Die Feiertage sind wie im Flug vergangen, und nun hat bereits das neue Jahr begonnen – und mit ihm kamen zahlreiche Neuerungen rund um den verstärkt an Bedeutung gewinnenden Bereich Datenschutz und Digitales. Die wichtigsten Themen haben wir in gebotener Kürze zusammengefasst, so dass Sie auch dieses Jahr die anstehenden Herausforderungen im Blick haben.
„Trans-Atlantic Data Privacy Framework“
Der Datenaustausch mit US-Konzernen ist für die meisten Unternehmen kaum aus dem Alltag wegzudenken, allerdings ist er nach dem „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH; siehe hier) recht beschwerlich geworden. Denn nachdem der EuGH aufgrund zu weitreichender Überwachungsbefugnisse von US-Nachrichtendiensten sowie fehlender Rechtsschutzmöglichkeiten von EU-Bürgern den „EU-US Privacy Shield“ gekippt hat, müssen Unternehmen für US-Datentransfers ein angemessenes Datenschutzniveau selbst sicherstellen. Dies geschieht typischerweise mit Hilfe der von der Europäischen Kommission bereitgestellten Standarddatenschutzklauseln (siehe hier), welche von einer detaillierten – und nicht selten aufwendigen – Risikobeurteilung des konkreten Datentransfers („Transfer-Impact-Assessment“) flankiert sein müssen.
Damit könnte nun bald Schluss sein, denn EU und USA planen mit dem „Trans-Atlantic Data Privacy Framework“ (siehe hier) eine Neuauflage des Datenschutzabkommens und damit eine große Entlastung für Unternehmen. Im Oktober 2022 ist die US-Regierung bereits den ersten Schritt gegangen und hat mit einer Executive-Order (siehe hier) sowie flankierenden Maßnahmen versucht, die Kritikpunkte des EuGH umzusetzen, was den Weg zu einem Angemessenheitsbeschluss der EU-Kommission im Frühjahr 2023 freimachen soll. Vorgesehen sind etwa Beschränkungen für den Datenzugriff durch US-Geheimdienste auf zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maßnahmen sowie die Errichtung eines „Data-Protection-Review-Court“ (siehe hier), der über Beschwerden von Betroffenen entscheiden soll.
Für ein endgültiges Aufatmen ist es jedoch zu früh, denn ob das Abkommen dauerhaft bestehen wird, ist durchaus fraglich. Unter Datenschützern und Behördenvertretern werden die in der Executive-Order verfügten Maßnahmen als unzureichend angesehen. Dass das neue Abkommen, gegebenenfalls sogar relativ schnell, vor dem EuGH landen wird, gilt als nahezu sicher – und der Ausgang ist ungewiss. Aktuell bedeuten die Entwicklungen in jedem Fall eine Erleichterung für Unternehmen, denn die neuen Maßnahmen können im Rahmen des „Transfer-Impact-Assessment“ zugunsten einer Datenübermittlung berücksichtigt werden.
„Artificial Intelligence Act“
Am 21.04.2021 hat die Europäische Kommission den weltweit ersten Entwurf einer Verordnung zur Regulierung von künstlicher Intelligenz (KI), den „Artificial Intelligence Act“ („AI-Act“; siehe hier), veröffentlicht, ein Leuchtturmprojekt, das den schwierigen Spagat zwischen Gewährleistung europäischer Grundrechte und Förderung innovativer Technologien schaffen soll. Aktuell befindet sich der AI-Act im Gesetzgebungsverfahren, das sich bislang aufgrund der komplizierten Materie sowie der unterschiedlichen Interessen der EU-Mitgliedsstaaten erwartbar zäh gestaltet. Es zeichnet sich jedoch sowohl im Rat der Europäischen Union als auch im Europäischen Parlament ein Durchbruch ab – mit einem finalen Verordnungsentwurf kann wohl spätestens im Sommer 2023 gerechnet werden. Wie bereits die Datenschutz-Grundverordnung (DSGVO; siehe hier) könnte auch der AI-Act für viele Unternehmen – welche typischerweise bereits heute in irgendeiner Form KI einsetzen – nicht zuletzt wegen der flankierenden Gesetzgebungen zur Haftung für KI-Systeme (siehe hier) enorme Auswirkungen haben. Deshalb ist es durchaus lohnenswert, sich mit dem Thema bereits frühzeitig zu beschäftigen.
