Suchen

Die Daten- und Digitalrechtsakte der EU revolutionieren die Spielregeln der Digitalwirtschaft. Die neuen Regeln in AI-Acts, Data-Acts, Data-Governance-Act, Digital-Services- und -Markets-Act treten in den nächsten Wochen und Monaten in Kraft oder gelten bereits. Das stellt Unternehmen vor die große Herausforderung, komplexe neue Rechtspflichten zu verstehen und mit heißer Nadel umzusetzen. Ein bewährter Ansatz ist es zuerst zu schauen, wo Umsetzungsdefizite leicht zu erkennen und rechtliche Risiken entsprechend hoch sind. Die Erfüllung von Transparenzpflichten kann ein erster, pragmatischer Schritt auf dem Weg zur Daten- und Digitalrechts-Compliance sein.

1. Die EU-Digitalgesetze im Überblick: Was regeln KI-VO, Data Act & Co.?

Für die Projektierung und Priorisierung von Maßnahmen zur Herstellung der Daten- und Digitalrechts-Compliance ist es essenziell, sich einen Überblick zu verschaffen, ob und in welchem Umfang die einzelnen Daten- und Digitalrechtsakte das eigene Unternehmen betreffen.

  • AI Act: Der AI-Act soll Entwicklung und Nutzung von künstlicher Intelligenz (KI) in der EU sicher und vertrauenswürdig gestalten und gleichzeitig Innovation zu fördern. Er verfolgt einen risikobasierten Ansatz, bei dem KI-Systeme je nach ihrem potenziellen Risiko für Grundrechte und Sicherheit unterschiedlichen Anforderungen unterworfen werden. Das sind etwa Verbote bestimmter KI-Praktiken, Auflagen für Hochrisiko-KI-Systeme oder Transparenzpflichten.
  • Data Act: Der Data Act soll faire Bedingungen für den Zugang zu und die Nutzung von Daten schaffen. Das betrifft insbesondere von Daten, die durch vernetzte Produkte (Internet of Things, IoT) und verbundene Dienste generiert werden. Er zielt darauf ab, den Wert von Daten besser zu verteilen, Innovationen zu fördern und einen wettbewerbsfähigen Datenmarkt zu schaffen.
  • Data Governance Act: Der Data Governance Act ergänzt den Data Act und zielt darauf ab, die Verfügbarkeit von Daten für die Nutzung zu erhöhen und den Datenaustausch innerhalb der EU zu erleichtern. Er schafft Rahmenbedingungen für die Weiterverwendung bestimmter Daten des öffentlichen Sektors.
  • Digital Markets Act: Der Digital Markets Act betrifft insbesondere großer Online-Plattformen, sogenannter “Gatekeeper”. Ziel ist es, die Märkte im digitalen Sektor fairer zu machen. Der DMA legt Gatekeepern dafür eine Reihe von Verhaltenspflichten und Verboten auf.
  • Digital Services Act: Der Digital Services Act verfolgt das Ziel, ein sichereres, transparenteres und verantwortungsvolleres Online-Umfeld zu schaffen. Er modernisiert die Regeln für digitale Dienste, insbesondere für Online-Vermittler wie soziale Netzwerke, Online-Marktplätze und Suchmaschinen. Im Fokus stehen der Umgang mit illegalen Inhalten, der Schutz von Grundrechten, die Transparenz von Algorithmen und Werbung sowie die Rechenschaftspflicht von Online-Plattformen.

Diese Daten- und Digitalrechtsakte bilden ein komplexes regulatorisches Ökosystem sich teilweise ergänzender oder überschneidender Regelungswerke. Ein wiederkehrendes Motiv in diesen Rechtsakten ist die Stärkung der Position von Nutzern gegenüber mächtigen Dateninhabern und Plattformbetreibern. Dies manifestiert sich in Rechten auf Datenzugang, Datenportabilität, Wahlfreiheit und eben umfassender Transparenz.

2. Transparenz im Fokus: Die wichtigsten Pflichten aus den neuen Digitalgesetzen

Die Daten- und Digitalrechtsanke verankern eine Vielzahl neuer Transparenzpflichten, die Unternehmen auf ihrem Weg zur Daten- und Digitalrechts-Compliance adressieren müssen.

