CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Die Digitalrechtsakte der EU (DGA, DSA, DMA, KI-VO-E und DA-E) – Teil II

Lars Pfeiffer, LL.M. / Jan Torben Helmke, LL.M.

Lars Pfeiffer, LL. M., ist Wissenschaftlicher Mitarbeiter am Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) an der Universität Kassel (Kontakt: lars.pfeiffer@uni-kassel.de).  Jan Torben Helmke, LL. M., ist Wissenschaftlicher Mitarbeiter am Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) an der Universität Kassel (Kontakt: helmke@uni-kassel.de).

ZD-Aktuell 2023, 01162   Data Governance Act (DGA), Digital Services Act (DSA), Digital Markets Act (DMA), Artificial Intelligence Act (KI-VO) und Data Act (DA) – den Überblick über die Regelungsgehalte der vieldiskutierten neuen Digitalrechtsakte zu behalten, fällt schwer. Im Rahmen einer vierteiligen Reihe mit tabellarischen Übersichten zu den genannten Rechtsakten soll (etwas) Abhilfe geschaffen werden. Die Übersichten beziehen sich dabei auf die jeweils finalen Fassungen von DGA, DSA und DMA sowie auf die Kommissionsentwürfe zur KI-VO und zum DA. Eine Aktualisierung der Übersichten ist nach Finalisierung der beiden Gesetzesvorhaben geplant. In diesem Beitrag werden Vorschriften, die Fragen des Datenschutzrechts, der Interoperabilität sowie der Vertrags- und Technikgestaltung berühren, dargestellt.

Teil I (Allgemeiner Gesamtüberblick – neben ausgewählten zentralen Inhalten – über die Ziele, Adressaten, Gestaltungsspielräume für die Mitgliedstaaten der EU sowie beispielhaft Querverbindungen zu anderen Rechtsakten) ist bereits erschienen, vgl. ZD-Aktuell 2023, 01125. In der nächsten Ausgabe (Teil III) findet sich eine Übersicht der neu geschaffenen Stellen, Rollen und Einrichtungen, der jeweiligen Sanktionsregime sowie der Vorschriften, in denen die Belange von KMU besondere Berücksichtigung erfahren. In der letzten Ausgabe (Teil IV) wird sich auf die Vielzahl neuer Rechte und Pflichten der EU-Kommission fokussiert, die derart umfangreich sind, dass sich hierfür ein gesonderter Teil angeboten hat.

 

Hinweis: Bei der Anfertigung solcher Übersichten beeinflussen wohl zwangsläufig die Interessen der Ersteller die Auswahl der Inhalte. Insofern sind interessierte Leserinnen und Leser herzlich dazu eingeladen, Anregungen, Verbesserungsvorschläge und Kritik – sowohl inhaltlicher als auch struktureller Natur – gegenüber den Verfassern zu kommunizieren. Diese Anregungen könnten bei der angesprochenen Aktualisierung der Übersichten berücksichtigt werden.

Folgende nicht-gebräuchliche Abkürzungen werden in den Übersichten verwendet: Digital Services Coordinators (DSCs); Mitgliedstaaten (MS); personenbezogene Daten (pbD); sehr große Online-Plattformen (VLOPs); zentrale Plattformdienste (zPd).

EU-Rechtsakt

Data Governance Act v. 30.5.2022

VO (EU) 2022/868 (DGA)

Digital Services Act v. 19.10.2022

VO (EU) 2022/2065 (DSA)

Digital Markets Act v. 14.9.2022

VO (EU) 2022/1925(DMA)

Kommissionsentwurf zur Verordnung über Künstliche Intelligenz v. 21.4.2021 (KI-VO-E)

COM (2021) 206 final

Kommissionsentwurf zum Data Act v. 23.2.2022 (DA-E)

COM (2022) 68 final

Vorschriften mit Bezug zum Datenschutzrecht

  • •Vorschriften zum Datenschutz haben Vorrang im Kollisionsfall (Art. 1 Abs. 3 S. 3 DGA), es werden keine Rechtsgrundlagen für die Verarbeitung pbD (Art. 1 Abs. 3 S. 4 Alt. 1 DGA) geschaffen und die Rechte und Pflichten der unionsrechtlichen Vorschriften über den Schutz pbD bleiben unberührt (Art. 1 Abs. 3 S. 4 Alt. 2 DGA).

  • •Übernahme einschlägiger Begriffsbestimmungen aus der DS-GVO (Art. 2 Nr. 3, Nr. 5, Nr. 7, Nr. 12 DGA).

  • •Verpflichtung öffentlicher Stellen zur Bemühung nach besten Kräften, mögliche Daten-Weiterverwender bei der Einholung der Einwilligung der betroffenen Personen zu unterstützen, soweit notwendig und ohne unverhältnismäßig hohen Aufwand machbar (Art. 5 Abs. 6 DGA).

  • •Datenschutzaufsichtsbehörden als potentielle Überprüfungsinstanz mit Sachkenntnis bei negativ beschiedenen Anträgen auf Daten-Weiterverwendung (Art. 9 Abs. 2 DGA).

  • •Regulierung von Vermittlungsdiensten zwischen betroffenen Personen, die sie betreffende pbD zugänglich machen wollen, und potenziellen Datennutzern (Art. 10 lit. b DGA).

  • •Befugnisse der für Datenvermittlungsdienste zuständigen Behörden lassen die der Datenschutzbehörden unberührt (Art. 13 Abs. 3 S. 1 DGA).

  • •Festlegung besonderer Anforderungen an datenaltruistische Organisationen zum Schutz der Rechte und Interessen betroffener Personen, u. a. Transparenzpflichten (Art. 21 Abs. 1 DGA) sowie die Verpflichtung zur Bereitstellung von Werkzeugen zur Einwilligungserteilung und -widerruf (Art. 21 Abs. 3 DGA).

  • •Verpflichtung der für die Eintragung altruistischer Organisationen zuständigen Behörden zur Zusammenarbeit mit den Datenschutzbehörden (Art. 23 Abs. 3 DGA).

