Die „EU-Buchstabensuppe“ der EU-Datenstrategie

DA, AI-Act, DSA, DMA, DGA, EHDS und DSGVO sind (ein Großteil der) „EU-Buchstabensuppe“ an Rechtsakten, mit welchen die EU-Datenstrategie umgesetzt werden soll. Die „EU-Buchstabensuppe“ besteht in Summe aus vielen hunderten Seiten an Erwägungen und Rechtstexten – derzeit in unterschiedlichem Reifegrad: während die Datenschutz-Grundverordnung (DSGVO), der Digital Service Act (DSA), der Digital Markets Act (DMA) und der Data Governance Act (DGA) bereits in Kraft sind und der Data Act (DA) und der AI-Act gerade in Verabschiedung sind, liegt für den European Health Data Space weiterhin nur ein Entwurf vor. Hier eine Zusammenfassung der neuen Rechtsakte von GEISTWERT – mit Ausnahme der schon länger in Kraft stehenden DSGVO:

Übergeordnet hat die „EU-Buchstabensuppe“ – begleitet von weiteren Bestimmungen, wie etwa zum Schutz der Netz- und Infrastruktur-Sicherheit – die Förderung des Zugangs zu Daten, des fairen Wettbewerbs im Zusammenhang mit Daten und des Vertrauens in die Verarbeitung von Daten bzw den Datenschutz im weiteren Sinne vor Augen. Je nach konkretem Regelungsbereich setzen die Rechtsakte diese Ziele unterschiedlich um und ergänzen diese mit „Spezialzielen“:

(Entwurf des) Data Act (DA)

[Link zum Text]

Der DA hat primär den Zugang und die Nutzung von Daten, die bei Nutzung eines Gerätes oder verbundenen Dienstes erzeugt werden, zum Gegenstand. Nach der Definition des DA sind Daten jede digitale Darstellung von Handlungen, Tatsachen, Informationen, und dies unabhängig vom Personenbezug. Somit soll der DA die Bestimmungen zur (dort: personenbezogenen) Datenportabilität der DSGVO (Art 20 DSGVO) ergänzen. Der DA zielt diesbezüglich auf Hersteller von vernetzten Produkten, Erbringer von damit zusammenhängenden Dienstleistungen, aber auch Nutzer, Dateninhaber, Datenempfänger, Anbieter von Datenverarbeitungsdiensten, öffentliche Einrichtungen und Betreiber von Datenräumen ab. Es sollen Hindernisse für die gemeinsame Nutzung von Daten über gemeinsame Datenräume hinweg und zwischen diversen Produkten beseitigt werden, wobei Datenräume („data spaces“, also etwa Cloud-Angebote), Datenverarbeitungsdienste und intelligente Verträge („smart contracts“) im Fokus des DA stehen.

Der DA will somit den Zugang zu und die Nutzung von Industriedaten und Internet-of-Things-Anwendungen regeln. Der DA kann dieses Regelungsziel aber nur beschränkt erfüllen, weil zwischen Herstellern, Zur-Verfügung-Stellern bzw Dienstleistern und Kunden komplexe Daten-, daher durchaus widersprechende Interessens-Lagen und Rechtsakte vorliegen. Insbesondere ist die Privatsphäre der Nutzer (in Österreich „jedermann“ und daher auch juristische Personen (§ 1 DSG)) und somit die DSGVO zu beachten.

„Herzstück“ des DA ist, dass den Nutzern von vernetzten Geräten und damit zusammenhängenden Diensten, die Daten erzeugen, umfangreiche Rechte auf Datennutzung und Datenzugriff eingeräumt werden soll. Das soll direkt auf dem Produkt oder über Schnittstellen, und dies kostenlos und gegebenenfalls in Echtzeit in einem gängigen, maschinenlesbaren Format erfolgen. Weiters soll es den Nutzern möglich sein, die Daten Dritten zur Verfügung zu stellen bzw stellen zu lassen. Aufgrund der DSGVO mehr klarstellend als regelnd, sieht der DA vor, dass wenn der Nutzer nicht selbst die betroffene Person der (personenbezogenen) Daten ist, die Einwilligung der betroffenen Personen vorliegen muss. Die Datenportabilität nach dem DA soll aber – anders als bei der DSGVO – ohne Rücksicht auf die technische Machbarkeit erfolgen müssen.

Der Dateninhaber kann die Datenherausgabe an Dritte an Bedinungen knüpfen bzw eine Gegenleistung verlangen; es müssen jedoch „FRAND“-Bedingungen (fair, reasonable and non-discriminatory) eingehalten werden (zu weiteren Vorgaben zu Vereinbarungen siehe gleich unten).

