EU-Rechtsakt | Data Governance Act v. 30.5.2022 VO (EU) 2022/868 (DGA) | Digital Services Act v. 19.10.2022 VO (EU) 2022/2065 (DSA) | Digital Markets Act v. 14.9.2022 VO (EU) 2022/1925 (DMA) | Kommissionsentwurf zur Verordnung über Künstliche Intelligenz v. 21.4.2021 (KI-VO-E) COM (2021) 206 final | Kommissionsentwurf zum Data Act v. 23.2.2022 (DA-E) COM (2022) 68 final |
Ziel(e) | Aufbau eines gemeinsamen Rahmens für die Daten-Governance in der EU: Im Konkreten sollen die Bedingungen für die gemeinsame Datennutzung verbessert werden, indem u. a. Bedingungen für die Weiterverwendung bestimmter Daten im Besitz öffentlicher Stellen festgelegt werden sowie das Vertrauen in Datenvermittlungsdienste erhöht und ein Rahmen für Datenaltruismus geschaffen wird. | Festlegung einheitlicher Regeln für ein sicheres, berechenbares und vertrauenswürdiges Online-Umfeld, vor allem im Bereich der Online-Vermittlungsdienste: Die effektive Ausübung der Grundrechte – insb. etwa des Rechts auf Meinungs- und Informationsfreiheit, auf Nichtdiskriminierung sowie auf unternehmerische Freiheit – soll auch bei der Nutzung von Vermittlungsdiensten gewährleistet werden. | Schutz von Endnutzern und gewerblichen Nutzern der von Gatekeepern bereitgestellten zentralen Plattformdienste vor unfairen Praktiken durch Festlegung geeigneter, EU-weit einheitlicher regulatorischer Maßnahmen. | Harmonisierter Rechtsrahmen für vertrauenswürdige KI: Die Gewährleistung der Sicherheit und Grundrechtskonformität der innerhalb der Union in den Verkehr gebrachten und verwendeten KI-Systeme, die Förderung der Rechtsdurchsetzung in Bezug auf Sicherheitsanforderungen an KI-Systeme sowie die Erleichterung der Entwicklung eines reibungslos funktionierenden Binnenmarkts für rechtskonforme, sichere und vertrauenswürdige KI-Systeme. | Schaffung eines harmonisierten Rahmens, in dem festgelegt wird, wer unter welchen Bedingungen und auf welcher Grundlage berechtigt ist, auf die Daten zuzugreifen, die durch Produkte oder verbundene Dienste erzeugt werden. |
Adressaten | •Dateninhaber (Legaldefinition in Art. 2 Nr. 8 DGA). •Öffentliche Stellen (Legaldefinition in Art. 2 Nr. 17 DGA). •Datenvermittlungsdienste (Legaldefinition in Art. 2 Nr. 11 DGA; abschließend aufgeführt in Art. 10 Abs. 1 lit. a-c DGA). •Datenaltruistische Organisationen (Legaldefinition von „Datenaltruismus“ in Art. 2 Nr. 16 DGA).
| Vierfach abgestufter, asymmetrischer Regelungsansatz, bei der sich Art und Umfang der Pflichten an der jeweiligen Einordnung orientieren: •Stufe 1: Vermittlungsdienste (Durchleitungs-, Caching- und Hosting-Dienste gem. Art. 3 lit. g Nr. i-iii DSA; Pflichten in Art. 11-15 DSA). •Stufe 2: Hosting-Dienst (Legaldefinition in Art. 3 lit. g Nr. iii DSA; Pflichten in Art. 11-18 DSA). •Stufe 3: Online-Plattform (Legaldefinition in Art. 3 lit. i DSA; Pflichten in Art. 11-28 DSA bzw. bei Online-Plattformen, die den Abschluss von Fernabsatzverträgen ermöglichen, Art. 11-32 DSA). •Stufe 4: Sehr große Online-Plattform (VLOP; Einstufung gem. Schwellenwert in Art. 33 Abs. 1 DSA; Pflichten in Art. 11-43 DSA).
| Von „Gatekeepern“ betriebene zentrale Plattformdienste (Art. 1 Abs. 2 DMA). Dabei… •findet sich eine abschließende Aufzählung zentraler Plattformdienste in Art. 2 Nr. 2 lit. a-j DMA (u. a. Online-Vermittlungsdienste, Online-Suchmaschinen, Online-Dienste sozialer Netzwerke sowie virtuelle Assistenten). •erfolgt die Bestimmung von Gatekeepern anhand qualitativer (Art. 3 Abs. 1 lit. a-c DMA) und quantitativer (Art. 3 Abs. 2 lit. a-c DMA) Kriterien.
| •Anbieter (Legaldefinition Art. 3 Nr. 2 KI-VO-E) von KI-Systemen (Legaldefinition in Art. 3 Nr. 1 KI-VO-E), die solche Systeme in der Union in Verkehr bringen, unabhängig vom Niederlassungsort des Anbieters (Art. 2 Abs. 1 lit. a KI-VO-E). •Nutzer (Legaldefinition in Art. 3 Nr. 4 KI-VO-E) von KI-Systemen, die sich in der Union befinden (Art. 2 Abs. 1 lit. b KI-VO-E). •Anbieter und Nutzer von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das vom System hervorgebrachte Ergebnis in der Union verwendet wird (Art. 2 Abs. 1 lit. c KI-VO-E).
