Cybersicherheit neu geregelt: NIS-2 startet in Deutschland
Am 5. Dezember 2025 wurde das Gesetz zur Integration der NIS-2-Richtlinie sowie zur Festlegung grundlegender Standards für das Informationssicherheitsmanagement innerhalb der Bundesverwaltung offiziell verkündet. Bereits einen Tag später, am 6. Dezember, erfolgt das Inkrafttreten dieser tiefgreifenden Reform des deutschen Cybersicherheitsrechts. Die neuen Regelungen verschärfen die Sicherheitsanforderungen sowohl für Behörden des Bundes als auch für zahlreiche privatwirtschaftliche Organisationen.
Organisationen sind eigenverantwortlich dazu angehalten, zu evaluieren, ob sie unter den Geltungsbereich der NIS-2-Richtlinie fallen.
Damit werden sie möglicherweise Teil der künftig etwa 29.500 Einrichtungen, die der Aufsicht des BSI unterliegen und für die neue IT-Sicherheitsverpflichtungen bestehen. Bisher unterlagen lediglich rund 4.500 Organisationen den Regelungen des BSI-Gesetzes – darunter insbesondere KRITIS-Betreiber, Diensteanbieter im digitalen Sektor (DSP) sowie Organisationen von besonderem öffentlichem Interesse (UBI).
Durch das NIS-2-Umsetzungsgesetz erfährt der Anwendungsbereich des BSIG (Bundesamt für Sicherheit in der Informationstechnik) eine erhebliche Ausweitung: Organisationen, die in spezifischen Branchen operieren und dabei die gesetzlich definierten Schwellenwerte hinsichtlich Beschäftigtenzahl, Jahresumsatz und Bilanzsumme erreichen, werden zukünftig den neuen Klassifizierungen „wichtige Einrichtungen“ sowie „besonders wichtige Einrichtungen“ zugeordnet.
Wann ist Ihr Unternehmen betroffen?
Ein Unternehmen unterliegt der NIS-2-Regelung, wenn zwei Voraussetzungen gleichzeitig erfüllt sind: Erstens muss es in einem der in § 28 sowie in Anlage 1 des NIS-2-Umsetzungsgesetzes definierten Sektoren tätig sein.
Zweitens muss es bestimmte Größenschwellenwerte erreichen oder überschreiten.
Die Größenschwellenwerte orientieren sich an der EU-Empfehlung für die Definition von Kleinstunternehmen sowie kleinen und mittleren Unternehmen. Ein Unternehmen gilt als mittelgroß und fällt damit unter NIS-2, wenn es mindestens 50 Beschäftigte hat oder einen Jahresumsatz beziehungsweise eine Jahresbilanzsumme von mindestens 10 Millionen Euro aufweist. Dabei genügt es, wenn eines dieser beiden finanziellen Kriterien erfüllt ist.
Unternehmen, die diese Schwellenwerte nicht erreichen, fallen grundsätzlich nicht unter die NIS-2-Pflichten. Allerdings gibt es Ausnahmen für besonders kritische Bereiche. KRITIS-Betreiber sind unabhängig von ihrer Größe immer als besonders wichtige Einrichtungen einzustufen. Auch bestimmte Anbieter digitaler Dienste können unabhängig von Schwellenwerten erfasst werden, wenn ihre Dienste für die Gesellschaft oder Wirtschaft besonders relevant sind.
Betroffene Sektoren und Anbieter
Die neuen Regelungen erfassen unter anderem Betreiber von Online-Marktplätzen. Darüber hinaus fallen folgende Anbieter in den Anwendungsbereich: DNS-Dienstleister, TLD-Namenregister, Cloud-Computing-Anbieter, Rechenzentrumsdienstleister, Betreiber von Content-Delivery-Networks, Managed-Service-Provider, Managed-Security-Service-Provider, Suchmaschinenanbieter, Social-Media-Plattformen sowie Vertrauensdiensteanbieter.
Mittelbare Betroffenheit von Softwareanbietern
Softwareanbieter, die Lösungen an NIS-2-regulierte Unternehmen liefern, sollten den neuen Vorschriften ebenfalls besondere Aufmerksamkeit schenken. Obwohl sie möglicherweise nicht selbst direkt unter die NIS-2-Richtlinie fallen, können sie als integraler Bestandteil beispielsweise eines KRITIS-Unternehmens relevant werden. In diesem Kontext werden sie bei Audits oder der Bewertung der Risikolage der regulierten Einrichtung in Betracht gezogen. Für diesen Fall ist es erforderlich, dass auch Softwareanbieter sämtliche relevanten Dokumentationen und Nachweise bereithalten können.
