Compliance made in EU

Vielmehr beugt eine frühe Einbindung rechtlicher Entwicklungen in die hausinternen Abläufe auch einer – unter Umständen kostspieligen – nachträglichen Strukturanpassung vor. Dieser Artikel soll insofern als erster Orientierungspunkt dienen.

Eines der erklärten Ziele der Digitalstrategie der Europäischen Kommission ist es, Bedingungen für eine faire und wettbewerbsfähige Wirtschaft aufzustellen, die eine Teilhabe von Unternehmen jeder Größenordnung sicherstellt¹. Ob dieses Ziel für KMUs allein ob des quantitativen Umfangs der bislang forcierten Gesetzgebungsvorhaben erreicht werden kann, ist dabei offen. Die teilweise inhaltlich vorgenommene Differenzierung nach „Unternehmensgröße“ verdeutlicht zumindest, dass die Kommission bemüht ist, dieser Zielsetzung gerecht zu werden. Gleichwohl geht für alle Beteiligten ein nicht unwesentlicher Compliance-Aufwand mit den Gesetzgebungsakten einher.

Der Digital Markets Act²

Der DMA dient als Ergänzung des Kartellrechts und sucht Schwächen desselben auf dem Markt für digitale Dienste auszugleichen. Er stellt damit eine parallele Entwicklung zu den nationalen Novellierungsbestrebungen des GWB in Form des § 19a GWB dar. Die Verordnung ist bereits in Kraft getreten und entfaltet dem Grunde nach ab dem 02.05.2023 seine Rechtswirkung.

Primärer Adressat der Reglungen des DMA Act sind die sogenannten Gatekeeper. Der DMA listet abschließend auf, welche Plattformdienste vom DMA erfasst sind; unter anderem Online-Vermittlungsdienste, soziale Netzwerke, Betriebssysteme, Webbrowser und Online-Werbedienste.

Um als Gatekeeper klassifiziert zu werden, muss der Plattformdienst ferner von zentraler Bedeutung sein. Hierüber entscheidet die EU-Kommission anhand mehrerer Kriterien, wobei Jahresumsatz und Nutzerzahl als Schwellwert für eine Vermutung der zentralen Bedeutung herangezogen werden. Überschreitet ein Plattformdienst die Schwellwerte, hat der Betreiber der Kommission hiervon innerhalb von zwei Monaten ab dem Zeitpunkt der Überschreitung zu berichten.

Wurde ein Plattformdienst von der Kommission als Gatekeeper benannt, so hat der Betreiber insbesondere eine Reihe von Verhaltenspflichten einzuhalten, welche teilweise nach Dienst variieren. Diese beinhalten vor allem Vorgaben für die Verarbeitung von Nutzerdaten, die Verhinderung der alternativlosen Bindung von privaten und gewerblichen Nutzern an den zentralen Plattformdienst durch Vertrags- oder Technikgestaltung sowie Transparenzpflichten.

Als Unternehmen gilt es daher zu überprüfen, ob eine Meldepflicht gegenüber der Kommission besteht und sofern man als Gatekeeper benannt wird, die vorgegebenen Verhaltenspflichten eingehalten werden. Doch auch sofern man selbst den Vorschriften für Gatekeeper nicht unterfällt, das eigene Geschäftsmodell sich aber Plattformen von Gatekeepern bedient, lohnt sich eine Auseinandersetzung mit der Materie. Zu prüfen ist, ob die neuen Regeln ein diversifizierteres Angebot oder eine Bewerbung desselben ermöglicht oder die bisherigen Vertragsbedingungen aus anderen Gründen gegen die Vorgaben des DMA verstoßen und die entsprechenden Rechte gegenüber den Gatekeepern auch durchgesetzt werden können.

Der Digital Services Act³

Der DSA zielt darauf ab, einheitliche Regelungen für die Haftung von Intermediären zu schaffen, die Verfahren zur Entfernung illegaler Inhalte aus dem Netz und damit verbundene Rechtsbehelfsverfahren zu konkretisieren sowie allgemeine Sorgfaltsanforderungen von Online-Plattformbetreibern zu standardisieren. Auch der DSA ist bereits in Kraft und entfaltet ab dem 17.02.2024 seine Rechtswirkung.

