Unsere Umwelt hat eine allgemeine Digitalisierung erfahren, die zuerst eine Regulierung von personenbezogenen Daten und dann von Daten im Allgemeinen erfordert hat. Tatsächlich haben diese Daten nun einen echten monetären Wert und die Digitalisierung der Gesellschaft hat ein solches Ausmaß angenommen, dass neue Missbräuche entstanden sind.
Der Schutz von Daten
Frankreich war in Europa Vorreiter bei der Gesetzgebung zum Schutz personenbezogener Daten mit dem Gesetz Nr. 78-17 vom 6. Januar 1978, bekannt als “Informatik- und Freiheitsgesetz”, das die Schaffung einer unabhängigen Verwaltungsbehörde zur Überwachung vorsah: die CNIL (Nationale Kommission für Informatik und Freiheiten).
Im Jahr 2002 trat die EU mit der e-Privacy-Richtlinie in Kraft, die den Schutz der Privatsphäre durch die Vertraulichkeit elektronischer Kommunikation (E-Mails, SMS, Kommunikation über soziale Netzwerke usw.) gewährleistet. Sie verbietet Spam und erfordert die Zustimmung des Nutzers zur Verwendung von Cookies (der Nutzer muss darüber informiert werden und die Möglichkeit haben, sie abzulehnen).
Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Die DSGVO ist der wichtigste europäische gesetzliche Rahmen für den Schutz personenbezogener Daten und zielt darauf ab, die Politiken und Vorschriften der Mitgliedstaaten in Bezug auf die Verarbeitung personenbezogener Daten in den Bereichen Transparenz, Vertrauen und Verantwortung zu harmonisieren.
• Transparenz, da Verantwortliche für die Verarbeitung die Nutzer darüber informieren müssen, welche Rechte sie in Bezug auf ihre Daten haben und wie sie diese ausüben können, auf möglichst klare und einfache Weise.
• Vertrauen, dank des Prinzips der Einwilligung und der Einrichtung von Garantien im Falle einer Datenübertragung.
• Verantwortlichkeit, da die Verordnung die Verpflichtungen der Verantwortlichen für die Verarbeitung stärkt und die Schaffung unabhängiger Kontrollbehörden vorschreibt: In Frankreich wurde die CNIL (seit 1978 eingesetzt) für diese Rolle beibehalten.
Der DSGVO bringt viele Vorteile mit sich, darunter eine Stärkung bereits bestehender Rechte (Prinzip der Einwilligung, Transparenzprinzip, Recht auf Vergessenwerden), den Schutz neuer Rechte (Recht auf Datenübertragbarkeit; Recht auf Schutz vor Profiling) und die Definition wichtiger Begriffe wie sensiblen Daten.
Die DSGVO hat die Funktion des Datenschutzbeauftragten (DPO) eingeführt, der für die Einhaltung der DSGVO und als Ansprechpartner fungiert. Der DPO muss bestimmte Anforderungen an Fachkompetenz (gute Kenntnis nationaler und europäischer Vorschriften zum Schutz personenbezogener Daten) und Unabhängigkeit erfüllen (Artikel 37). Grundsätzlich ist die Bestellung eines DPO nicht verpflichtend, wird jedoch dringend empfohlen, um unangekündigte Besuche oder Sanktionen der CNIL zu vermeiden! In einigen Fällen besteht jedoch eine Verpflichtung zur Bestellung eines DPO für bestimmte Organisationen, insbesondere für alle lokalen Behörden unabhängig von ihrer Größe, jedes Unternehmen, das systematisch und in großem Umfang personenbezogene Daten verfolgt oder in großem Umfang “sensible” Daten verarbeitet (Artikel 9 und 10 der DSGVO). Der DPO kann entweder intern oder extern sein.
Auf nationaler Ebene ist dieser Text in der Kontinuität des Gesetzes über Informationstechnologie und Freiheiten von 1978 verankert, das bereits mehrere der heute durch den DSGVO geschützten Prinzipien und Rechte festlegte und die CNIL (Commission Nationale Informatique et Liberté) als nationale Referenzbehörde in diesem Bereich einrichtete.
Der DSGVO und die e-Privacy-Richtlinie betreffen in erster Linie die Akteure der Datenverarbeitung, d.h. Verantwortliche für die Verarbeitung und Auftragsverarbeiter. Softwarehersteller hingegen wurden durch den DSGVO nur geringfügig beeinträchtigt.
KONTAKTVorschriften zur Cybersicherheit
Die NIS-Richtlinie und NIS2
Die NIS-Richtlinien (Network and Information Security):
Die NIS-Richtlinie 1: ist eine Reihe von Maßnahmen zur Cybersicherheit innerhalb der EU, deren Ziel es ist, die Cybersicherheit der “Betreiber wesentlicher Dienste für die Wirtschaft und die Gesellschaft” zu stärken. Die ANSSI wird diese Betreiber unterstützen, wenn sie Opfer eines Cyberangriffs werden.
