22.08.2023

Datenschutz und Digitalisierung: EU-Datenregulierung im Überblick

Datengetriebene Unternehmen stehen vor der Herausforderung, ihre Geschäftsmodelle nicht nur an technologische Veränderungen, sondern auch an datenschutzrechtliche Anforderungen anzupassen. Dazu gehört auch das Verständnis der verschiedenen EU-Rechtsakte zur Datenregulierung wie: Data Governance Act (DGA), Data Act (DA), Digital Services Act (DSA), Digital Markets Act (DMA), AI Act (AIA) und dem European Health Data Space (EHDS).

Unverbindliches Erstgespräch vereinbaren
Ihr ISiCO-Experte für das Thema:
Dr. Philipp Siedenburg
Director Datenschutz

Die EU-Datenregulierung ist nicht nur ein Gesetzesdschungel, sondern auch eine große Herausforderung für den Datenschutz. Die rechtlichen Bedingungen werden durch immer komplexere Rechtsakte weiterentwickelt bzw. konkretisiert und Unternehmen, die in Europa tätig sind, müssen sich ständig mit diesen Veränderungen auseinandersetzen. Ein falscher Umgang mit Daten oder Unkenntnis der Regelungen kann zu schwerwiegenden Datenschutzverstößen führen, die nicht nur hohe Bußgelder nach sich ziehen, sondern auch das Vertrauen in das Unternehmen untergraben können.

Vor diesem Hintergrund wird deutlich: Die EU-Datenregulierung bildet nicht nur einen rechtlichen Rahmen, sondern bestimmt die Unternehmensstrategie im digitalen Zeitalter maßgeblich mit. Insbesondere datengetriebene Unternehmen stehen vor der Herausforderung, ihre Geschäftsmodelle nicht nur an die technologischen Veränderungen, sondern auch an die datenschutzrechtlichen Anforderungen anzupassen. Dazu gehört das Verständnis des Data Governance Act (DGA), des Data Act (DA), des Digital Services Act (DSA), des Digital Markets Act (DMA), des AI Act (AIA) und des European Health Data Space (EHDS).

Eine proaktive Auseinandersetzung mit den verschiedenen Rechtsakten und ihren wechselseitigen Beziehungen ist gefordert. Die Identifizierung datenschutzrechtlicher und unternehmerischer Risiken muss in den Fokus rücken, um den Geschäftserfolg zu sichern und Rechtsverstöße zu vermeiden. Unsere Expertinnen und Experten sind darauf spezialisiert, Unternehmen bei dieser wichtigen Aufgabe zu unterstützen, zu allen Themen rund um Datenschutz beraten und dafür zu sorgen, dass Ihr Unternehmen stets die aktuellen Datenschutzbestimmungen einhält.

Ihre Strategie für den besten Schutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Termin vereinbaren

EU-Datenregulierungen im Fokus

Wir geben Ihnen einen Überblick über die verschiedenen EU-Rechtsakte, die sich mit der Regulierung von Daten befassen.

Data Governance Act (DGA): Förderung der Datenverfügbarkeit und Stärkung der Datenwirtschaft

Der Data Governance Act (DGA) zielt darauf ab, die Verfügbarkeit von Daten zu fördern, indem das Vertrauen in bestimmte Akteur:innen, die Daten bereitstellen, erhöht und die Mechanismen für die gemeinsame Nutzung von Daten in der EU gestärkt werden. Um dieses Ziel zu erreichen, konzentriert sich die Verordnung auf vier verschiedene Regelungsbereiche:

  • Die Weiterverwendung geschützter Daten im „Besitz“ des öffentlichen Sektors,
  • die Stärkung der Datenvermittlungsdienste als Schlüsselrolle in der Datenwirtschaft,
  • die Förderung des Datenaltruismus, d.h. die Erhöhung der Datenverfügbarkeit durch freiwillige Datenspenden und
  • die Einrichtung eines Europäischen Innovationsrats, eines beratenden Gremiums, das fachlichen Input für die Entwicklung von Leitlinien für europäische Datenräume liefern soll.

