Worum geht es:

Regulierung der digitalen Märkte und insbesondere sehr großer Online-Plattformen.

Stand der Dinge:

Einigung der EU-Organe am 25. März 2022. Am 5. Juli 2022 wird er vermutlich vom EP verabschiedet und nach Ausfertigung und Veröffentlichung im Amtsblatt der EU in Kraft treten – in wesentlichen Teilen 6 Monate nach der Verkündung im Amtsblatt, im Übrigen voraussichtlich ab dem 25. Juni 2023. Den aktuellen Verfahrensstand finden Sie hier.

Wer ist betroffen:

Insbesondere Betreiber zentraler Plattformdienste, welche als „Gatekeeper“ einzuordnen sind. 

En Detail:

Die Einordnung als Gatekeeper orientiert sich hauptsächlich an den Auswirkungen der Plattform auf den Binnenmarkt, der Vermittlereigenschaft zwischen gewerblichen Nutzern und Endnutzern und der (absehbaren) Festigkeit und Dauerhaftigkeit der Tätigkeit der Plattform. Zur leichteren Klassifikation von Betreibern zentraler Plattformen als Gatekeeper stellt der DMA Schwellenwerte zur Seite, deren Überschreiten Vermutungswirkung entfaltet. Was genau ein zentraler Plattformdienst ist, listet der DMA in seinen Begriffsbestimmungen auf. Die Einordnung als Gatekeeper zieht (neue) Verbote und Gebote für diese nach sich. Einen Überblick finden Sie hier. Die EU Kommission hat darüber hinaus die Befugnis, weitere Maßnahmen zu spezifizieren, die der Gatekeeper umsetzen muss, um seinen Verpflichtungen nachzukommen, wenn sie die bestehenden Maßnahmen für unzureichend hält.

Interaktion mit anderen Gesetzen:

Das allgemeine Kartellrecht bleibt neben dem DMA anwendbar. Verstöße gegen den DMA werden Verbraucher und Unternehmer im Wege der Kollektivklage und nach dem UWG verfolgen können. Auf die Eigenschaft als Gatekeeper wird auch in anderen aktuellen (Kommissions-)Entwürfen Bezug genommen, beispielsweise im Data Act, welcher von einigen Regelungen (negative) Ausnahmen für Gatekeeper vorsieht. Der Entwurf baut ausweislich seiner Begründung auf die bestehende P2B-Verordnung auf, ist kohärent mit dem DAS, ergänzt bestehende EU-Wettbewerbsvorschriften und das Datenschutzrecht.

Befugnisse der Behörden:

Die Kommission ist zuständig für die Anwendung des DMA. Unbeschadet dessen können die Mitgliedsstaaten ihre Wettbewerbsbehörden zur Ermittlung und Weiterleitung der Ergebnisse an die Kommission ermächtigen. Bei Verletzung der Verhaltensregeln des DMA drohen Bußgelder in Höhe von bis zu 10%, bei wiederholtem Verstoß sogar 20 % des weltweiten Jahresumsatzes. Bei systematischen Verstößen kann Gatekeepern sogar für eine begrenzte Zeit ein Fusionsverbot auferlegt werden. Außerdem kann die Kommission verhaltensbezogene und strukturelle Abhilfemaßnahmen erlassen. Einen Überblick finden Sie hier.

Worum geht es:

Schaffung eines sicheren digitalen Raums, der frei von illegalen Inhalten ist und einen Schutz der Grundrechte der Nutzer gewährleistet.

Stand der Dinge:

Einigung der EU-Organe am 23. April 2022. Am 5. Juli 2022 wird er vermutlich vom EP verabschiedet und nach Ausfertigung und Veröffentlichung im Amtsblatt der EU in Kraft treten – entweder 15 Monate und 20 Tage nach der Verkündung im Amtsblatt oder – wenn dieser Zeitpunkt später ist - am 1. Januar 2024. Den aktuellen Verfahrensstand finden Sie hier.

Wer ist betroffen:

Alle Anbieter von Vermittlungsdiensten (Intermediäre), darunter insbesondere Anbieter von Online-Plattformen. Gestufte Regulierung für Vermittlungsdienste, Host-Provider, Online-Plattformen und sehr große Online-Plattformen.