  • •Verpflichtung der KOM zur Konsultation des EDSA vor Erlass eines Durchführungsrechtsaktes betreffend die Festlegung eines europäischen Einwilligungsformulars für Datenaltruismus (Art. 25 Abs. 1 S. 1; s. a. Abs. 3 DGA).

  • •Unionsvorschriften zum Schutz pbD bleiben unberührt (Art. 2 Abs. 4 lit. g DSA).

  • •Im Unterschied zum Vorgehen in etwa DGA und DMA: Verzicht auf Übernahme einschlägiger Begriffsbestimmungen aus der DS-GVO.

  • •Informationen in den Transparenzberichten von Anbietern von Online-Plattformen nach den Art. 24 Abs. 2 u. 3 DSA dürfen keine pbD enthalten (Art. 24 Abs. 3 S. 3 DSA).

  • •Verbot zur Ausgestaltung der Online-Schnittstellen von Anbietern von Online-Plattformen auf eine Art und Weise, die Nutzer in ihrer Fähigkeit beeinträchtigt, freie und informierte Entscheidungen zu treffen, gilt nicht für Praktiken, die unter die DS-GVO fallen (Art. 25 Abs. 2 DSA).

  • •Verbot für Anbieter von Online-Plattformen zur Anzeige von Werbung, die auf Profiling iSd DS-GVO unter Verwendung von besonderen Kategorien pbD i. S. v. Art. 9 Abs. 1 DS-GVO beruht (Art. 26 Abs. 3 DSA).

  • •Verbot für Anbieter von Online-Plattformen zur Anzeige von Werbung, die auf Profiling i. S. d. DS-GVO beruht, wenn sie hinreichende Gewissheit haben, dass der betreffende Nutzer minderjährig ist (Art. 28 Abs. 2 DSA). Dies begründet keine Pflicht zur Verarbeitung zusätzlicher pbD zur Feststellung der Minderjährigkeit (Abs. 3).

  • •Pflicht für VLOP-Anbieter, die Empfehlungssysteme verwenden, mindestens eine Option für jedes ihrer Empfehlungssysteme vorzulegen, die nicht auf Profiling iSd DS-GVO beruht (Art. 38 DSA).

  • •Das von VLOP-Anbietern verpflichtend vorzuhaltende Werbearchiv darf keine pbD der Nutzer enthalten, denen die Werbung angezeigt wurde (Art. 39 Abs. 1 S. 2 DSA).

  • •Pflicht der KOM zum Erlass delegierter Rechtsakte zur Festlegung der technischen Bedingungen, unter denen VLOP-Anbieter Daten gem. Art. 40 Abs. 1 u. 4 DSA zur Verfügung stellen müssen (Art. 40 Abs. 13 S. 1 DSA). Dabei werden auch die besonderen Bedingungen festgelegt, nach denen eine solche Datenweitergabe an Forscher im Einklang mit der DS-GVO erfolgen darf (Art. 40 Abs. 13 S. 2 DSA).

  • •Übernahme einschlägiger Begriffsbestimmungen aus der DS-GVO (Art. 2 Nr. 25, Nr. 31, Nr. 32 DMA).

  • •Verbote für Gatekeeper hinsichtlich bestimmter Verwendungs- und Zusammenführungsmöglichkeiten pbD, außer im Fall einer Einwilligung (Art. 5 Abs. 2 UAbs. 1 lit. a-d DMA).

  • •Normierung einer Zeitvorgabe hinsichtlich der Erneuerung von Einwilligungsersuchen für Gatekeeper: Zulässig ist nur die einmal jährliche Wiederholung des Einwilligungsersuchens für die Zwecke des Art. 5 Abs. 2 UAbs. 1 DMA (Art. 5 Abs. 2 UAbs. 2 DMA).

  • •Verwendungsverbot bestimmter nicht öffentlich zugänglicher Daten (u. a. Nutzungsdaten der Kunden) für Gatekeeper im Wettbewerb mit ihren gewerblichen Nutzern (Art. 6 Abs. 2 UAbs. 1 DMA).

  • •Recht auf Datenübertragbarkeit aus Art. 20 DS-GVO wird gegenüber Gatekeepern auch auf nicht selbst bereitgestellte Daten sowie nicht-pbD erweitert; zudem ist ein permanenter Echtzeitzugang zu diesen Daten zu gewährleisten (Art. 6 Abs. 9 DMA).

  • •Pflicht für Gatekeeper, ihren gewerblichen Nutzern kostenlos einen effektiven, hochwertigen und permanenten Echtzeitzugang zu aggregierten und nichtaggregierten Daten (auch pbD) einzuräumen und die Nutzung solcher Daten zu gewähren (Art. 6 Abs. 10 DMA).

  • •Pflicht für Gatekeeper, die Online-Suchmaschinen betreiben, ihren Wettbewerbern zu FRAND-bedingungen Zugang zu Ranking-­, Anfrage-­, Klick- und Ansichtsdaten zu gewähren; handelt es sich dabei um pbD, müssen diese anonymisiert werden (Art. 6 Abs. 11 DMA).

  • •Pflicht der Gatekeeper, sicherzustellen, dass ihre für die Einhaltung des DMA ergriffenen Maßnahmen u. a. im Einklang mit den unionsrechtlichen Datenschutzvorschriften stehen (Art. 8 Abs. 1 S. 3 DMA).

  • •Gatekeeper müssen geeignete Maßnahmen treffen, damit ihre gewerblichen Nutzer die für ihre Verarbeitung erforderliche Einwilligung unmittelbar erhalten können, sofern diese nach DS-GVO oder ePrivacy-RL erforderlich ist (Art. 13 Abs. 5 S. 1 DMA; s. a. S. 2).

  • •Pflicht für Gatekeeper zur Vorlage einer Beschreibung aller Techniken zum Verbraucher-Profiling, die er für einzelne oder alle seiner zPd verwendet (Art. 15 Abs. 1 S. 1 DMA). Diese Beschreibungen werden durch die KOM an den EDSA übermittelt (Art. 15 Abs. 1 S. 2 DMA). Alle im Rahmen von Art. 15 erhalten Informationen werden auch für die Zwecke der DS-GVO verwendet (Art. 36 Abs. 3 DMA).

