News & Blog
EU-Digitalgesetzgebung
Im Rahmen ihrer Digitalstrategie arbeitet die EU aktuell an diversen Gesetzgebungsverfahren. Das gesetzgeberische Programm ist breit gefächert und umfasst zahlreiche Themenbereiche: von der Nutzung nicht personenbezogener Daten über die rechtlichen Anforderungen an Systeme im Finanzsektor bis hin zur Regelung der künstlichen Intelligenz.
Um Ihnen einen besseren Überblick zu geben, haben wir eine Aufstellung über die aktuellen Normen auf EU-Ebene mit Datenschutz- und IT-Sicherheitsbezug erstellt. Die Übersicht umfasst nicht nur die schon geltenden Normen, wie den Digital Service Act (DSA), sondern auch solche, die sich noch im Entwurfsstadium befinden, wie den Cyber Resilience Act (CRA-E). Für jede Richtlinie und jede Verordnung haben wir die Eckdaten zusammengefasst – die Regelungsschwerpunkte, Adressaten, Auswirkungen für Unternehmen, Verhältnis zum Datenschutzrecht und den jeweils aktuellen Stand.
Wir werden die Übersicht außerdem in Zukunft regelmäßig aktualisieren, um Sie über aktuelle Entwicklungen auf dem Laufenden zu halten.
Stand: 20. März 2023
A. Geltende Gesetze
Regelungsschwerpunkte
Die FFoD soll die Datenübertragung von nicht personenbezogenen Daten über nationale Grenzen hinweg innerhalb der Europäischen Union erleichtern. Die Datenübertragung solcher Daten unterfiel zuvor dem Recht der Mitgliedstaaten, das mitunter von Datenlokalisierungsauflagen geprägt war und einen Abfluss von Daten in andere Mitgliedstaaten verhinderte. Die Verordnung ist anwendbar auf alle elektronischen Daten, die keine personenbezogenen Daten sind und regelt
- Datenlokalisierungsauflagen (also hoheitliche Bestimmungen zur Verarbeitung von Daten in einem bestimmten Hoheitsgebiet),
- die Verfügbarkeit von Daten für zuständige Behörden und
- die Übertragung von Daten für (berufliche) Nutzer von Datenverarbeitungsdiensten (z.B. Cloud-Diensten).
Adressaten
- Nutzer von Datenverarbeitungsdiensten
- Behörden
Verhältnis zum Datenschutzrecht
Die Free-Flow-of-Data-Verordnung und die DSGVO schließen sich gegenseitig aus, da erstere für elektronische, nicht personenbezogene Daten und letztere für jedwede personenbezogene Daten gilt.
Auswirkungen für Unternehmen / öffentliche Stellen
Die direkten Auswirkungen auf Unternehmen und öffentliche Stellen sind eher gering. Die Verordnung dient mehr zur stärkeren Schaffung eines einheitlichen europäischen Datenraums und enthält zu diesem Zweck allgemeine Vorgaben für die Kommission und die Mitgliedstaaten. Letztere sollen beispielsweise bestehende Datenlokalisierungsauflagen abbauen. Hervorzuheben ist allerdings noch, dass die Kommission für Anbieter von Cloud-Diensten Verhaltensregeln schaffen will, um den Wechsel zwischen (europäischen) Cloud-Anbietern zu erleichtern.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Verordnung vom 14. November 2018 (Link).
Nächster Schritt
Gesetzgebungsverfahren ist abgeschlossen.
Inkrafttreten / Geltung
Die Verordnung gilt seit dem 29. Mai 2019.
Regelungsschwerpunkte
Ähnlich den Möglichkeiten in den USA soll es auch in der Europäischen Union möglich sein, „offene Daten“ aus „vorhandenen Dokumenten in öffentlichem Besitz“ für kommerzielle und nichtkommerzielle Zwecke weiter zu verarbeiten. Nach dem Ziel der Richtlinie sollen öffentliche Stellen und Unternehmen Antragstellern „ihre Dokumente in allen vorhandenen Formaten oder Sprachen und, soweit möglich und sinnvoll, auf elektronischem Wege in offenen, maschinenlesbaren, zugänglichen, auffindbaren und weiterverwendbaren Formaten zusammen mit den zugehörigen Metadaten zur Verfügung“ stellen. Was genau unter Dokumenten und offenen Daten in diesem Sinn zu verstehen ist, ergibt sich in Deutschland u. a. aus dem Datennutzungsgesetz.
Adressaten
- Öffentliche Stellen
- Öffentliches Unternehmen (Unternehmen im mehrheitlichen oder vollen Eigentum des Staates)
Verhältnis zum Datenschutzrecht
Bei Entscheidungen über den Umfang und die Bedingungen der Weiterverwendung von Dokumenten des öffentlichen Sektors, die personenbezogene Daten enthalten, z. B. im Gesundheitssektor, müssen möglicherweise Datenschutz-Folgeabschätzungen gem. Art. 35 DSGVO vorgenommen werden. Es wird auch auf die Anonymisierung von personenbezogenen Daten verwiesen. Die DSGVO gilt unbeschadet der PSI-Richtlinie, da letztere sich nicht auf die Verarbeitung personenbezogener Daten auswirkt.
Auswirkungen für Unternehmen / öffentliche Stellen
Insbesondere für öffentliche Stellen bedeutet die (Umsetzung der) PSI-Richtlinie eine große Herausforderung, da offene Daten Dritten zur Verfügung gestellt werden sollen. Herausfordernd sind insoweit insbesondere die Begrenzungen, die sich aus der DSGVO, den Gesetzen zum Schutz des geistigen Eigentums und dem Geschäftsgeheimnisschutz ergeben. Zusammen mit dem Digital Governance Act entstehen hier aber auch Chancen für Privatunternehmen, die Daten öffentlicher Stellen leichter nutzbar machen können. Dadurch werden letztlich auch Wettbewerbsnachteile gegenüber außereuropäischen Unternehmen ausgeglichen, die bereits seit langem auf öffentliche Informationen zugreifen können.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Richtlinie vom 20. Juni 2019 (Link).
