Schlagwortarchiv für: Datenschutzverletzungen

In diesem Beitrag soll es um die Bedeutung und Auswirkungen des Digital Services Act (DSA) und des Digital Markets Act (DMA) der Europäischen Union (EU) gehen. Die beiden Gesetze wurden eingeführt, um die Aktivitäten von Anbietern digitaler Dienste zu regulieren und den Verbraucherinnen und Verbrauchern Schutz und Rechtssicherheit zu bieten. Der Beitrag wird die Hauptziele und Bestimmungen dieser Gesetze erläutern und auf ihre Bedeutung für die digitale Wirtschaft in Europa eingehen.

Digital Services Act (DSA)

Der Digital Service Act (DSA) ist eines der bedeutendsten digitalpolitischen Regelwerke in Europa. Er hat das Ziel, grundlegende Regeln für das Marktverhalten von digitalen Dienstanbietern festzulegen und den Verbrauchern Rechtsschutzmöglichkeiten zu geben.
Als EU-Verordnung wird der DSA ab dem 17. Februar 2024 unmittelbar für alle Unternehmen gelten, die ihre Vermittlungsdienste innerhalb der EU anbieten.

Was regelt der DSA?

Regulierung der Aktivitäten von Anbietern digitaler Dienste: Der DSA soll grundlegende Regeln für das Marktverhalten von Anbietern digitaler Dienste innerhalb der EU festlegen.

Rechtsschutz für Verbraucher: Der DSA zielt darauf ab, Verbraucher Rechtsschutzmöglichkeiten zur Verfügung zu stellen, insbesondere in Bezug auf den Schutz vor illegalen Inhalten und die Förderung von Transparenz.

Verantwortung der Unternehmen: Unternehmen werden stärker in die Verantwortung genommen, um gegen illegale Inhalte vorzugehen und für mehr Transparenz zu sorgen, um die Sicherheit der Verbraucher zu gewährleisten.

Schaffung eines sicheren Online-Umfelds: Digitale Dienstanbieter sollen für ein Online-Umfeld sorgen, in dem Verbraucher sicher online einkaufen können und ihre Meinungen, im Rahmen der Meinungsfreiheit, frei äußern zu können.

Evaluierung und nationale Umsetzung: Der Erfolg des DSA wird bis Anfang 2027 evaluiert. Nationale Umsetzungen, wie das Digitale-Dienste-Gesetz (DDG) in Deutschland, haben die EU-Verordnung (DSA) in nationales Recht überführt und spezifische Durchführungsmechanismen festgelegt.

Für wen ist der DSA relevant?

  • Online-Diensteanbieter: Der DSA betrifft direkt Online-Diensteanbieter, einschließlich sozialer Medien, Online-Marktplätze, Suchmaschinen und anderer Plattformen, die Dienste in der EU anbieten.
  • Verbraucher: Verbraucher profitieren von den Bestimmungen des DSA, die darauf abzielen, die Transparenz, Sicherheit und Verantwortlichkeit digitaler Dienstleistungen zu erhöhen und den Schutz vor schädlichen Inhalten zu verbessern.
  • Kleine und mittlere Unternehmen (KMU): KMU, die Online-Dienste anbieten oder von diesen abhängig sind, sind ebenfalls betroffen, da der DSA auch Regeln für die Interaktion zwischen Plattformen und Unternehmen einführt und fairere Bedingungen für KMU sicherstellen soll.
  • Regulierungsbehörden: Regulierungsbehörden in der EU, einschließlich nationaler Aufsichtsbehörden, spielen eine wichtige Rolle bei der Umsetzung und Durchsetzung des DSA.
  • Datenschutz- und Verbraucherschutzorganisationen: Organisationen, die sich für Datenschutz und Verbraucherrechte einsetzen, verfolgen den DSA aufmerksam und können sich aktiv an der Gestaltung und Überwachung seiner Umsetzung beteiligen.

Digitale-Dienste-Gesetz (DDG)

Der Digital Service Act ist am 16. November 2022 in Kraft getreten und ist seit dem 17. Februar 2024 vollumfassend anwendbar. Die Bundesregierung hat das Digitale-Dienste-Gesetz (DDG) auf den Weg gebracht, um die nationalen Vorschriften auf Bundes- und Länderebene an die neuen europarechtlichen Vorgaben anzupassen. Der Gesetzgebungsprozess zum DDG dauert noch an. Mit dem neuen Gesetz kann aber im Verlauf des Frühjahrs gerechnet werden.

Es konkretisiert die Zuständigkeiten der Behörden in Deutschland zur Durchsetzung des DSA. Gemäß dem Gesetzentwurf soll die Bundesnetzagentur die Aufsicht über die Anbieter übernehmen und eng mit Aufsichtsbehörden in Brüssel und anderen EU-Mitgliedsstaaten zusammenarbeiten. Das Gesetz sieht Buß- und Zwangsgelder vor, die bis zu sechs Prozent des Jahresumsatzes der Plattformbetreiber betragen können.

