News & Blog
EU-Digitalgesetzgebung
Im Rahmen ihrer Digitalstrategie arbeitet die EU aktuell an diversen Gesetzgebungsverfahren. Das gesetzgeberische Programm ist breit gefächert und umfasst zahlreiche Themenbereiche: von der Nutzung nicht personenbezogener Daten über die rechtlichen Anforderungen an Systeme im Finanzsektor bis hin zur Regelung der künstlichen Intelligenz.
Um Ihnen einen besseren Überblick zu geben, haben wir eine Aufstellung über die aktuellen Normen auf EU-Ebene mit Datenschutz- und IT-Sicherheitsbezug erstellt. Die Übersicht umfasst nicht nur die schon geltenden Normen, wie den Digital Service Act (DSA), sondern auch solche, die sich noch im Entwurfsstadium befinden, wie den Cyber Resilience Act (CRA-E). Für jede Richtlinie und jede Verordnung haben wir die Eckdaten zusammengefasst – die Regelungsschwerpunkte, Adressaten, Auswirkungen für Unternehmen, Verhältnis zum Datenschutzrecht und den jeweils aktuellen Stand.
Wir werden die Übersicht außerdem in Zukunft regelmäßig aktualisieren, um Sie über aktuelle Entwicklungen auf dem Laufenden zu halten.
Stand: 30. Oktober 2024
A. Geltende Gesetze
Regelungsschwerpunkte
Die FFoD-VO soll die Datenübertragung von nicht personenbezogenen Daten über nationale Grenzen hinweg innerhalb der Europäischen Union erleichtern. Die Übertragung von Daten wurde zuvor durch das Recht der Mitgliedstaaten geregelt, wodurch mitunter ein Weitergabe von Daten in andere Mitgliedstaaten verhindert wurde. Die Verordnung ist anwendbar auf alle elektronischen Daten, die keine personenbezogenen Daten sind und regelt
- Datenlokalisierungsauflagen (also hoheitliche Bestimmungen zur Verarbeitung von Daten in einem bestimmten Hoheitsgebiet),
- die Verfügbarkeit von Daten für zuständige Behörden und
- die Übertragung von Daten für (berufliche) Nutzer von Datenverarbeitungsdiensten (z.B. Cloud-Diensten).
Adressaten
- Nutzer von Datenverarbeitungsdiensten
- Behörden
Verhältnis zum Datenschutzrecht
Die Free-Flow-of-Data-Verordnung und die DSGVO schließen sich gegenseitig aus, da erstere für elektronische, nicht personenbezogene Daten und letztere für jedwede personenbezogene Daten gilt.
Auswirkungen für Unternehmen / öffentliche Stellen
Die direkten Auswirkungen auf Unternehmen und öffentliche Stellen sind eher gering. Die Verordnung dient der Stärkung eines einheitlichen europäischen Datenraums und enthält zu diesem Zweck allgemeine Vorgaben für die Europäische Kommission und die Mitgliedstaaten. Letztere sollen beispielsweise bestehende Datenlokalisierungsauflagen abbauen. Auf Grundlage der FFoD-VO wird die Kommission außerdem Verhaltensregeln für Anbieter von Cloud-Diensten Verhaltensregeln schaffen , um den Wechsel zwischen (europäischen) Cloud-Anbietern zu erleichtern.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Verordnung vom 14. November 2018 (Link).
Nächster Schritt
Gesetzgebungsverfahren ist abgeschlossen.
Inkrafttreten / Geltung
Die Verordnung gilt seit dem 29. Mai 2019.
Regelungsschwerpunkte
Die Public-Sector-Information Richtlinie soll die Nutzung von öffentlich finanzierten Daten für kommerzielle und nicht kommerzielle Zwecke in der Europäischen Union ermöglichen. Öffentliche Stellen und öffentliche Unternehmen sollen Antragstellern Dokumente im öffentlichen Besitz „in allen vorhandenen Formaten oder Sprachen und, soweit möglich und sinnvoll, auf elektronischem Wege in offenen, maschinenlesbaren, zugänglichen, auffindbaren und weiterverwendbaren Formaten zusammen mit den zugehörigen Metadaten zur Verfügung“ stellen.
Adressaten
- Öffentliche Stellen
- Öffentliches Unternehmen (Unternehmen im mehrheitlichen oder vollen Eigentum des Staates)
Verhältnis zum Datenschutzrecht
Bei Entscheidungen über den Umfang und die Bedingungen der Weiterverwendung von Dokumenten des öffentlichen Sektors, die personenbezogene Daten enthalten, z. B. im Gesundheitssektor, müssen möglicherweise Datenschutz-Folgeabschätzungen gem. Art. 35 DSGVO vorgenommen werden. Es wird auch auf die Anonymisierung von personenbezogenen Daten verwiesen. Die DSGVO gilt unbeschadet der PSI-Richtlinie, da letztere sich nicht auf die Verarbeitung personenbezogener Daten auswirkt.
Auswirkungen für Unternehmen / öffentliche Stellen
Die Umsetzung der PSI-RL stellt für öffentliche Stellen eine große Herausforderung dar. Das gilt insbesondere da eine breite Veröffentlichung von Daten unter Umständen auch in Konflikt mit der DSGVO, Gesetzen zum Schutz des geistigen Eigentums und dem Geschäftsgeheimnisschutz stehen kann. Zusammen mit dem Digital Governance Act entstehen hier aber auch Chancen für Privatunternehmen, die Daten öffentlicher Stellen leichter nutzen und auffinden zu können. Es werden vor allem Wettbewerbsnachteile gegenüber außereuropäischen Unternehmen ausgeglichen, denen Behörden im Einzelfall bereits Zugriff auf öffentliche Daten gewährt hatten.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Richtlinie vom 20. Juni 2019 (Link).
Nächster Schritt
Die Umsetzung der Richtlinie ist in Deutschland bereits erfolgt.
Inkrafttreten / Geltung
Die Richtlinie wurde in Deutschland mit dem Gesetz vom zur Änderung des E-Government-Gesetzes und zur Einführung des Gesetzes für die Nutzung von Daten des öffentlichen Sektors am 22. Juli 2021 umgesetzt.
Regelungsschwerpunkte
Die DI-RL schafft einen harmonisierten Regelungsrahmen für den Vertrieb digitaler Inhalte und Dienstleistungen und ist Teil der europäischen Strategie für die Schaffung eines digitalen Binnenmarkts. Gegenstand der Richtlinie sind Verträge über die Bereitstellung digitaler Inhalte oder Dienstleistungen bei Verbraucherverträgen. Erfasst davon sind beispielsweise der Kauf von Software oder die Inanspruchnahme von Streamingdiensten. Die DI-RL enthält Regelungen zur vertraglichen Leistungspflicht sowie zu den Rechtsfolgen bei Pflichtverletzungen.