Nächster Schritt
Die Umsetzung der Richtlinie ist in Deutschland bereits erfolgt.
Inkrafttreten / Geltung
Die Richtlinie wurde in Deutschland mit dem Gesetz vom zur Änderung des E-Government-Gesetzes und zur Einführung des Gesetzes für die Nutzung von Daten des öffentlichen Sektors am 22. Juli 2021 umgesetzt.
Regelungsschwerpunkte
Die DIRL schafft einen harmonisierten Regelungsrahmen für den Vertrieb digitaler Inhalte und Dienstleistungen und ist Teil der europäischen Strategie für die Schaffung eines digitalen Binnenmarkts. Gleichzeitig beschränkt die DIRL den Anwendungsbereich auf Verbraucherverträge und bezweckt damit die Stärkung der Verbraucherrechte. Gegenstand der Richtlinie sind Verträge über die Bereitstellung digitaler Inhalte oder Dienstleistungen. Hierunter fällt beispielsweise der Kauf von Software oder die Inanspruchnahme von Streamingdiensten. Die DIRL enthält Regelungen zur vertraglichen Leistungspflicht sowie zu den Rechtsfolgen bei Pflichtverletzungen.
Adressaten
- Unternehmer, die digitale Produkte anbieten
- Verbraucher erhalten umfassende Schutzrechte
Verhältnis zum Datenschutzrecht
Als Novum ermöglicht die DIRL (ErwG 24, Art. 3 Abs. 1 DIRL) als Gegenleistung für das digitale Produkt nunmehr statt der Zahlung von Geld auch die Zurverfügungstellung von personenbezogenen Daten, um diesem bereits in der Praxis etablierten Modell nun auch rechtlich Rechnung zu tragen. Damit tritt die DIRL aber in Spannung mit dem Grundgedanken der DSGVO, wonach der Schutz personenbezogener Daten im Vordergrund steht und hierfür dem Betroffenen Abwehrrechte bereitgestellt werden. Bei einem Widerspruch zwischen Bestimmungen der DIRL und der DSGVO ist letztere vorrangig (Art. 3 Abs. 8 DIRL). Die DSK hat sich im Rahmen eines Beschlusses mit den Auswirkungen der neuen Verbrauchervorschriften im BGB auf das Datenschutzrecht befasst und weist insbesondere darauf hin, dass auch bei einer Zurverfügungstellung von personenbezogenen Daten im Rahmen einer Vertragsleistung weiterhin die datenschutzrechtlichen Grundsätze anwendbar sind. So ist weiterhin eine Rechtsgrundlage für die Datenverarbeitung erforderlich und der Einsatz von Cookies richtet sich nach wie vor nach den Anforderungen von § 25 TTDSG.
Auswirkungen für Unternehmen / öffentliche Stellen
Durch die Umsetzung der Richtlinie in deutsches Recht und die entsprechenden Ergänzungen im BGB gelten in den §§ 327 ff. BGB verbraucherschützende Vorschriften nun auch für Verträge über digitale Inhalte und Dienstleistungen zwischen Unternehmern und Verbrauchern. Unternehmer haben dabei Regelungen zu den Anforderungen an die Vertragsmäßigkeit und zur Gewährleistung zu beachten. Zudem trägt der Unternehmer in den meisten Fällen die Beweislast.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Verordnung vom 20. Mai 2019 (Link).
Nächster Schritt
Die Umsetzung der Richtlinie ist in Deutschland bereits erfolgt.
Inkrafttreten / Geltung
In Deutschland wurde am 30. Juni 2021 das Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen verkündet. Das Gesetz trat am 1. Januar 2022 in Kraft.
Regelungsschwerpunkte
Mit der Warenkaufrichtlinie bezweckt der Europäische Gesetzgeber ein höheres Verbraucherschutzniveau. Die WKRL löst die Verbrauchsgüterkaufrichtlinie ab und beinhaltet im Vergleich strengere Harmonisierungsvorschriften, um eine Fragmentierung der Vorgaben zwischen den einzelnen Mitgliedstaaten zu verhindern. Die WKRL gilt zudem als Ergänzung zu der am gleichen Tag erlassenen DIRL. Die WKRL erfasst einerseits Kaufverträge über Waren und andererseits Kaufverträge über Waren mit digitalen Elementen, womit körperliche Gegenstände gemeint sind, die digitale Inhalte enthalten oder mit diesen verbunden sind, sodass die Waren ihre Funktion ohne diese digitalen Inhalte nicht erfüllen können. Hierzu zählt beispielsweise der Kauf eines Computers oder Smartphones inklusive Software.
Adressaten
- Unternehmer, die digitale Produkte anbieten
- Verbraucher erhalten umfassende Schutzrechte
Verhältnis zum Datenschutzrecht
Die WKRL enthält keinen ausdrücklichen Regelungen zum Datenschutz.
Auswirkungen für Unternehmen / öffentliche Stellen
Durch die WKRL wurden die § 434 BGB und §§ 474 ff. BGB geändert. Die kaufrechtlichen Regelungen wurden teilweise zugunsten des Verbrauchers verschärft, sodass Unternehmer u.a. verschärfte Formvorschriften bei negativen Beschaffenheitsvereinbarungen treffen und die Beweislastumkehr bei einem Mangel von 6 Monate auf 1 Jahr verlängert wird. Bei Sachen mit digitalen Elementen wird Unternehmern u.a. eine Aktualisierungspflicht auferlegt, wonach sie dem Verbraucher Updates bereitstellen müssen.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Richtlinie vom 20. Mai 2019 (Link).
