Recht Kurz

Dr. Marcus Georg Tischler & Tim Petermann
Since 04/2020 55 Episoden

Folge 050: EU Digitalrecht – ein Überblick

25.07.2024 15 min

Zusammenfassung & Show Notes

Mit Folge 050 von „RECHT kurz“ nehmen Tischler und Petermann Sie mit auf eine Reise ins neue Digitalrecht der EU. Ihr Reiseführer Dr. Hans Markus Wulf gibt in dieser Folge zunächst einen Überblick über die wesentlichen Normen und deren Regelungsgehalt, um diese dann in weiteren Folgen zu vertiefen. Tauchen Sie mit uns ein, in die Welt des EU-Digitalrechts.

Transkript

Tim
00:00:21
Moin und herzlich willkommen bei Recht Kurz. Moin Markus, grüß dich.
Marcus
00:00:24
Hi Tim, grüß dich, moin.
Tim
00:00:26
Markus, wir haben heute Großes vor.
Marcus
00:00:28
Ja, genau. Wir haben heute unseren Kollegen und Mitpartner Dr. Hans-Markus Wulff zu Gast. Hallo.
Dr. Hans Markus Wulf
00:00:38
Hallo zusammen.
Tim
00:00:39
Schön, dass du da bist.
Marcus
00:00:41
Er hat auch eine Stimme. Er hat eine Stimme.
Tim
00:00:44
Das wird gleich noch flüssiger bestimmt. Nein, alles super. Super. Markus Wulff, schön, dass du da bist. Markus Wulff ist Datenschutz- und IT-Rechtexperte.
Dr. Hans Markus Wulf
00:00:54
IT- und Datenschutzanwalt.
Tim
00:00:56
IT- und Datenschutzanwalt. Und wir haben den Markus heute eingeladen, weil man ja aller Orten liest, dass sich ganz viel im Bereich Datenschutz, IT-Sicherheit, KI tut. Dass insbesondere aus Europa eine ganze Welle neuer Verordnungen auf uns zurollt. Und Markus hat sich freundlicherweise bereit erklärt, mal ein bisschen Licht hier in den Dschungel zu bringen und das Ganze mal für uns einzuordnen.
Marcus
00:01:21
Genau, wir wollen die Herausforderung, die die Digitalisierung im rechtlichen Sinne für alle bereithält, heute mal beleuchten. Und zwar werden wir in einem ersten Schritt heute mal einen Grobüberblick von dir, Markus, bekommen Und dann werden wir uns in weiteren Folgen Spezialthemen und einzelnen Verordnungen genauer widmen wollen. Erzähl doch mal.
Dr. Hans Markus Wulf
00:01:48
Soll ich mich erst vorstellen oder gleich los zum Thema?
Marcus
00:01:51
Nein, stell dich gerne vor.
Tim
00:01:52
Wir haben ja übrigens schon mal, vor einiger Zeit haben wir zusammengesessen.
Dr. Hans Markus Wulf
00:01:59
Zwei Jahre hatten wir schon mal einen Podcast.
Tim
00:02:00
Vor zwei Jahren, das ist eine Weile her.
Dr. Hans Markus Wulf
00:02:02
Tatsächlich um Datenübermittlung, Cloud-Services in den USA.
Tim
00:02:06
Schrems 2.
