News & Blog

EU-Digitalgesetzgebung

Im Rahmen ihrer Digitalstrategie arbeitet die EU aktuell an diversen Gesetzgebungsverfahren. Das gesetzgeberische Programm ist breit gefächert und umfasst zahlreiche Themenbereiche: von der Nutzung nicht personenbezogener Daten über die rechtlichen Anforderungen an Systeme im Finanzsektor bis hin zur Regelung der künstlichen Intelligenz.

Um Ihnen einen besseren Überblick zu geben, haben wir eine Aufstellung über die aktuellen Normen auf EU-Ebene mit Datenschutz- und IT-Sicherheitsbezug erstellt. Die Übersicht umfasst nicht nur die schon geltenden Normen, wie den Digital Service Act (DSA), sondern auch solche, die sich noch im Entwurfsstadium befinden, wie den Cyber Resilience Act (CRA-E). Für jede Richtlinie und jede Verordnung haben wir die Eckdaten zusammengefasst – die Regelungsschwerpunkte, Adressaten, Auswirkungen für Unternehmen, Verhältnis zum Datenschutzrecht und den jeweils aktuellen Stand.

Wir werden die Übersicht außerdem in Zukunft regelmäßig aktualisieren, um Sie über aktuelle Entwicklungen auf dem Laufenden zu halten.

Stand: 17. April 2025

A. Geltende Gesetze

Regelungsschwerpunkte

Die FFoD-VO soll die Datenübertragung von nicht personenbezogenen Daten über nationale Grenzen hinweg innerhalb der Europäischen Union erleichtern. Die Übertragung von Daten wurde zuvor durch das Recht der Mitgliedstaaten geregelt, wodurch mitunter ein Weitergabe von Daten in andere Mitgliedstaaten verhindert wurde. Die Verordnung ist anwendbar auf alle elektronischen Daten, die keine personenbezogenen Daten sind und regelt

  • Datenlokalisierungsauflagen (also hoheitliche Bestimmungen zur Verarbeitung von Daten in einem bestimmten Hoheitsgebiet),
  • die Verfügbarkeit von Daten für zuständige Behörden und
  • die Übertragung von Daten für (berufliche) Nutzer von Datenverarbeitungsdiensten (z.B. Cloud-Diensten).

Adressaten

  • Nutzer von Datenverarbeitungsdiensten
  • Behörden

Verhältnis zum Datenschutzrecht

Die Free-Flow-of-Data-Verordnung und die DSGVO schließen sich gegenseitig aus, da erstere für elektronische, nicht personenbezogene Daten und letztere für jedwede personenbezogene Daten gilt.

Auswirkungen für Unternehmen / öffentliche Stellen

Die direkten Auswirkungen auf Unternehmen und öffentliche Stellen sind eher gering. Die Verordnung dient der Stärkung eines einheitlichen europäischen Datenraums und enthält zu diesem Zweck allgemeine Vorgaben für die Europäische Kommission und die Mitgliedstaaten. Letztere sollen beispielsweise bestehende Datenlokalisierungsauflagen abbauen. Auf Grundlage der FFoD-VO wird die Kommission außerdem Verhaltensregeln für Anbieter von Cloud-Diensten Verhaltensregeln schaffen , um den Wechsel zwischen (europäischen) Cloud-Anbietern zu erleichtern.

Letzter Stand

Final

Letzte veröffentlichte Fassung

Finaler Text der Verordnung vom 14. November 2018 (Link).

Nächster Schritt

Gesetzgebungsverfahren ist abgeschlossen.

Inkrafttreten / Geltung

Die Verordnung gilt seit dem 29. Mai 2019.

Regelungsschwerpunkte

Die Public-Sector-Information Richtlinie soll die Nutzung von öffentlich finanzierten Daten für kommerzielle und nicht kommerzielle Zwecke in der Europäischen Union ermöglichen. Öffentliche Stellen und öffentliche Unternehmen sollen Antragstellern Dokumente im öffentlichen Besitz „in allen vorhandenen Formaten oder Sprachen und, soweit möglich und sinnvoll, auf elektronischem Wege in offenen, maschinenlesbaren, zugänglichen, auffindbaren und weiterverwendbaren Formaten zusammen mit den zugehörigen Metadaten zur Verfügung“ stellen.

Adressaten

  • Öffentliche Stellen
  • Öffentliches Unternehmen (Unternehmen im mehrheitlichen oder vollen Eigentum des Staates)

Verhältnis zum Datenschutzrecht

Bei Entscheidungen über den Umfang und die Bedingungen der Weiterverwendung von Dokumenten des öffentlichen Sektors, die personenbezogene Daten enthalten, z. B. im Gesundheitssektor, müssen möglicherweise Datenschutz-Folgeabschätzungen gem. Art. 35 DSGVO vorgenommen werden. Es wird auch auf die Anonymisierung von personenbezogenen Daten verwiesen. Die DSGVO gilt unabhängig von der PSI-Richtlinie, da letztere sich nicht auf die Verarbeitung personenbezogener Daten auswirkt.

Auswirkungen für Unternehmen / öffentliche Stellen

Die Umsetzung der PSI-RL stellt für öffentliche Stellen eine große Herausforderung dar. Das gilt insbesondere da eine breite Veröffentlichung von Daten unter Umständen auch in Konflikt mit der DSGVO, Gesetzen zum Schutz des geistigen Eigentums und dem Geschäftsgeheimnisschutz stehen kann. Zusammen mit dem Digital Governance Act entstehen hier aber auch Chancen für Privatunternehmen, die Daten öffentlicher Stellen leichter nutzen und auffinden zu können. Es werden vor allem Wettbewerbsnachteile gegenüber außereuropäischen Unternehmen ausgeglichen, denen Behörden im Einzelfall bereits Zugriff auf öffentliche Daten gewährt hatten.

Letzter Stand

Final

Letzte veröffentlichte Fassung

Finaler Text der Richtlinie vom 20. Juni 2019 (Link).

Nächster Schritt

Die Umsetzung der Richtlinie ist in Deutschland bereits erfolgt.

Inkrafttreten / Geltung

Die Richtlinie wurde in Deutschland mit dem Gesetz vom zur Änderung des E-Government-Gesetzes und zur Einführung des Gesetzes für die Nutzung von Daten des öffentlichen Sektors am 22. Juli 2021 umgesetzt.

Regelungsschwerpunkte

Die DI-RL schafft einen harmonisierten Regelungsrahmen für den Vertrieb digitaler Inhalte und Dienstleistungen und ist Teil der europäischen Strategie für die Schaffung eines digitalen Binnenmarkts.  Gegenstand der Richtlinie sind Verträge über die Bereitstellung digitaler Inhalte oder Dienstleistungen bei Verbraucherverträgen. Erfasst davon sind beispielsweise der Kauf von Software oder die Inanspruchnahme von Streamingdiensten. Die DI-RL enthält Regelungen zur vertraglichen Leistungspflicht sowie zu den Rechtsfolgen bei Pflichtverletzungen.

Adressaten

  • Unternehmer, die digitale Produkte anbieten
  • Verbraucher erhalten umfassende Schutzrechte

Verhältnis zum Datenschutzrecht

Als Novum ermöglicht die DIRL (ErwG 24, Art. 3 Abs. 1 DIRL) als Gegenleistung für das digitale Produkt nunmehr statt der Zahlung von Geld auch die Zurverfügungstellung von personenbezogenen Daten, um diesem bereits in der Praxis etablierten Modell nun auch rechtlich Rechnung zu tragen. Damit tritt die DIRL aber in Spannung mit dem Grundgedanken der DSGVO, wonach der Schutz personenbezogener Daten im Vordergrund steht und hierfür dem Betroffenen Abwehrrechte bereitgestellt werden. Bei einem Widerspruch zwischen Bestimmungen der DIRL und der DSGVO ist letztere vorrangig (Art. 3 Abs. 8 DIRL). Die DSK hat sich im Rahmen eines Beschlusses mit den Auswirkungen der neuen Verbrauchervorschriften im BGB auf das Datenschutzrecht befasst und weist insbesondere darauf hin, dass auch bei einer Zurverfügungstellung von personenbezogenen Daten im Rahmen einer Vertragsleistung weiterhin die datenschutzrechtlichen Grundsätze anwendbar sind. So ist weiterhin eine Rechtsgrundlage für die Datenverarbeitung erforderlich und der Einsatz von Cookies richtet sich nach wie vor nach den Anforderungen von § 25 TTDSG.