Bedingungen für die Weiterverwendung von Daten:

Wesentlich für das Verständnis des Gesetzes ist, dass es einzig die Bedingungen regelt, unter denen die (als zulässig unterstellte) Weiterverwendung ausgestaltet werden soll. Ein Anspruch auf Datenzugang statuiert der DGA jedoch nicht. Technische Hürden für die Weiterverwendung von Daten sollen durch Interoperabilität und ein angemessenes Schutzniveau überwunden werden. Darüber hinaus wird ein Registrierungs- und Aufsichtsrahmen für Datenintermediäre geschaffen. „Anerkannte datenaltruistische Organisationen“ haben die Möglichkeit, Privilegierungen zu erhalten.

Umsetzung des DGA in der EU:

Die Regelungen des am 23. Juni 2022 in Kraft getretenen DGA gelten ab dem 24. September 2023. Bis dahin soll der bereits erwähnte Dateninnovationsrat eingerichtet werden. Die Überwachung und Registrierung von Datenintermediären sowie die Festlegung etwaiger Sanktionen (keine Höchstgrenzen seitens der EU) bleibt den Mitgliedstaaten überlassen.

Data Act (DA): Datenzugang, Herstellerpflichten und Bußgelder im Fokus

Der Data Act (DA) regelt, wer unter welchen Bedingungen auf Daten zugreifen darf, die bei der Nutzung eines Internet-of-Things-Produkts oder damit verbundener Dienste erzeugt werden. Zentrales Anliegen der geplanten EU-Verordnung ist es, eine faire Verteilung der Wertschöpfung aus Daten zwischen den Akteuren der Datenwirtschaft zu gewährleisten. Der DA schafft neue Datenzugangsrechte und beinhaltet Vorschriften für die rechtlich zulässigen Formen der Datennutzung zwischen Privaten, sowohl B2B als auch B2C.

Datenzugang und Verpflichtungen für Hersteller:innen: Der Data Act (DA) im Fokus:

Um eine gerechtere Verteilung der Datenwertschöpfung zu erreichen, regelt der DA vor allem die Pflicht für Hersteller:innen und Entwickler:innen von Produkten, den Nutzer:innen die bei der Nutzung anfallenden Daten zur Verfügung zu stellen. Dabei wird nur der Zugang zu den Daten geregelt, die das jeweilige Produkt über seine Nutzung oder seine Umgebung erhält, erzeugt oder sammelt und die von dem Produkt über einen elektronischen Kommunikationsdienst übertragen werden können. Das entsprechende Auskunftsrecht verpflichtet zugleich Dateninhaber:innen als weitere Adressaten:innen des DA. Diese haben den sog. „Access by Design“ sicherzustellen. Eine Ausnahme gilt für Klein- und Kleinstunternehmen.

Fairness und Cloud-Switching:

Darüber hinaus enthält der DA allgemeine Regelungen zu fairen und diskriminierungsfreien Datenbereitstellungspflichten, zu spezifischen AGB-Kontrollen von Vertragsklauseln und zum (ausnahmsweise erzwingbaren) Zugang öffentlicher Stellen zu Daten im „Besitz“ von Unternehmen sowie zum sog. Cloud-Switching. Um das Cloud-Switching zu erleichtern, werden den Dateninhaber:innen weitreichende Pflichten auferlegt, die sich nicht nur auf den Zugang zu und die Herausgabe von Daten beschränken. Vielmehr enthält der DA detaillierte Vorgaben für die Vertrags- und AGB-Gestaltung. So sieht das Gesetz beispielsweise eine „funktionsäquivalente Datenübermittlung“ bei einem Wechsel des Cloud-Anbietenden vor. Was dies im Einzelnen bedeutet und wie dies umgesetzt werden soll, ist noch unklar.

