Das neue Daten- und Cybersicherheitsrecht der EU
Wenn es im Zusammenhang mit EU-Verordnungen und Richtlinien um Daten geht, wird in der Regel an Datenschutz und die Datenschutz-Grundverordnung (DSGVO) gedacht. Dies ist wenig verwunderlich: Spätestens mit der Geltung der DSGVO ab dem 25. Mai 2018 sind datenschutzrechtliche Fragen in den Fokus der breiten Öffentlichkeit gelangt und zu einem zentralen Compliance-Thema geworden.
Aus wirtschaftlicher Sicht sind aber nicht nur die von der DSGVO geschützten personenbezogenen Daten interessant: Daten ohne Personenbezug haben eine hohe wirtschaftliche Relevanz, insbesondere bei der Entwicklung von neuen Technologien und innovativen Diensten. Im Umkehrschluss zu den personenbezogenen Daten handelt es sich bei Daten ohne Personenbezug um Daten, die sich nicht auf eine identifizierte oder identifizierbare lebende Person beziehen. Dies sind beispielsweise Daten zum Wartungsbedarf von Maschinen, aggregierte und anonymisierte Daten im Kontext von Big Data oder Daten im Zusammenhang mit der Präzisionslandwirtschaft zwecks Überwachung und Optimierung des Einsatzes von Pestiziden und Wasser.
Dass diese Daten für Unternehmen und staatliche Akteure einen großen wirtschaftlichen Wert haben und Austausch, Weiterverwendung und Verarbeitung dieser Daten für technische Innovationen und die Digitalisierung essenziell wichtig sind, hat auch die Europäische Kommission erkannt: Mit insgesamt acht Rechtsakten will sie das Datenrecht innerhalb der EU gestalten und zahlreiche neue Regelungen, beispielsweise für den wirtschaftlichen Austausch von Daten, die Regulierung großer Online-Plattformen und den Einsatz von Künstlicher Intelligenz schaffen.
Mit der immer größeren wirtschaftlichen Bedeutung von Daten und der fortschreitenden Vernetzung von Produkten – Stichwort: Internet of Things (IoT) – nimmt auch die Kriminalität in diesem Bereich zu. Nahezu jeden Tag wird von größeren Cyber-Angriffen, dem Einsatz von Ransomware oder geleakten Datensätzen berichtet. Auch dies hat die Kommission erkannt: „Wenn alles vernetzt ist, kann auch alles gehackt werden“, so die EU-Kommissionspräsidentin von der Leyen in ihrer Rede zur Lage der Europäischen Union im September 2021. Mit drei Rechtsakten soll die EU daher gegen die zahlreichen Bedrohungen durch Cyberkriminalität gewappnet werden.
Nachfolgend soll ein kurzer Überblick über die bereits geltenden und die neuen Rechtsakte, deren Ziele und die jeweils geplanten Maßnahmen gegeben werden.
1. Die NIS-Richtlinie
Die Richtlinie zur “Gewährung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU” (NIS) aus dem Jahr 2016 hat zum Ziel, einen einheitlichen Rechtsrahmen für Cybersecurity zu schaffen und zu einer diesbezüglich stärkeren Zusammenarbeit der Mitgliedstaaten der EU zu führen.
Im Zuge dieser im Jahr 2017 in Deutschland umgesetzten Richtlinie wurden die Mitgliedstaaten zur Einführung geeigneter technischer und organisatorischer Maßnahmen und zur Sicherung ihrer jeweiligen Netzwerke und Informationssysteme verpflichtet. Zugleich wurden Mindestanforderungen und Meldepflichten bei Sicherheitsvorfällen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste eingeführt. Die sich insbesondere an die Sektoren Finanzen und Versicherung, Gesundheit, Transport und Verkehr, Energie, Wasser und Nahrungsmittel, aber auch an die digitale Infrastruktur richtende Richtlinie soll im Zuge der NIS 2.0 überarbeitet und an neue Herausforderungen angepasst werden.
2. Die Free Flow of Data Regulation (FFD)
Bereits im November 2018 verabschiedet hat diese Verordnung zum Ziel, den freien Verkehr nicht personenbezogener Daten innerhalb der EU zu erleichtern, um so die europäische Datenwirtschaft und die Entwicklung grenzüberschreitender Technologien zu fördern.
