EU-Regelungen im Digitalbereich
Auf europäischer Ebene gibt es diverse Richtlinien oder Verordnung in Sachen Digitalisierung. Einige sind bereits in Kraft getreten, andere sind in Planung oder schon im Gesetzgebungsverfahren. Hier eine Übersicht, wer von diesen Regelungen betroffen ist oder sein wird:
Digital Markets Act
Im Digital Markets Act (DMA) (Gesetz über digitale Märkte) sind unter anderem besondere Verbote und Verhaltenspflichten für marktführende digitale Konzerne festgeschrieben, um deren enormen Einfluss zu begrenzen und folglich die Wettbewerbsbedingungen für kleine Unternehmen zu verbessern.
Wer ist betroffen?
Die Vorschriften des DMA betreffen ausschließlich sog. „Gatekeeper“. Als „Gatekeeper-Plattform“ im Sinne der Verordnung gelten solche digitalen Plattformen mit mehr als 7,5 Milliarden Euro Jahresumsatz beziehungsweise 75 Milliarden Euro Marktwert, mehr als 45 Millionen Endnutzern monatlich in der Europäischen Union und mehr als 10.000 gewerblichen Anbietern auf der Plattform. Zusätzlich müssen die Plattformen in mindestens drei EU-Mitgliedstaaten bereitgestellt werden.
Die Vorschriften des DMA betreffen ausschließlich sog. „Gatekeeper“. Als „Gatekeeper-Plattform“ im Sinne der Verordnung gelten solche digitalen Plattformen mit mehr als 7,5 Milliarden Euro Jahresumsatz beziehungsweise 75 Milliarden Euro Marktwert, mehr als 45 Millionen Endnutzern monatlich in der Europäischen Union und mehr als 10.000 gewerblichen Anbietern auf der Plattform. Zusätzlich müssen die Plattformen in mindestens drei EU-Mitgliedstaaten bereitgestellt werden.
Status: in Kraft seit 1. November 2022, anwendbar seit 2. Mai 2023.
Digital Services Act
Der Digital Services Act (DSA) (Gesetz über digitale Dienste) hat das Ziel, die Sicherheit für Nutzer von OnlinePlattformen zu gewährleisten, hierzu wurden durch den DSA zahlreiche Pflichten für die Betreiber solcher Plattformen geschaffen, die der Verbreitung illegaler Inhalte wie z.B. Hassreden entgegenwirken sollen.
Wer ist betroffen?
Unabhängig von der Niederlassung sind alle Unternehmen vom DSA betroffen, die ihre Online-Vermittlungsdienste innerhalb des Gebiets der Europäischen Union anbieten.
Unabhängig von der Niederlassung sind alle Unternehmen vom DSA betroffen, die ihre Online-Vermittlungsdienste innerhalb des Gebiets der Europäischen Union anbieten.
Status: in Kraft seit 16. November 2022, anwendbar seit 17. Februar 2024.
Das neue Datengesetz – Data Act
Was ist das Ziel?
Der Data Act verfolgt das Ziel, dass mehr nicht-personenbezogene Daten (Maschinendaten, Industriedaten) vielen Akteuren für eine innovative Nutzung zur Verfügung stehen sollen und nicht einzelne, große Unternehmen die alleinige Kontrolle über diese Daten ausüben. Das Potential bislang weitgehend ungenutzter industrieller Daten soll besser ausgeschöpft werden, damit auch kleinere Unternehmen und Start-Ups ihre Geschäftsmodelle verbessern oder neue Geschäftsmodelle entwickeln können.
Ein Beispiel im B2B-Bereich sind Maschinendaten. Daten von Maschinen und Sensoren werden in der Industrie in großen Mengen generiert. Unterschiedliche Beteiligte haben ein Interesse an der Nutzung dieser Daten. Der Hersteller einer Automationskomponente möchte zum Beispiel Zugang zu Betriebsdaten seines Produktes erhalten, das in einer von einem Dritten betriebenen Maschine verbaut ist. Bislang können die Akteure dies vertraglich weitgehend frei regeln. Problematisch kann dabei die ungleiche Marktmacht der Vertragsparteien sein, die sich in einseitigen Vertragsbedingungen ausdrückt – etwa im Ausschluss von Nutzungsrechten. Um dem entgegenzuwirken, soll der Data Act es den Nutzern ermöglichen, über ihre Daten und deren Nutzung zu verfügen und unter bestimmten Bedingungen an Dritte weiterzugeben.
Wer ist betroffen?
