Was sich anhört wie ein Satz aus einem belieb­ten deut­schen Rap-Lied ist tat­säch­lich Teil der EU-Digitalisierungsstrategie für digi­ta­le Sach­ver­hal­te. Wir schau­en hin­ter die Kür­zel und zei­gen, was 2024 und dar­über hin­aus wich­tig wird und ist.

Die gesetz­li­che Rege­lung digi­ta­ler Sach­ver­hal­te ist längst nicht mehr nur Auf­ga­be des natio­na­len Gesetz­ge­bers. Digi­ta­le Sach­ver­hal­te ken­nen kei­ne Län­der­gren­ze. Es ist daher nur kon­se­quent, dass die Regu­lie­rung sol­cher Sach­ver­hal­te in den Auf­ga­ben­be­reich der EU rutscht und dort immer mehr Platz ein­nimmt. Hielt man das Inkraft­tre­ten der DSGVO 2018 noch für eine klei­ne Beson­der­heit, da der Ein­fluss der Digi­ta­li­sie­rung nicht mehr auf natio­na­ler, son­dern auf EU-Ebene gere­gelt wur­de, rau­schen die Ver­ord­nun­gen und Richt­li­ni­en 5 Jah­re spä­ter in die natio­na­le Anwend­bar­keit. Hier ein klei­ner Über­blick was 2024 wich­tig wird und ist:

HinSchG

Mit Umset­zung der EU-Richtlinie EU-RL 2019/1937, der soge­nann­ten Whistleblower-Richtlinie, und der natio­na­len Umset­zung durch das Hin­weis­ge­ber­schutz­ge­setz (HinSchG) wur­de der lang ersehn­te Schutz für Hin­weis­ge­ben­de geschaf­fen. Ziel ist es, Per­so­nen zu schüt­zen, die Infor­ma­tio­nen über Ver­stö­ße gegen natio­na­les Recht oder das EU-Recht melden.

Für Unter­neh­men mit mehr als 250 Mit­ar­bei­ten­den ist die Ein­füh­rung eines Whistleblower-Systems bereits seit dem 17. Dezem­ber 2021 ver­pflich­tend. Unter­neh­men mit mehr als 50 Mit­ar­bei­ten­den hat­ten bis zum 17. Dezem­ber 2023 Zeit für die Imple­men­tie­rung ihres Hinweisgebersystems.

Die Umset­zung des HinSchG ist nicht an bestimm­te Bran­chen gebun­den, son­dern bemisst sich ledig­lich an der Zahl der Mitarbeitenden.

Übri­gens kön­nen Sie hier tes­ten, wie die elek­tro­ni­sche Abga­be eines Hin­wei­ses aus­se­hen könn­te: https://hinweisportal.reichert-reichert.de/

NIS2

Die NIS2-Richtlinie („The Net­work and Infor­ma­ti­on Secu­ri­ty Direc­tiv“, (EU) 2022/2555) regelt Maß­nah­men für ein hohes gemein­sa­mes Cyber­si­cher­heits­ni­veau in der Uni­on. Genau wie bei der Whistelblower-Richtlinie han­delt es sich hier eben­falls um eine Richt­li­nie. Sie bedarf also der der Umset­zung in natio­na­les Gesetz. Die Richt­li­nie ist 2022 in Kraft getre­ten und muss bis zum 17.10.2024 in natio­na­les Recht umge­setzt wor­den sein. Der­zeit gibt es in Deutsch­land einen ers­ten Refe­ren­ten­ent­wurf des Umset­zungs­ge­setz­tes zur NIS2-Richtlinie – abge­kürzt NIS2UmsuCG -, an dem im Früh­jahr 2024 wei­ter­ge­ar­bei­tet wer­den soll.

