Information Technology / AI / Data / Cyber

Das neue Datengesetz (Data Act)

Worum geht es bei diesem Thema?

Der Data Act, eine europäische Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung, wurde am 27. November 2023 vom Rat der Europäischen Union verabschiedet und ist am 11. Januar 2024 in Kraft getreten. Nach einer Übergangsfrist wird die Verordnung ab dem 12. September 2025 (und teilweise ab dem 12. September 2026 für bestimmte Produktgestaltungspflichten) unmittelbar in allen EU-Mitgliedsstaaten anwendbar. Ziel des Data Acts ist es, mehr nicht-personenbezogene Daten, wie Maschinendaten und Industriedaten, verschiedenen Akteurinnen und Akteuren für innovative Zwecke zugänglich zu machen, um ein europaweites Datenökosystem zu schaffen, das den Zugang zu Daten fördert und Innovation ermöglicht. Dies soll insbesondere verhindern, dass wenige große Unternehmen alleinige Kontrolle über diese Daten ausüben.

Der Data Act betrifft europäische und nicht-europäische Unternehmen, die in der EU tätig sind, insbesondere Herstellerinnen und Hersteller sowie Anbieterinnen und Anbieter von vernetzten Internet of Things (IoT)-Produkten sowie deren Nutzerinnen und Nutzer. Beispiele umfassen smarte Haushaltsgeräte (z. B. Kühlschränke, Heizungen, Saugroboter), Maschinen und Fahrzeuge. Der Data Act unterstützt den Binnenmarkt der EU durch die Förderung eines sicheren und fairen Austauschs von Industriedaten und setzt auf einen verlässlichen Rechtsrahmen, der Hindernisse beim Datenzugang beseitigt und Investitionen in die Datennutzung anregt.

Was gilt es zu beachten?

Der Data Act beinhaltet umfassende Regelungen, die es Unternehmen ermöglichen sollen, Daten zwischen Verbraucherinnen und Verbrauchern (B2C) und zwischen Unternehmen (B2B) fair auszutauschen. Die Verordnung enthält spezifische Bestimmungen für:

• Datenzugang und -nutzung für Verbraucherinnen, Verbraucher und Unternehmen: Unternehmen sind verpflichtet, Verbraucherinnen, Verbrauchern und anderen Unternehmen Zugang zu bestimmten Daten zu ermöglichen.
• Pflichten der Dateninhaberinnen und Dateninhaber: Die Verordnung fordert Unternehmen auf, den Datenzugang und die Datenweitergabe strukturiert bereitzustellen und sicherzustellen, dass nicht-personenbezogene Daten nur mit vertraglicher Zustimmung genutzt werden.
• Verbot missbräuchlicher Vertragsklauseln: Im B2B-Bereich werden missbräuchliche Klauseln zur Datennutzung untersagt, um einen fairen Zugang und Umgang zu gewährleisten.
• Datenbereitstellung für öffentliche Stellen (B2G): Bei außergewöhnlichen Erfordernissen sind Unternehmen verpflichtet, Daten an Behörden weiterzugeben.
• Wechsel zwischen Datenverarbeitungsdiensten („Cloud Switching“) und technischer Zugangsschutz: Es werden Anforderungen für die nahtlose Migration zwischen Cloud-Diensten festgelegt, um Wettbewerbsfähigkeit zu gewährleisten.

Unternehmen müssen die Anforderungen des Data Acts bis September 2025 umsetzen. Dazu gehört eine genaue Analyse und Dokumentation der Datenarten und -mengen, die bei der Nutzung digitaler oder vernetzter Produkte entstehen, sowie die Entwicklung eines Systems, das den Zugang zu diesen Daten organisiert. Darüber hinaus müssen Unternehmen sicherstellen, dass personenbezogene Daten nur mit Rechtsgrundlage gemäß der DSGVO an Dritte weitergegeben werden.

Neue Standardvertragsklauseln für die Datenverarbeitung

Worum geht es?

Die Europäische Kommission hat am 12. September 2024 angekündigt, eine öffentliche Konsultation zu zusätzlichen Standardvertragsklauseln für die internationale Übermittlung personenbezogener Daten einzuleiten. Die Klauseln sollen sich auf die Datenübermittlung an nicht in der EU ansässige Verantwortliche und Auftragsverarbeiter richten, die der DSGVO extraterritorial unterliegen. Damit soll eine Lücke im bestehenden EU-Datenschutzrahmen geschlossen werden. Die europäische Kommission hat bereits im Juni 2021 Standardvertragsklauseln verabschiedet, die jedoch nur die internationale Übermittlung personenbezogener Daten an nicht in der EU ansässige Verantwortliche und Auftragsverarbeiter schützt, die der DSGVO nicht unterliegen. Die Annahme der Initiative durch die Europäische Kommission wird für das 2. Quartal 2025 erwartet. Die Europäische Kommission kommt damit einer Aufforderung des Europäischen Datenschutzausschusses nach.

