Dr. Alexander Dix, LL.M., ist stellv. Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin.
Armin Herb, Die Digitale Dekade der EU, Wegweiser zum neuen Datenrecht und Datenschutzrecht in Deutschland und Europa, München (Boorberg) 2024, ISBN 978-3-415-07698-3, 28 EUR
ZD-Aktuell 2025, 04520 Die Europäische Union hat seit 2018 zur Herstellung eines europäischen Datenbinnenmarktes eine Vielzahl von Rechtsakten – Kritiker sprechen von einem „Regelungs-Tsunami“ – erlassen. Schon die DS-RL von 1995 verfolgte das Ziel, durch die Schaffung eines einheitlich hohen Datenschutzniveaus auf Unionsebene den freien Datenverkehr zwischen den Mitgliedstaaten zu erleichtern. Die DS-GVO bekräftigte dieses Ziel. Die von der Europäischen Kommission 2020 verabschiedete Datenstrategie präzisierte die Eckpfeiler des in der „digitalen Dekade“ bis 2030 zu schaffenden Datenbinnenmarktes weiter und führte bisher zu fünf Verordnungen, die in dem für den Unionsgesetzgeber untypisch kurzen Zeitraum von Mai 2022 bis Juni 2024 beschlossen wurden: der Digital Governance Act, der Digital Markets Act, der Digital Services Act, der Data Act sowie der Artificial Intelligence Act.
Diese fünf Unionsgesetze stehen im Mittelpunkt des von Armin Herb verfassten Leitfadens, die der Verfasser die „Big Five“ nennt. Wenn man sich vor Augen führt, dass die genannten fünf Rechtsakte insgesamt 348 Artikel umfassen, von denen einzelne über mehrere Seiten gehen, wird deutlich, wie wichtig ein Wegweiser durch dieses komplexe (unübersichtliche) Regelungsgeflecht ist, mit dem sich Rechtsanwender jetzt auseinandersetzen müssen, auch wenn die Vorschriften phasenweise in Kraft treten. So gilt etwa die (umfangreichste) Verordnung zur Künstlichen Intelligenz seit dem 1.2.2025 zunächst nur hinsichtlich der von den Anwendern Betreibern zu schaffenden KI-Kompetenz und bezüglich verbotener KI-Praktiken, vollständig in Kraft treten wird die Verordnung erst im August 2027.
Herb gibt in seinem Buch einen konzentrierten Überblick über das neue europäische Datenrecht mit anschaulichen Schaubildern und Übersichten. Besonders wichtig sind dabei die Abschnitte, die er dem Verhältnis des jeweiligen Rechtsakts zur DS-GVO widmet. Die entsprechenden Konkurrenz- bzw. Scharniervorschriften in den Rechtsakten sind weder einheitlich noch eindeutig formuliert, sodass sich zahlreiche Fragen ergeben, deren Beantwortung vordringlich ist, um Rechtsunsicherheit zu vermeiden.
Der Leitfaden begnügt sich aber nicht mit der – naturgemäß kursorischen – Behandlung der fünf genannten Verordnungen zum Datenrecht, sondern behandelt über dies die wichtigsten Grundsätze der DS-GVO und weitere Rechtsakte wie die Platform-to-Business-VO (VO (EU) 2019/1150), Fluggastdatenverordnungen von 2024, die eIDAS-VO 2024/1183 über digitale Identitäten. Kurz behandelt werden auch die noch immer ausstehende ePrivacy-VO und Rechtsfragen virtueller Welten („Metaverse“). Ein eigenes kurzes Kapitel widmet der Verfasser den europäischen Normen zur Daten- und Informationssicherheit, von denen die NIS-2-RL, die Verordnung zur digitalen operationalen Resilienz im Finanzsektor und - nach Erscheinen des Leitfadens – der Cyber Resilience Act in Kraft getreten sind.
Wenngleich die genannten Verordnungen des Unionsgesetzgebers unmittelbar in den Mitgliedstaaten gelten, bedürfen sie doch der Umsetzung durch die nationalen Gesetzgeber insbesondere bezüglich der Benennung von Aufsichtsbehörden, was in Deutschland bisher nur partiell geschehen ist. Auch diesen Bereich der nationalen Konkretisierung behandelt Herb in komprimierter Form. Dabei wird erneut deutlich, dass – auch wegen des vorzeitigen Endes der Legislaturperiode des Bundestages – wichtige Umsetzungsgesetze wie etwa zur Umsetzung der NIS 2-Richtlinie nicht mehr verabschiedet worden sind, obwohl der Schutz vor Cyberangriffen nach Meinung aller politischen Parteien oberste Priorität haben sollte. Zu Recht weist Herb auch darauf hin, dass das Netzwerkdurchsetzungsgesetz keineswegs in Gänze durch den Digital Services Act und das deutsche Digitale-Dienste-Gesetz (DDG) abgelöst worden ist, sondern mit einem Restbestand weiterhin Gültigkeit behält, die nach Auffassung des Verfassers besser in das DDG hätten integriert werden sollen.
Von besonderem Interesse ist auch das abschließende Kapitel in dem hier angezeigten Leitfaden, das sich mit den medienrechtlichen Regelungen im digitalen Zeitalter befasst. Der Verfasser gibt einen Überblick über die zahlreichen von den Bundesländern in mehreren Änderungen zum Medienstaatsvertrag vorgenommenen Anpassungen des Rechtsrahmens an technologische und gesellschaftliche Entwicklungen. Herb weist dabei zu Recht darauf hin, dass das Recht auf anonymen Fernsehkonsum, das bei linearem TV-Empfang unstreitig ist, schon bei der Nutzung von Mediatheken in Gefahr gerät. Außerdem macht er darauf aufmerksam, dass die Kontrolle durch die Rundfunkbeauftragten für den Datenschutz mittlerweile auf „fast eine Person für fast alle Anstalten“ reduziert wurde, was mit der DS-GVO nicht zu vereinbaren ist.
Insgesamt bietet der vorliegende Leitfaden eine außerordentlich nützliche Hilfestellung für jeden, der einen ersten Einstieg in die immer umfangreicheren Unionsgesetzgebung zur Digitalisierung sucht. Es wäre zu wünschen, dass dieser Wegweiser angesichts der angekündigten weiteren Gesetzgebungsvorhaben der Kommission (zB für einen Digital Networks Act) und der noch unvollständigen Umsetzung durch den Bundesgesetzgeber zu gegebener Zeit aktualisiert wird.