Zentrale Verpflichtungen für betroffene Unternehmen
Die betroffenen Organisationen müssen drei Hauptverpflichtungen erfüllen:
Registrierungspflicht: Eine gesetzliche Verpflichtung zur Registrierung als NIS-2-regulierte Organisation besteht.
Meldepflicht: Signifikante IT-Sicherheitsvorfälle müssen dem BSI gemeldet werden.
Risikomanagement: Die Implementierung sowie Dokumentation von Maßnahmen zum Risikomanagement ist erforderlich.
Betreiber Kritischer Infrastrukturen werden automatisch der Kategorie „besonders wichtige Einrichtungen“ zugeordnet.
Registrierungsprozess: Besondere Bedeutung der BSI-Portal-Anmeldung
Das BSI führt für NIS-2-pflichtige Organisationen mit deutscher Steuernummer ein zweistufiges Registrierungsverfahren ein. Zunächst müssen sich Unternehmen über „Mein Unternehmenskonto“ (MUK) anmelden. Dieses dient als zentrales Nutzerkonto für digitale Verwaltungsdienste und basiert technisch auf ELSTER. Bestehende ELSTER-Zertifikate können dafür genutzt werden.
Das BSI empfiehlt, die Registrierung im MUK bis Ende 2025 abzuschließen. Ab Januar 2026 erfolgt dann die Anmeldung im neuen BSI-Portal, das am 6. Januar 2026 startet. Über dieses Portal werden künftig unter anderem relevante Sicherheitsvorfälle gemeldet. Bis zur Registrierung im BSI-Portal können Vorfälle über ein Online-Formular gemeldet werden. KRITIS-Betreiber und Bundesbehörden nutzen weiterhin ihre bisherigen Meldewege.
Definition erheblicher Sicherheitsvorfälle
Ein erheblicher Sicherheitsvorfall liegt nach dem BSI-Gesetz vor, wenn ein Ereignis den Betrieb oder die Finanzen einer Organisation erheblich stört oder schädigt – oder wenn dadurch andere Personen erheblich materiell oder immateriell beeinträchtigt werden können (§ 2 Nr. 11 BSIG).
Für bestimmte digitale Dienste (z. B. Cloud-Anbieter, Rechenzentren, Online-Marktplätze, Suchmaschinen, soziale Netzwerke, Managed Service Provider) gilt zusätzlich die EU-Verordnung 2024/2690. Danach ist ein Vorfall insbesondere dann erheblich, wenn zum Beispiel:
ein finanzieller Schaden von über 500.000 Euro oder 5 % des Jahresumsatzes droht oder entsteht,
Geschäftsgeheimnisse abfließen,
Menschen sterben oder schwer verletzt werden,
ein erfolgreicher, böswilliger Hackerangriff mit gravierenden Betriebsstörungen stattfindet,
oder weitere in der Verordnung konkret benannte Auswirkungen eintreten.
Geplante Wartungen und angekündigte Ausfälle gelten ausdrücklich nicht als erhebliche Sicherheitsvorfälle.
Was Unternehmen jetzt tun sollten
Unternehmen sollten zunächst prüfen, ob sie unter die NIS-2-Richtlinie fallen. Dann sollten sie sich noch 2025 bei „Mein Unternehmenskonto“ registrieren. Die Registrierung im BSI-Portal sollte ab dem 6. Januar 2026 vorbereitet werden. Parallel dazu müssen Unternehmen Risikomanagementmaßnahmen implementieren und alle getroffenen Maßnahmen sorgfältig dokumentieren. Außerdem müssen sie sicherstellen, dass sie Sicherheitsvorfälle erkennen und ordnungsgemäß melden können.
Weitere Informationen finden Sie auf der Website des BSI.
Wir stehen Dir bei der Umsetzung der neuen NIS2-Anforderungen zur Seite:
Prüfung der Anwendbarkeit: Wir prüfen, ob Dein Unternehmen unter die NIS2-Richtlinie fällt.
Gap-Analyse: Vergleich zwischen dem aktuellen Sicherheitsniveau und den Anforderungen von NIS2.
Umsetzungsfahrplan: Entwicklung eines konkreten Plans mit Prioritäten, Maßnahmen und Zeitrahmen.