Was ist zu beachten?

Bei den Standardvertragsklauseln handelt es sich um Musterdatenschutzklauseln, die Sie als Datenexporteur mit Sitz in der EU verwenden können, um Ihre Verträge über die Übermittlung personenbezogener Daten an Datenimporteure in Drittländern rechtssicher und im Einklang mit den Anforderungen der DSGVO zu gestalten. Die Klauseln sollten für den Sonderfall verwendet werden, dass ein Importeur in einem Drittland direkt der DSGVO unterliegt.

Umsetzung des Data Governance Act (Data-Governance-Gesetz-DGG)

Worum geht es?

Der am 23. Juni 2022 in Kraft getretene und seit dem 24. September 2023 unmittelbar geltende Data Governance Act („DGA“) ist eine weitere Säule der europäischen Datenstrategie. Der DGA zielt auf die Stärkung von Mechanismen zur Erhöhung der Datenverfügbarkeit und des Vertrauens in den Datenaustausch sowie die Überwindung technischer Hürden bei der Weiterverwendung von Daten. Um die genannten Ziele zu erreichen, stehen die Instrumente der Datenvermittlung und des Datenaltruismus im Mittelpunkt des DGA. Zur nationalen Erfüllung der Verpflichtungen des DGA bedarf es Durchführungsbestimmungen, welche mit dem Entwurf eines Gesetzes zur Umsetzung der EU-Verordnung über europäische Data Governance (Data-Governance-Gesetz - DGG) geschaffen werden sollen. Der Entwurf wurde am 17. Oktober 2024 erstmals im Bundestag beraten.

Was ist zu beachten?

Im DGG werden die Bundesnetzagentur (BNetzA) und das Statistische Bundesamt als zuständige Behörden benannt. Außerdem werden Sanktionsregelungen mit Geldbußen bis zu 500.000 Euro festgelegt. Die BNetzA ist zuständig für die Anzeigeverfahren von Datenvermittlungsdiensten sowie für die Registrierung von datenaltruistischen Stellen. Zur Unterstützung der Verwaltung bei der Nutzung geschützter Daten wird das Statistische Bundesamt zu einer zentralen Informationsstelle ausgebaut.

Europäischer Raum für Gesundheitsdaten (EHDS) und Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG)

Worum geht es?

Der Europäische Raum für Gesundheitsdaten (EHDS) ist ein weiterer Eckpfeiler der Europäischen Gesundheitsunion und der EU-Datenstrategie. Im Rahmen eines Trilogs haben sich der Rat, das Europäische Parlament und die Europäische Kommission am 14. März 2024 geeinigt. Die EHDS-Verordnung soll voraussichtlich im Herbst/Winter 2024 veröffentlicht werden und 20 Tage später in Kraft treten. Ziel des EHDS ist es, durch die Digitalisierung im Gesundheitswesen jedem Individuum die Kontrolle über die eigenen Gesundheitsdaten zu ermöglichen und den Austausch von Gesundheitsdaten zur Erbringung von Gesundheitsleistungen zu vereinfachen. Das EDHS soll eine vertrauenswürdige Umgebung für den sicheren Zugriff auf ein breites Spektrum von Gesundheitsdaten und deren Verarbeitung bieten. Damit wird teilweise bestätigt, was bereits im nationalen Digital-Gesetz und Gesundheitsdatennutzungsgesetz (GDNG) normiert ist.

Was ist zu beachten?

Als Patientin oder Patient bietet Ihnen der EHDS einen EU-weiten Rechtsanspruch auf einen schnellen und einfachen Zugang zu den eigenen elektronischen Gesundheitsdaten (Primärnutzung). Darüber hinaus wird die weitere datenschutzkonforme Nutzung (Sekundärnutzung) von Gesundheitsdaten z.B. zum Zwecke der Patienten- und Produktsicherheit, Forschung, Innovation und Politikgestaltung geregelt. Auf Antrag sollen Forschende, Innovatoren, aber auch öffentliche Einrichtungen individuelle Gesundheitsdaten nutzen dürfen. Der EDHS sieht je nach Nutzungsart ein fakultatives bzw. verpflichtendes Widerspruchsrecht (Opt-Out) der Betroffenen vor. Zentraler Bestandteil des Digital-Gesetzes ist die elektronische Patientenakte (ePA), die spätestens ab dem 15. Januar 2025 für alle gesetzlich Versicherten bereitgestellt wird.

Der EHDS bietet im Rahmen der Sekundärnutzung neue Möglichkeiten für Unternehmen, Gesundheitsdaten für Forschungs- oder Entwicklungstätigkeiten zu verarbeiten.

