Bitte Standort und Sprache auswÀhlen

Weiter
LEXR Legal BlogBlog / Datenschutz

Neue EU-Rechtsakte: Eine Blaupause fĂŒr Wachstum im digitalen Sektor 

By Team LEXR

 Last Updated 01/04/2025

MiCA, DSA, DMA, DGA. Seid ihr ĂŒberfordert von all den neuen EU-Rechtsakte im digitalen Bereich? Wir helfen euch weiter. In diesem Blogpost entschlĂŒsseln wir neue und kommende EU-Rechtsakte, die sich auf den digitalen Sektor auswirken, und erlĂ€utern ihre Anwendbarkeit und Verpflichtungen. Lass uns in die Materie dieser Gesetze eintauchen und uns auf ihre Auswirkungen auf euer Unternehmen konzentrieren.

Daten und KI: Wie die EU-Daten- und KI-Vorschriften die Branche prÀgen werden

Navigating the digital realm demands a keen understanding of the new data and AI regulatory updates. This section explains the new EU data- and AI-related norms that are applicable to data driven companies: 

Die Verordnung ĂŒber den freien Verkehr nicht-personenbezogener Daten demokratisiert die Daten in der EU. Sie gilt speziell fĂŒr Unternehmen, die mit nicht-personenbezogenen Daten umgehen, wie z.B. Unternehmen aus den Bereichen Cloud-Dienste, Datenanalyse und IT. Die Verordnung legt Regeln fest, die sich auf Folgendes beziehen:

  • Der freie Verkehr nicht-personenbezogener Daten ĂŒber Grenzen hinweg: Jede Organisation sollte in der Lage sein, Daten ĂŒberall in der EU zu speichern und zu verarbeiten
  • Leichterer Wechsel zwischen Cloud-Anbietern fĂŒr professionelle Nutzer
  • Die VerfĂŒgbarkeit von Daten fĂŒr die behördliche Kontrolle

Die Data Governance Verordnung (DGA) hebt die Bedeutung des Datenaustauschs hervor und schĂŒtzt gleichzeitig die PrivatsphĂ€re. Sie gilt fĂŒr Einrichtungen, die an der gemeinsamen Nutzung personenbezogener und nicht personenbezogener Daten beteiligt sind, z.B. öffentliche Stellen, Datenvermittler und Unternehmen aus verschiedenen Branchen, die Daten nutzen. Dieses Gesetz legt Bedingungen fest fĂŒr:

  • die Weiterverwendung bestimmter Kategorien von Daten öffentlicher Stellen innerhalb der EU
  • ein Regelwerk fĂŒr Anbieter von Datenvermittlungsdiensten, wie z. B. DatenmarktplĂ€tze
  • eine freiwillige Registrierung von Einrichtungen, die Daten sammeln und verarbeiten, die fĂŒr altruistische Zwecke zur VerfĂŒgung gestellt werden

Unternehmen, die dem Gesetz unterliegen, mĂŒssen klare Zustimmungsmechanismen fĂŒr die Datennutzung einrichten, Plattformen fĂŒr den Datenaustausch sichern und die Governance-Standards des Gesetzes einhalten, um einen vertrauensvollen Datenaustausch zu gewĂ€hrleisten.

Die Datenverordnung (Data Act) zielt darauf ab, den Wert der Daten zu erschliessen, die unter anderem von IoT-Produkten erzeugt werden. Sie betrifft Hersteller von IoT-GerĂ€ten, Anbieter digitaler Dienste und datenverarbeitende Unternehmen und zwingt sie, Daten zur VerfĂŒgung zu stellen. Neue Massnahmen sind zum Beispiel: 

  • klare Regeln fĂŒr die zulĂ€ssige Nutzung von Daten und die damit verbundenen Bedingungen, einschliesslich Mustervertragsklauseln
  • Ermöglichung des Zugriffs auf und der Nutzung von Daten des privaten Sektors durch öffentliche Stellen fĂŒr bestimmte Zwecke von öffentlichem Interesse
  • Schaffung der Rahmenbedingungen, damit die Kunden effektiv zwischen verschiedenen Anbietern von Datenverarbeitungsdiensten wechseln können

Daher mĂŒssen die Hersteller von intelligenten GerĂ€ten transparente und faire Mechanismen fĂŒr die gemeinsame Nutzung von Daten in Übereinstimmung mit dem Gesetz einrichten und bei Bedarf klare Nutzungsbedingungen und die ZugĂ€nglichkeit der Daten sicherstellen.