Schulungen: Workshops für Management und Mitarbeitende zu NIS2-Pflichten und Meldeprozessen.
Pseudonymisierte Daten und ihre Weitergabe an Dritte
Mehr Rechtsklarheit im Datenschutz durch europäische Rechtsprechung
Ein wegweisendes EuGH-Urteil (Rechtssache C-413/23 P) schafft endlich Rechtsklarheit im Datenschutzrecht. Mit seiner Entscheidung vom 4. September 2025 legt der Europäische Gerichtshof (EuGH) fest, wie pseudonymisierte Daten im Rahmen der DSGVO zu behandeln sind – und wann ihre Weitergabe an Dritte ohne zusätzliche Datenschutzpflichten möglich ist.
Das Urteil definiert präzise, wann pseudonymisierte Daten nicht mehr als personenbezogen gelten und welche rechtlichen Konsequenzen sich daraus für Unternehmen ergeben. Dadurch wird deutlich, unter welchen Bedingungen die DSGVO bei der Datenweitergabe an Dritte nicht greift.
Für Startups, Unternehmen und Datenschutzbeauftragte ist das Urteil ein entscheidender Leitfaden für rechtssichere Datenverarbeitung – insbesondere beim Umgang mit pseudonymisierten oder anonymisierten Datensätzen im europäischen Rechtsraum.
Kurz gesagt:
Meinungsäußerungen sind personenbezogenen Daten
Pseudonymisierte Daten sind nicht immer personenbezogen
Zeitpunkt entscheidet über die Informationspflicht
Kernaussagen des Urteils: Eine Zusammenfassung
Personenbezug von Meinungsäußerungen
Persönliche Meinungen und Sichtweisen konstituieren personenbezogene Daten. Diese müssen nicht in jedem Fall hinsichtlich ihres Inhalts, Verwendungszwecks oder ihrer Auswirkungen geprüft werden, um ihren Personenbezug zu erkennen.
Pseudonymisierung bedeutet nicht automatisch, dass Daten für jede andere Person als den Verantwortlichen identifizierbar sind. Ausschließlich wenn Dritte über die Mittel verfügen, die betroffene Person zu identifizieren, gelten die Daten auch für sie als personenbezogen.
Zeitpunkt der Informationspflicht
Die Informationspflicht nach Art. 15 Abs. 1 Buchst. d ist bereits zum Zeitpunkt der Erhebung personenbezogener Daten durch den Verantwortlichen zu erfüllen. Dies ist unabhängig davon, wie der Drittempfänger die Daten beim Empfang klassifiziert – ob als anonymisiert oder personenbezogen.
Hintergrund: Die Abwicklung der Banco Popular Español
Der Ausgangssachverhalt
Der Rechtsstreit nimmt seinen Ursprung in der Abwicklung der Banco Popular Español SA. Am 7. Juni 2017 beschloss das Single Resolution Board (SRB) – ein europäisches Gremium für Bankenabwicklungen – die Abwicklung der Bank, nachdem die gesetzlichen Voraussetzungen hierfür erfüllt waren. Im Zuge dessen wurden die Geschäftsanteile an einen Erwerber übertragen sowie bestimmte Kapitalinstrumente herabgeschrieben oder konvertiert. Die Europäische Kommission genehmigte diesen Abwicklungsplan am selben Tag.
Die Bewertungsprüfung durch Deloitte
Nach Vollzug der Abwicklung mandatierte das SRB die Wirtschaftsprüfungsgesellschaft Deloitte mit einer umfassenden Bewertung. Deren Aufgabe bestand darin zu evaluieren, ob die Aktionäre und Gläubiger der Bank im Vergleich zu einem regulären Insolvenzverfahren besser oder schlechter gestellt wurden. Diese Bewertungsprüfung fand ihren Abschluss im Juni 2018.
Im August 2018 publizierte das SRB eine vorläufige Entscheidung und forderte die betroffenen Aktionäre sowie Gläubiger auf, ihr Interesse an einer Anhörung zu bekunden, um abschließend über potenzielle Entschädigungsansprüche zu entscheiden.
Datenverarbeitung: Das technische Verfahren im Detail
Registrierungsphase und Zugriffsberechtigungen
Während der Registrierungsphase wurden die personenbezogenen Daten der betroffenen Aktionäre und Gläubiger sowie Nachweise über deren Kapitalinstrumente ausschließlich einem limitierten Kreis von SRB-Mitarbeitern zugänglich gemacht. Diese autorisierten Personen mussten die Informationen verarbeiten, um über mögliche Kompensationsansprüche zu befinden.