| •Hersteller von Produkten (Legaldefinition in Art. 2 Nr. 2 DA-E) und Erbringer verbundener Dienste (Legaldefinition in Art. 2 Nr. 3 DA-E), die in der Union in Verkehr gebracht werden sowie deren Nutzer (Art. 1 Abs. 2 lit. a DA-E). •Dateninhaber (Legaldefinition in Art. 2 Nr. 6 DA-E), die Datenempfängern in der Union Daten bereitstellen (Art. 1 Abs. 2 lit. b DA-E). •Datenempfänger (Legaldefinition in Art. 2 Nr. 7 DA-E) in der Union, denen Daten bereitgestellt werden (Art. 1 Abs. 2 lit. c DA-E). •Öffentliche Stellen (Legaldefinition in Art. 2 Nr. 9 DA-E), und Organe, Einrichtungen und sonstige Stellen der Union (Art. 1 Abs. 2 lit. d DA-E). •Anbieter von Datenverarbeitungsdiensten (Legaldefinition in Art. 2 Nr. 12 DA-E), die Kunden in der Union solche Dienste anbieten (Art. 1 Abs. 2 lit. e DA-E).
|
Zentrale Inhalte | Kap. II mit Regelungen zur Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen. Es werden u.a.: •grds. Ausschließlichkeitsvereinbarungen verboten (Art. 4 Abs. 1 DGA; Ausnahmen jedoch möglich, s. Abs. 2-5), •Bedingungen für die Weiterverwendung festgelegt (Art. 5 DGA), sowie •öffentlichen Stellen die Möglichkeit eingeräumt, Gebühren für die Erlaubnis zur Weiterverwendung zu verlangen (Art. 6 Abs. 1 DGA), wobei diese Gebühren bestimmten Kriterien gerecht werden müssen (Art. 6 Abs. 2-6 DGA).
Kap. III mit Anforderungen an Datenvermittlungsdienste. Beispielsweise… Kap. IV mit Regelungen zum Datenaltruismus. Dazu gehören u. a.: •die Pflicht zum Führen eines öffentliche Registers anerkannter datenaltruistischer Organisationen (Art. 17 DGA), •Anforderungen an die datenaltruistischen Organisationen selbst, um für eine Registereintragung in Betracht zu kommen (Art. 18 lit. a-e sowie Art. 21 DGA), •Vorgaben zum Registrierungsverfahren (Art. 19 DGA), •Transparenzverpflichtungen (Art. 20 DGA), •sowie die Ermächtigung der KOM zum Erlass eines europäischen Einwilligungsformulars für Datenaltruismus (Art. 25 DGA).
Kap. V mit Anforderungen an die für Datenvermittlungsdienste sowie für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden (Art. 26-28 DGA). Kap. VI zur Einsetzung eines „Europäischen Dateninnovationsrats“ durch die KOM (Art. 29 DGA) mit den Aufgaben nach Art. 30 DGA. Kap. VII mit der Verpflichtung zur Ergreifung bestimmter Maßnahmen, um unrechtmäßige internationale Datenübertragungen zu verhindern (Art. 31 DGA). Kap. VIII zur Übertragung der Befugnis an die KOM zum Erlass delegierter Rechtsakte (Art. 32 DGA) sowie zur Unterstützung der KOM durch einen Ausschuss i. S. d. VO (EU) Nr. 182/2011 (Komitologie-VO) (Art. 33 DGA). Kap. IX mit Schluss- und Übergangsbestimmungen zu Sanktionen (Art. 34 DGA), Zeitraum und Inhalte der Bewertung des DGA durch die KOM (Art. 35 DGA) sowie mit einer Übergangsregelung für Einrichtungen, die Datenvermittlungsdienste i. S. d. DGA bereits vor dem 23. Juni 2022 erbracht haben (Art. 37 DGA). | Kap. II mit Regelungen zu Haftungsprivilegien (Art. 4-8 DSA). Kap. III mit Sorgfaltspflichten für ein transparentes und sicheres Online-Umfeld. Dazu gehören u.a.: •die Pflicht zur Benennung von zentralen Kontaktstellen für Behörden (Art. 11 DSA) und Nutzer (Art. 12 DSA), •die Pflicht zur Einrichtung von Melde- und Abhilfeverfahren zur Meldung rechtswidriger Inhalte (Art. 16 DSA), •die Pflicht zur Implementierung von internen Beschwerdemanagementsystemen (Art. 20 DSA), •die Etablierung sog. „vertrauenswürdiger Hinweisgeber“, deren Meldungen vorrangig zu behandeln sind (Art. 22 DSA), •die Pflicht zur mindestens jährlichen Anfertigung von Berichten über die Moderation von Inhalten. Die Anforderungen an Inhalt, Umfang und Häufigkeit variieren dabei je nachdem, welcher Diensteanbieter adressiert wird (vgl. Art. 15, 24, 42 DSA), •Transparenzpflichten in Bezug auf Werbung (Art. 26 u. 39 DSA), •Transparenzpflichten in Bezug auf Empfehlungssysteme (Art. 27 u. 38 DSA), sowie •die Pflicht zur Gewährung von Datenzugang für ausgewählte Stellen (Art. 40 Abs. 1 DSA) und zugelassenen Forschern (Art. 40 Abs. 4 DSA).
Kap. IV mit Vorgaben zur Umsetzung, Zusammenarbeit, Sanktionen und Durchsetzung. Vorgesehen sind dabei u. a.: •die Pflicht der MS zur Einführung sog. „Koordinatoren für digitale Dienste“ (DSCs, Art. 49 Abs. 2 DSA), die gem. Art. 51 DSA umfangreiche Befugnisse eingeräumt bekommen, •die Einrichtung eines „Europäischen Gremiums für digitale Dienste“ (Art. 61 DSA), •ein umfangreiches erweitertes Aufsichtssystem für VLOPs (Art. 64-83 DSA), in dessen Rahmen der KOM u. a. eigene Untersuchungsbefugnisse (Art. 65-69, 72 DSA) sowie die Möglichkeit zur Bußgeldverhängung (Art. 74 DSA) eingeräumt wird, sowie •die Errichtung eines Informationsaustauschsystems für die mitgliedstaatlichen DSCs (Art. 85 DSA).
