Datenschutz und Cybersecurity

Datenschutz & Datenrecht – Ausblick auf 2023

Verfasst von

Dr. Jan-Peter Ohrtmann

Prof. Dr. Alexander Golland

Die Entwicklungen im Datenschutz und Datenrecht waren auch 2022 rasant. Im Jahr 2023 wird die Dynamik nicht nachlassen. Folgende Themen sind im kommenden Jahr besonders relevant:

I. Drittlandtransfers: Standardvertragsklauseln & EU-U.S. Data Privacy Framework

Praktische Relevanz hat zunächst eine bereits abgelaufene Frist: Bis zum 27. Dezember 2022 mussten sämtliche Altverträge auf die neuen EU-Standardvertragsklauseln umgestellt werden. Die Praxis zeigt, dass dies angesichts der Vielzahl der zu identifizierenden und zu ändernden Verträge noch nicht vollumfänglich erfolgt ist. Hier besteht für viele Unternehmen noch Handlungsbedarf.

In diesem Zusammenhang ist von hoher praktischer Relevanz, dass die Europäische Kommission am 13. Dezember 2022 einen Entwurf für einen Angemessenheitsbeschluss für ein EU-U.S. Data Privacy Framework (Link zu unserem Blogbeitrag) vorgelegt hat. Der Entwurf wird nun das Annahmeverfahren (Komitologieverfahren) durchlaufen. Dabei werden Stellungnahmen des Europäischen Datenschutzausschusses (EDSA) und von Vertretern der Mitgliedstaaten eingeholt. Wir erwarten eine Entscheidung Mitte 2023. Sollte der Entwurf das Komitologieverfahren erfolgreich durchlaufen, können europäische Unternehmen dann (bis auf Weiteres) rechtssicher Daten mit US-Unternehmen austauschen.

Beide Aspekte stehen exemplarisch für die sich ständig ändernden gesetzlichen Anforderungen im grenzüberschreitenden Datenverkehr und zeigen für Unternehmen die dringende Notwendigkeit auf, sowohl eine laufende Transparenz und Kontrolle über die tatsächlichen Datenflüsse zu haben als auch international die sich ändernden gesetzlichen Anforderungen zu überwachen.

II. Gesetzgebungsverfahren EU

2023 werden auf europäischer Ebene umfangreiche Gesetzgebungsvorhaben zum Datenrecht verhandelt und in Kraft treten. Insbesondere die EU-Kommission möchte bis zu der im Frühjahr 2024 anstehenden Europawahl und dem anstehenden Ende ihrer Amtszeit möglichst weitgehend ihre in der Agenda „Priorities 2019 -2024 – A Europe fit for the digital age“ gesetzten Ziele erreichen.

Nicht nur die großen Technologiekonzerne, sondern auch große, mittlere und kleine Unternehmen müssen handeln:

Digital Markets Act

Der „Digital Markets Act“ („DMA“) ist am 1. November 2022 in Kraft getreten und wird ab dem 2. Mai 2023 wirksam.

Der DMA zielt auf die großen Online-Plattformen, die als „Gatekeeper“ definiert werden. Gatekeeper sind danach Unternehmen mit einer dauerhaft wirtschaftlichen Marktstellung, die durch ihre starke Position erhebliche Auswirkungen auf den EU-Binnenmarkt haben, in mehreren EU-Ländern aktiv sind und wegen einer großen Nutzerbasis mit einer großen Anzahl von Unternehmen über eine starke Vermittlungsposition verfügen.

Der DMA sieht vor, dass Gatekeeper diskriminierungsfrei ihre Plattformen für den Absatz von Waren und Dienstleistungen durch Dritte zur Verfügung stellen müssen. Dies gilt auch für die dabei von Nutzern auf der Plattform hinterlassenen Daten, welche nicht mit anderen Diensten kombiniert oder plattformübergreifend genutzt werden dürfen. Außerhalb der Plattform dürfen sie Nutzer nicht ohne deren Einwilligung bewerben. Sowohl die Erteilung als auch die Versagung der Einwilligung müssen ähnlich einfach ausgestaltet sein. Ferner untersagt der DMA die Nutzung personenbezogener Daten der Plattformnutzer im Wettbewerb mit gewerblichen Anbietern auf der Plattform. Darüber hinaus sollen Gatekeeper sicherstellen, dass Software auf dem Betriebssystem deinstalliert werden kann, Standardeinstellungen veränderbar sind, Software von Drittanbietern auch über eigene App Stores zugänglich und nutzbar ist und diese in Rankings transparent, fair und diskriminierungsfrei berücksichtigt werden.

