Das Jahr 2025 bringt bedeutende Veränderungen im IT-Recht sowohl auf EU- als auch auf nationaler Ebene mit sich. Inmitten der rasanten technologischen Entwicklungen zwingen neue Regelungen und Gesetze Unternehmen und Behörden dazu, ihre Systeme anzupassen und neue Standards zu implementieren. Im Zentrum stehen hierbei die Regulierung von Künstlicher Intelligenz (KI), Datenschutz, Exportkontrollen für Technologien und die Sicherheit digitaler Systeme.
KI-Regulierung in Etappen
Die geplante Regulierung von Künstlicher Intelligenz (KI) wird schrittweise eingeführt, um sicherzustellen, dass technologische Innovationen nicht gehemmt, sondern sicher und nachvollziehbar gestaltet werden.
Einführung des AI Act
Der AI Act der Europäischen Union, der bereits zum 1. August 2024 in Kraft getreten ist, markiert einen bedeutenden Meilenstein in der Regulierung von Künstlicher Intelligenz. Diese Vorschrift sieht ein stufenweises Inkrafttreten verschiedener Vorgaben vor, die darauf abzielen, die KI-Nutzung innerhalb der EU sicherer und transparenter zu gestalten. Künstliche Intelligenz hat das Potenzial, unser Leben grundlegend zu verändern, was sie jedoch auch anfällig für Fehlentwicklungen und Missbrauch macht. Ab dem 2. Februar 2025 werden daher bestimmte KI-Systeme, die als besonders risikoreich gelten, verboten.
Verbotene KI-Systeme
Verbotene KI-Systeme umfassen unter anderem Technologien zur manipulativen Verhaltenssteuerung, soziale Bewertungssysteme und Gesichtserkennungsdatenbanken. Diese Technologien bergen hohe Risiken für die Privatsphäre und die grundsätzlichen Bürgerrechte. Verstöße gegen diese Verbote können daher zu erheblichen Bußgeldern führen, um sicherzustellen, dass gesetzliche Vorgaben strikt eingehalten werden. Eine besondere Herausforderung für Unternehmen und Entwickler besteht darin, ihre bestehenden Systeme an die neuen Anforderungen anzupassen oder alternative Technologien zu entwickeln, die diesen Vorschriften entsprechen.
Delegierte Rechtsakte und Verhaltenskodex
Die dynamische Natur des AI Act bringt mit sich, dass viele Bestimmungen erst im Laufe der Zeit durch sogenannte delegierte Rechtsakte detailliert ausgestaltet werden. Dies ermöglicht eine flexible Anpassung der Regulierungen an technologische und gesellschaftliche Entwicklungen. Ein weiterer zentraler Bestandteil ist der Verhaltenskodex, der bis zum 2. Mai 2025 veröffentlicht werden soll. Dieser Kodex dient als Leitfaden für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck und soll helfen, die Einhaltung der gesetzlichen Anforderungen zu gewährleisten. Diese umfassenden Vorschriften erfordern von Anbietern ein hohes Maß an technischer und rechtlicher Expertise.
Technische Dokumentation und Integrationsvorgaben
Ab dem 2. August 2025 treten die detaillierten technischen Dokumentations- und Integrationsvorgaben für KI-Modelle in Kraft. Dies bedeutet für Anbieter von KI-Systemen, dass sie umfangreiche technische Dokumentationen ihrer Systeme erstellen und diese an die gesetzlichen Vorgaben anpassen müssen. Diese Dokumentationen sollen Transparenz schaffen und sicherstellen, dass die Systeme sicher und zuverlässig funktionieren. Für Unternehmen und Entwickler bedeutet dies einen erheblichen Mehraufwand, der jedoch notwendig ist, um das Vertrauen in die KI-Technologie weiter zu stärken.
Transparente und risikofreie Nutzung von KI
Vorbereitung auf strengere Vorgaben
Anbieter von KI-Systemen sind angehalten, sich auf die ab dem 2. August 2026 geltenden strengeren Vorgaben vorzubereiten. Diese neuen Vorgaben betreffen insbesondere die Kategorie der Hochrisiko-KI-Systeme, die eine Vielzahl von Anwendungsfällen innerhalb von Unternehmen und Behörden umfasst. Unternehmen müssen jetzt proaktive Maßnahmen ergreifen, um sicherzustellen, dass ihre Systeme den zukünftigen rechtlichen Anforderungen entsprechen. Dazu gehört auch die Bewertung und gegebenenfalls Anpassung bestehender Systeme, um sie in Einklang mit den neuen Regularien zu bringen.