Kap. V mit Schlussbestimmungen etwa zur Änderung der eCommerce-RL (Art. 89 DSA) und der Verbandsklagen-RL (Art. 90 DSA) sowie zur Überprüfung und Bewertung des DSA durch die KOM (Art. 91 DSA). | Kap. II mit Vorgaben zur initialen Benennung von Gatekeepern (Art. 3 DMA) und zur regelmäßigen (Art. 4 Abs. 2 DMA) sowie anlassbezogenen (Art. 4 Abs. 1 DMA) Pflicht zur Überprüfung der Einstufung eines Dienstes als ein Gatekeeper durch die KOM. Kap. III mit Verhaltensgeboten und -verboten zur Verhinderung sowie Förderung bestimmter Verhaltensweisen von Gatekeepern. Dazu zählen u.a.: •Restriktionen im Umgang mit pbD, etwa bzgl. der dienstübergreifenden Zusammenführung und Weiterverwendung pbD (Art. 5 Abs. 2 lit. b-d DMA), •das Verbot, die Nutzer zur Verwendung bestimmter Gatekeeper-eigene Systeme (u. a. Identifizierungsdienste & Zahlungsdienste) zu verpflichten (Art. 5 Abs. 7 DMA), •das Verbot zur Verwendung bestimmter nicht-öffentlicher Daten von gewerblichen Plattformnutzern im Wettbewerb mit diesen (Art. 6 Abs. 2 DMA), •ein Selbstbevorzugungsverbot bzgl. Ranking, Indexierung und Auffindbarkeit (Art. 6 Abs. 5 DMA), •die Pflicht zur Ermöglichung effektiver Datenübertragbarkeit, u. a. durch Gewährleistung eines Echtzeitzugangs, für Endnutzer (Art. 6 Abs. 9 DMA), •die Pflicht zur Gewährung eines kostenlosen, effektiven, hochwertigen und permanenten Echtzeitzugangs zu bestimmten pbD sowie nicht-pbD (Art. 6 Abs. 10 DMA), •Interoperabilitätsvorgaben bei Gatekeepern nummernunabhängiger interpersoneller Kommunikationsdienste (Art. 7 DMA), sowie •Nachweispflichten bzgl. der Einhaltung der Vorschriften aus den Art. 5-7 DMA (Art. 8 Abs. 1 S. 1 DMA) und Transparenzpflichten bzgl. der ergriffenen Maßnahmen (Art. 11 DMA).
Kap. IV mit weitreichenden Marktuntersuchungsbefugnissen der KOM (Art. 16-19 DMA). Kap. V mit Vorgaben zu Untersuchungs-, Durchsetzungs- und Überwachungsbefugnissen. Zu nennen sind u a.: •die Kompetenz der KOM zum Erlass einstweiliger Maßnahmen (Art. 24 DMA), •die Kompetenz der KOM zum Erlass von „Nichteinhaltungsbeschlüssen“ (Art. 29 DMA), ergänzt durch die Möglichkeit zur Verhängung von Geldbußen (Art. 30 DMA), sowie •die Einrichtung eines interdisziplinär besetzten Expertengremiums zu Beratungszwecken („hochrangige Gruppe“, Art. 40 DMA).
Kap. VI mit Schlussbestimmungen etwa zu Kompetenzen der KOM zum Erlass von Durchführungsrechtsakten (Art. 46 DMA) und Leitlinien (Art. 47 DMA), zur Änderung der RL (EU) 2019/1937 (Whistleblower-RL) (Art. 51 DMA) und der RL (EU) 2020/1828 (Verbandsklagen-RL) (Art. 52 DMA), sowie zur Evaluierung des DMA durch die KOM (Art. 53 DMA). | Titel II mit einem Katalog an verbotenen Praktiken im Bereich der KI gem. Art. 5 KI-VO-E. Dazu gehören u.a.: •Systeme zur unbewussten Beeinflussung einer Person in einer Weise, die physische oder psychische Schäden mit sich bringen kann (Art. 5 Abs. 1 lit. a KI-VO-E; explizite Hervorhebung besonders schutzbedürftiger Gruppen in Art. 5 Abs. 1 lit. b KI-VO-E), •bestimmte Systeme, die von Behörden oder in deren Auftrag genutzt werden, zur Bewertung der Vertrauenswürdigkeit natürlicher Personen (Art. 5 Abs. 1 lit. c KI-VO-E), •Biometrische Echtzeit-Fernidentifizierungssysteme in öffentlichen Räumen zu Strafverfolgungszwecken (Art. 5 Abs. 1 lit. d KI-VO-E, mit den weiteren Bestimmungen von Art. 5 Abs. 2 bis 4 KI-VO-E).
Titel III mit der Bestimmung von Hochrisiko-KI-Systemen (Art. 6 und Anhang III KI-VO-E) und mit Anforderungen an diese Systeme (Art. 8-15 KI-VO-E), Pflichtenbestimmungen für Anbieter, Nutzer und andere Beteiligte (Art. 16-29 KI-VO-E), Regelungen zu Aufsichtsbehörden und -stellen (Art. 30-39 KI-VO-E) sowie zur Konformitätsbewertung (Art. 40-51 KI-VO-E). Zu den Anforderungen an Hochrisiko-KI-Systeme zählen u.a.: •die Pflicht zur Einrichtung von Risikomanagementsystemen (Art. 9 KI-VO-E), •Qualitätsanforderungen der für das KI-System verwendeten Datensätze (Art. 10 Abs. 2-5 KI-VO-E), •die Einhaltung von Transparenzpflichten ggü. Nutzern (Art. 13 KI-VO-E).