Auswirkungen für Unternehmen / öffentliche Stellen

Durch die Umsetzung der Richtlinie in deutsches Recht und die entsprechenden Ergänzungen im BGB wurden in den §§ 327 ff. BGB weitere verbraucherschützende Vorschriften zu Verträgen über digitale Inhalte und Dienstleistungen eingeführt. Unternehmen müssen daher insbesondere zusätzliche Vorgaben zur Vertragsgestaltung und zum Gewährleistungsrecht beachten.

Letzter Stand

Final

Letzte veröffentlichte Fassung

Finaler Text der Verordnung vom 20. Mai 2019 (Link).

Nächster Schritt

Die Umsetzung der Richtlinie ist in Deutschland bereits erfolgt.

Inkrafttreten / Geltung

In Deutschland wurde am 30. Juni 2021 das Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen verkündet. Das Gesetz trat am 1. Januar 2022 in Kraft.

Regelungsschwerpunkte

Mit der Warenkaufrichtlinie bezweckt der Europäische Gesetzgeber ein höheres Verbraucherschutzniveau. Die WK-RL löst die Verbrauchsgüterkaufrichtlinie ab und beinhaltet im Vergleich strengere Harmonisierungsvorschriften, um eine Fragmentierung der Vorgaben zwischen den einzelnen Mitgliedstaaten zu verhindern. Die WK-RL gilt zudem als Ergänzung zu der am gleichen Tag erlassenen DI-RL. Die WK-RL erfasst einerseits Kaufverträge über Waren und andererseits Kaufverträge über Waren mit digitalen Elementen, womit körperliche Gegenstände gemeint sind, die digitale Inhalte enthalten oder mit diesen verbunden sind, sodass die Waren ihre Funktion ohne diese digitalen Inhalte nicht erfüllen können. Hierzu zählt beispielsweise der Kauf eines Computers oder Smartphones inklusive Software.

Adressaten

  • Unternehmer, die digitale Produkte anbieten
  • Verbraucher erhalten umfassende Schutzrechte

Verhältnis zum Datenschutzrecht

Die WK-RL enthält keinen ausdrücklichen Regelungen zum Datenschutz.

Auswirkungen für Unternehmen / öffentliche Stellen

Durch die WK-RL wurden die § 434 BGB und §§ 474 ff. BGB geändert. Die kaufrechtlichen Regelungen wurden teilweise zugunsten von Verbrauchern verschärft, sodass Unternehmer u.a. verschärfte Formvorschriften bei negativen Beschaffenheitsvereinbarungen treffen und die Beweislastumkehr bei einem Mangel von 6 Monate auf 1 Jahr verlängert wird. Bei Sachen mit digitalen Elementen wird Unternehmern u.a. eine Aktualisierungspflicht auferlegt, wonach sie dem Verbraucher Updates bereitstellen müssen.

Letzter Stand

Final.

Letzte veröffentlichte Fassung

Finaler Text der Richtlinie vom 20. Mai 2019 (Link).

Nächster Schritt

Die Umsetzung der Richtlinie ist in Deutschland bereits erfolgt.

Inkrafttreten / Geltung

In Deutschland wurde am 30. Juni 2021 das Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags verkündet und trat am 1. Januar 2022 in Kraft.

Regelungsschwerpunkte

Mit der NIS-2-RLsoll den wachsenden Bedrohungen durch Cyberangriffe Rechnung getragen werden. Sie ersetzt die NIS-1-RL und weist gegenüber dieser einen breiteren Anwendungsbereich und höhere Harmonisierungsvorgaben auf, um ein einheitliches Niveau der Cyberresilienz im europäischen Binnenmarkt sicherzustellen. Die NIS-2-RL verpflichtet die Mitgliedstaaten zum Erlass einer nationalen Cybersicherheitsstrategie und Schaffung eines europaweiten Netzwerkes zum Management von Cybersicherheitsvorfällen. Weiterhin legt sie öffentlichen und privaten Einrichtungen Vorgaben und Pflichten zum Austausch von Cybersicherheitsinformationen auf und fordert die Implementierung eines Cybersicherheitsrisikomanagements.

Adressaten

  • Mitgliedsstaaten
  • Öffentliche und private Einrichtungen (z.B. Anbieter von Kommunikationsnetzen und -diensten, Domainregistrierungsdienste, Unternehmen aus dem Energiesektor, Anbieter digitaler Dienste)

Verhältnis zum Datenschutzrecht

Die NIS-2-RL lässt die DSGVO unberührt. Sie verweist an mehreren Stellen auf die Regelungen der DSGVO zum Schutz personenbezogener Daten. Beispielsweise sollen beim Einsatz innovativer Technologien und KI die Datenschutzgrundsätze sowie die Grundsätze von Privacy by Design und Default gewahrt werden. In ErwG 121 werden zudem verschiedene Rechtsgrundlagen des Art. 6 DSGVO für die Verarbeitung von personenbezogenen Daten zu Sicherheitszwecken genannt.

Auswirkungen für Unternehmen / öffentliche Stellen

Für die Anwendbarkeit der Richtlinie ist zunächst noch eine Umsetzung ins nationale Recht erforderlich.

Den in der Richtlinie adressierten Einrichtungen werden Berichtspflichten sowie Vorgaben für ein Cybersicherheitsrisikomanagement auferlegt. Dazu müssen Einrichtungen technische, operative und organisatorische Maßnahmen ergreifen, um Risiken für die Sicherheit für Netz- und Informationssysteme zu minimieren. Dazu gehören unter anderem Sicherheitskonzepte, Schulungen und Einhaltung von Meldepflichten bei Sicherheitsvorfällen.

Letzter Stand

Final.

Letzte veröffentlichte Fassung

Finaler Text der Richtlinie vom 14. Dezember 2022 (Link).

Nächster Schritt

Umsetzung der Vorgaben in nationales Recht.

Inkrafttreten / Geltung

Die Richtlinie ist am 16. Januar 2023 in Kraft getreten.

Die Mitgliedstaaten müssen die Vorschriften der Richtlinie bis spätestens Oktober 2024 in nationales Recht umsetzen.

Das Bundeskabinett hat am 24. Juli 2024 einen Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) beschlossen (Link).

Regelungsschwerpunkte

Der DMA soll den Betreibern zentraler digitaler Plattformen (den sogenannten Gatekeepern) zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen auferlegen. Die Pflichten der Gatekeeper orientieren sich dabei stark an laufenden oder bereits abgeschlossenen Verfahren der Europäischen Kartellbehörden.

Einen detaillierten Überblick zum DMA finden Sie hier auf unserer Website.

Adressaten

  • Betreiber von systemrelevanten Plattformen (Gatekeeper)
  • Gewerbliche Nutzer und Wettbewerber der Gatekeeper

Verhältnis zum Datenschutzrecht

Der DMA ändert nichts an den Vorgaben der DSGVO. Aufgrund des DMA werden Gatekeeper aber dazu verpflichtet ein Verbraucher-Profiling gegenüber den Datenschutzaufsichtsbehörden offenzulegen. Zudem werden Gatekeeper u.a. dazu verpflichtet, gewerblichen Nutzern bestimmte Daten zur Nutzung einer Plattform zur Verfügung zu stellen, was auch einen Austausch personenbezogener Daten betreffen könnte.

