EU Direktiven für die IT & das Informationsmanagement in 2023 & 2024

13. Januar 2023 11:48 Uhr  |  Dr. Ulrich Kampffmeyer  |  Permalink


Das europäische Programm „Priorities 2019 – 2024 – A Europe fit for the digital age“ (Ein Europa für das Digitale Zeitalter) endet offiziell in zwei Jahren, 2024. Bis dahin ist noch viel zu tun.

Die EU Kommission arbeitet an 10 Schwerpunktthemen:

  • Digital Services Act (DSA)
  • Digital Market Act (DMA)
  • European Chips Act (ECA)
  • European Digital Identity (EIDAS)
  • European Data Strategy
  • Artificial Intelligence (AI Act)
  • European Industrial Strategy
  • Contributing to European Defence
  • Space
  • EU-US Trade and Technology Council

Sieben Themen betreffen direkt die IT und das Informationsmanagement. Drei weitere sind ohne IT und Informationsmanagement nicht denkbar. Alles, was an Regelungen bis Ende 2024 wirksam werden soll, kommt in diesem Jahr auf uns zu.

Der Vorteil europäischer Regelungen ist, dass diese auf dem Server der EU bereits während des Entstehens und des Abstimmungsprozesses vorliegen, dann erst in europäische Gesetze und diese dann nochmals mit Verzögerung in nationales Recht umgesetzt werden müssen. Dies erlaubt ausreichend Vorbereitungszeit. Die Gesetze und Verordnungen, die auf die Unternehmen, Behörden und Organisationen zukommen, dürften also niemanden wirklich überraschen.

AI Act
Artificial Intelligence Act (COM(2021) 206 final, 2021/0106(COD))

Die Europäische Union hat bereits eine Reihe von Dokumenten und Verordnungen im Zusammenhang mit künstlicher Intelligenz (KI) und ihrer Nutzung veröffentlicht. Dazu gehören z.B. folgende:

  • „EU-Strategie für künstliche Intelligenz“ (2018)
    Ansatz der EU in Bezug auf KI mit Festlegung von Prioritäten sowie zu Zielen für die Entwicklung und Nutzung von KI in der EU.
  • „Ethik-Leitlinien für vertrauenswürdige KI“ (2019)
    Expertengruppe für Künstliche Intelligenz (AI HLEG) der Europäischen Kommission veröffentlichte Empfehlungen zu ethischen Grundsätzen, die bei der Entwicklung und dem Einsatz von KI befolgt werden sollten.
  • „Verordnung über den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union“ (2018)
    Erleichterung des Austauschs und der Speicherung nicht-personenbezogener Daten innerhalb der EU, einschließlich Daten, die bei der Entwicklung und dem Einsatz von KI-Systemen verwendet werden.
  • „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DSGVO) (2018)
    Vorgaben für den Schutz personenbezogener Daten, einschließlich der Daten, die bei der Entwicklung und dem Einsatz von KI-Systemen verwendet werden.

Im Artificial Intelligence Act (AI Act) geht es nun um das Thema „Vertrauen“ in die Technologie („Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz, GKI) und zur Änderung bestimmter Rechtsakte der Union, 2021/0106(COD)„). Künstliche Intelligenz ist sehr schwer regulier- und kontrollierbar. Dennoch soll ein einheitlicher Rechtsrahmen für Europa geschaffen werden, obwohl zahlreiche Anbieter von Software und Plattformen nicht in der EU beheimatet sind. Diese fügt weitere Schwierigkeiten hinzu. Zum Beispiel wird über Ausnahmen für Behörden und Organisationen in Drittstaaten gestritten. Die Komplexität des Themas wird schon dadurch deutlich, dass mehr als 3000 Änderungs- und Ergänzungsvorschläge eingereicht worden sind. Bei vertrauenswürdiger KI geht es um einheitliche Regeln für die Entwicklung, Vermarktung und Verwendung von KI innerhalb der EU im Einklang mit ihren Werten und den Grundrechten. Es geht um den Aufbau einer KI-freundlichen Rechtsordnung und Förderung der Entwicklung von Ethik-Leitlinien. Dazu kommt die Stärkung der Kompetenzen und Fähigkeiten durch Schulungsmaßnahmen. Auch an den Mittelstand wurde gedacht, in dem es Förderung bei kleineren und mittelständischen Unternehmen für den Einsatz KI geben soll. Die KI-Infrastruktur soll in Europa ausgebaut werden. Nicht zuletzt soll eine Stärkung der ethischen, rechtlichen und gesellschaftlichen Aspekte von Künstlicher Intelligenz durch die Einbeziehung von Zivilgesellschaft, Ethik-Experten und anderen Interessengruppen gefördert werden. Nicht zuletzt spielt auch das Thema Datenschutz, GDPR (in Deutschland DSGVo/BDSGneu) hier mit hinein. Geheimdienste, Forschung und Militär haben eigene Vorstellungen, wie sie KI zukünftig nutzen wollen. Hier spielen Biometrie, Fernerkundung, Kommunikationsauswertung und andere Anwendungsfelder von Künstlicher Intelligenz eine Rolle. In der Diskussion ist ein Vorschlag, der Behörden von Nicht-EU-Staaten auszunehmen, wenn sie KI im Rahmen von Vereinbarungen über internationale oder justizielle Zusammenarbeit nutzen und ein Angemessenheitsbeschluss der EU-Kommission nach GDPR General Data Privacy Regulation vorliegt. Eine Umsetzung einer Europa-weiten Ethik der Künstlichen Intelligenz droht daher in eine „WischiWaschi-Vorlage“ zu münden.

Die Kommission will, dass KI-Systeme, die in der EU eingesetzt werden, sicher, transparent, ethisch, unparteiisch und unter menschlicher Kontrolle sind. Sie werden in vier Risiko-Klassen eingeordnet: 

  • Unzulässig (Unacceptable Risk)
  • Hohes Risiko (High Risk)
  • Begrenztes Risiko (Limited Risk)
  • Minimales Risiko (Minimal Risk)

Wer diese Einordnungen vornimmt und die Einhaltung letztlich prüft, ist ein noch offenes Thema. Eine Expertengruppe soll zunächst die Mindestanforderungen entsprechend definierten Ethik-Leitlinien festlegen. Als Unzulässig (Unacceptable) gelten besonders biometrische Systeme zur Fernidentifizierung, Social Scoring und manipulative Systeme mittels Techniken der unterschwelligen Beeinflussung Schutzbedürftiger. Verstöße sollen durch Bußgelder in einem Rahmen bis zu 30 Millionen oder sechs Prozent des weltweiten Jahresumsatzes des Anbieters geahndet werden können. Wirksam wird der AI Act voraussichtlich erst 2025. Angesichts der aktuellen Entwicklungen von Microsoft und Google mit Einbau von AI Artificial Intelligence in Suchanwendungen ist das reichlich spät.