Titel IV mit Transparenzpflichten für bestimmte KI-Systeme, dazu zählen… •solche, die mit natürlichen Personen interagieren (Art. 52 Abs. 1 KI-VO-E), •Emotionserkennungssysteme und Systeme zur biometrischen Kategorisierung (Art. 52 Abs. 2 KI-VO-E), sowie •Deepfake-Technologien (Art. 52 Abs. 3 KI-VO-E).
Titel V mit Maßnahmen zur Innovationsförderung durch „KI-Reallabore“ (Art. 53, 54 KI-VO-E). Titel VI bis VIII mit Vorgaben zur Leitungs- und Durchführungsstruktur. Dazu gehören u.a.: •die Einrichtung eines „Europäischen Ausschusses für künstliche Intelligenz“ (Titel VI: Art. 56-58 KI-VO-E), •die Etablierung einer EU-Datenbank für Hochrisiko-KI-Systeme (Titel VII: Art. 60 i. V. m. Anhang VIII KI-VO-E), •die anbieterseitige Verpflichtung zur Einrichtung von Beobachtungssystemen und zur Meldung von schwerwiegenden Vorfällen oder Fehlfunktionen (Titel VIII: Art. 61, 62 KI-VO-E).
Titel IX mit Bestimmungen zur Aufstellung von Verhaltenskodizes (Art. 69 KI-VO-E). Titel X mit Sanktionsbestimmungen (Art. 71-72 KI-VO-E). Titel XI und XII mit Schlussbestimmungen. | Kap. II mit Vorgaben bzgl. der Datenweitergabe im B2C- sowie B2B-Verhältnis. Dazu gehören u.a.: •eine Art „data access by design“-Vorgabe für Produkthersteller und Erbringer verbundener Dienste (Art. 3 Abs. 1 DA-E), •umfangreiche vorvertragliche Informationspflichten (Art. 3 Abs. 2 lit. a-h DA-E), •das Recht der Nutzer auf Zugang zu im Rahmen ihrer Nutzung erzeugten Daten (Art. 4 Abs. 1 DA-E) sowie auf Echtzeit-Bereitstellung dieser Daten an Dritte (Art. 5 Abs. 1 DA-E), sowie •Vorgaben, wie – und vor allem wie nicht – Dritte, die auf Verlangen eines Nutzers dessen Daten erhalten, mit diesen Daten umgehen dürfen (Art. 6 DA-E).
Kap. III mit Pflichten für die Dateninhaber, die rechtlich verpflichtet sind, Daten bereitzustellen. Dazu zählen u.a.: •die Festlegung von Bedingungen der Datenbereitstellung, etwa die Verwendung von FRAND-Bedingungen (Art. 8 Abs. 1 DA-E), sowie •das grundsätzliche Verbot von Exklusivbereitstellungen (Art. 8 Nr. 4 DA-E).
Kap. IV zur missbräuchlichen Verwendung von KMU einseitig auferlegten Vertragsklauseln. Kap. V mit Vorschriften zur Bereitstellung von Daten für öffentliche Stellen wegen „außergewöhnlicher Notwendigkeit“. Dazu zählen u. a.: •die Mindestinhalte, die ein Datenbereitstellungsverlangen der öffentlichen Stellen enthalten muss (Art. 17 Abs. 1 DA-E) sowie weitere Anforderungen an das Datenverlangen (Art. 17 Abs. 2 lit. a-f DA-E), •die Verpflichtung für Dateninhaber, der anfragenden öffentlichen Stelle die betreffenden Daten unverzüglich bereitzustellen (Art. 18 Abs. 1 DA-E), sowie •die Festlegung von Pflichten der öffentlichen Stellen in Bezug auf den Umgang mit den erhaltenen Daten (Art. 19 DA-E).
Kap. VI mit Vorgaben zur Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten. Kap. VII mit Vorgaben bzgl. der Vornahme von Schutzvorkehrungen für nicht-pbD im internationalen Umfeld. Kap. VIII mit Vorgaben bzgl. der Interoperabilität für die Betreiber von Datenräumen (Art. 28 DA-E) sowie bei Datenverarbeitungsdiensten (Art. 29 DA-E). Kap IX mit Vorgaben zu Anwendung und Durchsetzung. Kap. X mit der Klarstellung, dass das sui generis Datenbankherstellerrecht aus Art. 7 RL 96/9/EG keine Anwendung auf die gem. DA-E bereitzustellenden Daten findet. Kap. XI mit Schlussbestimmungen. |
Ausgewählte Querverbindungen zu anderen Rechtsakten (s. zum Datenschutz Teil II) | •DGA regelt mit der Weiterverwendung bestimmter geschützter Daten im Besitz öffentlicher Stellen sozusagen den „Komplementärbereich“ zur RL (EU) 2019/1024 (PSI-RL). •Besondere unionsrechtliche Bestimmungen oder solche nationalen Rechts über den Zugang zu bestimmten Kategorien von Daten oder deren Weiterverwendung bleiben unberührt (Art. 1 Abs. 2 UAbs. 2 DGA; solche sind etwa § 12 a EGovG oder das IFG). •Sektorspezifisches Unionsrecht oder nationales Recht, das zusätzliche technische, administrative oder organisatorische Anforderungen an öffentliche Stellen, Anbieter von Datenvermittlungsdiensten oder Erbringer datenaltruistischer Dienste