien und Software in den Geltungsbereich der Produkthaftung aufzunehmen
  • die Definition des Begriffs “Schaden” dahingehend ändern, dass er den Verlust oder die Beschädigung von Daten einschliesst
  • mehrere neue gesetzliche Vermutungen für die Beweislast bezüglich der Fehlerhaftigkeit von Produkten einführen

Der Cyber Resilience Act ist ein Verordnungsvorschlag, der sicherstellen soll, dass digitale Produkte und Dienstleistungen bestimmte Sicherheitsstandards erfüllen, bevor sie auf den Markt kommen. Der Text des Vorschlags wurde von den EU-Gesetzgebern vorläufig angenommen und muss noch vom Rat formell verabschiedet werden, bevor er in Kraft treten kann, was voraussichtlich im Laufe dieses Jahres geschehen wird.

Nach ihrem Inkrafttreten wird diese Verordnung für Produkte mit digitalen Elementen gelten, deren Nutzung eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk beinhaltet. Sie wird grundlegende Anforderungen an den Entwurf, die Entwicklung und die Produktion dieser Produkte sowie Verpflichtungen für die Wirtschaftsakteure in Bezug auf Cybersicherheit festlegen. Für ein Technologieunternehmen, das digitale Produkte herstellt oder anbietet, könnte dies bedeuten, dass es sichere Kodierungspraktiken einführt und regelmässige Sicherheitsprüfungen von Softwareprodukten durchführt.

Fintech und Blockchain: EU-Regelungen, die Fintech und Blockchain neu definieren 

In diesem letzten Abschnitt geht es um die finanziellen Rahmenbedingungen, die das Rückgrat des digitalen Sektors bilden. Wir beschäftigen uns mit der Einhaltung von Vorschriften, Sicherheit und Transparenz, die für den Erfolg von Fintechs und digitalen Finanzunternehmen unerlässlich sind.

Die Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) schafft die Voraussetzungen für operative Robustheit. Diese Verordnung gilt für alle Finanzunternehmen in der EU, einschliesslich Banken, Versicherungsgesellschaften und Wertpapierfirmen. Ihr Ziel ist es, einen einheitlichen Reifegrad in Bezug auf Cybersicherheit und betriebliche Widerstandsfähigkeit zu gewährleisten. DORA verlangt von den Unternehmen ein umfassendes Informations- und Kommunikationstechnologie (IKT)-Risikomanagement, das Folgendes umfasst:

  • Einführung von IKT-Systemen und -Instrumenten
  • kontinuierliche Ãœberwachung aller Quellen von IKT-Risiken, um abnormale Aktivitäten zu erkennen
  • Einführung von Richtlinien zur Geschäftskontinuität und Notfallplänen

DORA ist am 16. Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 gelten. 

Die Verordnung über Märkte für Kryptowerte (MiCA) klärt das regulatorische Umfeld für Krypto-Assets und betrifft Unternehmen, die Krypto-Assets ausgeben, öffentlich anbieten und zum Handel zulassen oder Dienstleistungen im Zusammenhang mit Krypto-Assets erbringen. Sie gilt auch für Unternehmen ausserhalb der EU, wenn sie in einem EU-Mitgliedstaat tätig werden wollen.

MiCA führt Transparenz- und Offenlegungsanforderungen für die Emission, das öffentliche Angebot und die Zulassung von Krypto-Assets zum Handel auf einer Handelsplattform für Krypto-Assets. Es sieht ausserdem Anforderungen für den Schutz der Kunden von Krypto-Asset-Dienstleistern und Massnahmen zur Verhinderung von Insidergeschäften, unrechtmässiger Offenlegung von Insiderinformationen und Marktmanipulation vor.