Pseudonymisierung durch alphanumerische Codes
Die Mitarbeiter, welche in der nachfolgenden Phase die eingereichten Stellungnahmen aus der Konsultationsphase bearbeiteten, verfügten über keinerlei Zugriff auf diese personenbezogenen Daten. Jede einzelne Stellungnahme war mit einem 33-stelligen, randomisiert generierten alphanumerischen Code versehen, der die Identität der Verfasser verschlüsselte und anonymisierte.
Systematische Bearbeitung der Stellungnahmen
In einem ersten Verarbeitungsschritt sortierte das SRB die 23.822 eingereichten Stellungnahmen von 2.855 Beteiligten und identifizierte dabei 20.101 Duplikate. Ausschließlich die Erstversion jeder identischen Stellungnahme wurde einer inhaltlichen Prüfung unterzogen.
Im zweiten Verarbeitungsschritt erfolgte eine thematische Kategorisierung der relevanten Stellungnahmen: 3.730 Stellungnahmen wurden identifiziert, die entweder die vorläufige Entscheidung des SRB oder die Bewertungsprüfung von Deloitte betrafen. Während das SRB die Stellungnahmen zur vorläufigen Entscheidung eigenständig bearbeitete, wurden die 1.104 Stellungnahmen zur Bewertung am 17. Juni 2019 über einen gesicherten Server an Deloitte übermittelt. Lediglich eine limitierte Anzahl autorisierter Deloitte-Mitarbeiter konnte auf diese Dokumente zugreifen.
Informationsseparierung bei Deloitte
Deloitte erhielt ausschließlich die Stellungnahmen mit alphanumerischem Identifikationscode, ohne jeglichen Zugriff auf die ursprünglichen Registrierungsdaten oder Identifizierungsinformationen. Duplikate wurden eliminiert, sodass Deloitte nicht rekonstruieren konnte, ob mehrere Personen identische Stellungnahmen eingereicht hatten. Der Code diente lediglich der Nachvollziehbarkeit und Beweissicherung. Deloitte verfügte zu keinem Zeitpunkt über Zugang zu den personenbezogenen Daten der Beteiligten.
Die datenschutzrechtliche Beschwerde
Im Oktober und Dezember 2019 reichten betroffene Aktionäre und Gläubiger beim Europäischen Datenschutzausschuss (EDSB) fünf Beschwerden ein. Der zentrale Vorwurf lautete: Sie seien nicht darüber informiert worden, dass ihre im Fragebogen erhobenen Daten an Deloitte und Banco Santander weitergegeben würden. Die Beschwerdeführer beriefen sich auf die Datenschutz-Grundverordnung (DSGVO) und sahen einen Verstoß gegen deren Art. 15 Abs. 1 Buchst. d.
Der EDSB kam in seiner Entscheidung zu dem Schluss, dass das SRB gegen Art. 15 der Verordnung 2018/1725 verstoßen hatte, da die Betroffenen nicht über die potenzielle Weitergabe ihrer personenbezogenen Daten an Deloitte informiert wurden.
Als Konsequenz verwarnte der EDSB das SRB gemäß Art. 58 Abs. 2 Buchst. b DSGVO für diesen Verstoß. Der EDSB qualifizierte die vom SRB an Deloitte übermittelten Daten als pseudonymisiert, da die Stellungnahmen personenbezogene Daten enthielten und über einen alphanumerischen Code verknüpft werden konnten, obwohl Deloitte keine direkten Identifikationsangaben erhielt. Deloitte wurde nach Auffassung des EDSB dennoch als Empfänger personenbezogener Daten im Sinne von Art. 3 Nr. 13 der Verordnung 2018/1725 eingestuft.
Das Verfahren vor dem EuGH
Beanstandung durch das SRB
Das SRB beanstandete diese Entscheidung vor dem Europäischen Gerichtshof. Folgende zwei zentrale Punkte seien nach Ansicht des SRB fehlerhaft ausgelegt worden:
Voraussetzung gemäß Art. 3 Nr. 1 der Verordnung 2018/1725, dass sich die Informationen auf eine natürliche Person „beziehen“
Voraussetzung gemäß Art. 3 Nr. 1 der Verordnung 2018/1725, dass sich die Informationen auf eine „identifizierbare“ natürliche Person beziehen
Personenbezug von Meinungsäußerungen
Der EDSB argumentierte, dass die an Deloitte übermittelten Stellungnahmen personenbezogene Daten darstellten, da sie persönliche Meinungen und Sichtweisen der betroffenen Anteilseigner und Gläubiger enthielten. Datenschutzbehörden müssten nicht in jedem Fall den spezifischen Inhalt, Verwendungszweck oder die konkreten Auswirkungen prüfen, um zu erkennen, dass es sich um personenbezogene Daten handelt, da die Stellungnahmen eindeutig mit identifizierbaren Personen verbunden seien.