DSGVO-Schutz und Dateninhaber:innenpflichten:

Da der Schutzstandard der DSGVO auch mit dem DA gewahrt bleiben soll, werden Dateninhaber:innen Prüf- und Handlungspflichten auferlegt. Sie müssen beurteilen, ob die vom Herausgabeersuchen betroffenen Daten (auch) personenbezogene Daten enthalten. Soweit dies der Fall ist, muss sichergestellt werden, dass eine Rechtsgrundlage nach der DSGVO für die Herausgabe der Daten gegeben ist. Insoweit ist Vorsicht gefragt: Werden Daten dem Anwendungsbereich der DSGVO fehlerhaft zugerechnet und wird mit dieser Begründung der Zugang auf Grundlage des DA verweigert, begründet dies zugleich einen Verstoß gegen den DA. Daher kommt der zutreffenden Zuordnung der Daten eine hohe Relevanz zu.

Bußgelder und Anwendung des DA:

Bei Verstößen gegen die Verpflichtungen aus dem DA können Bußgelder in Höhe von bis zu 20 Mio. EUR bzw. bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Die Verabschiedung des DA wird für 2024 erwartet. Unter Berücksichtigung der gesetzlich vorgesehenen Übergangsfrist von 12 Monaten ist damit zu rechnen, dass die Regelungen des DA ab Ende 2025 Anwendung finden.

Digital Services Act (DSA): Einheitliche Regulierung für sicheren Online-Raum

Der Digital Services Act (DSA) wird die Aktivitäten von Anbieter:innen digitaler Dienste einheitlich regeln. Ziel der Verordnung ist es, einen sicheren digitalen Raum frei von illegalen Inhalten zu schaffen und die Grundrechte der Nutzer:innen zu schützen.

Regelungsadressaten des DSA sind im Wesentlichen die digitalen Vermittlungsdienste (B2B und B2C), die Nutzer:innen Zugang zu Waren, Dienstleistungen und Inhalten verschaffen. Dabei sieht der DSA verschiedene Regulierungsebenen vor:

  • Stufe 1: Vermittlungsdienste (Transit-, Caching- und Hosting-Dienste)
  • Stufe 2: Verschärfte Regeln für bestimmte Hosting-Dienste
  • Stufe 3: Online-Plattformen
  • Stufe 4: sehr große Online-Plattformen und Suchmaschinen

Danach gelten für alle Vermittlungsdienste grundlegende Sorgfaltspflichten, wie z.B. die Einrichtung zentraler Anlaufstellen, die Einhaltung von Transparenzvorgaben bei der Gestaltung der Allgemeinen Geschäftsbedingungen sowie jährliche Transparenzberichtspflichten.

Besondere Pflichten für Hostingdienste und Online-Plattformen:

Hostingdiensten werden besondere Pflichten in Bezug auf Melde- und Abhilfeverfahren auferlegt, während für Online-Plattformen zusätzlich die Einrichtung eines internen Beschwerdemanagement- und Streitbeilegungssystems vorgesehen ist. Die Entscheidungen des Beschwerdemanagements dürfen nicht ausschließlich automatisiert getroffen werden. Vielmehr muss es unter der Aufsicht von qualifiziertem Personal stehen. Es ist jedoch ausreichend, wenn die automatisierten Ergebnisse anschließend von menschlichen Entscheidungsträgern überprüft werden. Hervorzuheben sind auch die allgemeinen Schnittstellenvorgaben für Online-Plattformen. Der DSA verbietet jede Gestaltung, Organisation oder Betriebsweise der Online-Schnittstelle, durch die Nutzer getäuscht, manipuliert oder sonst in ihrer Entscheidungsfreiheit beeinträchtigt oder behindert werden können. Damit soll in der Praxis der Verwendung von sog. „Dark Patterns“, also verhaltensmanipulierenden Designs und Prozessen, ein Riegel vorgeschoben werden.

Herausforderungen für große Plattformen und Suchmaschinen:

Den größten Compliance-Aufwand haben sehr große Plattformen und Suchmaschinen zu bewältigen. Neben den für alle Plattformanbieter:innen geregelten Transparenzpflichten für Online-Werbung und dem eingeschränkten Profiling-Verbot verlangt das Gesetz von den Anbieter:innen der vierten Stufe zusätzlich die Einrichtung eines Archivs, das auf ihren Online-Schnittstellen verfügbar ist und das neben dem Werbeinhalt und dem Werbenden unter anderem auch Angaben zu den wichtigsten Parametern für die personalisierte Darstellung der Werbung enthalten muss.