NIS2 und NIS2UmsuCG haben unmit­tel­ba­re Wir­kung für beson­ders wich­ti­ge Ein­rich­tun­gen (z.B. Gesund­heits­dienst­leis­ter, Anbie­ter von Cloud-Computingdiensten), wich­ti­ge Ein­rich­tun­gen (z.B. ver­ar­bei­ten­des Gewer­be zur Her­stel­lung von Medi­zin­pro­duk­ten, Maschi­nen­bau oder Her­stel­lung von Kraft­wa­gen und Kraft­wa­gen­tei­len und sons­ti­ger Fahr­zeug­bau) und Betrei­ber kri­ti­scher Infra­struk­tur (z.B. Ener­gie­ver­sor­ger, Lie­fe­ran­ten von Trink­was­ser). Ob Unter­neh­men einer die­ser drei Kate­go­rien zuzu­ord­nen sind, lässt sich aus dem Anhang 1 der NIS2-Richtlinie ent­neh­men (Sek­to­ren mit hoher Kri­ti­k­ali­tät und sons­ti­ge kri­ti­sche Sek­to­ren). Las­sen sich Ein­rich­tun­gen einer Kate­go­rie zuord­nen, gel­ten wei­te­re Vor­aus­set­zun­gen. An die­ser Stel­le möch­ten wir Sie auf den Son­der­ar­ti­kel unse­rer geschätz­ten Kol­le­gin ver­wei­sen. Die­ser ist aktu­ell noch in Arbeit. Der Link wird nach Ver­öf­fent­li­chung hier ein­ge­tra­gen werden.

Sie wol­len nicht war­ten? Neh­men Sie Kon­takt mit uns auf, wir unter­stüt­zen Sie gerne.

DSA & DMA

Der Digi­tal Ser­vice Act (DSA, Gesetz über Digi­ta­le Diens­te) und der Digi­tal Mar­kets Act (DMA, Gesetz über Digi­ta­le Märk­te) sind ein von der EU ent­wor­fe­nes ein­heit­li­ches Regel­werk mit dem Ziel der Schaf­fung eines siche­re­ren digi­ta­len Raums, in dem die Grund­rech­te aller Nut­zer digi­ta­ler Diens­te geschützt wer­den sowie der Schaf­fung glei­cher Wettbe-werbsbedingungen für die För­de­rung von Inno­va­ti­on, Wachs­tum und Wett­be­werbs­fä­hig­keit sowohl im euro­päi­schen Bin­nen­markt als auch weltweit.

Sowohl der DSA als auch der DMA sind Ver­ord­nun­gen. Anders als die bei­den oben vor­ge­stell­ten Richt­li­ni­en sind sie direkt anwend­bar und benö­ti­gen kein natio­na­les Umset­zungs­ge­setz. Der DMA gilt seit dem 02.05.2023. Der DSA gilt seit dem 17.02.2024.

Wäh­rend der DMA nur sog. „Gate­kee­per“, also markt­be­herr­schen­de Digi­tal­kon­zer­ne wie Ama­zon, Goog­le oder Meta in den Anwen­dungs­be­reich nimmt, fasst sich der DSA um eines wei­ter. Die Ver­ord­nung rich­tet sich an Ver­mitt­lungs­diens­te wie Inter­net­an­bie­ter, Cloud- oder Webhosting-Dienste, Social-Media-Plattformen und Online-Marktplätze, wenn die Pro­duk­te in der EU ange­bo­ten wer­den. Anhand des wei­ten Anwen­dungs­be­reichs kön­nen sogar Web-Shops klei­ner KMUs von der Ver­ord­nung betrof­fen sein.

AIA

Auch der Arti­fi­ci­al Intel­li­gence Act ist Teil der EU-Digitalstrategie und soll als Gesetz über Künst­li­che Intel­li­genz den Ein­satz von eben­die­ser in For­schung und Wirt­schaft regu­lie­ren. Auch hier­bei han­delt es sich wie­der um eine Ver­ord­nung, wird also ohne Umset­zungs­ge­setz direkt anwend­bar sein. Aktu­ell liegt das Gesetz noch im Ent­wurf vor und soll vor­aus­sicht­lich im Mai 2024 in Kraft tre­ten. Für die Umset­zung der in den Anwen­dungs­be­reich fal­len­den Unter­neh­men und Ein­rich­tun­gen blei­ben die­sen 2 Jah­re Zeit.

Der AI Act wird gemäß Art. 2 der Ver­ord­nung für (1) Anbie­ter, die KI-Systeme in der Uni­on in Ver­kehr brin­gen oder in Betrieb neh­men, unab­hän­gig davon, ob die­se Anbie­ter in der Uni­on oder in einem Dritt­land nie­der­ge­las­sen sind, (2) Nut­zer von KI-Systemen, die sich in der Uni­on befin­den und (3) Anbie­ter und Nut­zer von KI-Systemen, die in einem Dritt­land nie­der­ge­las­sen oder ansäs­sig sind, wenn das vom Sys­tem her­vor­ge­brach­te Ergeb­nis in der Uni­on ver­wen­det wird, gelten.