Nächster Schritt
Die Umsetzung der Richtlinie ist in Deutschland bereits erfolgt.
Inkrafttreten / Geltung
In Deutschland wurde am 30. Juni 2021 das Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags verkündet und trat am 1. Januar 2022 in Kraft.
Regelungsschwerpunkte
Mit der NIS-2-Richtlinie soll den wachsenden Bedrohungen durch Cyberangriffe Rechnung getragen werden. Sie ersetzt die NIS-1-Richtlinie und weist gegenüber dieser einen breiteren Anwendungsbereich und höhere Harmonisierungsvorgaben auf, um ein einheitliches Niveau der Cyberresilienz im europäischen Binnenmarkt sicherzustellen. Die NIS-2-Richtlinie verpflichtet die Mitgliedstaaten zum Erlass einer nationalen Cybersicherheitsstrategie und Schaffung eines europaweiten Netzwerkes zum Management von Cybersicherheitsvorfällen. Weiterhin legt sie öffentlichen und privaten Einrichtungen Vorgaben und Pflichten zum Austausch von Cybersicherheitsinformationen auf und fordert die Implementierung eines Cybersicherheitsrisikomanagements.
Adressaten
- Mitgliedsstaaten
- Öffentliche private Einrichtungen (z.B. Anbieter von Kommunikationsnetzen und -diensten, Domainregistrierungsdienste, Unternehmen aus dem Energiesektor, Anbieter digitaler Dienste)
Verhältnis zum Datenschutzrecht
Die NIS-2-Richtlinie lässt die DSGVO unberührt. Sie verweist an mehreren Stellen auf die Regelungen der DSGVO zum Schutz personenbezogener Daten. Beispielsweise sollen beim Einsatz innovativer Technologien und KI die Datenschutzgrundsätze sowie die Grundsätze von Privacy by Design und Default gewahrt werden. In ErwG 121 werden zudem verschiedene Rechtsgrundlagen des Art. 6 DSGVO für die Verarbeitung von personenbezogenen Daten zu Sicherheitszwecken genannt.
Auswirkungen für Unternehmen / öffentliche Stellen
Für die Anwendbarkeit der Richtlinie ist zunächst noch eine Umsetzung ins nationale Recht erforderlich.
Den in der Richtlinie adressierten Einrichtungen werden Berichtspflichten sowie Vorgaben für ein Cybersicherheitsrisikomanagement auferlegt. Dazu müssen Einrichtungen technische, operative und organisatorische Maßnahmen ergreifen, um Risiken für die Sicherheit für Netz- und Informationssysteme zu minimieren. Dazu gehören unter anderem Sicherheitskonzepte, Schulungen und Einhaltung von Meldepflichten bei Sicherheitsvorfällen.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Richtlinie vom 14. Dezember 2022 (Link).
Nächster Schritt
Umsetzung der Vorgaben in nationales Recht.
Inkrafttreten / Geltung
Die Richtlinie ist am 16. Januar 2023 in Kraft getreten.
Die Mitgliedstaaten müssen die Vorschriften der Richtlinie bis spätestens Oktober 2024 in nationales Recht umsetzen.
B. Noch nicht geltende Gesetze
Regelungsschwerpunkte
Der DA-E soll den Zugang zu und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden. Umfasst sind alle Datenarten, also nicht nur personenbezogene Daten. Private und Unternehmen sollen vor allem als Nutzer von Produkten und Diensten berechtigt werden, Zugang zu den Daten zu erhalten, die bei der Nutzung dieser Produkte und Dienste anfallen. Sie sollen auch berechtigt werden, die Weitergabe dieser Daten an Dritte verlangen zu können. Darüber hinaus soll der DA-E den Wechsel zwischen Diensten regeln, die Daten verarbeiten, z.B. wenn ein Kunde eines Cloud-Anbieters zu einem anderen Cloud-Anbieter wechseln möchte. Da ein solcher Anspruch dazu führt, dass vorhandene Datenverarbeitungsdienste miteinander kompatibel sein müssen, regelt der DA-E schließlich Anforderungen an die Interoperabilität von Daten.
Adressaten
- Nutzer von Produkten
- Dateninhaber
- Unternehmen
- Öffentliche Stellen
Verhältnis zum Datenschutzrecht
Es besteht ein gewisses Spannungsverhältnis. Während die DSGVO einen möglichst umfassenden Schutz personenbezogener Daten sicherstellen soll, ist es das Ziel des DA-E, einen fairen Datenzugang und eine faire Datennutzung sicherzustellen. Der DA-E soll die DSGVO und die ePrivacy-Richtlinie ergänzen und darf den Datenschutz nicht schwächen (ErwG 7 DA-E). Beim Zugang / der Weiterleitung personenbezogener Daten sollen die Grundsätze der Datenminimierung und Datenschutz durch Technikgestaltung / datenschutzfreundliche Voreinstellungen sichergestellt werden. Ob sich dies in der Praxis umsetzen lässt, wird von den Datenschutzbehörden (bisher) eher kritisch gesehen.
Auswirkungen für Unternehmen / öffentliche Stellen
Aus dem DA-E folgen weitgehende Pflichten insbesondere für Unternehmen, den Zugang zu Daten der Nutzer zu ermöglichen und diese auf Wunsch des Nutzers an Dritte weiterzugeben. Daraus folgt, dass Unternehmen je nach Art des Produkts / der Dienstleistung ggf. erhebliche Anpassungen vornehmen müssen, um den Datenzugang / die Datenweitergabe sowie insbesondere die Interoperabilität von Daten sicherzustellen. Der derzeitige Entwurf sieht vor, dass im Fall der Zuwiderhandlung gegen den DA-E Sanktionen verhängt werden können, die „wirksam, verhältnismäßig und abschreckend“ sind.