Adressaten
- Unternehmer, die digitale Produkte anbieten
- Verbraucher erhalten umfassende Schutzrechte
Verhältnis zum Datenschutzrecht
Als Novum ermöglicht die DIRL (ErwG 24, Art. 3 Abs. 1 DIRL) als Gegenleistung für das digitale Produkt nunmehr statt der Zahlung von Geld auch die Zurverfügungstellung von personenbezogenen Daten, um diesem bereits in der Praxis etablierten Modell nun auch rechtlich Rechnung zu tragen. Damit tritt die DIRL aber in Spannung mit dem Grundgedanken der DSGVO, wonach der Schutz personenbezogener Daten im Vordergrund steht und hierfür dem Betroffenen Abwehrrechte bereitgestellt werden. Bei einem Widerspruch zwischen Bestimmungen der DIRL und der DSGVO ist letztere vorrangig (Art. 3 Abs. 8 DIRL). Die DSK hat sich im Rahmen eines Beschlusses mit den Auswirkungen der neuen Verbrauchervorschriften im BGB auf das Datenschutzrecht befasst und weist insbesondere darauf hin, dass auch bei einer Zurverfügungstellung von personenbezogenen Daten im Rahmen einer Vertragsleistung weiterhin die datenschutzrechtlichen Grundsätze anwendbar sind. So ist weiterhin eine Rechtsgrundlage für die Datenverarbeitung erforderlich und der Einsatz von Cookies richtet sich nach wie vor nach den Anforderungen von § 25 TTDSG.
Auswirkungen für Unternehmen / öffentliche Stellen
Durch die Umsetzung der Richtlinie in deutsches Recht und die entsprechenden Ergänzungen im BGB wurden in den §§ 327 ff. BGB weitere verbraucherschützende Vorschriften zu Verträgen über digitale Inhalte und Dienstleistungen eingeführt. Unternehmen müssen daher insbesondere zusätzliche Vorgaben zur Vertragsgestaltung und zum Gewährleistungsrecht beachten.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Verordnung vom 20. Mai 2019 (Link).
Nächster Schritt
Die Umsetzung der Richtlinie ist in Deutschland bereits erfolgt.
Inkrafttreten / Geltung
In Deutschland wurde am 30. Juni 2021 das Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen verkündet. Das Gesetz trat am 1. Januar 2022 in Kraft.
Regelungsschwerpunkte
Mit der Warenkaufrichtlinie bezweckt der Europäische Gesetzgeber ein höheres Verbraucherschutzniveau. Die WK-RL löst die Verbrauchsgüterkaufrichtlinie ab und beinhaltet im Vergleich strengere Harmonisierungsvorschriften, um eine Fragmentierung der Vorgaben zwischen den einzelnen Mitgliedstaaten zu verhindern. Die WK-RL gilt zudem als Ergänzung zu der am gleichen Tag erlassenen DI-RL. Die WK-RL erfasst einerseits Kaufverträge über Waren und andererseits Kaufverträge über Waren mit digitalen Elementen, womit körperliche Gegenstände gemeint sind, die digitale Inhalte enthalten oder mit diesen verbunden sind, sodass die Waren ihre Funktion ohne diese digitalen Inhalte nicht erfüllen können. Hierzu zählt beispielsweise der Kauf eines Computers oder Smartphones inklusive Software.
Adressaten
- Unternehmer, die digitale Produkte anbieten
- Verbraucher erhalten umfassende Schutzrechte
Verhältnis zum Datenschutzrecht
Die WK-RL enthält keinen ausdrücklichen Regelungen zum Datenschutz.
Auswirkungen für Unternehmen / öffentliche Stellen
Durch die WK-RL wurden die § 434 BGB und §§ 474 ff. BGB geändert. Die kaufrechtlichen Regelungen wurden teilweise zugunsten von Verbrauchern verschärft, sodass Unternehmer u.a. verschärfte Formvorschriften bei negativen Beschaffenheitsvereinbarungen treffen und die Beweislastumkehr bei einem Mangel von 6 Monate auf 1 Jahr verlängert wird. Bei Sachen mit digitalen Elementen wird Unternehmern u.a. eine Aktualisierungspflicht auferlegt, wonach sie dem Verbraucher Updates bereitstellen müssen.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Richtlinie vom 20. Mai 2019 (Link).
Nächster Schritt
Die Umsetzung der Richtlinie ist in Deutschland bereits erfolgt.
Inkrafttreten / Geltung
In Deutschland wurde am 30. Juni 2021 das Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags verkündet und trat am 1. Januar 2022 in Kraft.
Regelungsschwerpunkte
Mit der NIS-2-RLsoll den wachsenden Bedrohungen durch Cyberangriffe Rechnung getragen werden. Sie ersetzt die NIS-1-RL und weist gegenüber dieser einen breiteren Anwendungsbereich und höhere Harmonisierungsvorgaben auf, um ein einheitliches Niveau der Cyberresilienz im europäischen Binnenmarkt sicherzustellen. Die NIS-2-RL verpflichtet die Mitgliedstaaten zum Erlass einer nationalen Cybersicherheitsstrategie und Schaffung eines europaweiten Netzwerkes zum Management von Cybersicherheitsvorfällen. Weiterhin legt sie öffentlichen und privaten Einrichtungen Vorgaben und Pflichten zum Austausch von Cybersicherheitsinformationen auf und fordert die Implementierung eines Cybersicherheitsrisikomanagements.
Adressaten
- Mitgliedsstaaten
- Öffentliche und private Einrichtungen (z.B. Anbieter von Kommunikationsnetzen und -diensten, Domainregistrierungsdienste, Unternehmen aus dem Energiesektor, Anbieter digitaler Dienste)
Verhältnis zum Datenschutzrecht
Die NIS-2-RL lässt die DSGVO unberührt. Sie verweist an mehreren Stellen auf die Regelungen der DSGVO zum Schutz personenbezogener Daten. Beispielsweise sollen beim Einsatz innovativer Technologien und KI die Datenschutzgrundsätze sowie die Grundsätze von Privacy by Design und Default gewahrt werden. In ErwG 121 werden zudem verschiedene Rechtsgrundlagen des Art. 6 DSGVO für die Verarbeitung von personenbezogenen Daten zu Sicherheitszwecken genannt.
Auswirkungen für Unternehmen / öffentliche Stellen
Für die Anwendbarkeit der Richtlinie ist zunächst noch eine Umsetzung ins nationale Recht erforderlich.
Den in der Richtlinie adressierten Einrichtungen werden Berichtspflichten sowie Vorgaben für ein Cybersicherheitsrisikomanagement auferlegt. Dazu müssen Einrichtungen technische, operative und organisatorische Maßnahmen ergreifen, um Risiken für die Sicherheit für Netz- und Informationssysteme zu minimieren. Dazu gehören unter anderem Sicherheitskonzepte, Schulungen und Einhaltung von Meldepflichten bei Sicherheitsvorfällen.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Richtlinie vom 14. Dezember 2022 (Link).
Nächster Schritt
Umsetzung der Vorgaben in nationales Recht.
Inkrafttreten / Geltung
Die Richtlinie ist am 16. Januar 2023 in Kraft getreten.
Die Mitgliedstaaten müssen die Vorschriften der Richtlinie bis spätestens Oktober 2024 in nationales Recht umsetzen.
Das Bundeskabinett hat am 24. Juli 2024 einen Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) beschlossen (Link).
Regelungsschwerpunkte
Der DMA soll den Betreibern zentraler digitaler Plattformen (den sogenannten Gatekeepern) zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen auferlegen. Die Pflichten der Gatekeeper orientieren sich dabei stark an laufenden oder bereits abgeschlossenen Verfahren der Europäischen Kartellbehörden.
Einen detaillierten Überblick zum DMA finden Sie hier auf unserer Website.