Der AI-Act verfolgt einen risikobasierten Ansatz und unterteilt KI ihrem potentiellen Risiko nach in die Kategorien „unannehmbares Risiko“, „hohes Risiko“, „geringes Risiko“ und „minimales Risiko“. KI mit unannehmbarem Risiko, worunter etwa Systeme fallen, die menschliches Verhalten manipulieren oder die Vertrauenswürdigkeit von Personen auf Grundlage ihres Sozialverhaltens bewerten („Social Scoring“), wird verboten. KI mit hohem Risiko, das betrifft etwa Systeme, die in grundrechtssensiblen Bereichen Entscheidungen über Menschen treffen und in Anlagen zum Verordnungsentwurf konkretisiert werden, muss für ihren Einsatz strenge Voraussetzungen erfüllen. KI mit geringem und minimalem Risiko, das betrifft beispielsweise Chatbots oder Spamfilter, soll dagegen weitgehend unreguliert bleiben und allenfalls gewisse Transparenzpflichten erfüllen müssen, womit die Wettbewerbsfähigkeit in der EU erhalten bleiben soll. Zur Durchsetzung der Bestimmungen des AI-Act ist ein dreistufiges Sanktionskonzept mit hohen Bußgeldern (bis zu 30 Millionen Euro oder 6% des weltweiten Jahresumsatzes) vorgesehen.
„Digital Markets Act“ und „Digital Services Act“
Ab dem 02.05.2023 wird das Gesetz über digitale Märkte, der „Digital Markets Act“ (siehe hier), gelten. Er soll das Wettbewerbsrecht um einen Verhaltenskodex für große Digitalunternehmen, sogenannte Gatekeeper, ergänzen und so die Macht marktbeherrschender Digitalkonzerne beschränken. Für einige wenige Onlineplattformen wie Suchmaschinen oder soziale Netzwerke gelten künftig strengere Regeln, sie dürfen beispielsweise eigene Angebote nicht mehr bevorzugt behandeln. Bei (wiederholten) Verstößen drohen Bußgelder in Höhe von bis zu 20% des weltweiten Jahresumsatzes bis hin zur Ultima Ratio der Zerschlagung. Ob der „Digital Markets Act“ halten wird, was er verspricht, und die Kräfteverhältnisse auf den digitalen Märkten zugunsten kleinerer Unternehmen verschieben kann, wird stark von seiner Durchsetzung abhängen.
Das am 16.11.2022 in Kraft getretene Gesetz über digitale Dienste, der „Digital Services Act“ (siehe hier), soll die inzwischen 20 Jahre alte E-Commerce-Richtlinie aktualisieren und damit den für digitale Dienste geltenden Rechtsrahmen an den Stand der Digitalisierung anpassen. Primäre Ziele sind das Schaffen eines sicheren, vorhersehbaren und vertrauenswürdigen digitalen Umfelds frei von rechtswidrigen Inhalten sowie die Erweiterung der Transparenz- und Rechenschaftspflichten für digitale Vermittlungsdienste. Dazu werden mittels eines abgestuften Regelungssystems für Onlineplattformen verschiedene Sorgfaltspflichten normiert – die teilweise mit einem erheblichen organisatorischen, technischen und rechtlichen Aufwand verbunden sein können. Ein zentraler Aspekt dabei ist die Pflicht von Diensteanbietern, rechtswidrige Inhalte schnell und effizient zu entfernen. Bereits im Februar 2023 müssen die Diensteanbieter ihre Nutzerzahlen melden. Da die Kommission bisher nicht festgelegt hat, wie diese zu zählen sind, bestehen aber noch rechtliche Unklarheiten.