Transparenzpflichten des AI-Acts

Der AI-Act legt einen Fokus auf Transparenz, um Vertrauen in KI-Systeme zu schaffen und Nutzer zu schützen.

  • Interaktion mit natürlichen Personen: Anbieter von KI-Systemen, die dazu bestimmt sind, mit natürlichen Personen zu interagieren (z.B. Chatbots), müssen sicherstellen, dass diese Personen darüber informiert werden, dass sie mit einem KI-System interagieren, es sei denn, dies ist aufgrund der Umstände und des Nutzungskontexts offensichtlich (Art. 50 Abs. 1 AI-Act).
  • Allgemeine Kennzeichnungspflicht: Anbieter von KI‑Systemen müssen sicherstellen, dass die Ausgaben des KI‑Systems in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind. Das betrifft insbesondere Audio-, Bild-, Video- oder Textinhalte.
  • Emotionerkennungs- und biometrische Kategorisierungssysteme: Beim Einsatz solcher Systeme müssen die betroffenen natürlichen Personen vom Betreiber des Systems über dessen Betrieb informiert werden (Art. 50 Abs. 3 AI-Act).
  • KI-generierte oder -manipulierte Inhalte („Deepfakes“): Inhalte (Audio, Bild, Video, Text), die von einem KI-System generiert oder manipuliert wurden und fälschlicherweise als authentisch oder wahrheitsgemäß erscheinen könnten, müssen durch den Betreiber als künstlich erzeugt oder manipuliert gekennzeichnet werden.
  • Hochrisiko-KI-Systeme: Für KI-Systeme, die als hochriskant eingestuft werden, gelten weitreichende Transparenz- und Dokumentationspflichten. Dazu gehören die Erstellung und fortlaufende Aktualisierung einer umfangreichen technischen Dokumentation (gemäß Art. 11 AI-Act) sowie die Bereitstellung klarer und umfassender Gebrauchsanweisungen für die Anwender (Art. 13 Abs. 1 AI-Act).
  • General-Purpose AI Models (GPAI): Anbieter von GPAI-Modellen müssen eine technische Dokumentation erstellen und aktuell halten, Informationen für nachgelagerte Anbieter von KI-Systemen bereitstellen, die diese Modelle integrieren wollen und eine hinreichend detaillierte Zusammenfassung der zum Training des Modells verwendeten Inhalte veröffentlichen.

Transparenzpflichten des Data Act

Der Data Act zielt unter anderem darauf ab, Transparenz über die von vernetzten Produkten und verbundenen Diensten generierten Daten zu schaffen.

  • Vorvertragliche Informationspflichten: Hersteller von vernetzten Produkten und Anbieter verbundener Dienste müssen Nutzer vor Abschluss eines Kauf-, Miet- oder Leasingvertrags klar und verständlich informieren. Diese Informationen umfassen mindestens: Art, Format, geschätztes Volumen und Erfassungsfrequenz der Daten, die das Produkt voraussichtlich generieren wird; ob die Daten kontinuierlich und in Echtzeit generiert werden; wie der Nutzer auf die Daten zugreifen, sie abrufen und löschen kann; ob der Anbieter beabsichtigt, die Daten selbst zu nutzen oder Dritten die Nutzung zu ermöglichen und zu welchen Zwecken; die Identität des Dateninhabers und Kontaktdaten (Art. 3 Abs. 2 und 3 DA).
  • Datenzugang für Nutzer: Nutzer (Eigentümer, Mieter oder Leasingnehmer eines vernetzten Produkts) haben das Recht, auf die Daten zuzugreifen, die durch ihre Nutzung des Produkts oder verbundenen Dienstes generiert werden. Dateninhaber müssen diese Daten dem Nutzer auf dessen einfaches elektronisches Verlangen hin unverzüglich, kostenlos und, soweit technisch machbar, in einem gängigen, strukturierten und maschinenlesbaren Format leicht zugänglich machen (Art. 4 Abs. 1 DA).

Transparenzpflichten des Data Governance Act

Der DGA soll Transparenz im Kontext der Weiterverwendung öffentlicher Daten und bei Datenvermittlungsdiensten fördern.