Dr. Hans Markus Wulf
00:02:06
Ist eigentlich damals schon zwei, genau. Zwei war das damals. Ist einige Zeit her. Ja, vielleicht ganz kurz trotzdem nochmal zu mir. Hans-Marcus Wulfmann, ich bin tatsächlich schon seit 25 Jahren Technologieanwalt. Anfang war das tatsächlich IT, dann kam irgendwann Datenschutz, dann kam die Datenschutzgrundverordnung, dann war das eigentlich fast 70 Prozent unserer Tätigkeit Datenschutz. Und jetzt geht es wieder so ein bisschen zurück zu IT und natürlich in Bezug auf Technologie auch immer mehr KI. Und die EU-Kommission sagt, es gibt so viel Technologie, dass tatsächlich jetzt, wir merken, da entsteht so ein rechtsfreier Raum. Genau. Wir müssen also eigentlich jetzt so ein bisschen mehr Ordnung reinbringen in das Thema Digital, weil das Thema Digital eben nicht mehr nur am Rande irgendwie ein Behelfsmittel ist, sondern es geht jetzt tatsächlich darum, dass alle Branchen sehr, sehr technologielastig werden. Das heißt, alles wird auf eine Plattform gestellt. Und das Ganze nennt man Digitalstrategie der EU-Kommission. Die hat sich einen Plan gemacht. Und das, was jetzt rauskommt nach einigen Jahren Vorbereitung, ist eine Welle von Verordnungen, die auch deutsche Unternehmen natürlich betreffen, da bin ich unsere Mandanten und Internationale in Europa. Und diese Verordnungen, die greifen jetzt nach und nach. Aber während sie 2022, 2023 noch in der Vorbereitung waren, ist 2024 jetzt so ein bisschen das Jahr, wo sie dann final abgestimmt sind in Brüssel zwischen EU-Parlament, Kommission und EU-Rat. Und deswegen haben wir bei Heuking das ganze EU-Digitalrecht 2024 genannt. Und da tauchen eine ganze Menge Verordnungen auf. Verordnungen haben ja dann sozusagen diese Besonderheit, dass sie sofort greift. Normalerweise, die letzten 20 Jahre lief das auf EU-Ebene eher so, dass die Kommission was vorgeschlagen hat, hat gesagt, wir machen eine Richtlinie und die Richtlinie, die führt dann dazu, dass dann das umgesetzt werden muss, die Verordnung greift sofort.
Marcus
00:03:59
Ganz kurz, ich will nicht unterbrechen, aber nur damit wir auch wissen, worüber wir reden. An wen richtet sich das denn? Oder ist das ein ganz unterschiedlicher Kreis an Adressaten?
Dr. Hans Markus Wulf
00:04:13
Für wen das gilt, würde ich jetzt gleich nochmal vorstellen, in Bezug, wir haben ja nicht so viel Zeit, aber dass ich mal einen Überblick gebe, was sind eigentlich Verordnungen und was sind dann entsprechend die Anwendungsbereiche. Das sind unterschiedliche Bereiche. Wenn ihr wollt, starte ich schon mal so ein bisschen, um euch den Überblick zu geben. Wie gesagt, es sind etwa zehn EU-Verordnungen, die eine Rolle spielen. Und es gibt ehrlich gesagt noch acht weitere Verordnungen und Richtlinien, die eine Rolle spielen, aber die ergänzen dann. Wir fokussieren uns jetzt hier auf die Verordnungen, die tatsächlich unmittelbar für Unternehmen anwendbar sind und Pflichten beinhalten und damit umgesetzt werden müssen. Also ich differenziere mal in vier Bereiche, die eine Rolle spielen.
Marcus
00:04:54
Pflichten bedeutet natürlich auch, und das ist ja vielleicht dann auch wiederum interessant, dass es dann später da auch Bußgelder geben wird oder ähnliches.
Dr. Hans Markus Wulf
00:05:02
Das ist die Systematik.
Marcus
00:05:03
Da kommen wir dann wahrscheinlich auch zu.
Dr. Hans Markus Wulf
00:05:06
Die Systematik ist, dass tatsächlich diese Vorgaben jetzt dafür sorgen, dass das Thema Digitalisierung reguliert wird, dass die Unternehmen sagen, okay, wir können uns da nicht dran vorbeischlenken, sondern wir müssen tatsächlich eigene Umsetzungsmaßnahmen treffen. Und wenn das nicht getroffen wird, dann geht das tatsächlich ins Bußgeld. Und in Bezug auf zwei Regeln im Bereich der IT-Sicherheit geht es sogar so tief, dass die Verordnung auch Vorschriften vorsieht für die Geschäftsleitung. Das gab es in den letzten 40 Jahren nicht. Normalerweise im Bußgeld gibt es das in Deutschland, aber dass tatsächlich die Geschäftsleitung direkt verpflichtet wird, etwas umzusetzen, das ist neu. Das heißt, diese Vorgaben gehen ans Unternehmen und teilweise eben auch an die Geschäftsleitung.
Tim
00:05:45
Die Stoßrichtung oder Zielrichtung ist aber, wenn du von IT-Sicherheit sprichst, ist Datensicherheit am Ende?