Wichtige Entscheidungen des EuGH
Für wichtige Neuerungen in Sachen Datenschutz könnte nicht nur der Gesetzgeber, sondern auch der EuGH sorgen. Denn insbesondere zu den für Unternehmen relevanten Themen Schadensersatz und Bußgelder steht 2023 eine ganze Reihe von Entscheidungen an, die die bisherige DSGVO-Bußgeldpraxis grundlegend verändern könnten. Darunter fällt etwa die höchst relevante Frage, ob ein Bußgeld nach der DSGVO gegen ein Unternehmen als solches verhängt werden kann (siehe hier), ohne dass ein konkreter Vorwurf gegen eine natürliche Person festgestellt wurde – von Kritikern auch als „Unternehmensstrafrecht durch die Hintertür“ bezeichnet. Auch die Fragen, wie die Höhe eines immateriellen Schadensersatzes für einen DSGVO-Verstoß zu bemessen ist, ob es dort eine Bagatellgrenze (siehe hier) geben sollte und ob die Darlegung eines konkreten Schadens (siehe hier) erforderlich ist, liegen dem EuGH zur Entscheidung vor.
Verbandsklagengesetz
Ist 2023 eine Welle von Sammelklagen bei Datenschutzverstößen zu erwarten? Gut möglich, denn die EU-Verbandsklagenrichtlinie (siehe hier), die bis Ende 2022 in deutsches Recht umgesetzt werden musste, eröffnet Verbrauchern nun die Möglichkeit, vertreten durch Verbraucherverbände, auch über sogenannte Abhilfeklagen Schadensersatz zu fordern.
„Data Governance Act“
Der ab 24.09.2023 geltende „Data Governance Act“ (siehe hier) ist Teil der europäischen Datenstrategie und zielt darauf ab, die Verfügbarkeit von Daten und die Mechanismen für die gemeinsame Datennutzung in der EU zu fördern, um das Vertrauen von Privatpersonen und Unternehmen in den freiwilligen Datenaustausch zu stärken. Dafür normiert er unter anderem Bedingungen für die Weiterverwendung von bestimmten Daten im Besitz öffentlicher Stellen, einen Aufsichtsrahmen für die Erbringung von Diensten durch sogenannte Datenintermediäre und die Einrichtung eines Europäischen Dateninnovationsrats.
Hinweisgeberschutzgesetz
Das voraussichtlich Anfang 2023 in Kraft tretende Hinweisgeberschutzgesetz (siehe hier) regelt den Schutz von sogenannten Whistleblowern, also Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Gesetzesverstöße erlangt haben und diese an interne oder externe Meldestellen weitergeben. Es setzt mit gut einem Jahr Verspätung die als Compliancemeilenstein geltende EU-Hinweisgeberrichtlinie (siehe hier) um und verbietet diesen Personen gegenüber jegliche Repressalien.
Beschäftigtendatenschutzgesetz
Kommt es oder kommt es nicht? Auch im Jahr 2023 wird uns die Frage begleiten, ob das seit über einem Jahrzehnt erwartete und auch im aktuellen Koalitionsvertrag (siehe hier) vorgesehene Beschäftigtendatenschutzgesetz verabschiedet werden wird. Die Datenschutzbehörden sprechen sich jedenfalls dafür aus (siehe hier), genauso wie der Deutsche Gewerkschaftsbund (siehe hier) und der 2022 veröffentlichte Bericht des unabhängigen, interdisziplinären Beirats zum Beschäftigtendatenschutz (siehe hier). Auch bei Arbeitgebern wird eine Regelung, die Rechtsklarheit für Arbeitgeber und Beschäftigte schaffen könnte, im Grundsatz für sinnvoll erachtet, obgleich in Detailfragen Streit bestehen dürfte.