CASM
Child Abuse Material (COM(2022) 209 final, 2022/0155 (COD))

Die Verbreitung von Kinder-Pornografie und damit verbunden des Kindesmißbrauchs, stellen ein wesentliches Problem im Internet dar. Durch den CASM Child Abuse Material Act soll dies eingedämmt werden. Wesentliche Maßnahmen sind:

  • Schutz von Kindern und Jugendlichen vor sexueller Ausbeutung und Gewalt
  • Verhinderung der Verbreitung von Child Abuse Materialien
  • Verfolgung von Delikten und Bestrafung von Tätern
  • Förderung einer sicheren und inklusiveren Online-Umgebung
  • Verbesserung der Zusammenarbeit und Koordination zwischen den europäischen Mitgliedstaaten und Strafverfolgungsbehörden bei der Bekämpfung von Kinderpornografie.

Die „Verordnung des Europäischen Parlaments und des Rates zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern, COM(2022) 209 final, 2022/0155 (COD)“ befindet sich im Abstimmungsprozess. Kinderpornografie soll durch Hosting-, Suchmaschinen-, Internet-Plattform- und Kommunikationsanbieter sowie App-Stores aufgespürt und gelöscht werden. Dies soll von nationalen Aufsichtsbehörden überwacht werden, die auch verbotene Inhalte sichern können soll. Die konkreten Vorgaben sollen von einem noch zu schaffenden EU Centre on Child Sexual Abuse (EU Centre) definiert werden. Für die Anbieter digitaler Dienste gibt es zahlreiche Anforderungen:

  • Berichtspflicht
  • Inhalte sind zu Löschen, bzw. der Zugang zu Ihnen zu unterbinden (auch wenn die Inhalte außerhalb der EU gehostet werden)

Zusätzlich gibt es für die verantwortlichen Unternehmen Berichtspflichten. Sie müssen entsprechende Inhalte löschen oder den Zugang zu ihnen effektiv unterbinden, wenn die Inhalte außerhalb der EU gehostet werden. Die Aufsichtsbehörden können Anordnungen treffen, denen unverzüglich Folge zu leisten ist. Wann die CSAM-Richtlinie verabschiedet werden wird, ist noch offen. Der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss sind allerdings der Meinung, dass die geplanten Regelungen nicht vereinbar mit der Datenschutz-Grundverordnung und den freiheitlichen Grundrechten sind.

CRA
Cyber Resilience Act (COM(2022) 454 final, 2022/0272(COD))

Cyberattacken gehören inzwischen zum täglichen Leben. Kriminelle Organisationen wie auch Staaten versuchen Erpressungsgelder einzutreiben oder die kritische Infrastruktur anzugreifen. Mit ihren Maßnahmen zur Verbesserung der Cyber-Resilienz will die EU Systeme sicherer und stabiler gegen Angriffe machen. Zu den Hauptargumenten gehören:

  • Stärkung der Cybersicherheit und Widerstandsfähigkeit der EU gegen Cyberangriffe und -bedrohungen
  • Verbesserung der Zusammenarbeit und Koordination zwischen den Mitgliedstaaten bei der Bekämpfung von Cyberbedrohungen
  • Schaffung von Rechtsvorschriften und -standards für die Cybersicherheit in der EU
  • Förderung der Innovation und Entwicklung von Technologien und Fähigkeiten im Bereich der Cybersicherheit
  • Unterstützung der Wirtschaft durch die Verbesserung der Cybersicherheit und die Reduzierung von Risiken für Unternehmen
  • Schaffung von Klarheit und Transparenz für Unternehmen und Bürger in Bezug auf ihre Rechte und Pflichten in Bezug auf die Cybersicherheit
  • Verbesserung des Schutzes von sensiblen Daten und Informationen

Mit dem Cyber Resilience Act („Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020; COM (2022) 454 final; 2022/0272 (COD)„) will die EU gemeinsame Cybersicherheitsstandards für vernetzte Geräte und Dienste („Produkte mit digitalen Anteilen“) festlegen. Dies soll zur Stärkung der Cybersicherheit in Europa beitragen. Die aktuell im Entscheidungsprozess befindlichen Regularien verlangen von Produktherstellern und Dienstleistern ein definiertes Niveau an Cybersicherheit einzuhalten. Dies kann so weit gehen, dass bestimmte Produkte vom Verkauf in Europa ausgeschlossen werden. Der Entwurf sieht dabei zwei unterschiedliche Kategorien für kritische Produkte vor:

  • Hoch
    Hersteller von Desktop- und Mobilgeräten, virtualisierten Betriebssystemen, Ausstellern digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräten, Robotersensoren, intelligenten Zählern und IoT-Geräten jeglicher Art, Routern und Firewalls für den industriellen Einsatz.
  • Mittel
    Hersteller und Dienstleistung mit Einsatz anderer Produkte mit digitalen Inhalten.

Der Entwurf sieht aktuell Bußgelder bis 15 Millionen Euro, bzw. 2,5 Prozent des weltweiten Jahresumsatzes vor. Mit der Verabschiedung des CRA ist 2023 zu rechnen, nachdem besonders die Auswirkungen auf kleinere und mittelständische Anbieter noch einmal eruiert worden sind. Teile der Verordnung treten bereits 12 Monate nach Verabschiedung in Kraft. Generell wird der Cyber Resilience Act aber erst 24 Monate nach Verabschiedung wirksam.

DAC7
Directive Administrative Cooperation in the Field of Taxation (ST/12908/2020)

Die Umsetzung der Richtlinie in deutsches Recht (Gesetz zur Umsetzung der Richtlinie (EU) 2021/514 des Rates vom 22. März 2021 zur Änderung der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und zur Modernisierung des Steuerverfahrensrechts) haben wir bereits andersweitig in unserem Blog besprochen: http://bit.ly/3OnUHGF. Auch diese Richtlinie bringt eine Reihe von Veränderungen im Bereich der Datenspeicherung und des Zugriffsmöglichkeiten durch Prüfer mit sich. Die DAC7 ist bereits in Kraft.