Die Bußgelder für Verstöße gegen den DMA können bis zu 20 Prozent des weltweiten Vorjahresumsatzes betragen.

Die Gatekeeper sind aktuell mit der Umsetzung des DMA befasst. Für Nutzer der Plattformen wird es im kommenden Jahr spannend zu beobachten sein, inwieweit der Wettbewerb dadurch offener wird.

Digital Services Act

Der „Digital Services Act“ („DSA“) zielt auf einen besseren Schutz der Verbraucher und ihrer Grundrechte im Internet. Der DSA ist am 16. November 2022 in Kraft getreten und wird am 17. Februar 2024 wirksam. Vor dem Hintergrund dieser Zielsetzung soll für die Haftung von Online-Plattformen wegen unrechtmäßiger Inhalte (z.B. Verkauf gefälschter Produkte, Hass und Hetze) ein einheitlicher Rechtsrahmen geschaffen werden und für mehr Transparenz bei der Verwendung von Algorithmen und Online-Werbung gesorgt werden.

Der persönliche Anwendungsbereich ist sehr weit. Er erfasst zum einen sog. „vermittelnde Online-Dienste“. Hierzu zählen Vermittlungsdienste mit einem eigenen Infrastrukturnetz, etwa Internetanbieter, und Hosting-Dienste im Bereich Cloud und Webhosting. Erfasst sind des Weiteren Online-Plattformen wie Online-Marktplätze, App-Stores oder Social-Media-Plattformen.

Neben den üblichen Folgen bei Rechtsverstößen wie wettbewerbsrechtlichen Abmahnungen, einstweiligen Verfügungen und dergleichen sieht der DSA Bußgelder von bis zu sechs Prozent des weltweiten Vorjahresumsatzes des Anbieters vor. Angesichts der Außenwirkung und der verschiedenen möglichen Rechtsfolgen einer unzureichenden Erfüllung der DSA-Anforderungen sollten Plattformbetreiber das Jahr 2023 intensiv nutzen, um die Anforderungen des DSA umzusetzen.

Artificial Intelligence Act

Der „Artificial Intelligence Act“ („AI-Act“) befindet sich noch im Entwurfsstadium (Link zum Entwurf) Der aktuelle Entwurf der Verordnung stammt vom 6. Dezember 2022. Die Verordnung soll einen einheitlichen Rechtsrahmen für vertrauenswürdige KI-Systeme etablieren sowie einheitliche Regeln für deren Entwicklung, Vermarktung und Verwendung innerhalb der EU im Einklang mit ihren Werten und den Grundrechten schaffen.

Der AI-Act unterteilt KI-Systeme nach ihrem potenziellen Risiko (unannehmbares, hohes, geringes, minimales Risiko). Danach ist die Anwendung von KI-Systemen mit unannehmbarem Risiko verboten. Hochrisiko-KI-Systeme werden demgegenüber umfangreich reguliert. Bei KI-Systemen mit geringem oder minimalem Risiko (z.B. Chatbots, Deepfakes, Videospiele, Spamfilter, Suchalgorithmen) findet kaum noch eine Beschränkung statt. Hier bestehen vor allem Transparenzpflichten.

Im Falle von Verstößen gegen Vorgaben des AI-Act drohen Unternehmen signifikante Bußgelder von bis zu 30 Mio. Euro bzw. 6 % des weltweiten Vorjahresumsatzes.