Weitere Informationen zum EHDS finden Sie in unserem DLA Piper Cortex Blog unter

The European Health Data Space – What lies ahead?,  Andreas Rüdiger

Requirements of EHR systems under the European Health Data Space, Andreas Rüdiger

Zeitlich gestaffelte Anwendung der Regelungen des AI Act

Die Europäische Union hat am 12. Juli 2024 eine neue Verordnung zur Regulierung von Künstlicher Intelligenz (AI Act) veröffentlicht. Diese Verordnung ist das erste umfassende Regelwerk für KI weltweit und wird ab 2025 schrittweise eingeführt. Sie dient als zentrales Gesetz für die Regulierung intelligenter Systeme im europäischen Wirtschaftsraum und wird die kommenden Jahre entscheidend prägen. 

Was gilt es zu beachten?

Ab dem 2. Februar 2025 finden die Regelungen in Kapitel I und II des AI Act Anwendung. Zum einen folgt hieraus für Unternehmen die Pflicht, mit KI-Systemen befasstes Personal mit ausreichender KI-Kompetenz auszustatten. Einen klaren Katalog an konkreten Kompetenzen schreibt der europäische Gesetzgeber hierzu nicht vor. Unternehmen werden vielmehr situativ bewerten müssen, welche Kompetenzen für ihre Situation und Rolle unter Berücksichtigung der Regelungen des AI Act „ausreichend“ sind. Zum anderen gelten ab dem 2. Februar 2025 die Regelungen zu verbotenen KI-Praktiken gemäß Art. 5 AI Act. Von dem Verbot erfasst sind beispielweise manipulativ wirkende KI-Systeme, sog. Social Scoring Aktivitäten sowie bestimmte Arten biometrischer Kategorisierung. Der Verstoß gegen die Verbote wird ab dem 2. August 2025 zudem bußgeldbewehrt sein. Für Verstöße gelten Bußgelder von bis zu EUR 35.000.000,00 oder 7 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag der höhere ist.

Ebenfalls ab dem 2. August 2025 gelten – neben diversen Vorschriften zum Aufbau staatlicher Strukturen und Behörden – die Regelungen von Kapitel V des AI Act. Demnach sind Anbieter und deren Bevollmächtigte von KI-Systemen mit allgemeinem Verwendungszweck – einfach gesprochen KI, die nicht auf einen speziell vordefinierten Verwendungszweck beschränkt und daher für eine Vielzahl unterschiedlicher Anwendungsfälle geeignet ist – besonderen Anforderungen ausgesetzt. Sie haben u.a. die Pflicht zur Modellbewertung, Dokumentation und Cybersicherheit. Das gilt allerdings nur für solche Modelle mit allgemeinem Verwendungszweck, die nach dem 2. August 2025 in den Verkehr gebracht werden. Für bereits existierende Modelle gilt gemäß Art. 111 Abs. 3 AI Act eine verlängerte Anpassungszeit bis zum 2. August 2027. Zusätzlich können sich Anbieter von Modellen mit allgemeinem Verwendungszweck ab dem 2. Mai 2025 auf „Codes of Practice“ der EU-Kommission beziehen, um bis zur Entwicklung detaillierterer Industriestandards die Einhaltung der vorbeschriebenen Pflichten zu gewährleisten.

Die für Anbieter und Betreiber von „Hochrisiko-KI-Systemen“ grds. ab dem 2. August 2026 geltenden Pflichten sind erheblich umfangreicher als die für die Betreiber allgemeiner Modelle geltenden Anforderungen. Ihre Befolgung bedarf gründlicher Vorbereitung. Daher ist dringend anzuraten, sich bereits jetzt mit den für Hochrisiko-KI-Systemen geltenden Anforderungen zu beschäftigen und die erforderlichen Maßnahmen zu ergreifen, um nicht gegen die ab dem 2. August 2026 für Hochrisiko-KI-Systeme geltenden Regelungen zu verstoßen.

Nicht zuletzt aufgrund im Falle unzureichender Compliance mit den Vorschriften des AI Act drohender drakonischer Bußgelder von bis zu EUR 35.000.000,00 oder 7% des weltweiten Jahresumsatzes sollten Unternehmen sorgfältig prüfen, ob und inwieweit sie von den Regelungen es AI Act betroffen sind und dessen Anforderungen umzusetzen haben.

Nützliche Links:

https://digital-strategy.ec.europa.eu/de/policies/ai-pact

Industriestandards für KI

Von nationalen und internationalen Normungsinstituten zu entwickelnde Industriestandards konkretisieren die vielfach abstrakten Vorgaben des AI Act und formulieren konkrete Anforderungen für die technische Umsetzung intelligenter Systeme.  

 Was gilt es zu beachten?

