12. Juni 2023Datenschutz, Informationstechnologie, Künstliche Intelligenz

EU-Datenregulierung für Unternehmen: Ein umfassender Überblick

Viele Unternehmen stehen vor der Herausforderung, sich in dem komplexen Dschungel der digitalen Gesetzgebung in Europa zurechtzufinden. Es gibt eine Vielzahl von horizontalen und vertikalen Gesetzen, die bereits in Kraft sind oder sich noch in der Entwicklung befinden. Diese Gesetze können sich teilweise widersprechen und machen es Unternehmen schwer, den Überblick zu behalten.

In diesem Artikel möchten wir Ihnen einen umfassenden Überblick über die neuesten Entwicklungen und Trends in der EU-Digitalgesetzgebung geben. Der Fokus liegt auf den Acts DMA, DSA, DA, DGA, AIA und EHDS. Wir werden die wichtigsten Regelungen und Entwürfe in den entsprechenden Abschnitten behandeln. Wir zeigen Ihnen, wie Sie als betroffenes Unternehmen die relevanten Rechtsvorschriften identifizieren und priorisieren können. So können Sie mögliche Geschäftsrisiken besser einschätzen und entsprechende Maßnahmen ergreifen.

Der Digital Markets Act (DMA): Regulierung von Online-Plattformen und Compliance-Anforderungen für Torwächter

Der Digital Markets Act (DMA) zielt auf die Regulierung der digitalen Märkte und insbesondere der großen Online-Plattformen, die als sog. Torwächter („Gatekeeper“) die digitalen Märkte kontrollieren. Regelungsadressat:innen sind die von den Torwächtern betriebenen zentralen Plattformdienste, die in Art. 2 Abs. 2 Nr. 2 lit. a-j abschließend aufgezählt sind. Dazu gehören z.B. Online-Vermittlungsdienste, Online-Suchmaschinen, Online-Dienste sozialer Netzwerke sowie virtuelle Assistenten. Ob eine digitale Plattform als Torwächter anzusehen ist, bestimmt sich nach qualitativen und quantitativen Kriterien. In qualitativer Hinsicht sind vor allem die Auswirkungen der Plattform auf den Binnenmarkt, ihre Mittlerfunktion zwischen gewerblichen Nutzer:innen und Endnutzer:innen sowie die voraussichtliche Solidität und Dauerhaftigkeit ihrer Tätigkeit von Bedeutung. In quantitativer Hinsicht kommt dem Überschreiten bestimmter Schwellenwerte eine Indizwirkung zu: Es wird unter anderem vermutet, dass der unionsweite Jahresumsatz in jedem der letzten drei Geschäftsjahre mindestens 7,5 Mrd. EUR oder die Marktkapitalisierung mindestens 75 Mrd. EUR betragen hat und der Dienst mindestens 45 Mio. monatlich aktive Endnutzer:innen und 10.000 jährlich aktive gewerbliche Nutzer:innen in der EU hat.

DMA-Verhaltensvorgaben für Torwächter: Sideloading, Interoperabilität und Zugang zu Servicedaten

Zur Regulierung von Online-Plattformen stellt der DMA zahlreiche Verhaltensvorgaben für Torwächter auf. Alle Vorgaben entfalten unmittelbare Rechtswirkung und sind direkt anwendbar. So verpflichtet Art. 5 die Torwächter dazu, das Sideloading von Apps zu ermöglichen, Interoperabilität zu gewährleisten und den Nutzer:innenn Zugang zu den Servicedaten der Plattform zu gewähren. Dies hat insbesondere bei Apple für Unmut gesorgt, da das Sideloading es Nutzer:innenn ermöglicht, Apps unter Umgehung des App Stores auf ihren Apple-Geräten zu installieren. Apple sieht dadurch die Sicherheit der Nutzer:innen gefährdet, da der App Store eine sichere Umgebung für seine Nutzer:innen bietet und alle Apps einer strengen Prüfung unterzogen werden, bevor sie zum Download bereitgestellt werden.

