Neuerungen im IT-Recht: In den letzten Jahren hat sich das IT-Recht rasant weiterentwickelt, um den zunehmenden Herausforderungen der digitalen Welt gerecht zu werden. Die Europäische Union sowie Deutschland haben neue Regelungen und Gesetze eingeführt, um die digitale Sicherheit zu stärken, den Datenmarkt zu regulieren und die Resilienz gegenüber Cyberbedrohungen zu verbessern. In diesem Blogbeitrag geben wir Ihnen einen Überblick über die wichtigsten Neuerungen im IT-Recht, darunter:

  • der Digital Market Act (DMA)
  • der Digital Service Act (DSA)
  • das Digitale Dienste Gesetz (DDG)
  • die EU-Datenverordnung (Data Act)
  • der Cyber Resilience Act (CRA)
  • sowie die NIS-2-Richtlinie

Erfahren Sie, wie diese Regelungen die digitale Landschaft verändern und welche Auswirkungen diese auf Unternehmen und Verbraucher haben.

Was Unternehmen zu den Neuerungen im IT-Recht wissen müssen

Die digitale Welt entwickelt sich ständig weiter, und damit auch die rechtlichen Rahmenbedingungen. In diesem Beitrag werfen wir einen Blick auf die neuesten Entwicklungen im IT-Recht und deren Auswirkungen.

Das Digitale-Dienste-Gesetz (DDG) und der Digital Services Act (DSA)

Aus „Telemedien“ werden „Digitale Dienste“

Der Digitale Services Act (DSA) zielt darauf ab, die Verantwortung und Transparenz von Online-Diensten zu erhöhen und einen sicheren, digitalen Raum zu schaffen. Der DSA richtet sich an eine breite Palette von Online-Diensten bzw. Vermittlungsdienste, darunter Dienste der reinen Durchleitung sowie Caching- und Hosting-Dienste. Ziel des DSA ist sind:  

  • Bekämpfung illegaler Inhalte im Internet,
  • die Rechte der Nutzer zu schützen und
  • Haftungsregulierung.

Betroffene Diensteanbieter müssen Maßnahmen ergreifen, um Informationen bereit zu stellen, ggf. illegale Inhalte schnell zu entfernen, Transparenzberichte zu veröffentlichen und Mechanismen für den Schutz der Grundrechte der Nutzer zu implementieren. Hier geht es zum DSA-Blogbeitrag.

Auf nationaler Ebene wird die bereits unmittelbar gültige Verordnung des DSA noch einmal national durch das Digitale-Dienste-Gesetz (DDG) spezifiziert. Neben der Regelung von behördlichen Zuständigkeiten für die Durchsetzung des DSA ist das DDG insbesondere zentral für die Ablösung des deutschen Telemediengesetzes.

Das Telemediengesetz (TMG) war bisher ein zentrales Gesetz in Deutschland, das die rechtlichen Rahmenbedingungen für sogenannte Telemedien regelt. Telemedien umfassen eine breite Palette von Online-Diensten und Angeboten, von einfachen Webseiten über E-Commerce-Plattformen bis hin zu sozialen Netzwerken und Suchmaschinen. Auch die Informationspflicht für Webseitenbetreiber (sog. Impressumspflicht) war bisher dort geregelt.

Nun sind diese Regelungen insgesamt im DSA und DDG aufgegangen, auch die Impressumspflicht, die nun im DDG geregelt ist. Durch die Umstrukturierung im nationalen digitalen Recht wurde der Begriff der „Telemedien“ vollständig gestrichen und mit dem EU-weit einheitlichen Begriff der „digitalen Dienste“ ersetzt. Dies führte zu zahlreichen Folgeänderungen in damit zusammenhängenden deutschen Gesetzen.

Das dazugehörige Datenschutzgesetz, das bisher den Namen „Telemedien-und-Telekommunikations-Datenschutzgesetz (TTDSG)“ trug, heißt nun „Telekommunikations-und-Digitale-Dienste-Datenschutzgesetz (TDDDG)“. Dort sind auch insbesondere die Vorgaben zu Einwilligung im Rahmen von Cookies und Tracking geregelt.