Letzter Stand
Es liegt ein Entwurf der Europäischen Kommission vor. Das Europäische Parlament hat seine Position zum Gesetzesentwurf beschlossen (Link).
Letzte veröffentlichte Fassung
Entwurf der Europäischen Kommission vom 23. Februar 2022 (Link).
Nächster Schritt
Festlegung der Position des Rates. Daran anschließend Trilogverhandlungen.
Inkrafttreten / Geltung
Es ist noch nicht absehbar, wann die Verordnung in Kraft treten wird.
Regelungsschwerpunkte
Durch den DGA soll der Datenaustausch zwischen Sektoren und Mitgliedstaaten der Europäischen Union gefördert werden. Vor allem um Datensätze, die vom öffentlichen Sektor im Rahmen ihrer Tätigkeit erhoben werden, sollen leichter und vertraulich verfügbar gemacht werden können.
Adressaten
- Öffentliche Stellen
- Datenvermittlungsdienste (z.B. Datenmarktplätze, Anbieter von Datenbeständen auf Lizenzbasis)
- Datenaltruistische Organisationen (registrierte Stellen über die eine einwilligungsbasierte, gemeinsame Nutzung von Daten z.B. im Bereich der Forschung erleichtern sollen)
Verhältnis zum Datenschutzrecht
Der DGA enthält keine Privilegierung im Hinblick auf die Vorgaben der DSGVO. Im Gegenteil: Öffentliche Stellen können, wenn sie Daten bereitstellen, besondere Anforderungen zum Schutz dieser Daten festlegen. Eine öffentliche Stelle kann z.B. vorschreiben, dass bereitgestellte personenbezogene Daten nur anonymisiert weiterverwendet werden dürfen.
Aus Perspektive des Datenschutzes ist außerdem hervorzuheben, dass die Europäische Kommission im Kontext des DGA ein modulares Einwilligungsformular zur Erhebung von Daten auf der Grundlage des Datenaltruismus bereitstellen wird (Art. 25 Abs. 1 DGA). Dieses Formular soll auch die Anforderungen der DSGVO miterfüllen. Es erscheint denkbar, dass dieses Formular auch in anderen Fällen als von der Kommission genehmigte Einwilligungserklärung zum Einsatz kommen könnte.
Auswirkungen für Unternehmen / öffentliche Stellen
Die Verordnung wird vor allem die Verfügbarkeit von Daten öffentlicher Stellen verbessern. Besonders relevant dürfte in diesem Zusammenhang die von den Mitgliedsstaaten einzurichtenden allgemein Informationsstellen sein, die nicht nur Anträge auf Weiterverwendung von öffentlichen Datensätzen entgegennehmen sollen, sondern nach Vorgaben des DGA auch eine Bestandsliste mit allen verfügbaren Datenressourcen bereitstellen werden. Hierdurch sollte es Unternehmen erheblich erleichtert werden, potenziell relevante und verfügbare Datensätze zu finden und nutzbar zu machen.
Interessant dürfte der DGA daher vor allem für Stellen sein, die mit Gesundheitsdaten, Mobilitätsdaten, Umweltdaten und landwirtschaftlichen Daten arbeiten. Gerade im Bereich der Forschung könnte der flexible und einwilligungsbasierte Austausch von Daten durch datenaltruistische Organisationen erheblich erleichtert werden.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Verordnung vom 30. Mai 2022 (Link).
Nächster Schritt
Geltung der Verordnung ab dem 24. September 2023.
Inkrafttreten / Geltung
Am 23. Juni 2022 in Kraft getreten.
Die Verordnung gilt ab dem 24. September 2023. Die neuen Vorschriften werden 15 Monate nach Inkrafttreten der Verordnung zur Anwendung kommen.
Regelungsschwerpunkte
Der DMA soll den Betreibern zentraler digitaler Plattformen (den sogenannten Gatekeepern) zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen auferlegen. Die Pflichten der Gatekeeper orientieren sich dabei stark an laufenden oder bereits abgeschlossenen Verfahren der Europäischen Kartellbehörden.
Einen detaillierten Überblick zum DMA finden Sie hier auf unserer Website.
Adressaten
- Betreiber von systemrelevanten Plattformen (Gatekeeper)
- Gewerbliche Nutzer und Wettbewerber der Gatekeeper
Verhältnis zum Datenschutzrecht
Der DMA ändert nichts an den Vorgaben der DSGVO. Aufgrund des DMA werden Gatekeeper aber dazu verpflichtet ein Verbraucher-Profiling gegenüber den Datenschutzaufsichtsbehörden offenzulegen. Zudem werden Gatekeeper u.a. dazu verpflichtet, gewerblichen Nutzern bestimmte Daten zur Nutzung einer Plattform zur Verfügung zu stellen, was auch einen Austausch personenbezogener Daten betreffen könnte.
Auswirkungen für Unternehmen / öffentliche Stellen
Der DMA wird langfristig dazu führen, dass die Europäische Kommission härter und öfter gegen digitale Unternehmen vorgehen wird, die ihre marktbeherrschende Stellung wettbewerbswidrig ausnutzen. Durch den DMA wird es für die Kommission erheblich leichter Bußgelder zu erlassen, da nachdem ein Unternehmen als Gatekeeper benannt wurde, die Erforderlichkeit einer individuellen Bewertung der Marktposition im Einzelfall entfällt.
Gleichzeitig wird der DMA den Zugang zu Märkten wesentlich erleichtern, da viele der Pflichten der Gatekeeper darauf abzielen vorhandene Märkte weiter zu öffnen (z.B. App Stores).
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Verordnung vom 14. September 2022 (Link).
Nächster Schritt
Benennung der Gatekeeper durch die Europäische Kommission.
