Das Internet hat die Welt verändert. In den vergangenen zwei Jahrzehnten hat das Aufkommen neuer Technologien, Unternehmensformen und Arbeitsmethoden unser Leben auf den Kopf gestellt und entscheidend beeinflusst, wie wir arbeiten, einkaufen, uns fortbewegen, einen Urlaub buchen oder Essen bestellen.
Die E-Commerce-Richtlinie, der Eckpfeiler des digitalen Binnenmarkts, wurde 2000 verabschiedet, also zu einer Zeit, in der Plattformen wie Amazon, Google oder Booking.com noch in den Kinderschuhen steckten und Facebook, Airbnb und Instagram noch gar nicht existierten.
Um mit diesen Entwicklungen Schritt zu halten, bringt die EU einen neuen Rechtsrahmen auf den Weg. Dieser soll Leitlinien für die digitale Welt, einschließlich Online-Plattformen, festlegen und somit ein besseres und sichereres digitales Umfeld für Nutzer und Unternehmen in der gesamten EU sicherstellen.
So hat der europäische Gesetzgeber eine Vielzahl neuer Gesetze mit weitreichenden Regulierungen für Plattformbetreiber auf den Weg gebracht, die darauf abzielen, einen fairen Wettbewerb sicherzustellen, gegen illegale Inhalte vorzugehen, Verbraucherrechte zu stärken und eine europäische Datenwirtschaft aufzubauen. Exemplarisch werden nachfolgend kurz der Digital Markets Act, Digital Services Act, der Data Act sowie die Regulierung von Künstlicher Intelligenz vorgestellt.
Der am 1. November 2022 in Kraft getretene Digital Markets Act (DMA) ist nach einer Übergangsfrist seit dem 2. Mai 2023 unmittelbar anzuwenden. Hiermit werden besonders „mächtigen“ Plattformbetreibern, sogenannten Gatekeepern, verschiedene Verhaltenspflichten auferlegt. Ziel ist es, Wettbewerbern der großen Digitalunternehmen, gewerblichen Nutzern digitaler Plattformen und Verbrauchern durch mehr Fairness (anstelle eines einseitigen Diktats der Spielregeln) und Grenzen für bestimmte Geschäftspraktiken neue Chancen in der digitalen Wirtschaft zu eröffnen.
Der Pflichtenkatalog sieht unter anderem hinsichtlich der Datenkombination vor, dass Gatekeeper personenbezogene Daten aus ihren Plattformen nicht mit anderen Diensten kombinieren oder übergreifend nutzen oder personenbezogene Daten von Endnutzern aus Drittdiensten, die einen Plattformdienst des Gatekeepers nutzen, nicht zu Werbezwecken verarbeiten dürfen. Weitere Pflichten betreffen etwa die Selbstbevorzugung, die Koppelung von verschiedenen Diensten des Gatekeepers, die Beschränkung von Wechselmöglichkeiten, das Auferlegen unverhältnismäßiger Bedingungen für eine Kündigung des Plattformdienstes sowie die Interoperabilität. Ferner wird untersagt, gewerbliche Nutzer daran zu hindern, Endnutzern dieselben Produkte über andere Kanäle zu besseren Konditionen anzubieten und zu bewerben.
Die Gatekeeper müssen ihre Compliance mit den vorgegebenen Verhaltensweisen nachweisen. Sie unterliegen einer ausführlichen Berichterstattungspflicht und haben eine mit erheblichen Befugnissen ausgestattete Compliance-Funktion innerhalb ihres Unternehmens einzurichten, die für die interne Überwachung der Pflichten aus dem DMA zuständig ist.
Seit dem 17. Februar 2024 ist der Digital Services Act vollständig anzuwenden. Ziel ist die Stärkung des Verbraucherschutzes durch Schaffung eines Rechtsrahmens für unter anderem Online-Vermittlungsdienste (digitale Dienste, die über ein Infrastruktur-Netz verfügen, wie Internetzugangsdienste-Anbieter, Access-, Caching- und Hosting-Provider) und Online-Plattformen (die im Auftrag des Nutzers Informationen speichern, öffentlich verbreiten und dabei Verkäufer und Verbraucher zusammenbringen, wie Online-Marktplätze).