Durch die Umstrukturierung müssen nun insbesondere Webseitenbetreiber aktiv werden: Sollten diese in ihrem Impressum, Cookie-Banner, Datenschutzerklärung oder ähnlichen Quellen auf das ehemalige TMG oder das TTDSG verweisen, so sind diese Verweise nun aufgrund des neuen DDG bzw. der Umbenennung zum TDDG zu aktualisieren.

AltNeu
TelemedienDigitale Dienste
Telemediengesetz (TMG)Digitalen-Dienste-Gesetz (DDG)
Telemedien-und-Telekommunikations-Datenschutzgesetz (TTDSG)Telekommunikations-und-Digitale-Dienste-Datenschutzgesetz (TDDDG)

Die neue Datenverordnung (Data Act)

Vernetzte Produkte und verbundene Dienste – Der Nutzer wird zum „Herr der Daten“

Zudem erarbeitete die EU-Kommission die Datenverordnung (Data Act), die den rechtlichen Rahmen für die Nutzung und den Austausch von Daten innerhalb der EU schaffen soll. Ziel dieser Verordnung ist es, den freien Fluss von Daten zu fördern. Es soll eine Datenwirtschaft  ermöglicht werden, die Innovation und Wettbewerb unterstützt und dabei den Nutzer von betroffenen Produkten und Diensten in den Fokus nimmt. Dabei werden neben Daten-Zugangsansprüchen des Nutzers auch Bedingungen und Erfordernisse für die Datennutzung durch den Dateninhaber oder auch Dritte festgelegt. Während die Rechte des Nutzers gestärkt werden, werden die Nutzungsrechte des Dateninhabers – also des Herstellers bzw. Anbieters von Produkten und Diensten – zentral vom Willen des Nutzers abhängig gemacht.

Betroffen im Rahmen dieser Verordnung sind alle, insbesondere Hersteller von vernetzten Produkten, also bspw. Smart-Home-Produkten oder IoT-Produkten (Internet-of-Things-Produkten) sowie Anbieter sog. verbundener Dienste, ohne die vernetzte Produkte gar nicht funktionieren könnten. Vernetzte Produkte sind mit ihrer Umwelt verknüpft und kommunizieren so über Distanzen. Die Produkte und Dienste generieren dabei Daten. Bisher war der Dateninhaber der „Herr“ dieser Produktdaten, da er direkten, faktischen Zugriff auf diese Daten hatte. Doch nun soll der Nutzer, über dessen Nutzung die Daten ja erst generiert werden, diese zur vollen Verfügung haben und in den Fokus genommen werden. Anbieter bzw. Hersteller dürfen diese Daten nun erst dann nutzen, wenn diesen durch den Nutzer ein vertragliches Recht dazu eingeräumt wurde. Ferner wirkt sich die Datenverordnung auch insofern auf die Vertragsgestaltung aus, als dass einseitige Vertragsbestimmungen zwischen Unternehmen, die den Datenzugang, die Datennutzung oder datenbezogene Pflichten betreffen, nicht missbräuchlich sein dürfen.

Die Datenverordnung soll sicherstellen, dass die generierten Daten sicher und effizient genutzt werden können. Hierbei liegt der Schwerpunkt auf Interoperabilität, Datenportabilität und spezifischen Sicherheitsanforderungen , um die Datenintegrität und Vertraulichkeit zu gewährleisten. Umgesetzt werden sollen diese Anforderungen durch „Data-Access-by-Design“ in der Produktgestaltung, bei der Produkte und Dienste so konzipiert sind, dass die Daten dem Nutzenden standardmäßig zur Verfügung stehen.  In allen anderen Fällen muss der Dateninhaber dem Nutzer zumindest die ohne weiteres verfügbaren Daten anderweitig bereitstellen. Dies erleichtert dem Nutzer bspw. den Wechsel von Anbietern.