Adressaten
- Betreiber von systemrelevanten Plattformen (Gatekeeper)
- Gewerbliche Nutzer und Wettbewerber der Gatekeeper
Verhältnis zum Datenschutzrecht
Der DMA ändert nichts an den Vorgaben der DSGVO. Aufgrund des DMA werden Gatekeeper aber dazu verpflichtet ein Verbraucher-Profiling gegenüber den Datenschutzaufsichtsbehörden offenzulegen. Zudem werden Gatekeeper u.a. dazu verpflichtet, gewerblichen Nutzern bestimmte Daten zur Nutzung einer Plattform zur Verfügung zu stellen, was auch einen Austausch personenbezogener Daten betreffen könnte.
Auswirkungen für Unternehmen / öffentliche Stellen
Der DMA wird langfristig dazu führen, dass die Europäische Kommission härter und öfter gegen digitale Unternehmen vorgehen wird, die ihre marktbeherrschende Stellung wettbewerbswidrig ausnutzen. Durch den DMA wird es für die Kommission erheblich leichter Bußgelder zu erlassen, da nachdem ein Unternehmen als Gatekeeper benannt wurde, die Erforderlichkeit einer individuellen Bewertung der Marktposition im Einzelfall entfällt.
Gleichzeitig wird der DMA den Zugang zu Märkten wesentlich erleichtern, da viele der Pflichten der Gatekeeper darauf abzielen vorhandene Märkte weiter zu öffnen (z.B. App Stores).
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Verordnung vom 14. September 2022 (Link).
Nächster Schritt
Gesetzgebungsverfahren abgeschlossen.
Inkrafttreten / Geltung
Der DMA ist am 1. November 2022 in Kraft treten.
Seit dem 2. Mai 2023 sind die Gatekeeper verpflichtet, ihre Gatekeepereigenschaft gegenüber der Europäischen Kommission offen zu legen.
Die ersten Gatekeeper wurden von der Kommission am 6. September 2023 benannt: Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft. Diese benannten Gatekeeper müssen seit dem 7. März 2024 den Anforderungen des DMA nachkommen, dadie zentralen Pflichten erst 6 Monate nach Benennung als Gatekeeper bestehen.
Regelungsschwerpunkte
Der DSA enthält regulatorische Vorgaben für die Betreiber von Online-Plattformen und -Marktplätzen im Hinblick auf rechtswidrige Inhalte und ergänzt insoweit die E-Commerce-Richtlinie (RL 2002/31/EG), um mit den neuen technischen Gegebenheiten des digitalen Alltags Schritt halten zu können. Zur Sicherstellung eines einheitlichen Regelungsstandards hat sich der Europäische Gesetzgeber für das Rechtsinstrument der Verordnung entschieden, die mit ihrem Inkrafttreten unmittelbare Geltung in allen Mitgliedstaaten erlangt. Insbesondere den großen Tech-Konzernen, die Dienste für Nutzer innerhalb der Europäischen Union erbringen, werden mit dem DSA eine Vielzahl von Pflichten auferlegt, um effizienter gegen rechtswidrige Inhalte vorzugehen sowie Nutzer besser zu schützen und zu informieren.
Einen detaillierten Überblick zum DSA finden Sie hier auf unserer Website.
Adressaten
- Vermittlungsdienste (Access-, Caching- und Hosting-Provider)
- Soziale Netzwerke
- Online-Marktplätze
- Suchmaschinen
Verhältnis zum Datenschutzrecht
Der DSA lässt die DSGVO unberührt. Das Verbot von Dark Patterns, wonach Nutzer nicht durch manipulative Gestaltungen in ihrer Entscheidung beeinflusst werden dürfen, wird sich allerdings auf die Gestaltung von Cookie-Bannern auswirken.
Auswirkungen für Unternehmen / öffentliche Stellen
Der DSA sieht ein abgestuftes Pflichtensystem vor, abhängig von der Art des Dienstes und der Anzahl der Nutzer. Auf die Adressaten kommt ein erhöhter Dokumentations- und Verwaltungsaufwand zu. Beispielsweise müssen AGB und Community Standards angepasst sowie eine Kontaktstelle zur elektronischen Kommunikation mit Behörden und Nutzern eingerichtet werden. Hostingdiensteanbieter und Online-Plattformen müssen zudem Melde- und Abhilfeverfahren einführen, damit sie durch Nutzer und Dritte über rechtswidrige Inhalte informiert werden können. Letztere müssen darüber hinaus ein internes Beschwerdemanagementsystem auf der Plattform bereitstellen, damit Nutzer sich gegen unberechtigte Löschungen und Sperrungen von Inhalten wehren können. Zudem müssen Plattformen transparentere Informationen über Werbung bereitstellen. Sehr große Online-Plattformen mit mehr als 45 Mio. monatlichen Nutzern sind u.a. dazu verpflichtet, jährliche Risikoanalysen durchzuführen.
Bei Nichtumsetzung der Maßnahmen oder Verstoß gegen den DSA drohen Unternehmen Bußgeldern bis zu 6 % des Vorjahresumsatzes.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Verordnung vom 19. Oktober 2022 (Link).
Nächster Schritt
Gesetzgebungsverfahren ist abgeschlossen.
Inkrafttreten / Geltung
Die Verordnung gilt seit dem 17. Februar 2024.
Die Richtlinie wird in Deutschland mit dem Digitale-Dienste-Gesetz umgesetzt, welches am 14. Mai 2024 in Kraft getreten ist.
Regelungsschwerpunkte
Durch den DGA soll der Datenaustausch zwischen öffentlichen Sektoren und Mitgliedstaaten der Europäischen Union gefördert werden. Vor allem um Datensätze, die vom öffentlichen Sektor im Rahmen ihrer Tätigkeit erhoben werden, sollen leichter und vertraulich verfügbar gemacht werden können.
Adressaten
- Öffentliche Stellen
- Datenvermittlungsdienste (z.B. Datenmarktplätze, Anbieter von Datenbeständen auf Lizenzbasis)
- Datenaltruistische Organisationen (registrierte Stellen über die eine einwilligungsbasierte, gemeinsame Nutzung von Daten z.B. im Bereich der Forschung erleichtern sollen)
Verhältnis zum Datenschutzrecht
Der DGA enthält keine Privilegierung im Hinblick auf die Vorgaben der DSGVO. Im Gegenteil: Öffentliche Stellen können, wenn sie Daten bereitstellen, besondere Anforderungen zum Schutz dieser Daten festlegen. Eine öffentliche Stelle kann z.B. vorschreiben, dass bereitgestellte personenbezogene Daten nur anonymisiert weiterverwendet werden dürfen.
Aus Perspektive des Datenschutzes ist außerdem hervorzuheben, dass die Europäische Kommission im Kontext des DGA ein modulares Einwilligungsformular zur Erhebung von Daten auf der Grundlage des Datenaltruismus bereitstellen wird (Art. 25 Abs. 1 DGA). Dieses Formular soll auch die Anforderungen der DSGVO miterfüllen. Es erscheint denkbar, dass dieses Formular auch in anderen Fällen als von der Kommission genehmigte Einwilligungserklärung zum Einsatz kommen könnte.
Auswirkungen für Unternehmen / öffentliche Stellen
Die Verordnung wird vor allem die Verfügbarkeit von Daten öffentlicher Stellen verbessern. Besonders relevant dürfte in diesem Zusammenhang die von den Mitgliedsstaaten einzurichtenden allgemeinen Informationsstellen sein, die nicht nur Anträge auf Weiterverwendung von öffentlichen Datensätzen entgegennehmen sollen, sondern nach Vorgaben des DGA auch eine Bestandsliste mit allen verfügbaren Datenressourcen bereitstellen werden. Hierdurch sollte es Unternehmen erheblich erleichtert werden, potenziell relevante und verfügbare Datensätze zu finden und nutzbar zu machen.
