Das neue Daten- und Cyber­si­cher­heits­recht der EU

Das neue Daten- und Cyber­si­cher­heits­recht der EU

Wenn es im Zusam­men­hang mit EU-Verordnungen und Richt­li­ni­en um Daten geht, wird in der Regel an Daten­schutz und die Datenschutz-Grundverordnung (DSGVO) gedacht. Dies ist wenig ver­wun­der­lich: Spä­tes­tens mit der Gel­tung der DSGVO ab dem 25. Mai 2018 sind daten­schutz­recht­li­che Fra­gen in den Fokus der brei­ten Öffent­lich­keit gelangt und zu einem zen­tra­len Compliance-Thema geworden.

Aus wirt­schaft­li­cher Sicht sind aber nicht nur die von der DSGVO geschütz­ten per­so­nen­be­zo­ge­nen Daten inter­es­sant: Daten ohne Per­so­nen­be­zug haben eine hohe wirt­schaft­li­che Rele­vanz, ins­be­son­de­re bei der Ent­wick­lung von neu­en Tech­no­lo­gien und inno­va­ti­ven Diens­ten. Im Umkehr­schluss zu den per­so­nen­be­zo­ge­nen Daten han­delt es sich bei Daten ohne Per­so­nen­be­zug um Daten, die sich nicht auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re leben­de Per­son bezie­hen. Dies sind bei­spiels­wei­se Daten zum War­tungs­be­darf von Maschi­nen, agg­re­gier­te und anony­mi­sier­te Daten im Kon­text von Big Data oder Daten im Zusam­men­hang mit der Prä­zi­si­ons­land­wirt­schaft zwecks Über­wa­chung und Opti­mie­rung des Ein­sat­zes von Pes­ti­zi­den und Wasser.

Dass die­se Daten für Unter­neh­men und staat­li­che Akteu­re einen gro­ßen wirt­schaft­li­chen Wert haben und Aus­tausch, Wei­ter­ver­wen­dung und Ver­ar­bei­tung die­ser Daten für tech­ni­sche Inno­va­tio­nen und die Digi­ta­li­sie­rung essen­zi­ell wich­tig sind, hat auch die Euro­päi­sche Kom­mis­si­on erkannt: Mit ins­ge­samt acht Rechts­ak­ten will sie das Daten­recht inner­halb der EU gestal­ten und zahl­rei­che neue Rege­lun­gen, bei­spiels­wei­se für den wirt­schaft­li­chen Aus­tausch von Daten, die Regu­lie­rung gro­ßer Online-Plattformen und den Ein­satz von Künst­li­cher Intel­li­genz schaffen.

Mit der immer grö­ße­ren wirt­schaft­li­chen Bedeu­tung von Daten und der fort­schrei­ten­den Ver­net­zung von Pro­duk­ten – Stich­wort: Inter­net of Things (IoT) – nimmt auch die Kri­mi­na­li­tät in die­sem Bereich zu. Nahe­zu jeden Tag wird von grö­ße­ren Cyber-Angriffen, dem Ein­satz von Ran­som­wa­re oder gele­ak­ten Daten­sät­zen berich­tet. Auch dies hat die Kom­mis­si­on erkannt: „Wenn alles ver­netzt ist, kann auch alles gehackt wer­den“, so die EU-Kommissionspräsidentin von der Ley­en in ihrer Rede zur Lage der Euro­päi­schen Uni­on im Sep­tem­ber 2021. Mit drei Rechts­ak­ten soll die EU daher gegen die zahl­rei­chen Bedro­hun­gen durch Cyber­kri­mi­na­li­tät gewapp­net werden.

Nach­fol­gend soll ein kur­zer Über­blick über die bereits gel­ten­den und die neu­en Rechts­ak­te, deren Zie­le und die jeweils geplan­ten Maß­nah­men gege­ben werden.

1. Die NIS-Richtlinie

Die Richt­li­nie zur “Gewäh­rung eines hohen gemein­sa­men Sicher­heits­ni­veaus von Netz- und Infor­ma­ti­ons­sys­te­men in der EU” (NIS) aus dem Jahr 2016 hat zum Ziel, einen ein­heit­li­chen Rechts­rah­men für Cyber­se­cu­ri­ty zu schaf­fen und zu einer dies­be­züg­lich stär­ke­ren Zusam­men­ar­beit der Mit­glied­staa­ten der EU zu führen.

