Damit unterstreicht Brüssel seinen Willen, in den Grenzen der eigenen Gesetzgebungskompetenz für die größtmögliche Vereinheitlichung zu sorgen. Und sie will offenbar keine Zeit über den Umweg der Umsetzung in nationales Recht verlieren. Sie beschneidet damit aber auch massiv den politischen Diskurs über das Für und Wider von Anordnungen und eine Auseinandersetzung darüber, ob das, was da geregelt werden soll, immer sinnvoll ist – oder ob der richtige Zeitpunkt für ein neues Gesetz gekommen ist. Dr. Arnd Haller, Legal Director EU Affairs, Northern and Central Europe bei Google in Deutschland, rechnet vor, dass die EU in den letzten Jahren 70 bis 80 neue digitalpolitische Gesetze verabschiedet hat, vom Digital Services Act über den Digital Markets Act zum AI Act oder dem European Media Freedom Act, „um nur die prominentesten Beispiele zu nennen“, wie er sagt. „Mehr als 20 weitere Gesetze befinden sich derzeit noch in Bearbeitung, von Produkthaftung und KI-Haftung über Inhalteregulierung, Cybersecurity-Regelungen, einer Reform des Datenschutzes und einer Regulierung nicht-personenbezogener Daten bis hin zu weiteren verbraucherschutzrechtlichen Instrumenten wie der Right-to-Repair-Richtlinie.“ Haller verweist in dem Zusammenhang auch darauf, dass der Gestaltungswille der EU im Digitalbereich nicht neu ist und dass „sie schon immer sehr ambitioniert gewesen sei“. Als Beispiel nennt er die 2000 in Kraft getretene Richtlinie über den elektronischen Rechtsverkehr, mit dem ein grundlegender Rechtsrahmen für Online-Dienste in der EU geschaffen worden sei. Immerhin hielt diese Regelung bis zum vergangenen Jahr und der Ablösung durch den Digital Services Act. Einst verfolgte die EU auch hehre Ziele mit ihrer Strategie. Vom wettbewerbsfähigsten und dynamischsten Wirtschaftsraum war mal die Rede. „Hierfür galt es vor allem, Hindernisse für die grenzüberschreitenden Online-Dienste zu beseitigen“, erinnert sich der Legal Director EU Affairs von Google. Auch wenn es etwas seltsam anmutet: Möglicherweise lag es am Ausgangspunkt, strategisch an die Sache heranzugehen, warum es jetzt zu diversen Schwierigkeiten gekommen ist. „Die Verantwortlichen haben sich überlegt, welche Bereiche es gibt und wo es Ansätze für Regelungen gibt. Insofern ist es nicht mit einer wirtschaftlichen und technologischen Entwicklung gewachsen“, meint Jürgen Hartung, Partner bei Oppenhoff Rechtsanwälte. Ein gutes Beispiel dafür sei die Künstliche Intelligenz. „Schon bevor wir richtig angefangen haben, KI in größerem Umfang zu nutzen, ohne also im Prinzip wirklich genau zu wissen, wofür wir Regelungen benötigen, gibt es ein Gesetz.“ Welche Ziele verfolgt die EU mit der Umsetzung ihrer Digitalstrategie? „Zum einen geht es darum, einen digitalen Binnenraum zu schaffen, der es den Unternehmen ermöglichen soll, einheitlich in der EU zu agieren“, erläutert Laurent Meister, Partner IT- und Datenschutzrecht bei RSM Ebner Stolz. Das heißt auch, die Datenwirtschaft innerhalb der EU zu fördern – dem sollen vor allem Data Act und Data Governance Act dienen.