Die kommende Verordnung ĂŒber den europĂ€ischen Raum fĂŒr Gesundheitsdaten (EHDS) konzentriert sich auf Gesundheitsdaten, ein wichtiges Gut im digitalen Zeitalter. Wenn diese Verordnung in Kraft tritt, gilt sie fĂŒr Hersteller und Anbieter von Gesundheitsdatensystemen und Wellness-Anwendungen sowie fĂŒr in der EU ansĂ€ssige Verantwortliche und Auftragsverarbeiter, die elektronische Gesundheitsdaten verarbeiten oder mit MyHealth@EU verbunden sind, und fĂŒr Datennutzer, denen elektronische Gesundheitsdaten von Dateninhabern in der Union zur VerfĂŒgung gestellt werden.

Sie soll Regeln, gemeinsame Standards und Praktiken, Infrastrukturen und einen Governance-Rahmen fĂŒr die primĂ€re und sekundĂ€re Nutzung elektronischer Gesundheitsdaten schaffen und so die Gesundheitsversorgung und Forschung verbessern. So sollen zum Beispiel die Rechte natĂŒrlicher Personen in Bezug auf die VerfĂŒgbarkeit und Kontrolle ihrer elektronischen Gesundheitsdaten gestĂ€rkt und das Inverkehrbringen von elektronischen Gesundheitsdatensystemen geregelt werden. Die EU-Gesetzgeber haben eine vorlĂ€ufige Einigung ĂŒber die EHDS-Verordnung erzielt, die nun noch vom EuropĂ€ischen Parlament und vom Rat formell verabschiedet werden muss, bevor sie in Kraft treten kann, was voraussichtlich noch in diesem Jahr geschehen wird.

Die NIS-2-Richtlinie erweitert die Cybersicherheitsverpflichtungen im digitalen Sektor und legt Massnahmen fĂŒr ein hohes gemeinsames Cybersicherheitsniveau in der EU fest. Die Richtlinie gilt fĂŒr ein breites Spektrum von Unternehmen, darunter wesentliche und wichtige Unternehmen in verschiedenen Sektoren wie Energie, Verkehr, Banken und digitale Infrastruktur. Sie richtet sich insbesondere an Anbieter digitaler Dienste wie Cloud-Computing-Dienste, Online-MarktplĂ€tze und Suchmaschinen. FĂŒr diese Unternehmen sieht die Richtlinie Folgendes vor: 

  • die Notwendigkeit, Massnahmen zum Risikomanagement im Bereich der Cybersicherheit sowie Meldepflichten, Cybersicherheitshygiene und Schulungen zu ergreifen
  • Regeln und Verpflichtungen zum Austausch von Cybersicherheitsinformationen
  • strengere Aufsichtsmassnahmen fĂŒr nationale Behörden und strengere Durchsetzungsanforderungen

Die kommende Verordnung zur Harmonisierung der Durchsetzung der DSGVO versucht, die datenschutzrechtlichen Durchsetzungsmechanismen zu harmonisieren, um sicherzustellen, dass die DSGVO in allen EU-Mitgliedstaaten einheitlich angewendet wird. Dies ist besonders wichtig fĂŒr den Umgang mit grenzĂŒberschreitenden FĂ€llen, bei denen DatenverarbeitungsaktivitĂ€ten Personen in mehreren LĂ€ndern betreffen. Das Parlament und der Rat sind dabei, den Vorschlag zu bewerten und ihre jeweiligen Positionen zu erarbeiten.

