EU Digitalstrategie

Datengetriebene Unternehmen stehen vor der Herausforderung, ihre Geschäftsmodelle sowohl an technologische Veränderungen als auch an strenge datenregulatorische Anforderungen anzupassen. Im Rahmen der EU Digitalstrategie arbeitet die EU an diversen Gesetzgebungsverfahren oder hat diese bereits umgesetzt. Die Gesetze gehen über die Verarbeitung von personenbezogenen Daten hinaus und behandelt u.a. auch Künstliche Intelligenz oder Cybersecurtiy. Diese Gesetze weisen einen direkten oder indirekten Bezug auf IT-Sicherheitsmaßnahmen oder den Datenschutz.


IHRE VORTEILE

  • Erfahrung und Vertrauen: Mit über 1000 Kunden und 400+ Zertifizierungen in verschiedenen Branchen sind wir Ihr verlässlicher Partner.
  • Individuelle Lösungen: Wir entwickeln pragmatische Lösungen, die auf die Bedürfnisse Ihres Unternehmens abgestimmt sind.
  • Tiefgehende Expertise: Unser Team besteht aus erfahrenen Datenschutzexperten, Informatikern, Juristen und Compliance-Experten, die Sie individuell und persönlich beraten.

UNSERE LEISTUNGEN

Wir bieten Ihnen umfassende Beratung und Expertise, um die verschiedenen EU-Richtlinien und Verordnungen zur Datenregulierung optimal zu nutzen. Dazu gehören u.a. der Data Governance Act (DGA), der Data Act (DA), der Digital Services Act (DSA), der Digital Markets Act (DMA), der AI Act (AIA) sowie die NIS-2 Richtlinie. 

AI Act

Der AI Act ist das weltweit erste umfassende Regelwerk zur Regulierung der Nutzung von Künstlicher Intelligenz (KI). Ziel dieses Gesetzes ist es, das Vertrauen in diese Technologie zu stärken, indem klare Richtlinien und Vorschriften festgelegt werden. Der AI Act strebt die Schaffung eines rechtlichen Rahmens für die Entwicklung und Nutzung von KI innerhalb der Europäischen Union an, wobei der Schwerpunkt auf Transparenz, Sicherheit und ethischen Standards liegt. Folgende Bereiche werden besonders adressiert:

  • Klassifizierung von KI-Systemen: KI-Systeme werden nach ihrem Risiko für die Gesellschaft in vier Kategorien eingeteilt: unannehmbares Risiko, hohes Risiko, begrenztes Risiko und geringes Risiko. Diese Kategorien unterliegen unterschiedlichen Regulierungsmaßnahmen.
  • Regulierung und Aufsicht: Für Hochrisiko-KI-Systeme gelten strenge Vorschriften, die unter anderem die Durchführung von Risikoanalysen und regelmäßigen Audits umfassen.
  • Transparenzpflichten: Anbieter von KI-Systemen müssen sicherstellen, dass die Nutzer über die Interaktion mit KI informiert sind und verstehen, wie diese Systeme Entscheidungen treffen.
  • Verantwortlichkeit und Haftung: Es werden klare Regeln zur Haftung und Verantwortung der Anbieter und Nutzer von KI-Systemen festgelegt.

Künstliche Intelligenz beschreibt die Fähigkeit von Maschinen, basierend auf Algorithmen Aufgaben autonom auszuführen und dabei die Problemlösungs- und Entscheidungsfähigkeiten des menschlichen Verstandes nachzuahmen.

Data Act

Der EU Data Act ist Teil der EU-Digitalstrategie und ziel darauf ab, den Datenzugang und die Datennutzung innerhalb der Europäischen Union zu erleichtern. Dabei geht es nicht nur um personenbezogene Daten, sondern um alle Datenarten. Bei der Nutzung von Produkten und Dienstleistungen werden viele Daten generiert. Der Zugang zu eben diesen Daten soll für natürliche Personen und Unternehmen erleichtert werden. Zudem regelt der Data Act Anforderungen an die Interoperabilität von Daten, wenn bspw. ein Kunde den Cloud-Anbieter wechselt. 

Der Data Act soll dazu beitragen, das bislang ungenutzte Potenzial von Daten in der EU auszuschöpfen. Er legt fest, unter welchen Bedingungen und von wem Daten genutzt werden dürfen.

Was sind die neuen Maßnahmen? 

  • Erhöhung der Rechtssicherheit für Unternehmen und Verbraucher
  • Minderung des Missbrauchs vertraglicher Ungleichgewichte
  • Vorschriften, die es öffentlichen Stellen ermöglichen, auf Daten des privaten Sektors zuzugreifen und diese für spezifische Zwecke von öffentlichem Interesse zu nutzen
  • Neue Vorschriften, mit denen der Rahmen für den effektiven Wechsel zwischen verschiedenen Anbietern von Datenverarbeitungsdiensten festgelegt wird, um den EU-Cloud-Markt zu erschließen.

Digital Services Act

Der Digital Services Act (DSA) gilt seit Februar 2024  vollumfassend und regelt neue Anforderungen in Bezug auf ein sicheres und verantwortungsvolleres Umfeld auf Online-Plattformen. Das Gesetz erleichtert die Entfernung illegaler Inhalte und schützt die Grundrechte der Nutzer. Große Online-Plattformen und Suchmaschinen mit mindestens 45 Millionen monatlich aktiven Nutzern unterliegen speziellen Sorgfaltspflichten, wie der Durchführung von Risikoanalysen und der Risikominimierung. Dadurch soll die Bekämpfung illegaler Inhalte auf diesen Plattformen verbessert werden.