Solche Daten waren auch für den Dateninhaber bisher von hoher Relevanz, bspw. zur Weiterentwicklung von Produkten oder dem Angebot von Folgediensten. Nun muss eine solche Nutzung jedoch erst konkret mit dem Nutzer vertraglich vereinbart werden. Dieser wird zum „Herr der Daten“. „Nutzer“ können dabei entsprechend auch andere Unternehmen sein (B2B), sodass die Regelung auf zahlreiche Geschäftsmodelle, insbesondere im Bereich vernetzter Anlagen, vernetzter Fahrzeuge und allgemein dem Internet-of-Things weitreichende Auswirkungen haben kann.

Der Cyber Resilience Act: Sicherheit für digitale Produkte

Cybersicherheit über den gesamten Produktlebenszyklus

Eine weitere bedeutende Regelung ist der Entwurf des Cyber Resilience Acts (CRA), der die Sicherheit von Produkten mit digitalen Elementen erhöhen soll. Dieser Gesetzesentwurf zielt darauf ab, sicherzustellen, dass Hardware und Software, die in der EU angeboten werden, über den gesamten Lebenszyklus des Angebots über angemessene Sicherheitsfunktionen verfügen und gegen Cyberbedrohungen resistent sind. Damit reagiert die EU auf Cyberangriffe auf Soft- und Hardware, die in der Vergangenheit immer stärker zugenommen haben. Die horizontale, sektorübergreifende Wirkrichtung des CRA führt zu einem sehr breiten Anwendungsbereich der Verordnung, sodass viele Produkte von den Neuerungen betroffen sein werden.

Betroffen sind insbesondere Hersteller, Importeure und Händler von vernetzten Produkten mit digitalen Elementen. Dies sind Produkte, deren Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz schließt, also unter anderem Software und Hardware, ihre Datenverarbeitungslösungen einschließlich ihrer Komponenten. Für die Produkte mit digitalen Elementen gibt es dabei eine Abstufung.

Kritische und hochkritische Produkte

Neben den normalen Produkten gibt es noch kritische Produkte mit digitalen Elementen, welche nach bestimmten Kriterien ein Cybersicherheitsrisiko bergen und deren Kernfunktionen in Anhang III CRA-E aufgeführt sind. Die Kommission kann über Durchführungsakte diese Liste in Anhang III weiter ergänzen. Für diese kritischen Produkte ist ein besonderes Konformitätsverfahren vorgesehen. Zu kritischen Produkten (Klasse I in Annex III zum CRA-E) gehören u.a. Identitätsmanagementsysteme, Firewalls, Browser, Antivirenprogramme, virtuelle private Netzwerke (VPNs), Mikroprozessoren, Passwortmanager, Teile der industriellen IoT und viele weitere.

Daneben wird innerhalb der Gruppe der kritischen Produkte nochmal nach hochkritischen Produkten unterschieden, für die der Hersteller ein europäisches Cyber-Rechtszertifikat erlangen muss. Hochkritisch sind kritische Produkte dann, wenn sie einen Bezug zu wesentlichen Einrichtungen (NIS-2-Richtlinie) haben oder für die Widerstandsfähigkeit der gesamten Lieferkette von Produkten mit digitalen Elementen gegen Störungen von relevant sind. Zu den hochkritischen Produkten (Klasse II) zählen u.a. Kartenlesegeräte, Betriebssysteme für Server, Desktops und Mobilgeräte, Router, Aussteller digitaler Zertifikate, Allzweck-Mikroprozessoren, Roboter-Sensoren, intelligente Messgeräte, weitere IoT-Geräte und viele mehr. Die Klassifizierung eines Produkts mit digitalen Komponenten als kritisches oder höchst kritisches Produkt sowie die weitere Klassifizierung innerhalb der kritischen Produkte in Klasse I oder II beeinflussen maßgeblich die Anforderungen, die der Entwurf des Cyber Resilience Act an die Konformität des Produkts stellt.