  • •Übernahme der Legaldefinition von „biometrischen Daten“ nach Art. 4 Nr. 14 DS-GVO (Art. 3 Nr. 33 KI-VO-E).

  • •Erweiterung bestehender Möglichkeiten zur Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DS-GVO (Art. 10 Abs. 5 KI-VO-E).

  • •Nutzer von Hochrisiko-KI-Systemen verwenden die nach Art. 13 KI-VO-E bereitgestellten Informationen, um ggf. eine DSFA nach Art. 35 DS-GVO durchzuführen (Art. 29 Abs. 6 KI-VO-E).

  • •Sowohl der EDSB als auch die nationalen Datenschutzbehörden werden in den Betrieb von KI-Reallaboren miteinbezogen, sofern diese pbD verarbeiten (Art. 53 Abs. 1 und 2 KI-VO-E).

  • •Unter engen Voraussetzungen: Möglichkeit einer Aushebelung des Zweckbindungsgrundsatzes gem. Art. 5 Abs. 1 lit. b DS-GVO, indem pbD, die zu anderen Zwecken erhoben wurden, im KI-Reallabor weiterverarbeitet werden dürfen (Art. 54 KI-VO-E).

  • •Der EDSB ist Teil des Europäischen Ausschusses für KI (Art. 57 Abs. 1 KI-VO-E) und übernimmt in den Fällen, in denen Organe, Einrichtungen und sonstige Stellen der Union in den Anwendungsbereich dieser VO fallen, die Beaufsichtigung der zuständigen nationalen Behörden (Art. 59 Abs. 8, Art. 63 Abs. 6 KI-VO-E).

  • •Der EDSB kann zudem gegen Organe, Einrichtungen und sonstige Stellen der Union, die in den Anwendungsbereich dieser VO fallen, Geldbußen verhängen (Art. 72 Abs. 1 KI-VO-E).

  • •In der EU-Datenbank für eigenständige Hochrisiko-KI-Systeme dürfen pbD nur enthalten sein, soweit dies für die Erfassung und Verarbeitung von Informationen gem. dieser VO erforderlich ist (Art. 60 Abs. 4 KI-VO-E); die datenschutzrechtlich verantwortliche Stelle für die EU-Datenbank ist die KOM (Art. 60 Abs. 5 KI-VO-E).

  • •Für KI-Systeme nach Art. 63 Abs. 1 lit. a KI-VO-E, sofern diese für Strafverfolgungszwecke nach Anhang III Nr. 6 und 7 eingesetzt werden, benennen die MS als Marktüberwachungsbehörden entweder die für den Datenschutz zuständigen Aufsichtsbehörden oder die Strafverfolgungsbehörden (Art. 63 Abs. 5 KI-VO-E).

  • •Vorschriften über den Schutz pbD und auch die Befugnisse der Datenschutzaufsichtsbehörden bleiben unberührt (Art. 1 Abs. 3 DA-E).

  • •Festlegung einer Reihe an Vorschriften, die dem Datenminimierungsgrundsatz aus Art. 5 Abs. 1 lit. c DS-GVO ähneln (Art. 4 Abs. 2; Art. 5 Abs. 3; Art. 8 Abs. 5 DA-E).

  • •Erweiterung und Präzisierung des Rechts auf Datenportabilität aus Art. 20 DS-GVO (s. Art. 4 Abs. 1, Art. 5 Abs. 1, Art. 1 Abs. 3 S. 3 DA-E sowie eindeutig auch EG 31).

  • •Klarstellung, dass – bei Auseinanderfallen von Nutzer iSd DA-E und betroffener Person i. S. d. DS-GVO – der Dateninhaber pbD nur dann zur Verfügung stellen darf, wenn die Anforderungen aus Art. 6 Abs. 1 und Art. 9 DS-GVO erfüllt sind (Art. 4 Abs. 5; Art. 5 Abs. 6 DA-E).

  • •Versäumnisse des Dateninhabers oder des Datenempfängers bzgl. der Datenübermittlung i. S. d. DA-E dürfen keine Auswirkungen auf die Ausübung der Betroffenenrechte aus der DS-GVO mit sich bringen (Art. 5 Abs. 7 DA-E).

  • •Klarstellung, dass das Recht des Nutzers, eine Übermittlung seiner Nutzungsdaten an Dritte zu bewirken, nicht zulasten der Datenschutzrechte anderer Personen gehen darf (Art. 5 Abs. 9 DA-E).

  • •Festlegung von Pflichten des Datenempfängers bei der Verarbeitung der ihm bereitgestellten Daten enthält auch spezifische Pflichten mit Bezug zum Datenschutzrecht (Art. 6 Abs. 1, 2 DA-E).

  • •Datenbereitstellungsverlangen öffentlicher Stellen sollen soweit wie möglich keine pbD betreffen (Art. 17 Abs. 2 lit. d) DA-E.

  • •Wenn zur Erfüllung von Datenbereitstellungsverlangen öffentlicher Stellen die Offenlegung pbD erforderlich ist, muss der Dateninhaber angemessene Anstrengungen unternehmen, diese Daten zu pseudonymisieren (Art. 18 Abs. 5 DA-E; beachte bzgl. der öffentlichen Stellen selbst Art. 19 Abs. 1 lit. b DA-E).

  • •Datenschutzaufsichtsbehörden sind bzgl. des Schutzes pbD auch für die Überwachung der Anwendung des DA-E zuständig; Kap. VI und VII DS-GVO finden Anwendung (Art. 31 Abs. 2 lit. a DA-E). Pflicht zur Zusammenarbeit der zuständigen Behörden i. S. d. Art. 31 Abs. 1 DA-E mit den Datenschutzaufsichtsbehörden, um eine einheitliche Anwendung zu gewährleisten (Art. 31 Abs. 4 DA-E; s. dazu auch Art. 32 Abs. 3 S. 2 DA-E).

  • •Möglichkeit für die Datenschutzaufsichtsbehörden zur Verhängung von Bußgeldern bei Verstößen gegen die Pflichten der Kap. II, III und V (Art. 33 Abs. 3 DA-E; beachte auch die Kompetenz des EDSB in Abs. 4).