En Detail:

Umfassende Regelungen beispielsweise betreffend die Haftung, den Umgang mit illegalen Inhalten, des Vorsehens eines „Notice-and-Takedown“-Verfahrens und der Regulierung (sehr großer) Online-Plattformen. Insbesondere die Haftungsregeln bringen allerdings nicht wirklich viele Neuerungen mit sich.  Die Frage nach dem „Ob“ der Haftung richtet sich weiterhin nach den Regelungen der Mitgliedsstaaten. Einige Haftungsprivilegierungen schränkt der DSA allerdings ein. So gilt eine Privilegierung für Host-Provider beispielsweise dann nicht, sofern für einen Verbraucher der Eindruck entstand, die angebotene Leistung stammt vom Host-Provider selbst oder er habe sie zu verantworten.

Interaktion mit anderen Gesetzen:

Für Intermediäre sollen grundsätzlich auch weiterhin Haftungsprivilegien gelten, wie in Deutschland derzeit etwa §§ 7 ff. TMG. Haftungsregelungen für Internet Service Providers (ISP) betreffend illegale Inhalte bleiben; die Haftungsbestimmungen der E-Commerce-Richtlinie werden wortwörtlich wiedergegeben. Weiterhin keine generelle Verpflichtung von ISPs übermittelte oder gespeicherte Informationen aktiv zu überwachen.

Befugnisse der Behörden:

Die Mitgliedsstaaten ernennen Behörden, von denen eine als „Digital Services Coordinator“ fungiert. Diese haben umfassende Auskunfts-, Durchsuchungs-, Anordnungs- und Sanktionsrechte. Bei Maßnahmen gegen sehr große Online-Plattformen hat die Kommission ein Eintrittsrecht.  Sanktionen bei Verstößen sind in Höhe von bis zu 6 % der Jahreseinnahmen oder des Jahresumsatzes möglich.

Worum geht es:

Verschärfung des Urheberrechts im Internet. Neuregelung der urheberrechtliche n Verantwortlichkeit. Statuierung von einheitlichen Ausnahmen für die Verwendung von Inhalten für Zwecke des Zitats, der Kritik, der Rezension, der Karikatur, der Parodie und der Pastiches.

Stand der Dinge:

Die Richtlinie wurde im April 2019 verabschiedet; der Umsetzungsakt in Deutschland „Gesetz zur Anpassung des Urheberrechts an die Erfordernisse des digitalen Binnenmarkts“ ist am 7. Juni 2021 in Kraft getreten. Die Regelungen zur urheberrechtlichen Verantwortlichkeit von Upload-Plattformen im Urheberrechts-Diensteanbieter-Gesetz (UrhDaG) folgten zum 1. August 2021. Den Stand der Umsetzung kann man hier verfolgen.

Wer ist betroffen:

Insbesondere Online-Content-Sharing Plattformen (Upload-Plattformen).

En Detail:

Die Richtlinie enthält unter anderem ein Leistungsschutzrecht für Verleger mit Sitz in einem Mitgliedsstaat im Bezug auf die Vervielfältigung und Bereitstellung zur Online-Nutzung ihrer Presseerzeugnisse durch Anbieter von Diensten der Informationsgesellschaft. Außerdem finden sich Regelungen zu sog. Online Content-Sharing-Plattformen, wonach diese für von Nutzern hochgeladene Inhalte, die das Urheberrecht Dritter verletzen, selbst haften. Nicht zuletzt enthält die Richtlinie noch einige Vorschriften zum Schutz von Urhebern und Künstlern, insbesondere zur Sicherstellung einer angemessenen Vergütung.

Interaktion mit anderen Gesetzen:

Mit der Richtlinie werden die elf Richtlinien die zusammen die EU-Urheberrechtsgesetzgebung bilden zusammengeführt. Die Richtlinie wurde in Deutschland mit dem „Gesetz zur Anpassung des Urheberrechts an die Erfordernisse des digitalen Binnenmarktes“ umgesetzt, der parlamentarische Vorgang bis zum fertigen Gesetz kann hier abgerufen werden.

Befugnisse der Behörden:

 Die Durchsetzung obliegt den nationalen Behörden. Änderungen hinsichtlich der Befugnisse haben sich keine ergeben.

Worum geht es:

Gewährleistung einer gerechten Verteilung der Wertschöpfung aus Daten aus dem Internet der Dinge auf die Akteure der Datenwirtschaft und Förderung des Datenzugang und der Datennutzung.