Auswirkungen für Unternehmen / öffentliche Stellen

Der DMA wird langfristig dazu führen, dass die Europäische Kommission härter und öfter gegen digitale Unternehmen vorgehen wird, die ihre marktbeherrschende Stellung wettbewerbswidrig ausnutzen. Durch den DMA wird es für die Kommission erheblich leichter Bußgelder zu erlassen, da nachdem ein Unternehmen als Gatekeeper benannt wurde, die Erforderlichkeit einer individuellen Bewertung der Marktposition im Einzelfall entfällt.

Gleichzeitig wird der DMA den Zugang zu Märkten wesentlich erleichtern, da viele der Pflichten der Gatekeeper darauf abzielen vorhandene Märkte weiter zu öffnen (z.B. App Stores).

Letzter Stand

Final.

Letzte veröffentlichte Fassung

Finaler Text der Verordnung vom 14. September 2022 (Link).

Nächster Schritt

Gesetzgebungsverfahren abgeschlossen.

Inkrafttreten / Geltung

Der DMA ist am 1. November 2022 in Kraft treten.

Seit dem 2. Mai 2023 sind die Gatekeeper verpflichtet, ihre Gatekeepereigenschaft gegenüber der Europäischen Kommission offen zu legen.

Die ersten Gatekeeper wurden von der Kommission am 6. September 2023 benannt: Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft. Diese benannten Gatekeeper müssen seit dem 7. März 2024 den Anforderungen des DMA nachkommen, dadie zentralen Pflichten erst 6 Monate nach Benennung als Gatekeeper bestehen.

Regelungsschwerpunkte

Der Digital Services Act (DSA) ist eine direkt in den Mitgliedstaaten geltende Verordnung der Europäischen Union. Sie zielt darauf ab, Rahmenbedingungen für einen wirksamen Schutz gegen illegale Inhalte im Online-Bereich zu schaffen. Dieses Ziel soll mithilfe organisatorischer Verhaltenspflichten für bestimmte Unternehmen erreicht werden, die Dienstleistungen, Waren oder Inhalte online, in der EU anbieten. Dazu gehören z. B. Online-Marktplätze und soziale Netzwerke aber auch Telekommunikationsdienste. In unserem Whitepaper zum DSA erfahren Sie mehr über die einzelnen Vorgaben.

Adressaten

  • Vermittlungsdienste (Access-, Caching- und Hosting-Provider)
  • Soziale Netzwerke
  • Online-Marktplätze
  • Suchmaschinen

Verhältnis zum Datenschutzrecht

Bei einzelnen Vorgaben, insbesondere in Bezug auf Dark Patterns überschneiden sich die Vorgaben des DSA und der DSGVO. Grundsätzlich soll der DSA die DSGVO nicht einschränken.

Auswirkungen für Unternehmen / öffentliche Stellen

Der DSA sieht ein abgestuftes Pflichtensystem vor, abhängig von der Art des Dienstes und der Anzahl der Nutzer. Auf die Adressaten kommt ein erhöhter Dokumentations- und Verwaltungsaufwand zu. Beispielsweise müssen AGB und Community Standards angepasst sowie eine Kontaktstelle zur elektronischen Kommunikation mit Behörden und Nutzern eingerichtet werden. Hostingdiensteanbieter und Online-Plattformen müssen zudem Melde- und Abhilfeverfahren einführen, damit sie durch Nutzer und Dritte über rechtswidrige Inhalte informiert werden können. Letztere müssen darüber hinaus ein internes Beschwerdemanagementsystem auf der Plattform bereitstellen, damit Nutzer sich gegen unberechtigte Löschungen und Sperrungen von Inhalten wehren können. Zudem müssen Plattformen transparentere Informationen über Werbung bereitstellen. Sehr große Online-Plattformen mit mehr als 45 Mio. monatlichen Nutzern sind u.a. dazu verpflichtet, jährliche Risikoanalysen durchzuführen.

Bei Nichtumsetzung der Maßnahmen oder Verstoß gegen den DSA drohen Unternehmen Bußgeldern bis zu 6 % des Vorjahresumsatzes.

Letzter Stand

Final.

Letzte veröffentlichte Fassung

Finaler Text der Verordnung vom 19. Oktober 2022 (Link).

Nächster Schritt

Gesetzgebungsverfahren ist abgeschlossen.

Inkrafttreten / Geltung

Die Verordnung gilt seit dem 17. Februar 2024.

Die Richtlinie wird in Deutschland mit dem Digitale-Dienste-Gesetz umgesetzt, welches am 14. Mai 2024 in Kraft getreten ist.

Regelungsschwerpunkte

Durch den DGA soll der Datenaustausch zwischen öffentlichen Sektoren und Mitgliedstaaten der Europäischen Union gefördert werden. Vor allem um Datensätze, die vom öffentlichen Sektor im Rahmen ihrer Tätigkeit erhoben werden, sollen leichter und vertraulich verfügbar gemacht werden können.

Adressaten

  • Öffentliche Stellen
  • Datenvermittlungsdienste (z.B. Datenmarktplätze, Anbieter von Datenbeständen auf Lizenzbasis)
  • Datenaltruistische Organisationen (registrierte Stellen über die eine einwilligungsbasierte, gemeinsame Nutzung von Daten z.B. im Bereich der Forschung erleichtern sollen)

Verhältnis zum Datenschutzrecht

Der DGA enthält keine Privilegierung im Hinblick auf die Vorgaben der DSGVO. Im Gegenteil: Öffentliche Stellen können, wenn sie Daten bereitstellen, besondere Anforderungen zum Schutz dieser Daten festlegen. Eine öffentliche Stelle kann z.B. vorschreiben, dass bereitgestellte personenbezogene Daten nur anonymisiert weiterverwendet werden dürfen.

Aus Perspektive des Datenschutzes ist außerdem hervorzuheben, dass die Europäische Kommission im Kontext des DGA ein modulares Einwilligungsformular zur Erhebung von Daten auf der Grundlage des Datenaltruismus bereitstellen wird (Art. 25 Abs. 1 DGA). Dieses Formular soll auch die Anforderungen der DSGVO miterfüllen. Es erscheint denkbar, dass dieses Formular auch in anderen Fällen als von der Kommission genehmigte Einwilligungserklärung zum Einsatz kommen könnte.

Auswirkungen für Unternehmen / öffentliche Stellen

Die Verordnung wird vor allem die Verfügbarkeit von Daten öffentlicher Stellen verbessern. Besonders relevant dürfte in diesem Zusammenhang die von den Mitgliedsstaaten einzurichtenden allgemeinen Informationsstellen sein, die nicht nur Anträge auf Weiterverwendung von öffentlichen Datensätzen entgegennehmen sollen, sondern nach Vorgaben des DGA auch eine Bestandsliste mit allen verfügbaren Datenressourcen bereitstellen werden. Hierdurch sollte es Unternehmen erheblich erleichtert werden, potenziell relevante und verfügbare Datensätze zu finden und nutzbar zu machen.

Interessant dürfte der DGA daher vor allem für Stellen sein, die mit Gesundheitsdaten, Mobilitätsdaten, Umweltdaten und landwirtschaftlichen Daten arbeiten. Gerade im Bereich der Forschung könnte der flexible und einwilligungsbasierte Austausch von Daten durch datenaltruistische Organisationen erheblich erleichtert werden.

 

Letzter Stand

Final

Letzte veröffentlichte Fassung

Finaler Text der Verordnung vom 30. Mai 2022 (Link).