DGA
Data Governance Act (COM(2020) 767 final; 2020/0340(COD))

Zur Verbesserung der Datensicherheit in Europa setzt sich die EU im Rahmen des Digital-Market-Programms auch dem Thema der Data Governance zu. Gründe hierfür gilt es vielfältige:

  • Schaffung von Rechtsvorschriften und -standards für den Umgang mit Daten in der EU
  • Förderung der vertrauenswürdigen Verwendung von Daten und der Vermeidung von Missbrauch
  • Verbesserung der Transparenz und Nachvollziehbarkeit bei der Verwendung von Daten
  • Stärkung des Datenschutzes und der Privatsphäre von Bürgern und Unternehmen
  • Förderung der Innovation und Entwicklung von Technologien im Bereich der Datenverarbeitung
  • Unterstützung der Wirtschaft der EU durch die Verbesserung der Zugänglichkeit und Nutzbarkeit von Daten
  • Verbesserung der Zusammenarbeit und Koordination zwischen den Mitgliedstaaten bei der Regulierung von Daten

Der Entwurf zur „Regulation of the European Parliament and of the Council on European Data Governance (Data Governance Act; DGA)“ liegt seit bereits seit dem Jahr 2020 vor. Er ist Bestandteil der 2020 veröffentlichten europäischen Datenstrategie. Der Entwurf ergänzt die Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019. Diese betrifft „offene Daten“ (Open Content; Open Data) und die Weiterverwendung von Informationen des öffentlichen Sektors. Als einschlägige Rechtsgrundlage wurde Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union („AEUV“) herangezogen, so dass die Richtlinie europaweit umzusetzen sein wird. Sie betrifft Daten, die öffentlich bereitgestellt und auch Daten die nach IFG Informationsfreiheitsgesetz angefordert werden. Die Richtlinie ist seit September 2022 in Kraft und wird zum 24.09.2024 wirksam. Data Governance subsummiert letztlich auch Information Governance.

DMA
Digital Markets Act (COM(2020) 842 final; 2020/0374(COD))

Der Digital Markets Act ist ein wichtiger Baustein zur Etablierung des europäischen DSM Digital Single Market. Der Digitale Binnenmarkt umfasst eine Vielzahl von Initiativen der EU:

  • Vereinfachung des grenzüberschreitenden Pakethandels
  • Harmonisierung der Verbraucher- und Vertragsvorschriften innerhalb der EU
  • Überprüfung der Satelliten- und Kabelrichtlinie 93/83/EWG
  • Abschaffung des Geoblockings
  • Modernisierung des Urheberrechts
  • Vereinfachung der Mehrwertsteuer-Vorschriften
  • Bedarfsgerechte Telekommunikationsvorschriften
  • Digitalisierung der Industrie
  • gemeinsame europäische Normen

Die „Verordnung des Europäischen Parlaments und des Rates über bestreitbare und faire Märkte im Digitalen Sektor (Gesetz über Digitale Märkte)“ sieht vor, sogenannte „Gatekeeper“ zu regulieren. Als „Gatekeeper“ sind Unternehmen mit ihren Plattformen definiert, die eine dominante Stellung auf einem oder mehreren digitalen Märkten haben und deren Plattformen von vielen Nutzern und Anbietern genutzt werden. Über die Plattformen von „Gatekeepern“ werden Transaktionen, Geschäfte, Software und andere Leistungen digital bereitgestellt. Dies betrifft auch alle Services wie IaaS, PaaS, SaaS und hybride Formen dieser Angebote. Relevant für die Definition des „Gatekeeper“ sind die wirtschaftliche Position und die Nutzerzahlen. Die wichtigsten Elemente der Verordnung sind:

  • Förderung des Wettbewerbs im digitalen Single Markets, in dem “ zu fördern, indem er „Gatekeeper“-Unternehmen dazu verpflichtet werden, den Zugang zu ihren Plattformen für andere Unternehmen und Dienste fairer und transparent zu gestalten
  • Beschränkung der Marktmacht und Verhinderung von Monopol-Bildung von „Gatekeeper“-Unternehmen
  • Verhinderung von Diskriminierung in dem „Gatekeeper“-Unternehmen verpflichtet werden, die Dienste anderer Unternehmen von ihren eigenen zu trennen
  • Stärkung des Schutzes der Privatsphäre von Nutzern
  • Verbesserung der Situation von Kleinunternehmen und Start-ups in dem „Gatekeeper“-Unternehmen verpflichtet werden, einen einfachen Zugang zu ermöglichen
  • Eine Bevorzugung eigener Waren und Dienstleistungen auf einer Plattform mit gemischten Angeboten ist dem „Gatekeeper“-Unternehmen untersagt
  • Das einfachere Deinstallieren von Apps und elektronische Kündigung von Nutzungsverträgen durch die Nutzer muss ermöglicht werden
  • Eine Durchführung von Werbemaßnahmen außerhalb der „Gatekeeper“-Plattform mit Daten von Nutzern darf nicht erfolgen
  • Die effektive Regulierung im digitalen Bereich, Durchsetzung der Regeln und Überwachung der Einhaltung durch die „Digital Markets Unit“ als neue Europäische Behörde sicher zu stellen

Der Digital Markets Act (DMA) ist bereits im November 2022 in Kraft getreten und wird ab 2. Mai 2023 wirksam ist. Bußgelder für Verstöße können bis zu 20 Prozent des weltweiten Jahresumsatzes des „Gatekeepers“ betragen.

DORA
Digital Operational Resilience Act (COM(2020) 595 final; 2020/0266 (COD))

Bereits im November 2022 trat die „Regulation of the European Parliament and of the Council on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014“ für Finanzdienstleister, wie z.B. Banken, in Kraft. In der VVerordnung des Europäischen Parlaments und des Rates über die Betriebsstabilität digitaler Systeme des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014 geht es um die Cybersicherheit von Anwendungen und Kommunikation im Online-Geschäft und um die Absicherung der Backend-Systeme. Zu den wichtigsten Punkten der Richtlinie gehören:

  • Umsetzung von Risikomanagement in der IT,
  • Verantwortung der Führungskräfte für die Sicherheit ihrer Systeme,
  • Meldewesen für Vorfälle,
  • Durchführung von Tests, Audits und Prüfungen der Betriebsstabilität (auch durch Dritte),
  • Steuerung des Risikos bei Outsourcing und Cloud-Nutzung, und
  • Vereinbarungen zum Informationsaustausch in Europa.