Mit Inkrafttreten des DDG wird das Telemediengesetz (TMG) aufgehoben. Soweit die Bestimmungen des TMG nunmehr nicht bereits vom DSA umfasst sind, werden sie in das DDG überführt. Ein Bespiel: Die Impressumspflicht wird sich zukünftig aus § 5 DDG ergeben.

Digital Markets Act (DMA)

Parallel dazu konzentriert sich der Digital Markets Act (DMA) auf das Verhalten großer zentraler Plattformdienste, die als „Gatekeeper“ agieren. Diese von der EU-Kommission benannten Plattformdienste (bisher u. a. Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Samsung) gelten für gewerbliche Nutzer als wichtiges Zugangstor zu Endnutzern.

Der Digital Markets Act (DMA) legt eine Reihe von Verhaltenspflichten fest, die von den als Gatekeeper identifizierten großen Digitalkonzernen befolgt werden müssen. Diese Pflichten beziehen sich insbesondere auf den Zugang und die Verwendung von Daten, die Interoperabilität und die Vermeidung von Bevorzugung eigener Dienste.

Einige der festgelegten Verpflichtungen umfassen:

  • Einschränkungen bei der Verwendung von personenbezogenen Daten ohne Einwilligung des Endnutzers.
  • Die Gewährleistung, dass Geschäftskunden ihre Produkte oder Dienstleistungen zu anderen Konditionen und Preisen auf Drittplattformen oder eigenen Online-Vertriebskanälen anbieten können.
  • Das Verbot, bestimmte eigene Dienstleistungen zu bündeln.
  • Die Förderung der Interoperabilität mit Drittanwendungen und die Bereitstellung einfacher Deinstallationsmöglichkeiten von Software-Anwendungen auf ihrem Betriebssystem.
  • Die Vermeidung der Bevorzugung eigener Dienstleistungen und Produkte gegenüber ähnlichen Dienstleistungen oder Produkten Dritter.

Diese Verhaltenspflichten werden durch erweiterte Ermittlungs- und Entscheidungsbefugnisse der EU-Kommission, sowie erweiterte Anzeigepflichten bei bestimmten Zusammenschlüssen unterstützt, die über das bisherige Fusionskontrollregime hinausgehen. Bei Verstößen gegen diese Pflichten können den Gatekeepern Bußgelder von bis zu 10 Prozent ihres weltweiten Jahresumsatzes drohen, im Wiederholungsfall sogar bis zu 20 Prozent.

Für wen ist der DMA relevant?

  • Große Digitalkonzerne (Gatekeeper): Der DMA betrifft insbesondere große Digitalkonzerne wie Google, Facebook, Amazon und andere, die als Gatekeeper fungieren und eine beträchtliche Marktmacht haben.
  • Kleine und mittlere Unternehmen (KMU): KMU, die von den Plattformen der Gatekeeper abhängig sind, profitieren von den Regelungen des DMA, da diese sicherstellen sollen, dass sie faireren Zugang zu den Plattformen erhalten und sich besser entwickeln können.
  • Verbraucher: Verbraucher können ebenfalls von den Bestimmungen des DMA profitieren, da diese darauf abzielen, faire Wettbewerbsbedingungen und einen besseren Schutz für Verbraucher auf digitalen Märkten zu gewährleisten.
  • Verbände und Organisationen: Der DMA erleichtert Verbänden und Organisationen Klagen gegen Gatekeeper, um deren Verhalten zu überprüfen und faire Bedingungen sicherzustellen.
  • EU-Kommission und nationale Kartellbehörden: Die EU-Kommission und nationale Kartellbehörden spielen eine wichtige Rolle bei der Durchsetzung und Überwachung der Bestimmungen des DMA.

Fazit

Die Digitalisierung prägt unsere Arbeitsweise, Kommunikation und Konsumgewohnheiten grundlegend. Die EU-Gesetze Digital Markets Act (DMA), Digital Services Act (DSA) und das deutsche Digitale Dienste Gesetz (DDG) sind essenzielle Instrumente, um einen fairen, transparenten und sicheren digitalen Raum zu schaffen. Sie setzen klare Regeln für digitale Dienstanbieter und bieten Verbrauchern Schutz und Rechtssicherheit. Die effektive Umsetzung und Durchsetzung dieser Gesetze ist entscheidend, um das Vertrauen der Verbraucher in die digitale Wirtschaft zu stärken und eine nachhaltige digitale Zukunft zu gewährleisten.

Die Evaluierung des DSA bis Anfang 2027 wird sicherstellen, dass die Verordnung ihre Ziele erfüllt und bei Bedarf Anpassungen vorgenommen werden können. Insgesamt markieren der DSA und der DMA wichtige Schritte zur Regulierung digitaler Dienste, fördern ein ausgewogenes Verhältnis zwischen Innovation, Wettbewerb und Verbraucherschutz und legen die Grundlagen für eine florierende digitale Wirtschaft in Europa.

Die EU reagiert mit diesen Maßnahmen auf die Herausforderungen der Digitalisierung und etabliert klare Regeln für die digitale Wirtschaft. Kontinuierliche Evaluation und Anpassungen sind erforderlich, um mit den sich ständig wandelnden Technologien und Bedürfnissen Schritt zu halten.