Dar­über hin­aus wird die Ver­ord­nung den Begriff „Künst­li­che Intel­li­genz“ definieren.

Aus­zug Art. 3 Nr. 1 der Ver­ord­nung 2021/0106:

Für die Zwe­cke die­ser Ver­ord­nung bezeich­net der Ausdruck
1.„System der künst­li­chen Intel­li­genz“ (KI-System) eine Soft­ware, die mit einer oder meh­re­ren der in Anhang I auf­ge­führ­ten Tech­ni­ken und Kon­zep­te ent­wi­ckelt wor­den ist und im Hin­blick auf eine Rei­he von Zie­len, die vom Men­schen fest­ge­legt wer­den, Ergeb­nis­se wie Inhal­te, Vor­her­sa­gen, Emp­feh­lun­gen oder Ent­schei­dun­gen her­vor­brin­gen kann, die das Umfeld beein­flus­sen, mit dem sie interagieren;„

Aus­zug aus dem Anhang Teil 1 zur Ver­ord­nung 2021/0106:

„Kon­zep­te des maschi­nel­len Ler­nens, mit beauf­sich­tig­tem, unbe­auf­sich­tig­tem und bestär­ken­dem Ler­nen un-ter Ver­wen­dung einer brei­ten Palet­te von Metho­den, ein­schließ­lich des tie­fen Ler­nens (Deep Learning);
b) Logik- und wis­sens­ge­stütz­te Kon­zep­te, ein­schließ­lich Wis­sens­re­prä­sen­ta­ti­on, induk­ti­ver (logi­scher) Pro­gram­mie­rung, Wis­sens­grund­la­gen, Inferenz- und Deduk­ti­ons­ma­schi­nen, (sym­bo­li­scher) Schlussfolgerungs- und Expertensysteme;
c) Sta­tis­ti­sche Ansät­ze, Bayes­sche Schätz‑, Such- und Optimierungsmethoden“

AILD

Über die Arti­fi­ci­al Intel­li­gence Lia­bi­li­ty Direc­ti­ve, zu deutsch KI-Haftungs-Richtlinie, ist noch nicht viel bekannt, da bis­her kei­ne offi­zi­el­le Ver­öf­fent­li­chung der Richt­li­nie vor­liegt. Die Richt­li­nie liegt im Ent­wurfs­sta­di­um und muss noch das gesam­te euro­päi­sche Gesetz­ge­bungs­ver­fah­ren durch­lau­fen. Bekannt ist ledig­lich, dass die KI-Haftungs-Richtlinie das Gesetz über Künst­li­che Intel­li­genz ergän­zen soll. Ein Zeit­plan bis zum Inkraft­tre­ten gibt es noch nicht. Durch die Richt­li­nie sol­len natio­na­le Vor­schrif­ten über die zivil­recht­li­che Haf­tung bei Schä­den durch KI-Produkte oder KI-Dienste ergänzt werden.

DA

Der Data Act (Daten­ge­setz) ist eben­falls Teil der EU-Digitalisierungsstrategie und bin­det das Inter­net of Things (Inter­net der Din­ge) mit in das EU-Regelwerk über Digi­ta­le Sach­ver­hal­te mit ein. Das Daten­ge­setz wird als euro­päi­sche Verord-nung unmit­tel­bar in den Mit­glied­staa­ten der EU anwend­bar sein und gilt ab Mit­te 2025.

Der Data Act soll ändern, dass der Daten­zu­griff auf Daten, die durch Pro­duk­te oder ver­bun­de­ne Diens­te mit Anschluss an das Inter­net erzeugt, gesam­melt und gespei­chert wer­den, nicht nur den Gerä­te­her­stel­lern und Cloud-Provider obliegt. Der DA ergänzt die DSGVO inso­weit als nun z.B. auch Aus­kunfts­an­sprü­che für nicht per­so­nen­be­zo­ge­ne Daten gestellt wer­den kön­nen, wel­che an sich genau wie per­so­nen­be­zo­ge­ne Daten einen hohen wirt­schaft­li­chen Wert darstellen.

