EU-Regelungen im Digitalbereich

Auf europäischer Ebene gibt es diverse Richtlinien oder Verordnung in Sachen Digitalisierung. Einige sind bereits in Kraft getreten, andere sind in Planung oder schon im Gesetzgebungsverfahren. Hier eine Übersicht, wer von diesen Regelungen betroffen ist oder sein wird:

Digital Markets Act

Im Digital Markets Act (DMA) (Gesetz über digitale Märkte) sind unter anderem besondere Verbote und Verhaltenspflichten für marktführende digitale Konzerne festgeschrieben, um deren enormen Einfluss zu begrenzen und folglich die Wettbewerbsbedingungen für kleine Unternehmen zu verbessern.
Wer ist betroffen?
Die Vorschriften des DMA betreffen ausschließlich sog. „Gatekeeper“. Als „Gatekeeper-Plattform“ im Sinne der Verordnung gelten solche digitalen Plattformen mit mehr als 7,5 Milliarden Euro Jahresumsatz beziehungsweise 75 Milliarden Euro Marktwert, mehr als 45 Millionen Endnutzern monatlich in der Europäischen Union und mehr als 10.000 gewerblichen Anbietern auf der Plattform. Zusätzlich müssen die Plattformen in mindestens drei EU-Mitgliedstaaten bereitgestellt werden.
Status: in Kraft seit 1. November 2022, anwendbar seit 2. Mai 2023.

Digital Services Act

Der Digital Services Act (DSA) (Gesetz über digitale Dienste) hat das Ziel, die Sicherheit für Nutzer von OnlinePlattformen zu gewährleisten, hierzu wurden durch den DSA zahlreiche Pflichten für die Betreiber solcher Plattformen geschaffen, die der Verbreitung illegaler Inhalte wie z.B. Hassreden entgegenwirken sollen.
Wer ist betroffen?
Unabhängig von der Niederlassung sind alle Unternehmen vom DSA betroffen, die ihre Online-Vermittlungsdienste innerhalb des Gebiets der Europäischen Union anbieten.
Status: in Kraft seit 16. November 2022, anwendbar seit 17. Februar 2024.

NIS2-Richtlinie

Für viele Unternehmen in Deutschland drängt jetzt die Zeit: Die europäische Richtlinie NIS-2 verlangt, dass sich Unternehmen besser gegen IT- Angriffe schützen. Die europäische Cybersicherheitsrichtlinie NIS-2 (Network and Information Security) ist am 16. Januar 2023 in Kraft getreten und regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Die Cybersicherheitsrichtlinie soll vor Cyberbedrohungen besser schützen und für ein hohes, EU-weites Sicherheitsniveau sorgen. Bis zum 17. Oktober 2024 muss die NIS-2 von einzelnen EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Ab dem 18. Oktober 2024 gelten dann Meldepflichten und Vorgaben zu notwendigen Sicherheitsmaßnahmen. Unternehmen mit mehr als 50 Mitarbeitenden oder mindestens einem Umsatz von zehn Millionen Euro, die unter spezielle Sektoren fallen unterliegen der NIS-2. Diese Unternehmen müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständige Behörde über schwerwiegende Vorfälle informieren. Die zuständige deutsche Behörde wird in dem deutschen Gesetz festgelegt werden. Betroffene Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Sicherheitsrisiken zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten. Als Maßnahmen werden u. a. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme, grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit und Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung sowie gesicherte Kommunikation genannt. Bei Verstößen drohen Unternehmen empfindliche Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Die Geschäftsführung kann haftbar gemacht werden. Unternehmen sollten nun prüfen, ob sie von der NIS2-Richtlinie betroffen sind und die notwendigen Maßnahmen treffen.
Wer ist betroffen?
Sowohl private Unternehmen als auch öffentliche Einrichtungen, die mindestens mittelgroß sind (mehr als 50 Mitarbeitende oder einen Jahresumsatz sowie eine Jahresbilanzsumme von mindestens 10 Millionen Euro) und unter einen der in der Anlage I oder II der Richtlinie aufgeführten Sektoren fallen, unterliegen jedenfalls den Anforderungen der NIS2-Richtlinie.
Ausnahmsweise können aber auch gewisse Unternehmen unabhängig von ihrer Größe von den Vorschriften der Richtlinie betroffen sein. Beispielsweise zählen dazu Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder öffentlich zugänglichen Kommunikationsdiensten, Vertrauensdienstanbieter, einzige Anbieter eines Dienstes, welcher für die Gesellschaft und Wirtschaft unerlässlich ist, sowie Einrichtungen, deren Ausfall sich wesentlich auf die öffentliche Ordnung, Sicherheit und Gesundheit auswirken könnte.
Die Richtlinie gilt jedenfalls nicht für öffentliche Einrichtungen, die ihre Tätigkeiten in den Bereichen nationale sowie öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, ausüben.
Mittelbar wirken sich die Vorgaben aber auch auf die entsprechenden Dienstleister und Lieferanten der betroffenen Unternehmen und Einrichtungen aus.
Status: in Kraft seit 16. Januar 2023, Meldepflichten gelten ab dem 18. Oktober 2024.