Es ist damit zu rechnen, dass die zuständigen Institute und Vereine zahlreiche Industrienormen für intelligente Systeme bereits 2025 veröffentlichen werden. Für Deutschland hat der DIN e.V. Normungsprojekte und ihre jeweiligen Zeitpläne in einer „KI-Normungsroadmap“ veröffentlicht. Daneben entwickeln u.a. die International Electrotechnical Commission (IEC) und die International Organization for Standardization (ISO) weitere Industriestandards.

Projekte sollten bereits jetzt unter Beachtung sämtlicher Vorschriften des AI Act und zu erwartender Standards aufgesetzt und begleitet werden. Setzen Unternehmen Systeme ein, die entgegen den Vorgaben des AI Act nicht dem normierten Stand der Technik entsprechen, drohen bußgeldbewehrte Verstöße.

EU-Richtlinie über die Haftung für fehlerhafte Produkte einschließlich KI

Mit der am 8. Dezember 2024 in Kraft getretenen Produkthaftungsrichtlinie soll das europäische Produkthaftungsrecht aus dem Jahre 1985 in das digitale Zeitalter überführt werden und an die Nachhaltigkeitsstrategie der EU angepasst werden. So werden nun auch Rohstoffe, smarte Produkte, Software, digitale Konstruktionsunterlagen und KI-Systeme einbezogen. Die neue EU-Richtlinie soll vom Deutschen Gesetzgeber bis zum 9. Dezember 2026 umgesetzt werden. Auf die Anforderungen sollten sich Unternehmen jedoch im Jahr 2025 vorbereiten. In Deutschland betrifft das u.a. die verschuldensunabhängige Haftung aus dem Produkthaftungsgesetz.

 Was gilt es zu beachten?

Der Richtlinienentwurf erweitert die Haftung für fehlerhafte Produkte ausdrücklich auch auf Software, intelligente Systeme eingeschlossen, und statuiert zugleich eine strenge Gefährdungshaftung in Fällen, in denen ein KI-System einen Schaden an Leib, Leben, Eigentum oder Daten einer natürlichen Person verursacht. Flankierend dazu muss der Produkthersteller entsprechende Beweismittel herausgeben und trägt bei Nichterfüllung die Beweislast. Diese Anforderungen sollten schon jetzt bei der Planung, Entwicklung und beim Einsatz von KI-Systemen berücksichtigt und insoweit auf eine vollumfängliche und taugliche Dokumentation geachtet werden, so dass eventuelle gesetzliche Pflichten zur Herausgabe von Beweismitteln zukünftig erfüllt werden können. Gleichzeitig gilt es, den Gesetzgebungsprozess sorgfältig im Auge zu behalten.

EU-Richtlinie zur Anpassung der Vorschriften über außervertragliche zivilrechtliche Haftung an künstlicher Intelligenz

Ergänzend zu der Reform der Produkthaftung befindet sich auf europäischer Ebene eine eigenständige Richtlinie zur Haftung für KI in Vorbereitung. Der Richtlinienentwurf diskutiert u.a. eine weiterreichende verschuldensunabhängige Haftung für KI-Systeme. Nach aktuellem Diskussionsstand würde die Richtlinie die Mitgliedsstaaten (nur noch) dazu verpflichten, im nationalen Deliktsrecht punktuell Beweiserleichterungen sowie eine Herausgabepflicht für Dokumente und Beweise einzuführen, um Geschädigten die substantiierte Darlegung von Ansprüchen zu erleichtern. Mit der Verabschiedung der Richtlinie dürfte frühestens 2025 zu rechnen sein. 

 Was gilt es zu beachten?

Auch in 2025 ist eine lebhafte Diskussion um haftungsrechtliche Verantwortlichkeiten von und ergänzende Dokumentationspflichten für Anbieter, Betreiber und weitere verantwortliche Personen von KI-Systemen zu erwarten. Inwiefern die Europäische Union es bei dem derzeit lediglich flankierenden Ansatz belässt oder doch wieder zu schärferen Haftungsmaßstäben zurückkehrt, bleibt abzuwarten und sollte daher genau beobachtet werden.

Digital Operational Resilience Act (DORA)

Worum geht es bei diesem Thema?

Mit der DORA-Verordnung (Digital Operational Resilience Act) strebt die Europäische Kommission an, einen EU-weit einheitlichen Rahmen für das Management von Cybersicherheits- und IKT-Risiken im Finanzsektor zu etablieren. Ziel ist es, die betriebliche Resilienz im Finanzsektor zu stärken und sicherzustellen, dass Finanzunternehmen und ihre Dienstleister in der Lage sind, auch bei schweren Betriebsunterbrechungen weiterhin sicher und stabil zu operieren. Die Notwendigkeit für einen solchen Standard ergibt sich insbesondere aus der steigenden Zahl an Cyberangriffen sowie der zunehmenden Abhängigkeit des europäischen Finanzsektors von großen IT-Dienstleistungsanbietern.