Im Zuge die­ser im Jahr 2017 in Deutsch­land umge­setz­ten Richt­li­nie wur­den die Mit­glied­staa­ten zur Ein­füh­rung geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men und zur Siche­rung ihrer jewei­li­gen Netz­wer­ke und Infor­ma­ti­ons­sys­te­me ver­pflich­tet. Zugleich wur­den Min­dest­an­for­de­run­gen und Mel­de­pflich­ten bei Sicher­heits­vor­fäl­len für Betrei­ber wesent­li­cher Diens­te und Anbie­ter digi­ta­ler Diens­te ein­ge­führt. Die sich ins­be­son­de­re an die Sek­to­ren Finan­zen und Ver­si­che­rung, Gesund­heit, Trans­port und Ver­kehr, Ener­gie, Was­ser und Nah­rungs­mit­tel, aber auch an die digi­ta­le Infra­struk­tur rich­ten­de Richt­li­nie soll im Zuge der NIS 2.0 über­ar­bei­tet und an neue Her­aus­for­de­run­gen ange­passt werden.

2. Die Free Flow of Data Regu­la­ti­on (FFD)

Bereits im Novem­ber 2018 ver­ab­schie­det hat die­se Ver­ord­nung zum Ziel, den frei­en Ver­kehr nicht per­so­nen­be­zo­ge­ner Daten inner­halb der EU zu erleich­tern, um so die euro­päi­sche Daten­wirt­schaft und die Ent­wick­lung grenz­über­schrei­ten­der Tech­no­lo­gien zu fördern.

Eine der wich­tigs­ten Maß­nah­men der Ver­ord­nung ist der Abbau sog. Daten­lo­ka­li­sie­rungs­auf­la­gen. Dabei han­delt es sich um natio­na­le Bestim­mun­gen der Mit­glied­staa­ten, die ver­hin­dern, dass bestimm­te Daten ins Aus­land trans­fe­riert wer­den. Hin­ter­grund ist, dass natio­na­le Verwaltungs- und Jus­tiz­be­hör­den ein gro­ßes Inter­es­se dar­an haben, dass Daten inner­halb ihres Ein­fluss­be­reichs ver­blei­ben. Die Auf­la­gen ver­hin­dern im Gegen­zug jedoch den Daten­trans­fer und so auch bei­spiels­wei­se die Nut­zung der Cloud. Die­sen Kon­flikt hat die FFD mit­tels einer Regu­lie­rungs­kon­trol­le so gelöst, dass die natio­na­len Behör­den selbst dann Zugang zu den Daten behal­ten, wenn sich die­se in einem ande­ren Mit­glied­staat befinden.

3. Der Cyber­se­cu­ri­ty Act

Die­ser im Juni 2019 in Kraft getre­te­ne Rechts­akt soll dazu bei­tra­gen, dass IT-Produkte, ‑Diens­te und ‑Pro­zes­se bereits in ihrer Ent­wick­lung Anfor­de­run­gen an die Cyber­si­cher­heit berück­sich­ti­gen und umset­zen müssen.

Hier­zu wird die Rol­le der Agen­tur der Euro­päi­schen Uni­on für Cyber­si­cher­heit (ENISA) gestärkt und mit einem dau­er­haf­ten Man­dat aus­ge­stat­tet. Sie soll neben den Insti­tu­tio­nen der EU ins­be­son­de­re die Mit­glied­staa­ten bei der Ver­bes­se­rung der Cyber­si­cher­heit unter­stüt­zen. Dar­über hin­aus führt der Cyber­se­cu­ri­ty Act einen Euro­päi­schen Zer­ti­fi­zie­rungs­rah­men für Cyber­si­cher­heit ein, wel­cher IT-Produkte, ‑Diens­te und Pro­zes­se gemäß defi­nier­ter Sicher­heits­le­vel in “nied­rig”, “mit­tel” und “hoch” eingruppiert. 

4. Die Open Data and Public Sec­tor Infor­ma­ti­on Direc­ti­ve (OD-PSI)

Ziel die­ser eben­falls im Juni 2019 ver­ab­schie­de­ten Richt­li­nie ist die Ver­bes­se­rung der Ver­füg­bar­keit von Daten des öffent­li­chen Sek­tors und die Ein­füh­rung von euro­pa­wei­ten Vor­schrif­ten für die Wei­ter­ver­wen­dung die­ser Daten. Der öffent­li­che Sek­tor pro­du­ziert eine Viel­zahl von Daten, bei­spiels­wei­se meteo­ro­lo­gi­sche Daten, digi­ta­le Kar­ten, Sta­tis­ti­ken, Umwelt­in­for­ma­tio­nen und Mobi­li­täts­da­ten – ein Zugriff bzw. eine Ver­wen­dung die­ser Daten ist sowohl aus tech­ni­schen als auch aus recht­li­chen Grün­den aber oft nicht mög­lich.