Stand der Dinge:

Der Entwurf wurde am 23. Februar 2022 vorgestellt. Der jeweils aktuelle Beratungsstand kann hier eingesehen werden.

Wer ist betroffen:

Die Hersteller, Eigentümer, Besitzer und Verwender von IoT-Geräten. Hierneben Dritte, die Daten aus IoT-Geräten nutzen wollen.

En Detail:

Der DA regelt Pflichten von Herstellern und Entwicklern von Produkten zur erleichterten Erreichbarkeit der bei der Verwendung der Produkte erzeugten Daten für den Nutzer (oder einen von ihm benannten Dritten). Damit einher gehen gewisse Transparenzpflichten. Zudem enthält der DA allgemeine Vorschriften für (faire und nicht-diskriminierende) Datenbereitstellungspflichten, spezifische Kontrollen von Vertragsklauseln und den (zwangsweise) Zugang öffentlicher Stellen auf Daten im „Besitz“ von Unternehmen in Ausnahmefällen. Letztlich finden sich im DA noch Regelungen zu IT-sicherheitsrechtlichen Anforderungen an Anbieter von Datenverarbeitungsdiensten und zu Anforderungen an die Interoperabilität von Daten.

Interaktion mit anderen Gesetzen:

Auf europäischer Ebene wird der Data Act durch sektortspezifische Spezialregelungen wie den European Health Data Space oder den Mobility Data Space ergänzt werden. Auch der Data Governance Act, der den freiwilligen Datenaustausch erleichtert, wird ergänzt. Weiter sehen der DSA, der DMA und die DSGVO Zugangsrechte vor. Daneben ergänzt der Data Act eine Vielzahl von Rechtsakte weiteren Rechtsakten.

Befugnisse der Behörden:

Die Kommission soll mit den Wechselentgelten und den technischen Normen die Grundlagen für den Datenaustausch legen. Durchsetzen werden den Data Act nationale Behörden. Da die mit dem Datenschutz befassten Behörden parallel zuständig bleiben sollen, dürften sich Abstimmungsfragen stellen. Die Mitgliedstaaten müssen auch die Sanktionen festlegen.  Sanktionen können dabei bis zu 20 Mio. EUR oder im Falle eines Unternehmens bis zu 4 % seines weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr betragen.

Worum geht es:

Förderung der Verfügbarkeit von Daten

Stand der Dinge:

Am 30. Mai 2022 verabschiedet. Geltung ab dem 24. September 2023.

Wer ist betroffen:

Insbesondere öffentliche Stellen, die im „Besitz“ von Daten sind, Datenvermittlungsdienste und Organisationen, welche bestimmte Ziele von allgemeinem Interesse mithilfe von „Datenaltruismus“ fördern wollen.

En Detail:

Der DGA stützt sich auf vier Säulen, um die Verfügbarkeit von Daten zu fördern: Die Weiterverwendung von geschützten Daten im „Besitz“ öffentlicher Stellen, Datenvermittlungsdienste, Datenaltruismus, die Erschaffung eines Europäischen Dateninnovationsrates. Es werden insbesondere Bedingen für die Weiterverwendung bestimmter Daten aufgestellt; es wird ein Anmelde- und Aufsichtsrahmen für Datenvermittler statuiert und die Möglichkeit geschaffen, Privilegierungen als „anerkannte datenaltruistische Organisation“ zu erhalten.

 

Interaktion mit anderen Bestimmungen / Gesetzen:

Ausweislich der Begründung ergänzt der DGA die Richtlinie über offene Daten. Zudem soll er das Wettbewerbsrecht unberührt lassen. Einige Friktionen könnten sich daraus ergeben, dass nach Art. 1 Abs. 3 unionsrechtliche und mitgliedsstaatliche Vorschriften des Datenschutzes, insbesondere u.a. die DSGVO, vorgehen sollen.

Befugnisse der Behörden:

Mit dem neuen Gesetz wird der Dateninnovationsrat eingerichtet, ein beratendes Gremium, das Expertenbeiträge zur Entwicklung von Leitlinien für europäische Datenräume liefern soll. Die Überwachung und Registrierung der Datenintermediäre werden den Behörden der Mitgliedstaaten überlassen. Die Befugnisse der Datenschutzbehörden bestehen daneben. Die Kommission kann zudem Mustervertragsklauseln und Angemessenheitsbeschlüsse erlassen, die den Datentransfer in die betroffenen Drittstaaten erleichtern. Die Mitgliedstaaten legen die Sanktionen autonom fest, es ist keine Höchstgrenze von der EU vorgegeben.