Der Vorschlag für eine Verordnung über einen Rahmen für den Zugang zu Finanzdaten (FiDA) befasst sich mit dem Bedarf an offenen Finanzdaten. Er wird derzeit vom Rat geprüft. Dieser Verordnungsvorschlag richtet sich an Finanzinstitute, Fintech-Unternehmen und andere Dienstleister, die im EU-Finanzsektor tätig sind. Er legt Regeln für den Zugang, die Weitergabe und die Nutzung bestimmter Kategorien von Kundendaten bei Finanzdienstleistungen sowie für die Zulassung und den Betrieb von Finanzinformationsdienstleistern fest. Zum Beispiel müssen unter FiDA:

  • Kundendaten ohne unangemessene Verzögerung und in Echtzeit zur Verfügung gestellt werden
  • Dateninhaber ihren Kunden ein Berechtigungs-Dashboard zur Verfügung stellen, damit sie die für den Datenaustausch erteilten Berechtigungen verwalten können
  • Berechtigungen reversibel und begrenzt sein

Der neue Vorschlag für eine überarbeitete Zahlungsdiensterichtlinie (PSD3) aktualisiert die Regeln für Zahlungsdienstleister und wird derzeit vom Rat bewertet, der seinen Standpunkt dazu vorbereiten muss. Diese Richtlinie zielt unter anderem darauf ab:

  • Betrug im Zahlungsverkehr zu bekämpfen und einzudämmen, indem Zahlungsdienstleister betrugsrelevante Informationen austauschen können
  • Verbraucherrechte zu verbessern, z. B. durch transparentere Informationen über Geldautomatengebühren und die Möglichkeit, Bargelddienstleistungen in Geschäften in Anspruch zu nehmen
  • Gleiche Wettbewerbsbedingungen für Banken und Nicht-Banken herzustellen, indem Nicht-Banken-Zahlungsdienstleistern der Zugang zu allen EU-Zahlungssystemen ermöglicht wird

Darüber hinaus hat die Europäische Kommission einen Entwurf für eine Verordnung über Zahlungsdienste im Binnenmarkt (PSR) ausgearbeitet, der Regeln für die Tätigkeit von Zahlungsdienstleistern enthält und einige Anforderungen an technische Standards für die Kundenauthentifizierung festlegt.

Fazit

Während wir uns durch die ständig ändernde Landschaft der EU-Vorschriften bewegen, ist es für Unternehmen im digitalen Sektor wichtig, informiert und proaktiv zu bleiben. Die neuen Rahmenregelungen – von MiCA bis zum Cyber Resilience Act – zeigen einen klaren Weg zu mehr Transparenz, Sicherheit und operativer Widerstandsfähigkeit. Diese Vorschriften sind nicht nur Anforderungen zur Einhaltung von Vorschriften, sondern auch eine Chance, eure Geschäftspraktiken zu verbessern, Vertrauen bei den Verbrauchern aufzubauen und euch einen Wettbewerbsvorteil zu verschaffen.

Um unter diesen neuen Regeln erfolgreich zu sein, müssen Unternehmen diese Vorschriften verstehen und in ihre Arbeit integrieren. Beginnt damit, herauszufinden, welche Vorschriften sich direkt auf eure Dienstleistungen und Produkte auswirken. Implementiert robuste Systeme für das Datenmanagement und die Cybersicherheit und überlegt, wie Änderungen in der Datenverwaltung neue Möglichkeiten für Innovationen und Serviceverbesserungen eröffnen können.

Denkt daran, dass es bei der Einhaltung der Vorschriften nicht nur darum geht, Strafen zu vermeiden, sondern auch darum, regulatorische Änderungen zu nutzen, um Innovation und Kundenvertrauen zu fördern. Zieht in Erwägung, euch von einem Experten beraten zu lassen, um diese Komplexität effizient und effektiv zu meistern.

Verwandt

Let’s Go!

Jetzt unverbindliches und kostenloses Erstgespräch buchen und erfahren, wie wir am besten bei der Erreichung eurer Unternehmensziele unterstützen können.

Oder alternativ eine E-mail an uns schreiben unter [email protected].

Kostenloses Gespräch buchen