Digitalisierung, globale Vernetzung von Menschen und Dingen (IOT) sowie die disruptive Entwicklung künstlicher Intelligenzen (AI / KI) nehmen zunehmend Einfluss auf unsere Arbeitswelt und Lebenswirklichkeit. Cloud Computing, digitale Kommunikation, Social Media, digitales Arbeiten und Einkaufen sind selbstverständliche Bestandteile unseres Alltags geworden. Neben hohem Nutzen und vielen Vorteilen sind neue Risiken und Abhängigkeiten, sowie ernstzunehmende Gefahren für kritische Infrastrukturen entstanden. Dies wiederum führt zu neuen Gesetzen und Verordnungen mit dem Zweck, digitale Entwicklungen länderübergreifend zu regeln und zu steuern.
Dieser Artikel soll einen ersten Überblick über derzeit wichtige IT-Regularien in der EU und Deutschland geben und aufzeigen, für wen sie relevant sind.
Regelungen zur IT- / Cyber-Security
1.1 NIS2 und NIS2UmsuCG
Zunehmende Digitalisierung bedeutet auch größere Abhängigkeiten von der Ausfallsicherheit und der Verfügbarkeit digitaler Systeme. Hier zeigten Hackerangriffe, Datendiebstähle, die Covid-Pandemie und nicht zuletzt der russische Angriffskrieg auf die Ukraine, dass Mitgliedsstaaten, Unternehmen und Institutionen noch unzureichend auf die wichtigsten Bedrohungen und Risiken im Bereich der IT-Security vorbereitet sind. Hier soll NIS2 Abhilfe schaffen. NIS2 ist eine neue, ab dem 18. Oktober 2024 anzuwendende Richtlinie der EU zur Netzwerk- und Informationssicherheit. Sie hebt die bisherige NIS Richtlinie aus dem Jahr 2016 auf und berücksichtigt neuere Entwicklungen im Bereich der IT-Risiken und technischer Abhängigkeiten, insbesondere auch im Bereich sog. kritischer Infrastrukturen (KRITIS). Durch die Richtlinie sollen die Mitgliedsstaaten der EU verpflichtet werden, eine nationale Strategie zur Cybersicherheit zu schaffen und umzusetzen. In Deutschland dient hierzu u. a. das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das rund 29.500 deutsche Wirtschaftsunternehmen betrifft und noch im Jahr 2024 zur Anwendung kommen soll. Normiert werden Mindestanforderungen an die IT-Sicherheit und angepasste Meldepflichten für sicherheitsrelevante Vorfälle. Es werden hierbei die Kategorien "besonders wichtige Einrichtungen" und "wichtige Einrichtungen" mit jeweils eigenen Anforderungen unterschieden.
1.2 RCE / CER und Kritis-DACHG
Zusätzlich zu der vorgenannten NIS2-Richtlinie, die sich auf einen weitaus größeren Wirtschaftsbereich bezieht, konzentieren sich die RCE-Regelungen der EU (Resilience of Critical Entities) bzw. der CER-Richtlinie (Critical Entities Resilience) vor allem auf den Schutz kritischer Infrastrukturen vor Cyberbedrohungen zum einen, zum anderen aber darüber hinausgehend auch vor Naturkatastrophen und Terrorangriffen. Als kritisch werden alle für die Aufrechterhaltung und Funktion des öffentlichen und gesellschaftlichen Lebens notwendigen oder relevanten Infrastrukturen eingestuft, namentlich sämtliche Einrichtungen und Unternehmen der Energie-, Trinkwasser- und Lebensmittelversorgung, des Verkehrswesens, des Gesundheitswesens, der öffentlichen Sicherheit und Verwaltung, der Banken und Finanzsektoren, auch Luft- und Raumfahrt sowie nicht zuletzt der Bereitstellung digitaler Dienste in diesen Bereichen.
Die Umsetzung in nationales Recht soll in Deutschland durch das KRITIS-Dachgesetz erfolgen. Wie bereits im Namen angelegt, versteht sich dieses Gesetz als übergeordnetes und bündelndes Regelwerk zur Umsetzung der EU-Regelungen über den Schutz kritischer und für das Gemeinwesen wichtiger bzw. unverzichtbarer Infrastrukturen. So werden die Sicherheitsanforderungen an die Betreiber erhöht und umfassende Meldepflichten nebst Melderegister für sicherheitsrelevante Vorfälle eingeführt. Vorausetzung hierfür ist die Einführung qualifizierter Systeme zum Risikomanagement der betroffenen Instiuitonen, um Bedrohungslagen schnell erkennen und ihnen zuverlässig begegnen zu können.