Das vorinstanzliche Gericht hatte hingegen gefordert, dass Inhalt, Zweck und Auswirkungen der Stellungnahmen geprüft werden müssten, um deren Personenbezug festzustellen.
Klarstellung des Gerichtshofs
Der Gerichtshof stellt unmissverständlich klar, dass persönliche Meinungen oder Sichtweisen automatisch personenbezogene Daten konstituieren, weil sie untrennbar mit der Person verbunden sind, die sie äußert. Daher stellte es einen Rechtsfehler des Gerichts dar zu fordern, der EDSB hätte zusätzliche Prüfungen vornehmen müssen. Dem ersten Teil des Rechtsmittelgrundes war stattzugeben.
Identifizierbarkeit pseudonymisierter Daten
Der EDSB beanstandete, dass das vorinstanzliche Gericht fälschlicherweise entschieden habe, die an Deloitte übermittelten Stellungnahmen seien nicht auf eine „identifizierbare“ Person bezogen. Er argumentierte, dass pseudonymisierte Daten stets personenbezogen seien, wenn sie mit zusätzlichen Informationen einer Person zugeordnet werden könnten.
Entscheidende Differenzierung des Gerichtshofs
Der Gerichtshof stellt jedoch unmissverständlich klar, dass Pseudonymisierung nicht automatisch bedeutet, dass Daten für jede andere Person als den Verantwortlichen identifizierbar sind. Ausschließlich wenn Dritte über die Mittel verfügen, die betroffene Person zu identifizieren, gelten die Daten auch für sie als personenbezogen. Daher muss nicht jede pseudonymisierte Information automatisch als personenbezogen qualifiziert werden. Die Rüge des EDSB wurde in diesem Punkt zurückgewiesen.
Informationspflicht des Verantwortlichen
Der zweite Teil des ersten Rechtsmittelgrundes betrifft die Auslegung der Voraussetzung der „Identifizierbarkeit“ nach Art. 3 Nr. 1 der Verordnung 2018/1725. Der EDSB rügte, dass das Gericht die Identifizierbarkeit der betroffenen Personen aus der Perspektive des Empfängers (Deloitte) hätte evaluieren müssen.
Der Gerichtshof stellt hingegen eindeutig klar, dass die Informationspflicht nach Art. 15 Abs. 1 Buchst. d bereits zum Zeitpunkt der Erhebung personenbezogener Daten durch den Verantwortlichen (SRB) zu erfüllen ist und sich daher auf die Perspektive des Verantwortlichen bezieht. Es ist dabei unerheblich, ob ein späterer Empfänger die Daten als personenbezogen einstuft oder pseudonymisiert verarbeitet.
Die Pflicht, die betroffene Person über potenzielle Empfänger zu informieren, dient dem Zweck, dass diese in vollständiger Kenntnis aller relevanten Umstände über die Datenverarbeitung entscheiden und ihre Betroffenenrechte wahrnehmen kann. Der Gerichtshof hält daher die Rüge des EDSB für begründet, dass es ein Rechtsfehler war, die Identifizierbarkeit aus der Perspektive von Deloitte zu prüfen.
Implikationen für Unternehmen und Organisationen
Neue Spielräume bei der Datenverarbeitung
Die Entscheidung eröffnet Unternehmen neue Möglichkeiten: Daten lassen sich in pseudonymisierter Form an Dritte ohne den „Entschlüsselungsmechanismus“ weiterleiten und analysieren, ohne dass der Drittempfänger unmittelbar in die Regelungen der DSGVO fällt. Dies eröffnet die Möglichkeit, solche Datensätze relativ frei zu analysieren, ohne dass die DSGVO bzw. Verordnung 2018/1725 direkt greift – solange Dritte die Identifizierbarkeit nicht wiederherstellen können.