Pro­duk­te sind u.a. Smart­phones, Tablets, Smart­wat­ches oder ver­bun­de­ne Fahr­zeu­ge. Ver­bun­den Diens­te sind Anwen­dun­gen, die der­art mit dem Pro­dukt ver­bun­den sind, dass das Pro­dukt ohne Anwen­dung nutz­los ist, z.B. die App­ge­steu­er­te Wasch­ma­schi­ne oder der Saugroboter.
Die Ver­ord­nung gilt für Daten­in­ha­ber (oft die Gerä­te­her­stel­ler selbst) und für Nut­zer, um die Kon­trol­le über ihre nicht-personenbezogenen Daten zurück­zu­be­kom­men. Nut­zer kön­nen, anders als in der DSGVO, auch juris­ti­sche Per­so­nen sein.

DGA

Wei­ter geht es mit dem Gesetz über die euro­päi­sche Daten-Governance (Data Gover­nan­ce Act). Die Ver­ord­nung gilt seit dem 24.09.2023 unmit­tel­bar in den EU-Mitgliedstaaten. Das Gesetz soll die gemein­sa­me Daten­nut­zung inner­halb der EU erleich­tern. Hier­zu wer­den soge­nann­te „Daten­in­ter­me­diä­re“ oder „Daten­mitt­ler“ ein­ge­setzt, die Per­so­nen­da­ten zusam­men­tra­gen, ver­wal­ten und wei­ter­lei­ten. Die Daten­er­he­bung erfolgt bei Per­so­nen und Unter­neh­men, die die­se frei­wil­lig zur Ver­fü­gung stel­len. Die Wei­ter­lei­tung durch den Daten­mitt­ler erfolgt kon­trol­liert an z.B. öffent­li­che Stel­len. Zweck ist es, durch die euro­pa­weit gesam­mel­ten Daten­men­gen eine schnel­le­re Ent­wick­lung und Inno­va­tio­nen z.B. in Wirt­schaft und Gesund­heit zu errei­chen. Das Gesetz regelt jedoch ledig­lich, wie mit den Daten umge­gan­gen wer­den soll, dass die Daten nur nach Ein­wil­li­gung durch die Nut­zer gesam­melt wer­den dür­fen. Es stellt sich hier also nicht die Fra­ge, wer die Ver­ord­nung beach­ten muss. Zen­tra­ler Punkt ist die Sen­si­bi­li­sie­rung der Nut­zer über die Ver­ar­bei­tun­gen ihrer Personendaten.

CRA

Zum Abschluss der lan­gen Lis­te an Kür­zeln soll es um den Cyber Resi­li­ence Act (Gesetz über Cyber­re­si­li­enz) gehen, wel­cher ins­be­son­de­re das NIS2-Umfeld ergän­zen soll. Die Ver­ord­nung soll Anfang 2024 in Kraft tre­ten und zielt dar­auf ab, Ver­brau­cher und Unter­neh­men vor gekauf­ten und ver­wen­de­ten Pro­duk­te oder Soft­ware mit einer digi­ta­len Kom­po­nen­te zu schüt­zen. Gemeint sind Pro­duk­te, die direkt oder indi­rekt mit ande­ren Gerä­ten oder dem Netz­werk ver­bun­den sind.

Die Ver­ord­nung rich­tet sich an Her­stel­ler und Ein­zel­händ­ler sol­cher Pro­duk­te und erhöht die Cyber­si­cher­heits­an­for­de­run­gen bei der Einführung.

Fazit

Unter­neh­men wer­den sich dar­auf ein­stel­len müs­sen, das immer schnel­ler und immer mehr Rege­lun­gen zur Regu­lie­rung digi­ta­ler Sach­ver­hal­te aus der EU kom­men und einen brei­ten Anwen­dungs­be­reich haben. Das bedeu­tet viel Fach­be­ra­tung und Umset­zungs­auf­wand für Unter­neh­men und Ein­rich­tun­gen, aber auch mehr Schutz unse­rer Grund­rech­te im digi­ta­len Raum, durch Miss­brauch gro­ßer markt­be­herr­schen­der Unter­neh­men, genau­so wie durch klei­ne und mitt­le­re Digi­tal­an­ge­bo­te. Die­ser Bei­trag gibt nur einen kur­zen Über­blick der EU-Gesetzgebung wie­der. Soll­ten Sie sich unsi­cher sein, ob Ihr Unter­neh­men oder Ihre Ein­rich­tung den Anwen­dungs­be­reich fal­len oder soll­ten Sie mehr Infor­ma­tio­nen benö­ti­gen, hier noch ein­mal das Ange­bot: Neh­men Sie Kon­takt mit uns auf, wir unter­stüt­zen Sie gerne.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN