Newsletter Technologie & Kommunikation Ausgabe 6 - 2024

Liebe Leser:innen,

Das verfrühte Ende der Regierungskoalition hat im letzten Monat für Aufruhr gesorgt. Im Gesetzgebungsverfahren hängen derzeit noch einige Vorhaben, wie etwa die Umsetzung von NIS2- und CER-Richtlinie, ein kürzlich veröffentlichter Entwurf einer Vorratsdatenspeicherung sowie eine Reform des Beschäftigtendatenschutzes. Für letzteres Vorhaben bestehen wohl keine großen Chancen mehr, andere werden weiterhin in den Gremien diskutiert. Welche Gesetze das Rennen noch beenden, wird sich endgültig im neuen Jahr klären.  

Bis dahin wünschen wir Ihnen besinnliche Feiertage und einen guten Rutsch ins neue Jahr. 

Nachrichten

Entwurf einer Vorratsdatenspeicherung von IP-Adressen 

Der Bundesrat hat am 13.11.2024 einen Entwurf zur Einführung einer Vorratsdatenspeicherung von IP-Adressen veröffentlicht und dem Bundestag übersandt. Der Entwurf sieht eine anlasslose, einmonatige Speicherung von IP-Adressen und Port-Nummern zum Zwecke der Bekämpfung schwerer Kriminalität vor. Der Kreis der Verpflichteten soll auf Anbieter öffentlich zugänglicher Internetzugangsdienste beschränkt sein. Der Bundestag hat am 5.12. erstmals über den Entwurf beraten und ihn dem Rechtsausschuss überwiesen. 

Weitere Informationen finden Sie auf bundestag.de.

Neuer Entwurf für ein NIS2-Umsetzunsgesetz

Anfang Dezember hat sich der federführende Innenausschuss des Bundestags auf einen Gesetzesentwurf zur Umsetzung der NIS2-Richtlinie geeinigt. Das Artikelgesetz enthält insbesondere eine Neufassung des BSI-Gesetzes, welches die Befugnisse des Bundesamts für Sicherheit in der Informationstechnologie (BSI) sowie IT-Sicherheitspflichten für wichtige und besonders wichtige Einrichtungen regelt. In der neuen Entwurfsfassung soll unter anderem die Anzeigepflicht für kritische Komponenten entfallen und durch eine aktive Untersagungsbefugnis des Bundesinnenministeriums und Mitwirkungspflichten der Betreiber ersetzt. Als nächster Schritt folgt die 2. Beratung im Bundestag. Parallel dazu hat der Bundestag zum Gesetz zur Umsetzung der CER-Richtlinie (KRITIS-Dachgesetz) erstmals beraten und das Verfahren an die zuständigen Ausschüsse überwiesen. 

Weitere Informationen finden Sie auf Tagesspiegel.de (paywall).

Neue Orientierungshilfe der DSK zu digitalen Diensten

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) hat eine neue Orientierungshilfe zu digitalen Diensten veröffentlicht. Damit wurde die „Orientierungshilfe Telemedien“ von 2021 an die letzten Gesetzesänderungen angepasst, insbesondere an das Inkrafttreten des „Digital Services Act“ und des „Digitale-Dienste-Gesetzes“. Im Wesentlichen beschränkt sich die Neufassung aber auf redaktionelle Änderungen. 

Die Orientierungshilfe finden Sie auf der Website der Datenschutzkonferenz.

Gesetzesentwurf zur Nutzung von Mobilitätsdaten in den Bundestag eingebracht

Die Bundesregierung hat am 27.11.2024 einen Entwurf eines Mobilitätsdatengesetzes an den Bundestag übersandt. Dieses Gesetz soll für eine bessere Verfügbarkeit von Straßenverkehrsdaten über einen nationalen Zugangspunkt sorgen. Damit sollen insbesondere das Angebot multimodaler Reiseinformationsdienste und Echtzeit-Verkehrsinformationsdienste gefördert werden. Der Bundesrat hat am 22.11.2024 bereits eine Stellungnahme zum Gesetzesentwurf beschlossen. Der Bundestag hat den Entwurf am 05.12.2024 beraten und an die Ausschüsse überwiesen.

Weitere Informationen finden Sie auf Bundestag.de. 