Alle Online-Vermittler, die im Binnenmarkt tätig sind, müssen die neuen Vorschriften einhalten, unabhängig davon, ob sie innerhalb oder außerhalb der EU ansässig sind. Zu diesen Online-Anbietern zählen u.a. Internetanbieter, Hosting-Dienste wie Cloud- und Webhosting, Online-Marktplätze, App-Stores, und Social-Media-Plattformen. Für sehr große Online-Plattformen und Suchmaschinen gelten besondere Regelungen, da sie ein höheres Risiko für die Verbreitung illegaler Inhalte und gesellschaftliche Schäden darstellen.

Digital Markets Act

Der Digital Markes Act sieht eine Reihe an Kriterien für die Einstufung von großen Online-Plattformen vor, die als sog. „Gatekeeper“ gelten. Der DMA legt diesen „Gatekeepern“ zusätzliche wettbewerbs- und kartellrechtliche Pflichten auf.

Diese Kriterien sind erfüllt, wenn folg. Voraussetzungen für ein Unternehmen gelten: 

  • eine starke wirtschaftliche Position mit erheblichen Auswirkungen auf den Binnenmarkt innehat und in mehreren EU-Ländern aktiv ist,
  • über eine starke Vermittlungsposition verfügt, d. h. eine große Nutzerbasis mit einer großen Anzahl von Unternehmen verbindet,
  • eine gefestigte und dauerhafte Position auf dem Markt hat (oder bald haben wird). Als über längere Zeit stabil gelten Unternehmen, wenn sie die beiden vorgenannten Kriterien in jedem der letzten drei Geschäftsjahre erfüllt haben.

Data Governance Act

Der Data Governance Act (DGA) gilt nach seiner Übergangsfrist seit September 2023. Im Gegensatz zur DSG-VO beinhaltet der DGA sowohl personenbezogene als auch nicht-personenbezogene Da-ten. Ziel der neuen Regulierung ist es den freiwilligen Datenaustausch von Unternehmen und natürlichen Personen zu stärken, indem neutrale Dritte bzw. Vermittler die notwendige Infrastruktur dafür bereitstellen. Durch die Regulierung neuer Datenvermittler und den Austausch von Daten für altruistische Zwecke, soll der DGA dazu beitragen, dass mehr Daten zur Verfügung stehen. Der Kernregelungsstand des DGAs ist der Datenvermittlungsdienst. Demnach ist ein Datenvermittlungsdienst „ein Dienst, mit dem (...) eine Geschäftsbeziehung zwischen (...) betroffenen Personen oder Dateninhabern einerseits und Datennutzern anderseits hergestellt werden sollen, um die gemeinsame Datennutzung (…) zu ermöglichen“. Der Datenvermittlungsdienst muss eine Reihe an Pflichten neben der DSGVO erfüllen, u.a.: Neutralität, Insolvenzabsicherung, Betrugsprävention, Datensicherheit, Fairer und nicht-diskriminierender Zugang. Damit legt der DGA allen Datenvermittlungsdiensten zusätziche Pflichten auf, um anschließend teilweise Privilegien zu erlassen. Die Privilegien gel-ten nur für diejenigen, die altruistische und keine kommerziellen Zwecke verfolgen. Für kommerzielle Datenvermittlungsdienste gelten zusätzliche Pflichten und die strengen Vor-gaben der DSGVO.

NIS-2 Richtlinie

Die NIS-2 Richtlinie muss bis Oktober 2024 umgesetzt werden. Die Richtlinie regelt neue Anforderungen an die Informationssicherheit und Cybersicherheit für Unternehmen, die in der kritischen Infrastruktur angesiedelt sind. Zu den Unternehmenssektoren zählen u.a. Energie, Transport/Verkehr, Finanz- und Versicherungswesen, Grundheit, Wasser/Abwasser, Lebensmittel, Medizinprodukte, Automobile, digitale Dienste, chemische Stoffe sowie Weltraum. 

Die Richtlinie soll zu einer Steigerung der Cybersicherheit in der EU beitragen. Verstöße gegen die NIS-2 Anforderungen können mit hohen Bußgeldern geahndet werden. Die Bußgelder können bis zu 10€ Mio. bzw. 2% des weltweiten Jahresumsatzes betragen. 

Wichtige Schritte für eine NIS-2 Compliance: 

  • Leitlinien: Erstellung von IT Sicherheitsrichtlinien und Überprüfungsprozesse
  • Governance: Verantwortlichkeiten festlegen, Security by Design und Risikobewertungen 
  • Personal: Sicherheitschecks von Bewerbern und IT-Sicherheit in Arbeitsverträgen
  • Daten: Klassifizierung und Kennzeichnung von Daten, Richtlinien zum Umgang mit Daten
  • Zugang: Nutzerverwaltung und Richtlinen zum Zugang zu Systemen
  • Kryptographie: Richtlinien zum Gebrauch von kryptografischer Maßnahmen, Schlüsselverwaltung 
  • Physische Sicherheit, Vorfälle, Betriebssicherheit, Systeme, Lieferanten. Etc. 

Haben Sie Fragen oder anregungen an uns?

Sprechen Sie uns gerne an