Der Data Act gilt für europäische Unternehmen, und auch für alle nicht-europäischen Unternehmen, die in der EU tätig sind. Betroffen sind insbesondere Hersteller und Anbieter (die Dateninhaber) und Nutzer von vernetzen Internet of Things (IoT)-Produkten, zum Beispiel smarte Haushaltsgeräten (wie Kühlschrank, Heizung, Saugroboter), Maschinen oder Autos. Die damit verbundenen digitalen Dienste, ohne die ein Gerät seine Funktionen nicht ausführen könnte, zum Beispiel die Software einer Fitnessuhr, und die zu IoT-Produkten dazugehörigen Bedienungs-Apps fallen auch darunter.
Welche Rechte und Pflichten gelten für Hersteller und Anbieter
Konkret sieht der Data Act vor, dass künftig der Nutzer (wie der Eigentümer, Mieter oder Leasingnehmer eines digitalen oder vernetzten Produkts) darüber entscheiden kann, wie mit Daten umgegangen werden soll, an deren Entstehung er mitgewirkt hat. Nutzer könne dabei Unternehmer oder Verbraucher sein.
Anspruch auf Datenzugang
Die wesentliche Neuerung durch den Data Act ist, dass der Nutzer einen Anspruch auf Datenzugang bekommt. Hierfür hat ihm der Dateninhaber kostenlos und gegebenenfalls kontinuierlich und in Echtzeit einen direkten Zugang zu den Daten bereitzustellen. Damit der Zugang und die Weitergabe von Daten auch technisch möglich sind, müssen Hersteller ihre Produkte und Dienstleistungen so gestalten, dass ein Datenzugang stattfinden kann. Dabei wird keine Datenübermittlung an den Nutzer verlangt. Es genügt, wenn der Nutzer die Daten beim Dateninhaber ansehen und allenfalls auf den Servern des Dateninhabers verarbeiten kann. Die Nutzer sind vor Abschluss eines Vertrags zu informieren, insbesondere über die Identität des Dateninhabers, Art und Umfang erzeugter Daten, Zugriffsmöglichkeiten auf die Daten, Möglichkeit zur Weitergabe der Nutzungsdaten, Auskunft über die Art und den Umfang der Daten, die bei der Nutzung entstehen. Die Dateninhaber müssen sich künftig die Nutzungsrechte an den durch ihre vertriebenen vernetzten Produkte generieren Daten einräumen lassen. Notwendig ist also eine vertragliche Nutzungsvereinbarung zwischen Dateninhaber und Nutzer. Auch können sie die anfallenden Daten ihrer Produkte nicht mehr ausschließlich allein nutzen, sondern haben diese gegebenenfalls auch anderen Unternehmen zur Verfügung zu stellen. So können die Nutzer der Geräte und Apps die Herausgabe ihrer Nutzungsdaten kostenfrei verlangen und an Dritte weitergeben.
Ausnahme: Datenzugangsansprüche können nicht gegen Dateninhaber geltend gemacht werden, die als Kleinst- oder Kleinunternehmen im Sinne des Art. 2 Anhangs der Empfehlung 2003/361/EG Hersteller sind. Diese sind Unternehmen, die weniger als 50 Personen beschäftigen und weniger als 10 Millionen EUR Jahresumsatz erzielen. Die Ausnahme greift allerdings nur dann, wenn die Kleinunternehmen keine Partnerunternehmen oder verbundene Unternehmen haben, die nicht als Kleinunternehmen eingestuft werden. Die Daten dürfen nicht an Unternehmen weitergegeben werden, die das Gesetz über digitale Märkte (Data Markets Act) als sog. „Gatekeeper“ einstuft. Hiermit sind vor allem große Konzerne, wie Google und Meta gemeint.
Anspruch auf Datenteilung mit Dritten
Die Nutzer können auch verlangen, dass der Dateninhaber einem Dritten, mitunter auch einem Wettbewerber, die nutzergenerierten Daten bereitstellt. Damit sollen insbesondere Folge- und Nebendienstleistungen gefördert werden, zum Beispiel Versicherungen oder externe/ selbstständige Reparaturleistungen.