Das Gesetz ĂŒber kĂŒnstliche Intelligenz (KI-Gesetz) ist das erste Gesetz ĂŒber den Einsatz von kĂŒnstlicher Intelligenz in der EU. Dieser Rechtsrahmen richtet sich u.a. an Anbieter, Bereitsteller und Importeure von KI-Systemen. Es

  • klassifiziert und reguliert KI-Systeme nach ihren Risiken mit besonderem Fokus auf Anwendungen, die ein hohes Risiko fĂŒr die Gesellschaft und den Einzelnen darstellen
  • stellt sicher, dass sich die Endnutzer bewusst sind, dass sie mit KI interagieren
  • regelt Allzweck KI Modelle (General Purpose AI), um z.B. technische Dokumentationen bereitzustellen und Urheberrechtsgesetze einzuhalten

Der Vorschlag fĂŒr die Richtlinie ĂŒber die Haftung fĂŒr kĂŒnstliche Intelligenz betrifft Unternehmen, die an der Konzeption, Entwicklung und Bereitstellung von KI-Systemen beteiligt sind, wobei der Schwerpunkt auf risikoreichen Anwendungen liegt, z.B. in den Bereichen Gesundheitswesen, Verkehr und öffentliche Dienste. Die Unternehmen mĂŒssen sicherstellen, dass ihre KI-Systeme sicher und fair sind und SchĂ€den fĂŒr ihre Nutzer/innen minimieren. Diese Richtlinie befasst sich mit der komplexen Problematik der Haftung fĂŒr SchĂ€den, die durch Systeme der kĂŒnstlichen Intelligenz verursacht werden, und schafft einen gemeinsamen Rechtsrahmen fĂŒr die Haftung im Zusammenhang mit KI.

Produkte und digitale Dienstleistungen: Neue EU-Vorschriften heben die Standards fĂŒr digitale Produkte und Dienstleistungen an

In diesem Abschnitt befassen wir uns mit den neuen Vorschriften fĂŒr Produkte und digitale Dienstleistungen, einem wichtigen Aspekt fĂŒr Unternehmen in der digitalen Landschaft. Diese Rahmenbedingungen sind entscheidend, um sicherzustellen, dass digitale Dienstleistungen und Inhalte die höchsten Standards in Bezug auf Fairness, Transparenz und QualitĂ€t erfĂŒllen und so den Ruf eures Unternehmens schĂŒtzt und das Vertrauen der Verbraucher/innen fördert. 

Die Richtlinie ĂŒber bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen ist eine Richtlinie, die VertrĂ€ge ĂŒber die Bereitstellung von digitalen Inhalten und Dienstleistungen regelt. Die Richtlinie gilt fĂŒr alle Unternehmen, die Verbrauchern in der EU digitale Inhalte oder digitale Dienstleistungen anbieten, unabhĂ€ngig davon, ob der Verbraucher mit Geld bezahlt oder im Gegenzug persönliche Daten zur VerfĂŒgung stellt. Sie gilt zum Beispiel fĂŒr Unternehmen, die Software zum Herunterladen, Cloud-Dienste und Social-Media-Plattformen sowie Streaming-Dienste fĂŒr Musik und Videos anbieten. Die Richtlinie:

  • verlangt von den Unternehmen, dass sie detaillierte Informationen ĂŒber die FunktionalitĂ€t des Produkts bereitstellen, einschliesslich notwendiger Updates und Support
  • stĂ€rkt die Rechte der Verbraucherinnen und Verbraucher, VertrĂ€ge zu kĂŒndigen, wenn die digitalen Inhalte oder Dienstleistungen nicht der Beschreibung entsprechen oder nicht ordnungsgemĂ€ss funktionieren

Das Gesetz ĂŒber digitale Dienste (DSA) ist eine Verordnung, die darauf abzielt, einen sichereren digitalen Raum zu schaffen. Das Gesetz gilt fĂŒr Online-Vermittler und -Plattformen, darunter soziale Netzwerke, Online-MarktplĂ€tze und Content-Sharing-Plattformen, die in der EU tĂ€tig sind. Es verpflichtet diese Plattformen zum Beispiel dazu:

  • illegale Inhalte zeitnah zu entfernen
  • ĂŒber ihre AktivitĂ€ten zur Moderation von Inhalten zu berichten
  • klare Nutzungsbedingungen aufzustellen

Das Gesetz verlangt auch Transparenz bei der Werbung und den Algorithmen, die fĂŒr Empfehlungen verwendet werden. Die Unternehmen, fĂŒr die es gilt, reichen von kleinen Start-ups bis hin zu grossen Tech-Unternehmen, die nutzergenerierte Inhalte hosten oder Waren, Dienstleistungen oder Inhalte online verkaufen.