Angesichts der nach derzeitigem Stand des AI-Acts sehr weit gefassten Definition eines KI-Systems ist davon auszugehen, dass eine Vielzahl softwarebasierter Technologien in den Anwendungsbereich des AI-Act fallen könnten. Auch die Einordnung der KI-Systeme in die vorgegebenen Risikokategorien wird Betroffene vor Herausforderungen stellen. Es wird derzeit davon ausgegangen, dass der Umsetzungsaufwand über solche der DSGVO hinausgehen könnten. Unternehmen sollten schon jetzt beginnen, Art und Umfang des Einsatzes von selbstlernenden Algorithmen zu dokumentieren, um später Grundlagenarbeit bei der Erfassung und Dokumentation der KI-Systeme zu vermeiden.

Data Governance Act

Der „Data Governance Act“ („DGA“) ist am 23. September 2022 in Kraft getreten und wird am 24. September 2023 wirksam werden (Link zu unserem Blogbeitrag)

Der DGA soll einen europäischen Datenraum in strategisch wichtigen Bereichen schaffen. Ziel ist es, die Verfügbarkeit von Daten zur Nutzung zu fördern. Dies will die Verordnung u.a. durch die Weiterverwendung öffentlicher Datensätze, die gemeinsame Datennutzung durch Unternehmen gegen Entgelt und die Ermöglichung der Nutzung personenbezogener Daten für Einzelpersonen mithilfe von Datenmittlern erreichen.

Der DGA wiederum fügt sich als Bindeglied in zwei weitere neuere Gesetzgebungsinitiativen ein: Einerseits ergänzt er die Richtlinie (EU) 2019/1024 (sog. Open Data-Richtlinie) aus dem Jahr 2019, die es öffentlichen Einrichtungen vorschreibt, nicht-personenbezogene Daten zur Weiterverarbeitung zur Verfügung zu stellen, soweit sie an diesen alle Rechte besitzen. Zum anderen schlägt er die Brücke zum Datenaustausch und der Kooperation zwischen Privaten, welche der Data Act zum Ziel hat. Anders als die Open Data-Richtlinie nimmt der DGA durch Rechte am geistigen Eigentum geschützte Daten, Geschäftsgeheimnisse und personenbezogene Daten in den Blick, der sachliche Anwendungsbereich wird also deutlich erweitert. Dabei nimmt der DGA insbesondere öffentliche Einrichtungen in den Fokus. Diese sollen eine Weiterverwendung der o.g. Datenarten ermöglichen.

Darüber hinaus etabliert der DGA ein Governance-Framework zur Nutzung solcher Daten, indem Anforderungen an Dienste zur gemeinsamen Datennutzung und Datengenossenschaften formuliert und die Möglichkeit der Datenspende durch Einzelpersonen geregelt werden.

Bußgelder sieht der DGA nicht vor. Da der DGA vor allem einen Rahmen vorgibt, aber keine konkreten Pflichten zur Umsetzung, insbesondere keine Verpflichtung zur öffentlichen Bereitstellung von Datensätzen, ist für 2023 keine breite praktische Relevanz zu erwarten.

Data Act

Der „Data Act“ befindet sich – anders als der DGA – noch im Gesetzgebungsverfahren. Der Vorschlag der Kommission stammt vom 24. Februar 2022 (Link zum Entwurf). Der Data Act soll eine breitere Nutzung des Potentials insbesondere maschinengenerierter Daten eröffnen und regeln, wer die in der EU von den Nutzern erzeugten Daten nutzen darf und Zugriff darauf erhält.

Der aktuelle Entwurf der Verordnung trifft – mit Ausnahme kleinere Anpassungen am Datenbankurheberrecht – keine Regelungen zur Frage des Eigentums an Daten. Er regelt vielmehr das Recht der Nutzer auf Zugang und Nutzung ihrer nutzergenerierten Daten, Verbot unangemessener Vertragsklauseln in standardisierten Datenlizenzverträgen, Recht auf Datenzugang und -nutzung durch öffentliche Stellen, Bestimmungen zur Erleichterung des Wechsels von Service Providern sowie Anforderungen an deren Interoperabilität.