DMA-Verstöße und Sanktionen: Strafen, Zusammenschlussverbot und Zuständigkeit der Kommission

Bei Verstößen gegen die DMA-Verhaltensregeln drohen Strafen von bis zu 10%, bei wiederholten Verstößen bis zu 20% des weltweiten Jahresumsatzes. Bei systematischen Regelverstößen kann sogar ein zeitlich befristetes Zusammenschlussverbot verhängt werden. Für die Anwendung des DMA ist allein die Kommission zuständig. Nationale Behörden haben keine Durchsetzungsbefugnis.

DMA in Kraft: Fristen für Torwächter und Umsetzung der Vorgaben

Der DMA ist am 1. November 2022 in Kraft getreten und gilt seit dem 2. Mai 2023. Bis zum 3. Juli 2023 haben potenzielle Torwächter Zeit, der Kommission mitzuteilen, dass sie zentrale Plattformdienste betreiben. Die Kommission prüft dann innerhalb der folgenden 45 Arbeitstage (also bis spätestens 6. September 2023), ob das betreffende digitale Unternehmen als Torwächter einzustufen ist. Ist dies der Fall, erlässt sie eine sogenannte Benennungsentscheidung. Bis spätestens 6. März 2024 müssen die benannten Gatekeeper die Vorgaben umsetzen.

DMA: Selbstkontrolle und Compliance-Anforderungen für Gatekeeper

Der DMA setzt stark auf Selbstkontrolle. Ein fein abgestimmtes Compliance Management System spielt daher eine zentrale Rolle. Die Gatekeeper sind verpflichtet, Compliance-Maßnahmen mit den ihnen vorgegebenen Verhaltensregeln nachzuweisen und eine mit weitreichenden Befugnissen ausgestattete Compliance-Funktion in ihrem Unternehmen einzurichten, die für die interne Überwachung der Pflichten aus dem DMA zuständig ist. Darüber hinaus besteht eine umfassende Berichtspflicht. Danach müssen die Gatekeeper innerhalb von sechs Monaten nach ihrer Bestellung einen Bericht über die getroffenen Maßnahmen vorlegen.

Der Digital Services Act (DSA): Einheitliche Regulierung für sicheren Online-Raum

Der Digital Services Act (DSA) wird die Aktivitäten von Anbieter:innen digitaler Dienste einheitlich regeln. Ziel ist es, einen sicheren digitalen Raum frei von illegalen Inhalten zu schaffen und die Grundrechte der Nutzer:innen zu schützen.

Der DSA richtet sich im Wesentlichen an digitale Vermittlungsdienste (B2B und B2C), die Nutzer:innen Zugang zu Waren, Dienstleistungen und Inhalten verschaffen. Dabei sieht der DSA verschiedene Regulierungsebenen vor:

  • Stufe 1: Vermittlungsdienste (Transit-, Caching- und Hosting-Dienste)
  • Stufe 2: Verschärfte Regeln für bestimmte Hosting-Dienste
  • Stufe 3: Online-Plattformen
  • Stufe 4: sehr große Online-Plattformen und Suchmaschinen

Danach gelten für alle Vermittlungsdienste grundlegende Sorgfaltspflichten, wie z.B. die Einrichtung zentraler Anlaufstellen, die Einhaltung von Transparenzvorgaben bei der Gestaltung der Allgemeinen Geschäftsbedingungen sowie jährliche Transparenzberichtspflichten.

Besondere Pflichten für Hostingdienste und Online-Plattformen: Meldeverfahren, Beschwerdemanagement und Schnittstellenvorgaben

Für Hostingdienste werden besondere Pflichten in Bezug auf Melde- und Abhilfeverfahren auferlegt, während für Online-Plattformen zusätzlich die Einrichtung eines internen Beschwerdemanagement- und Streitbeilegungssystems vorgesehen ist. Die Entscheidungen des Beschwerdemanagements dürfen nicht ausschließlich automatisiert getroffen werden. Vielmehr muss es unter der Aufsicht von qualifiziertem Personal stehen. Es ist jedoch ausreichend, wenn die automatisierten Ergebnisse anschließend von menschlichen Entscheidungsträgern überprüft werden. Hervorzuheben sind auch die allgemeinen Schnittstellenvorgaben für Online-Plattformen. Der DSA verbietet jede Gestaltung, Organisation oder Betriebsweise der Online-Schnittstelle, durch die Nutzer:innen getäuscht, manipuliert oder sonst in ihrer Entscheidungsfreiheit beeinträchtigt oder behindert werden können. Damit soll in der Praxis der Verwendung von sog. „Dark Patterns“, also verhaltensmanipulierenden Designs und Prozessen, ein Riegel vorgeschoben werden.