enthält, findet ergänzend Anwendung (Art. 1 Abs. 2 UAbs. 3 DGA). •Wettbewerbsrecht bleibt unberührt (Art. 1 Abs. 4 DGA). •Legaldefinition des „Dateninhabers“ in Art. 2 Nr. 8 DGA entspricht nicht der Definition aus Art. 2 Nr. 6 DA-E. •Verwechslungsgefahr: Der rechtswissenschaftliche Diskurs zu den Datenvermittlungsdiensten gem. Art. 10 lit. b DGA wird regelmäßig unter dem PIMS-Begriff geführt – ebenso wie der zu § 26 TTDSG, trotz abweichendem Regelungsgegenstand. •Öffentliche Stellen dürfen das Schutzrecht sui generis gem. Art. 7 Abs. 1 RL 96/9/EG (Datenbank-RL) nicht in Anspruch nehmen, um dadurch die Weiterverwendung von Daten zu verhindern oder über die Beschränkungen des DGA hinaus einzuschränken (Art. 5 Abs. 7 S. 2 DGA). •Befugnisse der für Datenvermittlungsdienste zuständigen Behörden lassen die Befugnisse der Datenschutzaufsichtsbehörden, der nationalen Wettbewerbsbehörden, der für Cybersicherheit zuständigen Behörden und anderer einschlägiger Fachbehörden unberührt (Art. 13 Abs. 3 S. 1 DGA). •Die Aufgaben des Dateninnovationsrates werden z. T. Auswirkungen auf andere Vorhaben und Rechtsakte mit sich bringen. So soll er u. a. die KOM bei der Entwicklung einheitlicher Leitlinien zu Cybersicherheitsanforderungen beim Austausch und der Speicherung von Daten unterstützen (Art. 30 lit. e DGA), sowie auch zahlreiche Themen rund um die Bildung der neuen europäischen Datenräume fördern (Art. 30 lit. f-h DGA). •Änderung von Anhang II der VO (EU) 2018/1724 (SDG-VO) (Art. 36 DGA).
| •Der DSA hat keine Auswirkung auf Anwendung der RL 2000/31/EG (eCommerce-RL) (Art. 2 Abs. 3 DSA). Gem. Art. 89 DSA lösen die Art. 4, 5, 6 und 8 DSA jedoch Art. 12-15 eCommerce-RL ab. •Weitestgehende Übernahme der Legaldefinition von Suchmaschinen aus Art. 2 Nr. 5 VO (EU) 2019/1150 (P2B-VO) (Art. 3 lit. j DSA). •DMA und DSA behandeln mit Ranking (Art. 2 Nr. 22 und Art. 6 Abs. 5 DMA) und Empfehlungssystemen (Art. 3 lit. s und Art. 27 DSA) teilweise denselben Regelungsgegenstand. •Die AGB-bezogenen Vorschriften des DSA (etwa Art. 14 u. 27 DSA) präzisieren die RL 93/13/EWG (Klausel-RL). •Die außergerichtliche Streitbeilegung gem. Art. 21 DSA lässt sowohl die alternativen Streitbeilegungsverfahren nach RL 2013/11/EU (ADR-RL) (Art. 21 Abs. 9 DSA) als auch die in § 16 UrhDaG vorgesehene Möglichkeit der außergerichtlichen Streitbeilegung im Falle einer öffentlichen Wiedergabe urheberrechtlich geschützter Werke (Art. 2 Abs. 4 lit. b sowie EG 11 DSA) unberührt. •Die Dark Pattern-Regelung aus Art. 25 Abs. 1 DSA findet keine Anwendung auf Praktiken, die unter die RL 2005/29/EG (UGP-RL) oder die DS-GVO fallen (Art. 25 Abs. 2 DSA). •Online-Schnittstellen von Fernabsatz-Plattformen sind gem. Art. 31 Abs. 1 DSA so zu konzipieren, dass Unternehmer ihren unionsrechtlichen Informationspflichten – wie etwa Art. 6, 8 RL 2011/83/EU (Verbraucherrechte-RL) sowie Art. 3 Nr. 13 VO (EU) 2019/1020 (Marktüberwachungs-VO) – nachkommen können. •Änderung von Anhang I der RL (EU) 2020/1828 (Verbandsklagen-RL) (Art. 90 DSA).
Zudem und vor allem ergeben sich zahlreiche Abgrenzungsfragen zum NetzDG, das wohl in weiten Teilen verdrängt wird, z. B.: •Vorschriften zu Transparenzberichten betreffend die Inhaltemoderation gem. Art. 15 Abs. 1 DSA verdrängen wohl § 2 NetzDG. •Bezogen auf die Melde- und Abhilfeverfahren kennen Art. 16 Abs. 6 und Art. 6 Abs. 1 DSA keine starren Fristen, anders als § 3 Abs. 2 NetzDG, der aufgrund des Bedarfs an unionseinheitlicher Auslegung wohl nicht mehr anwendbar ist. •Vorschriften zur Meldepflicht bei Verdacht auf Straftaten gem. Art. 18 DSA überschneiden sich teilweise mit § 3 a Abs. 2 NetzDG. Beachte aber EG 9 S. 3 DSA – ein eigenständiger Anwendungsbereich von § 3 a NetzDG verbleibt z. B. bei der Meldung staatsschützender Straftatbestände wie §§ 86, 86 a StGB. •Pflicht zur Implementierung eines internen Beschwerdemanagementsystems nach Art. 20 DSA ähnelt dem Gegenvorstellungsverfahren nach § 3 b NetzDG (zudem auch dem aus Art. 11 VO (EU) 2019/1150 (P2B-VO) für gewerbliche Nutzer von Online-Vermittlungsdiensten).