EDSA veröffentlich finale Richtlinien zu Art. 5 Abs. 3 ePrivacy-RL 

Der Europäische Datenschutzausschuss (EDSA) hat am 7.10.2024 seine Endfassung der Leitlinien 2/2023 über den technischen Anwendungsbereich des Art. 5 Abs. 3 ePrivacy-RL veröffentlicht. Darin bezieht der EDSA Stellung zur Auslegung einiger Begriffsbestimmungen, insbesondere der Information, des Zugriffs und der Speicherung i.S.d. Art. 5 Abs. 3 ePrivacy-RL. Darüber hinaus nennt der EDSA einige Praxisbeispiele. 

Die Leitlinien finden Sie in englischer Sprache auf der Website des EDSA. 

EDSA eröffnet Konsultation zu Richtlinien über Art. 6 Abs. 1 lit. f DSGVO 

Der EDSA hat am 9.10.2024 eine Konsultationsfassung für Leitlinien zur Auslegung des Art. 6 Abs. 1 lit. f DSGVO veröffentlicht. Darin bezieht der EDSA ausführlich Stellung zu den Voraussetzungen einer rechtmäßigen Verarbeitung personenbezogener Daten zur Verfolgung berechtigter Interessen. Die Konsultationsphase lief bis zum 20.11.2024. 

Weitere Informationen finden Sie auf der Website des EDSA. 

EDSA veröffentlicht Stellungnahme zur Haftung des Verantwortlichen für Auftragsverarbeiter 

Der EDSA hat am 7.10.2024 eine Stellungnahme zu den Pflichten des Verantwortlichen in Bezug auf Auftrags- und Unterauftragsverarbeiter veröffentlicht. Darin vertritt der EDSA die Auffassung, dass ein Verantwortlicher die Identität aller Unterauftragsverarbeiter entlang der Verarbeitungskette kennen solle, wenn er einem Auftragsverarbeiter seinerseits die Hinzuziehung von Auftragsverarbeitern erlaube. Des Weiteren solle der Verantwortliche dazu imstande sein, die Einhaltung datenschutzrechtlicher Garantien durch (Unter-)Auftragsverarbeiter sicherzustellen und zu dokumentieren. 

Die Stellungnahme finden Sie auf der Website des EDSA. 

Events

IT LawCamp - Das Barcamp zu IT & Recht 

Save the Date für das 13. IT LawCamp am 4. April 2025!

Wir kommen 2025 wieder zusammen, um direkt, kreativ und offen über aktuelle Rechtsfragen der Digitalisierung zu sprechen.

Was erwartet Sie?

• Themenvielfalt: Ob Data Act oder KI-Verordnung, IT- und Cybersicherheit oder Datenschutzrecht – alle aktuellen Themen der Digitalisierung stehen im Fokus.
• Spannende Vorträge von hochkarätigen Sprechern sind bereits angekündigt. Darunter sind Vertreter:innen von ABB, der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, der Deutschen Bahn, Deposix und Google.
• Interaktive Sessions: Der genaue Ablauf, einschließlich weiterer Beiträge der Teilnehmer:innen, wird erst am Tag des IT LawCamps in der Morning Session finalisiert, sodass Sie das Programm aktiv mitgestalten können.

Wann?          04.04.2025, 09:00 - 17:30 Uhr

Wo?              memox.world, Taunusanlage 9-10, 60329 Frankfurt a. M.

Anmeldung

Veröffentlichungen und Vorträge

Simon Assion zur Europäischen Cyber-Gesetzgebung  

Unser Partner Dr. Simon Assion hat sich im Editorial der aktuellen Ausgabe der Zeitschrift „Künstliche Intelligenz und Recht“ zu der allgemeinen EU-Gesetzgebungssituation im digitalen Bereich geäußert. Er setzt sich dabei insbesondere mit dem Verhältnis von Innovation und Regulierung in Deutschland und der EU auseinander.  [KIR 2024, 113]