Nächster Schritt

Gesetzgebungs­verfahren ist abgeschlossen.

Inkrafttreten / Geltung

Die Verordnung gilt seit dem 24. September 2023.

Regelungsschwerpunkte

Die neue KI-Verordnung der Europäischen Union, auch bekannt als Artificial Intelligence Act (AI Act), stellt einen umfassenden regulatorischen Rahmen für den Einsatz von Künstlicher Intelligenz (KI) in der EU dar. Ziel der Verordnung ist es, die Entwicklung und den Einsatz von KI-Systemen zu fördern, gleichzeitig aber auch die damit verbundenen Risiken zu minimieren und die Grundrechte der Bürger zu schützen.

Der AI Act klassifiziert KI-Systeme nach ihrem Risiko in verschiedene Kategorien: verbotene KI-Praktiken (unvertretbares Risiko), Hochrisiko-KI-Systeme (hohes Risiko), sonstige KI-Systeme (unterhalb des hohen Risikos). KI-Systeme mit unvertretbarem Risiko sind verboten, während Systeme mit hohem Risiko strengen Anforderungen unterliegen. Diese Anforderungen umfassen unter anderem die Datensicherheit, Transparenz, menschliche Aufsicht und technische Dokumentation. Als Sanktionen können Geldbußen von bis zu 30 Mio. Euro bzw. 6 % des Vorjahresbruttoumsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist, verhängt werden.

In unserem Whitepaper zur KI-Verordnung finden sie weitere Informationen.

Adressaten

  • Anbieter von KI-Systemen
  • Betreiber von KI-Systemen
  • Einführer von KI-Systemen

Verhältnis zum Datenschutzrecht

Die DSGVO bleibt nach der Aussage des KI-VO unberührt und ergänzt Regelungen für Hochrisiko-KI- und Fernidentifizierungssysteme. Bspw. werden „modernste Sicherheits- und Datenschutzmaßnahmen“ insoweit gefordert, zu denen Pseudonymisierung und Verschlüsselung gehören sollen, „wenn der erfolgte Zweck durch eine Anonymisierung erheblich beeinträchtigt würde“.

Nutzer von Hochrisiko-KI-Systemen sollen zudem Informationen, die ihnen nach Art. 29 Abs. 6 KI-VO bereitgestellt werden, verwenden, um eine ggf. erforderlich DSFA (Art. 35 DSGVO) durchzuführen. Dies führt zu einer erheblichen Aufwertung von Datenschutzinformationen, deren Qualität unserer Erfahrung nach sehr unterschiedlich sein kann. Die DSGVO wird also beim Einsatz von KI-Systemen zukünftig auch eine wichtige Rolle spielen.

Auswirkungen für Unternehmen / öffentliche Stellen

Gerade beim Einsatz von Hochrisiko-KI-Systemen sollten Unternehmen den Beurteilungs- und Dokumentationsaufwand nicht unterschätzen. Ein zentrales Element ist insoweit die Durchführung einer Konformitätsbewertung und -erklärung für Anbieter von KI-Systemen. Wichtig ist schließlich auch, dass Anbieter von KI-Systemen in einem Drittland nicht von den Anforderungen des KI-VO befreit sind, sofern deren Leistungen in der Europäischen Union angeboten werden. Gerade mit Blick auf die möglichen Geldbußen ist dies von höherer Relevanz.

Letzter Stand

Final.

 

Letzte veröffentlichte Fassung

Finaler Text der Verordnung vom 12. Juli 2024 (Link).

 

Nächster Schritt

Gesetzgebungsverfahren ist abgeschlossen.

Inkrafttreten / Geltung

Die Verordnung ist am 1. August 2024 in Kraft getreten. Es sind Umsetzungsfristen von 6, 12 und 36 Monaten nach dessen Inkrafttreten vorgesehen. Kapitel I und II gelten seit dem 2. Februar 2025. Diese Kapitel regeln die Bestimmungen über die verbotenen Praktiken im KI-Bereich.

Nachfolgend finden ab dem 2. August 2025 die Kapitel III Abschnitt 4 (Notifizierende Behörden und notifizierende Stellen), V (KI-Modelle mit allgemeinem Verwendungszweck), VII (Governance), XII mit Ausnahme von Art. 101 (Sanktionen) und Art. 78 (Vertraulichkeit) Anwendung.

Als letzte Ausnahme vom allgemeinen Geltungsbeginn sieht Art. 113 S. 2 lit. c) KI-VO vor, dass die Regelungen für bestimmte Hochrisiko-KI-Systeme im Sinne des Art. 6 Abs. 1 KI-VO ab dem 2. August 2027, d.h. 36 Monate nach Inkrafttreten der KI-VO gelten. Bei diesen KI-Systemen handelt es sich um solche, die ein von den in Anhang I der KI-VO genannten Harmonisierungsrechtsvorschriften der Union erfasstes Produkt oder ein Sicherheitsbauteil eines solchen Produkts sind und die darüber hinaus vor dem Inverkehrbringen einem Konformitätsbewertungsverfahren durch Dritte unterzogen werden.

Regelungsschwerpunkte

Der DORA beinhaltet vereinheitlicht rechtliche Anforderungen für die Sicherheit der Netz- und Informationssysteme von Unternehmen im Finanzsektor, um die wachsende Gefahr von Cyberbedrohungen zu minimieren.

Einen detaillierten Überblick zum DORA finden Sie hier auf unserer Website.

Adressaten

  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • Wertpapierfirmen
  • Anbieter von Krypto-Dienstleistungen
  • Versicherungs- und Rückversicherungsunternehmen
  • Sonstige Finanzunternehmen
  • IKT-Drittdienstleister (z.B. Cloud-Computing-Dienste, Datenanalysedienste, Softwareanbieter, Anbieter von Rechenzentrumsdienstleistungen)

Verhältnis zum Datenschutzrecht

An mehreren Stellen in der Verordnung wird auf datenschutzrechtliche Regelungen Bezug genommen. Beispielsweise soll der Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Finanzunternehmen im Einklang mit der DSGVO erfolgen. Weiterhin müssen die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung sowie die Europäische Wertpapier- und Marktaufsichtsbehörde (zusammen „Europäische Aufsichtsbehörden“ oder „ESA“ genannt) und sonstige zuständige Behörden bei der Verarbeitung von personenbezogenen Daten die Vorschriften der DSGVO oder der Verordnung (EU) 2018/1725 beachten. Zudem müssen Verträge zwischen Finanzunternehmen und IKT-Drittdienstleistern gemäß Art. 30 Abs 2 lit. c) DORA Bestimmungen zum Schutz personenbezogener Daten enthalten. Praxisrelevant ist außerdem, dass gemäß Art. 28 Abs. 7 lit. c) DORA Vereinbarungen über die Nutzung von Diensten zu kündigen sind, wenn der Drittanbieter nachweisliche Schwächen beim Datenschutz aufweist.

Auswirkungen für Unternehmen / öffentliche Stellen

Mit dem DORA werden Finanzunternehmen eine Vielzahl von Pflichten im Bereich des Risikomanagements auferlegt. Beispielsweise müssen sie Maßnahmen für ein solides Management des IKT-Drittparteienrisikos vornehmen und dies, abhängig von der Unternehmensgröße, mindestens jährlich dokumentieren und überprüfen. Insofern kommt auf Finanzunternehmen ein höherer Verwaltungs-, Dokumentations- und Prüfungsaufwand zu.

Letzter Stand

Final.

Letzte veröffentlichte Fassung

Text der Verordnung vom 14. Dezember 2022 (Link).

Nächster Schritt

Gesetzgebungsverfahren ist abgeschlossen.

Inkrafttreten / Geltung

Die Verordnung ist am 16. Januar 2023 in Kraft getreten. Sie gilt seit dem 17. Januar 2025.