Mit­tels der Ver­pflich­tung der Mit­glied­staa­ten, Doku­men­te wei­ter­ver­wend­bar zu machen, und der Ermitt­lung und Fest­le­gung von “hoch­wer­ti­gen Daten­sät­zen” soll die­ses Pro­blem beho­ben wer­den. Unter hoch­wer­ti­gen Daten­sät­zen ver­steht die EU-Kommission Daten, deren Wei­ter­ver­wen­dung mit wich­ti­gen Vor­tei­len für die Gesell­schaft, Umwelt und die Wirt­schaft ver­bun­den ist, ins­be­son­de­re wegen ihrer Eig­nung für die Schaf­fung von Mehr­wert­diens­ten, Anwen­dun­gen und Arbeits­plät­zen. Zugleich soll die Ver­wen­dung von Stan­dard­li­zen­zen for­ciert werden.

5. Die Digitale-Inhalte-Richtlinie

Wesent­li­ches Ziel der bereits ver­ab­schie­de­ten, aber noch nicht umge­setz­ten Richt­li­nie ist es, den Zugang zu digi­ta­len Inhal­ten und Dienst­leis­tun­gen für Ver­brau­cher zu ver­bes­sern und euro­pa­weit zu ver­ein­heit­li­chen. Hier­durch soll bei gleich­zei­ti­ger Gewähr­leis­tung eines hohen Ver­brau­cher­schutz­ni­veaus ein “ech­ter digi­ta­ler Bin­nen­markt” erreicht werden.

Im Fokus der Digitale-Inhalte-Richtlinie ste­hen Ver­brau­cher­ver­trä­ge, die die Bereit­stel­lung digi­ta­ler Inhal­te oder Dienst­leis­tun­gen zum Gegen­stand haben. So führt die Richt­li­nie unter ande­rem neue Regeln für die Bereit­stel­lung von digi­ta­len Pro­duk­ten und neue Ver­trags­ty­pen für das BGB ein und ver­pflich­tet zur Bereit­stel­lung von Updates. Auch die Män­gel­rech­te bei digi­ta­len Inhal­ten wer­den angepasst.

6. Der Data Gover­nan­ce Act (DGA)

Die­ser im Ent­wurfs­sta­di­um befind­li­che Rechts­akt zielt auf eine Erleich­te­rung des Aus­tauschs und der Ver­füg­bar­keit von Daten (insb. Agrar‑, Umwelt- und Gesund­heits­da­ten) zwi­schen Pri­vat­per­so­nen, Unter­neh­men und dem öffent­li­chen Sek­tor ab. For­schung, Inno­va­ti­on und die Erstel­lung von Sta­tis­ti­ken sol­len ver­bes­sert wer­den.

Gesche­hen soll dies durch die Bereit­stel­lung von Daten des öffent­li­chen Sek­tors zu Wei­ter­ver­wen­dung, der gemein­sa­men, ent­gelt­li­chen Daten­nut­zung durch Unter­neh­men und dem Ein­satz von neu­tra­len Daten­treu­hän­dern und Daten­mitt­lern im Fal­le der Nut­zung per­so­nen­be­zo­ge­ner Daten. Gleich­zei­tig soll auch eine Daten­nut­zung aus “altru­is­ti­schen Grün­den” ermög­licht wer­den. Hier­durch sol­len Ein­zel­per­so­nen oder Unter­neh­men frei­wil­lig Daten zum Woh­le der All­ge­mein­heit bereit­stel­len können.

7. Der Digi­tal Ser­vices Act (DSA)

Eben­falls im Ent­wurfs­sta­di­um befin­det sich der Digi­tal Ser­vices Act. Der DSA soll gute Bedin­gun­gen für die Bereit­stel­lung inno­va­ti­ver Diens­te im Bin­nen­markt schaf­fen und einen Bei­trag zur Online-Sicherheit leisten.

Im Visier die­ses Rechts­akts sind vor allem Anbie­ter von Ver­mitt­lungs­diens­ten (insb. Online-Plattformen wie sozia­le Medi­en und Markt­plät­ze), wel­che stär­ker gegen rechts­wid­ri­ge Inhal­te vor­ge­hen, eine Wider­spruchs­mög­lich­keit für Nut­zer schaf­fen und neben mehr Trans­pa­renz auch die Koope­ra­ti­on zu Behör­den ver­bes­sern sol­len. Zur Durch­set­zung soll ein Buß­geld von bis zu 6 % des Gesamt­jah­res­um­sat­zes ver­hängt wer­den können.