Hochrisiko-KI-Systeme
Viele bestehende KI-Anwendungen werden voraussichtlich unter die regulierte Kategorie der Hochrisiko-KI-Systeme fallen. Diese Systeme sind deshalb besonders reguliert, weil ihre Fehlfunktionen erhebliche Schäden verursachen können, etwa bei der medizinischen Diagnose oder in sicherheitsrelevanten Bereichen. Unternehmen und Behörden müssen deshalb ihre Sicherheitssysteme und Prozesse überprüfen und anpassen, um Konformität zu gewährleisten. Dies erfordert oft bedeutende Investitionen in neue Technologien und die Weiterbildung von Mitarbeitenden.
Datenschutz und Exportkontrollen
Die Einhaltung des Datenschutzes und die Kontrolle von Exporten sind von entscheidender Bedeutung in der heutigen globalisierten Welt. Unternehmen müssen sicherstellen, dass sie die Datenschutzgesetze einhalten und gleichzeitig die Exportkontrollen beachten, um regulatorische Anforderungen zu erfüllen und Risiken zu minimieren.
Diskussionen über Exportkontrollen
Derzeit laufen intensive Diskussionen und mögliche Verschärfungen der Exportkontrolle für KI-Technologien. Vor dem Hintergrund eines zunehmend intensiven technologischen Wettbewerbs mit China erwägen beispielsweise die USA unter der Führung der Trump-Regierung strengere Ausfuhrkontrollen. Diese Maßnahmen zielen darauf ab, den Technologietransfer in Länder mit geringeren Datenschutzstandards zu kontrollieren und die nationalen Sicherheitsinteressen zu schützen. Die europäischen Länder beobachten diese Entwicklungen genau und erwägen ähnliche Schritte.
Anpassungen auf EU-Ebene
Auf EU-Ebene sollen ebenfalls entsprechende Regelungen überprüft und gegebenenfalls angepasst werden. Besonders im Fokus stehen dabei der Datenschutz und die Exportkontrollen von KI-Technologien. Die EU-Kommission arbeitet an Vorschlägen, um die bestehenden Regelungen zu verschärfen und somit die Sicherheit und den Schutz der Daten der EU-Bürger zu gewährleisten. Dies umfasst nicht nur Technologien, die direkt mit Künstlicher Intelligenz verbunden sind, sondern auch alle relevanten Datenverarbeitungssysteme und -prozesse.
Förderung der Datennutzung
Einführung des Data Act
Der Data Act, der ab dem 12. September 2025 wirksam wird, markiert einen weiteren zentralen Schritt im europäischen Datenrecht. Er umfasst zahlreiche Regelungen zur Förderung einer intensiveren und effektiveren Datennutzung, die letztendlich einen EU-Binnenmarkt für Daten schaffen soll. Diese Regelungen adressieren die Herausforderungen und Hindernisse, die derzeit einer optimalen Datennutzung im Wege stehen, und sollen sicherstellen, dass Daten zwischen Unternehmen und Verbrauchern sowie zwischen Unternehmen untereinander effektiver geteilt und genutzt werden können.
Regelungen zum Datenzugang
Ein zentrales Ziel des Data Act ist es, den Zugang zu Daten zu erleichtern und fairer zu gestalten. Dazu gehören Regelungen zum Datenzugang und zur Datennutzung, die einen klaren rechtlichen Rahmen schaffen. Unternehmen sollen technische Designpflichten erfüllen und eingeschränkte Vertragsklauseln für Hersteller vernetzter Produkte einführen, um einen fairen Zugang zu Daten zu gewährleisten. Diese Maßnahmen sollen nicht nur die Innovation fördern, sondern auch die Marktchancen für kleine und mittelständische Unternehmen verbessern und insgesamt zu einem wettbewerbsfähigeren Umfeld beitragen.
Sicherheit und Stabilität im Finanzsektor
Einführung des DORA
Ein weiteres wichtiges Regulierungsvorhaben ist der Digital Operational Resilience Act (DORA), der am 16. Januar 2025 in Kraft tritt. DORA zielt darauf ab, die Betriebsstabilität digitaler Systeme im Finanzsektor zu gewährleisten. Angesichts der immer komplexeren und vernetzten Natur digitaler Finanzsysteme ist es entscheidend, robuste Mechanismen für deren Sicherheit und Betriebsfähigkeit zu etablieren. Dies umfasst Maßnahmen zur Prävention, Detektion und Reaktion auf Cyberangriffe sowie zur Sicherstellung der Kontinuität kritischer Finanzdienstleistungen im Falle von Betriebsstörungen.