DORA betrifft eine Vielzahl an Finanzunternehmen sowie deren IKT-Dienstleister und soll gewährleisten, dass Cybersicherheits- und Resilienzstandards in der gesamten EU einheitlich angewendet werden. Diese Regelungen müssen bis spätestens 17. Januar 2025 umgesetzt sein.

Was gilt es zu beachten?

• Management von IKT-Risiken: Finanzunternehmen müssen umfassende Governance- und Kontrollrahmen schaffen, um IKT-Risiken zu steuern und die Sicherheit der Informationssysteme zu gewährleisten. Dabei ist die Etablierung von Testprogrammen zur Überprüfung der digitalen Resilienz ihrer IKT-Systeme verpflichtend, inklusive der Möglichkeit, erweiterte Penetrationstests durchzuführen.
• Berichts- und Meldepflichten: Finanzunternehmen müssen IKT-Vorfälle melden, die gemäß DORA als schwerwiegend eingestuft werden. Die Definition solcher Vorfälle folgt spezifischen Kriterien der Verordnung.
• Anforderungen an IKT-Drittdienstleister: Vor der Zusammenarbeit mit externen IT-Dienstleistern ist eine gründliche Risikoanalyse erforderlich, um deren Eignung zu beurteilen. Zudem müssen Verträge mit IKT-Dienstleistern Mindestanforderungen erfüllen, und es muss eine Strategie zum Management der Risiken durch diese Dienstleister entwickelt werden. Darüber hinaus werden bestimmte kritische IKT-Drittdienstleister durch die Europäischen Aufsichtsbehörden (ESAs) überwacht, wenn sie als essenziell für die Sicherheit und Stabilität des europäischen Finanzsektors gelten.

Einzelne Instrumente, die die BaFin bereits in der Vergangenheit angewendet hat, um die IKT Sicherheit des deutschen Finanzsektors zu erhöhen, wie etwa die harmonisierten Anforderungen an das IKT Risikomanagement für einzelne Finanzsektoren, vereinheitlichte Auslagerungsanzeigen, Überwachungsrahmen für IT-Mehrmandantendienstleister und vereinheitlichte Strukturen für das Meldewesen von IKT-bezogenen Vorfällen finden sich in DORA wieder, allerdings sind die Vorgaben teils konkreter ausgestaltet.

In Deutschland erfolgt die Einreichung etwaiger Meldungen über das BaFin Portal zur Melde- und Veröffentlichungsplattform (MVP-Portal). Nach der Registrierung im MVP-Portal müssen die Melder grundsätzlich die Freischaltung für das spezielle DORA-Fachverfahren beantragen, die zum Start von DORA über einen gesonderten Prozess (die sog. initiale Melderfreischaltung) erfolgt. Mit diesem möchte die BaFin der erwarteten großen Zahl an Meldern eine fristgerechte Freischaltung gewähren.

NIS-2-Richtlinie – The Network and Information Security Directive

Worum geht es bei diesem Thema?

Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“), veröffentlicht am 27. Dezember 2022 und in Kraft seit dem 16. Januar 2023, setzt neue Standards für Cybersicherheitsmaßnahmen innerhalb der EU. Ihr Ziel ist die Harmonisierung und Stärkung der Cyber- und Informationssicherheit in den Mitgliedsstaaten, um die wachsenden Bedrohungen für den europäischen Binnenmarkt und das Vertrauen der Nutzenden besser abwehren zu können. Die EU-Mitgliedsstaaten waren bis Oktober 2024 verpflichtet, die Richtlinie in nationales Recht zu überführen. In Deutschland erfolgt dies im Rahmen des NIS2UmsuCG-E, dessen Inkrafttreten für März 2025 vorgesehen ist.

Was gilt es zu beachten?

