Data Economy

Eine Reihe unmittelbar geltender Verordnungen formt zusammen mit zahlreichen weiteren Rechtsakten das hochkomplexe neue europäische Datenrecht. Nach der Datenschutz-Grundverordnung (DS-GVO) im Jahr 2016 und dem Data Governance Act (DGA) im Jahr 2022 hat der europäische Gesetzgeber 2024 mit dem Data Act (DA) und dem Artificial Intelligence Act (AIA) 2024 zwei weitere Meilensteine zur Regulierung von Daten und künstlicher Intelligenz in der Europäischen Union gesetzt. Regulatorische Anforderungen an künstliche Intelligenz und an den Zugang zu, den Austausch und die Nutzung von sowohl personenbezogenen als auch nicht-personenbezogenen Daten stehen im Spannungsfeld zu den bereits etablierten Vorgaben des Datenschutzes. Weitere bereits im Gesetzgebungsverfahren befindliche europäische Rechtsakte werden den regulatorischen Rahmen für Daten und KI zukünftig noch weiter verdichten.

Bei der Sicherheit von Daten sind zusätzlich auch regulatorische Vorgaben des IT-Sicherheitsrechts zu beachten. Hinzu kommen zum Umgang mit Daten die strengen Vorgaben des Kartellrechts. Die Rechtsakte des europäischen Datenrechts stellen keinen allgemeinen Safe Harbour für Kartellverstöße, wie den verbotenen Austausch wettbewerblich sensibler Informationen, dar. Weiterhin gelten die Vorgaben des Produkthaftungsrechts, das nun auch auf digitale Produkte, Software und Produktionsdateien ausgeweitet wird, und, etwa wenn Daten Einfluss auf die sichere Nutzung eines Produkts haben, auch des Produktsicherheitsrechts. Bei der Kommerzialisierung von Daten ist entlang der gesamten Wertschöpfungskette nicht zuletzt auch das Vertriebsrecht im Blick zu behalten.

Die Einhaltung gesetzlicher Vorschriften ist eine der Kernkomponenten der „Data Compliance“, unabhängig von der Branche und Größe eines Unternehmens. Data Compliance umfasst im Wesentlichen alle geltenden Regeln, die Unternehmen bei der Verarbeitung (personenbezogener und nicht personenbezogener) Daten einhalten müssen, einschließlich gesetzlicher Vorschriften, Vertragsbedingungen, Zertifizierungen, Verhaltenskodizes, Branchenstandards sowie verbindlicher Unternehmensregeln und interner Richtlinien.

Interaktive „Landkarte“ zum europäischen Datenrecht / Data Compliance Compass

Die umfangreichen datenrechtlichen Anforderungen bilden nicht nur den regulatorischen Rahmen für Geschäftsprozesse sowie die Gestaltung und Nutzung von Anwendungen und Systemen innerhalb einer Organisation. Die Einhaltung der datenrechtlichen Vorgaben im Sinne von „Data Compliance by Design“ wird auch für den nachhaltigen Erfolg der meisten digitalen Geschäftsmodelle eine entscheidende Rolle spielen.

Um die Vielzahl der Data Compliance-Anforderungen in der Praxis effektiv zu bewältigen, ist eine robuste und effiziente Data Compliance Governance unerlässlich. Dazu gehören effektive organisatorische Strukturen und praktikable Prozesse zur Umsetzung der Data Compliance-Anforderungen mit klar definierten Rollen und Verantwortlichkeiten.

Data Compliance Management Systeme (DCMS) ergänzen und erweitern die Perspektive bereits etablierter Datenschutz-Management-Systeme (DPMS). Gemeinsam zielen diese Systeme darauf ab, Maßnahmen zur Einhaltung der rechtlichen Anforderungen sowohl für personenbezogene als auch für nicht personenbezogene Daten sowie für künstliche Intelligenz systematisch zu planen, umzusetzen, kontinuierlich zu überwachen und zu verbessern.

Data Compliance Governance

Die Regulierung des Daten- und insbesondere des Datenschutzrechts wird durch weitgehende Durchsetzungs- und Streitbeilegungsmechanismen auf europäischer und nationalstaatlicher Ebene und Private Enforcement flankiert. Dabei geben die neuen europäischen Rechtsakte den zuständigen Behörden nach dem Vorbild in der DS-GVO ein Instrumentarium an empfindlichen Sanktionen an die Hand. Ein Schwerpunkt wird daher einerseits auf der Durchführung behördlicher Verfahren und dem gerichtlichen Vorgehen gegen entsprechende Entscheidungen vor den nationalen und den europäischen Gerichten liegen. Daneben steht die private Rechtsdurchsetzung, die auch durch neue kollektive Klageverfahren in ganz Europa eine immer größere Rolle spielt und ein erhebliches wirtschaftliches Risiko für Unternehmen darstellen kann. Insoweit beraten wir in integrierten Teams mit einem vollständigen Blick auf alle denkbaren Möglichkeiten und Risiken und entwickeln für Ihr Unternehmen eine Gesamtstrategie, wie Sie mit den Risiken von Public und Private Enforcement bestmöglich umgehen. Selbstverständlich unterstützen wir im Falle eines Fallen auch in Umsetzung der gemeinsam abgestimmten Strategie mit unserer breiten Erfahrung -  bei der Abwehr von Kollektivklagen und im effizienten Management von Massenverfahren -  bei der Verteidigung Ihrer Rechte vor Behörden und Gerichten.