Neue EU-Regeln für KI, digitale Dienste, Daten- und Cybersicherheit und mehr: Ein Überblick

Bezeichnung: Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Verordnung über künstliche Intelligenz, „AI Act“ bzw. „KI-VO“) (A9-0188/2023).

Inhalt: Der AI Act verfolgt einen risikobasierten Ansatz: besonders schädliche KI‑Anwendungen werden verboten, zahlreiche Anwendungen als „hochriskant“ eingestuft und unterliegen strengen Pflichten. Für Hochrisiko‑KI schreibt die Verordnung Anforderungen an Datenqualität, Risikomanagement, technische Dokumentation, Transparenz und menschliche Aufsicht sowie Konformitätsbewertungsverfahren vor. Für bestimmte Systeme (z. B. generative Modelle, biometrische Fernidentifizierung) gelten zusätzliche Transparenz‑ und Governance‑Regeln. Die Verordnung etabliert nationale Aufsichtsbehörden, Marktüberwachung, Zulassungs‑/Benennungsverfahren und erhebliche Sanktionen bei Verstößen. Ziel ist der Schutz von Grundrechten und Sicherheit bei gleichzeitiger Schaffung eines harmonisierten Rahmens zur Förderung vertrauenswürdiger KI‑Innovation in der EU.

Anwendbarkeit: Anbieter und Betreiber/Anwender von KI‑Systemen innerhalb der EU, Importeure und Händler auf dem EU‑Markt sowie Anbieter außerhalb der EU, deren Systeme in der EU eingesetzt werden. Außerdem öffentliche Stellen für bestimmte Einsatzarten (z. B. biometrische Identifizierung).

Beispiel: Ein Unternehmen wie DM setzt eine KI wie SAP (SuccessFactors Recruiting) zur Vorauswahl von Bewerbungen ein. Wenn diese KI als hochriskant eingestuft wird, muss das Unternehmen u. a. Daten auf Bias prüfen, ein dokumentiertes Risikomanagement betreiben, technische Unterlagen und Transparenzhinweise bereitstellen, menschliche Aufsicht sicherstellen und ggf. eine Konformitätsbewertung vorlegen, bevor das System in der EU genutzt werden darf.

Inkrafttreten/Wirksamkeit: Inkraft seit 1. August 2024. Seit dem 2. August 2025 gelten neue Pflichten und Sanktionen für Unternehmen, insbesondere für KI-Modelle mit allgemeinem Verwendungszweck (GPAI). Ab dem 2. August 2026 gelten die meisten zentralen Verpflichtungen für Unternehmen, einschließlich Hochrisiko-KI-Systeme. Ab diesem Zeitpunkt wird auch eine Marktaufsichtsbehörde über die Regularien wachen.

Bezeichnung: Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 sowie der Richtlinie (EU) 2020/1828 (Cyber-Resilienz-Gesetz, CRA).

Inhalt: Der CRA führt ein einheitliches, EU‑weites Regelwerk für die Cybersicherheit von Produkten mit digitalen Elementen (Hardware und Software) ein. Hersteller müssen Cybersicherheit bereits in Design und Entwicklung berücksichtigen und angemessene technische und organisatorische Maßnahmen treffen. Produkte müssen mit Sicherheitshinweisen, Dokumentation und, wo erforderlich, einer Konformitätsbewertung versehen werden. Unsichere Produkte dürfen nicht in Verkehr gebracht werden. Hersteller sind verpflichtet, Schwachstellenbehandlung und Koordination bei Vorfällen sicherzustellen (z. B. Meldepflichten für Sicherheitsvorfälle, Patch‑/Update‑Verpflichtungen). Es werden Pflichten für Hersteller, Importeure, Händler und Distributoren sowie Sanktionsmechanismen eingeführt, um ein hohes Mindestniveau an Cybersicherheit im Binnenmarkt durchzusetzen.

Anwendbarkeit: Hauptadressaten sind Hersteller (einschließlich Software‑ und Hardwareentwickler), Importeure, Händler und in bestimmten Fällen Betreiber/Betreiber‑Verantwortliche, sofern Produkte mit digitalen Elementen auf dem EU‑Markt bereitgestellt oder in Betrieb genommen werden. Auch Unternehmen außerhalb der EU sind betroffen, wenn sie Produkte in der EU vertreiben. Ausnahmen und besondere Regeln gelten unter anderem für Produkte, die ausschließlich für militärische Zwecke entwickelt wurden, und es gibt speziellere Vorgaben für Open‑Source‑Projekte in der finalen Fassung.

Beispiel: Ein Unternehmen vertreibt eine vernetzte Smart-Home-Kamera in der EU. Gemäß dem CRA muss der Hersteller die Kamera so entwickeln, dass bekannte Schwachstellen minimiert werden. Er muss Sicherheits-Updates bereitstellen, klare Anleitungen zur sicheren Konfiguration liefern, Sicherheitsvorfälle melden und gegebenenfalls eine Konformitätsbewertung durchführen lassen. Ohne Erfüllung dieser Pflichten darf die Kamera nicht auf dem EU-Markt angeboten werden.

