Legal Digital Horizon

Gesetzesvorhaben

EU

Data Act:

• Zum 12. September 2025 treten zentrale Vorgaben des Data Acts (Verordnung (EU) 2022/868) in Kraft. Danach sind Unternehmen, die als Hersteller oder Anbieter vernetzter Produkte oder verbundener digitaler Dienste fungieren, verpflichtet, Nutzern den einfachen Zugang zu und die Nutzung der erzeugten Daten zu ermöglichen. Konkret müssen sie einen Echtzeitdatenzugang am vernetzten Produkt bzw. verbundenen Dienst bereitstellen. Datenverarbeitende Unternehmen müssen sich insbesondere vertraglich das Recht sichern, die Nutzungsdaten für eigene Zwecke verarbeiten zu dürfen und ihre AGB auf nach dem Data Act verbotene Klauseln überprüfen. Auch müssen rechtzeitig Verträge auf FRAND-Basis mit Datenempfängern erstellt werden (Dritten, die auf Veranlassung der Nutzer die Herausgabe der durch die Nutzung des IoT-Geräts erzeugten Daten verlangen). Betriebsgeheimnisse müssen identifiziert und Datenschutzbeauftragte in jegliche Datenherausgabeverlangen frühzeitig eingebunden werden, um bußgeldbewährte DSGVO-Verstöße im Zuge der Datenherausgabe zu vermeiden.
• Cloud-Anbieter müssen die gesetzlich geforderte Interoperabilität und Cloud-Switching-Fähigkeit ihrer Services umsetzen, Ab dem 12. September 2025 sind sie gesetzlich verpflichtet, technische, vertragliche und organisatorische Maßnahmen zu treffen, die einen reibungslosen Wechsel zwischen Cloud-Diensten ermöglichen.
• Betroffen sind insbesondere Anbieter, deren Produkte oder Dienste Nutzungsdaten generieren (z. B. IoT-Geräte, Smart-Home-Produkte, industrielle Maschinen) sowie Anbieter von Cloud-Infrastrukturen und -Diensten (IaaS, SaaS, PaaS). Konkret bedeutet das, dass sowohl bestehende Verträge als auch die technische Lösung überprüft und ggf. angepasst werden muss. Wer die neuen Vorgaben ignoriert, riskiert behördliche Anordnungen, empfindliche Geldbußen sowie ggf. zivilrechtliche Haftungsrisiken.
• Ab dem 12. September 2026 gelten ergänzend die Anforderungen an ein „Data Access by Design“, wonach betroffene Produkte und Dienste bereits technisch so konzipiert sein müssen, dass ein einfacher und unmittelbarer Datenzugriff ermöglicht wird.

KI-Verordnung:

• Ab dem 2. August 2025 treten weitere Pflichten aus der KI-Verordnung in Kraft. Es handelt sich um die Vorschriften aus Kapitel III Abschnitt 4, Kapitel V, Kapitel VII und Kapitel XII sowie Artikel 78 mit Ausnahme des Artikels 101 KI-Verordnung. Die Regelungen richten sich an die Mitgliedsstaaten und verpflichten diese, die notwendigen bürokratischen Organisationen und Verfahren zu etablieren, etwa eine notifizierende Behörde zu schaffen, oder an die EU-Kommission und verlangen die Einrichtung eines Büros für KI sowie einer EU-Datenbank. Unternehmen sind aber betroffen, wenn sie Anbieter von KI-Modellen mit allgemeinem Verwendungszweck sind. Die Regelungen treten ebenfalls zum 2. August 2025 in Kraft. 

Cyber Resilience Act: 