DSA-Compliance: Herausforderungen für große Plattformen und Suchmaschinen

Den größten Compliance-Aufwand haben sehr große Plattformen und Suchmaschinen zu bewältigen. Neben den für alle Plattformanbieter:innen geregelten Transparenzpflichten für Online-Werbung und dem eingeschränkten Profiling-Verbot verlangt das Gesetz von den Anbieter:innen der 4. Stufe zusätzlich die Einrichtung eines auf ihren Online-Schnittstellen verfügbaren Archivs, das neben dem Werbeinhalt und dem Werbenden unter anderem auch Angaben zu den wichtigsten Parametern für die personalisierte Darstellung der Werbung enthalten muss.

DSA-Bußgelder und Durchsetzungsmaßnahmen: Risiken bei Verstößen

Bei Verstößen gegen die Vorgaben des DSA drohen Bußgelder in Höhe von bis zu 6 % der Jahreseinnahmen bzw. des Jahresumsatzes. Zuständig sind von den Mitgliedstaaten benannte Behörden, von denen eine als „Digital Services Coordinator“ fungiert. Sie ist mit umfassenden Auskunfts-, Durchsuchungs-, Anordnungs- und Sanktionsrechten ausgestattet. Bei Maßnahmen gegen sehr große Online-Plattformen hat die Kommission ein Durchgriffsrecht.

DSA in Kraft: Sorgfalts- und Transparenzpflichten für Wertpapierdienstleistungen

Das DSA ist am 16. November 2022 in Kraft getreten und gilt im Wesentlichen ab dem 17. Februar 2024 (einzelne Regelungen gelten bereits seit dem 16. November 2022; vgl. hierzu Art. 93). Die im Rahmen des DSA geregelten umfassenden Sorgfalts- und Transparenzpflichten für Wertpapierdienstleistungen betreffen alle Bereiche unternehmerischen Handelns. Sie sind bereits bei der technischen Ausgestaltung der Dienste zu berücksichtigen.

Data Governance Act (DGA): Förderung der Datenverfügbarkeit und Stärkung der Datenwirtschaft

Der Data Governance Act (DGA) zielt darauf ab, die Verfügbarkeit von Daten zu fördern, indem das Vertrauen in bestimmte Akteure, die Daten bereitstellen, erhöht und die Mechanismen für die gemeinsame Nutzung von Daten in der EU gestärkt werden. Um dieses Ziel zu erreichen, konzentriert sich die Verordnung auf vier verschiedene Regelungsbereiche:

  • Die Weiterverwendung geschützter Daten im „Besitz“ des öffentlichen Sektors,
  • die Stärkung der Datenvermittlungsdienste als Schlüsselrolle in der Datenwirtschaft,
  • die Förderung des Datenaltruismus, d.h. die Erhöhung der Datenverfügbarkeit durch freiwillige Datenspenden und
  • die Einrichtung eines Europäischen Innovationsrats, eines beratenden Gremiums, das fachlichen Input für die Entwicklung von Leitlinien für europäische Datenräume liefern soll.

DGA und Datenzugang: Bedingungen für die Weiterverwendung von Daten

Wesentlich für das Verständnis des Gesetzes ist, dass es keinen Anspruch auf Datenzugang regelt. Vielmehr regelt das Gesetz nur die Bedingungen, unter denen die (als zulässig unterstellte) Weiterverwendung ausgestaltet werden soll. Technische Hürden für die Weiterverwendung von Daten sollen durch Interoperabilität und ein angemessenes Schutzniveau überwunden werden. Darüber hinaus wird ein Registrierungs- und Aufsichtsrahmen für Datenintermediäre geschaffen. „Anerkannte datenaltruistische Organisationen“ haben die Möglichkeit, Privilegierungen zu erhalten.