Inkrafttreten / Geltung
Der DMA ist am 1. November 2022 in Kraft treten.
Ab dem 2. Mai 2023 sind die Gatekeeper verpflichtet, ihre Gatekeepereigenschaft gegenüber der Europäischen Kommission offen zu legen. Die ersten Gatekeeper werden anschließend von der Kommission benannt. Da die zentralen Pflichten erst 6 Monate nach Benennung als Gatekeeper bestehen, wird mit einer Umsetzung des DMA voraussichtlich erst Ende 2023/ Anfang 2024 zu rechnen sein.
Regelungsschwerpunkte
Der DSA enthält regulatorische Vorgaben für die Betreiber von Online-Plattformen und -Marktplätzen im Hinblick auf rechtswidrige Inhalte und ergänzt insoweit die E-Commerce-Richtlinie (RL 2002/31/EG), um mit den neuen technischen Gegebenheiten des digitalen Alltags Schritt halten zu können. Zur Sicherstellung eines einheitlichen Regelungsstandards hat sich der Europäische Gesetzgeber für das Rechtsinstrument der Verordnung entschieden, die mit ihrem Inkrafttreten unmittelbare Geltung in allen Mitgliedstaaten erlangt. Insbesondere den großen Tech-Konzernen, die Dienste für Nutzer innerhalb der Europäischen Union erbringen, werden mit dem DSA eine Vielzahl von Pflichten auferlegt, um effizienter gegen rechtswidrige Inhalte vorzugehen sowie Nutzer besser zu schützen und zu informieren.
Einen detaillierten Überblick zum DSA finden Sie hier auf unserer Website.
Adressaten
- Vermittlungsdienste (Access-, Caching- und Hosting-Provider)
- Soziale Netzwerke
- Online-Marktplätze
- Suchmaschinen
Verhältnis zum Datenschutzrecht
Der DSA lässt die DSGVO unberührt. Das Verbot von Dark Patterns, wonach Nutzer nicht durch manipulative Gestaltungen in ihrer Entscheidung beeinflusst werden dürfen, wird sich allerdings auf die Gestaltung von Cookie-Bannern auswirken.
Auswirkungen für Unternehmen / öffentliche Stellen
Der DSA sieht ein abgestuftes Pflichtensystem vor, abhängig von der Art dies Dienstes und der Anzahl der Nutzer. Auf die Adressaten kommt ein erhöhter Dokumentations- und Verwaltungsaufwand zu. Beispielsweise müssen AGB und Community Standards angepasst sowie eine Kontaktstelle zur elektronischen Kommunikation mit Behörden und Nutzern eingerichtet werden. Hostingdiensteanbieter und Online-Plattformen müssen zudem Melde- und Abhilfeverfahren einführen, damit sie durch Nutzer und Dritte über rechtswidrige Inhalte informiert werden können. Letztere müssen darüber hinaus ein internes Beschwerdemanagementsystem auf der Plattform bereitstellen, damit Nutzer sich gegen unberechtigte Löschungen und Sperrungen von Inhalten wehren können. Zudem müssen Plattformen transparentere Informationen über Werbung bereitstellen. Sehr große Online-Plattformen mit mehr als 45 Mio. monatlichen Nutzern sind u.a. dazu verpflichtet, jährliche Risikoanalysen durchzuführen.
Bei Nichtumsetzung der Maßnahmen oder Verstoß gegen den DSA drohen Unternehmen Bußgeldern bis zu 6 % des Vorjahresumsatzes.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Verordnung vom 19. Oktober 2022 (Link).
Nächster Schritt
Umsetzung erster Pflichten durch die Anbieter bis zum 17. Februar 2023 (u.a. Nennung der Nutzeranzahl).
Inkrafttreten / Geltung
Am 16. November 2022 ist der DSA in Kraft getreten.
Erste Vorschriften gelten bereits an diesem Tag, wozu u.a. die Verpflichtung von Anbietern für Online-Plattformen und -Suchmaschinen zur Nennung ihrer durchschnittlichen monatlichen Nutzeranzahl in der EU gemäß Art. 24 Abs. 2 DSA gehört.
Die Kommission hat Leitlinien bezüglich der Verpflichtung zur Veröffentlichung von Nutzerzahlen herausgegeben (Link).
Vollständig gilt die Verordnung ab dem 17. Februar 2024.
Regelungsschwerpunkte
Die ePrivacy-VO-E soll die bestehende ePrivacy-Richtlinie ersetzen, auf der die deutschen Regelungen zum Telekommunikations- und Telemedienrecht (TKG und TTDSG) basieren. Insbesondere soll sie
- die Vertraulichkeit der Kommunikation (Fernmeldegeheimnis),
- die Verarbeitung von Kommunikationsdaten (bisher Verkehrsdaten),
- das Speichern und Auslesen von Informationen auf Endgeräten (z.B. Cookies),
- die Anzeige von Rufnummern und Endnutzerverzeichnissen und
- die Direktwerbung mittels elektronischer Kommunikation regeln.
Die Verhandlungen zwischen und innerhalb der verschiedenen Organe der Europäischen Union (Rat, Parlament und Kommission) dauern bereits fünf Jahre an.
Adressaten
- Kommunikationsdienstleister
- Website- / App-Betreiber
- Unternehmen (v.a. im Konetxt des Direktmarketings)
Verhältnis zum Datenschutzrecht
Soweit Verpflichtungen aus der ePrivacy-VO-E bestehen, gelten keine zusätzlichen Pflichten aus der DSGVO (Art. 95 DSGVO i.V.m Art. 27 Nr. 2 ePrivacy-VO-E).