Betroffene Hersteller müssen insgesamt sicherstellen, dass ihre Produkte, während ihres gesamten Lebenszyklus sicher sind, regelmäßige Sicherheitsupdates erhalten und dass Sicherheitsvorfälle schnell gemeldet und behoben werden. So dürfen Hersteller ein Produkt mit digitalen Elementen nur dann in Verkehr bringen, wenn sie gewährleisten, dass das Produkt gemäß den grundlegenden Anforderungen von Anhang I Abschnitt I konzipiert, entwickelt und hergestellt worden ist. Die Produkte müssen einer Risiko- und einer Konformitätsbewertung unterzogen werden. Das Ergebnis der Bewertung muss dann in der gesamten Wertschöpfungskette beachtet werden, um Gefahren und Sicherheitsvorfälle zu verhindern. Neben den Prozess-, Informations- und Dokumentationspflichten treffen Hersteller u.a. auch Meldepflichten bei Sicherheitsvorfällen.

Importeure und Händler treffen darüber hinaus insbesondere eine Prüfpflicht, ob die Pflichten der vorausgegangenen Instanz – also bspw. des Herstellers – eingehalten wurden. Daneben sind sie u.a. auch verpflichtet, bekannt gewordene Schwachstellen zu melden und Informations- und Kennzeichnungspflichten (z.B. CE-Kennzeichnung) einzuhalten.

Durch diese umfassenden und weitreichenden Sicherheitsmaßnahmen und die Etablierung des Schwachstellen-Managements sollen die Risiken durch unsichere Produkte reduziert und die Resilienz gestärkt werden. Produkte mit digitalen Komponenten werden so besser vor Ausnutzung geschützt und ein „digitales Lauffeuer“ bei grenzüberschreitender Betroffenheit im Binnenmarkt verhindert.

Die NIS-2-Richtlinie: Cybersicherheit für wichtige Einrichtungen

Erweiterte Sicherheitsanforderungen

Die NIS-2-Richtlinie (Richtlinie über Netz- und Informationssysteme), die eine Fortentwicklung der ursprünglichen NIS-Richtlinie darstellt, zielt darauf ab, ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme innerhalb der Europäischen Union zu gewährleisten. Als EU-Richtlinie entfaltet sie keine unmittelbare Wirkung in den Mitgliedstaaten. Daher sind diese bis zum 17. Oktober 2024 verpflichtet  die Richtlinie in nationales Recht umzusetzen. Aktuell wird ein Umsetzungsentwurf diskutiert, der unter anderem signifikante Modifikationen des Bundesamtes für Sicherheit in der Informationstechnik-Gesetzes (BSIG) vorsieht. Im spezifischen wird das BSIG umfassend neu gefasst, wodurch es nach Neufassung nahezu doppelt so viele Vorschriften beinhalten würde als bisher.

Das Hauptziel der NIS-2-Richtlinie ist die Implementierung verbindlicher Sicherheitsmaßnahmen für die Wirtschaft, um ein hohes Maß an Cybersicherheit in der gesamten Europäischen Union sicherzustellen. Einrichtungen, die im Rahmen des neuen BSIG-Entwurfs als „wichtig“ und „besonders wichtig“ klassifiziert werden (wobei die NIS-2-Richtlinie stattdessen die Begriffe „wichtig“ und „wesentlich“ verwendet), sollen vor den Auswirkungen von Cyberangriffen geschützt werden, um die Funktionsfähigkeit des europäischen Binnenmarktes zu stärken.

Die NIS-2-Richtlinie und das entsprechende Umsetzungsgesetz adressieren öffentliche oder private Einrichtungen in den in Anhang I oder II der Richtlinie bzw. Anlage 1 und Anlage 2 des neuen BSIG genannten Sektoren, die als mittlere oder große Unternehmen klassifiziert werden. Sie umfassen auch spezielle Fälle, die unabhängig von ihrer Größe unter die Richtlinie fallen können.