Anlage I (Sektoren mit hoher Kritikalität)

Sektor
Teilsektoren
Einrichtungen
Energie
  • Elektrizität
  • Erdgas
  • Erdöl
  • Fernwärme- und kälte
  • Wasserstoff
  • Betreiber in den einzelnen Teilsektoren
  • Erdgasunternehmen
  • Zentrale Bevorratungsstellen für Erdöl
  • Versorgungsunternehmen (Erdgas)
  • Erzeuger von Elektrizität
Verkehr
  • Luftverkehr
  • Schienenverkehr
  • Schifffahrt
  • Straßenverkehr
  • Betreiber intelligenter Verkehrssysteme
  • Betreiber von Schiffsverkehrsdiensten
  • Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen, die Flugverkehrskontrolldienste bereitstellen
  • Eisenbahnunternehmen
  • Flughäfen
  • Flughafenleitungsorgane
  • Infrastrukturbetreiber im Schienenverkehr
  • Lufttransportunternehmen
  • Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt
  • Schiffsverkehrsdienste
  • Straßenverkehrsbehörden
Bankwesen
  • Kreditinstitute
Finanzmarktinfrastrukturen
  • Betreiber von Handelsplätzen
  • Zentrale Gegenparteien
Gesundheitswesen
  • Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen, Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben oder Medizinprodukte herstellen, die während einer Notlage im öffentlichen Bereich als kritisch eingestuft werden
  • EU-Referenzlaboratorien
  • Gesundheitsdienstleister
Trinkwasser
  • Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“
Abwasser
  • Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln
Digitale Infrastruktur
  • Anbieter von Cloud-Computing-Diensten
  • Anbieter öffentlicher Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste
  • Anbieter von Rechenzentrumsdiensten
  • Betreiber von Internet-Knoten
  • DNS-Dienstanbieter
  • TLD-Namenregister
  • Vertrauensdienstanbieter
Verwaltung von IKT-Diensten (B2B)
  • Anbieter verwalteter Dienste
  • Anbieter verwalteter Sicherheitsdienste
Öffentliche Verwaltung
  • Einrichtungen der öffentlichen Verwaltung von Zentralregierungen sowie auf regionaler Ebene
Weltraum
  • Betreiber von Bodeninfrastrukturen (ausgenommen: Anbieter öffentlicher elektronischer Kommunikationsnetze)

Anlage II (weitere kritische Sektoren)

Sektor
Teilsektoren
Einrichtungen
Post- und Kurierdienste
  • Anbieter von Post- und Kurierdiensten
Abfallbewirtschaftung
  • Unternehmen der Abfallbewirtschaftung (davon ausgenommen: Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist)
Produktion, Herstellung und Handel mit chemischen Stoffen
  • Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln
  • Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind
Verarbeitendes Gewerbe/Herstellung von Waren
  • Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
  • Herstellung von elektrischen Ausrüstungen
  • Herstellung von Kraftwagenteilen
  • Herstellung von Medizinprodukten und In-vitro-Diagnostika
  • Maschinenbau
  • sonstiger Fahrzeugbau
  • Einrichtungen, die Medizinprodukte herstellen
  • Unternehmen, die im jeweils genannten Teilsektor gemäß NACE Rev. 2 tätig sind
Anbieter digitaler Dienste
  • Anbieter von Online-Marktplätzen
  • Anbieter von Online-Suchmaschinen
  • Anbieter von Plattformen für Dienste sozialer Netzwerke
Forschung
  • Forschungseinrichtungen

Data Act

Der Data Act enthält umfassende Vorschriften über die Nutzung und den Austausch von Daten sowohl im B2CBereich als auch im B2B- und B2GBereich. Der Anwendungsbereich des Data Acts ist im Gegensatz zur DSGVO nicht auf personenbezogene Daten beschränkt.
Wer ist betroffen?
Betroffen sind insbesondere Hersteller, Dateninhaber und Nutzer von vernetzten Geräten (z.B. Haushaltsgeräten, Maschinen, Autos). Darüber hinaus werden auch auf Anbieter von Datenverarbeitungsdiensten, etwa Cloud-Anbieter, neue Pflichten zukommen. Daneben werden die Rechte Dritter gestärkt. Die B2G-Zugangsrechte betreffen potenziell alle Unternehmen. Nur für kleine Betriebe sind Ausnahmen vorgesehen.
Status: in Kraft seit 11. Januar 2024, anwendbar ab 12. September 2025.