Nadja Rabeneck zum Zugang zu Gerichtsentscheidungen

Unsere Associate Nadja Rabeneck hat sich gemeinsam mit Dr. Michael A. Fammler in der Zeitschrift „Zugang und Recht“ mit der freien Zugänglichkeit von Gerichtsurteilen auseinandergesetzt. Die Autor:innen beleuchten insbesondere das Verhältnis zwischen dem Leistungsschutzrecht bezüglich Entscheidungsdatenbanken einerseits und der im öffentlichen Interesse liegenden Gemeinfreiheit amtlicher Werke andererseits. [RuZ 2024, 83]

Neu auf unserer Website

Schwerpunkte der Legal Due Diligence bei KI-Unternehmen: Risiken und Compliance richtig bewerten 

Legal Due Diligence bei KI-Unternehmen wird für Investoren immer wichtiger, da der Markt für KI-Technologien boomt. Der Hype um künstliche Intelligenz bringt nicht nur Chancen, sondern auch erhebliche rechtliche Risiken und Compliance-Anforderungen mit sich.

Unsere Experten Dr. Marc Seeger, Dr. Nils Lölfing, Oliver Belitz und Dr. Simon Hembt, Teil unserer marktführenden Tech & Comms-Sektorgruppe, beleuchten in ihrem Beitrag für die Fachzeitschrift M&A Review die wichtigsten rechtlichen Fragestellungen, die Käufer vor dem Erwerb eines KI-Unternehmens berücksichtigen sollten.

Weiterlesen

DORA: Finale Fassungen der ausstehenden RTS-Entwürfe veröffentlicht 

Weniger als ein halbes Jahr vor dem Inkrafttreten des DORA am 17. Januar 2025 sind die verbleibenden endgültigen RTS-Entwürfe im dritten Quartal veröffentlicht worden und ermöglichen die weitere Vorbereitung zur Implementierung der bald standardisierten Cybersicherheitsgesetzgebung. Am 17. und 26. Juli 2024 hat der Gemeinsame Ausschuss (Joint Committee - JC) der drei Europäischen Aufsichtsbehörden (European Supervisory Authorities - ESAs) gemeinsame Berichte u.a. über die fertiggestellten Entwürfe der letzten ausstehenden technischen Regulierungsstandards (RTS) gemäß der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act - DORA) veröffentlicht. 

Weiterlesen

Neuer Entwurf eines Beschäftigtendatenschutzgesetzes – Was Unternehmen jetzt wissen müssen 

Am 8. Oktober 2024 haben das Bundesarbeitsministerium und das Bundesinnenministerium überraschend den Referentenentwurf eines neuen Beschäftigtendatengesetzes („BeschDG-E“) vorgelegt. Dieses Gesetz soll für mehr Rechtsklarheit im Bereich des Beschäftigtendatenschutzes sorgen, nachdem einige grundlegende Gerichtsentscheidungen zu erheblicher Unsicherheit geführt haben. Doch eine erste Analyse zeigt, dass der Entwurf in vielen Bereichen eher neue Unsicherheiten schafft, anstatt bestehende Probleme zu lösen. 

Weiterlesen

Weiterleitung Geschäftlicher E-Mails an privaten Account: Klarer Verstoß gegen DSGVO  

Das Oberlandesgericht München entschied mit Urteil vom 31. Juli 2024, dass die Weiterleitung geschäftlicher E-Mails an einen privaten E-Mail-Account gegen die Datenschutz-Grundverordnung (DSGVO) verstößt und eine außerordentliche Kündigung rechtfertigen kann. 

Weiterlesen

ENISA Implementing Guidance on NIS2 security measures - draft for consultation 

On 7 November 2024, the day when the Implementing Regulation came into force, ENISA published the consultation draft of a 155-pages-long Implementing Guidance, offering non-binding guidance to support relevant entities with implementing these technical and methodological requirements. This in line with the Recital 7 of the NIS2 Directive according to which ENISA can support relevant entities with guidance on the implementation of the technical and methodological requirements referred to in the Implementing Regulation’s Annex. 

Weiterlesen

Cyber Resilience Act: A New Chapter in EU Cybersecurity Regulation 

The Cyber Resilience Act (CRA) was officially published in the Official Journal of the European Union on 20 November 2024, marking a key milestone in Europe’s cybersecurity framework. The Regulation will come into force on 10 December 2024, with its main provisions expected to take effect in late 2027. Reporting obligations for manufacturers will apply from 11 September 2026. 

Weiterlesen