Klassifizierung der Einrichtungen

„Besonders wichtige“ bzw. „wesentliche“ Einrichtungen umfassen primär alle großen Unternehmen der Sektoren aus Anhang I/Anlage 1. Diese Sektoren umfassen unter anderem Energie, Verkehr, Gesundheitswesen, Wasserversorgung und Abwasser, digitale Infrastruktur bzw. Informationstechnik und Telekommunikation. Als „groß“ gelten Unternehmen mit mindestens 250 Mitarbeitern oder einem Jahresumsatz von über 50 Millionen Euro und einer Jahresbilanzsumme von über 43 Millionen Euro.

Zu den besonders wichtigen bzw. wesentlichen Einrichtungen zählen ebenfalls Betreiber kritischer Anlagen, qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Name-Registries, DNS-Diensteanbieter sowie bestimmte Anbieter öffentlicher Kommunikationsnetze/-dienste.

„Wichtige“ Einrichtungen umfassen neben Vertrauensdiensteanbietern und bestimmten anderen Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze eben insbesondere Unternehmen, die entgeltlich Waren oder Dienstleistungen anbieten, die einer der in Anlagen 1 und 2 des BSIG bzw. Anhang I und Anhang II der Richtlinie bestimmten Einrichtungsarten zuzuordnen sind und die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen, die also statt als „großes“ Unternehmen vielmehr als „mittleres“ Unternehmen einzustufen sind. Zusätzlich zu den oben genannten Sektoren des Anhangs I/Anlage 1 zählen zu den Sektoren des Anhangs II/Anlage 2 unter anderem die Abfallbewirtschaftung, die Produktion und der Handel mit chemischen Stoffen, die Lebensmittelproduktion und -verarbeitung, das verarbeitende Gewerbe sowie Forschungseinrichtungen und bestimmte Anbieter digitaler Dienste.

Die Klassifizierung gemäß dem BSIG zieht spezifische Verpflichtungen zur Verbesserung der Cybersicherheit nach sich, welche die betroffenen Unternehmen umsetzen müssen. Diese Verpflichtungen sind auf spezielle Zielgruppen ausgerichtet.

Zentral geht es dabei u.a. um folgende Neuerungen im BSIG (Überblick):

  • Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen (§ 30)
  • Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen (§ 31)
  • Meldepflichten (§ 32)
  • Registrierungspflicht (§ 33)
  • Besondere Registrierungspflicht für bestimmte Einrichtungsarten (§ 34)
  • Unterrichtungspflichten – u.U. ggü. Nutzern/Empfängern im Fall eines erheblichen Sicherheitsvorfalls (§ 35)
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen (§ 38)
  • Nachweispflichten für Betreiber kritischer Anlagen (§ 39)
  • Untersagung des Einsatzes kritischer Komponenten (§ 41)
  • neue Bußgeldtatbestände.

Das NIS-2-Umsetzungsgesetz markiert einen entscheidenden Schritt in der Stärkung der Cybersicherheit innerhalb der Europäischen Union. Es erweitert den Anwendungsbereich im Vergleich zur ursprünglichen NIS-Richtlinie erheblich und schließt nun eine breitere Palette von Unternehmen und Sektoren ein, die als wichtig oder wesentlich für die gesellschaftliche und wirtschaftliche Stabilität der EU betrachtet werden. Durch die gesetzlichen Anforderungen zur Cybersicherheit, die nun auch auf zuvor nicht erfasste Unternehmen anwendbar sind, wird ein einheitlich hohes Sicherheitsniveau angestrebt. Somit wird die Resilienz gegenüber Cyberangriffen verbessert und das Vertrauen in digitale Infrastrukturen stärkt.