Interessant dürfte der DGA daher vor allem für Stellen sein, die mit Gesundheitsdaten, Mobilitätsdaten, Umweltdaten und landwirtschaftlichen Daten arbeiten. Gerade im Bereich der Forschung könnte der flexible und einwilligungsbasierte Austausch von Daten durch datenaltruistische Organisationen erheblich erleichtert werden.
Letzter Stand
Final
Letzte veröffentlichte Fassung
Finaler Text der Verordnung vom 30. Mai 2022 (Link).
Nächster Schritt
Gesetzgebungsverfahren ist abgeschlossen.
Inkrafttreten / Geltung
Die Verordnung gilt seit dem 24. September 2023.
B. Noch nicht geltende Gesetze
Regelungsschwerpunkte
Der DA soll den Zugang zu und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden. Umfasst sind alle Datenarten, also nicht nur personenbezogene Daten. Private und Unternehmen sollen vor allem Zugang zu den Daten erhalten, die bei der Nutzung von Produkten und Diensten anfallen. Sie sollen auch berechtigt werden, die Weitergabe dieser Daten an Dritte verlangen zu können. Darüber hinaus soll der DA den Wechsel zwischen Diensten regeln, die Daten verarbeiten, z.B. wenn ein Kunde eines Cloud-Anbieters zu einem anderen Cloud-Anbieter wechseln möchte. Da ein solcher Anspruch dazu führt, dass vorhandene Datenverarbeitungsdienste miteinander kompatibel sein müssen, regelt der DA schließlich Anforderungen an die Interoperabilität von Daten.
Adressaten
- Nutzer von Produkten
- Dateninhaber
- Unternehmen
- Öffentliche Stellen
Verhältnis zum Datenschutzrecht
Es besteht ein gewisses Spannungsverhältnis. Während die DSGVO einen möglichst umfassenden Schutz personenbezogener Daten sicherstellen soll, ist es das Ziel des DA, einen fairen Datenzugang und eine faire Datennutzung sicherzustellen. Der DA soll die DSGVO und die ePrivacy-Richtlinie ergänzen und darf den Datenschutz nicht schwächen (ErwG 7 DA). Beim Zugang / der Weiterleitung personenbezogener Daten sollen die Grundsätze der Datenminimierung und Datenschutz durch Technikgestaltung / datenschutzfreundliche Voreinstellungen sichergestellt werden. Ob sich dies in der Praxis umsetzen lässt, wird von den Datenschutzbehörden (bisher) eher kritisch gesehen.
Auswirkungen für Unternehmen / öffentliche Stellen
Aus dem DA folgen weitgehende Pflichten insbesondere für Unternehmen, den Zugang zu Daten der Nutzer zu ermöglichen und diese auf Wunsch des Nutzers an Dritte weiterzugeben. Daraus folgt, dass Unternehmen je nach Art des Produkts / der Dienstleistung ggf. erhebliche Anpassungen vornehmen müssen, um den Datenzugang / die Datenweitergabe sowie insbesondere die Interoperabilität von Daten sicherzustellen. Der derzeitige Entwurf sieht vor, dass im Fall der Zuwiderhandlung gegen den DA Sanktionen verhängt werden können, die „wirksam, verhältnismäßig und abschreckend“ sind.
Letzter Stand
Final.
Nächster Schritt
Gesetzgebungsverfahren ist abgeschlossen.
Inkrafttreten / Geltung
Die Verordnung ist am 11. Januar 2024 in Kraft getreten. Sie findet ab dem 12. September 2025 Anwendung.
Regelungsschwerpunkte
Die ePrivacy-VO-E soll die bestehende ePrivacy-Richtlinie ersetzen, auf der die deutschen Regelungen zum Telekommunikations- und Telemedienrecht (TKG und TTDSG) basieren. Insbesondere soll sie
- die Vertraulichkeit der Kommunikation (Fernmeldegeheimnis),
- die Verarbeitung von Kommunikationsdaten (bisher Verkehrsdaten),
- das Speichern und Auslesen von Informationen auf Endgeräten (z.B. Cookies),
- die Anzeige von Rufnummern und Endnutzerverzeichnissen und
- die Direktwerbung mittels elektronischer Kommunikation regeln.
Die Verhandlungen zwischen und innerhalb der verschiedenen Organe der Europäischen Union (Rat, Parlament und Kommission) dauern bereits fünf Jahre an.
Adressaten
- Kommunikationsdienstleister
- Website- / App-Betreiber
- Unternehmen (v.a. im Konetxt des Direktmarketings)
Verhältnis zum Datenschutzrecht
Soweit Verpflichtungen aus der ePrivacy-VO-E bestehen, gelten keine zusätzlichen Pflichten aus der DSGVO (Art. 95 DSGVO i.V.m Art. 27 Nr. 2 ePrivacy-VO-E).
Auswirkungen für Unternehmen / öffentliche Stellen
Bisher ist weitgehend unklar, wie die Regelungen der ePrivacy-VO-E final aussehen werden, da die Fassung des Europäischen Rats und die des Parlaments zum Teil grundlegend voneinander abweichen. Die Regelungen der ePrivacy-VO-E werden sich aber voraussichtlich erheblich auf das Marketing durch Unternehmen und auch das Tracking im Internet oder Apps auswirken. Hier kann es im Vergleich zur bestehenden Rechtslage zu neuen oder geänderten Voraussetzungen kommen.
Letzter Stand
Beginn der Trilogverhandlungen im Mai 2021.
Letzte veröffentlichte Fassung
Entwurf des Rats der Europäischen Union vom 10. Februar 2021 (Link).
Nächster Schritt
Finalisierung des Gesetzestextes.
Inkrafttreten / Geltung
Nach Inkrafttreten der Verordnung im Anschluss an die Trilogverhandlungen ist derzeit noch eine 24-monatige Übergangsphase bis zur Geltung vorgesehen. Die Anforderungen der Verordnung werden daher, wenn überhaupt, erst 2025 relevant werden.
Regelungsschwerpunkte
Durch die Richtlinie soll die Position von Arbeitnehmern und Selbstständigen verbessert werden, die ihre Arbeitskraft über digitale Plattformen anbieten. Neben Regelung zur Vermeidung von Scheinselbstständigkeit enthält der Richtlinienentwurf vor allem auch einige Vorgaben bezüglich des Datenschutzes von Beschäftigten. So sollen besondere Vorgaben in Bezug auf Transparenz, Betroffenenrechte und Rechenschaftspflichten gelten, wenn die Arbeit der Beschäftigten mit Hilfe von Algorithmen organisiert wird.
Eine ausführliche Zusammenfassung des ursprünglichen Entwurfs der Kommission finden Sie hier auf unserer Website.
Adressaten
Die Richtlinie soll nicht pauschal für alle Plattformbetreiber gelten, sondern nur für Betreiber sogenannter digitaler Arbeitsplattformen („digital labour platforms“). Gemeint sind damit Plattformen über die die Arbeit von Arbeitnehmern bzw. Selbstständigen auf Anfrage Dritter (der eigentlichen Leistungsempfänger) organisiert wird. In Erwägungsgrund 20 der VA-RLwerden als zu vermittelnde Leistungen zum Beispiel der Transport von Waren oder Personen genannt.