„Die derzeitige Regulierungsintensität schafft ein Klima, das Unternehmen und Investoren abschreckt oder zögern lässt, bahnbrechende neue Ideen oder Geschäftsmodelle zu verfolgen.“
Dr. Arnd Haller
Legal Director EU Affairs, Northern and Central Europe,
Google Germany
Veränderte Marschrichtung
Marktakteure sollen auch die Daten zur Verfügung haben, die sie für die Umsetzung von Innovationen benötigen. „Eng damit verbunden ist – als weiterer Effekt – eine gewisse Abschottung nach Außen, beziehungsweise ein Stück weit der Wunsch, Einflüsse von außerhalb der EU in den Griff zu bekommen, sofern diese nicht die gleichen Standards einhalten“, so Meister weiter. Jürgen Hartung von Oppenhoff sieht darin auch ein Entgegenwirken gegen allzu marktmächtiges Auftreten nichteuropäischer Digitalisierungsgiganten. Schon befindet sich der Gesetzgeber in einem Dilemma: Digitalwirtschaft kennt eigentlich keine Ländergrenzen, viele Konzerne arbeiten international, weit über die Grenzen der Europäischen Union hinaus. Andererseits nehmen es andere Rechtsordnungen beispielsweise mit dem Datenschutz nicht so genau und bei großen Unternehmen besteht immer die Gefahr, dass sie den Wettbewerb verdrängen. Schnell gelangt der Betrachter zum Amazon-Phänomen. Christoph Stock, Rechtsanwalt und Spezialist für Kartellrecht und Compliance, ebenfalls bei RSM Ebner Stolz, führt dazu aus: „Wer als Plattform in einer digitalen Umgebung das beste Angebot macht, ist wegen der damit einhergehenden sogenannten Netzwerkeffekte schnell dominant. Für die Nachfrage ist es nur interessant, wenn sich möglichst viele Anbieter auf einer Plattform bewegen, umgekehrt ist es auch für Anbieter nur spannend, wenn eine hohe Nachfrage herrscht. Da brechen kleinere Anbieter relativ schnell weg.“ Auch um Märkte offen zu halten und schnell reagieren zu können, gibt es nun so dezidierte Regelungsansätze wie den Digital Markets Act. Dort zielt die EU zudem auf einen sehr spezifischen Adressatenkreis ab, es geht um wenige sehr goße Plattformen. „Wir haben es mit Gesetzen zu tun, die fast an Einzelfallregulierungen erinnern. Die kleinteilige Gesetzgebung verabschiedet sich von der sonst im Kartellrecht grundsätzlich üblichen allgemeinen Klauselregulierung“, so Stock weiter. „Das ist schon ein Paradigmenwechsel.“ Eine Vermutung bezüglich eines übergeordneten Zwecks äußert Dr. Oliver Trautmann, General Counsel und Chief Compliance Officer der Douglas Group. Möglicherweise treibe die EU der Wunsch „voranzuschreiten, ein Role Model zu sein.“ Zutreffen könnte das zumindest im Zusammenhang mit dem AI Act: Die EU schreibt sich in der Kommunikation auf die Fahnen, das weltweit erste Gesetz zur Künstlichen Intelligenz entwickelt zu haben. „Auf dem Papier mag das hervorzuheben sein, ob es hinterher funktioniert, ist wieder eine andere Frage“, moniert Trautmann. Er befürchtet auch, dass bei dem Ansatz, tiefgreifende und detaillierte Regelungen treffen zu wollen, ohne dass die Materie schon vollumfänglich durchdrungen ist, „auf dem Weg einiges auf der Strecke bleibt.“ Wollte die EU ursprünglich Innovationen fördern und einen digitalen Binnenmarkt schaffen und dabei gleichzeitig Risiken minimieren, hat sich bei der Betrachtung der bisher entwickelten und umgesetzten Initiativen eine schleichende, mittlerweile aber doch auch deutlich zutage tretende Kehrtwende etabliert. „Während sie die Ziele rhetorisch weiterverfolgt, hat sich der digitalpolitische Fokus dennoch sichtbar zugunsten der Eindämmung von Risiken für die Verbraucherinnen und Verbraucher und dem Wettbewerb verschoben“, stellt Dr. Arnd Haller von Google klar. „Die europäische Politik hat inzwischen der Regulierung neuer Technologien den Vorrang vor einer Förderung eines innovationsfreundlichen Umfelds eingeräumt.“ Die Krux ist, dass die Notwendigkeit, europäische Vorschriften einzuhalten, die Markteinführung von Produkten verzögert oder sogar verhindert. „All dies spiegelt sich in der Beobachtung wider, dass es vergleichsweise wenige global führende Technologie- und Internetunternehmen aus Europa gibt und die europäischen KI-Unternehmen im Vergleich zu den USA oder China bescheiden ausgestattet wirken“, resümiert Haller.