Der Dateninhaber hat mit dem benannten Dritten, dem Datenempfänger, einen Datenlizenzvertrag abschließen. Für die Bereitstellung der Daten darf der Dateninhaber eine Gegenleistung mit angemessener Marge verlangen (Achtung: eine Marge darf nicht von datenempfangenden Kleinstunternehmen und von kleinen oder mittleren Unternehmen (KMU) verlangt werden). Für die Berechnung der angemessenen Gegenleistung plant die Kommissionen Leitlinien zu erlassen. Der Datenempfänger wiederum darf die bereitgestellten Daten nur für die Zwecke und unter den Bedingungen verarbeiten, die er mit dem Nutzer vereinbart hat, und hat die Daten zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden. Im Übrigen ist es auch denkbar, dass an den Daten interessierte Unternehmen den Nutzer auffordern werden, die Daten mit ihnen zu teilen. Die Daten dürfen nicht dazu verwendet werden, um Konkurrenzprodukte zum datengenerierten Produkt zu entwickeln, wobei hier noch ungeklärt ist, in welchem Umfang das Konkurrenzverbot gilt (muss das Produkt exakt gleich sein? Reicht es, wenn das Produkt dem anderen nur ähnlich ist und bis zu welchem Grad der Ähnlichkeit?). Damit ist allerdings kein “Ideenschutz” gemeint. Konkurrierende Leistungen dürfen, wie bisher auch, angeboten werden.
Der Dateninhaber hat mit dem benannten Dritten, dem Datenempfänger, einen Datenlizenzvertrag abschließen. Für die Bereitstellung der Daten darf der Dateninhaber eine Gegenleistung mit angemessener Marge verlangen (Achtung: eine Marge darf nicht von datenempfangenden Kleinstunternehmen und von kleinen oder mittleren Unternehmen (KMU) verlangt werden). Für die Berechnung der angemessenen Gegenleistung plant die Kommissionen Leitlinien zu erlassen. Der Datenempfänger wiederum darf die bereitgestellten Daten nur für die Zwecke und unter den Bedingungen verarbeiten, die er mit dem Nutzer vereinbart hat, und hat die Daten zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden. Im Übrigen ist es auch denkbar, dass an den Daten interessierte Unternehmen den Nutzer auffordern werden, die Daten mit ihnen zu teilen. Die Daten dürfen nicht dazu verwendet werden, um Konkurrenzprodukte zum datengenerierten Produkt zu entwickeln, wobei hier noch ungeklärt ist, in welchem Umfang das Konkurrenzverbot gilt (muss das Produkt exakt gleich sein? Reicht es, wenn das Produkt dem anderen nur ähnlich ist und bis zu welchem Grad der Ähnlichkeit?). Damit ist allerdings kein “Ideenschutz” gemeint. Konkurrierende Leistungen dürfen, wie bisher auch, angeboten werden.
Wann ist eine Vertragsklausel als „missbräuchlich“ anzusehen?
Verträge über die Datennutzung müssen „fair, angemessen und nicht diskriminierend“ sein. Es dürfen keine „missbräuchlichen“ Klauseln verwendet werden, also dann, wenn sie „erheblich von der guten Geschäftspraxis abweichen und gegen Treu und Glauben und den redlichen Geschäftsverkehr verstoßen“. Missbräuchliche Klauseln sind nicht bindend. Im Zweifel muss der Dateninhaber nachzuweisen, dass eine Vertragsbedingung nicht missbräuchlich ist. Der Data Act regelt Fälle, wann Vertragsklauseln in Datenaustauschverträgen missbräuchlich sind. Zu einem späteren Zeitpunkt sollen von der EU-Kommission Mustervertragsklauseln bereitgestellt werden, damit missbräuchliche Klauseln vermieden werden können.
Missbräuchliche Klauseln nach dem Data Act
1. Allgemeine Abwägungskriterien (Art. 13 Abs. 2 Data Act)
Grobe Abweichung von „guter Geschäftspraxis“ hinsichtlich Datenzugang und Datennutzung.
Verstoß gegen Treu und Glauben.
2. Vertragsklausel „ist“ missbräuchlich (Art. 13 Abs. 3 Data Act), wenn sie Folgendes bezweckt oder bewirkt:
Einseitiger Haftungsausschluss oder Haftungsbeschränkung für vorsätzliche oder grob fahrlässige Handlungen.
Einseitiger Ausschluss der Rechtsbehelfe bei Nichterfüllung von Vertragspflichten oder Ausschluss der Haftung bei Verletzung von Vertragspflichten.
Einseitiger Vorbehalt des ausschließlichen Rechts zu bestimmen, ob die gelieferten Daten vertragsgemäß sind oder eine Vertragsklausel auszulegen.
3. Vertragsklausel „gilt“ als missbräuchlich (Art. 13 Abs. 4 Data Act), wenn sie Folgendes bezweckt oder bewirkt:
Unangemessene Beschränkung der Rechtsmittel bei Nichterfüllung von Vertragspflichten oder der Haftung bei Verletzung solcher Pflichten oder Haftungserweiterung für das
Unternehmen, dem die Klausel einseitig auferlegt wird.