Verhältnis zum Datenschutzrecht
Unter Bezugnahme auf Art. 88 DSGVO in Erwägungsgrund 38 der VAP-RL enthält die Richtlinie in Kapitel III einige spezielle Vorgaben zur Verarbeitung von Beschäftigtendaten durch Systeme, die das Verhalten automatisiert überwachen und / oder Entscheidungen im Kontext des Beschäftigung- / Nutzungsverhältnisses treffen oder unterstützen.
Auswirkungen für Unternehmen / öffentliche Stellen
Für die meisten Unternehmen hat die Richtlinie keine Auswirkungen. Für digitale Arbeitsplattformen könnte die Richtlinie aber erhebliche Konsequenzen haben.
Im Kontext der nationalen Umsetzung der Richtlinie stellt sich zudem die Frage, ob der deutsche Gesetzgeber, allgemein verbindliche Vorgaben für die automatisierte Verarbeitung von Beschäftigtendaten schaffen wird. Vor dem Hintergrund der bereits im Koalitionsvertrag angekündigten Konkretisierung des Beschäftigtendatenschutzes, erscheint das zumindest möglich.
Letzter Stand
Final.
Letzte veröffentlichte Fassung
Text der Richtlinie vom 2. Oktober 2024 (Link).
Nächster Schritt
Gesetzgebungsverfahren ist abgeschlossen.
Inkrafttreten / Geltung
Sobald die Richtlinie zeitnah im Amtsblatt der EU veröffentlicht worden ist, haben die Mitgliedstaaten zwei Jahre Zeit, um die Bestimmungen national umzusetzen.
Regelungsschwerpunkte
Mit dem CRA sollen horizontale Sicherheitsanforderungen für Produkte mit digitalen Elementen eingeführt und der legislative Flickenteppich auf dem Gebiet der Cybersicherheit beseitigt werden. Dadurch sollen Cybersicherheitsrisiken minimiert und eine sichere Nutzung für Unternehmer und Verbraucher im europäischen Binnenmarkt gewährleistet werden.
Einen detaillierten Überblick zum CRA finden Sie hier auf unserer Website.
Adressaten
- Hersteller
- Importeure
- Händler
Verhältnis zum Datenschutzrecht
Der CRA lässt die DSGVO in ihrem Regelungsgehalt unberührt, sodass beide Gesetze parallel anwendbar sein können. Ziel der Verordnung ist allerdings auch, die Sicherheit personenbezogener Daten zu erhöhen, indem die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Produkten mit digitalen Elementen geschützt werden.
Auswirkungen für Unternehmen / öffentliche Stellen
Soweit es sich um ein Produkt mit digitalen Elementen (Software, Hardware, Einzelkomponenten) handelt, werden Herstellern, Händlern und Importeuren eine Vielzahl von Pflichten zur Umsetzung von Cybersicherheitsanforderungen auferlegt (u.a. Pflicht zur Risiko- und Konformitätsbewertung sowie Prüf-, Nachweis- und Dokumentationspflichten). Bei Nichtumsetzung dieser Pflichten können Marktüberwachungsbehörden je nach Verstoß und Akteur Bußgelder bis zu 15 Millionen Euro oder 2,5 % des weltweiten Vorjahresumsatzes verhängen.
Letztlich entsteht für Hersteller von Produkten mit digitalen Elementen ein hoher wirtschaftlicher und bürokratischer Mehraufwand im Entwicklungsprozess.
Letzter Stand
Final.
Letzte veröffentlichte Fassung
Finaler Text vom 12. März 2024 (Link).
Nächster Schritt
Gesetzgebungsverfahren ist abgeschlossen.
Inkrafttreten / Geltung
Der CRA soll noch in 2024 in Kraft treten; 20 Tage nach Veröffentlichung im Amtsblatt der EU. Nach Inkrafttreten gilt eine Übergangsfrist von 36 Monaten, somit bis 2027. Spätestens dann müssen auf dem Markt vertriebene Produkte die neuen Cybersicherheitsanforderungen erfüllen und dies mit einem CE-Kennzeichen dokumentieren. Andere Verpflichtungen des CRA wie zum Beispiel die Meldepflicht der Hersteller bei Kenntnis von ausgenutzten IT-Schwachstellen werden bereits in 21 Monaten gelten.
Regelungsschwerpunkte
Der DORA beinhaltet vereinheitlicht rechtliche Anforderungen für die Sicherheit der Netz- und Informationssysteme von Unternehmen im Finanzsektor, um die wachsende Gefahr von Cyberbedrohungen zu minimieren.
Einen detaillierten Überblick zum DORA finden Sie hier auf unserer Website.
Adressaten
- Kreditinstitute
- Zahlungsinstitute
- Kontoinformationsdienstleister
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen
- Versicherungs- und Rückversicherungsunternehmen
- Sonstige Finanzunternehmen
- IKT-Drittdienstleister (z.B. Cloud-Computing-Dienste, Datenanalysedienste, Softwareanbieter, Anbieter von Rechenzentrumsdienstleistungen)
Verhältnis zum Datenschutzrecht
An mehreren Stellen in der Verordnung wird auf datenschutzrechtliche Regelungen Bezug genommen. Beispielsweise soll der Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Finanzunternehmen im Einklang mit der DSGVO erfolgen. Weiterhin müssen die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung sowie die Europäische Wertpapier- und Marktaufsichtsbehörde (zusammen „Europäische Aufsichtsbehörden“ oder „ESA“ genannt) und sonstige zuständige Behörden bei der Verarbeitung von personenbezogenen Daten die Vorschriften der DSGVO oder der Verordnung (EU) 2018/1725 beachten. Zudem müssen Verträge zwischen Finanzunternehmen und IKT-Drittdienstleistern gemäß Art. 30 Abs 2 lit. c) DORA Bestimmungen zum Schutz personenbezogener Daten enthalten. Praxisrelevant ist außerdem, dass gemäß Art. 28 Abs. 7 lit. c) DORA Vereinbarungen über die Nutzung von Diensten zu kündigen sind, wenn der Drittanbieter nachweisliche Schwächen beim Datenschutz aufweist.
Auswirkungen für Unternehmen / öffentliche Stellen
Mit dem DORA werden Finanzunternehmen eine Vielzahl von Pflichten im Bereich des Risikomanagements auferlegt. Beispielsweise müssen sie Maßnahmen für ein solides Management des IKT-Drittparteienrisikos vornehmen und dies, abhängig von der Unternehmensgröße, mindestens jährlich dokumentieren und überprüfen. Insofern kommt auf Finanzunternehmen ein höherer Verwaltungs-, Dokumentations- und Prüfungsaufwand zu.
Letzter Stand
Final.
Letzte veröffentlichte Fassung
Text der Verordnung vom 14. Dezember 2022 (Link).
Nächster Schritt
Gesetzgebungsverfahren ist abgeschlossen.
Inkrafttreten / Geltung
Die Verordnung ist am 16. Januar 2023 in Kraft getreten. Sie findet ab dem 17. Januar 2025 Anwendung.