Während der DMA eher kartell- und wettbewerbsrechtlich geprägt ist, nimmt der DSA stärker den Verbraucherschutz ins Visier. Die Grundregeln des DSA zielen auf ein Mindestmaß an Transparenz und Verantwortlichkeit. Es werden insbesondere Organisations- und Verfahrensanforderungen eingeführt, um der Verbreitung von illegalen Waren, Fake News und Hate Speech entgegenzuwirken. Zur erleichterten Kontaktaufnahme haben Unternehmen eine einheitliche Kontaktstelle für die zuständigen Behörden beziehungsweise Nutzer einzurichten. Weitere grundlegende Regelungen legen Anforderungen für eine transparente, verständliche und nutzerfreundliche Ausgestaltung allgemeiner Geschäftsbedingungen fest. Hinzu kommen umfangreiche Transparenzverpflichtungen hinsichtlich der auf Online-Plattformen präsentierten Werbung. Für die Nutzer muss klar erkennbar sein, dass es sich bei einer ihnen angezeigten Information überhaupt um eine Werbeanzeige handelt, in wessen Namen diese geschaltet wurde und welche natürliche oder juristische Person diese Werbemaßnahme finanzierte, wobei noch besondere Vorgaben für personalisierte Werbung hinzutreten.
Der sogenannte Data Act des europäischen Gesetzgebers ist am 11. Januar 2024 mit einer Umsetzungsfrist bis zum 25. September 2025 in Kraft getreten. Ziel der EU-Verordnung ist es, die Rechtsgrundlagen für eine europäische Datenwirtschaft zu normieren und Nutzern (Verbrauchern) sowie Unternehmen den Zugang zu Daten zu erleichtern. Das Gesetz sieht dabei eine Dreiecksbeziehung zwischen dem Hersteller eines datengenerierenden Produktes oder Services, dem Nutzer und einem Empfänger der bei der Nutzung generierten Daten vor.
Als Beispiel lässt sich etwa aus dem Automotive-Bereich die Konstellation anführen, dass zum Beispiel Versicherungen und freie Autowerkstätten, die bestimmte Daten aus dem Auto der Gegenwart und Zukunft benötigen, um Reparaturen etc. anbieten zu können, bislang der Zugang zu diesen Daten fehlt. Durch Anreizsysteme in ihren Verträgen mit den Nutzern des digitalen Produktes/Services dürften sie diese dazu veranlassen, gegenüber dem Hersteller („Data Owner“) den Anspruch auf Datenweitergabe auszuüben und als Datenempfänger Zugang zu bestimmten Daten für festgelegte Zwecke zu erhalten.
Für Unternehmen ergeben sich damit eine Vielzahl von Fragestellungen, mit denen sie sich befassen müssen, um ihre Wettbewerbsfähigkeit sicherzustellen. Denn Unternehmen können nach dem Data Act sowohl Verpflichtete als auch Begünstigte sein. Insbesondere Hersteller und Anbieter von digitalen, datengenerienden Produkten und Services werden Pflichten auferlegt, die bereits das Design und die Entwicklung des Produktes/Services betreffen („Data Access by Design“), um so dem Data Act zu größtmöglicher Geltung zu verhelfen. Ein besonderes Augenmerk wird zudem auf der Gestaltung der jeweiligen Vertragsbeziehungen zwischen Herstellern/Anbietern, Nutzern und potenziellen Datenempfängern liegen. So geht es unter anderem um die Pflicht zur Datenweitergabe oder auch darum, dass Unternehmen die Möglichkeit sehen, an Daten aus der Nutzung von Geräten und Diensten zu gelangen, zu denen ihnen bislang der Zugang fehlte, die sie aber für die Neu- und Weiterentwicklung ihrer Geschäftsmodelle benötigen.
Auch die Künstliche Intelligenz (KI) befindet sich weiter auf dem Vormarsch. Sowohl für die Entwicklung als auch den Einsatz von KI-Systemen (von KI-Systemen zur Sprachverarbeitung, Kundenanalyse, personalisierter Werbung, Preisoptimierung oder Chatbots bis hin zu beispielsweise HR-Tools, die zur Bewerberauswahl oder Performance-Analyse von Mitarbeitenden genutzt werden) wird die voraussichtlich im Frühjahr 2024 in Kraft tretende „Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz“ (KI-VO) anzuwenden sein.
Ausgehend von einem risikobasierten Ansatz, mit dem KI-Systeme in unterschiedliche Risikostufen klassifiziert werden, umfasst die KI-VO Verpflichtungen für Hersteller, Betreiber und Nutzer in Abhängigkeit vom jeweiligen Risiko des KI-Systems, wobei diese Pflichten durch Regelungen zur Rechtsdurchsetzung und Aufsicht über die Einhaltung der KI-VO sowie einen Bußgeldkatalog mit unterschiedlichen Sanktionsstufen flankiert werden.