DSA-Bußgelder und Durchsetzungsmaßnahmen:

Bei Verstößen gegen die Vorgaben des DSA drohen Bußgelder in Höhe von bis zu 6 % der Jahreseinnahmen bzw. des Jahresumsatzes. Für die Ahndung zuständig sind von den Mitgliedstaaten benannte Behörden. Eine von ihnen wirkt als „Digital Services Coordinator“ und ist mit umfassenden Auskunfts-, Durchsuchungs-, Anordnungs- sowie Sanktionsrechten ausgestattet. Bei Maßnahmen gegen sehr große Online-Plattformen hat die Kommission ein Durchgriffsrecht.

Sorgfalts- und Transparenzpflichten für Wertpapierdienstleistungen:

Das DSA ist am 16. November 2022 in Kraft getreten und gilt im Wesentlichen ab dem 17. Februar 2024 (einzelne Regelungen gelten bereits seit dem 16. November 2022; vgl. hierzu Art. 93). Die umfassenden Sorgfalts- und Transparenzpflichten für Wertpapierdienstleistungen betreffen alle Bereiche unternehmerischen Handelns. Sie sind bereits bei der technischen Ausgestaltung der Dienste zu berücksichtigen.

Digital Markets Act (DMA): Regulierung von Online-Plattformen und Compliance-Anforderungen für Torwächter

Der Digital Markets Act (DMA) zielt auf die Regulierung der digitalen Märkte und insbesondere der großen Online-Plattformen, die als sog. Torwächter („Gatekeeper“) die digitalen Märkte kontrollieren. Regelungsadressat:innen sind die von den Torwächtern betriebenen zentralen Plattformdienste, die in Art. 2 Abs. 2 Nr. 2 lit. a-j abschließend aufgezählt sind. Dazu gehören z.B. Online-Vermittlungsdienste, Online-Suchmaschinen, Online-Dienste sozialer Netzwerke sowie virtuelle Assistenten. Ob eine digitale Plattform als Torwächter anzusehen ist, bestimmt sich nach qualitativen und quantitativen Kriterien. Qualitative Kriterien sind vor allem die Auswirkungen der Plattform auf den Binnenmarkt, ihre Mittlerfunktion zwischen gewerblichen Nutzer:innen und Endnutzer:innen sowie die voraussichtliche Solidität und Dauerhaftigkeit ihrer Tätigkeit. In quantitativer Hinsicht wird von einer digitalen Plattform als Torwächter ausgegangen, wenn sie bestimmte Schwellenwerte überschreitet: So wird unter anderem vermutet, dass der unionsweite Jahresumsatz in jedem der letzten drei Geschäftsjahre mindestens 7,5 Mrd. EUR oder die Marktkapitalisierung mindestens 75 Mrd. EUR betragen hat und der Dienst mindestens 45 Mio. monatlich aktive Endnutzer:innen und 10.000 jährlich aktive gewerbliche Nutzer:innen in der EU hat.

DMA-Verhaltensvorgaben für Torwächter:

Zur Regulierung von Online-Plattformen stellt der DMA zahlreiche Verhaltensvorgaben für Torwächter auf. Alle Vorgaben entfalten unmittelbare Rechtswirkung und sind direkt anwendbar. So verpflichtet Art. 5 die Torwächter dazu, das Sideloading von Apps zu ermöglichen, Interoperabilität zu gewährleisten und den Nutzer:innen Zugang zu den Servicedaten der Plattform zu gewähren.

DMA-Verstöße und Sanktionen:

Bei Verstößen gegen die DMA-Verhaltensregeln drohen Strafen von bis zu 10%, im Wiederholungsfall bis zu 20% des weltweiten Jahresumsatzes. Bei systematischen Regelverstößen kann sogar ein zeitlich befristetes Zusammenschlussverbot verhängt werden. Für die Anwendung des DMA ist allein die Kommission zuständig. Nationale Behörden haben keine Durchsetzungsbefugnis.