1. Erweiterte Cybersicherheitsanforderungen und Sanktionsrahmen:
• Die NIS-2-Richtlinie erhöht die Anforderungen in den Bereichen Cyber-Risikomanagement, Kontrolle und Überwachung, Vorfallmanagement sowie Geschäftskontinuität. Ziel ist es, einheitliche Sicherheitsstandards für wesentliche und wichtige Unternehmen und Institutionen sicherzustellen, einschließlich digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze.
• Besonders der NIS2UmsuCG-E betont die Einführung eines risikobasierten Ansatzes, der Unternehmen dazu verpflichtet, individuell angepasste Cybersicherheitsmaßnahmen zu entwickeln und umzusetzen, um die Auswirkungen potenzieller Sicherheitsvorfälle zu minimieren. Verstöße gegen die Anforderungen werden streng sanktioniert, mit Bußgeldern bis zu 20 Millionen Euro oder bis zu 2 Prozent des weltweiten Vorjahresumsatzes.
2. Verantwortung der Unternehmensleitung und Governance-Vorgaben:
• Sowohl die NIS-2-Richtlinie als auch der NIS2UmsuCG-E sehen eine verstärkte Verantwortung der Unternehmensleitung für die Einhaltung der Cybersicherheitsvorgaben vor. Unternehmensleitungen sind verpflichtet, einen umfassenden Governance- und Kontrollrahmen für das Management von Informations- und Kommunikationssicherheitsrisiken zu etablieren und kontinuierlich zu überwachen. Im NIS2UmsuCG-E ist diese Führungsverantwortung ein zentraler Aspekt, um Sicherheitslücken effizient zu schließen und proaktive Sicherheitsmaßnahmen zu fördern.
3. Meldepflichten bei Sicherheitsvorfällen:
• Im Fall eines schwerwiegenden Sicherheitsvorfalls müssen Unternehmen die zuständigen nationalen Behörden, in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI), unverzüglich informieren. Der NIS2UmsuCG-E konkretisiert diese Meldepflichten und sieht vor, dass Vorfälle nach festgelegten Kriterien zu klassifizieren sind. Dies gewährleistet eine abgestimmte Reaktion auf Bedrohungen, um Schäden möglichst gering zu halten und zeitnah Gegenmaßnahmen einzuleiten.
4. Verpflichtende Sicherheitsmaßnahmen für Drittanbieter:
• NIS-2 und NIS2UmsuCG-E erweitern zudem die Anforderungen auf Drittanbieter kritischer Dienste, insbesondere auf Anbieter von Informations- und Kommunikationstechnologie, die für Finanzinstitute, Energieunternehmen, Gesundheitsdienstleister und andere wesentliche Sektoren tätig sind. Vor der Beauftragung solcher Drittanbieter ist eine umfassende Risikoanalyse durchzuführen, um deren Eignung und Cybersicherheitsniveau zu bewerten.

Unternehmen, die von der NIS-2-Richtlinie und dem NIS2UmsuCG-E betroffen sind, sollten zügig eine GAP-Analyse durchführen, um den Handlungsbedarf zu ermitteln und die Sicherheitsmaßnahmen rechtzeitig umzusetzen.

Das KRITIS-Dachgesetz (KRITIS-DachG) 

Worum geht es? 

In Deutschland sind die Sektoren der kritischen Infrastrukturen wie beispielsweise Energie, Finanzen, Gesundheit, IT, Transport und Verkehr sowie Wasser stark miteinander vernetzt. Ein Ausfall in einem Sektor kann Auswirkungen auf die gesamte Wertschöpfungskette haben. Bisher existieren auf nationaler Ebene keine sektor- und risikoübergreifenden Regelungen, abgesehen von spezifischen Vorgaben zur IT-Sicherheit. Das KRITIS-Dachgesetz (KRITIS-DachG) zielt darauf ab, als übergreifendes Regelwerk für verschiedene Sektoren zu dienen und die bestehenden IT-Sicherheitsanforderungen für kritische Infrastrukturen zu erweitern. Dabei sollen alle relevanten Risiken berücksichtigt werden.

Das KRITIS-DachG setzt die EU-Richtlinie zur Resilienz kritischer Einrichtungen ((EU) 2022/2557) in nationales Recht um. Es verpflichtet die Betreiber kritischer Infrastrukturen unter anderem zur Erstellung sogenannter Resilienz-Pläne. Diese Verpflichtung wird spätestens ab dem 17. Juli 2026 nach Ablauf der bekannten Umsetzungsfristen verbindlich.

Was ist zu beachten? 

Als Betreiber einer „kritischen Anlage“ werden Sie grundsätzlich vom KRITIS-DachG erfasst, wenn Sie die folgenden zwei Kriterien erfüllen: Die von Ihnen betriebene Anlage ist essentiell für die Gesamtversorgung in Deutschland und versorgt mehr als 500.000 Menschen. 

EU-Richtlinie zur Stärkung der Verbraucher für den ökologischen Wandel

Worum geht es bei diesem Thema?

Die EU-Richtlinie zur Stärkung der Verbraucher für den ökologischen Wandel (auch Empowering Consumer Directive, Richtlinie (EU) 2024/825) wurde am 6. März 2024 veröffentlicht und trat am 26. März 2024 in Kraft. Ziel ist es, Verbraucherinnen und Verbrauchern durch besseren Schutz vor unlauteren Praktiken und umfassendere Informationen den ökologischen Wandel zu erleichtern. Die Richtlinie bringt umfangreiche Änderungen an der Richtlinie über unlautere Geschäftspraktiken (UGP-RL), die in das deutsche Gesetz gegen den unlauteren Wettbewerb (UWG) integriert werden. Besonders im Bereich der Umweltwerbung setzt die Richtlinie neue Standards: Umweltbezogene Werbeaussagen wie „umweltfreundlich“ oder „nachhaltig“ sind nur zulässig, wenn diese klar erläutert und durch geprüfte, verlässliche Daten belegt werden.