Termine und Zuständigkeiten: Umsetzung des DGA in der EU

Die Regelungen des am 23. Juni 2022 in Kraft getretenen DGA gelten ab dem 24. September 2023. Bis dahin soll der bereits erwähnte Dateninnovationsrat eingerichtet werden. Die Überwachung und Registrierung von Datenintermediären sowie die Festlegung etwaiger Sanktionen (keine Höchstgrenzen seitens der EU) bleibt den Mitgliedstaaten überlassen.

Das könnte Sie auch interessieren:

Data Act (DA): Datenzugang, Herstellerpflichten und Bußgelder im Fokus

Der Data Act (DA) regelt, wer unter welchen Bedingungen auf Daten zuzugreifen darf, die bei der Nutzung eines Internet-of-Things-Produkts oder damit verbundener Dienste erzeugt werden. Zentrales Anliegen des Gesetzes ist es, eine faire Verteilung der Wertschöpfung aus Daten zwischen den Akteuren der Datenwirtschaft zu gewährleisten. Der DA schafft neue Datenzugangsrechte und regelt in Teilen die rechtlich zulässigen Formen der Datennutzung zwischen Privaten, sowohl B2B als auch B2C.

Datenzugang und Verpflichtungen für Hersteller:innen: Der Data Act (DA) im Fokus

Um eine gerechtere Verteilung der Datenwertschöpfung zu erreichen, statuiert der DA vor allem Pflichten für Hersteller:innen und Entwickler:innen von Produkten, die bei der Nutzung der entsprechenden Produkte anfallenden Daten den Nutzer:innen zur Verfügung zu stellen. Dabei wird nur der Zugang zu den Daten geregelt, die das jeweilige Produkt über seine Nutzung oder seine Umgebung erhält, erzeugt oder sammelt und die von dem Produkt über einen elektronischen Kommunikationsdienst übertragen werden können. Das entsprechende Auskunftsrecht verpflichtet zugleich den Dateninhaber:innen als weiteren Adressaten:innen des DA. Dieser hat den sog. „Access by Design“ sicherzustellen. Eine Ausnahme gilt für Klein- und Kleinstunternehmen.

Fairness und Cloud-Switching: Allgemeine Regelungen im Data Act (DA)

Darüber hinaus enthält der DA allgemeine Regelungen zu fairen und diskriminierungsfreien Datenbereitstellungspflichten, zu spezifischen AGB-Kontrollen von Vertragsklauseln und zum (ausnahmsweise erzwingbaren) Zugang öffentlicher Stellen zu Daten im „Besitz“ von Unternehmen sowie zum sog. Cloud-Switching. Um das Cloud-Switching zu erleichtern, werden den Anbieter:innen weitreichende Pflichten auferlegt, die sich nicht nur auf den Zugang zu und die Herausgabe von Daten beschränken. Vielmehr enthält der DA detaillierte Vorgaben für die Vertrags- und AGB-Gestaltung. So sieht das Gesetz beispielsweise eine „funktionsäquivalente Datenübermittlung“ bei einem Wechsel des Cloud-Anbietenden vor. Was dies im Einzelnen bedeutet und wie dies umgesetzt werden soll, ist noch unklar.

DSGVO-Schutz und Dateninhaber:innenpflichten im Data Act (DA): Normenkollision vermeiden

Da der Schutzstandard der DSGVO durch den DA unberührt bleiben soll, werden dem Dateninhaber:innen Prüf- und Handlungspflichten auferlegt. Er muss beurteilen, ob die vom Herausgabeersuchen betroffenen Daten (auch) personenbezogene Daten enthalten. Soweit dies der Fall ist, muss sichergestellt werden, dass eine Rechtsgrundlage nach der DSGVO für die Herausgabe der Daten gegeben ist. Insoweit besteht die Gefahr einer Normenkollision: Werden Daten dem Anwendungsbereich der DSGVO fehlerhaft zugerechnet und wird mit dieser Begründung der Zugang auf Grundlage des DA verweigert, begründet dies zugleich einen Verstoß gegen den DA. Daher kommt der zutreffenden Zuordnung der Daten eine hohe Relevanz zu.