Regelungsschwerpunkte

Der Cyber Solidarity Act soll die koordinierte Erkennung, Vorsorge und Bewältigung von Cybersicherheitsbedrohungen und -vorfällen in der EU verbessern. Zu diesem Zweck soll insbesondere ein europäischer Cyberschutzschild und ein Cybernotfallmechanismus geschaffen werden.

Im Rahmen des Cyberschutzschilds sammeln sogenannte Sicherheitseinsatzzentren (SOCs, zuvor benannte nationale Behörden) Erkenntnisse über Cyberbedrohungen und sind Anlaufstellen für öffentliche und private Organisationen. Im Cybernotfallmechanismus sind Vorsorgemaßnahmen, wie die Prüfung von Einrichtungen in besonders kritischen Sektoren (Gesundheitswesen, Verkehr, Energie usw.) auf potenzielle Schwachstellen vorgesehen. Daneben ist die Schaffung einer EU-Cybersicherheitsreserve geplant, die aus Notfalldiensten von vertrauenswürdigen Anbietern besteht, welche im Voraus unter Vertrag genommen wurden und auf Ersuchen eines Mitgliedstaats oder von Stellen der Union im Falle eines Cybersicherheitsvorfalls eingreifen.

Adressaten

  • Stellen der EU
  • EU-Mitgliedstaaten
  • Indirekt Unternehmen aus kritischen Sektoren, die auf potenzielle Schwachstellen getestet werden können
  • Indirekt Unternehmen, für die eine Teilnahme an der EU-Cybersicherheitsreserve in Betracht kommt

Verhältnis zum Datenschutzrecht

Der Informationsaustausch zwischen den Teilnehmern des Cyberschutzschilds muss unter Berücksichtigung der Datenschutzvorschriften der Union (DSGVO) und der Mitgliedstaaten erfolgen (ErwG 22 Cyber Solidarity Act). Wenn personenbezogene Daten verarbeitet werden, müssen beispielsweise entsprechende TOMs implementiert werden. Personenbezogene Daten sind zu löschen, wenn sie nicht mehr benötigt werden.

Auswirkungen für Unternehmen / öffentliche Stellen

Unternehmen aus Sektoren mit hoher Kritikalität (die Verordnung verweist auf Anhang I der NIS-2-Richtlinie) können auf potenzielle Schwachstellen getestet werden.

Unternehmen, für die eine Teilnahme an der EU-Cybersicherheitsreserve in Betracht kommt, müssen bestimmte Auswahlkriterien erfüllen und entsprechende Verträge abschließen.

Die Mitgliedstaaten müssen nationale Behörden als SOCs benennen, die dann Aufgaben im Rahmen des Cyberschutzschilds wahrnehmen. Diese Behörden müssen in der Lage sein als Anlaufstelle für öffentliche und privat Organisationen in Bezug auf Bedrohungen und Vorfälle im Bereich der Cybersicherheit zu fungieren. Sie sollen mit neuster Technologie ausgestattet sein und auch zum grenzüberschreitenden Netzwerk von SOCs beitragen.

Letzter Stand

Final.

Letzte veröffentlichte Fassung

Finaler Text vom 19. Dezember 2024 (Link).

Nächster Schritt

Gesetzgebungsverfahren ist abgeschlossen.

Inkrafttreten / Geltung

Am 15. Januar 2025 wurde der Cyber Solidarity Act im Amtsblatt verkündet und am 4. Februar 2025 ist er in Kraft getreten. Sie gilt unmittelbar bei Inkrafttreten.

B. Noch nicht geltende Gesetze

DA - Update

Regelungsschwerpunkte

Mit dem Data Act (DA) wurde eine europäische Verordnung eingeführt, die sowohl digitale Innovationen fördern als auch einheitliche Regelungen für fairen Wettbewerb auf dem Datenmarkt schaffen soll. Das Hauptziel der Verordnung ist nicht der Schutz der Daten selbst, sondern deren faire Nutzung – sowohl personenbezogener als auch nicht-personenbezogener Daten –, die bei der Verwendung von Produkten und Diensten anfallen. Dabei sollen Daten als portables Wirtschaftsgut unter den Wirtschaftsteilnehmern der EU leichter zugänglich gemacht werden. Die Verordnung regelt insbesondere:

  • Die Zugänglichkeit von Daten aus vernetzten Produkten oder verbundenen Diensten für Nutzer (z. B. Unternehmen, öffentliche Stellen, private Nutzer),
  • den Anspruch der Nutzer auf Weitergabe dieser Daten an Dritte sowie
  • Vorgaben zur Interoperabilität von Daten, die den Datenaustausch zwischen verschiedenen

Diensteanbietern ermöglichen sollen.In unserem Whitepaper zum DA finden sie weitere Informationen.

Adressaten

  • Nutzer von Produkten
  • Dateninhaber (z.B. Hersteller)
  • Unternehmen
  • Öffentliche Stellen

Verhältnis zum Datenschutzrecht

Es besteht ein gewisses Spannungsverhältnis. Während die DSGVO einen möglichst umfassenden Schutz personenbezogener Daten sicherstellen soll, ist es das Ziel des DA, einen fairen Datenzugang und eine faire Datennutzung sicherzustellen. Der DA soll die DSGVO und die ePrivacy-Richtlinie ergänzen und darf den Datenschutz nicht schwächen (ErwG 7 DA). Beim Zugang / der Weiterleitung personenbezogener Daten sollen die Grundsätze der Datenminimierung und Datenschutz durch Technikgestaltung / datenschutzfreundliche Voreinstellungen sichergestellt werden. Ob sich dies in der Praxis umsetzen lässt, wird von den Datenschutzbehörden (bisher) eher kritisch gesehen.

Auswirkungen für Unternehmen / öffentliche Stellen

Aus dem DA folgen weitgehende Pflichten:

  • Pflicht zur Zugänglichmachung und Bereitstellung von Daten
  • Pflicht zur Datenweitergabe
  • Regelungen zur Vertragsausgestaltung
  • Transparenzpflichten
  • Pflicht zur Bereitstellung von Daten gegenüber öffentlichen Stellen
  • Pflicht zur Interoperabilität und einfachen Wechselmöglichkeiten zwischen Datenverarbeitungsdiensten

Im Fall der Zuwiderhandlung gegen den DA können Sanktionen verhängt werden, die „wirksam, verhältnismäßig und abschreckend“ sind.

Letzter Stand

Final.

Letzte veröffentlichte Fassung

Text der Verordnung vom 13. Dezember 2023 (Link).

 

Nächster Schritt

Gesetzgebungsverfahren ist abgeschlossen.

Inkrafttreten / Geltung

Die Verordnung ist am 11. Januar 2024 in Kraft getreten. Sie findet ab dem 12. September 2025 Anwendung, mit spezifischen Bestimmungen für verbundene Produkte, Verpflichtungen zur gemeinsamen Nutzung von Daten und Verträge, die zu verschiedenen Zeitpunkten zwischen September 2025 und September 2027 in Kraft treten.

 

Regelungsschwerpunkte

Die ePrivacy-VO-E sollte die bestehende ePrivacy-Richtlinie ersetzen, auf der die deutschen Regelungen zum Telekommunikations- und Telemedienrecht (TKG und TTDSG) basieren. Insbesondere sollte sie

  • die Vertraulichkeit der Kommunikation (Fernmeldegeheimnis),
  • die Verarbeitung von Kommunikationsdaten (bisher Verkehrsdaten),
  • das Speichern und Auslesen von Informationen auf Endgeräten (z.B. Cookies),
  • die Anzeige von Rufnummern und Endnutzerverzeichnissen und
  • die Direktwerbung mittels elektronischer Kommunikation regeln.