Zugang zu Daten und deren Nutzung, die der einen Partei, der die Klausel auferlegt wurde, erheblich schadet; insb. Zugang zu sensiblen Geschäftsdaten.
Hinderung der Partei, der die Klausel auferlegt wurde, die bereitgestellten Daten während der Vertragslaufzeit selbst zu nutzen bzw. Beschränkung dieser Nutzung.
Hinderung für die Partei, der die Klausel einseitig auferlegt wurde, eine Kopie der von ihr erzeugten/bereitgestellten Daten während der Vertragslaufzeit bzw. nach Kündigung zu erhalten.
Unangemessen kurze Kündigungsfrist für die Partei, die die Klausel einseitig auferlegt hat.
Möglichkeit der die Klausel einseitig auferlegenden Partei den vertraglich vereinbarten Preis oder eine andere wesentliche datenbezogene Bedingung (Art, Format, Qualität) ohne stichhaltige Begründung zu ändern, ohne dass die andere Partei ein Kündigungsrecht hat.
Verstoß gegen Treu und Glauben.
2. Vertragsklausel „ist“ missbräuchlich (Art. 13 Abs. 3 Data Act), wenn sie Folgendes bezweckt oder bewirkt:
Einseitiger Haftungsausschluss oder Haftungsbeschränkung für vorsätzliche oder grob fahrlässige Handlungen.
Einseitiger Ausschluss der Rechtsbehelfe bei Nichterfüllung von Vertragspflichten oder Ausschluss der Haftung bei Verletzung von Vertragspflichten.
Einseitiger Vorbehalt des ausschließlichen Rechts zu bestimmen, ob die gelieferten Daten vertragsgemäß sind oder eine Vertragsklausel auszulegen.
3. Vertragsklausel „gilt“ als missbräuchlich (Art. 13 Abs. 4 Data Act), wenn sie Folgendes bezweckt oder bewirkt:
Unangemessene Beschränkung der Rechtsmittel bei Nichterfüllung von Vertragspflichten oder der Haftung bei Verletzung solcher Pflichten oder Haftungserweiterung für das
Unternehmen, dem die Klausel einseitig auferlegt wird.
Zugang zu Daten und deren Nutzung, die der einen Partei, der die Klausel auferlegt wurde, erheblich schadet; insb. Zugang zu sensiblen Geschäftsdaten.
Hinderung der Partei, der die Klausel auferlegt wurde, die bereitgestellten Daten während der Vertragslaufzeit selbst zu nutzen bzw. Beschränkung dieser Nutzung.
Hinderung für die Partei, der die Klausel einseitig auferlegt wurde, eine Kopie der von ihr erzeugten/bereitgestellten Daten während der Vertragslaufzeit bzw. nach Kündigung zu erhalten.
Unangemessen kurze Kündigungsfrist für die Partei, die die Klausel einseitig auferlegt hat.
Möglichkeit der die Klausel einseitig auferlegenden Partei den vertraglich vereinbarten Preis oder eine andere wesentliche datenbezogene Bedingung (Art, Format, Qualität) ohne stichhaltige Begründung zu ändern, ohne dass die andere Partei ein Kündigungsrecht hat.
Was passiert mit Geschäftsgeheimnissen?
Wenn die angeforderten Daten Geschäftsgeheimnisse enthalten, sind die Dateninhaber dennoch zum Datenzugang gegenüber dem Nutzerbzw. zur Bereitsstellung an Dritte verpflichtet. Gleichwohl soll unter dem Data Act der Schutz von Geschäftsgeheimnissen gewahrt bleiben. Die Daten müssen daher gegenüber Nutzern und Datenempfängern nur offengelegt werden, wenn vorher alle erforderlichen Maßnahmen getroffen wurden, um die Vertraulichkeit von Geschäftsgeheimnissen zu wahren. Darunter fallen vor allem technische und organisatorische Maßnahmen, sowie Geheimhaltunsgvereinbarungen, die mit dem Nutzer bzw. dem Dritten abzuschließen sind. Eine Geheimhaltungsvereinbarung sollte daher wesentlicher Bestandteil der Vereinbarung über Datenzugang und Datennutzung sein. Der Dateninhaber bestimmt grundsätzlich die Daten, die als Geschäftsgeheimnisse geschützt werden.
Was gilt bei personenbezogenen Daten?
Was gilt bei personenbezogenen Daten?