Bußgelder und Anwendung des DA

Bei Verstößen gegen die Verpflichtungen aus dem DA können Bußgelder in Höhe von bis zu 20 Mio. EUR bzw. bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Die Verabschiedung des DA wird für 2024 erwartet. Unter Berücksichtigung der gesetzlich vorgesehenen Übergangsfrist von 12 Monaten ist mit einer Anwendung ab Ende 2025 zu rechnen.

Der Artificial Intelligence Act (AIA): Regulierungsansatz, Anwendungsbereich und Compliance-Maßnahmen für Unternehmen

Vor dem Hintergrund der zunehmenden Nutzung algorithmischer Systeme soll der Artificial Intelligence Act (AIA) den Rechtsrahmen für „trustworthy AI“ mittels eines sektoralen, risikobasierten und anthropozentrischen Regulierungsansatzes bilden. Ziel ist es, Unternehmen in die Lage zu versetzen, die Wettbewerbsvorteile der KI-Technologie zu nutzen und die Wirtschaft im Binnenmarkt zu stärken. Dabei richtet sich der AIA sowohl an Anbieter:innen, die solche KI-Systeme auf den Markt bringen (unabhängig davon, wo der/die Anbieter:in niedergelassen ist), als auch an deren Nutzer:innen, die sich in der EU befinden. Die Bestimmungen des AIA gelten auch für Anbieter:innen oder Nutzer:innen von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das von dem System erzeugte Ergebnis in der Union genutzt wird.

Whitepaper zur KI Verordnung

Definition von Künstlicher Intelligenz im AIA: Autonomie und Anwendungsbereich im Fokus

Für den Geltungsbereich des AIA ist von zentraler Bedeutung, was unter KI im Sinne des Rechtsakts zu verstehen ist. Die Definition in Art. 3 Nr. 1 des Kommissionsentwurfs ist sehr weit gefasst und erfasst im Ergebnis nahezu jedes Computerprogramm. Da dies zu absurden Ergebnissen führen kann (man denke nur an einen Taschenrechner), wurden Überlegungen angestellt, den weiten Anwendungsbereich einzuschränken. Der Rat der EU ist der Ansicht, dass ein System nur dann unter die AIA fallen sollte, wenn es autonome Elemente enthält (…) und unter Verwendung von maschinellem Lernen und/oder logik- und wissensbasierten Ansätzen entscheidet, wie ein bestimmter Satz definierter Ziele erreicht werden kann. Das EU-Parlament wiederum möchte KI als ein System definieren, das so konstruiert ist, dass es mit unterschiedlichen Graden an Autonomie arbeitet und für explizite oder implizite Zwecke Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die Auswirkungen auf die physische oder virtuelle Umgebung haben können. Aus diesen Vorschlägen geht hervor, dass ein autonomes und adaptives System erforderlich ist, damit KI vorliegt.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Risikobasierter Regulierungsansatz im AIA: Anforderungen an Systeme mit hohem Risiko und Diskussion um Large Language Models

Der AIA verfolgt einen risikobasierten Regulierungsansatz. Je höher das Risiko, das von einem System ausgeht, desto strenger sind die Anforderungen, an denen sich das System messen lassen muss. Hauptregelungsgegenstand sind Systeme mit hohem Risiko (vgl. Art. 6 und Anhänge II und III). Für diese Systeme ist ein umfangreiches Pflichtenprogramm vorgesehen (z.B. Risikomanagement, Data Governance, Design-Vorgaben). Derzeit wird noch diskutiert, ob Large Language Models wie ChatGPT in diese Kategorie fallen und ob Ausnahmen vorgesehen werden sollen.