Er ersetzt – inhaltlich weitestgehend identisch – Teile der E-Commerce-Richtlinie und deren Umsetzungsvorschriften im TMG, ergänzt diese und überschneidet sich partiell mit mit der Regelungsmaterie des NetzDG.

Im Übrigen enthält der DSA ein abgestuftes Vorschriftenkonzept. Die erste Stufe stellt grundlegende Pflichten für alle digitalen Vermittlungsdienste auf. Diese haben Kontaktstellen für Behörden und Nutzer vorzuhalten und einen gesetzlichen Vertreter in der EU zu benennen, soweit der Sitz des Anbieters außerhalb der EU ist. Zudem gibt es Anforderungen an die Gestaltungen der Vertragsbedingungen und die Verpflichtung zu einem jährlichen Transparenzbericht über die Moderationsmaßnahmen.

Die weitergehenden Vorschriften differenzieren (jeweils mit Ausnahmevorschriften für KMUs) zwischen der Art des angebotenen Dienstes in Form von Hosting- Anbietern, Online-Plattformen und Online-Handelsplattformen einerseits und der Größe der Dienste anderseits, wobei die Nutzerzahl das maßgebliche Kriterium ist. Den Betreibern dieser Dienste werden abgestuft weitergehende Pflichten auferlegt, die von der Begründung und Dokumentation von Moderationsentscheidungen, über die Transparenz von Empfehlungssystemen und die Kontrollpflicht für rechtswidrige Produkte und Dienstleistungen bis hin zur Vorhaltung von Compliance-Abteilungen reichen. In Bezug auf sehr große Dienste sei auf die Meldepflicht der aktiven monatlichen Nutzer hingewiesen, welche bereits bis zum 17.02.2023 zu erfolgen hatte.

Bietet man als Unternehmen digitale Dienstleistungen an, so fällt man – anders als beim DMA – mit hoher Wahrscheinlichkeit in den persönlichen Anwendungsbereich des DSA. In der Folge sollte eruiert werden, welche Regelungsstufe des DSA auf das eigene Produkt Anwendung findet und ob die damit einhergehenden Verpflichtungen eingehalten werden.

Der Data Act⁴

Der DA stellt ein Novum in Bezug auf die rechtliche Regulierung von Daten dar. Ziel ist es, maschinengenerierte Daten verkehrsfähig zu machen. Der DA befindet sich zurzeit noch im Trilogverfahren und ist damit noch nicht in Kraft. Gleichwohl lohnt sich eine frühzeitige Auseinandersetzung mit der Regelungsmaterie, da die Umsetzung für betroffene Unternehmen mit einigem Implementierungsaufwand verbunden sein dürfte.

Herzstück des DA ist ein Anspruch des Nutzers eines digitalen Produkts oder damit verbundenen Dienstes auf Bereitstellung der durch die Nutzung erzeugten Daten an sich oder benannte Dritte. Dieser Pflicht soll bereits bei der Konzeption der Produkte Rechnung getragen werden, indem die Daten für den Nutzer standartmäßig einfach, sicher und – soweit relevant und angemessen – direkt zugänglich sind. Soweit ein solcher Direktzugriff nicht möglich ist, hat der Dateninhaber die Daten auf Verlangen unverzüglich, kostenlos und gegebenenfalls kontinuierlich und in Echtzeit bereitzustellen.

Die Schwierigkeit der Implementierung dieser Voraussetzungen liegt insbesondere im Spannungsfeld mit den übrigen Verpflichtungen, die in Bezug auf die generierten Daten bestehen können und von dem DA auch teilweise adressiert werden. Zunächst muss eine Balance zwischen dem Zugriffsrecht und den Vorgaben des IT-Sicherheitsrechts gefunden werden. Daneben hat man die maschinengenerierten Daten von denen zu trennen, bei welchen ein – wenn auch nur mittelbarer – Personenbezug vorliegt, um zu evaluieren, ob eine separate Einwilligung für die Datenübermittlung entsprechend der Vorgaben des Datenschutzrechtes erforderlich ist. Letztlich muss darauf geachtet werden, dass keine weitergehenden Einschränkungen der Datenübermittlung entgegenstehen. In Frage kommen insoweit die Vorschriften des Geschäftsgeheimnisschutzes, berufsrechtliche Verschwiegenheitspflichten oder Immaterialgüterrechte, die am Inhalt der Daten bestehen.