Die Hersteller bzw Vertragspartner des Nutzers sollen verpflichtet werden, die Produkte und Dienstleistungen so aufzusetzen, dass diese einfach, sicher und direkt den Zugang zu den Daten ermöglichen („Data Accessibility by Design“). Es sollen Verpflichtungen zur Information über die verarbeiteten Daten, die Zugriffsmöglichkeiten auf die Daten und die Weitergabemöglichkeiten der Daten geben. Die „Datenräume“ sollen einer Reihe von Interoperabilitätsanforderungen unterstellt werden.

Anderseits sollen die Hersteller bzw die Vertragspartner des Nutzers verpflichtet werden, technische Schutzmaßnahmen gegen unerlaubten Datenzugriff zu implementieren. Damit soll der Datenschutz über die personenbezogenen Daten hinaus sichergestellt werden.

Der DA soll auch Schutz vor „mißbräuchlichen“ Vertragsklauseln bringen, etwa hinsichtlich des Ausschlusses bzw der Beschränkung von Haftung, Rechtsbehelfen, verhältnismäßiger Datennutzung bzw hinsichtlich zu kurzer Kündigungsfristen.

Der DA soll – wie übrigens auch der DGA (siehe unten) – Pflichten für die internationale Übertragung von (auch anonymen) Daten in Drittstaaten bringen, welche den Regeln der DSGVO nachgebildet sind. Damit könnten sich die praktischen Schwierigkeiten des Internationalen (personenbezogenen) Datentransfers – siehe EuGH-Max-Schrems-Rechtsprechung – auch auf den nicht-personenbezogenen (so es einen solchen überhaupt gibt) Datentransfer „ausweiten“.

Für Streitigkeiten im Regelungsbereich des DA soll es eine eigene Streitbeilegungsstelle geben. Hinsichtlich der Rechtswidrigkeit der Datennutzung sollen nach dem DA die nationalen Datenschutz-Aufsichtsbehörden zuständig sein, die Strafen bis zu 4 % des weltweiten Konzernumsatzes des Vorjahres verhängen können.

Wohl die Covid-19-Pandemie und „Bewegungsdaten“ vor Augen habend, enthält der DA auch Regelungen für den Fall von „Notständen“: öffentliche Stellen sollen von Unternehmen „deren“ Daten herausverlangen können, wenn die Daten nicht auf dem Markt zu Marktpreisen erhältlich sind und diese unverzüglich erforderlich sind.

(Entwurf des) Artificial Intelligence-Act (AI-Act)

[Link zum Text]

Angesichts der medienwirksamen und tatsächlich beeindruckenden aktuellen technischen Entwicklung im Bereich der „Künstlichen Intelligenz“ ist der AI-Act innerhalb der „EU-Buchstabensuppe“ besonders umstritten und wird auch zwischen EU-Kommission und EU-Parlament besonders intensiv diskutiert. Kritisiert wird insbesondere die wohl zu weit gehende Definition von KI-Systemen, sodass der Anwendungsbereich ausufernd sein könnte. Der Entwurf des AI-Act lässt andererseits viele Aspekte der Entwicklung und Nutzung von KI-Systemen ungeregelt, weil er sich im Wesentlichen auf Qualitätssicherheitsvorschriften beschränkt. Weiterhin unklar bleibt nach dem AI-Act derzeit, wie die Haftung für KI-Systeme zu verorten ist, insbesondere ob der AI-Act sich diesbezüglich als Ergänzung zum Produkthaftungsregime versteht. Wenn das der Fall ist – wovon GEISTWERT ausgeht – bringt der AI-Act ein (grundsätzlich) verschuldensunabhängiges und vertraglichen Einschränkungen nicht zugängliches Haftungsregime der Hersteller bzw Importeure/ Anbieter. Das könnte auch erklären, warum der AI-Act keine besonderen Rechtsschutzinstrumente für Betroffene vorsieht. Im personenbezogenen Bereich kommen auch ohnehin die DSGVO-Instrumente zur Anwendung.

Allgemein soll der AI-Act einerseits innovationsfördernde Maßnahmen für künstliche Intelligenz (KI) und andererseits Verbots- und Produktsicherheitsvorschriften für KI bringen. Bei Zweiterem verfolgt der AI-Act einen risikobasierten Ansatz, wonach je nach Verwenungszweck und Risiko, das mit dem KI-System verbunden ist, besondere Regeln gelten; das kann bis zum Verbot des KI-Systems reichen, etwa im Fall von Social Scoring. Es soll auch Bestimmungen zu „KI mit allgemeinem Verwendungszweck“ geben, die KI wie Large Language Models (zB ChatGPT) und dergleichen, die keine eindeutige Zweckbestimmung haben, zu regeln.