Dies ermöglicht weitreichende Möglichkeiten für innovative Geschäftsmodelle und Forschungsprojekte. Wie Unternehmen diese neuen Erkenntnisse in Zukunft handhaben werden und wie dieses EuGH-Urteil wegweisenden Einfluss auf zukünftige Datenanalysen nimmt, wird sich in der Praxis zeigen.
Auswirkungen auf Datenanalyse und Künstliche Intelligenz
KI-Modelle und Machine-Learning-Algorithmen, die auf pseudonymisierten Datensätzen trainiert werden, könnten künftig reichhaltige Informationen und Erkenntnisse gewinnen, ohne dass Unternehmen oder Forschungseinrichtungen direkt datenschutzrechtlich haften, sofern der Zugang zu Identifikationsinformationen fehlt. Dies könnte innovative Anwendungen und technologische Entwicklungen beschleunigen, etwa:
Personalisierte Dienste und Empfehlungssysteme
Risikobewertungen und Predictive Analytics
Marktanalysen und Business Intelligence
Medizinische Forschung und Diagnostik
All dies wird möglich, ohne dass die Datenbetroffenen unmittelbar tangiert sind.
Gleichzeitig verbleibt die datenschutzrechtliche Verantwortung beim ursprünglichen Datensammler: Wenn der Entschlüsselungsmechanismus existiert, sind die Daten weiterhin als personenbezogen zu qualifizieren, und der Umgang damit muss DSGVO-konform erfolgen.
Risiken und ethische Fragestellungen
Gefahr der Re-Identifikation
Unternehmen könnten in Versuchung geraten, sehr detaillierte Analysen auf pseudonymisierten Daten durchzuführen und daraus indirekt Profile zu erstellen, die die Identifizierbarkeit wiederherstellen könnten – dies ist rechtlich hochgradig problematisch und darf nicht außer Acht gelassen werden.
KI-spezifische Herausforderungen
KI-Modelle und neuronale Netze lernen oft komplexe Muster, die Rückschlüsse auf Einzelpersonen zulassen können (sogenannte Re-Identifikation über Inferenz oder Linking Attacks). Selbst pseudonymisierte Daten können durch KI-Algorithmen und externe Datenquellen potenziell deanonymisiert werden.
Technische und organisatorische Schutzmaßnahmen
Unternehmen müssen daher robuste technische und organisatorische Maßnahmen implementieren, um diese Risiken effektiv minimieren zu können:
Differential Privacy-Techniken: Diese mathematischen Verfahren fügen den Daten kontrolliertes statistisches Rauschen hinzu, sodass einzelne Datenpunkte nicht mehr eindeutig identifizierbar sind, während die Gesamtstatistik weitgehend erhalten bleibt. Dies ermöglicht aussagekräftige Analysen, ohne dass individuelle Personen rekonstruiert werden können.
K-Anonymität und L-Diversität: Bei der K-Anonymität wird sichergestellt, dass jede Person in einem Datensatz mindestens k-1 andere Personen mit identischen Attributen hat, wodurch die Zuordnung zu einer spezifischen Person erschwert wird. L-Diversität geht noch weiter und gewährleistet, dass sensible Attribute innerhalb dieser Gruppen ausreichend divers sind, um Rückschlüsse auf Einzelpersonen zu verhindern.
Strikte Zugriffskontrollen: Implementierung eines mehrstufigen Berechtigungskonzepts mit dem Need-to-Know-Prinzip, bei dem nur autorisierte Mitarbeiter mit nachgewiesenem berechtigtem Interesse Zugriff auf pseudonymisierte Datensätze erhalten. Dies umfasst technische Zugriffsbeschränkungen, Authentifizierungsverfahren und Protokollierung aller Datenzugriffe.
Regelmäßige Privacy Impact Assessments: Systematische Datenschutz-Folgenabschätzungen sollten in regelmäßigen Intervallen durchgeführt werden, um potenzielle Risiken für die Rechte und Freiheiten der Betroffenen frühzeitig zu identifizieren. Diese Assessments evaluieren die Verhältnismäßigkeit der Datenverarbeitung und identifizieren Schwachstellen im Datenschutzkonzept.
Monitoring von Re-Identifikationsrisiken: Kontinuierliche Überwachung und Bewertung der Re-Identifikationswahrscheinlichkeit durch technische Tools und Experten-Reviews. Dies beinhaltet die Analyse, ob durch Kombination mit externen Datenquellen oder durch fortgeschrittene Analysetechniken eine Wiederherstellung der Identifizierbarkeit möglich wäre, sowie die proaktive Anpassung der Schutzmaßnahmen bei erkannten Risiken.