Der Data Act sieht Bußgelder von bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Vorjahresumsatzes vor.

Der Data Act wird – sofern er verabschiedet wird – eine ganz erhebliche Praxisrelevanz entfalten. Unternehmen werden unter anderem ihre Datenschutz-Managementsysteme auf nicht-personenbezogene Daten erweitern müssen. Dies wird auch die Frage aufwerfen, inwieweit die Rolle der Datenschutzabteilung auf eine generelle Data Compliance erweitert wird. Angesichts dieser weitgehenden Auswirkungen sollte die Entwicklung im Gesetzgebungsprozess 2023 sehr engmaschig verfolgt werden.

NIS-2-Richtlinie

Die NIS-2-Richtlinie wurde am 27. Dezember 2022 veröffentlicht und tritt am 16. Januar 2023 in Kraft. Mitgliedstaaten müssen sie bis zum 17. Oktober 2024 in nationales Recht umsetzen.

Durch NIS2 soll der Anwendungsbereich der bisherigen NIS-1-Richtlinie drastisch ausgeweitet werden. Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen Euro sollen künftig unter NIS2 fallen, wenn sie in einem kritischen Sektor tätig sind. Die Auflistung der kritischen Sektoren soll dabei signifikant erweitert werden. Danach fallen künftig etwa auch Hersteller von Medizingeräten, Cloud-Provider oder Rechenzentren darunter. Zum etwas schwächer regulierten „wichtigen Sektor“ zählen künftig der gesamte industrielle Sektor, Hersteller von Computern sowie die Branchen Maschinenbau und Mobility. Unternehmen im Anwendungsbereich von NIS2 müssen Risikoanalyse- und Sicherheitskonzepte für die Informationssysteme, die Bewältigung von Zwischenfällen, die Offenlegung von Schwachstellen sowie die Gewährleistung der Sicherheit in der Lieferkette schaffen. Betreiber kritischer Infrastrukturen müssen außerdem aufgrund des geänderten BSI-Gesetzes ab dem 1. Mai 2023 Systeme zur Angriffserkennung verwenden (Link zu unserem Blogbeitrag).

Die Aufsichtsmaßnahmen und Durchsetzungsanforderungen der nationalen Behörden sollen strenger gefasst werden. Der Bußgeldrahmen soll bei wesentlichen Einrichtungen mindestens 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes umfassen, bei wichtigen Einrichtungen mindestens 7 Mio. Euro oder 1,4 %.

Unternehmen müssen sich auf erheblich verschärfte Vorschriften zur Cybersicherheit ab 2024/25 einstellen, die mit dem technischen Datenschutz abzustimmen sind. Angesichts des benötigten Vorlaufs sollten Unternehmen unbedingt schon im Jahr 2023 mit der konkreten Umsetzung beginnen.

Cyber Resilience Act

Am 15. September 2022 hat die EU-Kommission einen ersten Entwurf für einen Cyber Resilience Act („CRA“) vorgestellt (Link zum Entwurf). Das Gesetzgebungsverfahren läuft nun.

Die Verordnung soll EU-weite Cybersicherheitsstandards für Hersteller und Distributeure von Produkten mit digitalen Bestandteilen (vernetzte Geräte und Dienste), nicht aber für Software als Dienstleistung (z.B. SaaS), festlegen. Der CRA unterteilt die IT-Produkte in drei Sicherheitskategorien: die sog. Standardkategorie einerseits, welche voraussichtlich ca. 90% der IT-Produkte (z.B. Fotoverarbeitungsprodukte, intelligente Lautsprecher) abbilden wird, andererseits die kritische Klasse I (bspw. Passwort-Manager) und kritische Klasse II (z.B. CPUs). Der CRA sieht gesteigerte Sicherheitspflichten für solche IT-Produkte vor, insbesondere mit Blick auf Sicherheitsupdates und die Gewährleistung einer transparenten und lückenlosen Aufklärung der Verbraucher. Auch trifft Hersteller künftig die Pflicht zur Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden gegenüber der ENISA und den Nutzern.