In den bereitgestellten Daten können mitunter auch personenbezogene Daten enthalten sein, die dem Datenschutz unterliegen. Durch den Data Act wird das durch die Datenschutzgrundverordnung (DSGVO), geschaffene Datenschutzniveau nicht abgesenkt. Die DSGVO bleibt anwendbar. Eine Rechtsgrundlage aus der DSGVO (bspw. Art. 6 und Art. 20 DSGVO) bei der Verarbeitung personenbezogener Daten bleibt also erforderlich. Handelt es sich um personenbezogene Nutzungsdaten, dürfen diese nur an die betroffene Person und an Dritte nur bei Bestehen einer datenschutzrechtlichen Rechtsgrundlage aus der DSGVO bereitgestellt werden. Der Data Act selbst bildet keine Rechtsgrundlage für die Datenverarbeitung. Beim Offenlegen der Daten gegenüber Nutzern und Dritten sollten technische und organisatorische Schutzmaßnahmen, z.B. die Anonymisierung personenbezogener Daten, eingesetzt werden.
Neben den Rechten auf Datenzugang und Datenteilung, regelt der Data Act noch zwei andere Bereiche:
Rechte und Pflichten für Cloudanbieter
Vom Data Act sind auch Anbieter von Datenverarbeitungsdiensten, vor allem Cloudanbieter, betroffen. Der Wechsel zu anderen Anbietern soll einfacher gemacht werden. Nutzer können ihre bestehenden Verträge künftig innerhalb von 30 Tagen kündigen. Kunden haben künftig das Recht kostenlos zwischen verschiedenen Datenverarbeitungsdiensten wechseln zu dürfen. Dabei müssen die Daten zu einem anderen Dienst ohne Hindernisse zu migrieren sein. Der Data Act sieht in Artikel 23 bis 26 vertragliche, technische und organisatorische Vorgaben vor, die Datenverarbeitungsdienste künftig einzuhalten haben, damit eine weitreichende Datenportabilität möglich ist.
Die Wechselentgelte werden schrittweise abgeschafft. Bis zum 12. Januar 2027 dürfen von den Kunden für einen Anbieterwechsel ermäßigte Entgelte verlangt werden. Danach dürfen keine Wechselentgelte mehr verlangt werden.
Rechte für öffentliche Stellen
Neben privaten Akteuren werden auch öffentlichen Einrichtungen erweiterte Zugangsrechte eingeräumt. So muss ein Dateninhaber einer öffentlichen Einrichtung auf Antrag Daten zur Verfügung stellen, wenn ein "außergewöhnlichen Bedarf" an der Nutzung der Daten besteht. Eine Ausnahme besteht für kleine und mittlere Unternehmen (KMU). Im Fall einer Notlage, beispielsweise einer Naturkatastrophe, kann eine öffentliche Stelle Unternehmen dazu auffordern, unentgeltlich Daten zur Verfügung zu stellen. Möchte der Staat dagegen nur seinen gesetzlichen Verpflichtungen nachkommen und kann er die Daten nicht anderweitig beschaffen, so kann der Dateninhaber eine Aufwandsentschädigung für die Herausgabe verlangen.
Vom Data Act sind auch Anbieter von Datenverarbeitungsdiensten, vor allem Cloudanbieter, betroffen. Der Wechsel zu anderen Anbietern soll einfacher gemacht werden. Nutzer können ihre bestehenden Verträge künftig innerhalb von 30 Tagen kündigen. Kunden haben künftig das Recht kostenlos zwischen verschiedenen Datenverarbeitungsdiensten wechseln zu dürfen. Dabei müssen die Daten zu einem anderen Dienst ohne Hindernisse zu migrieren sein. Der Data Act sieht in Artikel 23 bis 26 vertragliche, technische und organisatorische Vorgaben vor, die Datenverarbeitungsdienste künftig einzuhalten haben, damit eine weitreichende Datenportabilität möglich ist.
Die Wechselentgelte werden schrittweise abgeschafft. Bis zum 12. Januar 2027 dürfen von den Kunden für einen Anbieterwechsel ermäßigte Entgelte verlangt werden. Danach dürfen keine Wechselentgelte mehr verlangt werden.
Rechte für öffentliche Stellen
Neben privaten Akteuren werden auch öffentlichen Einrichtungen erweiterte Zugangsrechte eingeräumt. So muss ein Dateninhaber einer öffentlichen Einrichtung auf Antrag Daten zur Verfügung stellen, wenn ein "außergewöhnlichen Bedarf" an der Nutzung der Daten besteht. Eine Ausnahme besteht für kleine und mittlere Unternehmen (KMU). Im Fall einer Notlage, beispielsweise einer Naturkatastrophe, kann eine öffentliche Stelle Unternehmen dazu auffordern, unentgeltlich Daten zur Verfügung zu stellen. Möchte der Staat dagegen nur seinen gesetzlichen Verpflichtungen nachkommen und kann er die Daten nicht anderweitig beschaffen, so kann der Dateninhaber eine Aufwandsentschädigung für die Herausgabe verlangen.
