Aus Brüssel kommen neue Rechtsakte zu digitalen Themen am Fließband: Vom DGA bis zur KI-Verordnung ist in Sachen Datengesetzgebung viel in Bewegung. Aber sind die geplanten Regelungen auch DSGVO-konform? Werden die Grundrechte gewahrt und fügen sich in ein stimmiges Gesamtkonzept ein? Der EDSA meint: Nein. Die Kritik ist grundlegend und sollte gehört werden. Wir fassen für Sie die aktuellen Gesetzgebungsvorhaben und die Kritik des EDSA zusammen, für den konzisen Überblick:
Die EU setzt ihre Digitalstrategie um: Schlag auf Schlag erscheinen neue Gesetzgebungsvorschläge. Allein im letzten Jahr veröffentliche die Europäische Kommission die Entwürfe für vier Verordnungen, mit denen unterschiedliche Aspekte der Datenwirtschaft und datenbasierten technologischen Entwicklung adressiert werden.
Dies sind:
- Digital Governance Act (Daten-Governance-Gesetz oder kurz DGA) aus November 2020: Schaffung grundlegender Regulierung von Datenintermediären und sonstiger gemeinsamer Datennutzung; Datenaltruismus; Erleichterung des sektorübergreifenden Datenzugangs- und Teilens – dazu ausführlich unser Newsletter aus Januar 2021.
- Digital Markets Act (Gesetz über digitale Märkte, kurz DMA) und Digital Services Act (Gesetz über digitale Dienste, kurz DAS) aus Dezember 2020: Schaffung und Schutz des freien und fairen Wettbewerbs der digitalen Dienste, Plattformen, Websites etc.; Sondervorgaben für Gatekeeper (große Internetplattformen wie Facebook und Amazon) im DMA; Verbesserung der Stellung der Plattformnutzer und -Konkurrenten – dazu die Informationswebsites der Kommission zum DSA und DMA.
- Artificial Intelligence Act (Künstliche-Intelligenz-Verordnung oder KI-VO): Schaffung eines Rechtsrahmens für Künstlicher Intelligenz unter Berücksichtigung der Risiken und Gefahren; Vorgaben für technische und sonstige Ausgestaltung – dazu ausführlich unser Newsletter aus Mai 2021.
Und damit nicht genug. Parallel zu den laufenden Gesetzgebungsverfahren (zu den jüngsten Entwicklungen zum DMA sogleich), arbeitet die Kommission an weiteren Projekten, die das Digitalpakt ergänzen sollen: Etwa am Entwurf eines weiteren Rechtsakt, der Regelungen für die sektorübergreifende Datenweitergabe in Privatwirtschaft und an staatliche Stellen enthalten soll, sowie an der Schaffung eines unionsweiten digitalen Datenraums für Gesundheitsdaten (European Health Data Space – Informationswebsite der Kommission).
Die unterschiedlichen Gesetzesvorstöße stellen wesentliche Zwischenschritte bei der Umsetzung der Europäischen Datenstrategie der Kommission dar. In dieser formulierte die Kommission ihr Ziel, in den nächsten Jahren eine europäische Datenwirtschaft zu schaffen, in der einerseits das enorme wirtschaftliche und wissenschaftliche Potential von Daten genutzt werden kann, andererseits die Grundrechte und Freiheiten der Bürger sowie die Werte der Europäischen Union hinreichend Beachtung finden. Am Ende der Entwicklung soll ein „echter Binnenmarkt für Daten“ stehen, der den Spagat zwischen Förderung der Datenwirtschaft und Schutz der Rechte der Bürger und von der Datenverarbeitung Betroffenen bewältigt.
EDSA: Mangelhafter Datenschutz, fragmentierte Aufsicht und fehlende Kohärenz
Ob der Kommission – und den weiteren am Gesetzgebungsverfahren beteiligten Institutionen, insb. dem Europäischen Parlament – dieser Spagat mit den bisherigen Verordnungsentwürfen gelungen ist, wird vom Europäischen Datenschutzausschuss (EDSA), dem Zusammenschluss der europäischen Datenschutzaufsichtsbehörden, bezweifelt. Der EDSA nahm bereits dezidiert zu den einzelnen Rechtsakts-Entwürfen Stellung, sah nun aber die Notwendigkeit, einige allgemeine Kritikpunkte zur Umsetzung der Datenstrategie festzuhalten.
In der am 18.11.2021 angenommene Stellungnahme zum Digital Service Paket und der Daten Strategie (hier abrufbar in englischer Sprache) benennt der EDSA aus seiner Sicht wiederkehrende Defizite der neuen Vorstöße zur Digitalgesetzgebung: Den mangelhaften Schutz der Grundrechte und Freiheiten der Betroffen, die Gefahr der fragmentierten Aufsicht und das Risiko von Rechtsunsicherheiten und Inkohärenzen.
