Die Adressaten des neuen IT-Sicherheitsrechts

Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor und hat einen Referentenentwurf vorgelegt. Der heutige Blog-Beitrag vertieft die Frage, wer von den neuen gesetzlichen Anforderungen in der Privatwirtschaft überhaupt adressiert wird. Wichtig ist: Das neue IT-Sicherheitsgesetz adressiert diverse Unternehmen und nicht nur die Betreiber von kritischen Infrastrukturen, den sog. KRITIS. (…) Weiterlesen

Der Data Governance Act: Was der deutsche Gesetzgeber jetzt tun muss.

Der Data Governance Act (DGA) ist im Juni 2022 in Kraft getreten und wird ab dem 24.09.2023 unmittelbare Geltung in jedem Mitgliedsstaat der EU entfalten. Obwohl es sich um eine EU-Verordnung handelt, muss der nationale Gesetzgeber hier einiges umsetzen und mit Leben füllen: Von Behördenzuständigkeiten über Register bis hin zu zentralen Informationsstellen. Die Mitgliedstaaten müssen, um das Potential des DGA zu heben, jetzt die in dem DGA vorgesehenen Mechanismen und Strukturen zu schaffen, damit seine Regelungen die beabsichtigte Wirkung erzielen (…) Weiterlesen

IT-Sicherheit als Mangel: Neue Pflichten für Softwarehersteller

Die EU-Kommission hat kürzlich den Entwurf eines Cyber Resilience Act (CRA) veröffentlicht. Sie verspricht sich eine höhere Cybersicherheit insbesondere durch besseres Produktdesign. Diese Anforderungen bergen jedoch etliche Schwierigkeiten für Softwarehersteller und -anbieter. Sie müssen zudem bei Missachtung der Anforderungen ein strenges Sanktionsregime fürchten, wenn der CRA so umgesetzt wird. Der CRA ist Teil der Digitalstrategie der EU. Er soll in Ergänzung des Cybersecurity Act digitale Produkte auf dem europäischen Markt sicherer und damit die Wirtschaft insgesamt weniger anfällig für Cyberattacken (…) Weiterlesen

Was Online-Dienste mit dem Digital Services Act (DSA) erwartet

Der Digital Services Act (DSA) tritt am 16.11.2022 in Kraft. Verfasst ist der DAS als EU-Verordnung. Er gilt also unmittelbar in der gesamten EU. Damit beginnt jetzt für Online-Dienste wie Vermittlungsanbieter und Plattformen die Phase zur Anpassung an die neuen Regelungen. Ihre Umsetzung muss im Wesentlichen bis zum 17.02.2024 erledigt sein. Der DSA, auch bezeichnet als „Gesetz über digitale Dienste“, ist Teil der EU-Digitalstrategie. Definiertes Ziel des DSA ist es, durch harmonisierte Vorschriften ein sicheres und vertrauenswürdiges Online-Umfeld festzulegen, in (…) Weiterlesen

Kostenlos gibt’s nicht mehr – „nur für Ihre Daten“ ist der neue Werbeslogan

Die Website wirbt mit „kostenlosen Informationen“, die neueste App gibt es „für Sie umsonst“ und im neuesten Podcast wirbt der Sprecher für eine Plattform, auf der seine Hörer „gratis“ einen Versicherungsvergleich erhalten. Nur ein paar Daten müssen angegeben werden, um die Angebote zu nutzen. Und genau dies kann den Werbenden und Anbietern jetzt zum Verhängnis werden: „Nur ein paar Daten“ sind spätestens seit dem 1. Januar 2022 auch eine Bezahlung. Und damit gilt im B2C-Bereich das Verbraucherschutzrecht. Einige besonders schwere (…) Weiterlesen

Digital Markets Act (DMA)

Am 1. November tritt der Digital Markets Act (DMA) in Kraft, auch bezeichnet als das „Gesetz über digitale Märkte“. Der DMA soll den digitalen Sektor in der EU fairer und wettbewerbsfähiger machen. Er schützt damit gewerbliche und private Nutzer von (großen) Online-Plattformen. Verpflichtet werden dafür genau jene Online-Plattformen, die als „Gatekeeper“ bzw. „Torwächter“ zentrale Schlüsselrollen in der digitalen Welt einnehmen. Definiertes Ziel des DMA ist es dabei, die Macht der großen Digitalkonzerne zu begrenzen und die Rechter ihrer gewerblichen wie (…) Weiterlesen

Verträge über Datennutzung: neue Missbrauchskontrolle

Vertragliche Vereinbarungen über den Zugang zu Daten und ihre Nutzung, die Haftung und Rechtsbehelfe bei der Verletzung oder Beendigung von Vereinbarungen sind zentral für die kommerzielle Bewertung von Datengeschäften. Bei Verträgen mit KMU werden diese Klauseln – kommt der Data Act – künftig besonders geprüft: Der Data Act bringt eine Missbrauchsprüfung ähnlich der bekannten AGB-Kontrolle und Musterklauseln, die von der Kommission vorgegeben werden. Bei einem Verstoß sind die entsprechenden Vereinbarungen unwirksam. Die Regelungen fügen sich in diverse Vorgaben rund um (…) Weiterlesen

Internationale Übermittlungen und Zugriffe 

Im Datenschutzrecht ist der Drittlandtransfer seit jeher gesondert zu erlauben – der Data Act transferiert diesen Gedanken nun auf nicht-personenbezogene Daten. Auch diese sind nach dem Entwurf vor einer ungerechtfertigten internationalen Übermittlung und vor dem Schutz des Zugriffs durch staatliche Stellen anderer Länder zu schützen. Dies soll das Vertrauen der Nutzer stärken und dient etwa dem Geheimnis- und Know-How-Schutz.  Eingebettet ist die Regelung in eine Vielzahl von Neuerungen für eine zukunftsweisende Datenwirtschaft. Einen allgemeinen Überblick über den Data Act finden Sie hier: (…) Weiterlesen

Interoperabilität im Data Act

Interoperabilität im Data Act Wenn das „Potential von Daten“ verbessert, die Datenwirtschaft gestärkt und zugunsten von Verbrauchern und alternativen Anbietern der Wechsel zwischen diversen Services vereinfacht werden soll, kommt es vor allem auf eines an: Interoperabilität, also die Fähigkeit verschiedener digitaler Produkte (Cloud, Anwendungen, Komponenten, …) miteinander zu interagieren, jenseits der üblicherweise erwarteten und zur Verwendung notwendigen Kompatibilität z.B. mit dem Betriebssystem des Smartphones – sei es der einfache Wechsel zwischen zwei Cloud-Anbietern, von einer zur anderen Social Media Plattform (…) Weiterlesen

Wechsel zwischen Datenverarbeitungsdiensten: Datenportabilität

Anbieter von Datenverarbeitungsdiensten, also insbesondere Cloud- und Edge- Dienstleister, haben nach dem Data Act-Entwurf sicherzustellen, dass ihre Kunden schnell und unkompliziert zu einem Konkurrenzdienst wechseln können (Datenportabilität). Der Data Act sieht in Kapitel VI weitgehende vertragliche, technische und organisatorische Vorgaben vor, die von den Datenverarbeitungsdiensten künftig eingehalten werden müssen, um eine weitreichende Datenportabilität zu ermöglichen. Wird der Data Act so umgesetzt, wie er jetzt im Entwurf vorliegt, hat das ganz erhebliche Folgen für die aktuellen Geschäftsmodelle und Vertragsstrukturen der Cloud-Anbieter. (…) Weiterlesen