AI-Act und AI-Haftungsrichtlinie⁵

Der AI-Act und die AI-Haftungsrichtlinie sind darauf ausgelegt, aus diametralen Perspektiven die Risiken, die im Umgang künstlich intelligenter Systeme drohen, regulatorisch einzufangen. Während der AI-Act präventiv zu verhindern sucht, dass KI-Systeme auf den Markt kommen, die zu Rechtsverletzungen führen, soll die AI-Haftungsrichtlinie sicherstellen, dass Personen, die durch den Einsatz von KI zu Schaden kommen, einen effektiven außervertraglichen Kompensationsanspruch Kompensationsanspruch geltend machen können.

Beide Gesetzgebungsvorhaben sind noch nicht in Kraft. Wiederum bietet sich eine frühzeitige Auseinandersetzung mit den forcierten Vorgaben an, um bei der Konzeption neuer Produkte oder dem Einkauf von KI-Systemen auch potenziellen Folgeaufwand in Form von Compliance-Anforderungen berücksichtigen zu können.

Der AI-Act wählt einen risikobasierten Ansatz und differenziert zwischen verschiedenen Kategorien von KI-Systemen. Solche mit einem nicht hinnehmbaren Risiko sind nach dem Willen des Unionsgesetzgebers verboten.

Der Einsatz von Hochrisiko KI-Systemen ist demgegenüber an strenge Vorgaben geknüpft. Diese beinhalten die Vorhaltung eines Risikomanagement-Systems, die Gewährleistung von gewissen Qualitätsstandards der Daten, mit denen die Hochrisikosysteme trainiert werden, eine Schnittstelle für eine effektive menschliche Aufsicht über das System sowie weitere Dokumentations- und Informationspflichten. Derartige Systeme dürfen nur nach Durchlaufen eines behördlichen Notifizierungsverfahrens in der EU eingesetzt werden.

Sonstige KI-Systeme unterliegen hingegen „lediglich“ bestimmten Transparenzkriterien, die sich primär am Einsatzkontext orientieren.

Ungeachtet der Zuordnung der vorgenannten Systemkategorien ist im Zusammenhang mit KI-Systemen eine engmaschige Dokumentation von Einsatz- und Nutzungsbedingungen ratsam. Denn sollte der Einsatz eines KI-Systems zu einem deliktischen Schaden führen, so befähigt die AI-Haftungsrichtlinie nationalen Gerichte dazu gewisse Beweismittel in Bezug auf das KI-System offenzulegen. Wird diesen Anordnungen nicht nachgekommen, so wird ein schuldhafter Verstoß des Anbieters des KI-Systems gegen Sorgfaltspflichten vermutet. Mehr noch: Die KI-Haftungsrichtlinie fingiert die Kausalität zwischen dem schuldhaften Pflichtverstoß des Anbieters und der schadensverursachenden KI-Entscheidung, was regelmäßig eine Haftung des Anbieters begründen dürfte.

_{¹ Mitteilung der Kommission vom 19.02.2020, COM (2020) 67 final, S. 3.
² Vertiefend: Podszun/Bongartz/Kirk, Digital Markets Act – Neue Regeln für Fairness in der Plattformökonomie, NJW 2022, S. 3249 ff; Richter/Gömann, Private Enforcement des DMA – Ein Ausblick am Beispiel Amazons, NZKart 2023, 208ff.
³ Vertiefend: Gerdemann/Spindler: Das Gesetz über digitale Dienste – 1. Teil GRUR, 2023, 3ff. / 2. Teil GRUR 2023, 115ff.
⁴Vertiefend: Hartmann/McGuire/Schulte-Nölke, Datenzugang bei smarten Produkten nach dem Entwurf für ein Datengesetz (Data Act), RDi 2023, 49ff; Steinrötter, Verhältnis von Data Act und DS-GVO, GRUR 2023, 2 6 ff.
⁵Vertiefend: Hacker, Die Regulierung von ChatGPT et al. – ein europäisches Trauerspiel, GRUR 2023, 289ff.}