Auswirkungen für Unternehmen / öffentliche Stellen
Bisher ist weitgehend unklar, wie die Regelungen der ePrivacy-VO-E final aussehen werden, da die Fassung des Europäischen Rats und die des Parlaments zum Teil grundlegend voneinander abweichen. Die Regelungen der ePrivacy-VO-E werden sich aber voraussichtlich erheblich auf das Marketing durch Unternehmen und auch das Tracking im Internet oder Apps auswirken. Hier kann es im Vergleich zur bestehenden Rechtslage zu neuen oder geänderten Voraussetzungen kommen.
Letzter Stand
Beginn der Trilogverhandlungen im Mai 2021.
Letzte veröffentlichte Fassung
Entwurf des Rats der Europäischen Union vom 10. Februar 2021 (Link).
Nächster Schritt
Finalisierung des Gesetzestextes.
Inkrafttreten / Geltung
Nach Inkrafttreten der Verordnung im Anschluss an die Trilogverhandlungen ist derzeit noch eine 24-monatige Übergangsphase bis zur Geltung vorgesehen. Die Anforderungen der Verordnung werden daher voraussichtlich erst 2025 relevant werden.
Regelungsschwerpunkte
Durch den Richtlinienentwurf soll vor allem die Position von Arbeitnehmern und Selbstständigen verbessert werden, die ihre Arbeitskraft über digitale Plattformen anbieten. Neben Regelung zur Vermeidung von Scheinselbstständigkeit enthält der Richtlinienentwurf vor allem auch einige Vorgaben bezüglich des Datenschutzes von Beschäftigten. So sollen besondere Vorgaben in Bezug auf Transparenz, Betroffenenrechte und Rechenschaftspflichten gelten, wenn die Arbeit der Beschäftigten mit Hilfe von Algorithmen organisiert wird.
Eine ausführliche Zusammenfassung des Entwurfs finden Sie hier auf unserer Website.
Adressaten
Nach dem Entwurf soll die Richtlinie nicht pauschal für alle Plattformbetreiber gelten, sondern nur für Betreiber sogenannter digitaler Arbeitsplattformen („digital labour platforms“). Gemeint sind damit Plattformen über die die Arbeit von Arbeitnehmern bzw. Selbstständigen auf Anfrage Dritter (der eigentlichen Leistungsempfänger) organisiert wird. In Erwägungsgrund 18 des Richtlinienentwurfs werden als zu vermittelnde Leistungen zum Beispiel der Transport von Waren oder Personen genannt.
Verhältnis zum Datenschutzrecht
Unter Bezugnahme auf Art. 88 DSGVO enthält der Richtlinienentwurf in Kapitel III einige spezielle Vorgaben zur Verarbeitung von Beschäftigtendaten durch Systeme, die das Verhalten automatisiert überwachen und / oder Entscheidungen im Kontext des Beschäftigung- / Nutzungsverhältnisses treffen oder unterstützen.
Auswirkungen für Unternehmen / öffentliche Stellen
Für die meisten Unternehmen hat die Richtlinie keine Auswirkungen. Für digitale Arbeitsplattformen könnte die Richtlinie aber erhebliche Auswirkungen haben.
Im Kontext einer nationalen Umsetzung des Richtlinienentwurfs stellt sich zudem die Frage, ob der deutsche Gesetzgeber im Zuge der Umsetzung der Richtlinie, allgemein verbindliche Vorgaben im Datenschutz für die automatisierte Verarbeitung von Beschäftigtendaten schaffen wird. Vor dem Hintergrund der bereits im Koalitionsvertrag angekündigten Konkretisierung des Beschäftigtendatenschutzes, erscheint dies zumindest möglich.
Letzter Stand
Basierend auf dem Entwurf der Kommission hat das Parlament Änderungen des Entwurfs beschlossen (Link).
Letzte veröffentlichte Fassung
Entwurf der Europäischen Kommission vom 9. Dezember 2021 (Link).
Entwurf des Parlaments (Link).
Nächster Schritt
Festlegung der Position des Rates, ggf. eigener Entwurf.
Anschließend Finalisierung in Trilogverhandlungen.
Inkrafttreten / Geltung
Es ist noch nicht absehbar, wann und in welcher Form die Richtlinie in Kraft treten wird.
Regelungsschwerpunkte
Mit dem CRA-E sollen horizontale Sicherheitsanforderungen für Produkte mit digitalen Elementen eingeführt und der legislative Flickenteppich auf dem Gebiet der Cybersicherheit beseitigt werden. Dadurch sollen Cybersicherheitsrisiken minimiert und eine sichere Nutzung für Unternehmer und Verbraucher im europäischen Binnenmarkt gewährleistet werden.
Einen detaillierten Überblick zum CRA-E finden Sie hier auf unserer Website.
Adressaten
- Hersteller
- Importeure
- Händler
Verhältnis zum Datenschutzrecht
Der CRA-E lässt die DSGVO in ihrem Regelungsgehalt unberührt, sodass beide Gesetze parallel anwendbar sein können. Ziel der Verordnung ist allerdings auch, die Sicherheit personenbezogener Daten zu erhöhen, indem die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Produkten mit digitalen Elementen geschützt werden.
Auswirkungen für Unternehmen / öffentliche Stellen
Soweit es sich um ein Produkt mit digitalen Elementen (Software, Hardware, Einzelkomponenten) handelt, werden Herstellern, Händlern und Importeuren eine Vielzahl von Pflichten zur Umsetzung von Cybersicherheitsanforderungen auferlegt (u.a. Pflicht zur Risiko- und Konformitätsbewertung sowie Prüf-, Nachweis- und Dokumentationspflichten). Bei Nichtumsetzung dieser Pflichten können Marktüberwachungsbehörden je nach Verstoß und Akteur Bußgelder bis zu 15 Millionen Euro oder 2,5 % des weltweiten Vorjahresumsatzes verhängen.
Letztlich entsteht für herstellende Unternehmen von Produkten mit digitalen Elementen ein hoher wirtschaftlicher und bürokratischer Mehraufwand im Entwicklungsprozess.