Vorschriften mit Auswirkung auf das Vertragsrecht

  • •Ausschließlichkeitsvereinbarungen i. S. v. Art. 4 Abs. 1 DGA dürfen nur unter besonderen Voraussetzungen vertraglich vereinbart werden (Art. 4 Abs. 2-6 DGA).

  • •Vertragliche Verpflichtungen von Daten-Weiterverwendern, die die Daten in ein nicht gem. Art. 5 Abs. 12 DGA benanntes Drittland übertragen wollen, als Zulässigkeitsvoraussetzung für die Übermittlung bestimmter Daten von öffentlichen Stellen an diese Weiterverwender (Art. 5 Abs. 10 DGA; s. a. die Befugnis der KOM zum Erlass von Mustervertragsklauseln in Form von Durchführungsrechtsakten in Art. 5 Abs. 11 UAbs. 2 S. 1 DGA).

  • •Verpflichtung für Anbieter von Datenvermittlungsdiensten, dass das Verfahren für den Zugang zu ihren Diensten für alle Marktseiten – auch in Bezug auf Preise und Geschäftsbedingungen – fair, transparent und nichtdiskriminierend ist (Art. 12 lit. f DGA).

  • •Pflicht zur Ergreifung angemessener technischer, rechtlicher und organisatorischer Maßnahmen, einschließlich vertraglicher Vereinbarungen, um die internationale Übertragung in der EU gespeicherter nicht-pbD oder den Zugang von Regierungsorganisationen zu diesen Daten zu verhindern, wenn dies im Widerspruch zu Unionsrecht oder dem nationalen Recht des MS stünde (Art. 31 Abs. 1 DGA).

  • •Zahlreiche Auswirkungen auf in die AGB verpflichtend aufzunehmende Informationen, insb. in den Art. 1423 und 27 DSA. Dazu zählen u. a.:

  • •Die Pflicht für Anbieter von Vermittlungsdiensten zur Aufnahme von Angaben zu etwaigen Beschränkungen in Bezug auf die von den Nutzern bereitgestellten Informationen, die sie im Zusammenhang mit der Dienste-Nutzung auferlegen (Art. 14 Abs. 1 S. 1 DSA), die Pflicht zur Information über wesentliche Änderungen der AGB (Art. 14 Abs. 2 DSA) sowie Anforderungen an die adressatengerechte Ansprache bei Minderjährigen (Art. 14 Abs. 3 DSA).

  • •Für VLOP-Anbieter zudem die Pflicht zur Zurverfügungstellung einer kompakten, leicht zugängliche und maschinenlesbaren Zusammenfassung der AGB (Art. 14 Abs. 5 DSA) sowie zur Veröffentlichung der AGB in den Amtssprachen aller MS, in denen sie ihre Dienste anbieten (Art. 14 Abs. 6 DSA).

  • •Die Pflicht der Anbieter von Online-Plattformen, in ihren AGB klar und ausführlich ihre Regeln für den Umgang mit der in den Art. 23 Abs. 1 u. 2 DSA genannten missbräuchlichen Verwendung darzulegen und Beispiele zu nennen für Tatsachen und Umstände, die sie bei der Beurteilung, ob ein bestimmtes Verhalten eine missbräuchliche Verwendung darstellt, berücksichtigen (Art. 23 Abs. 4 DSA).

  • •Die Pflicht der Anbieter von Online-Plattformen, die Empfehlungssysteme verwenden, in ihren AGB in klarer und verständlicher Sprache die wichtigsten Parameter, die in ihren Empfehlungssystemen verwendet werden, sowie alle Möglichkeiten für die Nutzer, diese Parameter zu ändern oder zu beeinflussen, darzulegen (Art. 27 Abs. 1 DSA).

  • •Für VLOP-Anbieter: AGB-Anpassung als potenzielle Risikominderungsmaßnahme iSd Art. 35 (Art. 35 Abs. 1 lit. b DSA).

  • •Verbot der vertraglichen, kommerziellen, technischen oder anderweitigen Segmentierung zPd, um dadurch die quantitativen Schwellenwerte des Art. 3 Abs. 2 DMA zu umgehen (Art. 13 Abs. 1 DMA).

  • •Pflicht für Gatekeeper zur Verwendung fairer, zumutbarer und diskriminierungsfreier Bedingungen hinsichtlich des Zugangs gewerblicher Nutzer zu seinen im Benennungsbeschluss nach Art. 3 Abs. 9 DMA aufgeführten Geschäften für Software-Anwendungen, Online-Suchmaschinen und Online-Diensten sozialer Netzwerke (Art. 6 Abs. 12 UAbs. 1 DMA; darüber hinaus Pflicht zur Veröffentlichung dieser Zugangsbedingungen in Art. 6 Abs. 12 UAbs. 2 DMA).

  • •Verbot unverhältnismäßiger Kündigungsbedingungen betreffend die Nutzung zPd (Art. 6 Abs. 13 DMA).

  • •Pflicht zur Erweiterung der Informationen, die Anbieter den Nutzern bei Vertragsschluss mitteilen müssen, u. a. (Rest-)Risiken oder Gebrauchsanweisungen (Art. 9 Abs. 4, Art. 13 KI-VO-E).

  • •Möglichkeit für Anbieter und Nutzer, eine vertragliche Vereinbarung über die von einem Hochrisiko-KI-System automatisch erzeugten Protokolle zu treffen, die die Aufbewahrung dieser Protokolle regelt (Art. 20 Abs. 1 KI-VO-E) und Pflicht, den Behörden auf Verlangen Zugang zu diesen Protokollen zu gewähren (Art. 23 KI-VO-E); das gilt auch für den Einführer (Art. 26 Abs. 5 KI-VO-E).