Was passiert bei verstößen gegen den Data Act?
Verstöße gegen den Data Act, also wenn ein Unternehmen den Informations-, Auskunfts-, Herausgabe- und Weiterleitungspflichten nicht oder nicht in vollem Umfang nachkommt, können mit einem Bußgeld geahndet werden. Hierbei gelten – wie bei der DSGVO – Höchstgrenzen von bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres.
Was ist jetzt zu tun?
Unternehmen, die vom Data Act betroffen sind, haben die mit dem Data Act verbundenen Anforderungen bis September 2025 umzusetzen. Hersteller und Anbieter sollten frühzeitig
Art und Umfang der Daten bestimmen, die bei Nutzung eines digitalen oder vernetzten Produkts oder einer damit verbundenen Dienstleistung anfallen,
Informationen über Datenzugang und Datenweitergabe bereitstellen,
überprüfen, wie sie den Datenzugang technisch (in Echtzeit) gewähren können,
sicherstellen, dass personenbezogene Daten nur an die betroffenen Personen weitergegeben werden bzw. das für die Weitergabe an Dritte eine Rechtsgrundlage nach der DSGVO besteht,
vertragliche Regelungen treffen, um bei der Produktnutzung erzeugte Daten weiterhin nutzen zu dürfen, und
wie sie bei Bereitstellung der Daten ihre Geschäftsgeheimnisse schützen (mittels technisch-organisatorischen Maßnahmen und per Geheimhaltungsvereinbarung).
Art und Umfang der Daten bestimmen, die bei Nutzung eines digitalen oder vernetzten Produkts oder einer damit verbundenen Dienstleistung anfallen,
Informationen über Datenzugang und Datenweitergabe bereitstellen,
überprüfen, wie sie den Datenzugang technisch (in Echtzeit) gewähren können,
sicherstellen, dass personenbezogene Daten nur an die betroffenen Personen weitergegeben werden bzw. das für die Weitergabe an Dritte eine Rechtsgrundlage nach der DSGVO besteht,
vertragliche Regelungen treffen, um bei der Produktnutzung erzeugte Daten weiterhin nutzen zu dürfen, und
wie sie bei Bereitstellung der Daten ihre Geschäftsgeheimnisse schützen (mittels technisch-organisatorischen Maßnahmen und per Geheimhaltungsvereinbarung).
NIS-2 Richtlinie
Mit der NIS-2 Richtlinie wird Cybersicherheit und -Resilienz für viele Unternehmen in Deutschland zum Thema
NIS-2-Richtlinie ab 18. Oktober 2024 bindend
Mit dem Ziel, den Schutz der kritischen Infrastruktur hinsichtlich möglicher IT-Vorfälle und Cyberangriffe auszubauen, wurde 2023 auf europäischer Ebene die NIS-2-Richtlinie verabschiedet, die bis 17. Oktober 2024 in deutsches Recht umzusetzen ist. (NIS steht für „Network and Information Security“).
Die erste Richtlinie aus 2016 wurde erweitert. Es erfolgte eine Gliederung in Branchen und Größen, sodass nun auch kleinere Unternehmen dazugehören sowie unter Umständen auch deren Dienstleister und Auftragnehmer.
Die Unternehmen werden verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten.
Geltungsbereich der betroffenen Unternehmen
Der Geltungsbereich der neuen NIS-Richtlinie geht weit über die bisher bekannten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus. Konkret wird bei NIS-2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden.
Der Geltungsbereich der neuen NIS-Richtlinie geht weit über die bisher bekannten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus. Konkret wird bei NIS-2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden.