Die Definition eines KI-Systems und damit der Anwendungsbereich des AI-Act erscheint sehr (und wohl zu) breit. Die Regelungen sollen innerhalb der KI-Systeme je nach Risiko unterschiedlich sein: Für Hochrisiko-KI-Systeme, also zum Beispiel Systeme, die für die Strafverfolgung oder für die Rechtspflege und demokratische Prozesse eingesetzt werden sollen, sollen umfassende „Leitplanken“ eingeführt werden: bereits bei der Entwicklung sollen etwa Kriterien für Trainings-, Validierungs- und Testdatensätze die Qualität des Systems sicherstellen. Andererseits sollen nach dem AI-Act „KI-Reallabore“ bzw „AI-Regulatory Sandboxes“ möglich sein und Kleinanbietern besondere Hilfestellung an die Hand gegeben werden.

Zur Überprüfungsmöglichkeit der Qualitätssicherung soll es nach dem AI-Act umfassende Aufzeichnungspflichten der Hersteller bzw Anbieter geben. Eine Informationspflicht der Anbieter gegenüber den Nutzern – einer „Gebrauchsanweisung“ für das KI-System gleichkommend – soll die Anwendungssicherheit gewährleisten. Zusätzlich soll eine „Beaufsichtigung durch natürliche Personen“ den laufenden Betrieb der KI-Systeme absichern.

Neben den Herstellern bzw Anbietern von KI-Systemen soll der AI-Act auch die Nutzer der KI-Systeme in die Pflicht nehmen: diese müssen die „Gebrauchsanweisung“ einhalten und in bestimmten Fällen den Anbieter der KI-Systeme kontaktieren und Nutzungsprotokolle erstellen und aufbewahren.

Wie in den neueren EU-Regelungen allgemein üblich, setzt auch der AI-Act verstärkt auf Transparenzpflichten, um den Marktteilnehmern informiertes Handeln zu ermöglichen: Menschen, die mit KI-Systemen interagieren sollen, sollen umfassend informiert werden, insbesondere darüber, dass sie es mit einer „Künstlichen Intelligenz“ zu tun haben.

Nationale Aufsichtsbehörden sollen weitreichende Sanktionen verhängen können, wobei hinsichtlich deren Höhe noch Dissens zwischen EU-Kommission und EU-Parlament zu bestehen scheint.

Digital Services Act (DSA)

[Link zum Text]

Der DSA richtet sich an „Vermittlungsdienste“, also Access-, Caching- und Hosting-Dienste.

Herz des DSA ist die Novellierung der Haftungsprivilegien der Anbieter von Vermittlungsdiensten, wie sie derzeit in der E-Commerce-Richtlinie bzw im österreichischen ECG geregelt sind.

Den Haftungsprivilegien werden nunmehr besondere Pflichten gegenübergestellt. Die Pflichten divergieren einerseits je nach Dienst und nach Größe des Diensteanbieters. Sehr große Online-Plattformen und sehr große Online-Suchmaschinen haben nach dem DSA einen umfassenden Pflichtenkatalog zu erfüllen.

Der DSA führt auch zu neuen Pflichten für alle Vermittlungsdienste, etwa eine Kontaktstelle für Behörden und Nutzer zur Verfügung zu stellen. Ferner müssen fast alle Vermittlungsdienste (ausgenommen sind Kleinst- und Kleinunternehmer) einen Transparenzbericht veröffentlichen. Etwaige Beschränkungen und Moderation von Inhalten müssen erklärt werden. Hosting-Dienste müssen zudem ein Melde- und Abhilfeverfahren für rechtswidrige Inhalte zur Verfügung stellen. Online-Plattformen brauchen darüber hinaus ein internes Beschwerdemanagementsystem.

Da die Haftungsprivilegien somit geringer werden, befürchten Kritiker durch den DSA ein „Overblocking“, also ein vorschnelles Blockieren bzw Löschen von User-Inhalten.

Der DSA verbietet nunmehr ausdrücklich Dark-Patterns und führt auch neue Kennzeichnungs- und Informationspflichten für Werbung auf Online-Plattformen ein. Es ist – wie schon nach dem bestehenden Mediengesetz in Österreich – Werbung als solche zu kennzeichnen. Neu kommt hinzu, dass klar sein muss, für wen sowie auf wessen Rechnung und auf Basis welcher Parameter die Werbung angezeigt wird.