Das Gesetzgebungsverfahren ist nach langen Verhandlungen gescheitert.

Adressaten

  • Kommunikationsdienstleister
  • Website- / App-Betreiber
  • Unternehmen (v.a. im Konetxt des Direktmarketings)

Verhältnis zum Datenschutzrecht

Die ePrivacy-VO-E wäre vorrangig gegenüber der DSGVO anwendbar gewesen (Art. 95 DSGVO i.V.m Art. 27 Nr. 2 ePrivacy-VO-E).

Auswirkungen für Unternehmen / öffentliche Stellen

Die Vorgaben der ePrivacyRL und den entsprechenden nationalen Umsetzungsgesetzen gelten weiterhin auf unbestimmte Zeit. In Deutschland sind das die Vorgaben zum TDDDG.

Letzter Stand

Der Entwurf wurde am 11. Februar 2025 zurückgezogen (Link) und das Gesetzgebungsverfahren damit beendet.

Letzte veröffentlichte Fassung

Entwurf des Rats der Europäischen Union vom 10. Februar 2021 (Link).

Nächster Schritt

Neue Gesetzesinitiative.

Inkrafttreten / Geltung

-

Regelungsschwerpunkte

Durch die Richtlinie soll die Position von Arbeitnehmern und Selbstständigen verbessert werden, die ihre Arbeitskraft über digitale Plattformen anbieten. Im Mittelpunkt der Bemühungen zur Umsetzung wird deshalb eine Regelung zur widerleglichen gesetzlichen Vermutung eines Arbeitsverhältnisses zwischen der Plattform und den Plattformbeschäftigten stehen. Neben Regelung zur Vermeidung von Scheinselbstständigkeit enthält der Richtlinienentwurf vor allem auch einige Vorgaben bezüglich des Datenschutzes von Beschäftigten. Digitalen Arbeitsplattformen wird untersagt, bestimmte Arten von personenbezogenen Daten zu verarbeiten, wie z. B. Daten über den emotionalen oder psychologischen Zustand und die persönlichen Überzeugungen einer Person.

Adressaten

Die Richtlinie soll nicht pauschal für alle Plattformbetreiber gelten, sondern nur für Betreiber sogenannter digitaler Arbeitsplattformen („digital labour platforms“). Gemeint sind damit Plattformen über die die Arbeit von Arbeitnehmern bzw. Selbstständigen auf Anfrage Dritter (der eigentlichen Leistungsempfänger) organisiert wird. In Erwägungsgrund 20 der VA-RL werden als zu vermittelnde Leistungen zum Beispiel der Transport von Waren oder Personen genannt.

Verhältnis zum Datenschutzrecht

Unter Bezugnahme auf Art. 88 DSGVO in Erwägungsgrund 38 der VAP-RL enthält die Richtlinie in Kapitel III einige spezielle Vorgaben zur Verarbeitung von Beschäftigtendaten durch Systeme, die das Verhalten automatisiert überwachen und / oder Entscheidungen im Kontext des Beschäftigung- / Nutzungsverhältnisses treffen oder unterstützen.

Auswirkungen für Unternehmen / öffentliche Stellen

Für die meisten Unternehmen hat die Richtlinie keine Auswirkungen. Für digitale Arbeitsplattformen könnte die Richtlinie aber erhebliche Konsequenzen haben.

Im Kontext der nationalen Umsetzung der Richtlinie stellt sich zudem die Frage, ob der deutsche Gesetzgeber, allgemein verbindliche Vorgaben für die automatisierte Verarbeitung von Beschäftigtendaten schaffen wird. Vor dem Hintergrund der bereits im Koalitionsvertrag angekündigten Konkretisierung des Beschäftigtendatenschutzes, erscheint das zumindest möglich.

 

Letzter Stand

Final.

Letzte veröffentlichte Fassung

Text der Richtlinie vom 2. Oktober 2024 (Link).

Nächster Schritt

Gesetzgebungsverfahren ist abgeschlossen.

 

Inkrafttreten / Geltung

Die VAP-RL ist am 1. Dezember 2024 in Kraft getreten. Die Mitgliedstaaten haben bis zum 2. Dezember 2026 Zeit, diese Richtlinie in nationales Recht umzusetzen.

CRA - Update

Regelungsschwerpunkte

Die europäische Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienz-Verordnung), insbesondere bekannt als der Cyber Resilience Act (CRA), zielt darauf ab, einen harmonisierten rechtlichen Standard auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt vorzuschreiben. Als Verordnung gilt der CRA ab dem Inkrafttreten unmittelbar in jedem Mitgliedstaat, sodass ein einheitliches Cybersicherheitsniveau im europäischen Binnenmarkt gewährleistet werden kann.

Um dem wachsenden Risiko von Cyberangriffen und Sicherheitsvorfällen aufgrund von Schwachstellen in Produkten entgegenzutreten, legt der CRA Mindestanforderungen für die Sicherheit von Produkten mit digitalen Elementen und an die Verfahren zur Behandlung von Schwachstellen fest.

Neben Vorgaben zu den Sicherheitsanforderungen an Produkte enthält die Verordnung Verpflichtungen für die entlang einer Lieferkette involvierten Akteure.

In unserem Whitepaper zum CRA finden sie weitere Informationen.

Adressaten

  • Hersteller
  • Einführer
  • Händler

Verhältnis zum Datenschutzrecht

Der CRA lässt die DSGVO in ihrem Regelungsgehalt unberührt, sodass beide Gesetze parallel anwendbar sein können. Ziel der Verordnung ist allerdings auch, die Sicherheit personenbezogener Daten zu erhöhen, indem die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Produkten mit digitalen Elementen geschützt werden.

Auswirkungen für Unternehmen / öffentliche Stellen

Soweit es sich um ein Produkt mit digitalen Elementen (Software, Hardware, Einzelkomponenten) handelt, werden Herstellern, Händlern und Einführer eine Vielzahl von Pflichten zur Umsetzung von Cybersicherheitsanforderungen auferlegt (u.a. Pflicht zur Risiko- und Konformitätsbewertung sowie Prüf-, Nachweis- und Dokumentationspflichten). Bei Nichtumsetzung dieser Pflichten können Marktüberwachungsbehörden je nach Verstoß und Akteur Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Vorjahresumsatzes verhängen.

Die Pflichten der einzelnen Adressaten sind abgestuft, wobei den Hersteller die meisten Pflichten treffen. Letztlich entsteht für Hersteller von Produkten mit digitalen Elementen ein hoher wirtschaftlicher und bürokratischer Mehraufwand im Entwicklungsprozess.

 

Letzter Stand

Final.

Letzte veröffentlichte Fassung

Der CRA wurde am 20. November 2024 im Amtsblatt veröffentlicht (Link).

Nächster Schritt

Gesetzgebungsverfahren ist abgeschlossen.

Inkrafttreten / Geltung

Der CRA ist am 10. Dezember 2024 in Kraft getreten. Nach Inkrafttreten gilt eine Übergangsfrist. Ab 11. Juni 2026 gilt Kapitel 4 der CRA (Notifizierung von Konformitätsbewertungsstellen). Ab 11. September 2026 gilt Artikel 14 des CRA (Meldepflicht für Hersteller bei Schwachstellen) und ab 11. Dezember 2027 gilt der CRA für neue Produkte und somit vollständig.

Regelungsschwerpunkte

Die Richtlinie über KI-Haftung enthält Regelungen zur Kausalitätsvermutung und den Zugang zu Beweismitteln der Anbieter und soll den Schutz von Verbrauchern sicherstellen, ohne dabei technologische Innovationen zu konterkarieren. Dabei wird insbesondere dem Umstand Rechnung getragen, dass es Verbrauchern häufig nicht möglich sein wird, dem Schädiger ein Verschulden bei dem Einsatz von KI nachzuweisen und Schadensersatzansprüche geltend zu machen.