Die NIS-Richtlinie 2: vertieft die Cybersicherheit und erweitert ihr Anwendungsbereich. Sie wird bis 2024 in Kraft treten. Die Neuheiten dieser Richtlinie sind: ein Proportionalitätsmechanismus, der zwischen wesentlichen Unternehmen und wichtigen Unternehmen unterscheidet (für jede von ihnen werden unterschiedliche Anforderungen festgelegt) und eine Verschärfung der Sanktionen.
Der Cybersecurity Act
Der Cybersecurity Act, der am 27. Juni 2019 in Kraft getreten ist, hat zum Ziel, das reibungslose Funktionieren des Binnenmarktes sicherzustellen und gleichzeitig ein hohes Maß an Cybersicherheit, Cyberresilienz und Vertrauen in der Union zu erreichen (Artikel 1). Dies stellt einen echten Fortschritt für die strategische Autonomie Europas im Bereich der Cybersicherheit dar. Dieser Text ist das Ergebnis wertvoller Arbeit der EU und nationaler Cybersicherheitsbehörden.
Der Cybersecurity Act besteht aus zwei Teilen:
-Der erste Teil hat das Mandat der ENISA (Europäische Agentur für Cybersicherheit der Europäischen Union) oder der Agentur der Europäischen Union für Cybersicherheit (Artikel 3) offiziell anerkannt und ihre Kapazitäten gestärkt (Artikel 6);
-Der zweite gesetzliche Rahmen befasst sich mit der Zertifizierung von Cybersicherheit für Produkte, Dienstleistungen und ICT-Prozesse (Artikel 56).
Der Cybersecurity Act ist der gesetzliche Rahmen für Cybersicherheit im europäischen Raum. Der Cybersecurity Act hat eine allgemeine und verbindliche Geltung für alle Mitgliedstaaten. Es handelt sich um eine Verordnung, die in allen Bestimmungen unmittelbar anwendbar ist.
Regelungen für digitale Plattformen und Inhalte
DMA : Digital Markets Act
In Bezug auf den digitalen Wettbewerb ist das DMA (Digital Market Act) eine europäische Verordnung, die 2020 verabschiedet wurde und ab 2023 anwendbar sein wird. Das Ziel ist es, Missbräuche von dominanten Positionen zu verhindern und den europäischen Verbrauchern eine größere Auswahl zu bieten, um gegen das nahezu monopolistische Verhalten der GAFAM auf dem europäischen Markt anzukämpfen.
Unternehmen, die in gewisser Weise die Kontrolle über den Internetzugang ausüben, sind betroffen, basierend auf verschlüsselten Daten in Bezug auf ihre Präsenz in europäischen Ländern, ihren Umsatz und die Anzahl der Nutzer dieser Unternehmen.
Sie müssen einen Verantwortlichen benennen, der die Einhaltung des DMA sicherstellt. Dieser legt mehrere Verpflichtungen fest, wie z.B. die Erleichterung der Abmeldung von einer Plattform oder einem Dienst oder die erleichterte Deinstallation vorinstallierter Anwendungen. Das DMA legt auch Verbote fest, z.B. dürfen diese Unternehmen ihren eigenen Inhalt nicht mehr bevorzugen. Zur Durchsetzung dieser Verpflichtungen und Verbote sind schwere Geldbußen vorgesehen.
DSA : Digital Services Act
Im Zusammenhang mit digitalen Inhalten wurde parallel zur DMA auch der DSA (Digital Services Act) verabschiedet, der ab 2023 für die größten digitalen Plattformen und ab 2024 für andere in Kraft treten wird. Ziel ist es, den Inhalt zu kontrollieren, der online zu finden ist: den Kampf gegen Hassinhalte, illegale Inhalte und Desinformation. Das Prinzip ist, dass was offline illegal ist, auch online illegal ist.
Die betroffenen Akteure sind Internetanbieter, digitale Speicherdienste und digitale Plattformen (Marktplätze, soziale Netzwerke, Suchmaschinen usw.).
Zu den Verpflichtungen des DSA gehören die Einrichtung eines Beschwerdesystems und die Verpflichtung zur Durchführung unabhängiger jährlicher Audits. Der Verstoß gegen diese Verpflichtungen wird im Gesetz sanktioniert.
Europäische Datenstrategie
Data Governance Act et Data Act
Schließlich gehören auch der Data Governance Act und der Data Act zu dieser europäischen Datenpolitik, dieses Mal außerhalb der EU: Es waren das Europäische Datenschutzkomitee (EDK) und der Europäische Datenschutzbeauftragte (EDSB), die diesen Vorschlag für eine europäische Datenverordnung, den Data Act, in Anschluss an den Data Governance Act von 2021 zur Datenverwaltung vorgelegt haben.
Obwohl der Data Act keine offizielle EU-Norm ist, passt er in die europäische Strategie, die darauf abzielt, einen einheitlichen Datenmarkt zu schaffen, während gleichzeitig die Rechte der Menschen und die Werte der EU geschützt werden. Dieser Vorschlag verdeutlicht die wachsende wirtschaftliche Bedeutung, die nun den digitalen Daten zugeschrieben wird.