Hierbei spielen sicheres Information Management und eine effektive Information Governance besonders wichtige Rollen.

DORA bringt eine Reihe von Verbesserungen für kleinere Finanzinstitute mit. Jedoch ist die Ausgestaltung der Überwachung der Einhaltung von DORA zwiespältig, da sich hier Bank-interne Vorgaben, Standards und Auditprozesse mit den Prüfungen durch Dritte überschneiden. Hier bedarf es noch konkreter Regelungen, wie dies umzusetzen ist. DORA tritt nach einer Umsetzungsfrist von zwei Jahren zum 1.1.2025 in Kraft.

Parallel wird in Deutschland bereits durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) an der Aktualisierung von MaRisk und BAIT gearbeitet. Die Konsultation zur siebten Novellierung der „Mindestanforderungen an das Risikomanagement (MaRisk)“ wurde Ende 2022 abgeschlossen. Ziel der siebten Novellierung der MaRisk ist es, die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) für die Kreditvergabe und Überwachung umzusetzen. Hierzu gab es bereits von der BaFin eine Compliance-Erklärung gegenüber der EBA. Darüber hinaus greift die Novellierung Erkenntnisse aus der Prüfungspraxis zu Immobilieneigengeschäften der Institute auf. Erstmals werden in MaRisk auch Nachhaltigkeitskriterien berücksichtigt. Mit der Veröffentlichung des Rundschreibens wird Anfang 2023 gerechnet. Dies zieht auch eine Aktualisierung der BAIT „Bankaufsichtliche Anforderungen an die IT“ nach sich.

DSA
Digital Services Act (COM(2020) 842 final; 2020/0374(COD))

Die „Regulation of the European Parliament and of the Council on a Single Market for Digital Services (DSA, Digital Services Act) and amending Directive 2000/31/EC“ fügt sich ein in die bisherigen Vorgaben zum DSM Digital Single Market und zum DMA Digital Markets Act. Der umfangreiche DSA zielt besonders auf die großen Plattform-Anbieter wie Google, Facebook, Amazon, Youtube und ähnliche marktbeherrschende Unternehmen. Die Europäische Kommission hofft, dass sich die Regelungen des DSA nicht nur in Europa durchsetzen lassen, sondern dass das Werk zu einem internationalen Standard wird. Tat die GDPR General Data Privacy Regulation bereits den Internetplattformen „weh“, so verschärft sich dies nun mit weiteren Maßnahmen, die „ans Eingemachte“ der Anbieter gehen. Die Unternehmen müssen z.B. die Funktionsweise ihrer Algorithmen offenlegen, Verantwortung für mögliche Gefahren für die Gesellschaft und die Nutzer übernehmen sowie saftige Strafen bei Verstößen erwarten. Bei großen Anbietern und schweren Verstößen dürften die Buß- und Strafgelder die Milliardengrenze erreichen.

Die EU delegiert die Umsetzung des DSA in die Mitgliedsstaaten. Der Katalog der umzusetzenden Anforderungen ist lang und detailliert:

  • Regeln für den Umgang mit illegalen Inhalten und deren dokumentierter Löschung.
  • Untersagung des Monitorings von Nutzern und Inhalten nebst Auswertung und Speicherung dieser.
  • Möglichkeiten für Anwender, Entscheidungen zum Löschen und Editieren von bereitgestellten Inhalten anzufechten.
  • Transparenz bei Empfehlungen und die Wirkungsweise von Algorithmen sowie die Regeln der Moderation.
  • Einschränkung der zielgerichteten Online-Werbung auf Basis von Nutzerprofilen sowie Darlegung an die Nutzer, wie die Algorithmen funktionieren und warum welche Werbung ausgespielt wird. Dies schließt irreführende Designs ein, die Nutzer zu ungewolltem Verhalten führen.
  • Mit jährlichen Berichten müssen die Plattform-Anbieter angeben, was gelöscht wurde, welche automatisierten Systeme bestehen, und wie sie mit Beschwerden von Nutzern umgehen.
  • Auflagen für Anbieter größerer Plattformen, um systemische Risiken der Software einzudämmen. Dies betrifft Hassbotschaften, Verschwörungstheorien, Falschmeldungen und andere Formen von Inhalten, die einen negativen Einfluss auf Grundrechte der Nutzer haben. Es sollen messbare, nachvollziehbare Maßnahmen von diesen Anbietern ergriffen werden.
  • Der Zugang für Auditoren und externe Prüfungsinstanzen wird gesetzlich verankert. Daten müssen mit den Prüfern aber auch Behörden anderen Organisationen der EU geteilt werden.
  • Die Daten der Plattformanbieter und die Erkenntnisse der Prüfer sollen auch für Forscher, Presse und Öffentlichkeit einsehbar und überprüfbar sein.
  • Die Europäische Kommission, sowie die nationalen Behörden der EU-Staaten, erhalten neue Kompetenzen, um die Anforderungen des DSA umzusetzen, d.h. zu beaufsichtigen, zu prüfen und zu bewerten.
  • Es soll eine Koordination zwischen der Europäischen Kommission durch eine neue Institution und den zuständigen Stellen der Migliedstaaten geschaffen werden.
  • Ein einheitlicher Kriterien- und Bußgeld-Katalog soll gültig werden, der Strafen bis zu 6% des weltweiten Umsatzes des betroffenen Plattform-Anbieters betragen kann.
  • Die Kosten für die Beaufsichtigung sollen durch Gebühren der betroffenen Unternehmen getragen werden.
  • In 2023 soll eine Einstufung der Plattformen auf Basis ihrer Nutzerzahl erfolgen. Hier werden 45 Millionen Nutzer in der EU als Maßstab für z.B. Social-Media-Plattformen (VLOG, Very Large Online Platform) oder Suchmaschinen (VLOSE, Very large Online Search Engine) diskutiert.