Ausblick und Fazit
Trend zur Pseudonymisierung und neue Rahmenbedingungen
Das EuGH-Urteil könnte den Einsatz pseudonymisierter Daten in Wirtschaft und Forschung deutlich stärken. Für KI-Entwicklung bedeutet das: mehr verfügbare Trainingsdaten, aber auch strengere Verantwortung bei der Vermeidung von Re-Identifikation. Zugleich setzt die Entscheidung Maßstäbe für die Regulierung von KI-Systemen – etwa bei Transparenz, Erklärbarkeit, Fairness und technischen Sicherheitsstandards.
Fazit
Das Urteil eröffnet neue Spielräume für Datenanalyse und KI, betont aber zugleich die Verantwortung der Datenverarbeiter. Unternehmen müssen sorgfältig abwägen, wie weit Analysen gehen dürfen, um Datenschutzrisiken zu vermeiden. Die Herausforderung bleibt, Innovation und Datenschutz in ein ausgewogenes Verhältnis zu bringen.
Data Act: Was Unternehmen jetzt wissen müssen
Der EU Data Act revolutioniert den Umgang mit Daten
Der Data Act der Europäischen Union stellt eine der bedeutendsten Änderungen im europäischen Datenrecht dar und betrifft nahezu jedes Unternehmen, das mit vernetzten Produkten oder digitalen Diensten arbeitet.
Der Data Act ist eine EU-Verordnung, die den fairen Zugang zu und die Nutzung von Daten in der gesamten Europäischen Union regelt. Die Verordnung schafft einen rechtlichen Rahmen, der es Nutzern ermöglicht, auf die von ihren vernetzten Produkten und Diensten generierten Daten zuzugreifen und diese zu nutzen.
Der Data Act zielt darauf ab, das Ungleichgewicht bei der Datennutzung zwischen großen Technologieunternehmen und Verbrauchern sowie kleineren Unternehmen zu beseitigen. Er stärkt die Rechte der Nutzer und schafft neue Möglichkeiten für Innovation und Wettbewerb in der digitalen Wirtschaft.
Ab wann gilt der Data Act? Wichtige Fristen für dein Unternehmen
Der Data Act tritt stufenweise in Kraft. Die Verordnung ist bereits am 11. Januar 2024 in Kraft getreten, jedoch gelten verschiedene Übergangsfristen:
Für neue Produkte: Ab dem 12. September 2025 müssen alle neuen vernetzten Produkte die Anforderungen des Data Act erfüllen
Für bestehende Produkte: Unternehmen haben bis zum 12. September 2027 Zeit, um ihre bereits auf dem Markt befindlichen Produkte anzupassen
Diese Fristen solltest du unbedingt in deiner Compliance-Planung berücksichtigen.
Vernetzte Produkte und verbundene Dienste: Definition und Beispiele
Der Data Act unterscheidet zwischen „vernetzten Produkten“ und „verbundenen Diensten“. Vernetzte Produkte sind physische Gegenstände, die Daten sammeln können und über eine elektronische Kommunikationsverbindung verfügen. Dazu gehören beispielsweise:
Smart-Home-Geräte wie intelligente Thermostate oder Sicherheitskameras
Fitness-Tracker und Smartwatches
Vernetzte Fahrzeuge und deren Bordsysteme
Industrielle IoT-Geräte und Sensoren
Verbundene Dienste sind digitale Services, die in Verbindung mit diesen Produkten stehen, wie mobile Apps zur Gerätesteuerung oder Cloud-basierte Analyseplattformen.
Welche Daten müssen Unternehmen nach dem Data Act bereitstellen?
Der Data Act verpflichtet Unternehmen zur Bereitstellung verschiedener Datenkategorien. Diese umfassen alle Daten, die durch die Nutzung vernetzter Produkte oder verbundener Dienste generiert werden.
Produktdaten und ihre Bedeutung
Produktdaten umfassen alle Informationen, die direkt durch die Nutzung eines vernetzten Produkts entstehen. Bei einem Smart-Thermostat wären das beispielsweise Temperaturmessungen, Heizzyklen oder Energieverbrauchsdaten. Diese Daten müssen dem Nutzer in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden.
Dienstdaten richtig verstehen
Dienstdaten entstehen durch die Nutzung verbundener Dienste und können Nutzungsstatistiken, Präferenzen oder Interaktionsmuster umfassen. Ein praktisches Beispiel wären die Nutzungsdaten einer Fitness-App, die mit einem Wearable-Gerät verbunden ist.