Die Regulierung von KI
Die Entwicklung neuer Technologien und die neue Rolle der künstlichen Intelligenz haben dazu geführt, dass gesetzgebende und regulierende Behörden sich mit der Regulierung von Daten im Allgemeinen auseinandersetzen. Denn Daten haben heute einen tatsächlichen monetären Wert, und die Digitalisierung der Gesellschaft hat solche Ausmaße angenommen, dass neue Missbräuche aufgetreten sind.
Im Gegensatz zur DSGVO, die sich hauptsächlich auf Verantwortliche und Auftragsverarbeiter beschränkte, werden sich die neuen Gesetzgebungen hauptsächlich auf Softwareentwickler und KI-Entwickler konzentrieren.
AI Act : Artificial Intelligence Act
In Bezug auf die Entwicklung von KI und ihre Grenzen ist der AI Act (Artificial Intelligence Act) ein europäischer Regulierungsvorschlag, der im Jahr 2021 vorgestellt wurde. Die EU will damit einen rechtlichen Rahmen für die Entwicklung von künstlicher Intelligenz schaffen. Das Ziel ist, Vertrauen aufzubauen und Unternehmen die bestmöglichen Bedingungen für die Übernahme von KI zu ermöglichen.
Die CNIL nennt in diesem Zusammenhang vier Hauptziele:
– Sicherheitsvorkehrungen für KI-Entwickler und -Nutzer zu schaffen.
– Sich mit der DSGVO zu verbinden, da diese KIs oft personenbezogene Daten verarbeiten werden.
– Die europäische Regulierung in Bezug auf KI zu harmonisieren.
– Innovation zu fördern.
Projet zur Überarbeitung der Richtlinie 85/374/CEE
Entwurf zur Überarbeitung der Richtlinie 85/374/EWG des Rates vom 25. Juli 1985, die in Frankreich durch das Gesetz Nr. 98-389 vom 19. Mai 1998 umgesetzt wurde. Die neue Richtlinie zielt darauf ab, die Regeln zur Haftung für fehlerhafte Produkte zu modernisieren und zu stärken, um die Reparatur von Schäden zu erleichtern, wie zum Beispiel Körperschäden, Datenverluste usw. Die Richtlinie schafft fairere Wettbewerbsbedingungen zwischen europäischen Herstellern und Herstellern aus Drittländern. Sie erleichtert die Durchsetzung der Haftung (Klage auf Schadensersatz, Beweislast und Entschädigung) und ermöglicht die Reparatur von Schäden, die durch Produkte der KI, Roboter, Drohnen usw. verursacht wurden.
Projekt einer Richtlinie zur spezifischen Haftung im Zusammenhang mit KI.
Projekt einer Richtlinie zur spezifischen Haftung im Zusammenhang mit KI. Die Idee ist, nationale Regeln zur Haftung im Zusammenhang mit KI zu harmonisieren. Diese Regelung soll die Opfer von Schäden, die durch KI verursacht werden (z.B. Verletzung der Privatsphäre, Sicherheitsprobleme), gut schützen, indem der Zugang zu Rechtsbehelfen, Beweismitteln und Schadensersatzklagen erleichtert wird. Sie wird auch den rechtlichen Prozess der Haftung im Zusammenhang mit KI durch die Einführung einer Kausalitätsvermutung vereinfachen, die Opfer von der Beweislast befreit.
Die Regelung wird für alle KI-Systeme gelten.
Die Implementierung eines normativen Rahmens
Die Umsetzung eines normativen Rahmens führt zu der Frage, wie diese neuen Vorschriften in Bezug auf die DSGVO koordiniert werden sollen, da das Risiko besteht, dass ein undurchsichtiger Gesetzesdschungel entsteht. Um den französischen Akteuren bei der Umsetzung dieses regulativen Rahmens zu helfen, können verschiedene Behörden ihnen Unterstützung bieten:
Auf nationaler Ebene ist die CNIL der Hauptakteur des Datenschutzgesetzes und der DSGVO, aber sie ist nicht die einzige, die die europäischen Gesetzgebungen umsetzt. Die Nationale Agentur für Informationssicherheit (ANSSI) sieht ihre Rolle erweitert: Wenn sie bisher nur eine proaktive Rolle hatte (Unterstützung von Unternehmen, die Opfer von Cyberangriffen wurden), möchte sie heute ihre Rolle ausbauen und auch eine repressive Rolle haben, beispielsweise mit der Befugnis, Geldstrafen bei Nichteinhaltung der Vorschriften zu verhängen.
Schließlich ist auf einer engeren Ebene eine Zunahme von DPO (Datenschutzbeauftragten) und RSSI (Verantwortlichen für die Informationssicherheit) zu verzeichnen, die nun unverzichtbar für die Konformität französischer Unternehmen mit den geltenden und zukünftigen europäischen Normen sind.