Cyber Resilience Act (CRA)
Der Entwurf eines Cyber Resilience Acts (CRA-E) wurde von der EU am 12.03.2024 verabschiedet. Die Verordnung bedarf noch der Zustimmung des EU-Rates und soll voraussichtlich ab 2027 gelten. Gegenstand der Verordnung ist die Vereinheitlichung von Regelungen über die Cybersecurity digitaler Produkte. Deren Sicherheitsniveau soll eineitlich hohen EU -Standards genügen. Die Verordnung stellt eine Ergänzung der seit 2018 geltenden EU-DSGVO und der NIS2-Richtlinie dar. Dies betrifft also EU weit eine Vielzahl von Akteuren und Wirtschaftsunternehmen. Es wird in Fachkreisen davon ausgegangen, dass die Vorschriften des CRA weitreichende Auswirkungen auf Rechtsfragen zu Mängelansprüchen und zur Produkthaftung haben können.
Zusätzliche Regelungen im Finanzsektor
a) Für den Finanzsektor (Banken, Versicherungen, Wertpapierfirmen, Ausichtsbehörden u. a.) trifft die neue EU-Verordnung Dora (Digital Operational Resilience Act) vom 17.01.2023, anzuwenden ab dem 17.01.2025, umfangreiche Regelungen zur IKT-Sicherheit und zum IKT-Management. Sie betrifft fast alle im Finanzsektor tätige Unternehmen und Instutitionen, mit Ausnahmen für bestimmte Vermittler und für kleinere Einheiten. Dora soll wesentlich dazu beitragen, die betreffenden Unternehmen und Behörden umfassend gegen Cyberrisiken in der Informations- und Kommunikationstechnologie (IKT) zu wappnen.
b) Besonderheiten für den Markt der Krypto-Währungen regelt die in zwei Stufen (19.07.2023 und 30.12.2024) anzuwende EU-Verordnung über Kryptowerte, die Regulations of Markets in Crypto-Assets (MICA). Diese Verordnung regelt europaweit den rasant gewachsenen Markt der digitalen Währungen / Zahlungsmittel. Als deren bekannteste Verteter dürften die Kryptowährungen Bitcoin und die bspw. für den Handel von digitalen Kunstwerken verwendeten Non-Fungible Tokens (NFTs) sein. Durch MICA soll der europaweite Handel mit Kryptowährungen zum einen unkomplizierter gestaltet werden, zum andern als wesentlicher Zweck, Anleger und Verbraucher vor Missbräuchen geschützt werden
CSA Zertifizierungen
CSA Zertifikate stellen für Unternehmen eine Möglichkeit dar, standardisierte Nachweise über die Einhaltung hoher Sicherheittsstandards zu führen und sind bei der Implementierung einer sinnvollen Cybersecurity-Strategie behilflich. CSA steht für ursprünglich durch die Canadian Standards Association (heute CSA Group) entwickelte technische Normen und Industriestandards. In Europa wird die CSA Group durch die in Frankfurt ansässige CSA Europe GmbH repräsentiert. CSA Certifications gibt es für eine Vielzahl von Anwendungsbereichen. CSA Zertifikate bestätigen die Beachtung hoher Qualitätsstandards in Form der CSA Kriterien und schaffen damit die Grundlage vertrauensvoller Zusammenarbeit. Im Bereich der IT werden CSA Zertifizierungen bspw. bei kommerziellen E-Mails u. a. im Bereich des E-Mail Marketings eingesetzt. Dies erhöht die Sicherheit für Versender und Empfänger im automatisierten E-Mail-Geschäftsverkehr so bei Newslettern aber auch bei digitalen Bestellungen und Kaufabwicklungen
Regulierung und Schutz des EU-Binnenmarktes
The key aspects of EU economic policy include protecting the EU’s internal market and maintaining the competitiveness of EU member states. The protection of the data of natural persons as stakeholders and consumers also plays a significant role. The concentration of enormous economic power with the risk of market abuse by globally active digital companies such as (not exhaustive) Alibaba, Amazon, Apple, Bing, Facebook, Google, Instagram, Linkedin, Temu, Wikipedia, YouTube and others (in alphabetical order) has created the concept of platform capitalism.