Die DSVO ergänzend, verbietet der DSA Profiling bei Kindern und das Profiling mit sensiblen Daten ganz allgemein.

Sehr große Online-Plattformen und sehr große Online-Suchmaschinen werden von der Europäischen Kommission als solche benannt: derzeit 17 sehr große Online-Plattformen (ua Amazon Store, Apple AppsStore, Booking.com, Facebook, Instagram, LinkedIn, TikTok, Twitter und mehrere Google-Dienste) und zwei sehr große Online-Suchmaschinen (Bing und Google Search), die jeweils über 45 Millionen aktive monatliche User haben. Diese Vermittlungsdienste müssen über die allgemeinen Pflichten und die Pflichten von Hosting-Diensteanbietern sowie Online-Plattformen hinaus weitere Pflichten erfüllen. So müssen sie eine Risikobewertung vornehmen, eine Compliance-Abteilung einrichten und sich über eine Aufsichtsgebühr an den Kosten der mit der Umsetzung des DSA verbundenen Aufsicht beteiligen.

In Österreich gibt es seit dem 01.01.2021 das Kommunikationsplattformengesetz (KoPlG). Diejenigen Regelungen des DSA, die sich mit dem KoPlG überschneiden, machen die Regelungen im KoPlG obsolet. Inwiefern der Gesetzgeber hier tätig werden wird, bleibt abzuwarten.

(Entwurf zum) European Health Data Space (EHDS)

[Link zum Text]

Der EHDS soll Aspekte des „gemeinsamen Europäischen Datenraums“ im Rahmen der „EU-Buchstabensuppe“ regeln. Der EHDS zielt darauf ab, dass es eine bessere Primär- und Sekundärnutzung von elektronisch vorhandenen Gesundheitsdaten von Unionsbürgern und von Drittstaatsangehörigen mit Wohnsitz in der EU geben soll. Mit „MyHealth@EU“ und „HealthData@EU“ sollen dafür grenzüberschreitende Infrastrukturen geschaffen werden. Für diese Nutzungsmöglichkeit bzw auch ergänzend sind Regelungen für Anbieter von Systemen im Zusammenhang mit elektronischen Patientenakten („EHR-Systeme“) vorgesehen.

Für die Primärnutzung („MyHealth@EU“) soll es eine grenzüberschreitende elektronische Nutzungsmöglichkeit von Patientendaten geben. Die betroffenen Personen sollen ein umfassendes Zugriffsrecht, ein Recht auf eine elektronische Kopie und auch die Möglichkeit zur Eingabe eigener Daten haben. Angehörige der Gesundheitsberufe sollen nach dem EHDS einen Zugriff auf elektronische Gesundheitsdaten erhalten können. Der EHDS sieht vor, dass unter Umständen Gesundheitsdienstleister zur elektronischen Registrierung von Gesundheitsdaten verpflichtet werden können. Andernfalls sollen die Angehörigen der Gesundheitsberufe ausschließlich im Fall der ohnehin stattfindenden elektronischen Verarbeitung von Gesundheitsdaten – was aber praktisch sowieso die Regel ist – diese systematisch in einem elektronischen Format in einem EHR-System registrieren. Unter die Aufzeichnungspflicht fallen etwa Patientenkurzakten, elektronische Verschreibungen, medizinische Aufnahmen bzw Bildbefunde und Laborergebnisse.

Nach dem EHDS soll auch die Sekundärnutzung elektronischer Gesundheitsdaten („HealthData@EU“) geregelt und gefördert werden. Es sollen elektronische Gesundheitsdaten in verschiedenen Bereichen, wie insbesondere im Forschungsbereich oder auch zum KI-Training, weiterverwendet werden können. Soweit in diesem Zusammenhang von den Öffnungsklauseln der DSGVO Gebrauch gemacht wurde, wie in Österreich durch den § 7 DSG bzw durch das ForschungsorganisationsG (FOG), wird im Detail zu prüfen sein, welche Änderungen der EHDS überhaupt bringen wird. Patienten sollen nach dem EHDS jedenfalls keine Möglichkeit haben, auszuoptieren.

Unter Umständen werden aber (nicht-)bestehende Kompetenzen durch den EHDS geändet: dieser sieht ein antragsgebundenes Verfahren vor, bei dem eine „Zugangsstelle für Gesundheitsdaten“ eine „Datengenehmigung“ erteilt und dann in weiterer Folge die elektronischen Gesundheitsdaten vom Dateninhaber erhält und dem Antragsteller darauf Zugriff gewährt.

