Die europäische Gesetzgebung im Bereich der Regulierung der Informationstechnologie und des Datenschutzes hat sich in den letzten Jahren stark weiterentwickelt. Einerseits hat dies den IT- und Rechtsabteilungen zusätzliches Kopfzerbrechen bereitet, andererseits zielen die Vorschriften darauf ab, Nutzerdaten vor einer extensiven Nutzung und dem Verkauf an Werbevermittler zu schützen, die besten Praktiken für die Datenverwaltung und den Datenschutz einzuführen und die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen zu verbessern.

Werfen wir einen Blick auf die wichtigsten Gesetze und Verordnungen im Bereich der Daten und des Schutzes der Privatsphäre, deren Existenz nicht nur für Einwohner der Europäischen Union wissenswert ist.

Datenschutz-Grundverordnung (DSGVO)

Die im Mai 2018 in Kraft getretene DSGVO ist ein umfassendes Datenschutzgesetz, das Richtlinien für die Erhebung, Verarbeitung und Speicherung personenbezogener Daten von Einzelpersonen innerhalb der EU und des Europäischen Wirtschaftsraums (EWR) festlegt. Sie regelt auch die Übermittlung personenbezogener Daten ausserhalb dieser Gebiete. Die Datenschutz-Grundverordnung ist bekannt für ihre strengen Anforderungen und hohen Geldstrafen bei Nichteinhaltung.

Sie zielt darauf ab, dem Einzelnen die Kontrolle über seine personenbezogenen Daten zu geben und das regulatorische Umfeld für internationale Unternehmen zu vereinfachen, indem die Datenschutzvorschriften innerhalb der EU vereinheitlicht werden.

Ziele der DSGVO:

• Stärkung des Schutzes personenbezogener Daten und der Rechte des Einzelnen auf Privatsphäre innerhalb der EU.
• Schaffung eines einheitlichen Datenschutzrechts in allen EU-Mitgliedstaaten.
• Dem Einzelnen mehr Kontrolle über seine persönlichen Daten zu ermöglichen.
• Unternehmen haben es transparent zu machen, wie sie personenbezogene Daten sammeln, verwenden und verwalten.
• Förderung strengerer Datensicherheitsmassnahmen in Unternehmen, um Datenschutzverletzungen und Datenlecks zu verhindern.

Die wichtigsten Punkte der DSGVO:

• Geltungsbereich: Gilt für alle in der EU tätigen Organisationen und Organisationen außerhalb der EU, die Waren oder Dienstleistungen für betroffene Personen in der EU bereitstellen oder deren Verhalten überwachen.
• Erweitert die Definition von personenbezogenen Daten auf alle Informationen, die sich auf eine identifizierbare Person beziehen.
• Verlangt von Organisationen, in bestimmten Situationen die ausdrückliche Zustimmung zur Verarbeitung personenbezogener Daten einzuholen, wobei sichergestellt werden muss, dass die Zustimmung frei, spezifisch, in Kenntnis der Sachlage und unmissverständlich erteilt wird.
• Sichert Rechte des Einzelnen, u. a. das Recht des Einzelnen auf Zugang zu seinen Daten, das Recht auf Berichtigung, das Recht auf Löschung ("Recht auf Vergessenwerden"), das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit und das Recht auf Widerspruch.
• Schreibt die Ernennung eines Datenschutzbeauftragten (DSB) für Organisationen vor, die personenbezogene Daten in grossem Umfang verarbeiten oder besondere Datenkategorien verarbeiten.
• Verlangt von Organisationen, dass diese die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Datenschutzverletzung benachrichtigen, wenn diese wahrscheinlich zu einem Risiko für die Rechte und Freiheiten von Personen führt.
• Verlangt von Organisationen die Durchführung von Datenschutz-Folgenabschätzungen, wenn die Datenverarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt.
• Führt erhebliche Strafen für die Nichteinhaltung ein, darunter Geldbussen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist.

Die Datenschutz-Grundverordnung gilt als eine der strengsten Datenschutz- und Sicherheitsvorschriften der Welt und setzt einen globalen Standard für die Rechte auf Privatsphäre und Datenschutz.

Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie oder Cookie-Richtlinie)

Sie ergänzt die DSGVO (Datenschutz-Grundverordnung) und zielt speziell auf die Verarbeitung personenbezogener Daten in der elektronischen Kommunikation ab. Sie ist weithin bekannt für ihre Vorschriften über Cookies auf Websites, unerwünschtes E-Mail-Marketing und die Vertraulichkeit der elektronischen Kommunikation.