8. Der Digi­tal Mar­kets Act (DMA)

In die Zahl der Ent­wür­fe reiht sich auch der Digi­tal Mar­kets Act ein. Die Zie­le des DMA sind die Her­stel­lung eines höhe­ren Maßes an Wett­be­werb auf den digi­ta­len Märk­ten, die Ver­hin­de­rung des Miss­brauchs der Markt­macht durch gro­ße Unter­neh­men und die Ver­ein­fa­chung des Markt­ein­tritts für neue Unternehmen.

Dies soll unter ande­rem durch das Ver­bot der Kom­bi­na­ti­on von Daten von unter­schied­li­chen Online-Diensten gesche­hen. Danach dürf­ten bei­spiels­wei­se die zum Facebook-Konzern gehö­ren­den Unter­neh­men Face­book, Insta­gram und Whats­App kei­ne Daten mehr ver­knüp­fen und kom­bi­nie­ren. Zur Durch­set­zung soll hier sogar ein Buß­geld von bis zu 10 % des Gesamt­jah­res­um­sat­zes ver­hängt wer­den können.

9. Der Arti­fi­ci­al Intel­li­gence Act (AIA)

Mit der zuneh­men­den Bedeu­tung von Künst­li­cher Intel­li­genz (KI) für Unter­neh­men wer­den auch die Rufe nach einer recht­li­chen Regu­lie­rung die­ses Bereichs lau­ter. Die EU-Kommission will sich mit dem eben­falls noch im Ent­wurfs­sta­di­um befind­li­chen Arti­fi­ci­al Intel­li­gence Act die­ser Auf­ga­be stel­len und einen Rechts­rah­men für den Ein­satz von KI schaffen.

Hier­zu sol­len die KIs in Bezug auf ihre Risi­koklas­se ein­ge­ord­net wer­den: Je höher das Risi­ko, des­to umfang­rei­che­re Pflich­ten sol­len dem jewei­li­gen Unter­neh­men auf­er­legt wer­den – im Fal­le eines unan­nehm­ba­ren Risi­kos soll der Ein­satz sogar gänz­lich ver­bo­ten wer­den kön­nen. Dis­zi­pli­nie­rend soll auch hier ein Buß­geld von bis zu 6 % des Gesamt­jah­res­um­sat­zes wirken.

10. Der Data Act (DA)

Der sich noch in der Konsultations- und Abstim­mungs­pha­se befind­li­che Data Act hat zum Ziel, den Zugang zu Daten und deren Nut­zung zu erleich­tern. Zudem sol­len Daten­ban­ken recht­lich bes­ser geschützt werden.

Hier­zu sol­len Maß­nah­men, wel­che die gerech­te Auf­tei­lung des Nut­zens und des Wer­tes von Daten zwi­schen den Akteu­ren der Daten­wirt­schaft ermög­li­chen, getrof­fen werden.

11. Der Cyber Resi­li­ence Act

Ziel die­ses bis­her nur ange­kün­dig­ten Rechts­akts ist die Fest­le­gung ein­heit­li­cher Cyber­si­cher­heits­stan­dards für ver­netz­te Gerä­te. Im Zusam­men­spiel mit der NIS‑2.0‑Richtlinie soll so die kol­lek­ti­ve Wider­stands­fä­hig­keit der EU gegen Cyber­an­grif­fe erhöht und mit­tels einer Joint Cyber Unit ver­tei­digt werden.

Als Maß­nah­men sol­len unter ande­rem eine “Dok­trin für Cyber­an­grif­fe” ent­wi­ckelt und die Fähig­kei­ten zur Rück­ver­fol­gung von Angrif­fen aus­ge­baut werden.

Fazit

Die EU-Kommission hat die Bedeu­tung und den wirt­schaft­li­chen Wert von Daten erkannt. Mit einem umfang­rei­chen Maß­nah­men­pa­ket möch­te sie einen recht­li­chen Rah­men für das euro­päi­sche Daten- und Cyber­si­cher­heits­recht schaf­fen. Im Vor­der­grund ste­hen hier­bei neben dem Schutz vor allem der Aus­tausch und die Nutz­bar­keit der Daten.Inwieweit etwa­ige Kol­li­sio­nen mit dem Daten­schutz­recht und ins­be­son­de­re der DSGVO auf­tre­ten wer­den und wie dann gege­be­nen­falls in einem sol­chen Kon­flikt­fall zu ver­fah­ren ist, wird sich noch zei­gen müs­sen. Fest steht jedoch, dass Unter­neh­men sich bereits früh­zei­tig im Rah­men ihres Com­pli­ance Manage­ments mit den neu­en Rege­lun­gen befas­sen soll­ten, um nach dem Inkraft­tre­ten der neu­en Vor­ga­ben Ver­stö­ße zu ver­mei­den und schnell von neu­en Vor­zü­gen pro­fi­tie­ren zu können.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.