Digital Markets Act (DMA)

[Link zum Text]

Der DMA zielt auf die Fairness von „Gatekeepern“, welche „zentrale Plattformdienste“ betreiben, ab. Regelungsadressaten des DMA sind zentrale Plattformdienste, wie etwa Online-Vermittlungsdienste, Online-Suchmaschinen, Online-Dienste, soziale Netzwerke, Video-Sharing-Plattformdienste, nummernunabhängige interpersonelle Kommunikationsdienste, Betriebssysteme, Webbrowser, virtuelle Assistenten, Cloud-Computing-Dienste und Online-Werbedienste. Zum Gatekeeper werden Unternehmen, die einen erheblichen Einfluss auf den Binnenmarkt, das heißt EUR 7,5 Mrd Umsatz in den vergangenen drei Jahren im EWR oder eine Marktkapitalisierung bzw einen Marktwert von EUR 75 Mrd und Tätigkeit in zumindest drei EU-Staaten haben. Weiters müssen sie einen zentralen Plattformdienst bereitstellen, der gewerblichen Nutzern als wichtiges Zugangstor zu Endnutzern dient.

Diese Gatekeeper treffen in a nutshell folgende Pflichten:

  • Es gelten Verbote der Datenzusammenführung oder Datenverknüpfung personenbezogener Daten von Endnutzern mit anderen Diensten des Gatekeepers oder mit anderen Plattformen.
  • Es ist verboten, den Endnutzer automatisch bei anderen Diensten des Gatekeepers anzumelden, außer es wurde eine DSGVO-konforme Einwilligung von den Endnutzern abgegeben.
  • Endnutzer müssen unter anderem Zugang zu Services gewerblicher Nutzer der Plattformen erhalten.
  • Es darf keine technische Beschränkung hinsichtlich der User-Software – insbesondere Apps aus „fremden“ App-Stores – geben.
  • Den Endnutzern ist ein Zugang zu den von ihnen erzeugten Daten zu gewähren.
  • Auch gewerblichen Nutzern ist in Echtzeit Zugang zu Daten zu gewähren, und zwar ausdrücklich auch zu Daten von Endnutzern, wenn die Endnutzer dem eingewilligt haben.
  • Dadurch bzw ergänzend soll die Interoperabilität zwischen den Diensten und damit die Mobilität der Nutzer verpflichtend werden.

Der volle Katalog aller Pflichten der Gatekeeper ist lange, und die Europäische Kommission hat zahlreiche Möglichkeiten, etwa durch Marktuntersuchungen, die Einhaltung derselben zu kontrollieren.

Data Governance Act (DGA)

[Link zum Text]

Das Ziel des DGA ist die Förderung des Teilens von Daten und die Steigerung der Innovationskraft in der EU durch die Erhöhung der allgemeinen Verfügbarkeit von Daten für die Wirtschaft und Wissenschaft und die Schaffung eines EU-Datenmarkts und EU-Datenraums. Der DGA gilt sowohl für personenbezogene Daten als auch für nicht-personenbezogene Daten. Der DGA soll die Weiterverwendung von bestimmten Datenkategorien, die im Besitz öffentlicher Stellen sind, innerhalb der EU regeln. Dafür soll ein Anmelde- und Aufsichtsrahmen für Datenvermittlungsdienste geschaffen werden. Weiters führt der DGA einen Europäischen Dateninnovationsrat ein. Der DGA sieht auch die Möglichkeit der freiwilligen Eintragung von Einrichtungen in Register vor, die für altruistische Zwecke Daten erheben und verarbeiten (Stichwort: „Datenspenden“). Der DGA regelt somit – in Ergänzung zur PSI-RL – die Weiterverwendung von Daten öffentlicher Stellen, die geschützt sind (und daher nicht von der PSI-RL erfasst sind), nämlich Daten, die (i) Geschäfts- und Betriebsgeheimnissen, (ii) statistischer Geheimhaltung oder (iii) geistigem Eigentum Dritter unterliegen, sowie (iv) personenbezogenen Daten. Bei der Weiterverwendung dieser geschützten Daten soll nach dem DGA die Erhaltung des Schutzcharakters sichergestellt werden, sodass DSGVO, e-Privacy-RL, aber auch nationale Bestimmungen, wie DSG, datenschutzrechtliche Bestimmungen im TKG usw, Vorrang gegenüber der Weiterverwendung gemäß DGA haben.

Wie schon die PSI-RL enthält auch der DGA keine Verpflichtung für öffentliche Stellen, Daten zur Weiterverwendung zur Verfügung zu stellen.