| •Märkte im Zusammenhang mit elektronischen Kommunikationsnetzen i. S. d. Art. 2 Nr. 1 RL (EU) 2018/1972 sowie im Zusammenhang mit elektronischen Kommunikationsdiensten i. S. d. Art. 2 Nr. 4 RL (EU) 2018/1972 werden nicht von der Verordnung erfasst (Art. 1 Abs. 3 DMA; das gilt jedoch nicht für nummernunabhängige interpersonelle Kommunikationsdienste, s. dazu Abs. 3 lit. b sowie Abs. 4 DMA). •Die Anwendung von Art. 101 u. 102 AEUV bleibt unberührt, ebenso wie weitere wettbewerbsrechtliche Vorschriften (Art. 1 Abs. 6 lit. a-c DMA). •Legaldefinitionen von „Online-Vermittlungsdiensten“ sowie „Online-Suchmaschinen“ unter Rückgriff auf die Begriffsbestimmungen in Art. 2 Nr. 2 und 5 VO (EU) 2019/1150 (P2B-VO) (Art. 2 Nr. 5, 6 DMA). •Legaldefinition von „Interoperabilität“ in Art. 2 Nr. 29 DMA entspricht nicht der Definition aus Art. 2 Nr. 19 DA-E. •Insgesamt teilweise stark überschneidender Regelungsgehalt zu § 19 a GWB, der dem BKartA die Befugnis einräumt, bei einem Unternehmen eine überragende marktübergreifende Bedeutung für den Wettbewerb festzustellen und im Falle dieser Feststellung bestimmte Handlungsweisen zu untersagen. •Erweiterung der datenzugangsbezogenen Transparenzpflicht aus Art. 9 VO (EU) 2019/1150 (P2B-VO) um ein Verwendungsverbot bestimmter Daten in bestimmten Konstellationen (Art. 6 Abs. 2 DMA). •Ebenso: Erweiterung der rankingbezogenen Transparenzpflicht aus Art. 5 VO (EU) 2019/1150 (P2B-VO) um ein Selbstbevorzugungsverbot beim Ranking (Art. 6 Abs. 5 DMA). •Gatekeeper müssen bei der Ergreifung von Maßnahmen zur Sicherstellung der Einhaltung der Art. 5, 6 und 7 DMA sicherstellen, dass diese im Einklang mit „dem anwendbaren Recht“ durchgeführt werden – insb. Datenschutzrecht, Cybersicherheit, Verbraucherschutz, Produktsicherung sowie den Anforderungen an die Barrierefreiheit (Art. 8 Abs. 1 S. 3 DMA). •Klärungsbedarf hinsichtlich der Vereinbarkeit der Kompetenz der KOM zum Erlass delegierter Rechtsakte zur Änderung der Art. 5 und 6 DMA (gem. Art. 12 Abs. 1 S. 1 DMA) mit den primärrechtlichen Regelungen in Art. 290 AEUV. •Die Pflicht zur Information über geplante Unternehmensabschlüsse gilt unabhängig anderweitiger Fusionskontrollvorschriften, die eine Anmeldepflicht vorsehen (Art. 14 Abs. 1 UAbs. 1 DMA). •RL (EU) 2020/2018 (Verbandsklagen-RL) findet Anwendung auf Verbandsklagen gegen Zuwiderhandlungen durch Gatekeeper gegen Vorschriften die die Kollektivinteressen der Verbraucher (potentiell) beeinträchtigen (Art. 42 DMA; zudem Änderung der RL, s. Art. 52 DMA). •RL (EU) 2019/1937 findet Anwendung bei der Meldung von Verstößen (Art. 43 DMA; zudem Änderung der Richtlinie, s. Art. 51 DMA).
| •Für Hochrisiko-KI-Systeme, die Sicherheitskomponenten von Produkten oder Systemen oder selbst Produkte oder Systeme sind, wird bestimmt, dass für diese nur Art. 84 KI-VO-E gilt, falls sie unter bestimmte Rechtsakte fallen (abschließende Liste in Art. 2 Abs. 2 KI-VO-E). •Zahlreiche Besonderheiten für Kreditinstitute, die unter die RL 2013/36/EU (RL über Zugang zur Tätigkeit und Beaufsichtigung von Kreditinstituten) fallen (s. Art. 9 Abs. 9; Art. 17 Abs. 3; Art. 18 Abs. 2; Art. 19 Abs. 2, Art. 43 Abs. 3 i. V. m. Anhang III Nr. 5 lit. b; Art. 20 Abs. 2, Art. 29 Abs. 5 UAbs. 2; Art. 62 Abs. 3 KI-VO-E). •Konformitätsvermutung bei Hochrisiko-KI-Systemen, die im Rahmen eines Cybersicherheitszertifizierungssystems gem. der VO (EU) 2019/881 (Cybersecurity Act) zertifiziert wurden oder für die eine solche Konformitätserklärung erstellt wurde (Art. 42 Abs. 2 i. V. m. Art. 15 KI-VO-E). •Besonderheiten für Hochrisiko-KI-Systeme, die bestimmungsgemäß als Sicherheitskomponenten von Produkten verwendet werden sollen, die unter die VO (EU) 2017/745 (VO über Medizinprodukte) und die VO (EU) 2017/746 (VO über Invitro-Diagnostika) fallen, oder die selbst solche Produkte sind (s. Art. 47 Abs. 6 und Art. 62 Abs. 3 KI-VO-E). •Allgemeine Grundsätze für die CE-Kennzeichnung richten sich nach Art. 30 VO (EG) 765/2008 (Akkreditierungs-VO) (Art. 49 Abs. 2 KI-VO-E). •Transparenzpflicht bzgl. Deepfakes gilt nicht, wenn die Verwendung zur Aufdeckung, Verhütung, Ermittlung und Verfolgung von Straftaten gesetzlich zugelassen oder für die Ausübung der durch die GRCh garantierten Rechte auf freie Meinungsäußerung und auf Freiheit der Kunst und Wissenschaft erforderlich ist und geeignete Schutzvorkehrungen für die Rechte und Freiheiten Dritter bestehen (Art. 52 Abs. 3 UAbs. 2 KI-VO-E). •Für die KI-Systeme gilt die VO (EU) 2019/1020 (Marktüberwachungs-VO) (Art. 63 Abs. 1 KI-VO-E; beachte auch Art. 65 Abs. 1, Abs. 2 UAbs. 3 KI-VO-E). •Bei Nichtkonformität eines KI-Systems aufgrund von Mängeln der in den Art. 40 und 41 KI-VO-E genannten harmonisierten Normen oder Spezifikationen leitet die KOM das Schutzklauselverfahren der Union nach Art. 11 VO (EU) 1025/2012 (VO zur europäischen Normung) ein (Art. 66 Abs. 3 KI-VO-E). •Änderungen diverser EU-Rechtsakte (Art. 75-82 KI-VO-E).