Das Gesetz ĂŒber digitale MĂ€rkte (DMA) gilt in erster Linie fĂŒr grosse Online-Plattformen und Suchmaschinen, die aufgrund ihres grossen Einflusses auf den EU-Binnenmarkt als “TorwĂ€chter” gelten. Sie verbietet bestimmte Praktiken, die als unlauter gelten, wie z. B. Selbstreferenzierung und Datenmonopolisierung. Grosse Unternehmen mĂŒssen den offenen Marktzugang fĂŒr Konkurrenten sicherstellen, eine Datenmonopolisierung verhindern und fĂŒr Transparenz bei Werbe- und Inhaltsalgorithmen sorgen.

Der Vorschlag fĂŒr die Richtlinie zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit befasstsich mit der sich entwickelnden Natur der digitalen Plattformarbeit. Am 11. MĂ€rz 2024 wurde eine vorlĂ€ufige Einigung zwischen dem EuropĂ€ischen Parlament und dem Rat der EU erzielt, die den Weg zur formellen Verabschiedung durch beide Gremien und zum Inkrafttreten ebnet, welche noch in diesem Jahr erwartet wird.

Der Vorschlag gilt fĂŒr digitale Arbeitsplattformen, die Plattformarbeit in der EU organisieren, unabhĂ€ngig vom Ort ihrer Niederlassung. Er zielt darauf ab, die Arbeitsbedingungen von Personen zu regeln, die Plattformarbeit leisten (z.B. Taxifahrer/innen, Essenslieferant/innen), indem:

  • eine widerlegbaren gesetzlichen Vermutung fĂŒr eine BeschĂ€ftigung im Gegensatz zum derzeitigen Status der formalen SelbststĂ€ndigkeit eingefĂŒhrt wird
  • neue Regeln fĂŒr den Einsatz von Algorithmen fĂŒr das Personalmanagement geschaffen werden
  • Verpflichtungen zur Anmeldung von Arbeiten bei den nationalen Behörden geklĂ€rt werden

Der Vorschlag fĂŒr die Richtlinie ĂŒber die Haftung fĂŒr fehlerhafte Produkte ist ein Rechtsakt, der von Unternehmen verlangt, dass sie fĂŒr die Sicherheit ihrer Produkte verantwortlich sind. Der Vorschlag wartet derzeit auf die formale Genehmigung durch den Rat, bevor er in Kraft tritt; wir erwarten, dass dies noch in diesem Jahr geschieht. Er wird fĂŒr alle Hersteller in der EU gelten, unabhĂ€ngig von ihrer Grösse oder Branche, und unterstreicht die Bedeutung der Produktsicherheit in einer Vielzahl von Branchen – von Elektronik ĂŒber intelligente GerĂ€te und Software bis hin zu Produkten fĂŒr die Automobilindustrie. Der Vorschlag wird zum Beispiel: 

  • digitale Fertigungsdateien und Software in den Geltungsbereich der Produkthaftung aufzunehmen
  • die Definition des Begriffs “Schaden” dahingehend Ă€ndern, dass er den Verlust oder die BeschĂ€digung von Daten einschliesst
  • mehrere neue gesetzliche Vermutungen fĂŒr die Beweislast bezĂŒglich der Fehlerhaftigkeit von Produkten einfĂŒhren

Der Cyber Resilience Act ist ein Verordnungsvorschlag, der sicherstellen soll, dass digitale Produkte und Dienstleistungen bestimmte Sicherheitsstandards erfĂŒllen, bevor sie auf den Markt kommen. Der Text des Vorschlags wurde von den EU-Gesetzgebern vorlĂ€ufig angenommen und muss noch vom Rat formell verabschiedet werden, bevor er in Kraft treten kann, was voraussichtlich im Laufe dieses Jahres geschehen wird.