  • •Die von den Anbietern von Hochrisiko-KI-Systemen gem. Art. 13 Abs. 2 KI-VO-E verpflichtend beizufügenden Gebrauchsanweisungen (quasi: einseitig auferlegte Vertragsergänzung), denen die Nutzer Folge leisten müssen (Art. 29 Abs.1 KI-VO-E), lassen die sonstigen Pflichten der Nutzer nach Unionsrecht oder nationalem Recht sowie das Ermessen der Nutzer bei der Organisation ihrer eigenen Ressourcen und Tätigkeiten zur Wahrnehmung der vom Anbieter angegebenen Maßnahmen der menschlichen Aufsicht (Art. 14 KI-VO-E) unberührt (Art. 29 Abs. 2 KI-VO-E).

  • •Pflicht zum Abschluss einer angemessenen Haftpflichtversicherung für Konformitätsbewertungsstellen, die sich notifizieren lassen wollen, wenn die Haftpflicht nicht vom nationalen Recht des MS gedeckt ist oder dieser unmittelbar für die Durchführung der Konformitätsbewertung zuständig ist (Art. 33 Abs. 8 KI-VO-E).

  • •Bei Vergabe von mit der Konformitätsbewertung verbundenen Aufgaben an Unterauftragnehmer oder Zweigstellen durch eine notifizierte Stelle, muss diese sicherstellen, dass auch Unterauftragnehmer/Zweigstellen die Anforderungen des Art. 33 KI-VO-E erfüllen (Art. 34 Abs. 1 KI-VO-E).

  • •Möglichkeit für Anbieter oder Interessensvertretungen dieser Anbieter, sich vertraglich zur Einhaltung weiterer Anforderungen zu verpflichten, indem sie Verhaltenskodizes aufstellen (Art. 69 KI-VO-E).

  • •Produkthersteller und Erbringer verbundener Dienste müssen neue vorvertragliche Informationspflichten beachten (Art. 3 Abs. 2 lit. a-h DA-E).

  • •Dateninhaber dürfen nutzungsbasierte nicht-pbD nur noch auf Grundlage einer vertraglichen Vereinbarung mit dem Nutzer nutzen (Art. 4 Abs. 6 S. 1 DA-E).

  • •Die Eigenschaft von Daten als Geschäftsgeheimnisse sowie die Maßnahmen zur Wahrung der Vertraulichkeit sind in einer Vereinbarung zwischen Dateninhaber und dem Dritten festzulegen (Art. 5 Abs. 8 DA-E).

  • •Verbot für Datenempfänger, den Nutzer – etwa durch vertragliche Pflichten – daran zu hindern, die erhaltenen Daten auch anderen Parteien bereitzustellen (Art. 6 Abs. 2 lit. f DA-E).

  • •Dateninhaber und Datenempfänger müssen die Bedingungen für die Datenbereitstellung miteinander vereinbaren (Art. 8 Abs. 2 S. 1 DA-E); KMUs einseitig auferlegte und missbräuchliche Vertragsklauseln sind nicht bindend, ebenso solche, die die Ausübung der Rechte des Nutzers nach Kap. II ausschließen, davon abweichen oder deren Wirkung ändern (Art. 8 Abs. 2 S. 2 DA-E).

  • •Eine exklusive Datenbereitstellung von Dateninhaber an Datenempfänger ist nur dann zulässig, wenn der Nutzer dies gem. Kap. II verlangt hat (Art. 8 Abs. 4 DA-E).

  • •Zwischen Dateninhaber und Datenempfänger vereinbarte Gegenleistungen für die Datenbereitstellung müssen angemessen sein (Art. 9 Abs. 1 DA-E).

  • •Datenweitergabevereinbarungen, die zum Nachteil einer Partei oder ggf. zum Nachteil des Nutzers die Anwendung von Kap. III ausschließen, davon abweichen oder seine Wirkung ändern, sind für diese Partei nicht bindend (Art. 12 Abs. 2 DA-E).

  • •Verpflichtung zur Aufnahme der Rechte des Kunden und der Pflichten des Anbieters von Datenverarbeitungsdiensten in einem schriftlichen Vertrag (Art. 24 Abs. 1 S. 1 DA-E; s. auch den Mindestinhalt nach S. 2 lit. a-c).

  • •Pflicht der KOM zur Ausarbeitung und Empfehlung unverbindlicher Mustervertragsbedingungen für den Datenzugang und die Datennutzung (Art. 34 DA-E).

Vorschriften betreffend Interoperabilität

  • •Verbesserung der Interoperabilität innerhalb und zwischen Sektoren als Ausnahmetatbestand, der Anbietern von Datenvermittlungsdienste die Umwandlung des Formats erhaltener Daten in andere Formate gestattet (Art. 12 lit. d DGA).

  • •Verpflichtung für Anbieter von Datenvermittlungsdiensten zum Treffen geeigneter Maßnahmen, um die Interoperabilität mit anderen Datenvermittlungsdiensten zu gewährleisten (Art. 12 lit. i DGA).

  • •Pflicht der KOM zur Ausarbeitung eines Regelwerks in Form eines delegierten Rechtsakts, der u. a. Empfehlungen zu einschlägigen Interoperabilitätsnormen enthält (Art. 22 Abs. 1 lit. d DGA).

Interoperabilitätsbezogene Aufgaben des Europäischen Dateninnovationsrates, dazu gehören u. a.:

  • •die Unterstützung der KOM bei der Verbesserung der grenzüberschreitenden und sektorübergreifenden Interoperabilität von Daten (Art. 30 lit. g DGA), sowie

  • •die Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen, also zu zweck- oder sektorspezifischen oder auch sektorübergreifenden interoperablen Rahmen mit gemeinsamen Normen und Praktiken für die gemeinsame Nutzung oder Verarbeitung von Daten (Art. 30 lit. h DGA).

  • •Pflicht der KOM zur Unterstützung und Förderung der Entwicklung und Umsetzung freiwilliger Normen, die einschlägige europäische und internationale Normungsgremien u. a. in dem Bereich der Interoperabilität der in Art. 39 Abs. 2 DSA genannten Werbearchive festlegen (Art. 44 Abs. 1 lit. f DSA).

  • •Pflicht der KOM zum Erlass von Durchführungsrechtsakten zur Festlegung der praktischen und operativen Modalitäten für die Funktionsweise des Informationsaustauschsystems nach Art. 85 Abs. 1 DSA und dessen Interoperabilität mit anderen einschlägigen Systemen (Art. 85 Abs. 3 S. 1 DSA).