Regelungen der EU
Zentrale Regelungen der EU versuchen, hier regulierend und den Binnemarkt schützend einzugreifen. Gleichzeitig sollen nicht nur marktbeherrschende sondern auch wesentlich digital tätige Unternehmen in die Verantwortung gegenüber ihren Nutzern und Verbrauchern genommen werden. Dies nicht nur für ihr eigenes Geschäftsverhalten sondern ebenso als Vermittler von digitalen Diensten in Bezug auf rechtswidrige Inhalte ihrer Nutzer.
EU-Verordnungen des Digital Service Act (DSA) und des Digital Markets Act (DMA)
The EU regulations of the Digital Service Act (DSA) and the Digital Markets Act (DMA) were adopted for this purpose.
a) Mit dem DSA gelten seit 17.02.2024 EU weit einheitliche Vorschriften für digitale Unternehmen, nun nicht mehr beschränkt auf marktbeherrschende Akteure, über die Haftung für rechtswidrige Inhalte und über die Einhaltung von Sicherheitsvorschriften zum Schutz der jeweiligen Nutzer. Bedenken hiergegen wurden aus den Gesichtspunkten der Einschränkung der Meinungsfreiheit und von Bürgerrechten geäußert, da es nicht Aufgabe der betreffenden Unternehmen sein könne, ihre Nutzer zu maßregeln oder deren Inhalte zu löschen.
b) Als Teil eines Gesetzespaketes über digitale Dienste regelt der DMA demgegenüber Rechtsfragen, die sich aus der Einschränkung des Zugangs zu einem an und für sich freien Markt durch große, beherrschende Unternehmen als sog. "Torwächter" gegenüber kleineren oder wirtschaftlich schwächeren Marktteilnehmern ergeben. Durch den Massnahmekatalog und die Sanktionsvorschriften des DMA werden marktbeherrschende Global Player bspw. verpflichtetet, Interoperabilität herzustellen. So soll es Nutzern möglich sein, ohne unzulässige Einschränkungen zwischen Anbietern zu wechseln und Wettbewerber in die Lage versetzt werden, ihre digitalen Dienste und Produkte ebenfalls markfähig zu halten.
c) In Deutschland wurden diese beiden EU-Verordnungen durch das Digitale Dienste Gesetz (DDG) umgesetzt.
Schutz vs. Verfügbarkeit von Daten. DGA (Data Governance Act) und DA (Data Act )
Mit der EU-Datenschutzgrundveodnung (EU-DSGVO) wurde ein bereits EU weit geltendes Regelwerk zum Schutz personenbezogener Daten der EU-Bürger geschaffen.
Damit verbunden ist die Erkenntnis um das Potential von Daten als Wirtschaftsfaktor und Handelsgut sowie zum gesamtgesellschaftlichen oder persönlichen Nutzen des Einzelnen. Nicht nur Wirtschaftsunternehmen, sindern auch der öffentliche Sektor, der über ein erhebliches Volumen personen- und unternehmensbezogener Daten verfügt, haben ein Interesse daran, Daten auszutauschen. Hier sollen die Regelungen des DGA (Data Governance Act), anzuwenden seit 24.09.2023) und des DA (Data Act, anzuwenden ab 12.09.2025 ) regulierend eingreifen.
So können bspw. der schnelle Austausch von Gesundheitsdaten zwischen Leistungserbringern (Ärzten und Krankenkassen) und Wissenschaft oder medizinischer Forschung helfen, Krankheiten effektiv zu heilen, neue Behandlungsmöglchkeiten oder neute Medikamente zu entwickeln.