Worum geht es:

Die Schaffung eines europäischen Datenraums im Gesundheitssektor für einen effizienten Austausch und direkten Zugriff auf unterschiedliche Gesundheitsdaten in der Gesundheitsversorgung selbst (Primärnutzung), sowie in der Gesundheitsforschung und der Gesundheitspolitik (Sekundärnutzung).

Stand der Dinge:

Die Kommission hat ihr Vorhaben am 3. Mai 2022 vorgestellt. Die öffentliche Konsultation dauert bis zum 20. Juli 2022 und der Stand kann hier abgerufen werden.

Wer ist betroffen:

Grundsätzlich alle Patienten, Gesundheitsdienstleister, Forscher, Hersteller von gesundheitsbezogenen Produkten und andere Personen, die Interesse an der Nutzung von Gesundheitsdaten haben.

En Detail:

Vorschriften betreffend gemeinsame Standards und Verfahren, Infrastrukturen, einen Governance-Rahmen für die Primär- und Sekundärnutzung elektronischer Gesundheitsdaten. Der Datenraum soll sich dabei auf drei Säulen stützen: Starkes Verwaltungssystem und Regeln für den Datenaustausch, (Sicherstellung von) Datenqualität und (Gewährleistung einer) starke(n) Infrastruktur und Interoperabilität.

Interaktion mit anderen Gesetzen:

Der EHDS stützt sich auf Rechtsvorschriften wie die Datenschutz-Grundverordnung, die Medizinprodukteverordnung, die In-vitro-Diagnostika-Verordnung, den AI-Act, den Data Governance Act, den vorgeschlagenen Data Act, die NIS-Richtlinie und deren vorgeschlagene Nachfolgerin NIS-2 sowie die Patientenrechterichtlinie.

Befugnisse der Behörden:

Die Mitgliedstaaten legen die Strafen fest und setzen sie mit ihren Behörden durch. Die Kommission indessen soll durch delegierte Rechtsakte den Rahmen für den Datenaustausch schaffen.

Worum geht es:

Schaffung eines einheitlichen Rechtsrahmens für die Regulierung KI.  

Stand der Dinge:

Die Verhandlungen zwischen den EU-Organen (Trilog) soll Ende des Jahres beginnen und Anfang 2023 abgeschlossen werden.

Wer ist betroffen:

Anbieter und Nutzer von KI-Systemen.

En Detail:

Es besteht Einigkeit über eine risikobasierte Regulierung. KI-Systeme, deren Einsatz mit einem inakzeptablen Risiko einhergeht (Manipulation, Social Scoring) werden gänzlich verboten. Hochrisiko-KI-Systeme werden stark reguliert. Diese müssen insbesondere vor dem Inverkehrbringen eine „Konformitätsbewertung“ durchlaufen, die nachweist, dass sie die verbindlichen Anforderungen des AI Act an sie erfüllen. Für KI-Systeme mit begrenztem Risiko gelten bloß Transparenzpflichten, während KI-Systeme mit geringem Risiko unreguliert bleiben. 

Interaktion mit anderen Bestimmungen / Gesetzen:

Die Förderung von Innovation im KI-Bereich ist eng mit dem Data GovernanceAct, dem Data Act, der Open-Data-Directive und anderen Initiativen im Rahmen der Europäischen Datenstrategie verbunden. Datengetriebene KI-Modelle profitieren vom (beabsichtigten) stärkeren Austausch und der höheren öffentlichen Verfügbarkeit von Daten. Außerdem ergänzt der AI Act ausweislich seiner Begründung die DSGVO. 

Befugnisse der Behörden:

Die Überwachung von KI-Anwendungen soll durch die zuständigen nationalen Marktaufsichtsbehörden erfolgen. Sie setzen auch die Bußgelder fest, deren Schwellenwerte in der Verordnung geregelt werden. Die Sanktionen können dabei maximal 30 Mio. Euro oder 6 % des weltweiten Jahresumsatzes erreichen.