Adressaten

  • Anbieter, Entwickler und Nutzer von KI-Systemen

Verhältnis zum Datenschutzrecht

Die Richtlinie über KI-Haftung enthält keinen ausdrücklichen Regelungen zum Datenschutz. Allerdings bezweckt die Richtlinie eine Erleichterung der Beweislast für die Opfer von durch KI-Systeme verursachten Schäden im Hinblick auf Haftungsansprüche aus nationalem oder europäischem Recht. Insofern dürfte die Richtlinie diesbezüglich auch Auswirkungen auf die Beweislast bei Schadensersatzansprüchen nach Art. 82 DSGVO haben, wenn den Betroffenen Schäden im Rahmen der Datenverarbeitungen durch KI-Systeme entstehen.

Auswirkungen für Unternehmen / öffentliche Stellen

Für Verbraucher wird die Beweislast erleichtert, sodass bereits der Nachweis über die Nichteinhaltung einer für den Schaden maßgeblichen Verpflichtung und über das Bestehen eines ursächlichen Zusammenhangs zur KI-Leistung ausreicht. In diesem Zusammenhang können Verbraucher z.B. die Offenlegung von Informationen über Hochrisiko-KI-Systeme vor Gericht beantragen. Der Schädiger kann diese Vermutung allerdings widerlegen.

Letzter Stand

Am 28. September 2022 hat die Europäische Kommission den Richtlinienvorschlag erlassen.

Letzte veröffentlichte Fassung

Text der Richtlinie vom 28. September 2022 (Link).

Nächster Schritt

Annahme durch das Europäische Parlament und den Europäischen Rat.

Inkrafttreten / Geltung

Die Richtlinie tritt 20 Tage nach Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die Mitgliedstaaten müssen die Vorschriften der Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen.

Regelungsschwerpunkte

Die e-Evidence-VO regelt die Voraussetzungen, gemäß derer EU-Justizbehörden länderübergreifende Herausgabe- und Sicherungsanordnungen gegenüber Anbietern von Diensten der Informationsgesellschaft und Telekommunikationsdiensten erlassen dürfen. Unter Berufung auf die Verordnung kann dann z.B. eine ungarische Strafverfolgungsbehörde gegenüber einem deutschen Internetprovider die Herausgabe von Daten zum Zwecke der Strafverfolgung anordnen, ohne die deutschen Behörden am Verfahren zu beteiligen.

Herausgabeanordnungen können unter anderem die Identität des Inhabers einer IP-Adresse, Kommunikationsinhalte oder Verkehrsdaten (wann, wie und mit wem wurde kommuniziert) betreffen.

Adressaten

Justizbehörden der EU-Mitgliedstaaten

Unternehmen, die Telekommunikations- und Internetdienste in der EU anbieten, d.h.:

  • Klassische Anbieter von TK-Diensten (Telekom, Vodafone, Telefonica, etc.),
  • Online-Kommunikationsdienste, wie z.B. Messaging-, Internet- und Videotelefoniedienste sowie E-Mail-Dienste,
  • Anbieter von Domainnamen und IP-Adressen,
  • Anbieter von Diensten der Informationsgesellschaft (der Begriff kann relativ weit verstanden werden darunter können nach Rechtsprechung des EuGH z.B. Soziale Medien oder Vermittlungsdienste wie Airbnb fallen) über die
    • Nutzer kommunizieren können oder
    • Daten verarbeiten lassen oder speichern.

Verhältnis zum Datenschutzrecht

Aus der e-Evidence-VO folgen für die o.g. Unternehmen direkte gesetzliche Pflichten, die auch die Verarbeitung personenbezogener Daten betreffen. Sowohl die Diensteanbieter als auch die Justizbehörden müssen darauf achten, dass eine Verarbeitung personenbezogener Daten nur erfolgt, wenn die Vorgaben der Verordnung eingehalten werden.

Auswirkungen für Unternehmen/ öffentliche Stellen

Unternehmen müssen beachten, dass ihnen Sanktionen drohen, wenn sie die angeforderten Informationen den Justizbehörden nicht zur Verfügung stellen. Wegen der in Einzelfällen sehr kurzen Frist zur Herausgabe (in der Regel innerhalb von 10 Tagen, im Notfall innerhalb von 8 Stunden), sollten Unternehmen sich bereits im Vorfeld auf mögliche Herausgabeanordnungen vorbereiten. Einer zu Unrecht verweigerten Herausgabe kann Bußgelder in Höhe von bis zu 2 % des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden. Eine unberechtigte Herausgabe kann aber ebenfalls einen Verstoß gegen die DSGVO darstellen und mit einem Bußgeld von bis zu 4 % des weltweit erzielten Jahresumsatzes geahndet werden.

Letzter Stand

Final.

Letzte veröffentlichte Fassung

Finaler Text der Verordnung vom 12. Juli 2023 (Link).

Nächster Schritt

Gesetzgebungsverfahren ist abgeschlossen.

Inkrafttreten / Geltung

Die Verordnung ist am 18. August 2023 in Kraft getreten.Es ist eine Übergangszeit von drei Jahren vorgesehen. Die Verordnung wird somit ab dem 18. August 2026 verbindlich gelten.

Es liegt ein Entwurf des E-Evidence-Gesetz (siehe unten) des Bundesministeriums der Justiz vom 28. Oktober 2024 (Link) zur Umsetzung der E-Evidence-RL (EU) 2023/1544 und E-Evidence-VO (EU) 2023/1543 vor.

Regelungsschwerpunkte

Die E-Evidence dient der Steigerung der Effizienz der Strafverfolgung in der Bundesrepublik Deutschland sowie in der Europäischen Union. Sie soll dabei die Richtlinien (EU) 2023/1544 umsetzen und die Durchführung der Verordnung (EU) 2023/1543 (e-Evidence-VO) ermöglichen. Konkret ermöglicht wird den Strafverfolgungsbehörden künftig der Direktzugriff auf die Dienstanbieter. Dafür gibt es zukünftig die sog. Herausgabeanordnung, um unmittelbar an elektronische Beweismittel zu gelangen, sowie die sog. Sicherungsanordnung, um zu gewährleisten, dass die Daten nicht gelöscht werden.

Der Begriff „elektronische Beweismittel“ ist umfassend:

  • Teilnehmerdaten: Daten zur Identität der betroffenen Person, etwa Name, Geburtsdatum, Anschrift und andere Kontaktdaten sowie Daten zu der Art und Dauer der Dienstleistung.
  • Verkehrsdaten: Daten zur angebotenen Dienstleistung, beispielsweise Ursprung und Ziel der Nachricht, Standort eines Gerätes, Format oder verwendete Protokoll sowie andere Metadaten der Kommunikation über einen Dienst.
  • Inhaltsdaten: Alle anderen in einem digitalen Format verfügbaren Daten, wie Texte, Videos und Bilder.

Die Daten von Berufsgeheimnisträgern wie Rechtsanwälten oder Ärzten genießen allerdings einen besonderen Schutz.

Adressaten

  • Diensteanbieter i.S.v. Art. 2 Nr. 1 der e-Evidence-VO: Umfasst sind alle Anbieter von elektronischen Kommunikationsdiensten, von Internetdomänenamen- und IP-Nummerierungsdiensten sowie andere Dienste der Informationsgesellschaft, die es ihren Nutzern ermöglichen, miteinander zu kommunizieren, oder für ihre Nutzer Daten speichern oder auf sonstige Weise verarbeiten, bei der die Speicherung von Daten ein bestimmender Bestandteil der Dienstleistung ist. Eine Größenbegrenzung oder Ausnahme für kleine und Kleinstunternehmen besteht nicht. Eine örtliche Begrenzung besteht insoweit als die Dienste in der EU angeboten werden müssen. Indizien sind etwa eine Niederlassung in der EU, die Verfügbarkeit von Anwendungen in nationalen App-Stores, lokale Werbung oder die Verfügbarkeit des Kundendienstes vor Ort bzw. in der Sprache des Mitgliedsstaates.