• Ab dem 1. Juli 2025 treten erste Pflichten aus dem Cyber Resilience Act in Kraft. Danach sind Hersteller, die digitale Produkte (z. B. vernetzte Geräte, Software) in der EU in Verkehr bringen, verpflichtet, ein dokumentiertes Schwachstellenmanagement einzuführen und sicherzustellen, dass gemeldete Sicherheitslücken ordnungsgemäß behandelt werden. Betroffen sind Unternehmen, die Produkte mit digitalen Elementen – etwa IoT-Geräte, Betriebssysteme oder Anwendungen – auf dem EU-Markt vertreiben. Sie müssen daher spätestens ab dem 1. Juli 2025 über interne Prozesse zur Erkennung, Dokumentation und Meldung von Schwachstellen verfügen. Anderenfalls drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes sowie Verkaufsverbote.
• Ebenfalls ab dem 1. Juli 2025 gelten neue Meldepflichten für Sicherheitsvorfälle und Schwachstellen. Hersteller müssen relevante Vorfälle innerhalb festgelegter Fristen an die zuständige Behörde melden. Betroffen sind Unternehmen, die digitale Produkte in der EU anbieten – unabhängig davon, ob sie innerhalb oder außerhalb der EU ansässig sind. Konkret bedeutet das, dass sie geeignete Reporting-Strukturen schaffen und verantwortliche Ansprechpersonen benennen müssen. 

Verordnung zur Einstellung der Onlinestreitbeilegung (EU 2024/3228): 

• Neue Gesetze können auch Erleichterungen mit sich bringen. Durch die Verordnung wird die von der Europäischen Kommission bereitgestellte Plattform zur Online-Streitbeilegung (OS) aufgrund der geringen Nachfrage eingestellt. Unternehmen sollten die Bezugnahme (Verlinkung) auf diese OS-Plattform mit Ablauf des 20. Juli 2025 aus ihrem Impressum streichen. Der notwendige Hinweis zum deutschen Verbraucherstreitbeilegungsgesetz bleibt unberührt (§ 36 VBSG). Es bietet sich an, das Impressum auf Vollständigkeit und Aktualität zu prüfen. 

Bund

Barrierefreiheitsstärkungsgesetz (BFSG):

• Zum 28. Juni 2025 treten die Regelungen des Barrierefreiheitsstärkungsgesetzes (BFSG) in Kraft. Danach sind Wirtschaftsakteure, die bestimmte digitale Produkte oder Dienstleistungen anbieten – z. B. Webshops, Apps, Selbstbedienungsterminals oder E-Book-Reader – verpflichtet, diese barrierefrei zu gestalten. Marktteilnehmer sind betroffen, wenn sie Verbraucherprodukte oder -dienste auf dem EU-Binnenmarkt bereitstellen, die unter die gesetzlich definierten Kategorien fallen. Sie müssen daher bis zum 28. Juni 2025 gewährleisten, dass ihre digitalen Angebote den Barrierefreiheitsanforderungen des BFSG sowie der Verordnung zum BFSG (BFSGV) entsprechen und sie ihre sonstigen gesetzlichen Pflichten erfüllen – z. B. Produktzertifizierung sowie die Produkt- und Dienstleistungsdokumentation.
• Technisch können Marktteilnehmer hierfür etwa die Vorgaben von harmonisierten EU-Normen und technischen Spezifikationen (wie der Norm EN 301 549) umsetzen. Bei Verstößen gegen die Barrierefreiheitspflichten können u.a. Vertriebsverbote, Rückrufpflichten oder Bußgelder durch die zuständige Marktüberwachungsbehörde drohen.

NIS-2-Richtlinie (EU) – Umsetzung in Deutschland (voraussichtlich 2025):

• Aktuell ist die NIS-2-Richtlinie der EU in Deutschland noch nicht in bindendes Recht umgesetzt. Die EU-Kommission hat deshalb ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet. Anfang Juni ist ein neuer Entwurf des NIS2-Umsetzungs-und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erschienen. Dieser sieht vor, dass auch eine Änderung der BSI-Kritisverordnung vorgenommen wird. Insbesondere soll mit den „Digitalen Energiediensten“ eine neue Kategorie Kritischer Anlagen geschaffen werden. Eine Änderung der bisherigen anlagenspezifischen Schwellenwerte der BIS-Kritisverordnung soll dagegen nicht erfolgen. Im Übrigen enthält der neue Gesetzesentwurf im Vergleich zu vorhergehenden Versionen keine maßgeblichen Änderungen für den nichtöffentlichen Bereich. Wann das NIS2UmsuCG in Kraft treten soll, ist nicht bekannt. Allgemein wird aber mit einer kurzfristigen Umsetzung gerechnet, sodass Unternehmen die weitere Entwicklung eng beobachten sollten.
   

Länder

• Derzeit keine relevanten Gesetzesinitiativen im IT-Recht auf Landesebene bekannt.