Zudem führt die Richtlinie neue vorvertragliche Informationspflichten ein, um Konsumentinnen und Konsumenten transparente Informationen zu Haltbarkeit und Reparierbarkeit von Produkten zu geben und nachhaltigere Kaufentscheidungen zu fördern.

Was gilt es zu beachten?

1. Strengere Anforderungen an Umweltwerbung:
• Private Nachhaltigkeitssiegel müssen künftig durch unabhängige Dritte zertifiziert werden. Unternehmen, die solche Siegel verwenden möchten, müssen daher striktere Nachweise zur Authentizität der Siegel erbringen.
• Begriffe wie „umweltfreundlich“ oder „klimaneutral“ dürfen in der Werbung nur noch verwendet werden, wenn eine klare, nachvollziehbare Erläuterung erfolgt, die die ökologische Wirkung des Produkts oder der Dienstleistung präzise beschreibt.
• Insbesondere wird das Bewerben von Produkten als „klimaneutral“ ohne detaillierte Erläuterungen und Nachweise untersagt, was insbesondere die gängige Praxis der Werbung mit der Kompensation von Treibhausgasemissionen einschränkt.
2. Erweiterte vorvertragliche Informationspflichten:
• Unternehmen müssen Verbraucherinnen und Verbraucher vor Abschluss eines Kaufvertrags umfassend über die Haltbarkeit und Reparierbarkeit eines Produkts informieren. Dies umfasst spezifische Angaben, die Unternehmen vom Hersteller erhalten haben, z. B. zur Verfügbarkeit von Ersatzteilen, möglichen Reparaturdiensten oder zur erwarteten Produktlebensdauer.
• Zudem sind Informationen über die Verfügbarkeit von Updates für digitale oder digitalelementhaltige Produkte bereitzustellen, um Transparenz über die langfristige Nutzbarkeit zu gewährleisten.
3. Förderung umweltfreundlicher Optionen:
• Unternehmen sind verpflichtet, auf umweltfreundliche Lieferoptionen hinzuweisen und diese, wo möglich, anzubieten. Verbraucherinnen und Verbraucher sollen so aktiv auf die Möglichkeit umweltschonender Alternativen aufmerksam gemacht werden.
4. Fristen und Vorlaufzeiten:
• Die neuen Vorschriften werden ab dem 27. September 2026 anwendbar sein. Unternehmen sollten jedoch bereits jetzt ihre Werbemaßnahmen und Kommunikationsstrategien daraufhin überprüfen und gegebenenfalls anpassen, da viele Kampagnen langfristig geplant werden.
• Jede Art der Kommunikation (z. B. Werbung, Verpackung, Social Media, Pressemitteilungen) mit Umweltbezug, die nach dem 27. September 2026 auf dem Markt ist oder eingeführt wird, muss den neuen Anforderungen entsprechen.

Da die Richtlinie verschiedene gängige Formen der Umweltwerbung entweder stark reguliert oder verbietet und umfangreiche vorvertragliche Informationspflichten vorschreibt, empfiehlt es sich, frühzeitig alle entsprechenden Prozesse und Kommunikationsmaterialien mit den neuen Regelungen abzugleichen.

Richtlinie über Umweltaussagen – Green Claims-Richtlinie

 Worum geht es bei diesem Thema?

Die künftige „Green Claims-Richtlinie“ (Richtlinie über Umweltaussagen) reguliert, welche umweltbezogenen Aussagen Unternehmen in Bezug auf ihre Produkte und Dienstleistungen treffen dürfen, wie diese zu belegen und zu kommunizieren sind. Die Richtlinie soll Greenwashing (irreführende Öko-Werbung, irreführende Umweltaussagen, falsche Nachhaltigkeits-Versprechen und Fake-Siegel) verhindern. Sie will einheitliche Standards für die Vergleichbarkeit und Belegbarkeit von umweltbezogenen Werbeaussagen schaffen und damit Verbraucherinnen und Verbrauchern in die Lage versetzen, aufgeklärtere, bewusstere Kaufentscheidung zu treffen. Die Richtlinie befindet sich aktuell noch im Gesetzgebungsprozess, jedoch raten wir Ihnen, sich bereits jetzt auf die neuen Regelungen vorzubereiten.

Was gilt es zu beachten?