  • •Legaldefinition von Interoperabilität in Art. 2 Nr. 29 DMA.

  • •Pflicht der Gatekeeper zur Ermöglichung kostenloser und wirksamer Interoperabilität für Diensteanbieter und Anbieter von Hardware mit – und Zugang für Zwecke der Interoperabilität zu – den Hardware- und Softwarefunktionen, die für die vom Gatekeeper selbst bereitgestellten Dienste oder Hardware zur Verfügung stehen (Art. 6 Abs. 7 DMA).

  • •Verpflichtung für Gatekeeper, die nummernabhängige interpersonelle Kommunikationsdienste erbringen, für die Interoperabilität derer grundlegenden Funktionen mit den Diensten anderer Anbieter zu sorgen, indem sie kostenlos die für Interoperabilität erforderlichen Schnittstellen oder ähnliche Lösungen bereitstellen (Art. 7 Abs. 1 DMA; s. a. die je nach Funktion unterschiedlichen Fristen (Art. 7 Abs. 2 lit. a-c DMA), die Veröffentlichungspflicht der diesbezüglichen technischen Einzelheiten (Art. 7 Abs. 4 DMA) sowie die Befugnisse der KOM zum Erlass delegierter Rechtsakte zur Festlegung, auf welche Art und Weise diese Verpflichtungen zu erfüllen sind (Art. 12 Abs. 4 S. 1 DMA) und zum Erlass von diesen Bereich konkretisierenden Durchführungsrechtsakten in Art. 46 Abs. 1 lit. c DMA).

  • •Die KOM erhält die Möglichkeit, (sektorale) Initiativen zu ergreifen, um den Abbau technischer Hindernisse zu erleichtern, die den grenzüberschreitenden Datenaustausch im Zusammenhang mit der KI-Entwicklung behindern, u. a. in Bezug auf die Infrastruktur für den Datenzugang und die semantische und technische Interoperabilität verschiedener Arten von Daten (EG 81 KI-VO-E); EG 81 bezieht sich zwar auf Art. 69 KI-VO-E (Verhaltenskodizes), dort finden sich diese Vorgaben jedoch nicht wieder.

  • •Pflicht zur widerstandsfähigen Ausgestaltung von Hochrisiko-KI-Systemen ggü. Fehlern, Störungen oder Unstimmigkeiten, die innerhalb des Systems oder der Umgebung, in der das System betrieben wird – insbesondere wegen seiner Interaktion mit natürlichen Personen oder anderen System auftreten können – zur Gewährleistung der Interoperabilität (Art. 15 KI-VO-E ).

  • •Legaldefinition von Interoperabilität in Art. 2 Nr. 19 DA-E.

  • •Bestimmte Arten von Datenverarbeitungsdiensten müssen die Kompatibilität mit offenen Interoperabilitätsspezifikationen oder europäischen Interoperabilitätsnormen gewährleisten, die gem. Art. 29 Abs. 5 DA-E benannt wurden (Art. 26 Abs. 3 DA-E; beachte jedoch Abs. 4, falls es an solchen Spezifikationen oder europäischen Normen mangelt).

  • •Festlegung wesentlicher Interoperabilitätsanforderungen für die Betreiber von Datenräumen (Art. 28 Abs. 1 DA-E).

  • •Konkretisierung der offenen Interoperabilitätsspezifikationen und europäischen Normen für die Interoperabilität bei Datenverarbeitungsdiensten (Art. 29 DA-E), mit denen diese Dienste gem. Art. 26 Abs. 3 DA-E kompatibel sein müssen.

  • •In diesem Kontext: Weitreichende Kompetenzen der KOM zum Erlass delegierter Rechtsakte (Art. 28 Abs. 2 sowie Art. 29 Abs. 5 DA-E), zur Beauftragung europäischer Normierungsorganisationen gem. Art. 10 VO (EU) Nr. 1025/2012 (VO zur europäischen Normung) (Art. 28 Abs. 4 sowie Art. 29 Abs. 4 DA-E), zum Erlass von Durchführungsrechtsakten (Art. 28 Abs. 5 DA-E) sowie zur Annahme von Leitlinien (Art. 28 Abs. 6 DA-E).

Vorschriften mit Auswirkung auf Technikgestaltung

  • •Verpflichtung für Anbieter von Datenvermittlungsdiensten zur Sicherstellung eines angemessenen Sicherheitsniveaus bei der Verarbeitung von nicht-pbD (Art. 12 lit. l DGA; s. a. Art. 21 Abs. 4 DGA für die Anbieter von altruistischen Organisationen).

  • •Pflicht der KOM zur Ausarbeitung eines Regelwerks in Form eines delegierten Rechtsakts, der u. a. geeignete technische Anforderungen und Sicherheitsanforderungen enthält, um ein angemessenes Sicherheitsniveau für die Speicherung und Verarbeitung zu gewährleisten (Art. 22 Abs. 1 lit. b DGA), sowie Empfehlungen zu einschlägigen Interoperabilitätsnormen (Art. 22 Abs. 1 lit. d DGA).

  • •Pflicht zur Ergreifung angemessener technischer, rechtlicher und organisatorischer Maßnahmen, um die internationale Übertragung in der EU gespeicherter nicht-pbD oder den Zugang von Regierungsorganisationen zu diesen Daten zu verhindern, wenn dies im Widerspruch zu Unionsrecht oder dem nationalen Recht des MS stünde (Art. 31 Abs. 1 DGA).

  • •Anforderungen an die Ausgestaltung der verpflichtend einzurichtenden zentralen Kontaktstelle (Art. 12 Abs. 1 DSA).

  • •Pflicht für Anbieter von Hosting-Diensten und Online-Plattformen zur Einrichtung von Melde- und Abhilfeverfahren, die u. a. eine Übermittlung von Meldungen ausschließlich auf elektronischem Weg ermöglichen müssen (Art. 16 Abs. 1 DSA).