Im Februar 2024 tritt der DSA in allen EU-Mitgliedstaaten in Kraft. Bis dahin müssen die nationalen Gesetze verabschiedet und die entsprechende Behördenorganisation aufgebaut sein. In Deutschland muss z.B. das NetzDG (Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken) neu gefasst werden. EU-seitig wurde mit dem Europäischen Zentrum für algorithmische Transparenz bereits die notwendige Organisation eingerichtet, um die Durchsetzung des DSA zu ermöglichen. Auf nationaler Ebene sieht es noch ziemlich leer aus. Auch ist noch sehr viel Detailarbeit zu leisten, um notwendige rechtliche Grundlagen zu schaffen, den Informationsaustausch und das Zusammenwirken zu organisieren, die Kriterien festzuzurren und die ersten Untersuchungen zu starten. Gerade bei international agierenden Plattformen ist noch zu klären, wer, wann, wen prüft, um Doppelarbeit zu vermeiden und möglichst konzentriert rechtlich gegen den Verstoßenden vorzugehen. Dies alles soll bereits in 2023 losgehen, denn im Februar 2024 tritt der DSA in Kraft.

ECA
European Chips Act (COM(2022) 46)

Der European Chips Act befindet sich aktuell in der Diskussion der Gremien. Er soll die europäische IT-Industrie stärken, um von ausländischen Zulieferern so weit als möglich unabhängig zu werden.

Im Februar 2022 legte die Kommission einen Vorschlag für eine EU-Chips-Verordnung (ECA Europea Chips Act vor, mit der die gesamte Wertschöpfungskette für Semikonduktoren und andere Halbleiter-Komponenten in der EU gestärkt werden soll. ECA basiert auf drei Säulen:

  • Förderung des Aufbaus technologischer Kapazitäten in großem Maßstab und der Innovation im EU-Semikonduktor-Ökosystem: dies schließt Design Kapazitäten für integrierte Halbleitertechnologien, Pilotlinien für die Vorbereitung innovativer Produktion sowie Test- und Versuchsanlagen, fortgeschrittene Technologie- und Engineering-Kapazitäten für Quantenchips, ein Netz von Kompetenzzentren und Kompetenzentwicklung und „Chips Fund“-Aktivitäten für den Zugang zu Fremd- und Eigenkapital ein.
  • Verbesserung der Versorgungssicherheit der EU-Staaten durch Eigenproduktion wichtiger Komponenten: dies soll auch Projekte zur Verbesserung der Versorgungssicherheit in der EU fördern, die Versorgungssicherheit generell zu verbessern, indem Investitionen angezogen und die Produktionskapazitäten ausgebaut werden. Es werden zwei EU-Gütesiegel für Produktionsanlagen definiert, die den Preisträgern eine Reihe von Vorteilen bieten, z.B. Integrierte Produktionsstätten“ (IPF) und „Offene Europäische Produktionsanlagen“ (OEF). Dazu muss eine solche Anlage zunächst als „First-of-a-kind facility“ (FOAK) eingestuft werden. Und viele weitere nette neue Abkürzungen.
  • Einrichtung eines Überwachungs- und Krisenreaktionsmechanismus. Im Falle von Versorgungskrisen kann die EU dann Unternehmen um Informationen bitten, Unternehmen zur Annahme von Bestellungen für krisenrelevanter Produkte anzuhalten und diese Bestellungen zu priorisieren, und gemeinsame Käufe im Namen der Mitgliedstaaten tätigen, um die Verfügbarkeit und die Preise zu steuern. Ein Überwachungs-, Krisenreaktions- und Warnmechanismus beim neu geschaffenen Europäischen Halbleiterausschuss (ESB) greifen. An den ESB müssen die nationalen Organisationen und die klassifizierten Anbieter regelmäßig berichten.

Mit der Vorlage des EU ECA wird auch in 2023 gerechnet und bis Ende 2024 soll auch diese Direktive verabschiedet sein.

ECODESIGN
Revision der Directive 2009/125/EC

Die EU bereitet eine Revision der „Directive 2009/125/EC of the European Parliament and of the Council of 21 October 2009 establishing a framework for the setting of ecodesign requirements for energy-related products (recast)“ vor. Ziel ist die Anpassung der aus 2009 stammenden Richtlinie, die bisher auch nur unzureichend umgesetzt wurde. Während ECODESIGN zunächst sich auf das Thema Energie und Energiesparen fokussierte, kommt nun die Kreislaufwirtschaft mit Wiedernutzung technischer Geräte und Teile hinzu. Die neuen Regelungen sollen dabei Nachhaltigkeitsanforderungen stärker einführen. Hier steht das Recht auf Reparatur im Fokus. Hersteller von Smartphones, Tablets und Co. müssen danach Reparaturanleitungen und für die Dauer von sieben Jahren bestimmte Ersatzteile wie Displays und Batterien verfügbar halten. Software-Updates müssen fünf Jahre lang bereitgestellt werden. Die Updates dürfen die Geräteperformance und vorhandene Daten nicht beeinträchtigen. Die Rechte von Reparatur-Dienstleistern sollen gestärkt werden.

So nebenbei wurde in diesem Zusammenhang auch die Vereinheitlichung von Netzgeräten und USB-Steckern geregelt durch eine Revision geregelt: „A common charger for electronic devices – Revision of the Radio Equipment Directive“ (https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/698819/EPRS_BRI(2021)698819_EN.pdf). Es gilt der Stecker dann die USB-C-Buchse zum Laden, wenn dies nicht schon induktiv geschieht. Besonders Apple ist nicht glücklich.

All dies soll in 2023 vorangetrieben und bis Ende 2024 in Kraft treten.

eIDAS „2.0“
Electronic Identification and Trust Services for Electronic Transactions in the Internal Market (L257, Volume 57, 28 August 2014)

Die eIDAS Regulation von 2014 „Regulation (EU) No 910/2014 of the European Parliament and the of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC“ befindet sich in Überarbeitung. Mit eIDAS 2.0 sollen bestehende Schwächen ausgeglichen und der Geltungsbereich, z.B. im Bereich Digitaler Identitäten erweitert werden. Hierzu wurde bis Oktober 2022 eine Konsultation durchgeführt, um Rückmeldungen zu Treibern und Hindernissen für die Entwicklung und Einführung von Vertrauensdiensten und eID in Europa zu sammeln. In der Studie wurden auch die Auswirkungen der Optionen für die Bereitstellung einer digitalen Identität der EU untersucht. Dies soll in eine überarbeitete Gesetzesversion münden.

ePVO ePrivacy
ePrivacy-Richtlinie (COM(2017) 10 final; 2017/0003 (COD))

Die Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) wird auch in Deutschland immer als die ePrivacy-Richtlinie referenziert. Die Abkürzung ePVO ist relativ unbekannt. Sie ist heftig umstritten, da sie stark in Werbung und Datennutzung durch Internet-Dienste-Anbieter eingreift. Eine der wichtigsten Neuerungen der Datenschutzverordnung für elektronische Kommunikation ist, dass sie ebenso wie die Datenschutz-Grundverordnung GDPR (DSGVo/BDSGneu) extraterritorial gilt, d. h., dass Personen außerhalb der EU die Verordnung unter bestimmten Bedingungen einhalten müssen. Sie soll Regelungslücken der ursprünglichen Richtlinie von 2002 schließen und definiert neue Vorgaben um die Richtlinie an den Stand der Technik anzupassen. Als EU-Verordnung soll die ePVO unmittelbar in jedem Mitgliedsstaat der EU gelten und keiner nationalen Umsetzung bedürfen. Damit wird die ePVO bestehende Regelungen und Gesetze in Deutschland wie das Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) und die Regelungen zur Werbung im Gesetz gegen den unlauteren Wettbewerb (UWG) ersetzen.