Nach ihrem Inkrafttreten wird diese Verordnung fĂŒr Produkte mit digitalen Elementen gelten, deren Nutzung eine direkte oder indirekte Datenverbindung zu einem GerĂ€t oder Netzwerk beinhaltet. Sie wird grundlegende Anforderungen an den Entwurf, die Entwicklung und die Produktion dieser Produkte sowie Verpflichtungen fĂŒr die Wirtschaftsakteure in Bezug auf Cybersicherheit festlegen. FĂŒr ein Technologieunternehmen, das digitale Produkte herstellt oder anbietet, könnte dies bedeuten, dass es sichere Kodierungspraktiken einfĂŒhrt und regelmĂ€ssige SicherheitsprĂŒfungen von Softwareprodukten durchfĂŒhrt.

Fintech und Blockchain: EU-Regelungen, die Fintech und Blockchain neu definieren 

In diesem letzten Abschnitt geht es um die finanziellen Rahmenbedingungen, die das RĂŒckgrat des digitalen Sektors bilden. Wir beschĂ€ftigen uns mit der Einhaltung von Vorschriften, Sicherheit und Transparenz, die fĂŒr den Erfolg von Fintechs und digitalen Finanzunternehmen unerlĂ€sslich sind.

Die Verordnung ĂŒber die digitale operationale Resilienz im Finanzsektor (DORA) schafft die Voraussetzungen fĂŒr operative Robustheit. Diese Verordnung gilt fĂŒr alle Finanzunternehmen in der EU, einschliesslich Banken, Versicherungsgesellschaften und Wertpapierfirmen. Ihr Ziel ist es, einen einheitlichen Reifegrad in Bezug auf Cybersicherheit und betriebliche WiderstandsfĂ€higkeit zu gewĂ€hrleisten. DORA verlangt von den Unternehmen ein umfassendes Informations- und Kommunikationstechnologie (IKT)-Risikomanagement, das Folgendes umfasst:

  • EinfĂŒhrung von IKT-Systemen und -Instrumenten
  • kontinuierliche Überwachung aller Quellen von IKT-Risiken, um abnormale AktivitĂ€ten zu erkennen
  • EinfĂŒhrung von Richtlinien zur GeschĂ€ftskontinuitĂ€t und NotfallplĂ€nen

DORA ist am 16. Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 gelten. 

Die Verordnung ĂŒber MĂ€rkte fĂŒr Kryptowerte (MiCA) klĂ€rt das regulatorische Umfeld fĂŒr Krypto-Assets und betrifft Unternehmen, die Krypto-Assets ausgeben, öffentlich anbieten und zum Handel zulassen oder Dienstleistungen im Zusammenhang mit Krypto-Assets erbringen. Sie gilt auch fĂŒr Unternehmen ausserhalb der EU, wenn sie in einem EU-Mitgliedstaat tĂ€tig werden wollen.

MiCA fĂŒhrt Transparenz- und Offenlegungsanforderungen fĂŒr die Emission, das öffentliche Angebot und die Zulassung von Krypto-Assets zum Handel auf einer Handelsplattform fĂŒr Krypto-Assets. Es sieht ausserdem Anforderungen fĂŒr den Schutz der Kunden von Krypto-Asset-Dienstleistern und Massnahmen zur Verhinderung von InsidergeschĂ€ften, unrechtmĂ€ssiger Offenlegung von Insiderinformationen und Marktmanipulation vor.