Transparenzpflichten für KI-Systeme mit geringem Risiko: Interaktion mit Menschen und Inhalteerstellung im Fokus

Für KI-Systeme mit geringem Risiko gelten Transparenzpflichten, wenn sie mit Menschen interagieren (z.B. durch Chatbots oder Emotionserkennung) oder bestimmte Inhalte erstellen (Art. 52). Unterhalb dieser Schwelle (minimales Risiko) greifen keine Verpflichtungen, aber es können freiwillige Verhaltenskodizes (Art. 69) statuiert werden. Systeme, die mit dem Wertesystem der EU unvereinbar sind, wie z.B. Social Scoring Systeme oder die biometrische Fernidentifikation in Echtzeit im öffentlichen Raum zu Strafverfolgungszwecken, sind gänzlich verboten.

Nationale Aufsicht und Bußgelder: Überwachung von KI-Anwendungen im AIA

Die Überwachung der betreffenden KI-Anwendungen soll durch die nationalen Aufsichtsbehörden erfolgen. Sie sind es auch, die etwaige Bußgelder verhängen, deren Schwellenwerte im AIA geregelt sind. Die Sanktionen können maximal 30 Mio. EUR oder 6 % des weltweiten Jahresumsatzes betragen.

AIA: Aktueller Stand und Zeitplan für Umsetzung und Anwendung

Zum Kommissionsentwurf vom 21. April 2021 hat der Rat der EU im Dezember 2022 einen gemeinsamen Standpunkt („allgemeine Ausrichtung“) festgelegt. Derzeit stehen noch die abschließende Positionierung des Europäischen Parlaments sowie die anschließenden Trilogverhandlungen aus. Aus heutiger Sicht ist mit einem Inkrafttreten des AIA in ca. einem Jahr und einer anschließenden dreijährigen Umsetzungsfrist zu rechnen. Mit einer Anwendung der Vorgaben des AIA ist daher erst ab 2027 zu rechnen.

Vorbereitung auf den AIA: Notwendige Maßnahmen und Compliance-Management für Unternehmen

Bis dahin ist es für betroffene Unternehmen ratsam, interdisziplinäre Teams zu bilden und die „KI-Assets“ zu identifizieren. Um später aufwändige Nachdokumentationen und Zwangsabschaltungen von Systemen zu vermeiden, ist es zudem notwendig, ein KI-Compliance-Management-System zu implementieren bzw. die Compliance-Anforderungen aus dem AIA in bestehende Compliance-Prozesse und -Dokumente zu integrieren. Ein besonderes Augenmerk sollten Unternehmen in ihren KI-Konzepten auf „Explainable Artificial Intelligence“ (XAI) legen. Da die Förderung von Innovationen im Bereich KI eng mit den anderen digitalen Rechtsakten verknüpft ist, empfiehlt es sich zudem, die Anforderungen der anderen Verordnungen im Blick zu behalten.

European Health Data Space (EHDS)

Der European Health Data Space (EHDS) ist eine Initiative der EU mit dem Ziel, die nationalen Gesundheitssysteme durch den Austausch von Gesundheitsdaten besser zu vernetzen und damit die medizinische Versorgung zu verbessern. Die bei der Verfolgung dieses Primärziels anfallenden Daten sollen gleichzeitig zur Verbesserung der medizinischen Forschung genutzt werden können (Sekundärziel).

Whitepaper zum European Health Data Space

EHDS: Adressat:innen und Anwendungsbereich für Hersteller:innen, Anbieter:innen und Nutzer:innen elektronischer Gesundheitsdaten

Adressat:innen des EHDS sind Hersteller:innen und Anbieter:innen von EHR-Systemen (elektronische Patientenakten) und Wellness-Anwendungen, die in der EU in Verkehr gebracht und in Betrieb genommen werden, sowie die Nutzer:innen solcher Produkte. Darüber hinaus richtet sich der EHDS an in der EU niedergelassene Verantwortliche und Auftragsverarbeiter, die elektronische Gesundheitsdaten von EU-Bürgern und Drittstaatsangehörigen, die sich rechtmäßig im Hoheitsgebiet der Mitgliedstaaten aufhalten, verarbeiten, sowie an Verantwortliche und Auftragsverarbeiter, die in einem Drittland niedergelassen sind und sich My Health@EU (der technischen Dateninfrastruktur für die grenzüberschreitende digitale Patientenversorgung) angeschlossen haben oder damit interoperabel sind. Eingeschlossen sind auch Datennutzer:innen, denen elektronische Gesundheitsdaten von Dateninhaber:innen in der EU zur Verfügung gestellt werden.