  • Weiterverwendung von Daten des öffentlichen Sektors: Öffentliche Stellen, die die Weiterverwendung von Daten erlauben, die dem Schutz von Rechten Dritter unterliegen (z.B. Geschäftsgeheimnisse, personenbezogene Daten, geistiges Eigentum), müssen die Bedingungen für diese Weiterverwendung und das Antragsverfahren öffentlich zugänglich machen (z.B. über zentrale Informationsstellen). Diese Bedingungen müssen nichtdiskriminierend, transparent, verhältnismäßig und objektiv gerechtfertigt sein (Art. 5 Abs. 2, 3 DGA). Etwaige Entgelte müssen ebenfalls transparent, nichtdiskriminierend, verhältnismäßig und objektiv gerechtfertigt sein; die Berechnungsmethodik ist offenzulegen (Art. 6 DGA).
  • Datenvermittlungsdienste: Anbieter von Datenvermittlungsdiensten müssen ihre Absicht, solche Dienste anzubieten, bei der zuständigen nationalen Behörde notifizieren. Die Notifizierung muss bestimmte Informationen enthalten (z.B. Name, Rechtsform, Anschrift, Beschreibung des Dienstes), von denen ein Teil in einem öffentlichen EU-Register geführt wird (Art. 11 DGA). Die Zugangsverfahren zu ihren Diensten sowie die Preisgestaltung müssen fair, transparent und nichtdiskriminierend sein (Art. 12 Abs. 1 DGA). Wenn Dienste für betroffene Personen angeboten werden, müssen diese in prägnanter, transparenter, verständlicher und leicht zugänglicher Form über die beabsichtigte Datennutzung und die Bedingungen informiert werden, bevor sie ihre Einwilligung geben (Art. 12 Abs. 2 DGA).
  • Datenaltruistische-Organisationen: Organisationen, die Daten aus altruistischen Gründen sammeln und verarbeiten, müssen bestimmte Transparenzpflichten erfüllen. Dazu gehört das Führen genauer Aufzeichnungen über die Datenverarbeitungsvorgänge und die Erstellung jährlicher Tätigkeitsberichte, die u.a. Auskunft geben über die verfolgten Gemeinwohlziele, die Kategorien der verarbeiteten Daten, die Herkunft der Finanzmittel und die Ergebnisse der Datenverarbeitung (Art. 20 DGA).

Transparenzpflichten des Digital Services Act

Der DSA enthält umfassende Transparenzpflichten für Anbieter von Vermittlungsdiensten, insbesondere für Online-Plattformen:

  • Allgemeine Geschäftsbedingungen (AGB): Anbieter von Vermittlungsdiensten müssen in ihren AGB klare, verständliche, leicht zugängliche und maschinenlesbare Informationen über ihre Grundsätze, Verfahren, Maßnahmen und Werkzeuge zur Inhaltsmoderation bereitstellen, einschließlich Informationen über algorithmische Entscheidungsfindung und menschliche Überprüfung (Art. 14 Abs. 1 DSA).
  • Transparenzberichte der Anbieter von Vermittlungsdiensten: Alle Anbieter von Vermittlungsdiensten müssen mindestens einmal jährlich Berichte über die von ihnen im relevanten Zeitraum durchgeführte Inhaltsmoderation veröffentlichen. Diese Berichte müssen u.a. Angaben zur Anzahl der von Behörden erhaltenen Anordnungen, zur Anzahl der eingegangenen Meldungen über illegale Inhalte, zu den ergriffenen Maßnahmen und zum Einsatz automatisierter Verfahren enthalten (Art. 15 DSA).
  • Zusätzliche Transparenzberichte für Online-Plattformen: Anbieter von Online-Plattformen müssen in ihren Berichten zusätzliche Informationen liefern, z.B. über die Anzahl der Streitigkeiten, die außergerichtlichen Streitbeilegungsstellen vorgelegt wurden, und über die Anzahl der verhängten Sperren wegen missbräuchlicher Nutzung. Sie müssen zudem halbjährlich die durchschnittliche Zahl ihrer monatlich aktiven Nutzer in der EU veröffentlichen (Art. 24 DSA).
  • Werbung auf Online-Plattformen: Online-Plattformen, die Werbung anzeigen, müssen für jede einzelne Werbung in Echtzeit klar erkennbar machen, dass es sich um Werbung handelt, wer die Werbung finanziert (Auftraggeber und Zahler) und welche Hauptparameter für die Ausrichtung der Werbung auf den jeweiligen Nutzer verwendet wurden und wie diese Parameter ggf. geändert werden können (Art. 26 DSA).
  • Empfehlungssysteme: Online-Plattformen, die Empfehlungssysteme verwenden, müssen in ihren AGB die wichtigsten Parameter dieser Systeme und alle Optionen für die Nutzer, diese Parameter zu ändern oder zu beeinflussen, in klarer und verständlicher Sprache darlegen (Art. 27 DSA).
  • Zusätzliche Transparenzpflichten für sehr große Online-Plattformen (VLOPs) und Suchmaschinen (VLOSEs): Diese Akteure unterliegen noch strengeren Transparenzpflichten, wie z.B. der Erstellung und öffentlichen Bereitstellung von Werbearchiven (Art. 39 DSA) und noch detaillierteren halbjährlichen Transparenzberichten, die u.a. Auskunft über die personellen Ressourcen für die Inhaltsmoderation und über Risikobewertungen geben (Art. 42 DSA).