Dr. Hans Markus Wulf
00:05:52
Informationssicherheit. Das ist der übergreifende Begriff. Es gibt auch Cybersicherheit, da ist es tatsächlich alles Internet. Aber Informationssicherheit, da geht es darum, wie schützen Unternehmen ihre Informationen, ihre Assets, ihre Werte, damit sie in der Lage sind, weiter zu arbeiten, auch wenn sie angegriffen werden von außen.
Tim
00:06:08
Aber dieser Schutz ist doch ureigenes Interesse eines jeden Wirtschaftsunternehmens. Deswegen nochmal, was ich noch nicht verstanden habe, wo ist dann das Bedürfnis für eine harmonisierte Regelung, wo doch jedes Unternehmen für sich eigentlich das Bestmögliche tun würde, um Informationen zu schützen?
Dr. Hans Markus Wulf
00:06:27
Das ist ein einheitlicher Gesetzesrahmen, der das Ziel ist. Also jedes Unternehmen kann natürlich seine Selbstverpflichtung sagen, ich baue mir ein eigenes Informationssicherheitsmanagementsystem auf und bin sicher in Bezug auf IT-Sicherheit. Kostet aber wahnsinnig viel Geld. Also so eine ISO 27001 umzusetzen, das dauert über ein Jahr. Jeder Prozess, alles muss analysiert werden, alles muss aufbereitet, Risiko bewertet werden. Kostet wahrscheinlich ein Team von zwei, drei Leuten, die abgestellt werden müssen. Das kostet vielleicht mal 200.000 Euro, das machen die nicht freiwillig und jetzt kommt die Kommission und sagt, das müssen wir dann jetzt verpflichtend machen.
Tim
00:06:59
Ja, das heißt es geht vor allen Dingen auch um den Schutz von fremden Informationen, die ich bekomme, habe, dass ich diese, also gegenüber Dritten zum Schutz der Informationen verpflichtet bin, die ich von denen erhalte.
Dr. Hans Markus Wulf
00:07:12
Unter anderem. Auch Kundendaten, die ich habe. Das geht dann eher so in Richtung Datenschutz. Datenschutz ist noch ein anderes Thema. Diese ganzen Vorgaben, die laufen parallel zu DSGVO, diese neuen Verordnungen. Es geht um Informationssicherheit, also um die eigenen Assets, um die eigenen Werte. Es geht um eigene Technologien, es geht um eigene IP-Werte, es geht aber auch um normale Prozesse, die dann etabliert sind, die aber das Unternehmen ausmachen.
Tim
00:07:36
Okay.
Dr. Hans Markus Wulf
00:07:37
Okay. Vielleicht starte ich mal kurz durch, wir haben ja nicht so viel Zeit.
Marcus
00:07:40
Kleiner Überblick über die verschiedenen Verordnungen.
Dr. Hans Markus Wulf
00:07:41
Genau, im Überblick, was passiert eigentlich, was passiert in den nächsten zwei, drei Jahren in Europa in Bezug auf Digitalrecht, worauf müssen sich Unternehmen einstellen? Erster Bereich ist künstliche Intelligenz. Da gibt es jetzt seit 2021, gibt es eigentlich schon einen Entwurf von der EU-Kommission, das wurde dann diskutiert und diskutiert und gab es natürlich die Vorlage an die EU-Parlament, dann gab es irgendwann im 2022, gab es dann irgendwann die Eilführung von Chachibiti, das wurde dann nochmal diskutiert. Groß angestoßen, wie kann das funktionieren, dass wir jetzt auch KI-Modelle einbinden und es ist dann tatsächlich, der große Durchbruch war dann im Dezember 2023. Da haben sich die dann im Trilog geeinigt in Brüssel und dann ist es jetzt sozusagen die letzten vier Monate in Brüssel so gelaufen, dass dann die Feinabstimmung erfolgte und die Verordnung ist eigentlich jetzt da. Die wird jetzt jederzeit unterzeichnet und dementsprechend ist die KI-Verordnung jetzt die erste Verordnung, die eigentlich jetzt durchkommt. Aber die eine Übergangsfrist hat von zwei Jahren. Deswegen sind die Unternehmen momentan zwar bewusst, dass sie da was machen wollen, aber die KI-Verordnung regelt halt jetzt sehr, sehr streng und sehr, sehr klar und als erste Verordnung eigentlich das Thema KI. Also KI ist ein Thema, was jetzt losliegt.