Fristen für Torwächter und Umsetzung der Vorgaben:

Der DMA ist am 1. November 2022 in Kraft getreten und gilt seit dem 2. Mai 2023. Bis zum 3. Juli 2023 hatten potenzielle Torwächter Zeit, der Kommission mitzuteilen, dass sie zentrale Plattformdienste betreiben. Die Kommission prüft innerhalb der folgenden 45 Arbeitstage (also bis spätestens 6. September 2023), ob das betreffende digitale Unternehmen als Torwächter einzustufen ist. Ist dies der Fall, erlässt sie eine sogenannte Benennungsentscheidung. Bis spätestens 6. März 2024 müssen die benannten Gatekeeper die Vorgaben umsetzen.

Selbstkontrolle und Compliance-Anforderungen für Gatekeeper:

Der DMA setzt stark auf Selbstkontrolle. Die Gatekeeper sind verpflichtet, Compliance-Maßnahmen mit den ihnen vorgegebenen Verhaltensregeln nachzuweisen und eine mit weitreichenden Befugnissen ausgestattete Compliance-Funktion in ihrem Unternehmen einzurichten, die für die interne Überwachung der Pflichten aus dem DMA zuständig ist. Darüber hinaus besteht eine umfassende Berichtspflicht. Danach müssen die Gatekeeper innerhalb von sechs Monaten nach ihrer Bestellung einen Bericht über die getroffenen Maßnahmen vorlegen.

Artificial Intelligence Act (AIA): Regulierungsansatz, Anwendungsbereich und Compliance-Maßnahmen für Unternehmen

Künstliche Intelligenz (KI) ist in aller Munde. Vor dem Hintergrund ihrer zunehmenden Nutzung soll der Artificial Intelligence Act (AIA) den Rechtsrahmen mittels eines sektoralen und risikobasierten Regulierungsansatzes bilden. Damit sollen Unternehmen in die Lage versetzt werden, die Wettbewerbsvorteile der KI-Technologie zu nutzen und die Wirtschaft im Binnenmarkt zu stärken. Der AIA richtet sich sowohl an Anbieter:innen, die solche KI-Systeme auf den Markt bringen (unabhängig davon, wo der/die Anbieter:in niedergelassen ist), als auch an deren Nutzer:innen, die sich in der EU befinden (gemeint sind die Unternehmen, die das System betreiben). Die Bestimmungen des AIA gelten auch für Anbieter:innen oder Nutzer:innen von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das von dem System erzeugte Ergebnis in der Union genutzt wird.

Definition von Künstlicher Intelligenz:

Für den Geltungsbereich des AIA ist von zentraler Bedeutung, was unter KI zu verstehen ist. Die weite Definition in Art. 3 Nr. 1 des Kommissionsentwurfs erfasst im Ergebnis nahezu jedes Computerprogramm. Um absurden Ergebnissen vorzubeugen (man denke nur an einen Taschenrechner), wurden Überlegungen angestellt, den weiten Anwendungsbereich einzuschränken. Der Rat der EU hat sich dafür ausgesprochen, dass ein System nur dann unter die AIA fallen sollte, wenn es autonome Elemente enthält (…) und unter Verwendung von maschinellem Lernen und/oder logik- und wissensbasierten Ansätzen entscheidet, wie ein bestimmter Satz definierter Ziele erreicht werden kann. Das EU-Parlament wiederum möchte KI als ein System definieren, das so konstruiert ist, dass es mit unterschiedlichen Graden an Autonomie arbeitet und für explizite oder implizite Zwecke Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die Auswirkungen auf die physische oder virtuelle Umgebung haben können. Aus diesen Vorschlägen geht hervor, dass ein autonomes und adaptives System erforderlich ist, damit KI vorliegt.