In der ePVO-Datenschutzverordnung geht es im Wesentlichen um den Schutz von zwei Kommunikationsformen, die allerdings erhebliche Auswirkungen auf die Gestaltung von Web-, App- und Kommunikationsangeboten haben:

  • Inhalte der elektronischen Kommunikation: „die über elektronische Kommunikationsdienste ausgetauschten Inhalte wie Text, Sprache, Videos, Bilder und Ton“ (Artikel 4 Absatz 3 Buchstabe b).
  • Metadaten der elektronischen Kommunikation: die Daten über den Inhalt der elektronischen Kommunikation, wie z. B. der Absender, der Absender, „das Datum, die Uhrzeit, die Dauer und die Art der Kommunikation“ (Artikel 4 Absatz 3 Buchstabe c).

Diese beiden Formen werden als „elektronische Kommunikationsdaten“ zusammengefasst und als eine „elektronische Nachricht“ mittels „E-Mail, SMS, MMS und funktional gleichwertigen Anwendungen übermittelt. Elektronische Kommunikationsdaten können auch personenbezogene Daten enthalten, aber hier geht es nicht um die GDPR General Data Privacy Regulation (DSGVO/BDSGneu) sondern um Formen der Kommunikation und Interaktion auf Webseiten. So sind z.B. „Cookies“ immer betroffen, unabhängig davon, ob sie personenbezogene Daten erfassen. Die ePrivacy-Richtlinie zielt stark auf Webangebote großer Plattformanbieter.

  • Alle Grundeinstellungen in Software und Geräten sollen standardmäßig auf die datenschutzfreundlichere Variante eingestellt haben: die sogenannte „privacy-by-default“-Einstellung.
  • Verschlüsselung soll nicht nur durch die Nutzer sichergestellt werden. Anbieter werden verpflichtet, Daten nach dem aktuellen Stand der Technik zu sichern und vor unbefugtem Zugriff zu schützen.
  • Das räumliche Tracking durch Programme, die nicht aktiv genutzt werden, wird verboten.
  • Für Anbieter wird eine ausführliche Transparenz- und Dokumentationspflicht eingeführt, sodass Für Strafverfolgungsbehörden auf Anfrage auf die Dokumentation zugreifen können. Anbieter können auch zur Offenlegung staatlicher Anfragen verpflichtet werden.
  • Eine Verarbeitung erfasster Daten wird nur noch mit Einverständnis der Nutzer möglich sein. Dies gilt auch für Anbieter Messenger-Diensten.
  • Ein effektiver Schutz vor Tracking soll etabliert werden, der eine umfassende Einstellung zur Deaktivierung von solchen Funktionen beinhalten soll.

Die ePrivacy-Verordnung enthält Vorschriften über Direktmarketing („Jede Form der Werbung, ob schriftlich oder mündlich, die über einen öffentlich zugänglichen elektronischen Kommunikationsdienst direkt an einen oder mehrere bestimmte Endnutzer gesendet wird.“), Cookies („Jede Software oder jeder Code, einschließlich Pixel, Web-Beacons, Spyware, die Sie auf dem Gerät eines Nutzers platzieren“), Datensammeln von Geräten der Nutzer, usw.

Betroffen sind z.B.

  • Unternehmen, die elektronisches Direktmarketing betreiben, einschließlich E-Mails, Nachrichten, SMS oder Anrufen;
  • Entwickler, die Software oder Websites erstellen, insofern sie Cookies und ähnliche Technologien verwenden,
  • Personen oder Unternehmen, die Software oder Websites betreiben, die sicherstellen müssen, dass diese Dienste mit der Verordnung übereinstimmen,
  • Anbieter von elektronischen Kommunikationsdiensten, einschließlich Internetdienstanbieter (ISPs) sowie Anbieter von Voice over Internet Protocol (VoIP), von Messenger-Apps und ähnlichen Kommunikationssystemen.
  • Anbieter von Telefondiensten,
  • Anbieter von Diensten für das Internet der Dinge (IoT; Internet of Things),
  • Anbieter von öffentlich zugänglichen Telefon-, Fax- oder E-Mail-Verzeichnissen.

Die Diskussionen um die ePrivacy-Richtlinie werden sich auch in 2023 noch fortsetzen. Mit einer Verabschiedung ist vor Ende 2024 nicht zu rechnen und die Wirksamkeit wird erst nach 2025 zu erwarten sein. Die Datenschutzgrundverordnung bedarf ebenfalls einiger Änderungen und Ergänzungen, mit denen in 2024 gerechnet werden kann. Auch hier wird das Inkrafttreten erst nach 2024 zu erwarten sein.

LksG
Lieferkettengesetz (COM(2022) 71 final; 2022/0051 (COD))

Die „Richtlinie des Europäischen Parlaments und des Rates über die Sorgfaltspflichten von Unternehmen im Hinblick auf Nachhaltigkeit und zur Änderung der Richtlinie (EU) 2019/1937„, kurz Lieferkettengesetz oder Supply Chain Law, hat auch erhebliche Auswirkungen auf die ITK. Es geht um die Sorgfaltspflichten und Nachweise der Einhaltung von Nachhaltigkeitsvorhaben entlang globaler Produktions- und Lieferketten.

Die Richtlinie gilt seit Januar 2023 für Unternehmen mit mehr als 3000 Mitarbeitern und ab 2024 auch für Unternehmen mit weniger als 1000 Beschäftigten. Betroffen sind einerseits Softwarelösungen und Plattformen rund um Automatisierung, IaaS Infrastructure as a Service, PaaS Platform as a Servicve, Supply-Chain-Management, Blockchain und andere Softwaretechnologien. Betroffen ist besonders auch Hardware in Bezug auf Ressourcen wie seltene Erden und andere Rohstoffe, Arbeitsbedingungen bei der Gewinnung und Herstellung im Ausland, Entsorgung und Wiederverwendung von Teilen sowie andere Nachhaltigkeitaspekte.