| •Rechtsvorschriften der Union und der MS über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung bleiben unberührt (Art. 1 Abs. 4 S. 1 DA-E). •Datenerhebung, Datenaustausch, Datenzugang und Datennutzung gem. RL (EU) 2015/849 (Geldwäsche-RL) sowie VO (EU) 2015/847 (Geldtransfer-VO) bleiben unberührt (Art. 1 Abs. 4 S. 3 DA-E). •Legaldefinition des „Dateninhabers“ in Art. 2 Nr. 6 DA-E entspricht nicht der Definition aus Art. 2 Nr. 8 DGA. •Legaldefinition von „Interoperabilität“ in Art. 2 Nr. 19 DA-E entspricht nicht der Definition aus Art. 2 Nr. 29 DMA. •Legaldefinition von „offenen Interoperabilitätsspezifikationen“ durch Rückgriff auf technische IKT-Spezifikationen i. S. d. VO (EU) 1025/2012 (VO zur europäischen Normung) (Art. 2 Nr. 15 DA-E). •Als Gatekeeper i. S. d. DMA benannte Unternehmen kommen nicht als potentielle Datenempfänger in Betracht (Art. 5 Abs. 2 DA-E; beachte auch Art. 6 Abs. 2 lit. d DA-E, wonach Dritte die von einem Dateninhaber erhaltenen Daten nicht an Gatekeeper übermitteln dürfen). •Pflicht der Dateninhaber zur Datenbereitstellung verpflichtet nicht zur Offenlegung von Geschäftsgeheimnissen i. S. d. RL (EU) 2016/943 (Geheimnisschutz-RL) (Art. 8 Abs. 6 DA-E). •Von öffentlichen Stellen im Wege eines Datenbereitstellungsverlangens i. S. d. Kap. V erhaltene Daten sind vom Anwendungsbereich der RL (EU) 2019/1024 (PSI-RL) ausgeschlossen (Art. 17 Abs. 3 DA-E; s. jedoch auch Abs. 4). •Die Anforderungen an die Vertragsbedingungen für den Wechsel zwischen Anbietern von Datenverarbeitungsdiensten gelten unbeschadet der Anforderungen aus der RL (EU) 2019/770 (Digitale-Inhalte-RL) (Art. 24 Abs. 1 S. 2 DA-E). •Der Dateninnovationsrat gemäß Art. 29 DGA unterstützt die KOM bei der Ausarbeitung von Leitlinien gem. Art. 27 Abs. 3 DA-E (Art. 27 Abs. 3 UAbs. 3 DA-E). •In Bezug auf die neuen europäische Datenräume: Diese sollen zwar gem. EG 87 DA-E unberührt bleiben, allerdings formuliert Art. 28 Abs. 1 DA-E wesentliche Anforderungen an die Interoperabilität bei Datenräumen, die zudem von der KOM durch delegierte Rechtsakte ergänzt werden können (Art. 28 Abs. 2 DA-E) sowie durch Durchführungsrechtsakte und Leitlinien weiter konkretisiert werden können (Art. 28 Abs. 5 u. 6 DA-E). •Das Schutzrecht sui generis gem. Art. 7 RL 96/9/EG (Datenbank-RL) findet keine Anwendung auf Datenbanken, die Daten enthalten, die bei der Nutzung eines Produktes oder verbundenen Dienstes erlangt oder erzeugt wurden (Art. 35 DA-E).
|
Ausgewählte Gestaltungsspielräume für Mitgliedstaaten | •Ausgestaltung der Sanktionen bei Verstößen gegen Vorschriften der Verordnung innerhalb eines u. a. vom Dateninnovationsrat gesetzten Rahmens (Art. 34 DGA). •Möglichkeit zur Etablierung nationaler Regelungen zum Datenaltruismus (Art. 16 DGA).
Darüber hinaus viel Gestaltungsspielraum auf Ebene jeder einzelnen öffentlichen Stelle, so etwa hinsichtlich… •der Erhebung von Gebühren für die Erteilung einer Erlaubnis für die Weiterverarbeitung von Daten (Art. 6 Abs. 1 DGA) oder •den konkreten Bedingungen für die Weiterverarbeitung (z. B. in Art. 5 Abs. 3 u. 4 DGA).
| •Abgesehen von vollharmonisierten Mindestvorgaben besteht Freiraum hinsichtlich der Festlegung dessen, was Anordnungen zum Vorgehen gegen illegale Inhalte (Art. 9 Abs. 2 DSA; „mindestens“) sowie Auskunftsanordnungen (Art. 10 Abs. 2 DSA; „mindestens“) beinhalten müssen. •Möglichkeit zur Einrichtung eigener – oder Unterstützung von nach Art. 21 Abs. 3 DSA zugelassenen – außergerichtlicher Streitbeilegungsstellen (Art. 21 Abs. 6 DSA). •Freiraum bei der Ausgestaltung der Sanktionen bei Verstößen gegen die Verordnung, unter Berücksichtigung bestimmter Rahmenbedingungen (Art. 52 DSA).