Risikobasierter Regulierungsansatz im AIA:

Der AIA verfolgt einen risikobasierten Regulierungsansatz. Je höher das Risiko, das von einem System ausgeht, desto strenger sind die Anforderungen, an denen sich das System messen lassen muss. Der AIA trifft insbesondere Vorschriften für Systeme mit hohem Risiko (vgl. Art. 6 und Anhänge II und III). Für diese Systeme ist ein umfangreiches Pflichtenprogramm vorgesehen (z.B. Risikomanagement, Data Governance, Design-Vorgaben). Derzeit wird noch diskutiert, ob Large Language Models wie ChatGPT in diese Kategorie fallen und ob Ausnahmen vorgesehen werden sollen.

Für KI-Systeme mit geringem Risiko gelten Transparenzpflichten, wenn sie mit Menschen interagieren (z.B. durch Chatbots oder Emotionserkennung) oder bestimmte Inhalte erstellen (Art. 52). Unterhalb dieser Schwelle (minimales Risiko) greifen keine Verpflichtungen, aber es können freiwillige Verhaltenskodizes (Art. 69) statuiert werden. Systeme, die mit dem Wertesystem der EU unvereinbar sind, wie z.B. Social Scoring Systeme oder die biometrische Fernidentifikation in Echtzeit im öffentlichen Raum zu Strafverfolgungszwecken, sind gänzlich verboten.

Nationale Aufsicht, Bußgelder und aktueller Stand:

Die Überwachung der betreffenden KI-Anwendungen soll durch die nationalen Aufsichtsbehörden erfolgen. Sie sind es auch, die etwaige Bußgelder verhängen, deren Schwellenwerte im AIA geregelt sind. Die Sanktionen können maximal 30 Mio. EUR oder 6 % des weltweiten Jahresumsatzes betragen.

Zum Kommissionsentwurf vom 21. April 2021 hat der Rat der EU im Dezember 2022 einen gemeinsamen Standpunkt („allgemeine Ausrichtung“) festgelegt. Auch das Parlament hat sich im Sommer 2023 positioniert. Derzeit stehen noch die Trilogverhandlungen aus. Aus heutiger Sicht ist mit einem Inkrafttreten des AIA ca. im Jahr 2024 und einer anschließenden zweijährigen Umsetzungsfrist zu rechnen. Mit einer Anwendung der Vorgaben des AIA ist daher erst ab 2027 zu rechnen.

Notwendige Maßnahmen und Compliance-Management für Unternehmen:

Bis dahin ist es für betroffene Unternehmen ratsam, interdisziplinäre Teams zu bilden und die „KI-Assets“ zu identifizieren. Um später aufwändige Nachdokumentationen und Zwangsabschaltungen von Systemen zu vermeiden, ist es zudem ratsam, ein KI-Compliance-Management-System zu implementieren bzw. die Compliance-Anforderungen aus dem AIA in bestehende Compliance-Prozesse und -dokumente zu integrieren. Ein besonderes Augenmerk sollten Unternehmen in ihren KI-Konzepten auf „Explainable Artificial Intelligence“ (XAI) legen. Da die Förderung von Innovationen im Bereich KI eng mit den anderen digitalen Rechtsakten verknüpft ist, empfiehlt es sich zudem, die Anforderungen der anderen Verordnungen im Blick zu behalten.

European Health Data Space (EHDS)

Der European Health Data Space (EHDS) ist eine Initiative der EU, die es sich zum Ziel gemacht hat, die nationalen Gesundheitssysteme durch den Austausch von Gesundheitsdaten besser zu vernetzen und damit die medizinische Versorgung zu verbessern. Die bei der Verfolgung dieses Primärziels anfallenden Daten sollen gleichzeitig zur Verbesserung der medizinischen Forschung und für andere Zwecke genutzt werden können (Sekundärziel).