Regelungsschwerpunkte
Die KI-VO enthält folgende Schwerpunkte:
- Rahmenbedingungen für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von Systemen der künstlichen Intelligenz
- Verbot bestimmter Praktiken von KI-Systemen
- besondere Anforderungen an Hochrisiko-KI-Systeme und für Betreiber dieser Systeme
- Festlegung von Transparenzvorschriften für KI-Systeme
Anwendungen werden in vier Gruppen entsprechend ihrer Risiken eingeteilt:
- KI-Systeme mit minimalem Risiko
- KI-Systeme mit geringem Risiko
- Hochrisiko-KI-Systeme
- verbotene KI-Systeme
Schwerpunktmäßig werden Hochrisiko-KI-Systeme durch die KI-VO reguliert. An sie werden hohe technische und organisatorische Standards geknüpft. So soll im Fall von Hochrisiko-KI-Systemen bspw. ein Risikomanagementsystem eingerichtet, dokumentiert und aufrechterhalten werden. Außerdem muss eine menschliche Aufsicht eingerichtet und Transparenz- und Instruktionspflichten implementiert werden Der Begriff der künstlichen Intelligenz ist dabei bewusst technologieneutral gehalten, damit die Verordnung auch zukunftstauglich ist und der rasanten Entwicklung in der KI-Technologie und -Markt Rechnung trägt.
Als Sanktionen können Geldbußen von bis zu 30 Mio. Euro bzw. 6 % des Vorjahresbruttoumsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist, verhängt werden.
Adressaten
- Anbieter (z. B. Entwickler) von KI-Systemen (können privat oder öffentlich sein)
- Nutzer von KI-Systemen
- Händler
Verhältnis zum Datenschutzrecht
Die DSGVO bleibt nach der Aussage des KI-VO unberührt und ergänzt Regelungen für Hochrisiko-KI- und Fernidentifizierungssysteme. Bspw. werden „modernste Sicherheits- und Datenschutzmaßnahmen“ insoweit gefordert, zu denen Pseudonymisierung und Verschlüsselung gehören sollen, „wenn der erfolgte Zweck durch eine Anonymisierung erheblich beeinträchtigt würde“. Nutzer von Hochrisiko-KI-Systemen sollen zudem Informationen, die Ihnen nach Art. 29 KI-VO bereitgestellt werden, verwenden, um eine ggf. erforderlich DSFA (Art. 35 DSGVO) durchzuführen. Dies führt zu einer erheblichen Aufwertung von Datenschutzinformationen, deren Qualität unserer Erfahrung nach sehr unterschiedlich sein kann. Die DSGVO wird also beim Einsatz von KI-Systemen zukünftig auch eine wichtige Rolle spielen.
Auswirkungen für Unternehmen / öffentliche Stellen
Gerade beim Einsatz von Hochrisiko-KI-Systemen sollten Unternehmen den Beurteilungs- und Dokumentationsaufwand nicht unterschätzen. Ein zentrales Element ist insoweit die Durchführung einer Konformitätsbewertung und -erklärung für Anbieter von KI-Systemen. Wichtig ist schließlich auch, dass Anbieter von KI-Systemen in einem Drittland nicht von den Anforderungen des KI-VO befreit sind, sofern deren Leistungen in der Europäischen Union angeboten werden. Gerade mit Blick auf die möglichen Geldbußen ist dies von höherer Relevanz.
Letzter Stand
Final.
Nächster Schritt
Gesetzgebungsverfahren ist abgeschlossen.
Inkrafttreten / Geltung
Die Verordnung tritt am 1. August 2024 in Kraft. Allerdings sind Umsetzungsfristen von 6, 12, 24 und 36 Monaten nach dessen Inkrafttreten vorgesehen. Kapitel I und II gelten ab dem 2. Februar 2025.
Regelungsschwerpunkte
Die Richtlinie über KI-Haftung enthält Regelungen zur Kausalitätsvermutung und den Zugang zu Beweismitteln der Anbieter und soll den Schutz von Verbrauchern sicherstellen, ohne dabei technologische Innovationen zu konterkarieren. Dabei wird insbesondere dem Umstand Rechnung getragen, dass es Verbrauchern häufig nicht möglich sein wird, dem Schädiger ein Verschulden bei dem Einsatz von KI nachzuweisen und Schadensersatzansprüche geltend zu machen.
Adressaten
- Anbieter, Entwickler und Nutzer von KI-Systemen
Verhältnis zum Datenschutzrecht
Die Richtlinie über KI-Haftung enthält keinen ausdrücklichen Regelungen zum Datenschutz. Allerdings bezweckt die Richtlinie eine Erleichterung der Beweislast für die Opfer von durch KI-Systeme verursachten Schäden im Hinblick auf Haftungsansprüche aus nationalem oder europäischem Recht. Insofern dürfte die Richtlinie diesbezüglich auch Auswirkungen auf die Beweislast bei Schadensersatzansprüchen nach Art. 82 DSGVO haben, wenn den Betroffenen Schäden im Rahmen der Datenverarbeitungen durch KI-Systeme entstehen.
Auswirkungen für Unternehmen / öffentliche Stellen
Für Verbraucher wird die Beweislast erleichtert, sodass bereits der Nachweis über die Nichteinhaltung einer für den Schaden maßgeblichen Verpflichtung und über das Bestehen eines ursächlichen Zusammenhangs zur KI-Leistung ausreicht. In diesem Zusammenhang können Verbraucher z.B. die Offenlegung von Informationen über Hochrisiko-KI-Systeme vor Gericht beantragen. Der Schädiger kann diese Vermutung allerdings widerlegen.
Letzter Stand
Am 28. September 2022 hat die Europäische Kommission den Richtlinienvorschlag erlassen.
Letzte veröffentlichte Fassung
Text der Richtlinie vom 28. September 2022 (Link).
Nächster Schritt
Annahme durch das Europäische Parlament und den Europäischen Rat.
Inkrafttreten / Geltung
Die Richtlinie tritt 20 Tage nach Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die Mitgliedstaaten müssen die Vorschriften der Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen.
Regelungsschwerpunkte
Die e-Evidence-VO regelt die Voraussetzungen, gemäß derer EU-Justizbehörden länderübergreifende Herausgabe- und Sicherungsanordnungen gegenüber Anbietern von Diensten der Informationsgesellschaft und Telekommunikationsdiensten erlassen dürfen. Unter Berufung auf die Verordnung kann dann z.B. eine ungarische Strafverfolgungsbehörde gegenüber einem deutschen Internetprovider die Herausgabe von Daten zum Zwecke der Strafverfolgung anordnen, ohne die deutschen Behörden am Verfahren zu beteiligen.
Herausgabeanordnungen können unter anderem die Identität des Inhabers einer IP-Adresse, Kommunikationsinhalte oder Verkehrsdaten (wann, wie und mit wem wurde kommuniziert) betreffen.
Adressaten
Justizbehörden der EU-Mitgliedstaaten
Unternehmen, die Telekommunikations- und Internetdienste in der EU anbieten, d.h.:
- Klassische Anbieter von TK-Diensten (Telekom, Vodafone, Telefonica, etc.),
- Online-Kommunikationsdienste, wie z.B. Messaging-, Internet- und Videotelefoniedienste sowie E-Mail-Dienste,
- Anbieter von Domainnamen und IP-Adressen,
- Anbieter von Diensten der Informationsgesellschaft (der Begriff kann relativ weit verstanden werden darunter können nach Rechtsprechung des EuGH z.B. Soziale Medien oder Vermittlungsdienste wie Airbnb fallen) über die
- Nutzer kommunizieren können oder
- Daten verarbeiten lassen oder speichern.