Wesentliche Einrichtungen sind demnach Unternehmen, die in folgenden Bereichen tätig sind:
- Energie – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
- Straßen-, Schienen, Luft- und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
- Wasser – Trink- und Abwasserversorgungsunternehmen
- Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikaitonsnetze und -dienste
- Bank- und Finanzwesen – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
- Gesundheit – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
- Öffentliche Verwaltung
- Raumfahrt
Zu den wichtigen Einrichtungen werden Unternehmen folgender Bereiche gezählt:
- Abfallwirtschaft
- Post- und Kurierdienste
- Chemische Erzeugnisse – Produktion und Vertrieb
- Lebensmittel – Produktion und Vertrieb
- Hersteller – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
- Digitale Anbieter – Suchmaschinen, soziale Netzwerke, Online-Marktplätze
- Forschungseinrichtungen
Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:
Mittlere Unternehmen
50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
Große Unternehmen
mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR
Die konkreten Angaben zur Bemessung der Unternehmensgröße haben zur Folge, dass sich die Zahl der Unternehmen, die zum Bereich der kritischen Infrastrukturen gezählt werden, massiv erhöht. NIS-2 sorgt dafür, dass Maßnahmen zur Stärkung der Cybersicherheit für die breite Masse der Unternehmen in ganz Europa obligatorisch werden. Allein in Deutschland werden nach Schätzungen etwa 30.000 Unternehmen von NIS-2 betroffen sein.
Hinweis: Unternehmen werden nicht darüber informiert, ob sie von der NIS-2-Richtlinie betroffen sind. Prüfen Sie daher, ob Sie bzgl. Ihrer Größe und Branche dazuzählen. Ist dies der Fall, liegt die Verantwortlichkeit bei der Geschäftsführung. Im Unternehmen müssen Personen festgelegt werden, die die Vorgaben operativ umsetzen. Sprechen Sie zudem Ihren bestehenden IT-Dienstleister darauf an.Es ist sehr empfehlenswert, sich für die Umsetzung fachkundige Unterstützung hinzuziehen.
Verschärfung der Meldepflichten
Verschärfung der Meldepflichten
Sicherheitsvorfälle müssen durch die betroffenen Unternehmen gemeldet werden. In Deutschland ist die zuständige Behörde das Bundesamt für Sicherheit in der Informationstechnik (BSI). Vorgesehen ist dafür ein dreistufiger Prozess:
- Innerhalb von 24 Stunden muss direkt nach Bekanntwerden eines Vorfalls ein vorläufiger Bericht übermittelt werden.
- Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen, der auch eine erste Bewertung des Vorfalls enthält.
- Innerhalb eines Monats muss ein Abschlussbericht eingereicht werden, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.
Von NIS-2 betroffene Unternehmen müssen sich ab dem 18. Oktober 2024 beim Bundesamt für Informationssicherheit (BSI) registrieren lassen. Die Details sind noch nicht festgelegt.
Haftung und Sanktionen
Außer der Meldepflicht für Vorfälle verschärft NIS-2 auch die Sanktionen für die Missachtung der Vorgaben.
- Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist.
- Bei wichtigen Einrichtungen ist das maximale Bußgeld auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt.
Die NIS-2 Richtlinie sieht vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der IT-Sicherheitsmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei maximal 2 Prozent des weltweiten Jahresumsatzes betragen.
Was müssen Unternehmen beachten?
Betroffene Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Sicherheitsrisiken zu beherrschen und die Auswirkungen von Vorfällen zu verhindern oder möglichst gering zu halten.
Dazu gehören:
- Dokumentierte Risikoanalyse und Sicherheitsmaßnahmen für Informationssysteme
- Pläne zur Bewältigung von Sicherheitsvorfällen
- Verfahren zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Einführung eines Krisenmanagements
- Schaffung von Sicherheiten in der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- Schaffung von grundlegende Verfahren im Bereich der Cyberhygiene (zum Beispiel Updates) und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Konzepte für die Zugriffskontrolle und das Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Weiterführende Informationen:
- BSI - NIS-Richtlinien
- NIS-2-Richtlinie im Amtsblatt der EU
- Aktuelle Informationen aus dem KRITIS-Fachbereich
KI VO
Als ein Entwurf für eine unionsweite Rechtsverordnung über künstliche Intelligenz (KI) zielt der Artificial Intelligence Act (AI Act/ KI VO) darauf ab, den Umgang mit KI-Systemen mit datenschutzrechtlichen sowie grundrechtlichen Vorgaben in Einklang zu bringen, um so das allgemeine Vertrauen in die KI sowie die Bereitschaft für die Nutzung von KI für innovative Prozesse zu optimieren. Vor diesem Hintergrund gründet der Entwurf auf einem risikobasierten Ansatz, nach dem KI-Systeme in Risikokategorien unterteilt werden: inakzeptables Risiko, hohes Risiko, geringes/minimales Risiko. Je nach Einteilung eines jeweiligen KI-Systems in einen der benannten Risikobereiche, werden unterschiedlich hohe Anforderungen an dessen Verkauf, Bereitstellung jeglicher Art und Nutzung gestellt, die beispielsweise von Dokumentations- und Transparenzpflichten bis hin zu ausdrücklichen Verboten reichen. Verboten sind z. B. solche KI-Systeme, die den ethischen Grundsätzen in der EU widersprechen und somit ein inakzeptables Risiko darstellen. Hierunter fallen z. B. Social-Scoring-Systeme. KI-Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen, sind auf dem europäischen Markt zugelassen, sofern sie bestimmten zwingend vorgeschriebenen Anforderungen genügen und vorab eine Konformitätsbewertung durchgeführt wird. Hierzu zählen u.a. KI-Systeme aus dem Personalmanagement, der Aus- und Weiterbildung und der kritischen Infrastruktur. KI-Systeme mit geringem/minimalem Risiko (z. B. Chatbots) unterliegen neben minimalen Transparenzpflichten keinen zusätzlichen Verpflichtungen. Neben den Entwicklern und Anbietern können sogar die bloßen Nutzer von KISystemen von den jeweiligen Bestimmungen betroffen sein. Für die Nutzer werden jedoch derartige Vorgaben nur dann bedeutsam, sofern sie auf die entsprechenden Systeme im Rahmen ihrer beruflichen Tätigkeit zurückgreifen.