Adressat:innen und Anwendungsbereich:

Mit dem EHDS sollen die Rechte natürlicher Personen in Hinblick auf ihre Gesundheitsdaten gestärkt werden, indem auf der einen Seite der Datenzugang verbessert wird und auf der anderen Seite eine verstärkte individuelle Datenkontrolle möglich ist. Neben den EU-Bürger:innen richtet sich der EHDS auch an Hersteller:innen und Anbieter:innen von EHR-Systemen (elektronische Patientenakten) und Wellness-Anwendungen, die in der EU in Verkehr gebracht und in Betrieb genommen werden. Darüber hinaus richtet sich der EHDS an in der EU niedergelassene Verantwortliche und Auftragsverarbeiter:innen, die elektronische Gesundheitsdaten von EU-Bürgern und Drittstaatsangehörigen, die sich rechtmäßig im Hoheitsgebiet der Mitgliedstaaten aufhalten, verarbeiten. Er richtet sich außerdem an Verantwortliche und Auftragsverarbeiter, die in einem Drittland niedergelassen sind und sich My Health@EU (der technischen Dateninfrastruktur für die grenzüberschreitende digitale Patientenversorgung) angeschlossen haben oder damit interoperabel sind. Eingeschlossen sind auch Datennutzer:innen, denen elektronische Gesundheitsdaten von Dateninhaber:innen in der EU zur Verfügung gestellt werden.

Der Datenraum im EHDS: Verwaltung, Datenaustausch und Sekundärnutzung für Forschung und Innovation:

Der Datenraum wird sich auf drei Säulen stützen: ein solides Verwaltungssystem und Regeln für den Datenaustausch, die Sicherstellung der Datenqualität und die Gewährleistung einer soliden Infrastruktur und Interoperabilität. Bei der Sekundärnutzung von Daten sollen diese beispielsweise für Forschungszwecke, für das Training von KI und für die Entwicklung neuer Gesundheitsprodukte genutzt werden können. Hierfür ist nach den Plänen des EHDS keine Einwilligung der Betroffenen, sondern eine Genehmigung durch eine dafür zuständige Stelle erforderlich. Dazu muss offengelegt werden, wie und zu welchem Zweck die Daten verwendet werden sollen. Aufgrund der Masse der hierfür anfallenden Daten erscheint die konkrete Umsetzung dieses Vorhabens jedoch schwierig.

Sanktionen und zeitlicher Rahmen für die Umsetzung:

Bei Verstößen sollen die Mitgliedstaaten Sanktionen festlegen und mit Hilfe ihrer Behörden durchsetzen. Die Kommission soll durch delegierte Rechtsakte den Rahmen für den Datenaustausch schaffen. Auf den Entwurf der Kommission vom 3. Mai 2022 folgten mehrere Stellungnahmen des Rates der EU, in denen erhebliche Bedenken geäußert wurden. Diese richten sich unter anderem auf die Vereinbarkeit mit dem Schutzstandard der DSGVO und der Reichweite der vorgesehenen Sekundärnutzung. Wann es zu einer Einigung kommt, ist noch unklar. Selbst wenn man von einer Verabschiedung noch im Jahr 2023 ausgeht, tritt das Gesetz erst 12 Monate später in Kraft. Gemäß Art. 72 wird die volle Interoperabilität der EHR-Systeme um weitere drei Jahre verschoben. Der EHDS wird somit frühestens Ende 2027 voll funktionsfähig sein. Auf die Ärztinnen und Ärzte kommen dann hohe Kosten und ein hoher Aufwand zu, da sie verpflichtet werden, die Behandlungsdaten im EHR-System zu speichern.

Weitere Neuigkeiten

23.01.2025

Cyber Resilience Act: Frist, Anwendung & Maßnahmen

Der Cyber Resilience Act bringt weitreichende Veränderungen in der EU mit sich und betrifft insbesondere Unternehmen aus dem Maschinen- und Anlagenbau. Produkte mit kommunikationsfähigen digitalen Elementen müssen ab 2027 strenge Sicherheitsstandards erfüllen, um die CE-Kennzeichnung zu erhalten. Das Gesetz verlangt Maßnahmen zur Minimierung von Cybersicherheitsrisiken während des gesamten Produktlebenszyklus - vom Design bis zur regelmäßigen Bereitstellung von Updates nach Inverkehrbringen. Damit Ihrem Unternehmen die Umsetzung gelingt, gibt dieser Beitrag einen Überblick über alle wesentlichen Neuerungen.

Weiterlesen …