Ziele der ePrivacy-Richtlinie:

• Schutz der Privatsphäre von Personen und Gewährleistung der Vertraulichkeit ihrer Kommunikation über öffentliche elektronische Kommunikationsnetze.
• Festlegung spezifischer Regeln für die Verwendung von Cookies und ähnlichen Tracking-Technologien, die eine vorherige informierte Zustimmung zu ihrer Verwendung erfordern.
• Festlegung von Regeln für unerbetene Nachrichten zu Marketingzwecken, die häufig die vorherige Zustimmung der Empfänger erfordern.

Die wichtigsten Punkte der Datenschutzrichtlinie für elektronische Kommunikation:

• Gilt für alle Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten in der EU, einschliesslich Internet-Diensteanbieter und Unternehmen, die Online-Kommunikationsdienste anbieten.
• Verlangt, dass Websites die Zustimmung der Nutzer einholen, bevor sie Cookies oder ähnliche Tracking-Technologien verwenden, es sei denn, dies ist für die Erbringung der Dienstleistung unbedingt erforderlich.
• Verlangt, dass die Vertraulichkeit der elektronischen Kommunikation der Nutzer gewahrt bleibt und dass das Abfangen oder Überwachen ohne Zustimmung verboten ist, es sei denn, dies geschieht unter bestimmten, gesetzlich festgelegten Bedingungen.
• Verboten sind unaufgeforderte elektronische Marketingnachrichten (Spam) ohne vorherige Zustimmung, mit einigen Ausnahmen für bestehende Kundenbeziehungen unter bestimmten Bedingungen.
• Verlangt von den Diensteanbietern, die Sicherheit ihrer Dienste zu gewährleisten und die Nutzer und die nationalen Regulierungsbehörden über erhebliche Sicherheitsverletzungen zu informieren, die personenbezogene Daten betreffen.
• Sie legt Regeln für die Aufnahme personenbezogener Daten in öffentliche Verzeichnisse fest, wobei eine Zustimmung erforderlich ist und der Einzelne das Recht hat, den Umfang der aufgenommenen personenbezogenen Daten zu bestimmen.

Die Datenschutzrichtlinie für elektronische Kommunikation wird derzeit im Hinblick auf eine Aktualisierung zur Datenschutzverordnung für elektronische Kommunikation (ePrivacy-Verordnung) überarbeitet, die auf eine stärkere Angleichung an die Datenschutz-Grundverordnung abzielt und den Fortschritten der elektronischen Kommunikationstechnologien Rechnung trägt. Die Verordnung soll klarere Regeln schaffen und den Schutz der Privatsphäre in der sich entwickelnden digitalen Landschaft verbessern.

Gesetz über digitale Dienste (GDD) und Gesetz über digitale Märkte (GDM) 

Das Gesetz über digitale Dienste (GDD) und das Gesetz über digitale Märkte (GDM) sind zwei getrennte Gesetzgebungsvorschläge, die von der Europäischen Kommission im Dezember 2020 als Teil der Europäischen Digitalen Strategie vorgelegt wurden. Obwohl sie sich in ihrem Fokus und ihren Zielen unterscheiden, werden sie oft zusammen diskutiert. Während sich die GDD auf die Verantwortung digitaler Dienste gegenüber den Nutzern konzentriert und Sicherheit und Verantwortlichkeit gewährleistet, befasst sich die GDM mit der wirtschaftlichen Macht grosser Online-Plattformen, um einen fairen Wettbewerb zu gewährleisten. Zusammen bilden sie einen ganzheitlichen Ansatz zur Schaffung eines faireren, sichereren und wettbewerbsfähigeren digitalen Umfelds in der EU. Im Folgenden finden Sie einen kurzen Überblick über jedes dieser Gesetze:

Gesetz über digitale Dienste (GDD)

Zielsetzung: Das GDD zielt darauf ab, den Rechtsrahmen für digitale Dienste zu modernisieren, indem es klare Verantwortlichkeiten für Anbieter von Vermittlungsdiensten, wie soziale Netzwerke, Online-Marktplätze und andere Online-Plattformen, die nutzergenerierte Inhalte anbieten, festlegt. Sein Hauptziel ist es, die Grundrechte der Nutzer online zu schützen, die Verantwortlichkeit der Plattformen zu gewährleisten und Innovation, Wachstum und Wettbewerbsfähigkeit im Binnenmarkt zu fördern.