Der Datenraum im EHDS: Verwaltung, Datenaustausch und Sekundärnutzung für Forschung und Innovation

Der Datenraum wird sich auf drei Säulen stützen: ein solides Verwaltungssystem und Regeln für den Datenaustausch, die Sicherstellung der Datenqualität und die Gewährleistung einer soliden Infrastruktur und Interoperabilität. Bei der Sekundärnutzung von Daten sollen diese beispielsweise für Forschungszwecke, für das Training von KI und für die Entwicklung neuer Gesundheitsprodukte genutzt werden können. Hierfür ist nach den Plänen des EHDS keine Einwilligung der Betroffenen, sondern eine Genehmigung durch eine dafür zuständige Stelle erforderlich. Dazu muss offengelegt werden, wie und zu welchem Zweck die Daten verwendet werden sollen. Aufgrund der Masse der hierfür anfallenden Daten erscheint die konkrete Umsetzung dieses Vorhabens jedoch schwierig.

Sanktionen und Delegierte Rechtsakte: Durchsetzung und Rahmen für den Datenaustausch im EHDS

Bei Verstößen sollen die Mitgliedstaaten Sanktionen festlegen und mit Hilfe ihrer Behörden durchsetzen. Die Kommission soll durch delegierte Rechtsakte den Rahmen für den Datenaustausch schaffen.

Zeitlicher Rahmen und Herausforderungen für die Umsetzung des EHDS: Verzögerungen und Auswirkungen auf Ärzte und Ärztinnen

Auf den Entwurf der Kommission vom 3. Mai 2022 folgten mehrere Stellungnahmen des Rates der EU, in denen erhebliche Bedenken geäußert wurden. Wann es zu einer Einigung kommt, ist noch unklar. Selbst wenn man von einer Verabschiedung noch im Jahr 2023 ausgeht, tritt das Gesetz erst 12 Monate später in Kraft. Gemäß Art. 72 wird die volle Interoperabilität der EHR-Systeme um weitere drei Jahre verschoben. Der EHDS wird somit frühestens Ende 2027 voll funktionsfähig sein. Auf die Ärztinnen und Ärzte kommen dann hohe Kosten und ein hoher Aufwand zu, da sie verpflichtet werden, die Behandlungsdaten im EHR-System zu speichern.

Expertenunterstützung für datengetriebene Unternehmen: Klarheit und Sicherheit im Dschungel der EU-Digitalgesetzgebung

Datengetriebene Unternehmen sollten sich intensiv mit den jeweiligen Acts auseinandersetzen und darauf achten, dass die Geschäftsmodelle entsprechend der jeweiligen Acts gestaltet werden. Eine Anpassung an die Besonderheiten und Ausrichtungen der jeweiligen IT-Unternehmen erfordert eine detaillierte Auseinandersetzung mit den Acts sowie deren Zusammenspiel.

Unternehmen, die sich bereits mit dem komplexen Geflecht der europäischen digitalen Rechtsakte auseinandergesetzt haben, stehen häufig vor zahlreichen Fragen und Unsicherheiten. Kein Wunder, denn die bereits in Kraft getretenen und noch in Entwicklung befindlichen horizontalen und vertikalen Digitalrechtsakte können verwirrend sein und teilweise sogar widersprüchlich erscheinen. Unsere Rechtsanwältinnen und Rechtsanwälte sind darauf spezialisiert, Unternehmen dabei zu helfen, sich im Dschungel der EU-Digitalgesetzgebung zurechtzufinden. Vertrauen Sie auf unsere Expertise. Wir helfen Ihnen, Klarheit und Sicherheit auf diesem komplexen Rechtsgebiet zu schaffen. Gemeinsam finden wir Lösungen für Ihre Probleme und beantworten Ihre Fragen.

Sie haben tiefergehenden Beratungsbedarf zu den neuen EU-Datenregulierungen?

Jetzt unverbindlich kontaktieren
nach oben
Mehr zum Thema

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.