Marcus
00:08:54
Okay, das ist das erste.
Dr. Hans Markus Wulf
00:08:56
Zweites Thema ist das Thema IT-Sicherheit, Informationssicherheit. Da gibt es jetzt eine NIS-2-Richtlinie, die schon längere Zeit in Kraft, die umgesetzt werden muss. Die soll jetzt umgesetzt werden, so Mitte Oktober 2024.
Tim
00:09:09
NIS-2 heißt sie, ne? NIS-2, sagst du.
Dr. Hans Markus Wulf
00:09:13
NIS-2, Network Information Security. Da gibt es schon eine erste vor ein paar Jahren, das ist tatsächlich das IT-Sicherheitsgesetz von damals, das ist sozusagen das zweite Level. Und das ist das Nächste. Wenn wir also gucken in die Zukunft, was passiert für Unternehmen hier in Europa, was müssen die umsetzen? NIS II im Oktober. Ob das im Oktober kommt, in Deutschland umgesetzt wird, ist noch offen, weil wir sind momentan noch nicht ganz einig. Die letzte Fassung des Entwurfs ist tatsächlich jetzt erst im Juni rausgekommen. Der 24. Juni. So, also NIS II ist ein Thema Informationssicherheit. Das zweite Thema ist DORA-Verordnung, Digital Operational Resilience Act.
Marcus
00:09:46
Das ist das dritte Thema, ne? Wir hatten jetzt KI.
Dr. Hans Markus Wulf
00:09:48
Ne, das ist das zweite Thema in der IT-Sicherheit. Das erste Thema war AI, das zweite ist eine Informationssicherheit. Das zweite Thema innerhalb der Informationssicherheit ist Digital Operational Resilience Act. Die DORA-Verordnung zielt auf die Finanzbranche, das heißt die Banken, Versicherungen, Investmenthäuser müssen sich IT-sicherheitsmäßig neu aufstellen. Das heißt, die haben jetzt schon relativ strenge Vorgaben, müssen dann aber nochmal aufs nächste Level. Das heißt, es ändert sich relativ viel diesbezüglich. Muss umgesetzt werden, gibt es schon längere Zeit, muss umgesetzt werden bis Januar 2025. Bedeutet, Finanzunternehmen sind jetzt schon seit eineinhalb Jahren wahnsinnig dabei. Das ist ein Schwerpunktthema, natürlich in der Finanzbranche, DORA. Und was auch noch eine Rolle spielt, ist das Thema Produktsicherheit. Da gibt es jetzt Cyber Resilience Act, das stellt aus meiner Sicht das Thema Produktsicherheit auf völlig neue Beine, völlig neues Risikomanagementsystem, das eingeführt werden muss. Was jetzt auch kommen dürfte im Juli, ich denke so Mitte Juli wird das wahrscheinlich dann veröffentlicht und dann läuft eine Übergangsfrist, hat aber eine Umsetzungsfrist von drei Jahren.
Marcus
00:10:48
Also Juni 27 erst.
Dr. Hans Markus Wulf
00:10:50
Genau. Das bedeutet, dass aber alle Produkte, die in irgendeiner Weise Software integrieren, müssen komplett neu aufgestellt werden. Da muss rausgeguckt werden, was haben wir eigentlich für einzelne Tools darüber, wo sind die Schadsoftware, Datenbanken, damit wir wissen, wo sind Schwachstellen und so weiter. Also das wird ein riesengroßer Aufwand. Dann gibt es eine Produktsicherheitsverordnung, die jetzt auch greift zum Ende dieses Jahres und gibt es eine neue Maschinenverordnung aus der EU. Also im Bereich Produktsicherheit passiert auch ganz viel, aber für uns in der Beratung Schwerpunkt momentan NIS 2, danach DORA-Verordnung und dann Cyber Resilience Act.
Marcus
00:11:24
Du hattest uns nochmal was vom Data Act erzählt, oder?