Mica
Markets in Crypto-Assets (COM(2020) 593 final; 2020/0265 (COD))

Die Verordnung des Europäischen Parlaments und des Rates „on Markets in Crypto-assets, and amending Directive (EU) 2019/1937“ reguliert den Umgang mit kryptografischen Währungen und anderen werthaltigen Informationen, für die „Distributed-Ledger-Technologie oder eine vergleichbare Technologie verwendet“ wird. „Non-Fungible Tokens (NFT)“ sind jedoch nach derzeitigem Stand der Diskussionen nicht von der Verordnung betroffen. Die Verordnung ist Teil der EU-Initiative zur Digitalisierung des Finanzwesens (ebenso wie die neue Richtlinie zur Vereinheitlichung des Steuerwesens „Richtlinie des Rates zur Änderung der Richtlinie 2011/16/EU bezüglich der Verpflichtung zum automatischen Austausch von Informationen im Bereich der Besteuerung„).

Die MiCA-Verordnung soll Krypto-Assets in den EU-Mitgliedstaaten regulieren, ist aber in Bezug auf internationale Assets, die von nicht EU-Unternehmen auch in den EU-Mitgliedstaaten angeboten werden, nicht ganz eindeutig. Zielgruppe sind Emittenten und Dienstleister von Krypto-Währungen und Krypto-Zertifikaten. Der Anlegerschutz durch Transparenz- und Offenlegungspflichten sowie die Verhinderung von Marktmissbrauch und Geldwäsche stehen im Fokus. Für zahlreiche Dienstleistungen wird zukünftig die Erlaubnis der zuständigen nationalen Behörden, in Deutschland die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), erforderlich sein. Vergleichbare Regeln existieren bereits bei Finanzinstituten und wurden teils als Vorlage für die Verordnung verwendet. Dennoch gibt es Unterschiede in den Regelungen, die zu Kritik führten.

Wichtige Regelungen von MiCA sind:

  • Kryptodienstleister müssen ihren Sitz und mindestens einen verantwortlichen Geschäftsführer oder Geschäftsleiter in der EU haben.
  • Die Unternehmen müssen die Aufsichtsbehörden über das Unternehmen, dessen Geschäftstätigkeit sowie dessen Gesellschafter und Geschäftsleiter umfassend informieren.
  • Die verantwortlichen Geschäftsleiter müssen zudem nachweislich fachlich geeignet und zuverlässig sein.
  • Die Geschäftsorganisation muss ordnungsgemäß und angemessen sein.
  • Maßnahmen gegen Geldwäsche und die ausreichende Organisation der Compliance sind vorgeschrieben.
  • Transparenz in Verträgen und Kommunikation mit Kunden und Anlegern müssen gewährleistet sein.
  • Ein professionelles Beschwerdemanagement muss eingerichtet sein und den Aufsichtsbehörden nachgewiesen werden.
  • Eigene Vermögenswerte sind von denen der Kunden zu trennen.

MiCA Markets in Crypto-Assets tritt im Jahr 2024 in Kraft.

NIS2
Directive on Security of Network and Information Systems (Richtlinie EU 2022/2555)

Die „Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)“ ist eine Fortschreibung der NIS-Richtlinie (nunmehr NIS1 genannt) aus dem Jahr 2016: „Ziel der Richtlinie war der unionsweite Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und die Sicherstellung der Kontinuität solcher Dienste bei Vorfällen, um so zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen.“

Die Richtlinien ist durch die EU-Mitgliedsstaaten in nationales Recht umzusetzen. Ihr Ziel ist die Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Durch NIS2 wird der Anwendungsbereich erheblich erweitert. Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen Euro sollen künftig unter die Vorgaben der NIS2 fallen, wenn sie in einem kritischen Sektor tätig sind (in Deutschland z.B. alle Unternehmen und Organisationen, die unter KRITIS fallen). Entsprechend wird auch die Zusammenstellung, was als kritischer Sektor einzustufen ist, erweitert werden. Danach fallen künftig auch Hersteller von Medizingeräten, Labore, Cloud-Provider, Rechenzentren und „Content-Delivery“-Netzwerke unter NIS2. Im Prinzip fallen praktisch alle Hersteller von Computern, Sicherheitsinfrastrukturkomponenten, große Teile des Maschinenbaus, Mobilität-Anbieter, Energieversorger usw. unter den etwas schwächer regulierten „wichtigen Sektor“.

Die von vielen lange ersehnte NIS2-Richtlinie weitet den Geltungsbereich ihres Vorgängers erheblich aus. Zahlreiche weitere Branchen gelten nun als "kritischer Sektor" (Abb. 1).,

Wichtige neue Vorgaben der NIS2 sind:

  • Betroffene Unternehmen müssen Risikoanalyse- und Sicherheitskonzepte für die Informationssysteme, die Bewältigung von Zwischenfällen, die Offenlegung von Schwachstellen dienen vorhalten und umsetzen
  • Die Maßnahmen müssen auch die Gewährleistung der Sicherheit in der Lieferkette einschließen, und greifen so auch auf die Zulkieferer aus.
  • Aufsichtsmaßnahmen und Durchsetzungsanforderungen der nationalen Behörden sollen strenger gefasst werden.

Innerhalb 18 Monaten nach Inkrafttreten müssen die EU-Mitgliedsstaaten die NIS2-Richtlinie umgesetzt haben. Die betroffenen Unternehmen müssen sich erheblich verschärfte Vorgaben in Bezug auf die Cybersicherheit ab 2024 oder spätestens 2025 einstellen. Auf Betreiber kritischer Infrastrukturen in Deutschland kommt am 1. Mai 2023 auf jeden Fall eine bereits beschlossene Pflicht nach dem „Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)“ zu. Dieses regelt unter anderem Detektion und Abwehr von Angriffen, Cyber-Sicherheit in den Mobilfunknetzen, Verbraucherschutz durch das BSI, Sicherheit für Unternehmen sowie die Einrichtung einer nationalen Behörde für Cybersicherheitszertifizierung. All dies sind Aufgaben, die auf das BSI zukommen. So ist das BSI Bundesamt für Sicherheit in der Informationstechnik die Nationale Behörde für die Cybersicherheitszertifizierung als „National Cybersecurity Certification Authority (NCCA)“) im Sinne der EU-Verordnung 2019/881, auch bekannt als Cybersecurity Act (CSA), zuständig. Diese ist insbesondere für die Überwachung und Durchsetzung der Vorschriften im Rahmen der europäischen Schemata für die Cybersicherheitszertifizierung zuständig. 