Transparenzpflichten des Digital Markets Act

Der DMA verpflichtet vor allem die als Gatekeeper benannten Unternehmen zu mehr Transparenz, insbesondere gegenüber ihren geschäftlichen Nutzern und Endnutzern:

  • Werbung: Gatekeeper, die Werbedienste anbieten, müssen Werbetreibenden und deren beauftragten Dritten auf Anfrage tägliche und kostenlose Informationen über jede platzierte Anzeige zur Verfügung stellen, einschließlich des gezahlten Preises und der Gebühren, der vom Publisher erhaltenen Vergütung (vorbehaltlich dessen Zustimmung) und der Metriken zur Berechnung dieser Beträge (Art. 5 Abs. 9 DMA). Entsprechende Informationspflichten bestehen gegenüber Publishern (Art. 5 Abs. 10 DMA). Zudem müssen Gatekeeper Werbetreibenden und Publishern kostenlosen Zugang zu ihren Leistungsmessungsinstrumenten und den Daten gewähren, die für eine unabhängige Überprüfung des Werbeinventars erforderlich sind (Art. 6 Abs. 8 DMA).
  • Datennutzung: Gatekeeper dürfen nicht öffentlich verfügbare Daten, die von ihren geschäftlichen Nutzern generiert wurden, nicht im Wettbewerb mit diesen Nutzern verwenden (Art. 6 Abs. 2 DMA). Sie müssen auf Anfrage kostenlosen, hochwertigen, kontinuierlichen und echtzeitnahen Zugang zu aggregierten und nicht-aggregierten Daten gewähren, die im Rahmen ihrer Nutzung der Plattformdienste generiert werden (Art. 6 Abs. 10 DMA).

3. Wichtige erste Compliance-Schritte

Um Transparenzpflichten der Daten und Digitalrecht zu erfüllen, sollten Unternehmen prüfen, welche Daten- und Digitalrechtsakte für sie relevant sind, denn nicht jedes Unternehmen ist gleichermaßen betroffen. Soweit die Daten- und Digitalrechtsakte anwendbar sind, empfehlen sich diese Maßnahmen für die Erfüllung von Transparenzanforderungen.

AI Act

  • Inventarisierung und Risikoklassifizierung: Erstellen Sie ein Verzeichnis aller im Unternehmen eingesetzten und geplanten KI-Systeme.
  • Hochrisiko-KI: Beginnen Sie bei als hochriskant identifizierten Systemen mit der Einrichtung von Risiko- und Qualitätsmanagementsystemen.
  • Nutzerinteraktion und Deepfakes: Überprüfen Sie alle KI-Systeme, die mit Nutzern interagieren oder Inhalte generieren/manipulieren, auf die Einhaltung der spezifischen Informations- und Kennzeichnungspflichten (Art. 50 AI-Act).
  • GPAI-Modelle: Falls Sie Allzweck-KI-Modelle entwickeln oder anbieten, bereiten Sie die Dokumentation zu Trainingsdaten und die Informationen für nachgelagerte Anbieter vor (Art. 53 AI-Act).