Software und Apps im Data Act
Auch Software-Updates, App-Funktionalitäten und deren Nutzung fallen unter den Anwendungsbereich des Data Act. Unternehmen müssen sicherstellen, dass Nutzer Zugang zu den durch ihre Software generierten Daten erhalten.
Datenweitergabe verweigern: Wann ist das erlaubt?
Grundsätzlich dürfen Unternehmen die Datenweitergabe nur in begründeten Ausnahmefällen verweigern. Der Data Act sieht vor, dass eine Verweigerung nur bei berechtigten Sicherheitsbedenken zulässig ist.
Berechtigte Sicherheitsbedenken liegen vor, wenn die Datenweitergabe die Sicherheit des Produkts, des Dienstes oder der Nutzer gefährden würde. Dazu gehören beispielsweise Situationen, in denen sensible Sicherheitsinformationen preisgegeben werden könnten oder die Weitergabe zu Cybersicherheitsrisiken führen würde.
Dürfen Nutzer ihre Daten an Dritte weitergeben?
Ein wichtiger Aspekt des Data Act ist die Portabilität der Daten. Nutzer haben das Recht, ihre Daten an Dritte weiterzugeben, einschließlich Konkurrenten des ursprünglichen Anbieters. Dies soll den Wettbewerb fördern und Innovation vorantreiben.
Du als Unternehmen musst technische und organisatorische Maßnahmen implementieren, die es Nutzern ermöglichen, ihre Daten einfach und sicher an Dritte zu übertragen. Dabei müssen angemessene Sicherheitsvorkehrungen getroffen werden, um Missbrauch zu verhindern.
Welche Pflichten haben Händler und Online-Shop-Betreiber?
Als Händler oder Online-Shop-Betreiber triffst du verschiedene Verpflichtungen nach dem Data Act. Diese hängen davon ab, ob du als Hersteller, Importeur oder Händler von vernetzten Produkten fungierst.
Informationspflichten für Händler
Du musst deine Kunden klar und verständlich über ihre Datenrechte informieren. Dazu gehört die Aufklärung darüber, welche Daten gesammelt werden, wie sie genutzt werden und wie Kunden auf ihre Daten zugreifen können.
Technische Umsetzung der Datenportabilität
Online-Shop-Betreiber müssen sicherstellen, dass die von ihnen verkauften vernetzten Produkte die technischen Anforderungen für Datenportabilität erfüllen. Das bedeutet, dass entsprechende APIs oder andere technische Schnittstellen implementiert werden müssen.
Pflichten nach dem Data Act im Überblick
Die wichtigsten Verpflichtungen für Unternehmen nach dem Data Act lassen sich wie folgt zusammenfassen:
Bereitstellungspflicht: Du musst Nutzern kostenlos Zugang zu ihren Daten gewähren und diese in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.
Informationspflicht: Klare und transparente Information der Nutzer über Datensammlung, -verarbeitung und -rechte ist obligatorisch.
Technische Implementierung: Die notwendigen technischen Systeme zur Datenportabilität müssen bis zu den genannten Fristen umgesetzt werden.
Sicherheitspflicht: Angemessene Sicherheitsmaßnahmen zum Schutz der übertragenen Daten müssen implementiert werden.
Dokumentationspflicht: Die Compliance mit dem Data Act muss nachweisbar dokumentiert werden.
Data Act Compliance: Lass dich professionell beraten
Die Umsetzung des Data Act kann komplex sein und erfordert sowohl rechtliches als auch technisches Know-how. Falls du dir unsicher bist, wie du die Anforderungen in deinem Unternehmen umsetzen sollst, stehen wir dir als erfahrene Rechtsberater gerne zur Seite.
Wir helfen dir dabei, eine maßgeschneiderte Compliance-Strategie zu entwickeln, die rechtlichen Anforderungen zu verstehen und die notwendigen technischen und organisatorischen Maßnahmen zu implementieren. Kontaktiere uns für eine individuelle Beratung – gemeinsam sorgen wir dafür, dass dein Unternehmen optimal auf den Data Act vorbereitet ist.
Legal Living Hub verwendet Cookies, damit die Webseite zuverlässig funktioniert und wir Informationen für statistische Auswertungen sammeln können. Du kannst deine Cookie-Einstellungen jederzeit im Footer der Webseite ändern. Mehr Informationen findest du in unseren Datenschutzhinweisen.