- Mangelhafter Grundrechtsschutz sei unter anderem wegen zu milder Vorschriften gegeben: Nach Auffassung des EDSA sollte etwa die Künstliche-Intelligenz-basierte Kategorisierung von Personen anhand biometrischer Merkmale gänzlich verboten werden und nicht – wie im bisherigen KI-VO-Entwurf – lediglich mit (strengen) Voraussetzungen belegt werden.
- Neben solcher inhaltlicher Kritik bemängelt der EDSA den fragmentierten Ansatz der einzelnen Verordnungsentwürfe: Insgesamt werde das Verhältnis zum Datenschutzrecht der DSGVO nicht ausreichend beachtet, obwohl alle vier Verordnungen zumindest in Teilen Wirtschafts- und Lebensbereiche betreffen, in denen personenbezogene Daten verarbeitet werden und die Vorgaben der DSGVO maßgeblich sind. Verweise seien zu allgemein, Datenschutzgrundsätze wie Zweckbindung und Datenminimierung nicht hinreichend beachtet, es fehle an klaren gesetzlichen Erlaubnisgrundlagen für die Verarbeitung personenbezogener Daten und insgesamt werde nicht hinreichend zwischen der Verarbeitung personenbezogener und nicht personenbezogener Daten differenziert. Nach der Auffassung des EDSA birgt dies die Gefahr von Rechtsunsicherheiten, insbesondere, wenn Vorschriften der neuen Verordnungen den Vorgaben der DSGVO (scheinbar) widersprechen.
- Diese Gefahr sieht der EDSA umso mehr bei den geplanten Aufsichtsmechanismen. Die Verordnungen enthalten jeweils Vorgaben über die für die Überwachung der Vorschriften zuständigen Aufsichtsbehörden. In keinem Verordnungsentwurf werden die Datenschutzaufsichtsbehörden mit dieser Aufgabe betraut; die Entwürfe enthalten bisher auch keine Vorschriften zur Einbindung der Datenschutzbehörden, zur Kooperation oder zur Auflösung von Kompetenzkonflikten. Angesichts der überschneidenden Regelungsmaterien prognostiziert der EDSA Kompetenzkonflikte und sieht zudem das Risiko widersprüchlicher oder konkurrierender Behördenentscheidungen gegeben.
In der Konsequenz fordert der EDSA von Kommission und Europäischem Parlament als Gesetzgebungsinstanzen die Überarbeitung der Verordnungsentwürfe: (Mehr) Beachtung sollten dabei die Kohärenz der Entwürfe mit dem gegebenen Datenschutzrecht sowie den wesentlichen Verarbeitungsgrundsätzen der DSGVO finden und Rechtsunsicherheiten und Widersprüche vermieden werden.
Einführung einer Aufsichtsbehördenkooperation im Digital Markets Act?
Inwieweit diese Ratschläge des EDSA nun im weiteren Gesetzgebungsprozess der einzelnen Verordnungsentwürfe umgesetzt werden, bleibt abzuwarten. Zumindest beim Digital Markets Act sind erste Entwicklungen im Sinne der EDSA-Position zu verzeichnen: Jüngst veröffentlichte der zuständige Ausschuss des Europäischen Parlaments seine Änderungsvorschläge für den DMA (Pressemitteilung in englische Sprache). Diese enthalten unter anderem den Vorschlag zur Einführung eines neuen Kooperationsgremiums der „europäischen Digital-Regulatoren“, in welchem diese die Durchsetzung des DMA unionsweit und innerhalb der Mitgliedsstaaten koordinieren. Damit könnte zumindest ein Schritt in Richtung verbesserter Kooperation der Aufsichtsbehörden gemacht werden.
Daneben soll der DMA nach dem Ausschussvorschlag um strengere Vorgaben zur verhaltensbasierten Werbung ergänzt werden: Das sogenannte Micro-Targeting soll Gatekeeper, d.h. insbesondere großen Plattformen, nur noch gestattet sein, wenn hierfür eine klare, bestimmte, erneute und informierte Einwilligung in Übereinstimmung mit den Anforderungen der DSGVO vorliegt. Den Aspekt des Micro-Targeting hatte auch der EDSA in seiner Stellungnahme als einen wesentlichen Schwachpunkt des DMA identifiziert. Darüber hinaus enthält der Änderungsvorschlag des Ausschusses auch eine konkretisierte Definition der Gatekeeper und zusätzliche Abhilfemechanismen bei Verstößen gegen den DMA.
Das Europäische Parlament soll im Plenum im Dezember 2021 über den Ausschussvorschlag abstimmen – sollten dieser angenommen werden, werden sie die Grundlage für die weiteren Verhandlungen des Parlaments mit dem Europäischen Rat bilden, die ab Januar 2022 unter den neuen französischen Ratspräsidentschaft beginnen sollen. Wir werden berichten, wie sich der DMA und die anderen Verordnungsvorschläge im weiteren Gesetzgebungsprozess entwickeln.