Dr. Hans Markus Wulf
00:11:27
Genau, das wäre vielleicht der dritte Bereich, der die Digitalstrategie will, dass die Datenbestände aufgebrochen werden. Das heißt, die Kommission merkt, dass ganz viele große Player, auch die US-Hyperscaler, dass die wahnsinnig viele Daten horten, aber nicht freigeben. Es gibt ein Datenschutz- und Auskunftsrecht, man kann also seine eigenen Nutzerdaten rausverlangen, aber eben nicht die sonstigen, also nicht personenbezogenen. Und der Data Act, der bricht das auf. Der sagt, jeder Nutzer kann seine Daten rausverlangen, egal ob das jetzt meine Personenbeziehungen sind oder nicht. Bitte rausgeben und gibt noch eine Möglichkeit, diese Daten weiterzugeben an ein Unternehmen, das damit Geschäft machen kann. Und damit kommen die natürlich in Zukunft an die Nutzer ran und sagen, gib mir mal die ganzen Daten raus. Ich mache damit Geschäft und vielleicht wirst du auch ein bisschen beteiligt. Das heißt, diese großen Datenbestände werden aufgebrochen. Das ist diese Herausgabe von Daten, die eigentlich nicht herausgegeben werden wollen von den Unternehmen. Das ist der Data Act.
Marcus
00:12:20
Gut, also ich glaube, wir haben erstmal einen guten Überblick bekommen, obwohl ich relativ….
Dr. Hans Markus Wulf
00:12:25
Das sind nur drei von vier.
Marcus
00:12:26
Jaja, ich habe ja auch viele Fragezeichen jetzt schon im Kopf, deshalb denke ich, dass wir das vertiefen sollten, Tim.
Tim
00:12:33
Das sollten wir auf jeden Fall vertiefen. Vielleicht sollte Markus noch den vierten Punkt einmal hinterherwerfen. Die Zeit sollten wir uns nehmen.
Dr. Hans Markus Wulf
00:12:39
Zwei Minuten.
Marcus
00:12:40
Wir sind aber bei recht kurz.
Tim
00:12:42
Ja, wir sind da recht kurz. Und dann werden wir nämlich diese vier Themen auf vier Einzelfolgen verteilen und euch nachliefern, sobald es eben geht. Aber nochmal kurz zu dir, Markus.
Dr. Hans Markus Wulf
00:12:54
Also nochmal erstens Künstliche Intelligenz, zweitens Informationssicherheit, Datenrecht und vierter Bereich ist Online-Dienste, Online-Services. Jedes Unternehmen, das eine Plattform betreibt, muss schon seit Februar den Digital Services Act beachten. Viele denken, das sind nur die großen Hyperscaler, in Wirklichkeit sind es alle Hosting-Unternehmen in Deutschland, die irgendwie eine Plattform für ihre Nutzer bereitstellen. Und mit dem Digital Services Act kommen noch eine ganze Menge andere Verordnungen, zum Beispiel den Digitalen Dienstegesetz, die Umsetzung in Deutschland, dann gibt es die E-Evidenz-Verordnung, kennt kein Unternehmen bisher, verpflichtet aber bei allen Online-Diensten, ihre Nutzerdaten innerhalb von acht Stunden rausgeben zu können gegenüber den Strafvermittlungsbehörden. Das haben wir jetzt auch in der Veranstaltung bei uns hier im Hause, 11. Juli, zu dieser E-Evidenz-Verordnung. Und dann haben wir noch eine P2B-Verordnung, letzte Verordnung für heute, das geht zum Platform to Business. Jeder Plattformbetreiber, der anderen Unternehmen die Möglichkeit gibt, Geschäft über die Plattform zu machen, ist nach dieser Verordnung, die ist schon zwei Jahre oder drei Jahre alt, muss sozusagen seine gesamten AGBs und Nutzungsbedingungen abändern. Weiß auch keiner. Also es gibt ganz, ganz viel Graubereich und wir decken das nach und nach auf und geben Hinweise, wie man das am besten und am schnellsten umsetzt.
Marcus
00:14:05
Ja prima.
Tim
00:14:06
Das machen wir in den nächsten Folgen. Ganz herzlichen Dank Markus für den Überblick. Dir auch Markus.
Marcus
00:14:11
Ja und dir Tim.
Tim
00:14:14
Wir hören uns beim nächsten Mal. Vielen Dank fürs Zuhören. Tschüss, macht's gut.
Marcus
00:14:18
Ciao.

2024 - Dr. Marcus Georg Tischler & Tim Petermann