Eine der wichtigsten Maßnahmen der Verordnung ist der Abbau sog. Datenlokalisierungsauflagen. Dabei handelt es sich um nationale Bestimmungen der Mitgliedstaaten, die verhindern, dass bestimmte Daten ins Ausland transferiert werden. Hintergrund ist, dass nationale Verwaltungs- und Justizbehörden ein großes Interesse daran haben, dass Daten innerhalb ihres Einflussbereichs verbleiben. Die Auflagen verhindern im Gegenzug jedoch den Datentransfer und so auch beispielsweise die Nutzung der Cloud. Diesen Konflikt hat die FFD mittels einer Regulierungskontrolle so gelöst, dass die nationalen Behörden selbst dann Zugang zu den Daten behalten, wenn sich diese in einem anderen Mitgliedstaat befinden.
3. Der Cybersecurity Act
Dieser im Juni 2019 in Kraft getretene Rechtsakt soll dazu beitragen, dass IT-Produkte, ‑Dienste und ‑Prozesse bereits in ihrer Entwicklung Anforderungen an die Cybersicherheit berücksichtigen und umsetzen müssen.
Hierzu wird die Rolle der Agentur der Europäischen Union für Cybersicherheit (ENISA) gestärkt und mit einem dauerhaften Mandat ausgestattet. Sie soll neben den Institutionen der EU insbesondere die Mitgliedstaaten bei der Verbesserung der Cybersicherheit unterstützen. Darüber hinaus führt der Cybersecurity Act einen Europäischen Zertifizierungsrahmen für Cybersicherheit ein, welcher IT-Produkte, ‑Dienste und Prozesse gemäß definierter Sicherheitslevel in “niedrig”, “mittel” und “hoch” eingruppiert.
4. Die Open Data and Public Sector Information Directive (OD-PSI)
Ziel dieser ebenfalls im Juni 2019 verabschiedeten Richtlinie ist die Verbesserung der Verfügbarkeit von Daten des öffentlichen Sektors und die Einführung von europaweiten Vorschriften für die Weiterverwendung dieser Daten. Der öffentliche Sektor produziert eine Vielzahl von Daten, beispielsweise meteorologische Daten, digitale Karten, Statistiken, Umweltinformationen und Mobilitätsdaten – ein Zugriff bzw. eine Verwendung dieser Daten ist sowohl aus technischen als auch aus rechtlichen Gründen aber oft nicht möglich.
Mittels der Verpflichtung der Mitgliedstaaten, Dokumente weiterverwendbar zu machen, und der Ermittlung und Festlegung von “hochwertigen Datensätzen” soll dieses Problem behoben werden. Unter hochwertigen Datensätzen versteht die EU-Kommission Daten, deren Weiterverwendung mit wichtigen Vorteilen für die Gesellschaft, Umwelt und die Wirtschaft verbunden ist, insbesondere wegen ihrer Eignung für die Schaffung von Mehrwertdiensten, Anwendungen und Arbeitsplätzen. Zugleich soll die Verwendung von Standardlizenzen forciert werden.
5. Die Digitale-Inhalte-Richtlinie
Wesentliches Ziel der bereits verabschiedeten, aber noch nicht umgesetzten Richtlinie ist es, den Zugang zu digitalen Inhalten und Dienstleistungen für Verbraucher zu verbessern und europaweit zu vereinheitlichen. Hierdurch soll bei gleichzeitiger Gewährleistung eines hohen Verbraucherschutzniveaus ein “echter digitaler Binnenmarkt” erreicht werden.
Im Fokus der Digitale-Inhalte-Richtlinie stehen Verbraucherverträge, die die Bereitstellung digitaler Inhalte oder Dienstleistungen zum Gegenstand haben. So führt die Richtlinie unter anderem neue Regeln für die Bereitstellung von digitalen Produkten und neue Vertragstypen für das BGB ein und verpflichtet zur Bereitstellung von Updates. Auch die Mängelrechte bei digitalen Inhalten werden angepasst.
6. Der Data Governance Act (DGA)
Dieser im Entwurfsstadium befindliche Rechtsakt zielt auf eine Erleichterung des Austauschs und der Verfügbarkeit von Daten (insb. Agrar‑, Umwelt- und Gesundheitsdaten) zwischen Privatpersonen, Unternehmen und dem öffentlichen Sektor ab. Forschung, Innovation und die Erstellung von Statistiken sollen verbessert werden.
Geschehen soll dies durch die Bereitstellung von Daten des öffentlichen Sektors zu Weiterverwendung, der gemeinsamen, entgeltlichen Datennutzung durch Unternehmen und dem Einsatz von neutralen Datentreuhändern und Datenmittlern im Falle der Nutzung personenbezogener Daten. Gleichzeitig soll auch eine Datennutzung aus “altruistischen Gründen” ermöglicht werden. Hierdurch sollen Einzelpersonen oder Unternehmen freiwillig Daten zum Wohle der Allgemeinheit bereitstellen können.