Angesichts der Cyber-Bedrohungen ist mit einem Inkrafttreten noch im laufenden Jahr zu rechnen. Nach aktuellem Entwurf soll er 12 bzw. 24 Monate danach wirksam werden. Betroffene Unternehmen sollten die Gesetzgebung angesichts des erforderlichen Vorlaufs für die Umstellung der Prozesse im Blick behalten.

ePrivacy-Verordnung

Um die umstrittene „ePrivacy-Verordnung“ ist es sehr ruhig geworden. Wir erwarten keine substanziellen Fortschritte im Jahr 2023. Auch mögliche Inhalte der „ePrivacy-Verordnung“ sind nicht verlässlich prognostizierbar. Die praktische Relevanz im kommenden Jahr ist entsprechend gering.

Digital Operational Resilience Act

Für die Finanzbranche hat das EU-Parlament am 10. November 2022 den Digital Operational Resilience Act („DORA“) verabschiedet, der am 16. Januar 2023 in Kraft getreten ist und ab dem 17. Januar 2025 wirksam wird. Ziel des DORA ist es, zu Zwecken der digitalen Betriebsstabilität Cybersicherheit-Standards von Finanzinstituten zu vereinheitlichen und teilweise zu verschärfen (Link).

Beaufsichtigte Unternehmen müssen ein umfassendes und gut dokumentiertes IKT-Risikomanagement-Rahmenwerk unterhalten, das Strategien, Richtlinien, Protokolle, Instrumente und Frühwarnindikatoren zum wirksamen Schutz von IT-Netzwerken, -Infrastrukturen und -Systemen umfasst. Für beaufsichtigte Firmen gelten auch verschärfte Meldepflichten, z.B. die Meldung eines tatsächlichen oder vermuteten größeren IKT-bezogenen Vorfalls an die zuständige Behörde innerhalb eines engen Zeitrahmens. Unternehmen müssen zudem sicherstellen, dass ihre IKT-Drittdienstleister angemessen hohe Informationssicherheitsstandards erfüllen und ein Register führen, das bestimmte Informationen über diese Dienstleister enthält. Die beaufsichtigten Unternehmen müssen auch sicherstellen, dass ihr Vertrag mit jedem dritten IKT-Dienstleister bestimmte vorgeschriebene Vertragsbestandteile enthält.

Mit DORA werden auch IKT-Dienstleister, die als „kritisch“ für das ordnungsgemäße Funktionieren des Finanzsektors in der EU eingestuft werden, zum ersten Mal der Aufsicht durch eine der Europäischen Aufsichtsbehörden unterstellt. Die Behörden werden auch beurteilen, ob kritische IKT-Dienstleister über ausreichende Regeln, Verfahren, Mechanismen und Vorkehrungen verfügen, um die IKT-Risiken, die aus den Dienstleistungen und Produkten von Finanzunternehmen resultieren, zu managen.

Aufsichtsbehörden können Informationen und Dokumente direkt von diesen Anbietern anfordern und erhebliche Geldstrafen verhängen, wenn sie diesen Anforderungen nicht nachkommen. DORA soll nach einer Umsetzungsfrist von zwei Jahren zum Jahreswechsel 2024/2025 wirksam werden.

III. Gesetzgebungsverfahren Deutschland

Die Bundesregierung hatte sich im Koalitionsvertrag (Link zu unserem Blogbeitrag) bei der Regulierung im Bereich Datenschutz und Datenrecht einiges vorgenommen wie ein Forschungsdatengesetz, ein Mobilitätsdatengesetz, ein Gesundheitsdatennutzungsgesetz oder neue Regelungen zum Beschäftigtendatenschutz. Für 2023 dürften im Datenrecht folgende Entwicklungen zu erwarten sein:

Lieferkettensorgfaltspflichtengesetz

Seit dem 1. Januar 2023 gilt das Lieferkettensorgfaltspflichtengesetz, zunächst für Unternehmen mit mehr als 3.000 und ab 2024 auch für Unternehmen mit mehr als 1.000 Beschäftigten. Damit müssen Unternehmen weitere Prüfungspflichten in das Dienstleistermanagement integrieren.