Letzter Stand
Aktuell liegt ein erster Entwurf vor, zu dem Rückmeldungen bis zum 23. Januar 2023 eingereicht werden konnten.
Letzte veröffentlichte Fassung
Entwurf der Europäischen Kommission vom 15. September 2022 (Link).
Nächster Schritt
Änderungsvorschläge des Europäischen Parlaments und des Europäischen Rats.
Inkrafttreten / Geltung
Nach Inkrafttreten gilt eine Übergangsfrist von 24 Monaten. Davon ausgenommen ist die Meldepflicht für Hersteller bei Sicherheitsvorfällen, welche schon nach 12 Monaten gilt.
Regelungsschwerpunkte
Der DORA beinhaltet vereinheitlichte rechtliche Anforderungen für die Sicherheit der Netz- und Informationssysteme von Unternehmen im Finanzsektor, um die wachsende Gefahr von Cyberbedrohungen zu minimieren.
Einen detaillierten Überblick zum DORA finden Sie hier auf unserer Website.
Adressaten
- Kreditinstitute
- Zahlungsinstitute
- Kontoinformationsdienstleister
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen
- Versicherungs- und Rückversicherungsunternehmen
- Sonstige Finanzunternehmen
- IKT-Drittdienstleister (z.B. Cloud-Computing-Dienste, Datenanalysedienste, Softwareanbieter, Anbieter von Rechenzentrumsdienstleistungen)
Verhältnis zum Datenschutzrecht
An mehreren Stellen in der Verordnung wird auf datenschutzrechtliche Regelungen Bezug genommen. Beispielsweise soll der Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Finanzunternehmen im Einklang mit der DSGVO erfolgen. Weiterhin müssen die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung sowie die Europäische Wertpapier- und Marktaufsichtsbehörde (zusammen „Europäische Aufsichtsbehörden“ oder „ESA“ genannt) und sonstige zuständige Behörden bei der Verarbeitung von personenbezogenen Daten die Vorschriften der DSGVO oder der Verordnung (EU) 2018/1725 beachten. Zudem müssen Verträge zwischen Finanzunternehmen und IKT-Drittdienstleistern gemäß Art. 30 Abs 2 lit. c) DORA Bestimmungen zum Schutz personenbezogener Daten enthalten. Praxisrelevant ist außerdem, dass gemäß Art. 28 Abs. 7 lit. c) DORA Vereinbarungen über die Nutzung von Diensten zu kündigen sind, wenn der Drittanbieter nachweisliche Schwächen beim Datenschutz aufweist.
Auswirkungen für Unternehmen / öffentliche Stellen
Mit dem DORA werden Finanzunternehmen eine Vielzahl von Pflichten im Bereich des Risikomanagements auferlegt. Beispielsweise müssen sie Maßnahmen für ein solides Management des IKT-Drittparteienrisikos vornehmen und dies, abhängig von der Unternehmensgröße, mindestens jährlich dokumentieren und überprüfen. Insofern kommt auf Finanzunternehmen ein höherer Verwaltungs-, Dokumentations- und Prüfungsaufwand zu.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Text der Verordnung vom 14. Dezember 2022 (Link).
Nächster Schritt
Gesetzgebungsverfahren ist abgeschlossen.
Inkrafttreten / Geltung
Die Verordnung ist am 16. Januar 2023 in Kraft getreten. Sie findet ab dem 17. Januar 2025 Anwendung.
Regelungsschwerpunkte
Der KI-VO-E enthält folgende Schwerpunkte:
- Rahmenbedingungen für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von Systemen der künstlichen Intelligenz
- Verbot bestimmter Praktiken von KI-Systemen
- besondere Anforderungen an Hochrisiko-KI-Systeme und für Betreiber dieser Systeme
- Festlegung von Transparenzvorschriften für KI-Systeme
Anwendungen werden in vier Gruppen entsprechend ihrer Risiken eingeteilt:
- KI-Systeme mit minimalem Risiko
- KI-Systeme mit geringem Risiko
- Hochrisiko-KI-Systeme
- verbotene KI-Systeme
Schwerpunktmäßig werden Hochrisiko-KI-Systeme durch die KI-VO-E reguliert. An sie werden hohe technische und organisatorische Standards geknüpft. So soll im Fall von Hochrisiko-KI-Systemen bspw. ein Risikomanagementsystem eingerichtet, dokumentiert und aufrechterhalten werden. Außerdem muss eine menschliche Aufsicht eingerichtet und Transparenz- und Instruktionspflichten implementiert werden. Noch nicht final entschieden ist, welche Technologien konkret unter den Begriff der KI fallen. Um zu verhindern, dass auch herkömmliche Software in den Anwendungsbereich fällt, hat der Europäische Rat kürzlich vorgeschlagen, nur solche Systeme als KI zu bezeichnen, die mit Hilfe von maschinellem Lernen sowie logik- und wissensbasierten Ansätzen entwickelt werden. Die Kommission soll die Möglichkeit erhalten, den Begriff durch delegierte Rechtsakte zu präzisieren. Als Sanktionen können Geldbußen von bis zu 30 Mio. Euro bzw. 6 % des Vorjahresbruttoumsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist, verhängt werden. Einen detaillierten Überblick zum KI-VO-E finden Sie hier auf unserer Website.