Zentrale Aspekte des Gesetzes umfassen die Einführung strengerer Sicherheitsmaßnahmen, Meldepflichten bei Sicherheitsvorfällen und erweiterte Registrierungspflichten. Diese Maßnahmen sollen nicht nur dazu beitragen, die Sicherheit einzelner Unternehmen zu erhöhen, sondern auch die kollektive Sicherheit des Binnenmarktes verbessern. Das Gesetz stellt jedoch auch erhebliche Herausforderungen für Unternehmen dar, insbesondere im Hinblick auf die Implementierung der erforderlichen Sicherheitsmaßnahmen und die Einhaltung der regulatorischen Vorgaben. Es empfiehlt sich für betroffene Unternehmen, eine Analyse durchzuführen, um eventuelle Sicherheitsdefizite bereits jetzt zu identifizieren. Zusätzlich ist es ratsam, die Bereitschaft zur Reaktion auf IT-Sicherheitsvorfälle zu verstärken, um im Ernstfall den Informationspflichten zeitnah nachkommen zu können, was eine sorgfältige Vorbereitung erfordert. Angesichts der möglichen persönlichen Konsequenzen bei Verstößen und der bedeutenden Schwerpunktsetzung der EU sollte die Unternehmensführung Cybersicherheit zur Priorität erklären.

Abschließend ist das NIS-2-Umsetzungsgesetz ein erheblicher Schritt in Richtung einer robusteren Cyberabwehr der EU, der jedoch eine kontinuierliche Anpassung und Bewertung benötigt, um mit der dynamischen Natur von Cyberbedrohungen und technologischen Entwicklungen Schritt zu halten.

Fazit

Zusammenfassend zeigen die dargestellten Regelungen und Gesetze im Bereich der digitalen Sicherheit und Cybersicherheit in der EU und Deutschland deutlich, dass auf europäischer und nationaler Ebene erhebliche Anstrengungen unternommen werden, um die digitale Landschaft sicherer und widerstandsfähiger gegenüber Cyberbedrohungen zu machen. Der Digital Services Act (DSA), das Digitale-Dienste-Gesetz (DDG), die Datenverordnung, der Entwurf des Cyber Resilience Acts (CRA) sowie die NIS-2-Richtlinie bilden ein umfassendes Rahmenwerk im IT-Recht, das darauf abzielt, ein hohes Maß an Sicherheit für Verbraucher, Unternehmen und öffentliche Einrichtungen zu gewährleisten.

Die Implementierung dieser Gesetze und Richtlinien stellt jedoch nicht nur eine rechtliche Verpflichtung dar, sondern auch eine technische und organisatorische Herausforderung für die betroffenen Akteure. Insbesondere die Anforderungen an die Cybersicherheit und Datenverwaltung erfordern von Unternehmen eine kontinuierliche Anpassung ihrer Strategien und Prozesse.

Die zukünftige Entwicklung dieser Regelungen im IT-Recht wird weiterhin von großer Bedeutung sein, da sie die Basis für eine sichere digitale Umgebung in einer zunehmend vernetzten Welt bilden. Es bleibt abzuwarten, wie effektiv die Umsetzung dieser Gesetze sein wird und inwieweit sie zur Stärkung der digitalen Resilienz und zum Schutz beitragen können. Angesichts der rasanten technologischen Entwicklungen und der sich ständig wandelnden Cyberbedrohungslandschaft wird es entscheidend sein, dass sowohl Gesetzgeber als auch Unternehmen agil bleiben und ihre Strategien entsprechend adaptiv gestalten. Die Rolle der EU und der nationalen Behörden wird dabei zunehmend wichtiger, nicht nur bei der Gesetzgebung, sondern auch bei der Überwachung und Durchsetzung der Regelungen, um eine kohärente und effektive digitale Sicherheitspolitik zu gewährleisten.

Ihnen hat der Beitrag gefallen? Dann teilen Sie ihn gerne in Ihren Netzwerken. Vielen Dank für Ihre Unterstützung.

Disclaimer: Die auf dieser Website enthaltenen Beiträge wurden sorgfältig ausgearbeitet und dienen lediglich allgemeinen Informationszwecken. Sie ersetzen keinesfalls individuelle Rechtsberatung und stellen keine verbindliche Rechtsauskunft dar.