Hinweisgeberschutzgesetz

Das vom Bundestag am 16. Dezember 2022 beschlossene Hinweisgeberschutzgesetz (HinSchG) wird die europäische Whistleblowing-Richtlinie umsetzen (Link zu unserem Blogbeitrag). Nach dieser müssen Unternehmen interne und externe Meldekanäle einrichten, die Hinweisgeber zur Aufdeckung und Ahndung von Missständen oder Gesetzesverstößen nutzen können.

Das Gesetz sieht praxisrelevante umfangreiche Pflichten vor, die dem Ausgleich unternehmerischer Interessen einerseits und dem Schutz von Whistleblowern andererseits dienen. Dabei sind insbesondere die Grundsätze „Data Protection by Design/Default”, angemessene technische und organisatorische Maßnahmen, Betroffeneninformation nach Art. 13, 14 DSGVO, insbesondere auch gegenüber den in der Meldung genannten Personen, die Löschung der Meldung und Prozesse zur Beantwortung von Betroffenenanfragen zu beachten.

Bei letzteren ist insbesondere genau zu prüfen, inwieweit bei Auskunftsverlangen nur eine eingeschränkte Auskunft zulässig ist. Das kann der Fall sein, wenn entweder die Untersuchungen oder die Vertraulichkeit des Meldenden (§ 8 HinSchG) nicht gefährdet werden dürfen.

Das HinSchG wird im April 2023 in Kraft treten und sodann auf alle Unternehmen ab 250 Beschäftigten anwendbar sein. Für Unternehmen mit 50 bis 249 Beschäftigten gibt es eine „Schonfrist“: Auf diese ist das Gesetz erst ab dem 17. Dezember 2023 anwendbar.

Einwilligungsverwaltungs-Verordnung

Im Jahr 2023 wird wohl die Einwilligungsverwaltungs-Verordnung (EinwVO) verabschiedet, die die Regelung aus § 26 TTDSG zu Personal Information Management-Systemen (PIMS) konkretisiert (Link zu unserem Blogbeitrag). Webseitenbetreiber sollen danach Einstellungen, die Nutzer in akkreditierten Diensten vornehmen, berücksichtigen, anstatt selbst Einwilligungen einzuholen. Angesichts der Kritik an dem Verordnungsentwurf und weil diese PIMS-Dienste erst akkreditiert werden müssen, ist für die Praxis im Jahr 2023 noch kein Handlungsdruck zu erwarten, auch wenn der Entwurf der EinwVO keine Übergangsfrist vorsieht.

Mobilitätsdatengesetz

Ende 2023 ist daneben ein Referentenentwurf für ein Mobilitätsdatengesetz zu erwarten. Das Bundesministerium für Digitales und Verkehr hat hierzu bereits den Konsultationsprozess angestoßen und erarbeitet Regelungsinhalte in Abstimmung mit Unternehmen, Zivilgesellschaft und Forschung. Mögliche Inhalte sind Regelungen zur kommunalen und überregionalen Nutzung von Verkehrs- und Mobilitätsdaten zur Verbesserung der Nah- und Fernverkehrsangebote, Regelungen zur weitergehenden Nutzung von Mobilitätsdaten bspw. in Forschung und Entwicklung sowie Regelungen zur Zugänglichkeit von Mobilitätsdaten.

Gesundheitsdatennutzungsgesetzes

Entwicklungen zeichnen sich schließlich auch im Bereich der Gesundheitsdaten ab: Der Bundesrat machte im Dezember 2022 mit einer Entschließung zur Ausgestaltung eines Gesundheitsdatennutzungsgesetzes Druck auf das Bundesministerium, einen Gesetzesentwurf vorzulegen.

Fazit & Ausblick

Eine ausführlichere Darstellung findet sich im Februarheft des Datenschutz-Beraters. Über die zahlreichen EuGH-Verfahren, die im Bereich des Datenschutzrechts in den kommenden Monaten ergehen, informieren wir Sie am 26.01.2023 im nächsten Blog-Beitrag.