  • •Pflicht für Anbieter von Online-Plattformen, interne Beschwerdemanagementsysteme einzurichten, die eine elektronische und kostenlose Einreichung von Beschwerden ermöglichen (Art. 20 Abs. 1 DSA; s. Abs. 6 zur Frage der Zulässigkeit des Einsatzes automatisierter Mittel).

  • •Pflicht für Anbieter von Online-Plattformen zur Ergreifung der erforderlichen technischen und organisatorischen Maßnahmen, um sicherzustellen, dass Meldungen von vertrauenswürdigen Hinweisgebern vorrangig behandelt und unverzüglich bearbeitet und einer Entscheidung zugeführt werden (Art. 22 Abs. 1 DSA).

  • •Verbot der Verwendung von Dark Patterns für Anbieter von Online-Plattformen bei der Konzeption ihrer Online-Schnittstellen (Art. 25 Abs. 1 DSA).

  • •Die Werbe-Informationen gem. Art. 26 Abs. 1 lit. a-d DSA müssen den Nutzern in klarer, präziser und eindeutiger Weise und in Echtzeit angezeigt werden (Art. 26 Abs. 1 DSA; beachte zudem Abs. 2 UAbs. 1).

  • •Pflicht der Anbieter von Online-Plattformen, eine Funktion zugänglich zu machen, die es dem Nutzer ermöglicht, seine bevorzugte Empfehlungssystem-Option jederzeit auszuwählen und zu ändern (Art. 27 Abs. 3 DSA; s. bzgl. der Ausgestaltung von Empfehlungssystemen zudem Art. 38 DSA).

  • •Pflicht für Anbieter von Online-Plattformen, die für Minderjährige zugänglich sind, zur Einhaltung eines erhöhten Schutzstandards (Art. 28 Abs. 1 DSA).

  • •Pflicht für VLOP-Anbieter zur Ergreifung angemessener, verhältnismäßiger und wirksamer Risikominderungsmaßnahmen, die auf die gem. Art. 34 DSA ermittelten besonderen systemischen Risiken zugeschnitten sind (Art. 35 Abs. 1 DSA).

  • •Anforderungen an die technische Ausgestaltung der von VLOP verpflichtend vorzuhaltenden Werbearchive (Art. 39 Abs. 1 S. 1 DSA).

  • •VLOP-Anbieter müssen den Datenzugang gem. Art. 40 DSA erleichtern und über geeignete Schnittstellen, einschließlich Online-Datenbanken oder Anwendungsprogrammierschnittstellen, gewähren (Art. 40 Abs. 7 DSA; s. diesbezüglich auch die Kompetenz der KOM in Abs. 13 S. 1).

  • •Pflicht für Gatekeeper, ihren gewerblichen Nutzern die Option einzuräumen, auch ohne Nutzung der zPd des Gatekeepers mit den Endnutzern zu kommunizieren, diesen Werbung anzuzeigen und Vertragsschlüsse mit ihnen einzugehen (Art. 5 Abs. 4 DMA).

  • •Pflicht für Gatekeeper, ihren Endnutzern die Option einzuräumen, über seine zPd auch auf solche Elemente zuzugreifen und diese zu nutzen, die der Endnutzer bei dem betreffenden gewerblichen Nutzer ohne Nutzung des zPds erworben hat (Art. 5 Abs. 5 DMA).

  • •Gatekeeper dürfen von ihren Nutzern nicht verlangen, bestimmte Dienste (etwa Identifizierungs- oder Zahlungsdienste) des Gatekeepers selbst im Zusammenhang mit Diensten, die von den gewerblichen Nutzern der zPd erbracht werden, zu nutzen, anzubieten oder mit ihnen zu interoperieren (Art. 5 Abs. 7 DMA).

  • •Verbot für Gatekeeper, die Fähigkeit zur Nutzung ihres zPd an die Nutzung weiterer zPd zu koppeln (Art. 5 Abs. 8 DMA).

  • •Pflicht für Gatekeeper, ihren Endnutzern technisch die Möglichkeit einzuräumen, Software-Anwendungen auf seinem Betriebssystem auf einfache Weise zu deinstallieren (Art. 6 Abs. 3 UAbs. 1 DMA) sowie auf einfache Weise die Standardeinstellungen des Betriebssystems, virtuellen Assistenten und Webbrowsers zu verändern (Art. 6 Abs. 3 UAbs. 1 S. 1 DMA; s. a. S. 2).

  • •Pflicht für Gatekeeper, ihren Endnutzern technisch die Möglichkeit einzuräumen, Software von Dritten und von Dritten betriebene Geschäfte für Software-Anwendungen, die ihre Betriebssysteme nutzen oder mit diesen interoperieren, zu installieren und effektiv zu nutzen (Art. 6 Abs. 4 UAbs. 1 S. 1 DMA; s. a. S. 2 u. 3).

  • •Selbstbevorzugungsverbot des Gatekeepers bzgl. von ihm selbst angebotener Dienstleistungen und Produkte bei Ranking und damit verbundener Indexierung (Art. 6 Abs. 5 S. 1 DMA).

  • •Verbot der Gatekeeper, Dienste-Wechsel technisch oder anderweitig zu beschränken (Art. 6 Abs. 6 DMA).

  • •Technische Anforderungen an die Pflichten zur Gewährung von Datenzugang ggü. den unterschiedlichen Akteuren (Art. 6 Abs. 9-11 DMA).

  • •Auswirkungen der Interoperabilitätspflicht für Gatekeeper nummernunabhängiger interpersoneller Kommunikationsdienste auf die Technikgestaltung (Art. 7 DMA).

  • •Gatekeeper dürfen kein Verhalten an den Tag legen, dass die wirksame Einhaltung der Verpflichtungen aus den Art. 5-7 DMA untergräbt (etwa durch Verhaltenslenkungsmethoden oder Schnittstellengestaltung, Art. 13 Abs. 4 DMA).

  • •Gatekeeper dürfen für ihre Nutzer, die ihre Rechte und Möglichkeiten nach Art. 5-7 DMA wahrnehmen, die Qualität der zPd nicht einschränken, etwa durch Ausgestaltung der Struktur, Gestaltung, Funktion oder Art der Bedienung einer Benutzerschnittstelle (Art. 13 Abs. 6 DMA).