Adressaten
- Anbieter (z. B. Entwickler) von KI-Systemen (können privat oder öffentlich sein)
- Nutzer von KI-Systemen
- Händler
Verhältnis zum Datenschutzrecht
Die DSGVO bleibt nach der Aussage des KI-VO-E unberührt und ergänzt Regelungen für Hochrisiko-KI- und Fernidentifizierungssysteme. Bspw. werden „modernste Sicherheits- und Datenschutzmaßnahmen“ insoweit gefordert, zu denen Pseudonymisierung und Verschlüsselung gehören sollen, „wenn der erfolgte Zweck durch eine Anonymisierung erheblich beeinträchtigt würde“. Nutzer von Hochrisiko-KI-Systemen sollen zudem Informationen, die Ihnen nach Art. 13 KI-VO-E bereitgestellt werden, verwenden, um eine ggf. erforderlich DSFA (Art. 35 DSGVO) durchzuführen. Dies würde zu einer erheblichen Aufwertung von Datenschutzinformationen führen, deren Qualität unserer Erfahrung nach sehr unterschiedlich sein kann. Die DSGVO wird also beim Einsatz von KI-Systemen zukünftig auch eine wichtige Rolle spielen.
Auswirkungen für Unternehmen / öffentliche Stellen
Gerade beim Einsatz von Hochrisiko-KI-Systemen sollten Unternehmen den Beurteilungs- und Dokumentationsaufwand nicht unterschätzen. Ein zentrales Element ist insoweit die Durchführung einer Konformitätsbewertung und -erklärung für Anbieter von KI-Systemen. Wichtig ist schließlich auch, dass Anbieter von KI-Systemen in einem Drittland nicht von den Anforderungen des KI-VO-E befreit sind, sofern deren Leistungen in der Europäischen Union angeboten werden. Gerade mit Blick auf die möglichen Geldbußen ist dies von höherer Relevanz.
Letzter Stand
Aktuell liegt ein erster Entwurf der Europäischen Kommission vor. Der Europäische Rat hat bereits zahlreiche Änderungen gegenüber dem Entwurf der Kommission vorgeschlagen.
Letzte veröffentlichte Fassung
Entwurf der Europäischen Kommission vom 21. April 2021 (Link). Gemeinsamer Standpunkt des Europäischen Rates vom 6. Dezember 2022 (Link).
Nächster Schritt
Prüfung durch Europäisches Parlament und Europäischen Rat.
Inkrafttreten / Geltung
Ein Inkrafttreten ist bereits 2023 denkbar. Allerdings sieht der aktuelle KI-VO-E einen Geltungsbeginn von 24 Monaten nach dessen Inkrafttreten vor. Eine reguläre Anwendung scheint daher nicht vor Ende 2025 realistisch.
Regelungsschwerpunkte
Die Richtlinie über KI-Haftung enthält Regelungen zur Kausalitätsvermutung und den Zugang zu Beweismitteln der Anbieter und soll den Schutz von Verbrauchern sicherstellen, ohne dabei technologische Innovationen zu konterkarieren. Dabei wird insbesondere dem Umstand Rechnung getragen, dass es Verbrauchern häufig nicht möglich sein wird, dem Schädiger ein Verschulden bei dem Einsatz von KI nachzuweisen und Schadensersatzansprüche geltend zu machen.
Adressaten
- Anbieter, Entwickler und Nutzer von KI-Systemen
Verhältnis zum Datenschutzrecht
Die Richtlinie über KI-Haftung enthält keinen ausdrücklichen Regelungen zum Datenschutz. Allerdings bezweckt die Richtlinie eine Erleichterung der Beweislast für die Opfer von durch KI-Systeme verursachten Schäden im Hinblick auf Haftungsansprüche aus nationalem oder europäischem Recht. Insofern dürfte die Richtlinie diesbezüglich auch Auswirkungen auf die Beweislast bei Schadensersatzansprüchen nach Art. 82 DSGVO haben, wenn den Betroffenen Schäden im Rahmen der Datenverarbeitungen durch KI-Systeme entstehen.
Auswirkungen für Unternehmen / öffentliche Stellen
Für Verbraucher wird die Beweislast erleichtert, sodass bereits der Nachweis über die Nichteinhaltung einer für den Schaden maßgeblichen Verpflichtung und über das Bestehen eines ursächlichen Zusammenhangs zur KI-Leistung ausreicht. In diesem Zusammenhang können Verbraucher z.B. die Offenlegung von Informationen über Hochrisiko-KI-Systeme vor Gericht beantragen. Der Schädiger kann diese Vermutung allerdings widerlegen.
Letzter Stand
Am 28. September 2022 hat die Europäische Kommission den Richtlinienvorschlag erlassen.
Letzte veröffentlichte Fassung
Text der Richtlinie vom 28. September 2022 (Link).
Nächster Schritt
Annahme durch das Europäische Parlament und den Europäischen Rat.
Inkrafttreten / Geltung
Die Richtlinie tritt 20 Tage nach Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die Mitgliedstaaten müssen die Vorschriften der Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen.
C. Changelog
14. März 2023: DA-E: Das Europäische Parlament hat seine Position zum Gesetzesentwurf beschlossen (Link).
02. Februar 2023: VAP-RL-E: Das Parlament hat seine Verhandlungsposition festgelegt und für das Mandat für Verhandlungen mit Rat gestimmt (Link).
01. Februar 2023: DSA: Die Kommission hat Leitlinien bezüglich der Verpflichtung zur Veröffentlichung von Nutzerzahlen herausgegeben (Link).
23. Januar 2023: Der Digital Operation Resilience Act (DORA) ist am 16. Januar 2023 in Kraft getreten. Die Verordnung findet ab dem 17. Januar 2025 Anwendung.
Wir können nicht garantieren, dass die Tabelle jederzeit den aktuellen Verfahrensstand zu allen Gesetzen wiedergibt. Welche Gesetze wir für „wichtig“ halten, haben wir nach subjektiven Kriterien entschieden. Es kann daher sein, dass ein für Sie wichtiges Gesetz nicht enthalten ist.
Sie möchten auch ansonsten auf dem Laufenden gehalten werden? Dann melden Sie sich doch für unsere Newsletter an!