Der Vorschlag fĂŒr eine Verordnung ĂŒber einen Rahmen fĂŒr den Zugang zu Finanzdaten (FiDA) befasst sich mit dem Bedarf an offenen Finanzdaten. Er wird derzeit vom Rat geprĂŒft. Dieser Verordnungsvorschlag richtet sich an Finanzinstitute, Fintech-Unternehmen und andere Dienstleister, die im EU-Finanzsektor tĂ€tig sind. Er legt Regeln fĂŒr den Zugang, die Weitergabe und die Nutzung bestimmter Kategorien von Kundendaten bei Finanzdienstleistungen sowie fĂŒr die Zulassung und den Betrieb von Finanzinformationsdienstleistern fest. Zum Beispiel mĂŒssen unter FiDA:

  • Kundendaten ohne unangemessene Verzögerung und in Echtzeit zur VerfĂŒgung gestellt werden
  • Dateninhaber ihren Kunden ein Berechtigungs-Dashboard zur VerfĂŒgung stellen, damit sie die fĂŒr den Datenaustausch erteilten Berechtigungen verwalten können
  • Berechtigungen reversibel und begrenzt sein

Der neue Vorschlag fĂŒr eine ĂŒberarbeitete Zahlungsdiensterichtlinie (PSD3) aktualisiert die Regeln fĂŒr Zahlungsdienstleister und wird derzeit vom Rat bewertet, der seinen Standpunkt dazu vorbereiten muss. Diese Richtlinie zielt unter anderem darauf ab:

  • Betrug im Zahlungsverkehr zu bekĂ€mpfen und einzudĂ€mmen, indem Zahlungsdienstleister betrugsrelevante Informationen austauschen können
  • Verbraucherrechte zu verbessern, z. B. durch transparentere Informationen ĂŒber GeldautomatengebĂŒhren und die Möglichkeit, Bargelddienstleistungen in GeschĂ€ften in Anspruch zu nehmen
  • Gleiche Wettbewerbsbedingungen fĂŒr Banken und Nicht-Banken herzustellen, indem Nicht-Banken-Zahlungsdienstleistern der Zugang zu allen EU-Zahlungssystemen ermöglicht wird

DarĂŒber hinaus hat die EuropĂ€ische Kommission einen Entwurf fĂŒr eine Verordnung ĂŒber Zahlungsdienste im Binnenmarkt (PSR) ausgearbeitet, der Regeln fĂŒr die TĂ€tigkeit von Zahlungsdienstleistern enthĂ€lt und einige Anforderungen an technische Standards fĂŒr die Kundenauthentifizierung festlegt.

Fazit

WĂ€hrend wir uns durch die stĂ€ndig Ă€ndernde Landschaft der EU-Vorschriften bewegen, ist es fĂŒr Unternehmen im digitalen Sektor wichtig, informiert und proaktiv zu bleiben. Die neuen Rahmenregelungen – von MiCA bis zum Cyber Resilience Act – zeigen einen klaren Weg zu mehr Transparenz, Sicherheit und operativer WiderstandsfĂ€higkeit. Diese Vorschriften sind nicht nur Anforderungen zur Einhaltung von Vorschriften, sondern auch eine Chance, eure GeschĂ€ftspraktiken zu verbessern, Vertrauen bei den Verbrauchern aufzubauen und euch einen Wettbewerbsvorteil zu verschaffen.

Um unter diesen neuen Regeln erfolgreich zu sein, mĂŒssen Unternehmen diese Vorschriften verstehen und in ihre Arbeit integrieren. Beginnt damit, herauszufinden, welche Vorschriften sich direkt auf eure Dienstleistungen und Produkte auswirken. Implementiert robuste Systeme fĂŒr das Datenmanagement und die Cybersicherheit und ĂŒberlegt, wie Änderungen in der Datenverwaltung neue Möglichkeiten fĂŒr Innovationen und Serviceverbesserungen eröffnen können.

Denkt daran, dass es bei der Einhaltung der Vorschriften nicht nur darum geht, Strafen zu vermeiden, sondern auch darum, regulatorische Änderungen zu nutzen, um Innovation und Kundenvertrauen zu fördern. Zieht in ErwĂ€gung, euch von einem Experten beraten zu lassen, um diese KomplexitĂ€t effizient und effektiv zu meistern.

Verwandt

Let’s Go!

Jetzt unverbindliches und kostenloses ErstgesprĂ€ch buchen und erfahren, wie wir am besten bei der Erreichung eurer Unternehmensziele unterstĂŒtzen können.

Oder alternativ eine E-mail an uns schreiben unter [email protected].

Kostenloses GesprÀch buchen