Bußgelder bei Verstößen gegen NIS2 sollen bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes verhängt werden können.

Mit der Verabschiedung des NIS2 ist im Jahr 2024 zu rechnen. Mit dem Inkrafttreten dann in 2025 oder 2026.

TDPF Transatlantic Data Privacy Framework
EU-US Privacy Shield 2.0

Es wird erwartet, dass im Jahr 2023 ein sogenannter „Angemessenheitsbeschluss gemäß Artikel 45 der Datenschutz-Grundverordnung“ erscheinen wird, der dem Datenschutz in den USA „ein angemessenes Schutzniveau“ bescheinigt. Die Regelung dürfte zukünftig als Transatlantic Data Privacy Framework (TDPF) bezeichnet werden. Aktuell besteht keine gültige Vereinbarung mit den USA über den Austausch und die Nutzung von Daten, da der Europäische Gerichtshof in seinem „viel beachteten „Schrems-II“-Urteil den EU-US Privacy Shield für nicht ausreichend erklärt hat.

Im Oktober 2022 hatte US-Präsident Biden eine Executive Order „On Enhancing Safeguards For United States Signals Intelligence Activities“ unterzeichnet, die den Umfang des Datenzugriffs durch US-Behörden auf persönliche und personenbezogene Daten aus der Europäischen Union einschränkt. Zahlreiche Datenschützer wie auch der Datenschutzaktivist Max Schrems zweifeln daran, dass die Executive Order ausreicht. Der EuGH dürfte erneut mit der Rechtslage befasst werden.

Aktuell von Unternehmen getroffene Maßnahmen und Verträge dürften den den Bestimmungen der GPDR nicht entsprechen. Seit Ende 2022 gelten neue Vorgaben für die Standardvertragsklauseln: „Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates“. Diese Klauseln sind aktuell eine der wenigen Möglichkeiten, den Datentransfer in die USA rechtskonform auszugestalten. In 2023 ist damit zu rechnen, dass Datenschutzbehörden mit der Umsetzung der Änderungen beginnen und nicht erst eine neue Privacy-Shield-Richtlinie abwarten werden. Es können erhebliche Bußgelder anfallen.

Inkrafttreten

EU-Richtlinien müssen in nationales Recht umgesetzt werden oder gelten direkt. Bei den meisten der hier aufgeführten Regelungen ist erst in den Jahren 2024, 2025 oder 2026 mit einer Wirksamkeit zu rechnen. Jedoch müssen bereits in 2023 die notwendigen Voraussetzungen in allen Unternehmen, Behörden und Organisationen getroffen werden. Die folgende Tabelle gibt einen Überblick (Quelle: Heise.de) zu Inkrafttreten und Wirksamkeit der neuen gesetzlichen Vorgaben. Zu einigen der Regularien sind zudem noch Klagen vor dem Europäischen Gerichtshof zu erwarten (z.B. zum Datenaustausch mit den USA und anderen Staaten).

KürzelNamein Kraft ab/seitwirksam ab
AI ActArtificial Intelligence Actvoraussichtlich 2023, spätestens 2024 (auch ein Scheitern ist nicht auszuschließen)voraussichtlich nicht vor 2025, nach aktuellem Stand 24 Monate nach Inkrafttreten
CRACyber Resilience Act202324 Monate nach Inkrafttreten; einige erste Pflichten jedoch bereits 12 Monate nach Inkrafttreten
CSAM„Child Sexual Abuse Material“-Verordnungvoraussichtlich 2023voraussichtlich 6 Monate Umsetzungsfrist ab Inkrafttreten
DGAData Governance Act23. September 202224. September 2024
DMADigital Markets Act1. November 20222. Mai 2023
DORADigital Operational Resilience Actverabschiedet am 10. November 2022; Inkrafttreten 20 Tage nach Veröffentlichung im EU-AmtsblattJahreswechsel 2024/2025
DSADigital Services Act16. November 202217. Februar 2024
Ecodesign-Vorgaben, „Recht auf Reparatur“202321 Monate Umsetzungsfrist ab Inkrafttreten
ECAEuropean Chips Actvoraussichtlich 2023noch in Diskussion
ePVOE-Privacy-Verordnungeventuell 2023nicht vor 2025
EU-US Privacy Shield 2.0eventuell 2023
LksGLieferkettengesetz1. Januar 2023mit Inkrafttreten
MaRisk; BAITMindestanforderungen an das Risikomanagement; Bankaufsichtsrechtliche Anforderungen an die ITvoraussichtlich 2023
MiCAMarkets in Crypto-Assets202318 Monate nach Inkrafttreten; voraussichtlich 2024
NIS2Directive on Security of Network and Information Systemsvoraussichtlich 2023, benötigt noch Zustimmung der EU-Staatenvoraussichtlich 2024, spätestens 2025
Quelle: Heise.de EU IT-Recht 2023 – Seite 5

Die Jahre 2023 und 2024 werden für alle Unternehmen, Behörden und Organisationen erhebliche Aufwände in den Bereichen Web-Präsenz, IT, Informationsmanagement und Information Governance mit sich bringen und viele Ressourcen binden. Finanzinstitute und KRITIS-betroffene Unternehmen müssen besondere Anstrengungen unternehmen. Aber auch der Aufbau der behördlichen Verwaltungs-, Prüfungs- und Umsetzungsbereiche stellt zusätzlich zu den laufenden E-Government- und OZG-Vorhaben weitere Belastungen dar. Die EU hat mit dem DSM Digital Single Market und den notwendigen Regulierungen eine Entwicklung angestoßen, die zur Überarbeitung nahezu aller Gesetze führt, um die Gesetze wie auch die Rechtsprechung auf das Digitale Zeitalter anzupassen.

Dr. Ulrich Kampffmeyer

Curriculum auf Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, mit meinem Kommentar alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Ich habe keine Bilder, Grafiken, Texte oder Links in meinem Beitrag verwendet, die durch CopyRight, Leistungsschutzrecht oder Urheberrecht geschützt sind. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSULT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons by-nc-nd Vorgaben gewahrt.