Inkrafttreten/Wirksamkeit:Inkraft seit 10. Dezember 2024. Seit dem 11. Dezember 2027gibt der CRA.

Bezeichnung: Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für den fairen Zugang zu Daten und deren Nutzung und zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Data Act)

Inhalt: Der Data Act schafft einheitliche Regeln, um Nutzenden und berechtigten Dritten einen fairen Zugang zu Daten zu gewährleisten, die durch vernetzte Geräte und digitale Dienste erzeugt werden. Er verpflichtet Datenhalter, auf berechtigte Anfragen Daten bereitzustellen, und schränkt missbräuchliche Vertragsklauseln ein, die den Zugang oder die Nutzung unverhältnismäßig erschweren. Die Verordnung fördert Interoperabilität und Datenportabilität durch Standard-Vertragsbestimmungen und technische Schnittstellen, um einen Anbieterwechsel und kombinierte Datennutzungen zu erleichtern. Für die öffentliche Verwaltung gibt es in Ausnahmesituationen reservierte Zugriffsmechanismen (B2G) mit definierten Schutzvorkehrungen für Geschäftsgeheimnisse und Datenschutz. Das Ziel besteht darin, Innovation, Wettbewerb und neue datenbasierte Dienste zu ermöglichen und dabei Geschäftsgeheimnisse, Sicherheit und personenbezogene Daten angemessen zu schützen.

Anwendbarkeit: Hersteller und Anbieter von Produkten mit digitalen Elementen und vernetzten Diensten, Datenhalter, Datenempfänger, Cloud‑ und Plattformanbieter, Geschäftskundinnen/Kunden sowie öffentliche Stellen (bei B2G‑Zugriffen); auch Anbieter außerhalb der EU, die Dienste für EU‑Nutzer erbringen, können betroffen sein.

Beispiel: Ein Betreiber vernetzter Industriemaschinen will den Wartungsdienstleister wechseln und verlangt daher die letzten 12 Monate an Betriebs‑ und Sensordaten sowie Firmware‑Informationen. Nach dem Data Act muss der Datenhalter diese Daten in einem gebrauchsfähigen, interoperablen Format innerhalb angemessener Frist bereitstellen, dabei Geschäftsgeheimnisse und personenbezogene Daten schützen und höchstens eine angemessene, kostendeckende Gebühr erheben.

Inkrafttreten/Wirksamkeit: Inkraft seit 11. Januar 2024. Seit dem 12. September 2025 gibt der Data Act.

Bezeichnung: Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates über einen einheitlichen Markt für digitale Dienste (Digital Services Act, DSA)

Inhalt: Der DSA verpflichtet Plattformen und Hosting‑Dienste zu klaren Melde‑, Moderations‑ und Beschwerdeverfahren sowie zu transparenten Informationspflichten gegenüber Nutzern und Behörden. Sehr große Online‑Plattformen und Suchmaschinen unterliegen erweiterten Pflichten wie systematischen Risikoanalysen, Maßnahmen gegen systemische Risiken, Transparenz von Empfehlungsalgorithmen und unabhängigen Prüfungen. Der DSA stärkt die Zusammenarbeit mit nationalen Behörden, schafft Durchsetzungsbefugnisse und sieht erhebliche Sanktionen bei Verstößen vor. Ziel ist es, einen sicheren Binnenmarkt für digitale Dienste zu gewährleisten und zugleich Grundrechte und Meinungsfreiheit zu schützen.

Anwendbarkeit: Der DSA ist anwendbar für Anbieter digitaler Dienste (Vermittler, Hosting‑Dienste, Online‑Plattformen, Suchmaschinen) mit Diensten im EU‑Binnenmarkt, z.B., auch Anbieter außerhalb der EU sind betroffen, wenn sie EU‑Nutzern Dienste bereitstellen.

Beispiel: Soziale Netzwerke wie Instagram und TikTok sowie Suchmaschinen wie Google Search müssen gemäß dem DSA für Dienste in der EU benutzerfreundliche Meldesysteme betreiben, gemeldete Inhalte fristgerecht prüfen und bei Bestätigung entfernen. Zudem müssen sie transparente Community-Standards und Beschwerdeverfahren bereitstellen sowie Maßnahmen zur Minderung systemischer Risiken dokumentieren (z. B. jährliche Risikoanalysen und Anpassungen der Empfehlungslogik).

Inkrafttreten/Wirksamkeit:Inkraft seit 16.11.2022. Seit dem 17.02.2024 gibt der DSA.