  • •Pflicht zur Ergreifung und Einhaltung notwendiger und verhältnismäßiger Schutzvorkehrungen und Bedingungen für die Verwendung eines biometrischen Echtzeit-Fernidentifizierungssystems in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken (Art. 5 Abs. 2 UAbs. 2 KI-VO-E).

  • •Pflicht zur Ausgestaltung von Hochrisiko-KI-Systeme, so dass eine automatische Aufzeichnung von Vorgängen und Ereignissen (Protokollierung) während des Betriebs stattfindet (Art. 12 KI-VO-E).

  • •Pflicht zur hinreichend transparenten Entwicklung von Hochrisiko-KI-Systemen (Art. 13 Abs. 1 KI-VO-E).

  • •Pflicht zur Konzipierung von Hochrisiko-KI-Systemen, so dass sie während der Dauer ihrer Verwendung von natürlichen Personen wirksam beaufsichtigt werden können (Art. 14 Abs. 1 KI-VO-E; zu den Vorkehrungen dafür s. Abs. 3 und 5).

  • •Die technische Ausgestaltung von Hochrisiko-KI-Systemen bzgl. ihrer Genauigkeit, Robustheit und Cybersicherheit bemisst sich anhand ihrer Zweckbestimmung (Art. 15 Abs. 1 KI-VO-E; zur Konkretisierung s. Abs. 2-4).

  • •Pflicht für Anbieter, ein Qualitätsmanagementsystem einzurichten, das u. a. die technische Prüfung des KI-Systems und dessen Qualität sowie Untersuchungs-­, Test- und Validierungsverfahren und Verfahren für das Datenmanagement, einschließlich diverser Vorgänge in Bezug auf Datenverarbeitung, umfasst (Art. 17 KI-VO-E).

  • •Pflicht für Anbieter zur technischen Dokumentation gem. Anhang IV (Art. 18 KI-VO-E).

  • •Pflicht für Anbieter, KI-Systeme so auszugestalten, dass die Systeme im Falle der Interaktion mit natürlichen Personen diesen mitteilen, dass sie es mit einem KI-System zu tun haben (Art. 52 Abs. 1 KI-VO-E).

  • •Berücksichtigung besonderer technischer Anforderungen bei dem Betrieb von KI-Reallaboren (Art. 53 ff. KI-VO-E).

  • •Pflicht für Anbieter, ein System zur Beobachtung nach dem Inverkehrbringen einzurichten, das im Verhältnis zur Art der KI-Technik und zu den Risiken des KI-Systems steht. Dieses System muss alle gesammelten Daten zur Leistung des KI-Systems aktiv und systematisch erfassen, dokumentieren und analysieren können (Art. 61 KI-VO-E).

  • •Produkthersteller und Erbringer verbundener Dienstleistungen müssen ihre Produkte/Dienstleistungen so erbringen, dass die bei ihrer Nutzung erzeugten Daten standardmäßig, sicher und – soweit relevant und angemessen – direkt zugänglich sind (Art. 3 Abs. 1 DA-E).

  • •Festlegung von Anforderungen bzgl. der Datenbereitstellung, wenn kein Direktzugang zu den Daten vom Produkt aus möglich ist (Art. 4 Abs. 1 DA-E).

  • •Festlegung von Anforderungen bzgl. der Datenweitergabe an Dritte (u. a. sind die Daten in derselben Qualität, die dem Dateninhaber zur Verfügung steht, offenzulegen; Art. 5 Abs. 1 DA-E).

  • •Verbot für datenempfangende Dritte, die Autonomie, Entscheidungsfähigkeit oder Wahlmöglichkeiten des Nutzers zu untergraben (Art. 6 Abs. 2 lit. a DA-E).

  • •Dateninhaber dürfen technische Schutzmaßnahmen anwenden, um unbefugten Datenzugang zu verhindern sowie die Einhaltung der Art. 5, 6, 9 und 10 DA-E und der für die Datenbereitstellung vereinbarten Vertragsbedingungen sicherzustellen (Art. 11 Abs. 1 S. 1 DAE; s. auch S. 2 zum Missbrauchsverbot dieser Maßnahmen).

  • •Bei Datenzugangsverlangen durch öffentliche Stellen, die pbD umfassen: Pflicht des Dateninhabers, angemessene Anstrengungen zu unternehmen, um die Daten zu pseudonymisieren (Art. 18 Abs. 5 DA-E).

  • •Anbieter von Datenverarbeitungsdiensten müssen u. a. technische Hindernisse beseitigen, die Kunden an den Möglichkeiten zum Anbieterwechsel hindern (Art. 23 Abs. 1 DA-E).

  • •Die Fähigkeit zur Einhaltung der gem. Art. 24 Abs. 1 S. 2 lit. a-c DA-E geforderten Mindestinhalte der Vertragsbedingungen für den Wechsel zwischen Anbietern von Datenverarbeitungsdiensten setzt voraus, dass bestimmte technische Grundlagen geschaffen werden (z. B. um die verbindlichen Übergangszeiträume einhalten zu können, vgl. lit. a und c).

  • •Wechselbezogene Pflichten für jeweils bestimmte Anbieter von Datenverarbeitungsdiensten, bspw. zur Ermöglichung von Funktionsäquivalenz unter bestimmten Umständen (Art. 26 Abs. 1 DA-E) sowie zur öffentlichen und kostenlosen Bereitstellung von Schnittstellen (Abs. 2).

  • •Pflicht für Anbieter von Datenverarbeitungsdiensten, u. a. angemessene technische Maßnahmen zur Verhinderung rechtswidriger internationaler Datenübermittlungen oder internationaler staatlicher Zugriffe zu ergreifen (Art. 27 Abs. 1 DA-E).

  • •Festlegung wesentlicher Anforderungen zur Erleichterung der Interoperabilität für Betreiber von Datenräumen (Art. 28 Abs. 1 UAbs. 1 lit. a-d DA-E).

  • •Festlegung wesentlicher Anforderungen an die Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden (Art. 30 Abs. 1 lit. a-d DA-E).

 



Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü