Plastikmüll adé? Einwegkunststoffabgabe und neue Pflichten!
Seit dem 01.01.2024 gelten das Einwegkunststofffondsgesetz (EWKFondsG) und die Einwegkunststofffondsverordnung (EWKFondsV). Welche Folgen hat das für Sie?
Ob Digital Services Act, Digital Markets Act oder Resilience Act – mittlerweile ist auch den Gesetzgebenden klar, dass dieses Internet sich doch durchgesetzt hat, es nun nicht mehr als „Neuland“ zu verstehen ist und es daher auch einer gewissen Regulierung bedarf. Die Europäische Kommission versucht nun, mit dem Erlass unzähliger „Acts“ – also Gesetzen – Themen wie einen fairen Wettbewerb, den Schutz der Nutzer*innen oder die allgemeine Cybersecurity zu fordern und fördern. Auf zwei dieser neuen Gesetze und deren datenschutzrechtlichen Auswirkungen werfen wir hier einen genaueren Blick.
Der Digital Markets Act (DMA)
Dieses Gesetz verfolgt das Ziel, die Märkte im digitalen Sektor fairer und wettbewerbsfähiger zu machen. Hierzu werden den sogenannten „Gatekeepern“ verschiedene Verhaltensregeln auferlegt.
Die Gatekeeper/Torwächter
Solche Gatekeeper, zu Deutsch Torwächter, sind Unternehmen, die einen erheblichen Einfluss auf den Binnenmarkt haben, einen zentralen Plattformdienst bereitstellen (bspw. Online-Suchmaschinen, Soziale Netzwerke, Video-Sharing-Plattformen, Webbrowser usw.) und hinsichtlich ihrer Tätigkeit eine gefestigte und dauerhafte Position innehaben oder innehaben werden. Erreicht ein Unternehmen gewisse Schwellenwerte, bspw. Einen Jahresumsatz von 7,5 Milliarden Euro oder 45 Millionen Nutzer*innen, wird davon ausgegangen, dass ein erheblicher Einfluss bzw. ein zentraler Plattformdienst vorliegt.
Dieser Torwächter-Status kann auf Antrag oder eigenmächtig durch die EU-Kommission überprüft, geändert oder aufgehoben werden.
Um etwas mehr Klarheit über das Vorliegen einer Gatekeeper-Eigenschaft aufzubringen, veröffentlicht die EU-Kommission eine laufend aktualisierte Liste mit solchen Unternehmen, die unter den Gatekeeper-Begriff fallen. Derzeit sind das sechs Unternehmen: Alphabet (Google), Amazon, Apple, ByteDance (TikTok), Meta (Facebook/Instagram) und Microsoft. Sie weisen mit ihren zentralen Plattformdiensten wie Whatsapp, Youtube, Android, iOS, Windows, Google Search usw. eine erhebliche Bedeutung auf. Weitere Dienste wie Gmail, Outlook oder der Samsung Internet Browser stellen hingegen keine zentralen Plattformdienste dar, weil Alphabet, Microsoft und Samsung begründet darlegen konnten, dass diese Dienste nicht als Zugangstor für die jeweilige zentrale Plattform anzusehen sind.
Was bedeutet das Gesetz für die Gatekeeper?
Durch den DMA sehen sich die Gatekeeper mit verschiedenen Geboten und Verboten konfrontiert. So müssen sie bspw. Third-Party-Entwickler*innen die Interaktion mit ihren Diensten ermöglichen und gewerblichen Nutzer*innen den Zugriff der auf der Gatekeeper-Plattform erzeugten Daten gestatten und es ihnen ermöglichen, ihr Angebot auf der Plattform zu bewerben und auch außerhalb dieser Verträge mit den Kund*innen abzuschließen. Zudem ist es ihnen bspw. Untersagt, Dienste und Produkte der Gatekeeper in Rankings besser zu behandeln, Verbraucher*innen daran zu hindern, sich mit Unternehmen außerhalb der Plattform zu vernetzen oder auch Nutzer*innen daran zu hindern, vorinstallierte Software oder Apps zu deinstallieren.
Erbringt der Gatekeeper einen Kommunikationsdienst, so hat er die Interoperabilität der grundlegenden Funktionen zwischen seinem Dienst und den Kommunikationsdiensten anderer Anbieter*innen sicherzustellen – bspw. Durch technische Schnittstellen oder ähnliche Lösungen. Dies gilt dann für den Austausch von Ende-zu-Ende-Textnachrichten, Bildern, Sprachnachrichten, Videos oder Dateien ebenso wie für Sprach- und Videoanrufe. Bei kleineren Messenger-Diensten wie Threema oder Signal, die gerade mit einer erhöhten Datensicherheit werben, stößt diese zwanghafte Interoperabilität nicht nur auf Gegenliebe. So wird befürchtet, dass andere Apps, die nicht über die gleichen Datenschutzstandards verfügen, Zugriff auf eine große Menge Benutzerdaten erhalten könnten und die Ende-zu-Ende-Verschlüsselung durch die Anwendung verschiedener kryptografischer Verfahren nicht mehr durchsetzbar sei.
Welche Vorteile erwachsen aus diesen neuen Ge- und Verboten?
Die EU-Kommission erhofft sich, dass sich Innovatoren und Technologie-Start-ups weniger unfairer Bedingungen der Gatekeeper unterwerfen müssen und somit Konkurrenz und Innovation gefördert werden. Verbraucher*innen sollen mehr und bessere Dienstleistungen wählen und auch einfacher ihren Anbieter wechseln können und einen direkten Zugang zu den Dienstleistungen und zu fairen Preisen haben. Zudem ergeben sich datenschutzrechtliche Verbesserungen für die Nutzer*innen der Gatekeeper-Dienste.
Bedeutung des DMA für den Datenschutz
Zum einen, beschränkt der DMA die Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten der Endnutzer*innen durch die Gatekeeper zum Zweck des Betriebs von Online-Werbediensten und das Zusammenführen oder Weiterverwenden personenbezogener Daten über verschiedene Dienste hinweg. Als taugliche Rechtsgrundlage wird hierbei vor allem die Einwilligung hervorgehoben, daneben kommen aber gegebenenfalls auch Art. 6 Abs. 1 lit. C, d und e DSGVO in Betracht – ein Berufen auf die Vertragserfüllung oder die berechtigten Interessen scheidet also aus. Gatekeeper müssen nachweisen können, dass sie eine gültige Einwilligung eingeholt haben, die den Kriterien des Art. 4 Nr. 11 und Art. 7 DSGVO genügt.
Zum anderen, muss auch die für eine wirksame Einwilligung bedeutsame Transparenz über die Datenverarbeitungen eingehalten werden. Nicht nur müssen Gatekeeper Nutzer*innen über etwaige Datenverarbeitungen klar und verständlich informieren (was durch Art. 12 Abs. 1 DSGVO auch vorher schon der Fall war, in der Praxis aber eher mäßig Beachtung fand), auch muss es ihnen möglich sein, ihre Einwilligung zu verweigern bzw. sie jederzeit zu widerrufen.
Eine besondere Bedeutung wird dabei wohl dem Consent-Management über entsprechende Plattformen (bspw. Cookie-Banner) auf Websites zukommen, da hier ein großer Teil der Nutzereinwilligungen eingeholt werden wird. Für Shop-Betreiber*innen wird es also zunehmend wichtig, sich einer aktuellen Consent-Management-Plattform zu bedienen, da sonst bestimmte Dienste der Gatekeeper (bspw. Google Analytics) nicht mehr funktionieren könnten.
Im Zuge der oben angesprochenen Interoperabilität bei Kommunikationsdienstleistern muss wohl ein Austausch von personenbezogenen Daten über die verschiedenen Dienste hinweg stattfinden. Ob nun auch die Daten von bspw. Signal-Nutzer*innen, die eben nicht Whatsapp nutzen wollen, an Meta weitergegeben werden, ohne dabei eine Einwilligung zu erheben, ist unklar. Auch aufgrund unterschiedlicher Sitzländer der Diensteanbieter können sich im Zuge von Drittlandtransfers zukünftig Probleme ergeben – spätestens dann, wenn das derzeitige Data Privacy Framework gekippt wird.
Der Digital Services Act (DSA)
Das Gesetz über digitale Dienste zielt, ähnlich wie der Digital Markets Act, darauf ab, durch den Grundrechtsschutz von Nutzer*innen und faire Wettbewerbsbedingungen einen „sicheren digitalen Raum“ zu schaffen. Der DSA und der DMA bilden dabei ein einheitliches Regelwerk.
Digitale Dienste und betroffene Dienstleister
Ob man nun auf digitaler Ebene einkaufen, kommunizieren, Inhalte konsumieren oder etwas suchen möchte – ohne einen digitalen Dienst eines Dienstleisters, ob über App oder eine Website, scheint das nicht möglich zu sein. Ziel der Regulierung sind Vermittlungsdienste, Hosting-Diensteanbieter, Online-Plattformen und sehr große Online-Plattformen. Grundsätzlich gilt dabei, je größer eine Plattform ist, desto mehr Verantwortung hat sie zu tragen. Sehr groß bedeutet an dieser Stelle eine durchschnittliche monatliche Anzahl von 45 Millionen aktiven Nutzer*innen, bspw. Alibaba, Amazon, Google Play, Wikipedia, Youtube und Zalando.
Die wesentlichen Pflichten des DSA
Wesentliche Ziele des DSA sind die wirksame Bekämpfung rechtswidriger Inhalte und die Transparenz, bspw. bei Werbemaßnahmen. Anbieter*innen von Vermittlungsdiensten müssen nach dem Eingang einer behördlichen Anordnung gegen einen oder mehrere rechtswidrige Inhalte vorgehen und Hosting-Anbieter*innen müssen entsprechend leicht zugängliche und nutzerfreundliche Melde- und Abhilfeverfahren einrichten, damit rechtswidrige Inhalte gemeldet werden können. Anbieter von Online-Plattformen müssen dazu ebenso Maßnahmen ergreifen, sodass Meldungen von vertrauenswürdigen Hinweisgeber*innen vorrangig behandelt und unverzüglich bearbeitet werden.
Zeigen Anbieter einer sehr großen Online-Plattform bzw. -Suchmaschine Werbung an, so haben diese ein Archiv zu führen und zu veröffentlichen, was unter anderem Informationen über den Inhalt der Werbung, in wessen Namen die Werbung angezeigt wird und über welchen Zeitraum die Werbung angezeigt wurde, zu beinhalten hat. Nutzt eine Online-Plattform ein Empfehlungssystem, so muss diese den Nutzer*innen in den allgemeinen Geschäftsbedingungen die wichtigsten Parameter des Empfehlungssystems in klarer und verständlicher Weise erläutern. Zudem sollen Nutzer*innen Informationen darüber erhalten, wie sie diese Parameter ändern oder beeinflussen können.
Bedeutung des DSA für den Datenschutz
Datenschutzrechtliche Angelegenheiten spielen im DSA keine zentrale Rolle. Die im Gesetz enthaltenen Regelungen zur Gestaltung und Organisation von Online-Schnittstellen sollen es verhindern, dass Anbieter*innen durch Täuschung oder Manipulation eine freie und informierte Entscheidung beeinträchtigen (bspw. das Einholen von Einwilligungen unter der Verwendung von Dark Patterns innerhalb von Cookie-Bannern). Die Kommission kann hierzu Leitlinien erlassen, die das Hervorheben bestimmter Auswahlmöglichkeiten, die wiederholte Aufforderung zur Abgabe einer Entscheidung und das Abmelden eines Dienstes näher erläutern.
Die erhöhte Transparenz betrifft auch Verarbeitungstätigkeiten von personenbezogenen Daten, insbesondere bei dem Ausspielen von Werbemaßnahmen.
Fazit
Die Regulierungsansätze der Europäischen Kommission sollen für mehr Fairness und Sicherheit in der digitalen Welt sorge – für alle beteiligten Interessensgruppen. Für Shop-Betreiber*innen ist vor allem relevant, die den Gatekeepern auferlegten Pflichten im Bereich des Einholens von rechtmäßigen Einwilligungen zu unterstützen. Es ist denkbar, dass Diensteanbieter wie Google, Facebook und Microsoft ihre Dienste Website-Betreiber*innen, die keine solche rechtmäßig eingeholte Einwilligung nachweisen können, nicht mehr zur Verfügung stellen.
05.02.24