 

Foto: istockphoto.com/the-lightwriter

Der Europäische Datenschutzausschuss (EDSA) beschloss in seiner Sitzung am 24. Mai 2023 die endgültigen Leitlinien zur Bußgeldzumessung bei Datenschutzverstößen.

Die EDSA mit seinen Repräsentantinnen aus den verschiedenen EU-Ländern einigten sich auf einheitliche Maßstäbe in der Bußgeldpraxis.

Die europäischen Aufsichtsbehörden sind berechtigt Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu erlassen. Diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes von Unternehmen betragen. Die europaweit harmonisierten Leitlinien sehen hier ein aus fünf Schritten bestehendes Zumessungsverfahren vor, das spezifisch die Art und Schwere der Datenschutzverstöße sowie den Umsatz der betreffenden Unternehmen berücksichtigt. Damit sind klare Regelungen für die Höhe der Geldbußen gegeben und das trägt zu einem nachvollziehbaren Handeln der Behörden bei.

Die Vereinheitlichung der Bußgeld-Leitlinien in unterschiedlichen europäischen Mitgliedstaaten ist ein wichtiger Schritt in der europäischen Integration und können Vorbild sein für die Durchsetzung anderer EU-Gesetze.

Die Leitlinien finden Sie auf der Internetseite der EDSA.

Haben Sie Fragen in Sachen Datenschutz? Sie sind auf der Suche nach einem externen Datenschutzbeauftragten? In beiden Fällen können wir Ihnen helfen!
Schreiben Sie uns gern eine Mail mit Ihrem Anliegen.

Für manche Unternehmen sind höhere Investitionen in die Cybersicherheit möglicherweise nur ein Tropfen auf den heißen Stein. Das liegt oft daran, dass die Strukturen der Organisation zu komplex sind, um sie adäquat absichern zu können. Diese Komplexität der Strukturen entsteht oftmals erst im Laufe der Zeit. Gründe dafür sind z.B. Wachstum, Fusionen, Übernahmen und vor allem aber die Einführung neuer Technologien. Damit einhergehend kommt die Verzahnung von Compliance und Governance oft zu kurz.

Ein weiterer Punkt ist das Risikoniveau im Unternehmen, das durch Komplexität entsteht, z.B. durch komplexe Multi-Vendor-Umgebungen wie Cloud, neuartige technologische Lösungen oder Interoperabilität und Dateninfrastruktur.

Eine Vereinfachung oder Verschlankung von Datenstrukturen und Prozessen sind allein schon eine große Herausforderung. Komplexität führt zu Trägheit, da Entscheidungsträger eine Transformation aufschieben oder Schwierigkeiten haben, eine Dringlichkeit zu erkennen und Priorisierung vorzunehmen, obwohl den Unternehmen bewusst ist, dass Komplexität in den Prozessen auch Schwachstellen schafft. Diese Schwachstellen können von Ransomware und anderen Bedrohungstools ausgenutzt werden.

Die Folgen betrieblicher Komplexität sind neben finanziellen Verlusten, Datenschutzverletzungen und erfolgreiche Cyber-Angriffe (die auch wiederum Reputationsverluste bedeuten können). Es besteht das Risiko einer fehlenden Cyber-Resilienz (also einer mangelnden betriebliche Belastbarkeit), sich nach einem Cyberangriff oder einem Technologiefehler zu erholen. Unternehmen sind dann unfähig, schnell und angemessen zu agieren, um am Markt weiterhin bestehen zu können.

Komplexität wird also gerne ausgenutzt und sind bevorzugte Ziele von Cyber-Angriffen. Die Kunst besteht darin, die Risiken zu identifizieren, zu priorisieren und entsprechend mit wirksamen Maßnahmen zu begegnen. Insbesondere auch, wenn die diese Cybersicherheitsrisiken durch verbundene Unternehmen (Dienstleister und Lieferanten) entstehen. Hier muss man besonders auf die Schnittstellen schauen, welche Angriffsziele darstellen können. Drittanbieter (Third-Parties) sind alle Organisationen oder Personen, zu denen eine Geschäftsbeziehung besteht. Hier besteht sowohl ein Informations- als auch Datenabtausch und damit auch Risiken bei Schnittstellen die gezielt angegriffen werden können. Hier sollte auch auf eine Harmonisierung der Betrachtung von Third-Parties im Unternehmen erfolgen, damit nicht jede Abteilung eine eigene Vorgehensweise hat. Eine Synchronisierung der Sicherheitsmaßnahmen und damit eine ganzheitliche Betrachtung der Lieferkette und Third-Party Management sind unumgänglich, um eine höhere Cybersicherheit zu erreichen.

Komplexität von Strukturen und Prozessen können somit für die Cybersicherheit eine Falle sein. Monitoring cybersicherheitsrelevanter Events sind ein wichtiger Bestandteil, um das Cybersicheitsrisiko zu minimieren, Angriffe frühzeitig zu erkennen und mit erprobten Krisenplänen entgegenzutreten.