Bezeichnung: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO)

Inhalt: Die DSGVO regelt den Datenschutz und die Privatsphäre in der EU und schafft einheitliche Vorgaben für die Verarbeitung personenbezogener Daten. Sie schreibt die Bestellung von Datenschutzbeauftragten vor, insbesondere für öffentliche Stellen und für Unternehmen, die umfangreiche oder risikobehaftete Datenverarbeitungen durchführen. Die Verordnung legt verbindliche Mindeststandards fest (z. B. Rechtmäßigkeit der Verarbeitung, Zweckbindung, Datenminimierung, Sicherheit) und stärkt die Rechte betroffener Personen wie Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Sie gilt nicht nur für in der EU niedergelassene Stellen, sondern auch für Anbieter außerhalb der EU, die Waren oder Dienste für EU‑Betroffene bereitstellen oder deren Verhalten überwachen, und hat daher weitreichende Auswirkungen auf Unternehmensprozesse und Verträge. Durch Meldepflichten, Pflicht zu Datenschutz‑Folgenabschätzungen bei hohen Risiken und die Durchsetzungsbefugnisse nationaler Aufsichtsbehörden schafft die DSGVO Durchgriff und Sanktionsmöglichkeiten bei Verstößen.

Anwendbarkeit: Die DSGVO ist auf jede natürliche oder juristische Person, die personenbezogene Daten von in der EU ansässigen Personen verarbeitet anwendbar. Sie gilt auch für Anbieter außerhalb der EU, die Waren/Dienstleistungen für in der EU befindliche Personen anbieten oder deren Verhalten überwachen.

Beispiel: Ein Onlineshop wie Amazon, der Kundendaten erhebt, muss vor der Verarbeitung eine Rechtsgrundlage (z. B. Vertragserfüllung oder Einwilligung) dokumentieren, klare Datenschutzhinweise (z.B. Datenschutzerklärung auf der Webseite) geben, Kundenrechte ermöglichen (z. B. Auskunft, Löschung) und bei einer Datenpanne die Aufsichtsbehörde innerhalb von 72 Stunden informieren.

Inkrafttreten/Wirksamkeit: Inkraft seit 25.05.2016. Seit dem 25.05.2018 ist die DSGVO anzuwenden.

Bezeichnung: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)

Inhalt: Die NIS-2-Richtlinie verschärft und erweitert die Vorgaben der ursprünglichen NIS-Richtlinie, indem sie ein breiteres Spektrum an Sektoren und Unternehmen einbezieht. Die NIS-2-Richtlinie unterscheidet zwischen „essenziellen“ und „wichtigen“ Einrichtungen. Die Einordnung erfolgt nach Sektor- und Größenkriterien, wobei kleine Unternehmen in der Regel ausgenommen sind. Die Richtlinie muss von den Mitgliedstaaten bis zum 17.10.2024 in nationales Recht umgesetzt werden. Sie stärkt die Meldepflichten für schwerwiegende Sicherheitsvorfälle, fördert schnelle Informations- und Kooperationspflichten gegenüber den zuständigen Behörden und CSIRTs und sieht deutlich strengere Berichtsfristen als zuvor vor. Nationale Aufsichts- und Durchsetzungsbefugnisse werden harmonisiert und verschärft, inklusive Sanktionen für Nichtbeachtung. Das Ziel besteht darin, die Resilienz und das Risikomanagement von kritischen und wichtigen Diensten zu stärken, die Meldung und Zusammenarbeit bei Cybervorfällen zu verbessern und eine einheitlichere Sicherheitsbasis im Binnenmarkt zu schaffen.

Anwendbarkeit: Anwendbar ist sie auf die EU‑Mitgliedstaaten und verpflichtet diese, nationale Maßnahmen gegenüber Unternehmen und Einrichtungen verschiedener Sektoren zu erlassen; betroffen sind insbesondere „essentielle“ und „wichtige“ Einrichtungen aus Bereichen wie Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur, öffentliche Verwaltung, Finanzwesen, Lebensmittelproduktion, Raumfahrt, verarbeitende Industrie, Anbieter digitaler Dienste u. a. Kleine Unternehmen sind in der Regel ausgenommen, spezifische Kriterien regeln die Einordnung und Ausnahmen.

Beispiel: Die Hetzner Online GmbH ist ein mittelgroßer Cloud-Hoster. Wenn das Unternehmen von der zuständigen deutschen Behörde als „wichtiger“ digitaler Infrastrukturanbieter im Sinne der NIS-2-Richtlinie eingestuft würde, müsste es ein formales Risikomanagementsystem einführen. Außerdem wären regelmäßige Sicherheits-Updates und planmäßige Penetrationstests erforderlich. Darüber hinaus müsste das Unternehmen schwerwiegende Cybervorfälle ohne unangemessene Verzögerung an die zuständige nationale Behörde und BSI/DE-CERT (das Computer Emergency Response Team für Bundesbehörden) melden. Zudem wäre es verpflichtet, der Aufsicht bei Prüfungen Nachweise über die NIS-2-Compliance vorzulegen (z. B. Audit-Berichte, Pen-Test-Ergebnisse, Protokolle zu Risikobewertungen und Maßnahmenumsetzung).

Inkrafttreten/Wirksamkeit: Inkraft seit 16.01.2023. Vorraussichtlich wird die NIS-2-Richtlinie Anfang 2026 in ein nationales Gesetz (in Deutschland) umgesetzt.