Wirtschaftsuntenehmen können aufgrund der ihnen von Kunden und Nutzern vorliegenden Daten neue und innovative Produket entwickeln. Gerade hier und bei den sensiblen Gesundheitsdaten zeigt sich das Konfliktpotential zwischen den Möglichkeiten der Datenverfügbarkeit und den notwendigen Einschränkungn zum Schutz der Daten. So haben Datenschutz und Wettberwerbsrecht grds. weiter Vorrang vor dem Austausch und der Verfügbakeit von Daten. Ganz wesentliche Aspekte bleiben hierbei die Einwilligung und Freiwilligkeit derjenigen, deren Daten verwendet werden sollen. Dies kann in der Praxis auf nicht unerhebliche Abgrenzungsprobleme stoßen und reicht von echtem Datenaltruismuns bis zu faktischem Zwang durch die Notwendigkeit bestimmte Produkte nutzen zu müssen. Gleichzeitig ist dies auch ein wesentlicher Aspekt, um dem Bestreben marktbeherrschender Untenehmen entgegenzuwirken, größtmögliche Datenbestände anzusammeln (Big Data).
KI (Künstliche Intelligenz)
Ein längere Zeit eher im Verborgenen entstehender und vor allem von der Fachwelt beobachteter Themenkomplex ist die Schaffung sog. künstlicher Intelligenzen (AI / KI). Cloud Computimg, globale Netzwerkstrukturen und immer größere Rechenleistungen ermöglichten es, Algorithmen zu entwickeln, mit denen die Programmierung künstlicher Intelligenzen und entsprechender Sprachmodelle greifbar erscheint. Spätestens mit der medial stark beachteten Veröffentlichung und Nutzbarmachung der Versionen 3.5 und 4 der als CHatGPT des Unternehmens OpenAI bekannten KI Ende 2022 / Anfang 2023 ist dieses Thema auch in den Fokus einer breiteren Öffentlchkeit gedrungen.
Seitdem wird das Thema KI engagiert und kontrovers dikutiert. Weniger das enorme persönliche und wirtschaftliche Potential für Einzelne und Märkte, sondern vor allem die mit der Nutzung und dem etwaigen Missbrauch dieser neuen Technologie verbundenen Risiken sind wesentlicher Beststandteilt der Überlegungen des EU-Gesetzgebers. Die aktuellen Bedenken und Regulierunsätze finden sich nun in der nach fünf Jahren Arbeitszeit am 01.08.2024 in Kraft getretenen und in mehrern Stufen ab 02.02.2025, überwiegend ab 02.08.2006 anwendbaren EU-Verordnung über künstliche Intelligenz (AI Act) wieder.
Es ist dass erste gesetzliche Regelwerk, das sich mit den Risiken und Gefahren künstlichr Intelligenz zum Schutz seiner Bürger befasst. KI-Modelle werden hierbei in verschiedene Risikogruppen eingeteilt, von akzeptablen, risikolosen Anwendungsgebieten (Ki für einfache Textanwendungen) bis hin zu als nicht hinnehmbare Verwendungsmöglichkeiten (bspw. Social Scoring nach chinesischem Vorbild). Es gibt Verbote unterschiedlicher Gewichtung und für unterschiedliche Risikogruppen, die hohe Compliance-Anforderungen an die mit der Entwicklung und der Verwendung von KI befassten Unternehmen und Berufsgruppen stellt. Eine geplanter Europäischer Ausschuss und angepasste Sanktiosnmöglichkeiten mit z. T. erheblichen Bußgeldern auf nationaler Ebene sollen der Duchsetzung des AI -Acts dienen.
Fazit und Ausblick:
Der europäische und ihm folgend der nationale Gesetzgeber sind alles andere als untätig bei der Beobachtung und Regulierung vieler Bereiche der digitalen Wirtschaft und des digitalen Lebens. So gut wie jedes Unternehmen, vom Global Player bis zu KMU sind in irgendeiner Weise von den hier dargestellten Regularien in der EU und in Deutschland betroffen. Es ist nicht nur sinnvoll sondern unabdingbar, sich mit diesen Entwicklungen zu befassen und diese bei dem unternehmerischen IT-Risikomanagement zu berücksichtigen. Dieser Artikel soll ein erster Überblick hierzu sein. Die Grundlagen wurden sorgfältig recherchiert. Für etwaige Fehleinschätzungen wird jedoch keine Haftung übernommen. Bitte berücksichtigen Sie, dass die Entwicklungen bei allen IT-Regularien im Fluss sind, und dieser Artikel keine Rechtsberatung im Einzelfall darstellt oder ersetzen kann. Naturgemäß kann hier nur ein Überblick erfolgen, vieles kann aufgrund der Komplexität des Themas nur gestreift oder angerissen werden. Bleiben Sie am Ball und informieren Sie sich gerne weiter.