Die neuen gesetzlichen Bestimmungen schaffen ein EU-weit vereinheitlichtes Regelungswerk für umweltbezogene Kommunikation und ergänzen zudem bereits bestehende spezialgesetzlichen EU-Regelungen auf diesem Gebiet (z.B. EU-Umweltzeichen, EU-Bio-Logo etc.). Die Richtlinie konzentriert sich darauf, Greenwashing einzudämmen, indem sie strikte Kontroll- und Verifizierungsstandards für Umweltaussagen vorschreibt. Zu den wichtigsten Maßnahmen der EU Green Claims Directive zählen:

• Klare Angaben, wie Unternehmen ihre Umweltaussagen nachweisen sollen
• Die Überprüfung der Angaben durch unabhängige und akkreditierte Prüfstellen
• Neue Regelungen zur Führung von Umweltkennzeichnungssystemen, um ihre Stabilität, Transparenz und Verlässlichkeit zu gewährleisten

Sofern Sie mit umwelt- oder nachhaltigkeitsbezogenen Aussagen, Siegeln oder Umweltzeichen werben, raten wir Ihnen, sich bereits jetzt mit diesen Neuregelungen vertraut machen. Als werbendes Unternehmen sollten Sie sich darauf einstellen, dass die Zuverlässigkeit Ihrer freiwilligen Umweltangaben kritisch überprüft wird und entsprechende Maßnahmen ergreifen, um Richtigkeit und Belegbarkeit Ihrer umweltbezogenen Bezeichnungen sicherzustellen.

Novellierung des Beschäftigtendatenschutzes (Beschäftigtendatengesetz – BeschDG)

Worum geht es bei diesem Thema?

Im Oktober 2024 haben das Bundesministerium für Arbeit und Soziales sowie das Bundesministerium des Innern und für Heimat den Referentenentwurf für ein eigenständiges Beschäftigtendatengesetz (BeschDG) veröffentlicht. Dieser Entwurf, der mittlerweile auch über soziale Medien verbreitet wurde, zielt darauf ab, den Schutz von Beschäftigtendaten sowie die Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt zu stärken und das Bundesdatenschutzgesetz (BDSG) in diesem Bereich zu entlasten. Obwohl das BDSG anwendbar bleibt, wird der bisherige § 26 (Datenverarbeitung im Beschäftigungskontext) aufgehoben und durch das neue BeschDG ersetzt. Der Entwurf enthält umfassendere und klarere Regelungen zur Datenverarbeitung im Beschäftigtenverhältnis und sieht dabei eine stärkere Regulierung als die bisherige Gesetzgebung vor. Zu den zentralen Neuerungen gehören:

• Erweiterte Auskunftsrechte für Beschäftigte, insbesondere über den Einsatz und die Auswirkungen von KI-Systemen am Arbeitsplatz.
• Verwertungsverbote für Informationen, die unter datenschutzwidrigen Bedingungen erhoben wurden.
• Regelungen zur Überwachung von Beschäftigten, die verdeckte Überwachungsmaßnahmen nur als letztes Mittel (Ultima Ratio) zulassen.
• Mitbestimmungsrechte für Beschäftigte bei der Bestellung und Abberufung von Datenschutzbeauftragten.
• Technikneutraler Ansatz und besondere Anforderungen an die Freiwilligkeit von Einwilligungen im Arbeitskontext.
• Regelungen für konzerninterne Datenverarbeitung, sofern die berechtigten Interessen beider Seiten gewahrt bleiben.

Was gilt es zu beachten?

Ursprünglich strebten die zuständigen Ministerien eine Verabschiedung des Gesetzes bis zum Ende der Legislaturperiode an. Ob das BeschDG nun überhaupt verabschiedet wird, ist nach der Auflösung der Ampelregierung derzeit völlig offen.

Ziel des Beschäftigtendatengesetzes ist es, einen klaren und transparenten Rechtsrahmen für die Datenverarbeitung im Beschäftigungsverhältnis zu schaffen und Arbeitgebern und Beschäftigten mehr Rechtssicherheit zu bieten. Es soll dabei festgelegt werden, welche Fragen und Tests im Rahmen des Bewerbungsverfahrens zulässig sind, und wann ärztliche Untersuchungen, Überwachungsmaßnahmen und psychologische Tests erlaubt sind. Zudem werden Kennzeichnungs- und Informationspflichten für den Einsatz von KI-Systemen eingeführt, um Transparenz und Schutz gegen maschinelle Bewertungen (Profiling) zu gewährleisten.

Trotz des umfassenden Regelungsansatzes stößt der Entwurf bereits auf Kritik, und es bleibt abzuwarten, welche Änderungen im Verlauf des Gesetzgebungsverfahrens erfolgen werden. Laut den zuständigen Ministerien soll der Gesetzentwurf bis Ende des Jahres als Regierungsentwurf vorgelegt und innerhalb der laufenden Legislaturperiode verabschiedet werden.

Für Unternehmen bedeutet die Einführung des neuen BeschDG einen erhöhten Anpassungsaufwand: Sie müssen ihre bisherigen Datenverarbeitungspraktiken und -regelungen überprüfen und gegebenenfalls anpassen, um die neuen Anforderungen zu erfüllen. Daher empfehlen wir, das Gesetzgebungsverfahren aufmerksam zu verfolgen und bereits jetzt bestehende betriebliche Regelungen zur Datenverarbeitung zu prüfen, um gegebenenfalls frühzeitig Anpassungen vorzunehmen.