7. Der Digital Services Act (DSA)
Ebenfalls im Entwurfsstadium befindet sich der Digital Services Act. Der DSA soll gute Bedingungen für die Bereitstellung innovativer Dienste im Binnenmarkt schaffen und einen Beitrag zur Online-Sicherheit leisten.
Im Visier dieses Rechtsakts sind vor allem Anbieter von Vermittlungsdiensten (insb. Online-Plattformen wie soziale Medien und Marktplätze), welche stärker gegen rechtswidrige Inhalte vorgehen, eine Widerspruchsmöglichkeit für Nutzer schaffen und neben mehr Transparenz auch die Kooperation zu Behörden verbessern sollen. Zur Durchsetzung soll ein Bußgeld von bis zu 6 % des Gesamtjahresumsatzes verhängt werden können.
8. Der Digital Markets Act (DMA)
In die Zahl der Entwürfe reiht sich auch der Digital Markets Act ein. Die Ziele des DMA sind die Herstellung eines höheren Maßes an Wettbewerb auf den digitalen Märkten, die Verhinderung des Missbrauchs der Marktmacht durch große Unternehmen und die Vereinfachung des Markteintritts für neue Unternehmen.
Dies soll unter anderem durch das Verbot der Kombination von Daten von unterschiedlichen Online-Diensten geschehen. Danach dürften beispielsweise die zum Facebook-Konzern gehörenden Unternehmen Facebook, Instagram und WhatsApp keine Daten mehr verknüpfen und kombinieren. Zur Durchsetzung soll hier sogar ein Bußgeld von bis zu 10 % des Gesamtjahresumsatzes verhängt werden können.
9. Der Artificial Intelligence Act (AIA)
Mit der zunehmenden Bedeutung von Künstlicher Intelligenz (KI) für Unternehmen werden auch die Rufe nach einer rechtlichen Regulierung dieses Bereichs lauter. Die EU-Kommission will sich mit dem ebenfalls noch im Entwurfsstadium befindlichen Artificial Intelligence Act dieser Aufgabe stellen und einen Rechtsrahmen für den Einsatz von KI schaffen.
Hierzu sollen die KIs in Bezug auf ihre Risikoklasse eingeordnet werden: Je höher das Risiko, desto umfangreichere Pflichten sollen dem jeweiligen Unternehmen auferlegt werden – im Falle eines unannehmbaren Risikos soll der Einsatz sogar gänzlich verboten werden können. Disziplinierend soll auch hier ein Bußgeld von bis zu 6 % des Gesamtjahresumsatzes wirken.
10. Der Data Act (DA)
Der sich noch in der Konsultations- und Abstimmungsphase befindliche Data Act hat zum Ziel, den Zugang zu Daten und deren Nutzung zu erleichtern. Zudem sollen Datenbanken rechtlich besser geschützt werden.
Hierzu sollen Maßnahmen, welche die gerechte Aufteilung des Nutzens und des Wertes von Daten zwischen den Akteuren der Datenwirtschaft ermöglichen, getroffen werden.
11. Der Cyber Resilience Act
Ziel dieses bisher nur angekündigten Rechtsakts ist die Festlegung einheitlicher Cybersicherheitsstandards für vernetzte Geräte. Im Zusammenspiel mit der NIS‑2.0‑Richtlinie soll so die kollektive Widerstandsfähigkeit der EU gegen Cyberangriffe erhöht und mittels einer Joint Cyber Unit verteidigt werden.
Als Maßnahmen sollen unter anderem eine “Doktrin für Cyberangriffe” entwickelt und die Fähigkeiten zur Rückverfolgung von Angriffen ausgebaut werden.
Fazit
Die EU-Kommission hat die Bedeutung und den wirtschaftlichen Wert von Daten erkannt. Mit einem umfangreichen Maßnahmenpaket möchte sie einen rechtlichen Rahmen für das europäische Daten- und Cybersicherheitsrecht schaffen. Im Vordergrund stehen hierbei neben dem Schutz vor allem der Austausch und die Nutzbarkeit der Daten.Inwieweit etwaige Kollisionen mit dem Datenschutzrecht und insbesondere der DSGVO auftreten werden und wie dann gegebenenfalls in einem solchen Konfliktfall zu verfahren ist, wird sich noch zeigen müssen. Fest steht jedoch, dass Unternehmen sich bereits frühzeitig im Rahmen ihres Compliance Managements mit den neuen Regelungen befassen sollten, um nach dem Inkrafttreten der neuen Vorgaben Verstöße zu vermeiden und schnell von neuen Vorzügen profitieren zu können.
zurück