Das GDD gilt für Anbieter von Vermittlungsdiensten, die ihre Dienste Nutzern mit Sitz in der EU anbieten, unabhängig davon, wo der Anbieter des Vermittlungsdienstes niedergelassen ist. 

Die wichtigsten Punkte:

• Eine Reihe klarer Verpflichtungen für digitale Dienste, die als Vermittler fungieren und Verbraucher mit Waren, Dienstleistungen und Inhalten verbinden.
• Massnahmen zum Schutz der Grundrechte der Nutzer im Internet, einschliesslich Mechanismen, mit denen Nutzer illegale Inhalte melden und Entscheidungen über die Moderation von Inhalten anfechten können.
• Regeln für grosse Online-Plattformen, um risikobasierte Massnahmen zu ergreifen, um den Missbrauch ihrer Systeme zu verhindern und den Schutz von Minderjährigen sowie die Integrität ihrer Dienste zu gewährleisten.
• Transparenzanforderungen für Online-Plattformen in Bezug auf ihre Praktiken der Inhaltsmoderation, Werbung und algorithmische Verfahren.
• Rechtsrahmen für die Bereitstellung digitaler Dienste in der gesamten EU mit einem koordinierten Ansatz für die Überwachung und Durchsetzung.

Gesetz über digitale Märkte (GDM)

Zielsetzung: Das GDM soll faire und offene digitale Märkte gewährleisten, indem es Regeln für grosse Online-Plattformen festlegt, die als "Torwächter" auf dem digitalen Markt agieren. Derzeit gelten Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft als solche. Das GDM konzentriert sich auf Unternehmen, die eine zentrale Rolle bei der Vermittlung des Zugangs zu digitalen Produkten und Dienstleistungen spielen und soll sie daran hindern, Verbrauchern und Unternehmen unfaire Bedingungen aufzuerlegen, um so gleiche Wettbewerbsbedingungen für innovative digitale Dienstleistungen zu gewährleisten.

Die wichtigsten Punkte:

• Eine Reihe von Kriterien, um bestimmte grosse Online-Plattformen als "Torwächter" zu bezeichnen, die besonderen regulatorischen Verpflichtungen unterliegen.
• Verbote und Verpflichtungen für Gatekeeper (sog. Torwächter), um unlautere Praktiken zu verhindern, wie z. B. die Bevorzugung ihrer eigenen Dienste, die Auferlegung unlauterer Bedingungen für Unternehmen oder die Einschränkung der Interoperabilität.
• Regeln zur Förderung von Auswahl, Fairness und Innovation, die sicherstellen, dass die Nutzer mehr Optionen haben und dass kleinere Unternehmen unter gleichen Bedingungen mit grösseren Unternehmen konkurrieren können.
• Durchsetzungsmechanismen, einschliesslich der Möglichkeit von Geldbussen und strukturellen Abhilfemassnahmen bei Nichteinhaltung.

Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie)

Die im August 2016 in Kraft getretene NIS-Richtlinie war die erste EU-weite Rechtsvorschrift zur Cybersicherheit, die eingeführt wurde, um ein hohes gemeinsames Niveau der Netz- und Informationssystemsicherheit in der gesamten Union zu gewährleisten. Sie konzentrierte sich auf Schlüsselsektoren, die für die Wirtschaft und die Gesellschaft insgesamt lebenswichtig sind und forderte die Mitgliedstaaten auf, vorbereitet zu sein und Vorfälle im Bereich der Cybersicherheit wirksam zu bewältigen.

Die NIS betraf Anbieter digitaler Dienste (ADD) und Betreiber wesentlicher Dienste (BWD). BWDs sind öffentliche oder private Einrichtungen, die Dienste bereitstellen, die für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Aktivitäten unerlässlich sind. Die Unterbrechung solcher Dienste könnte erhebliche Auswirkungen auf die Gesundheit, Sicherheit und das wirtschaftliche oder gesellschaftliche Wohlergehen haben. BWDs werden von jedem EU-Mitgliedsstaat auf der Grundlage spezifischer, in der NIS-Richtlinie festgelegter Kriterien identifiziert, darunter die Bedeutung der Einrichtung für die Bereitstellung eines kritischen Dienstes, die Abhängigkeit anderer Sektoren von diesem Dienst und die Auswirkungen, die eine Unterbrechung des Dienstes haben könnte. Zu den Diensteanbietern gehören Unternehmen, die digitale Dienste in der EU anbieten, und zwar in drei Hauptkategorien: Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste. Aufgrund des grossen Umfangs der DSPs ist ihre Regulierung etwas anders und weniger streng.