| Keine. Auch Sanktionen und Durchsetzung verbleiben vollständig auf EU-Ebene. | •Möglichkeit zur Genehmigung der Verwendung biometrischer Echtzeit-Identifizierungssysteme in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken (Art. 5 Abs. 4, EG 22 KI-VO-E; nur möglich im Rahmen der Grenzen von Art. 5 Abs. 1 lit. d, Abs. 2 und Abs. 3 KI-VO-E). •Teilweise Flexibilität bei der Ergreifung bestimmter Maßnahmen für Kleinanbieter und -nutzer (Art. 55 KI-VO-E). •Freiraum bei der Ausgestaltung der Sanktionen bei Verstößen gegen die Verordnung, unter Berücksichtigung bestimmter Rahmenbedingungen (Art. 71 KI-VO-E).
| •Das Vorliegen eines „öffentlichen Notstands“ i. S. d. Art. 2 Nr. 10 DA-E, der als Grund für B2G-Datenbereitstellungen dienen kann (s. Art. 15 lit. a DA-E), wird nach den jeweiligen Verfahren in den MS festgestellt (EG 57 DA-E). •MS können durch nationale Rechtsvorschriften zur Umsetzung des Unionsrechts Gegenleistungen für die Bereitstellung von Daten ausschließen oder geringere Gegenleistungen vorsehen (Art. 9 Abs. 3 DA-E). •Ausgestaltung von wirksamen, verhältnismäßigen und abschreckenden Sanktionen, die bei Verstößen gegen die Verordnung zu verhängen sind (Art. 33 Abs. 1 DA-E).
|
Ausgewählte weiterführende Literatur | •Ditfurth/Lienemann, The Data Governance Act: – Promoting or Restricting Data Intermediaries?, Competition Regul. Netw. Ind. 2022, 270-295. •Hennemann/Ditfurth, Datenintermediäre und Data Governance Act, NJW 2022, 1905-1910. •Richter, 2022: Ankunft im Post-Open-Data-Zeitalter, ZD 2022, 3-8. •Schildbach, Zugang zu Daten der öffentlichen Hand und Datenaltruismus nach dem Entwurf des Daten-Governance-Gesetzes, ZD 2022, 148-153. •Tolks, Die finale Fassung des Data Governance Act, MMR 2022, 444-449. •von Hagen/Völzmann, Datenaltruismus aus datenschutzrechtlicher Perspektive, MMR 2022, 176-181.
| •Dregelies, Digital Services Act – Überblick über den neuen Rechtsrahmen für das Internet, MMR 2022, 1033-1038. •Liesching, Fünf Jahre Netzwerkdurchsetzungsgesetz, MMR 2023, 56-60. •Müller, Künftige Plattformregulierung und effektive Durchsetzung in Deutschland, MMR 2022, 1007-1011. •Spindler, Die Zukunft des europäischen Haftungsrechts für Internet-Provider – der Digital Services Act, MMR 2023, 73-78. •Tschorr, Meldepflicht von illegalen Inhalten an staatliche Stellen, MMR 2022, 1053-1057. •Wehde, Datenzugang über Art. 31 Abs. 2 DSA-E, MMR 2022, 827-837.
| •Achleitner, Digital Markets Act beschlossen: Verhaltenspflichten und Rolle nationaler Wettbewerbsbehörden, NZKart 2022, 359-366. •Hacker, KI und DMA – Zugang, Transparenz und Fairness für KI-Modelle in der digitalen Wirtschaft, GRUR 2022, 1278-1285. •Herbers, Der Digital Markets Act (DMA) kommt – neue Dos and Don`ts für Gatekeeper in der Digitalwirtschaft, RDi 2022, 252-259. •Jovanovic/Greiner, DMA: Überblick über den geplanten EU-Regulierungsrahmen für digitale Gatekeeper, MMR 2021, 678-682. •Kerber, Datenrechtliche Aspekte des Digital Markets Act, ZD 2021, 544-548. •Kumkar, Der Digital Markets Act nach dem Trilog-Verfahren, RDi 2022, 347-354.
| •Botta, Die Förderung innovativer KI-Systeme in der EU, ZfDR 2022, 391-412. •Geminn, Die Regulierung Künstlicher Intelligenz, ZD 2021, 354-359. •Orssich, Das europäische Konzept für vertrauenswürdige Künstliche Intelligenz, EuZW 2022, 254-261. •Roos/Weitz, Hochrisiko-KI-Systeme im Kommissionsentwurf für eine KI-Verordnung, MMR 2021, 844-851. •Steege, Definition von Künstlicher Intelligenz in Art. 3 Nr. 1 KI-VO-E, MMR 2022, 926-930. •Ströbel/Grau, KI-gestützte Medizin-Apps, ZD 2022, 599-605.
| •Bomhard/Merkle, Der Entwurf eines EU Data Acts, RDi 2022, 168-176. •Brauneck, Zur Vereinbarkeit des Data Act-Entwurfes mit dem Europäischen Wettbewerbsrecht, WRP 2022, 954-961. •Ebner, Information Overload 2.0?, ZD 2022, 364-369. •Hennemann/Steinrötter, Data Act – Fundament des neuen EU-Datenwirtschaftsrechts?, NJW 2022, 1481-1486. •Richter, Vereinbarkeit des Entwurfs zum Data Act und der DS-GVO, MMR 2023, 163-168. •Specht-Riemenschneider, Der Entwurf des Data Act, MMR 2022, 809-826.
|