AI Act

Als ein Entwurf für eine unionsweite Rechtsverordnung über künstliche Intelligenz (KI) zielt der Artificial Intelligence Act (AI Act) darauf ab, den Umgang mit KI-Systemen mit datenschutzrechtlichen sowie grundrechtlichen Vorgaben in Einklang zu bringen, um so das allgemeine Vertrauen in die KI sowie die Bereitschaft für die Nutzung von KI für innovative Prozesse zu optimieren. Vor diesem Hintergrund gründet der Entwurf auf einem risikobasierten Ansatz, nach dem KI-Systeme in Risikokategorien unterteilt werden: inakzeptables Risiko, hohes Risiko, geringes/minimales Risiko. Je nach Einteilung eines jeweiligen KI-Systems in einen der benannten Risikobereiche, werden unterschiedlich hohe Anforderungen an dessen Verkauf, Bereitstellung jeglicher Art und Nutzung gestellt, die beispielsweise von Dokumentations- und Transparenzpflichten bis hin zu ausdrücklichen Verboten reichen. Verboten sind z. B. solche KI-Systeme, die den ethischen Grundsätzen in der EU widersprechen und somit ein inakzeptables Risiko darstellen. Hierunter fallen z. B. Social-Scoring-Systeme. KI-Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen, sind auf dem europäischen Markt zugelassen, sofern sie bestimmten zwingend vorgeschriebenen Anforderungen genügen und vorab eine Konformitätsbewertung durchgeführt wird. Hierzu zählen u.a. KI-Systeme aus dem Personalmanagement, der Aus- und Weiterbildung und der kritischen Infrastruktur. KI-Systeme mit geringem/minimalem Risiko (z. B. Chatbots) unterliegen neben minimalen Transparenzpflichten keinen zusätzlichen Verpflichtungen. Neben den Entwicklern und Anbietern können sogar die bloßen Nutzer von KISystemen von den jeweiligen Bestimmungen betroffen sein. Für die Nutzer werden jedoch derartige Vorgaben nur dann bedeutsam, sofern sie auf die entsprechenden Systeme im Rahmen ihrer beruflichen Tätigkeit zurückgreifen.
Wer ist betroffen?
Neben den Entwicklern und Anbietern können sogar die bloßen Nutzer von KI-Systemen von dem AI Act betroffen sein. Allerdings werden für die Nutzer derartige Vorgaben nur dann bedeutsam, sofern sie auf die entsprechenden Systeme im Rahmen ihrer beruflichen Tätigkeit zurückgreifen. Da künstliche Intelligenz in sämtlichen Wirtschaftszweigen und Geschäftsfeldern verwendet werden kann, kann der Anwendungsbereich nicht pauschal auf bestimmte Branchen beschränkt werden.
Status: Der Europäische Rat hat dem AI Act am 21. Mai 2024 zugestimmt, sodass dem Inkrafttreten der Verordnung nichts mehr im Wege steht. Die Verordnung tritt am 20. Tag nach Veröffentlichung im EU-Amtsblatt in Kraft, ab dann läuft eine 24-monatige Übergangsfrist, wobei einige Vorschriften aber auch schon früher anwendbar sind.

Cyber Resilience Act

Der Cyber Resilience Act (CRA) sieht grundlegend verbindliche Cybersicherheitsanforderungen für Produkte vor, die miteinander oder dem Internet verbunden werden können, um nutzende Unternehmen sowie Verbraucher adäquat vor datenschutzrechtlichen Gefahren zu schützen.
Wer ist betroffen?
Neben den Herstellern von Produkten mit digitalen Elementen sind sowohl die Händler als auch Einführer solcher Produkte vom CRA umfasst.
Status: in Verhandlung.

Gigabit Infrastructure Act

Durch den Gigabit Infrastructure Act (GIA) wird die Beschleunigung und Kostensenkung für den Ausbau von Hochgeschwindigkeitsnetzen beabsichtigt, die insbesondere durch die Vereinfachung der bislang komplizierten und mühsamen Genehmigungsverfahren erreicht werden sollen.
Wer ist betroffen?
In erster Linie sind Unternehmen vom GIA betroffen, die mit dem Ausbau von Breitbandnetzen (darunter insbesondere Glasfasernetzen) beschäftigt sind. Unter Umständen können sich die entsprechenden Vorschriften ebenso auf Besitzer weiterer Infrastrukturen (Gas- und Wasserleitungen, öffentliche Gebäude) auswirken.
Status: in Verhandlung.