Verhältnis zum Datenschutzrecht

Der Diensteanbieter, der bloß als Auftragsverarbeiter i.S.v. Art. 28 DSGVO agiert, nicht aber als Verantwortlicher, muss den Verantwortlichen über die Datenherausgabe informieren. Die Unterrichtung der betroffenen Personen darf allerdings ausschließlich durch die Anordnungsbehörde erfolgen.

Auswirkungen für Unternehmen / öffentliche Stellen

Die Diensteanbieter müssen für die Entgegennahme der Anordnungen Empfangsbevollmächtigte in der EU bereithalten. Kommt ein Diensteanbieter einer an ihn gerichteten Anordnung nicht nachkommt, ist ein Vollstreckungsverfahren vorgesehen. Hier besteht die Möglichkeit, auf Basis eines Katalogs von Gründen Einwände gegen die Ausführung der Anordnung zu erheben. Solche sind beispielsweise neben formalen Aspekten wie Unzuständigkeit der Anordnungsbehörde auch Immunitäten und Vorrechte sowie die Pressefreiheit.

Sind die Einwände der Diensteanbieter gegen die Anforderung nicht stichhaltig, drohen Geldbußen bis zu 500.000 Euro beziehungsweise bei umsatzstarken Unternehmen davon abweichend die Verhängung einer Geldbuße "von bis zu zwei Prozent des erzielten Jahresgesamtumsatzes".

Die Überwachung der Einhaltung der Pflichten aus diesem Gesetz übernimmt als zentrale Behörde das Bundesamt für Justiz. Diese ist zwar nicht zur Vollstreckung im Einzelfall berufen, schreiten jedoch ein, wenn ein Diensteanbieter such systematisch unkooperativ zeigt.

Letzter Stand

Referentenentwurf des Bundesministeriums der Justiz vom 28. Oktober 2024.

Letzte veröffentlichte Fassung

Entwurf des Bundesministeriums der Justiz vom 28. Oktober 2024 (Link).

Nächster Schritt

Der Entwurf wurde an Länder und Verbände verschickt. Diese können bis zum 6. Dezember 2024 Stellung nehmen.

Inkrafttreten / Geltung

Es ist noch nicht absehbar, wann das Gesetzgebungsverfahren abgeschlossen sein wird.

C. Changelog

11. Februar 2025: Die EU-Kommission hat die ePrivacy-VO zurückgezogen.

04. Februar 2025: Der Cyber Solidarity Act ist in Kraft getreten und gilt ab diesem Tag.

02. Februar 2025: Kapitel I und II der KI-VO gelten.

17. Januar 2025: DORA gilt ab jetzt.

10. Dezember 2024: Der CRA ist in Kraft getreten.

01. Dezember 2024: Die VAP-RL ist in Kraft getreten.

28. Oktober 2024: Referentenentwurf zum E-Evidence-Gesetz (Link).

10. Oktober 2024: Der CRA wurde beschlossen (Link).

02. Oktober 2024: Die VAP-RL wurde beschlossen (Link).

01. August 2024: Die KI-VO ist in Kraft getreten.

12. Juli 2024: Die KI-VO wurde im Amtsblatt veröffentlicht.

21. Mai 2024: Die KI-VO wurde beschlossen (Link).

14. Mai 2024: Das Digitale-Dienste-Gesetz ist in Kraft getreten.

21. März 2024: Der Gesetzesentwurf zum Digitale-Dienste-Gesetz wurde von der Bundesregierung als Umsetzungsgesetz für den DSA eingebracht. (Link)

13. März 2024: Das Europäische Parlament hat die KI-VO angenommen.

12. März 2024: Das Europäische Parlament hat den CRA angenommen.

07. März 2024: Die ersten von der Kommission ernannten Gatekeeper müssen die Anforderungen aus dem DMA erfüllen.

17. Februar 2024: Digital Services Act gilt ab nun vollständig.

11. Januar 2024: Der Data-Act ist in Kraft getreten. Die Verordnung findet ab 12. September 2025 Anwendung.

27. Dezember 2023: VAP-RL-E: Parlament und Rat haben einen Kompromiss gefunden. Die Mitgliedstaaten stimmten nicht zu.

06. Dezember 2023: KI-VO-E: der Rat und das Europäische Parlament haben eine erste Einigung über den Vorschlag erzielt.

30. November 2023: CRA: Parlament und Rat haben eine politische Einigung erzielt (Link).

27. November 2023: DA: Der Rat der Europäischen Union hat den Data Act angenommen (Link).

09. November 2023: Data Act: Das Europäische Parlament hat den Data Act angenommen (Link).

24. September 2023: DGA: Die Verordnung gilt seit dem 24. September 2023.

18. August 2023: e-Evidence-VO: Die Verordnung ist am 18. August 2023 in Kraft getreten. Sie findet ab dem 18. August 2026 Anwendung.

19. Juli 2023: CRA: Der Rat hat seinen gemeinsamen Standpunkt zum CRA festgelegt (Link).

27. Juni 2023: DA-E: Das Europäischen Parlament und der Rat der EU haben eine politische Einigung über den DA-E erzielt (Link).

14. Juni 2023: KI-VO-E: Das Europäische Parlament hat seine Verhandlungsposition zur KI-VO angenommen (Link).

13. Juni 2023: e-Evidence-VO-E: Das Europäische Parlament hat die e-Evidence-VO verabschiedet.

07. Juni 2023: VAP-RL-E: Der Rat hat seinen Standpunkt festgelegt (Link).

23. Mai 2023: Cyber Solidarity Act: Die Übersicht enthält jetzt auch Informationen zum Cyber Solidarity Act.

22. Mai 2023: e-Evidence-VO-E: Die Übersicht enthält jetzt auch Informationen zur e-Evidence-VO.

11. Mai 2023: KI-VO-E: Der Binnenmarktausschuss und der Ausschuss für bürgerliche Freiheiten haben den Entwurf eines Verhandlungsmandats angenommen (Link).

02. Mai 2023: DMA: Ab dem 2. Mai 2023 sind die Gatekeeper verpflichtet, ihre Gatekeepereigenschaft gegenüber der Europäischen Kommission offen zu legen.

24. März 2023: DA-E: Der Rat der EU hat seine Position zum Gesetzesentwurf beschlossen (Link).

14. März 2023: DA-E: Das Europäische Parlament hat seine Position zum Gesetzesentwurf beschlossen (Link).

02. Februar 2023: VAP-RL-E: Das Parlament hat seine Verhandlungsposition festgelegt und für das Mandat für Verhandlungen mit Rat gestimmt (Link).

01. Februar 2023: DSA: Die Kommission hat Leitlinien bezüglich der Verpflichtung zur Veröffentlichung von Nutzerzahlen herausgegeben (Link).

23. Januar 2023: Der Digital Operation Resilience Act (DORA) ist am 16. Januar 2023 in Kraft getreten. Die Verordnung findet ab dem 17. Januar 2025 Anwendung.

Wir können nicht garantieren, dass die Tabelle jederzeit den aktuellen Verfahrensstand zu allen Gesetzen wiedergibt. Welche Gesetze wir für „wichtig“ halten, haben wir nach subjektiven Kriterien entschieden. Es kann daher sein, dass ein für Sie wichtiges Gesetz nicht enthalten ist.

 

 

 

 

Sie möchten auch ansonsten auf dem Laufenden gehalten werden? Dann melden Sie sich doch für unsere Newsletter an!