„Aufgrund der Vielfalt der Regelungen, der Tatsache, dass zum Teil Widersprüche existieren, agieren Unternehmen zurückhaltend und entscheiden oft nach Risikoabwägung: Was sollten wir anderem vorziehen?“
Sandrine Pommey
Group Compliance Officer,
Hexagon
Konsolidierung in Theorie und Praxis
Regulierung auf europäischer Ebene als Innovationsbremse? Sandrine Pommey, Group Compliance Officer bei Hexagon, drückt sich deutlich aus: „Die EU ist dabei, ihre Wirtschaft komplett zu beschädigen und setzt deren Wettbewerbsfähigkeit aufs Spiel. Möchte ein Unternehmen wirklich konform zu allen Richtlinien und Verordnungen am Markt agieren, können sie die Investitionen dafür kaum stemmen.“ Das erhöhe das Risiko einer Missachtung oder – sanfter ausgedrückt – die Nutzung von Grauzonen. „Innovationen könnten auch verloren gehen, weil Unternehmen aus Europa abwandern und in anderen Ländern ihr Geschäft aufbauen“, so Pommey weiter. Eine gewisse Gefahr sieht auch RSM-Ebner-Stolz-Anwalt Christoph Stock und führt als Beispiel nochmals den AI-Act an: „Wenn vorab zu stark reguliert wird und damit letztlich auch die Eintrittsbarrieren erhöht sind, kann es natürlich schon den Effekt haben, dass Europa im Hinblick auf die Technologieentwicklung ein Stück weit abgehängt wird.“ Dann müsse Technologie aus Ländern außerhalb der EU zugekauft werden – und das wäre sicher nicht im Sinne des Erfinders. Auf der anderen Seite betont Stock im Hinblick auf den DMA, dass Unternehmen mit mehreren Milliarden Umsatz im Jahr schon dazu gebracht werden können, sich an gewisse Spielregeln zu halten und sich innerhalb neuer Leitplanken zu bewegen, ohne dass dadurch eine erhebliche Benachteiligung entsteht – oder gar das Geschäft in der EU gänzlich uninteressant wird. „Auf den Prüfstand kommt grundsätzlich nur wettbewerbswidriges Verhalten beziehungsweise problematisches Verhalten, wenn beispielsweise eine missbräuchliche Selbstbevorzugung praktiziert wird.“ Den Spagat zwischen beiden Polen hinzubekommen, ist für den Gesetzgeber sicher keine einfache Aufgabe. Laurent Meister von RSM Ebner-Stolz sieht das auch als Folge, Auswüchse aus der Vergangenheit wieder begradigen zu wollen. „Die Datenschutzgrundverordnung wurde und wird als Innovationsbremse oder Bürokratiemonster angesehen, sie verursachte hohen Arbeitsaufwand und verkomplizierte Prozesse. Vor diesem Hintergrund haben mich die Ergebnisse einer Umfrage zu fünf Jahren DSGVO überrascht: Sie bringen zum Ausdruck, dass sie mitnichten zu einer allgemeinen Verschlechterung der Geschäftstätigkeit geführt, das bisherige Geschäftsmodell nicht beeinträchtigt und die Wettbewerbsfähigkeit am Markt sogar eher wieder hergestellt hat.“ Meister sieht deshalb vor allem beim Data Act und Digital Services Act das Potenzial, den Markt zu beleben. „Das könnte, wenn sich die Marktakteure darauf eingestellt haben, einen positiven Effekt haben.“ Die Herausforderungen sind hoch und im Hinblick auf noch zu verabschiedende Regulierungen nicht final abzusehen. Geht es um das angestrebte Ziel der europaweiten Konsolidierung und Vereinheitlichung rechtlicher Vorschriften, stößt das in der Praxis durchaus auf Zweifel. „Viele Gesetze sind mit heißer Nadel gestrickt“, sagt Oliver Trautmann, General Counsel der Parfümeriekette Douglas. „Das heißt, dass sie in vielen Fällen erheblich auslegungsbedürftig sind. Wenn dann die Behörden in den Mitgliedstaaten anfangen auszulegen, ist es mit der europaweit einheitlichen Handhabe von Sachverhalten schnell vorbei.“ Etwa beim Digital Services Act, obwohl es eine Verordnung ist, sei seine 26-köpfige Rechtsabteilung immer gehalten, Land für Land durchzugehen und zu prüfen, wie das Unternehmen dort agiert und welche Folgen das nach sich zieht. Haller vertritt die gleiche Ansicht: Als Unternehmen, das in einer Vielzahl von Mitgliedstaaten digitale Dienste anbietet, präferiert Google meistens europaweit einheitliche Regelungen. „Jede regulatorische Abweichung eines Landes führt zu Prüfungsaufwand und gegebenenfalls Anpassungsbedarf. Das kann zeitaufwendig und teuer sein und sogar dazu führen, dass wir bestimmte Dienste in einzelnen Märkten nicht oder in anderer Ausführung auf den Markt bringen.“ Erhöht werde der Aufwand, wenn nationalstaatliche Regelungen wie § 19a des Gesetzes gegen Wettbewerbsbeschränkungen vorsehen, dass nationale Behörden neben den europäischen in denselben Rechtsgebieten Aufsicht ausüben. Sorgen bereitet Oppenhoff-Anwalt Jürgen Hartung, dass die einzelnen „Akte“, Verordnungen und Richtlinien nicht aufeinander abgestimmt sind. Er bringt das wie folgt auf den Punkt: „Querbezüge und Wechselwirkungen sind ein großes Problem der Vorgehensweise mit parallelen Gesetzgebungsakten auf einer doch sehr theoretischen Ebene.