Wer ist betroffen?
Neben den Entwicklern und Anbietern können sogar die bloßen Nutzer von KI-Systemen von dem AI Act betroffen sein. Allerdings werden für die Nutzer derartige Vorgaben nur dann bedeutsam, sofern sie auf die entsprechenden Systeme im Rahmen ihrer beruflichen Tätigkeit zurückgreifen. Da künstliche Intelligenz in sämtlichen Wirtschaftszweigen und Geschäftsfeldern verwendet werden kann, kann der Anwendungsbereich nicht pauschal auf bestimmte Branchen beschränkt werden.
Neben den Entwicklern und Anbietern können sogar die bloßen Nutzer von KI-Systemen von dem AI Act betroffen sein. Allerdings werden für die Nutzer derartige Vorgaben nur dann bedeutsam, sofern sie auf die entsprechenden Systeme im Rahmen ihrer beruflichen Tätigkeit zurückgreifen. Da künstliche Intelligenz in sämtlichen Wirtschaftszweigen und Geschäftsfeldern verwendet werden kann, kann der Anwendungsbereich nicht pauschal auf bestimmte Branchen beschränkt werden.
Status: Der Europäische Rat hat dem AI Act am 21. Mai 2024 zugestimmt, sodass dem Inkrafttreten der Verordnung nichts mehr im Wege steht. Die Verordnung tritt am 20. Tag nach Veröffentlichung im EU-Amtsblatt in Kraft, ab dann läuft eine 24-monatige Übergangsfrist, wobei einige Vorschriften aber auch schon früher anwendbar sind.
Cyber Resilience Act
Der Cyber Resilience Act (CRA) sieht grundlegend verbindliche Cybersicherheitsanforderungen für Produkte vor, die miteinander oder dem Internet verbunden werden können, um nutzende Unternehmen sowie Verbraucher adäquat vor datenschutzrechtlichen Gefahren zu schützen.
Wer ist betroffen?
Neben den Herstellern von Produkten mit digitalen Elementen sind sowohl die Händler als auch Einführer solcher Produkte vom CRA umfasst.
Neben den Herstellern von Produkten mit digitalen Elementen sind sowohl die Händler als auch Einführer solcher Produkte vom CRA umfasst.
Status: in Verhandlung.
Gigabit Infrastructure Act
Durch den Gigabit Infrastructure Act (GIA) wird die Beschleunigung und Kostensenkung für den Ausbau von Hochgeschwindigkeitsnetzen beabsichtigt, die insbesondere durch die Vereinfachung der bislang komplizierten und mühsamen Genehmigungsverfahren erreicht werden sollen.
Wer ist betroffen?
In erster Linie sind Unternehmen vom GIA betroffen, die mit dem Ausbau von Breitbandnetzen (darunter insbesondere Glasfasernetzen) beschäftigt sind. Unter Umständen können sich die entsprechenden Vorschriften ebenso auf Besitzer weiterer Infrastrukturen (Gas- und Wasserleitungen, öffentliche Gebäude) auswirken.
In erster Linie sind Unternehmen vom GIA betroffen, die mit dem Ausbau von Breitbandnetzen (darunter insbesondere Glasfasernetzen) beschäftigt sind. Unter Umständen können sich die entsprechenden Vorschriften ebenso auf Besitzer weiterer Infrastrukturen (Gas- und Wasserleitungen, öffentliche Gebäude) auswirken.
Status: in Verhandlung.