Data Act

  • Vorvertragliche Informationen: Erstellen oder überarbeiten Sie Ihre vorvertraglichen Informationen für Kunden, um die Anforderungen des Art. 3 Abs. 2 DA zu erfüllen (Informationen über Art, Umfang, Zwecke der Datennutzung, Zugriffsrechte etc.).
  • B2B-Verträge: Überprüfen Sie bestehende und neue Datenlizenzverträge mit anderen Unternehmen auf die Einhaltung der Vorschriften zu missbräuchlichen Klauseln (Art. 13 DA).

Data Governance Act

Klären Sie, ob Ihr Unternehmen in den Anwendungsbereich fällt. Der Data Governance Act richtet sich insbesondere an öffentliche Stellen, so dass dies eher die Ausnahme sein wird.

Digital Services Act

  • AGB-Anpassung: Überprüfen und aktualisieren Sie Ihre Allgemeinen Geschäftsbedingungen, um die Transparenzanforderungen bezüglich Ihrer Inhaltsmoderationspraktiken zu erfüllen (Art. 14 DSA).
  • Transparenzberichte: Bereiten Sie die Erstellung und Veröffentlichung der Transparenzberichte gemäß Art. 15 DSA (alle Vermittlungsdienste) bzw. Art. 24 DSA (Online-Plattformen) vor. Beachten Sie die von der Kommission erlassenen Vorlagen und Fristen.
  • Werbetransparenz: Implementieren Sie Mechanismen zur klaren Kennzeichnung von Werbung und zur Information der Nutzer über die Hauptparameter der Zielgruppenausrichtung (Art. 26 DSA).
  • Empfehlungssysteme: Sofern Sie Empfehlungssysteme einsetzen, stellen Sie sicher, dass die Nutzer über deren Hauptparameter und Beeinflussungsmöglichkeiten informiert werden (Art. 27 DSA).

Digital Markets Act

  • Gatekeeper: Beginnen Sie mit dem Aufbau von Systemen zur Erfüllung der detaillierten Transparenzpflichten, z.B. bezüglich Werbemetriken (Art. 5 Abs. 9, 10 DMA) und Datenzugang für Geschäfts- und Endnutzer (Art. 6 Abs. 9, 10 DMA).
  • Geschäftspartner von Gatekeepern: Informieren Sie sich über Ihre neuen Rechte und Möglichkeiten, die sich aus den Pflichten der Gatekeeper ergeben (z.B. Recht auf Datenzugang, Verbot der ungerechtfertigten Bevorzugung).

4. Fazit

Die Daten- und Digitalrechtsakte bringen eine Fülle neuer Verpflichtungen für Unternehmen mit sich. Ein zentrales und wiederkehrendes Element all dieser Regelwerke sind die erweiterten Transparenzpflichten. Verstöße sind für Nutzer, Konkurrenten und Aufsichtsbehörden verhältnismäßig leicht erkennbar. Es lohnt sich also hier besonders genau hinzusehen und Maßnahmen in diesem Bereich zu priorisieren.

Haben Sie Fragen oder benötigen Sie Unterstützung? Sprechen Sie uns an!

planit legal dr. bernd schmidt

Dr. Bernd Schmidt

Rechtsanwalt

E-Mail: bernd.schmidt@planit.legal
Telefon: +49 (0) 40 609 44 190

Suche

Kategorien

Schlagwörter

Abmahngate Abmahnung Abnahme agile Projektentwicklung Auftragsverarbeitung B2C BDSG Bitcoin Bussgeld Cloud Computing Cookies Corona Datenhehlerei Datenschutz Datensicherheit DiGA Dokumentation DSGVO E-Commerce E-Mail ePrivacy-Richtlinie EuGH Facebook Gesundheitsanwendungen Influencer internationaler Datentransfer IT-Sicherheitsgesetz Kopieren Marketing PAuswG Personalausweis Privacy Shield Safe-Harbor Scannen Scrum Telemediengesetz TMG Tracking Transparenz Verschlüsselung Videoüberwachung Vorratsdatenspeicherung Werkvertrag Wildkamera WordPress

Autoren