Urteile

EU

• Mit Urteil vom 9. Januar 2025 (EuGH, C-123/24) entschied der Europäische Gerichtshof, dass die Erhebung der Anrede („Herr“ oder „Frau“) beim Online-Kauf von Fahrscheinen nicht erforderlich ist. Unternehmen, die solche Daten ohne zwingenden Grund erheben, verstoßen gegen die DSGVO. Betroffen sind alle Unternehmen, die personenbezogene Daten im Online-Vertrieb erheben. Sie müssen daher ihre Datenerhebungspraktiken überprüfen und anpassen. Anderenfalls drohen Bußgelder wegen Datenschutzverstößen.
• Mit Urteil vom 13. Februar 2025 entschied der Europäische Gerichtshof (EuGH, C 383/23), dass sich die Bußgeldobergrenze bei Datenschutzverstößen nach dem weltweiten Jahresumsatz des Gesamtkonzerns bemisst. Unternehmen, die Teil eines Konzerns sind, müssen daher mit höheren Bußgeldern rechnen, wenn Datenschutzverstöße auftreten.
• Am 27. Mai 2025 (EuGH, C-638/23) urteilte der EuGH, dass Unternehmen bei automatisierten Entscheidungen detaillierte Auskünfte über die eingesetzten Verfahren geben müssen. Betroffen sind Unternehmen, die KI-gestützte Systeme für Entscheidungen wie Bonitätsscoring einsetzen. Der EuGH hat entschieden, dass Unternehmen verpflichtet sind, den Betroffenen die Verfahren und Grundsätze bei automatisierten Entscheidungen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erläutern. Darüber hinaus sind Unternehmen verpflichtet, Geschäftsgeheimnisse gegenüber der zuständigen Datenschutzaufsichtsbehörde oder einem zuständigen Gericht offen zu legen. Die Datenschutzaufsichtsbehörde bzw. das Gericht hat dann abzuwägen, ob und inwieweit Geschäftsgeheimnisse für die betroffene Person relevant sind und offengelegt werden müssen.

Deutschland

• Der Bundesgerichtshof (BGH, Az. I ZR 186/17, I ZR 222/19 und I ZR 223/19) erweiterte am 27. März 2025 das Klagerecht für Verbraucherschutzverbände und Mitbewerber bei Datenschutzverstößen. Verbraucherschutzverbände dürfen ohne konkreten Anlass Datenschutzverstöße zivilrechtlich verfolgen lassen. Auch Wettbewerber dürfen gegen Datenschutzverstöße ihrer Konkurrenten vorgehen. Unternehmen müssen daher mit einer erhöhten Anzahl an Klagen rechnen, wenn sie gegen Datenschutzbestimmungen verstoßen.
• KI-Training mit Nutzerdaten: Das OLG Köln hat mit Urteil vom 23.5.2025 - Az. 15 UKl. 2/25 entschieden, dass META personenbezogene Nutzerdaten zum Training von KI auf Basis einer Interessenabwägung gemäß Art. 6 lit. f. DSGVO verarbeiten darf. META hat dafür zahlreiche Vorgaben des Europäischen Datenschutzausschusses zur Verwendung von personenbezogenen Daten für das KI-Training umgesetzt, insbesondere eine vorherige Information der Nutzer mit der Möglichkeit zum Widerspruch sowie die Verwendung ausschließlich öffentlicher Daten. Da bislang nur die Pressemitteilung veröffentlicht wurde, ist unklar, wie detailliert die Interessenabwägung in Bezug auf Zwecke, Verarbeitungsschritte, betroffene Daten und Risiken durchgeführt wurde. Zudem dürfte sich damit aufklären, ob die Ausführungen des Gerichts zur Verarbeitung von sensiblen Daten gemäß Art. 9 DSGVO auch eine Erlaubnis nach Art. 6 lit. f DSGVO bedeuten soll, denn so könnte man die Ausführungen verstehen. Allerdings sieht Art. 9 Abs. 2 DSGVO keine Interessenabwägung vor. Für Unternehmen bedeutet dies, dass das Urteil einen ersten Weg für die Verwendung von personenbezogenen Daten beim KI-Training aufzeigen könnte. Allerdings sollte zunächst die Veröffentlich des vollständigen Urteils abgewartet werden.