Digitalisierungsstrategie der EU

Die neuen Rechtsakte der EU zum Thema Digitalisierung sind ob Ihrer Zahl schier unüberblickbar. In diesem Beitrag fassen wir daher für Sie all die Neuerungen zusammen, die Sie im Zuge der Datenstrategie der Europäischen Union erwarten und informieren Sie über jene Neuerungen, die die Europäische Kommission mit ihrem „Arbeitsprogramm 2025“ bekannt gab:

KI-Verordnung (AI-Act): Zwar schon vergangenen August in Kraft getreten, sieht die Verordnung eine schrittweise Ausrollung der Pflichten vor. So sind seit 2.2.2025 die Regelungen zu verbotenem KI-Einsatz und verpflichtender KI-Kompetenz einzuhalten, während die nächsten Verpflichtungen „erst“ im August 2025 in Geltung treten. Auch sollen ab Mai 2025 Praxisleitfäden des KI-Büros (European AI Office) zur Verfügung stehen.

Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Data Act): Dateninhaber treffen ab 12.9.2025 neue Pflichten betreffend den Zugang zu sowie die Nutzung und die Bereitstellung von Produkt- und verbundenen Dienstdaten. In weiterer Folge sind Hersteller von vernetzten Produkten und Anbieter verbundener Dienste verpflichtet, ihre vernetzten Produkte so zu konzipieren und herzustellen, dass die Daten einfach und direkt zugänglich sind. Der Data Act regelt überdies den Wechsel zwischen Cloud-Diensten. Lesen Sie dazu auch gerne unseren Fachbeitrag in Heft 5/2024 der Zeitschrift „Datenschutz konkret“ (Rainer Knyrim / Stephanie Briegl, Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act)) sowie unsere neue Sonderausgabe zum Data Act im MANZ Verlag (siehe Beitrag „Publikationen“ in diesem Newsletter).

Verordnung über einen Binnenmarkt für digitale Dienste (Digital Services Act): Die Verordnung ist seit vergangenem Februar voll in Geltung; dieses Jahr beginnt die Evaluierungsphase der Europäischen Kommission, die bis Ende 2027 dauern wird. Für Sie ergeben sich daraus vorerst keine Änderungen.

Verordnung über europäische Daten-Governance (Data Governance Act): Diese Verordnung zielt darauf ab, die Weiterverwendung öffentlicher und geschützter Daten zu regeln, indem der Datenaustausch durch die Regulierung neuartiger Datenvermittlungsdienste und der Austausch von Daten für altruistische Zwecke gefördert wird. Anbieter, die bereits vor dem Ingeltungtreten Ende 2023 Vermittlungsdienste erbracht haben, haben noch bis September 2025 Zeit, die Pflichten umzusetzen.

NIS-2-Richtlinie: Unternehmen in kritischen Sektoren werden durch diesen Rechtsakt verpflichtet, ihre Resilienz gegen Cyberangriffe zu stärken. Zwar hätte die Richtlinie bis Oktober 2024 in nationales Recht umgesetzt werden sollen, dies geschah allerdings noch nicht. Es wird damit gerechnet, dass ein Umsetzungsgesetz 2025 beschlossen wird.

Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act): Diese Verordnung, die seit Jänner 2025 in Geltung ist, enthält spezifischere Anforderungen an Finanzunternehmen zur Cybersicherheit.

Cyberresilienz-Verordnung (Cyber Resilience Act): Um die Cybersicherheit von Produkten mit digitalen Elementen während des gesamten Lebenszyklus zu stärken, ergänzt diese Verordnung die vorgenannten und richtet sich vor allem auch an Softwarehersteller. Die ersten Verpflichtungen werden ab Juni 2026 zur Anwendung gelangen.

Produktsicherheitsverordnung: Sie ist seit Dezember 2024 anwendbar und gilt für alle Verbraucherprodukte. Die VO ersetzt die Produktsicherheits-RL aus 2001 und enthält Weiterentwicklungen in Bezug auf „smarte“ Produkte. Zudem sind Risikoanalysen durchzuführen und es besteht eine Meldepflicht bei Unfällen.

Produkthaftungsrichtlinie: Ebenfalls seit Dezember 2024 gelten neue Haftungsbestimmungen für Produkte, deren integrierte Software oder eigenständige Software nicht berechtigten Sicherheitserwartungen der Allgemeinheit entsprechen.

Verordnung über den europäischen Raum für Gesundheitsdaten (European Health Data Space, „EHDS“): Am 5.3.2025 wurde die Verordnung zum EHDS im Amtsblatt der Europäischen Union veröffentlicht und wird, mit Ausnahme bestimmter Artikel, für die längere Fristen vorgesehen sind, am 26.3.2027 in Geltung treten. Geregelt wird darin die Nutzung und das Bereitstellen von Gesundheitsdaten. Ziel ist einerseits, dass Patienten (auch grenzüberschreitendend) besseren Zugang zu ihren Akten erlangen, und andererseits, durch die verpflichtende Weitergabe von Gesundheitsdaten die Entwicklung innovativer Behandlungen und die EU-weite Forschung mit Gesundheitsdaten zu fördern.

Richtlinie über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen (European Accessibility Act): Für bestimmte Produkte und Dienstleistungen, die nach dem 28.6.2025 in Verkehr gebracht werden, gelten neue verpflichtende Barrierefreiheitsanforderungen. Die Richtlinie wurde in Österreich durch ein eigenes Barrierefreiheitsgesetz umgesetzt.

Europäisches Medienfreiheitsgesetz (European Media Freedom Act): Um die Unabhängigkeit von Medienanbietern weiter zu stärken, gelten ab August 2025 neue Offenlegungspflichten betreffend die Eigentümerstruktur von Medienhäusern und es sind Maßnahmen zu ergreifen, um die redaktionelle Unabhängigkeit zu sichern.

Verordnung über die Transparenz und das Targeting politischer Werbung: Ab Oktober 2025 gelten neue Pflichten zur Kennzeichnung von politischer Werbung sowie Offenlegung von Informationen zu Targeting und Finanzierung.

Zurückgezogen wurden hingegen diese beiden Vorhaben:

KI-Haftungsrichtlinie: Aus dem Arbeitsprogramm 2025 der Europäischen Kommission geht hervor, dass der Entwurf zur KI-Haftungsrichtline aufgrund der Nichtabsehbarkeit einer politischen Einigung zurückgezogen wird.

ePrivacy-Verordnung: Dieser aus 2017 datierende Entwurf wird von der Kommission ebenfalls zurückgezogen. Er galt aufgrund des überlangen Gesetzgebungsprozesses, in dem die inhaltlichen Positionen über viele Jahre weit auseinanderlagen, bereits als technologisch wie auch legistisch veraltet. Es ist daher zu erwarten, dass die Regeln der ePrivacy-RL aus dem Jahr 2002 auch die nächsten Jahre weitergelten werden, insbesondere die Regeln zum Spam- und Cold-Calling-Verbot und die Ausnahmen vom Spamverbot, die in § 174 TKG umgesetzt sind.