Verhältnis zum Datenschutzrecht
Aus der e-Evidence-VO folgen für die o.g. Unternehmen direkte gesetzliche Pflichten, die auch die Verarbeitung personenbezogener Daten betreffen. Sowohl die Diensteanbieter als auch die Justizbehörden müssen darauf achten, dass eine Verarbeitung personenbezogener Daten nur erfolgt, wenn die Vorgaben der Verordnung eingehalten werden.
Auswirkungen für Unternehmen/ öffentliche Stellen
Unternehmen müssen beachten, dass ihnen Sanktionen drohen, wenn sie die angeforderten Informationen den Justizbehörden nicht zur Verfügung stellen. Wegen der in Einzelfällen sehr kurzen Frist zur Herausgabe (in der Regel innerhalb von 10 Tagen, im Notfall innerhalb von 8 Stunden), sollten Unternehmen sich bereits im Vorfeld auf mögliche Herausgabeanordnungen vorbereiten. Einer zu Unrecht verweigerten Herausgabe kann Bußgelder in Höhe von bis zu 2 % des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden. Eine unberechtigte Herausgabe kann aber ebenfalls einen Verstoß gegen die DSGVO darstellen und mit einem Bußgeld von bis zu 4 % des weltweit erzielten Jahresumsatzes geahndet werden.
Letzter Stand
Final.
Letzte veröffentlichte Fassung
Finaler Text der Verordnung vom 12. Juli 2023 (Link).
Nächster Schritt
Gesetzgebungsverfahren ist abgeschlossen.
Inkrafttreten / Geltung
Die Verordnung ist am 18. August 2023 in Kraft getreten. Es ist eine Übergangszeit von drei Jahren vorgesehen. Die Verordnung wird somit ab dem 18. August 2026 verbindlich gelten.
Regelungsschwerpunkte
Der Cyber Solidarity Act soll die koordinierte Erkennung, Vorsorge und Bewältigung von Cybersicherheitsbedrohungen und -vorfällen in der EU verbessern. Zu diesem Zweck soll insbesondere ein europäischer Cyberschutzschild und ein Cybernotfallmechanismus geschaffen werden.
Im Rahmen des Cyberschutzschilds sammeln sogenannte Sicherheitseinsatzzentren (SOCs, zuvor benannte nationale Behörden) Erkenntnisse über Cyberbedrohungen und sind Anlaufstellen für öffentliche und private Organisationen. Im Cybernotfallmechanismus sind Vorsorgemaßnahmen, wie die Prüfung von Einrichtungen in besonders kritischen Sektoren (Gesundheitswesen, Verkehr, Energie usw.) auf potenzielle Schwachstellen vorgesehen. Daneben ist die Schaffung einer EU-Cybersicherheitsreserve geplant, die aus Notfalldiensten von vertrauenswürdigen Anbietern besteht, welche im Voraus unter Vertrag genommen wurden und auf Ersuchen eines Mitgliedstaats oder von Stellen der Union im Falle eines Cybersicherheitsvorfalls eingreifen.
Adressaten
- Stellen der EU
- EU-Mitgliedstaaten
- Indirekt Unternehmen aus kritischen Sektoren, die auf potenzielle Schwachstellen getestet werden können
- Indirekt Unternehmen, für die eine Teilnahme an der EU-Cybersicherheitsreserve in Betracht kommt
Verhältnis zum Datenschutzrecht
Der Informationsaustausch zwischen den Teilnehmern des Cyberschutzschilds muss unter Berücksichtigung der Datenschutzvorschriften der Union (DSGVO) und der Mitgliedstaaten erfolgen (ErwG 22 Cyber Solidarity Act). Wenn personenbezogene Daten verarbeitet werden, müssen beispielsweise entsprechende TOMs implementiert werden. Personenbezogene Daten sind zu löschen, wenn sie nicht mehr benötigt werden.
Auswirkungen für Unternehmen / öffentliche Stellen
Unternehmen aus Sektoren mit hoher Kritikalität (die Verordnung verweist auf Anhang I der NIS-2-Richtlinie) können auf potenzielle Schwachstellen getestet werden.
Unternehmen, für die eine Teilnahme an der EU-Cybersicherheitsreserve in Betracht kommt, müssen bestimmte Auswahlkriterien erfüllen und entsprechende Verträge abschließen.
Die Mitgliedstaaten müssen nationale Behörden als SOCs benennen, die dann Aufgaben im Rahmen des Cyberschutzschilds wahrnehmen. Diese Behörden müssen in der Lage sein als Anlaufstelle für öffentliche und privat Organisationen in Bezug auf Bedrohungen und Vorfälle im Bereich der Cybersicherheit zu fungieren. Sie sollen mit neuster Technologie ausgestattet sein und auch zum grenzüberschreitenden Netzwerk von SOCs beitragen.
Letzter Stand
Am 6. März 2024 haben der Rat und das Europäische Parlament eine vorläufige Einigung über das Cyber-Solidaritätsgesetz erzielt.
Letzte veröffentlichte Fassung
Entwurf der vorläufigen Einigung vom 20. März 2024 (Link).
Nächster Schritt
Jetzt werden die Entwürfe der Gesetzgebungsakte von den Rechts- und Sprachsachverständigen überarbeitet, bevor sie von den beiden gesetzgebenden Organen formell angenommen werden.
Inkrafttreten / Geltung
Es ist noch nicht absehbar, wann das Gesetzgebungsverfahren abgeschlossen sein wird. Die Verordnung wird am 20. Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten.
Regelungsschwerpunkte
Die E-Evidence dient der Steigerung der Effizienz der Strafverfolgung in der Bundesrepublik Deutschland sowie in der Europäischen Union. Sie soll dabei die Richtlinien (EU) 2023/1544 umsetzen und die Durchführung der Verordnung (EU) 2023/1543 (e-Evidence-VO) ermöglichen. Konkret ermöglicht wird den Strafverfolgungsbehörden künftig der Direktzugriff auf die Dienstanbieter. Dafür gibt es zukünftig die sog. Herausgabeanordnung, um unmittelbar an elektronische Beweismittel zu gelangen, sowie die sog. Sicherungsanordnung, um zu gewährleisten, dass die Daten nicht gelöscht werden.
Der Begriff „elektronische Beweismittel“ ist umfassend:
- Teilnehmerdaten: Daten zur Identität der betroffenen Person, etwa Name, Geburtsdatum, Anschrift und andere Kontaktdaten sowie Daten zu der Art und Dauer der Dienstleistung.
- Verkehrsdaten: Daten zur angebotenen Dienstleistung, beispielsweise Ursprung und Ziel der Nachricht, Standort eines Gerätes, Format oder verwendete Protokoll sowie andere Metadaten der Kommunikation über einen Dienst.
- Inhaltsdaten: Alle anderen in einem digitalen Format verfügbaren Daten, wie Texte, Videos und Bilder.
Die Daten von Berufsgeheimnisträgern wie Rechtsanwälten oder Ärzten genießen allerdings einen besonderen Schutz.
Adressaten
- Diensteanbieter i.S.v. Art. 2 Nr. 1 der e-Evidence-VO: Umfasst sind alle Anbieter von elektronischen Kommunikationsdiensten, von Internetdomänenamen- und IP-Nummerierungsdiensten sowie andere Dienste der Informationsgesellschaft, die es ihren Nutzern ermöglichen, miteinander zu kommunizieren, oder für ihre Nutzer Daten speichern oder auf sonstige Weise verarbeiten, bei der die Speicherung von Daten ein bestimmender Bestandteil der Dienstleistung ist. Eine Größenbegrenzung oder Ausnahme für kleine und Kleinstunternehmen besteht nicht. Eine örtliche Begrenzung besteht insoweit als die Dienste in der EU angeboten werden müssen. Indizien sind etwa eine Niederlassung in der EU, die Verfügbarkeit von Anwendungen in nationalen App-Stores, lokale Werbung oder die Verfügbarkeit des Kundendienstes vor Ort bzw. in der Sprache des Mitgliedsstaates.