Die von der Verordnung betroffenen Sektoren waren Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Wasserversorgung und digitale Infrastrukturen.

Die NIS2-Richtlinie ist eine Überarbeitung der ursprünglichen Netz- und Informationssicherheitsrichtlinie (NIS-Richtlinie), die im Januar 2023 in Kraft trat und darauf abzielt, die Cybersicherheitsfähigkeiten der EU zu aktualisieren und zu stärken.

In der NIS2-Richtlinie wird der Begriff "wesentliche Dienste" durch "wesentliche Einrichtungen" ersetzt und das Konzept der "wichtigen Einrichtungen" eingeführt, das Einrichtungen umfasst, die zwar nicht als wesentlich gelten, aber dennoch Dienste erbringen, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind.

Die NIS2-Richtlinie zielt darauf ab, einige der Beschränkungen und Herausforderungen, die bei der Umsetzung der ursprünglichen NIS-Richtlinie aufgetreten sind, zu beseitigen. Sie schlägt vor, den Kreis der Sektoren zu erweitern, die als wesentlich gelten und daher strengeren Cybersicherheitsanforderungen unterliegen. Dies schliesst mehr digitale Dienste und Sektoren ein und spiegelt die sich verändernde technologische Landschaft und die zunehmende Abhängigkeit von digitalen Infrastrukturen wider. Die NIS2-Richtlinie zielt auch darauf ab, die Cybersicherheitsanforderungen in der gesamten EU zu harmonisieren und sicherzustellen, dass alle Mitgliedstaaten ein einheitliches Niveau an Sicherheitsmassnahmen und die Meldung von Vorfällen anwenden.

Zu den wichtigsten Aspekten der NIS2-Richtlinie gehören:

• Erweiterung der Liste der Sektoren, die als kritisch gelten und verstärkte Cybersicherheitsmassnahmen erfordern. Abwasser- und Abfallwirtschaft, öffentliche Verwaltung, Post- und Kurierdienste, verarbeitendes Gewerbe, Lebensmittel, Raumfahrt, digitale Anbieter und Forschung wurden zu den in der NIS-Richtlinie eingeführten Sektoren hinzugefügt.
• Einführung strengerer Aufsichtsmassnahmen für die nationalen Behörden sowie strengerer Durchsetzungsanforderungen, einschliesslich EU-weit harmonisierter Sanktionen.
• Verschärfung der Sicherheits- und Meldepflichten für Unternehmen in kritischen Sektoren (Frühwarnung innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls, Meldung innerhalb von 72 Stunden und Abschlussbericht spätestens einen Monat nach der Meldung).
• Verbesserung des Informationsaustauschs zwischen den einschlägigen Akteuren und Förderung einer Kultur der Cybersicherheit in allen Sektoren.
• Die NIS2-Richtlinie ist ein wichtiger Schritt in den Bemühungen der EU, ihre kollektive Widerstandsfähigkeit im Bereich der Cybersicherheit zu stärken und ihre digitale Wirtschaft vor neuen Bedrohungen zu schützen.

Dies ist keine erschöpfende Liste von Vorschriften, daher werden wir im zweiten Teil dieses Artikels auf weitere eingehen.

Und wir erinnern Sie daran, dass die Kenntnis der lokalen IT- und Datenschutzvorschriften (in dem Gebiet, in dem Ihr Unternehmen tätig ist oder Ihre Kunden ansässig sind) dafür sorgt, dass Unternehmen die gesetzlichen Anforderungen einhalten und potenzielle Geldbussen, Sanktionen und Rechtsstreitigkeiten vermeiden. Es soll dazu beitragen, Vertrauen bei Kunden, Klienten und Partnern aufzubauen, indem Engagement für den Schutz persönlicher und sensibler Daten demonstriert wird. Die Kenntnis dieser Vorschriften hilft Unternehmen, wirksame Datenschutz- und Cybersicherheitsmassnahmen zu ergreifen, um das Risiko von Datenschutzverletzungen, Cyberangriffen und unbefugtem Zugriff auf sensible Daten zu verringern und das Vermögen und den Ruf des Unternehmens zu schützen.

Verwandte Links, Quellen:

Offizieller Text der DSGVO 

DSGVO 

ePrivacy-Richtlinie 

GDD 

GDM 

NIS-Richtlinie: 1, 2