“ Auch er bezieht sich auf die DSGVO und kritisiert, dass in allen neuen Regelungen lapidar darauf verwiesen wird, dass deren Vorschriften unberührt bleiben. Spätestens beim Data Act und beim AI Act verursacht das Schmerzen bei der gemeinsamen Betrachtung: „Beim Data Act heißt es, Daten zur Verfügung stellen – da fungiert die DSGVO im Grunde als Blockade. Das könnte dazu führen, dass der Data Act in weiten Teilen gegenstandslos ist und gar nicht wirkt.“ Apropos Kosten: Der höhere Ressourcenaufwand erhöht beinahe zwangsläufig die Kosten eines Produktes oder einer Dienstleistung. Haller macht keine Umschweife: „Generell für alle Unternehmen gesprochen mündet das zwangsläufig in einer Minimierung der Gewinnmarge oder in einer Weitergabe der Kosten.“ Das Bestreben, Kosten einzusparen, könne ferner zu Verschmelzungen führen, um Synergieeffekte zu nutzen. Das würde ein Ziel der EU konterkarieren und weniger Wettbewerb bedeuten. Außerdem habe die Regulierung häufig sogar einen unmittelbaren Einfluss auf die Produkte, führt Haller weiter aus: „Nehmen wir den Digital Markets Act: Wir haben eine ganze Reihe von Produktänderungen vorgenommen, zum Beispiel durch Einführung sogenannter choice screens etwa in der Suche, bei Google Shopping, auf den Android-Geräten. Und wir haben Drittinhalte stärker einbezogen.“ Für Wettbewerber kann das gut sein, für Konsumenten nicht unbedingt – wenn das, was gesucht wird, plötzlich schwerer zu finden ist.
„Die EU schafft hohe Anforderungen und einen hohen Umsetzungsdruck in den Unternehmen. Sie müssen viel umsetzen, erreichen dadurch aber auch einen Level, aus dem sie Vorteile
ziehen können.“
Laurent Meister
Partner im IT- und Datenschutzrecht,
RSM Ebner Stolz
Aufgabe der Rechtsabteilung
Wie können Rechtsabteilungen den enormen Anforderungen begegnen? Sandrine Pommey fasst aus eigener Erfahrung zusammen: „Der größte Aufwand ist zu sortieren, was relevant ist und was nicht. Dann geht es darum, das Management zu überzeugen, neue Prozesse zu definieren, die schlank und trotzdem effizient bleiben und diese auch zu implementieren.“ Nicht alles lässt sich auf einmal ändern, sagt sie, insbesondere international agierende Unternehmen wie das ihre müssten zwingend andere Jurisdiktionen in die Prüfungen einbeziehen. „Sobald wir uns mit einem europäischen Aufhänger konfrontiert sehen, sei es eine Richtlinie, sei es eine Verordnung, prüfen wir zunächst auf Gruppenebene“, berichtet Oliver Trautmann von Douglas. „Und wir haben in einigen Ländern zusätzlich lokale Teams, mit denen ein enger Austausch besteht. Wir arbeiten mit externen Kanzleien zusammen, die sich im besten Fall schon ihre eigenen Gedanken gemacht haben. Die Vorarbeit auf Gruppenebene geben wir dann in die anderen Länder weiter, wobei der Maßstab des Geltungsbereichs divergieren kann und nicht immer bei hundert Prozent liegt, so viel Spielraum muss die Prüfung bieten.“ Trautmann und sein Team definieren, was zum weißen Bereich gehört, was zum schwarzen, wo die Graubereiche liegen. Zusätzlich erfolgt ein Monitoring von Auslegungshinweisen sowie Behörden- beziehungsweise Gerichtsentscheidungen. Aus all dem ergibt sich eine rechtliche Guideline. Die Umsetzung von Vorschriften erfolgt meist auf dieser Basis in den Fachabteilungen selbst. Was bleibt nach der Gesamtbetrachtung und dem Versuch, die Regulierungsstrategie der Europäischen Union zu erfassen? Manche nehmen das Wort „Überregulierung“ in den Mund, manche zeigen sich schlicht überfordert. Was positive Effekte angeht, ist die Reaktion bestenfalls zurückhaltend. „Um Europa global wettbewerbsfähig zu halten, ist ein starker digitaler Binnenmarkt unverzichtbar“, fasst Arnd Haller von Google zusammen. Dieser sei inzwischen ein engmaschig durchregulierter Markt, was politisch gewollt war. Gebot der Stunde sei nun, die Regulierungsintensität und -geschwindigkeit deutlich zu reduzieren, um alle Normadressaten in den kommenden Jahren die Möglichkeit zu eröffnen, die neuen Regelungen unternehmerisch umzusetzen, behördlich durchzusetzen, gerichtlich zu überprüfen und auszulegen. „Das braucht Zeit, aber diese müssen wir uns nehmen, damit Regulierung nicht zur Überregulierung wird, die Innovationen aus Europa hemmt und die Wettbewerbsfähigkeit der EU beeinträchtigt.“
■ Alexander Pradka