Verhältnis zum Datenschutzrecht
Der Diensteanbieter, der bloß als Auftragsverarbeiter i.S.v. Art. 28 DSGVO agiert, nicht aber als Verantwortlicher, muss den Verantwortlichen über die Datenherausgabe informieren. Die Unterrichtung der betroffenen Personen darf allerdings ausschließlich durch die Anordnungsbehörde erfolgen.
Auswirkungen für Unternehmen / öffentliche Stellen
Die Diensteanbieter müssen für die Entgegennahme der Anordnungen Empfangsbevollmächtigte in der EU bereithalten. Kommt ein Diensteanbieter einer an ihn gerichteten Anordnung nicht nachkommt, ist ein Vollstreckungsverfahren vorgesehen. Hier besteht die Möglichkeit, auf Basis eines Katalogs von Gründen Einwände gegen die Ausführung der Anordnung zu erheben. Solche sind beispielsweise neben formalen Aspekten wie Unzuständigkeit der Anordnungsbehörde auch Immunitäten und Vorrechte sowie die Pressefreiheit.
Sind die Einwände der Diensteanbieter gegen die Anforderung nicht stichhaltig, drohen Geldbußen bis zu 500.000 Euro beziehungsweise bei umsatzstarken Unternehmen davon abweichend die Verhängung einer Geldbuße "von bis zu zwei Prozent des erzielten Jahresgesamtumsatzes".
Die Überwachung der Einhaltung der Pflichten aus diesem Gesetz übernimmt als zentrale Behörde das Bundesamt für Justiz. Diese ist zwar nicht zur Vollstreckung im Einzelfall berufen, schreiten jedoch ein, wenn ein Diensteanbieter such systematisch unkooperativ zeigt.
Letzter Stand
Referentenentwurf des Bundesministeriums der Justiz vom 28. Oktober 2024.
Letzte veröffentlichte Fassung
Entwurf des Bundesministeriums der Justiz vom 28. Oktober 2024 (Link).
Nächster Schritt
Der Entwurf wurde an Länder und Verbände verschickt. Diese können bis zum 6. Dezember 2024 Stellung nehmen.
Inkrafttreten / Geltung
Es ist noch nicht absehbar, wann das Gesetzgebungsverfahren abgeschlossen sein wird.
C. Changelog
28. Oktober 2024: Referentenentwurf zum E-Evidence-Gesetz (Link).
10. Oktober 2024: Der CRA wurde beschlossen (Link).
02. Oktober 2024: Die VAP-RL wurde beschlossen (Link).
12. Juli 2024: Die KI-VO wurde im Amtsblatt veröffentlicht und tritt am 1. August 2024 in Kraft.
21. Mai 2024: Die KI-VO wurde beschlossen (Link).
14. Mai 2024: Das Digitale-Dienste-Gesetz ist in Kraft getreten.
21. März 2024: Der Gesetzesentwurf zum Digitale-Dienste-Gesetz wurde von der Bundesregierung als Umsetzungsgesetz für den DSA eingebracht. (Link)
13. März 2024: Das Europäische Parlament hat die KI-VO angenommen.
12. März 2024: Das Europäische Parlament hat den CRA angenommen.
07. März 2024: Die ersten von der Kommission ernannten Gatekeeper müssen die Anforderungen aus dem DMA erfüllen.
17. Februar 2024: Digital Services Act gilt ab nun vollständig.
11. Januar 2024: Der Data-Act ist in Kraft getreten. Die Verordnung findet ab 12. September 2025 Anwendung.
27. Dezember 2023: VAP-RL-E: Parlament und Rat haben einen Kompromiss gefunden. Die Mitgliedstaaten stimmten nicht zu.
06. Dezember 2023: KI-VO-E: der Rat und das Europäische Parlament haben eine erste Einigung über den Vorschlag erzielt.
30. November 2023: CRA: Parlament und Rat haben eine politische Einigung erzielt (Link).
27. November 2023: DA: Der Rat der Europäischen Union hat den Data Act angenommen (Link).
09. November 2023: Data Act: Das Europäische Parlament hat den Data Act angenommen (Link).
24. September 2023: DGA: Die Verordnung gilt seit dem 24. September 2023.
18. August 2023: e-Evidence-VO: Die Verordnung ist am 18. August 2023 in Kraft getreten. Sie findet ab dem 18. August 2026 Anwendung.
19. Juli 2023: CRA: Der Rat hat seinen gemeinsamen Standpunkt zum CRA festgelegt (Link).
27. Juni 2023: DA-E: Das Europäischen Parlament und der Rat der EU haben eine politische Einigung über den DA-E erzielt (Link).
14. Juni 2023: KI-VO-E: Das Europäische Parlament hat seine Verhandlungsposition zur KI-VO angenommen (Link).
13. Juni 2023: e-Evidence-VO-E: Das Europäische Parlament hat die e-Evidence-VO verabschiedet.
07. Juni 2023: VAP-RL-E: Der Rat hat seinen Standpunkt festgelegt (Link).
23. Mai 2023: Cyber Solidarity Act: Die Übersicht enthält jetzt auch Informationen zum Cyber Solidarity Act.
22. Mai 2023: e-Evidence-VO-E: Die Übersicht enthält jetzt auch Informationen zur e-Evidence-VO.
11. Mai 2023: KI-VO-E: Der Binnenmarktausschuss und der Ausschuss für bürgerliche Freiheiten haben den Entwurf eines Verhandlungsmandats angenommen (Link).
02. Mai 2023: DMA: Ab dem 2. Mai 2023 sind die Gatekeeper verpflichtet, ihre Gatekeepereigenschaft gegenüber der Europäischen Kommission offen zu legen.
24. März 2023: DA-E: Der Rat der EU hat seine Position zum Gesetzesentwurf beschlossen (Link).
14. März 2023: DA-E: Das Europäische Parlament hat seine Position zum Gesetzesentwurf beschlossen (Link).
02. Februar 2023: VAP-RL-E: Das Parlament hat seine Verhandlungsposition festgelegt und für das Mandat für Verhandlungen mit Rat gestimmt (Link).
01. Februar 2023: DSA: Die Kommission hat Leitlinien bezüglich der Verpflichtung zur Veröffentlichung von Nutzerzahlen herausgegeben (Link).
23. Januar 2023: Der Digital Operation Resilience Act (DORA) ist am 16. Januar 2023 in Kraft getreten. Die Verordnung findet ab dem 17. Januar 2025 Anwendung.
Wir können nicht garantieren, dass die Tabelle jederzeit den aktuellen Verfahrensstand zu allen Gesetzen wiedergibt. Welche Gesetze wir für „wichtig“ halten, haben wir nach subjektiven Kriterien entschieden. Es kann daher sein, dass ein für Sie wichtiges Gesetz nicht enthalten ist.
Sie möchten auch ansonsten auf dem Laufenden gehalten werden? Dann melden Sie sich doch für unsere Newsletter an!