Stärkung der Finanzmärkte
DORA soll die europäischen Finanzmärkte gegenüber Cyberrisiken stärken, indem es umfassende Maßnahmen und Vorgaben einführt, die die Resilienz der digitalen Infrastrukturen erhöhen. Banken, Versicherungen und andere Finanzinstitute müssen strenge Anforderungen erfüllen und ihre Systeme kontinuierlich überprüfen und aktualisieren, um den sich ständig verändernden Bedrohungen gerecht zu werden. Diese neuen Anforderungen bedeuten für viele Finanzunternehmen erhebliche Anpassungen und Investitionen in ihre IT-Infrastrukturen und -Prozesse, um sicherzustellen, dass sie den neuen Standards entsprechen.
Barrierefreiheit von Produkten und Dienstleistungen
Einführung des BFSG
Ab dem 28. Juni 2025 tritt das Barrierefreiheitsstärkungsgesetz (BFSG) in Kraft. Dieses Gesetz betrifft alle Marktteilnehmer, die Produkte wie Computer, Selbstbedienungsterminals oder Telekommunikationsgeräte sowie Dienstleistungen wie Telekommunikationsdienste und den elektronischen Geschäftsverkehr anbieten. Ziel des BFSG ist es, die Barrierefreiheit für Menschen mit Behinderungen zu verbessern und sicherzustellen, dass diese Produkte und Dienstleistungen für alle zugänglich sind. Unternehmen müssen entsprechende Anpassungen vornehmen und sicherstellen, dass sie die gesetzlichen Anforderungen erfüllen, um die Inklusion und Zugänglichkeit zu fördern.
Anforderungen an Unternehmen
Unternehmen müssen sicherstellen, dass ihre Produkte und Dienstleistungen barrierefrei für Menschen mit Behinderungen zugänglich sind. Dies erfordert umfassende Anpassungen und Maßnahmen, um die Benutzerfreundlichkeit und Zugänglichkeit zu verbessern. Dies kann von der Anpassung der Benutzeroberflächen bis hin zur Bereitstellung barrierefreier Hardwarekomponenten reichen. Diese Anforderungen stellen sicher, dass niemand aufgrund einer Behinderung von der Nutzung essentieller Technologien und Dienstleistungen ausgeschlossen bleibt.
Auswirkungen des Bruchs der Ampelkoalition
Gestoppte Gesetzesvorhaben
Nach dem Bruch der Ampelkoalition in Deutschland sind zahlreiche Gesetzesvorhaben vorerst gestoppt. Darunter befindet sich auch das Beschäftigtendatengesetz, welches wichtige Fragen der Datenverarbeitung am Arbeitsplatz regeln sollte. Die Unsicherheit, die durch den politischen Umbruch verursacht wurde, hat die Umsetzung und Weiterentwicklung vieler geplanter Richtlinien und Gesetze verzögert. Dies betrifft insbesondere Bereiche des IT-Rechts, die eine klare politische Führung und Konsens erfordern, um vorangetrieben zu werden.
Weitere betroffene Vorhaben
Auch die Umsetzung der NIS2-Richtlinie und weiterer IT-rechtlicher Gesetzesvorhaben ist von dem Bruch der Koalition betroffen. Besonders gravierend sind die Verzögerungen bei Projekten, die für die Sicherheit und Resilienz digitaler Infrastrukturen von entscheidender Bedeutung sind. Die aktuelle politische Lage in Deutschland könnte dazu führen, dass wichtige Gesetzesvorhaben erst mit erheblicher Verzögerung umgesetzt werden, was wiederum Auswirkungen auf Unternehmen und Behörden hat, die auf klare gesetzliche Richtlinien angewiesen sind.
Weitere wichtige Regelungen
Energieverbrauchskennzeichnungspflichten
Im Jahr 2025 treten zahlreiche kleinere, aber bedeutende gesetzliche Vorgaben in Kraft. Dazu gehören beispielsweise Energieverbrauchskennzeichnungspflichten für Smartphones und Tablets, die ab dem 20. Juni 2025 gelten. Diese Pflichten zielen darauf ab, den Energieverbrauch transparenter zu gestalten und somit zu einer nachhaltigeren Nutzung von Technologien beizutragen. Verbraucher sollen durch diese Kennzeichnung bessere Informationen erhalten und in die Lage versetzt werden, energieeffizientere Produkte auszuwählen.
Informationspflichten im Batterierecht
Ab Mitte August 2025 treten zudem neue Informationspflichten im Rahmen des Batterierecht-Durchführungsgesetzes in Kraft. Diese Vorschriften verlangen von Herstellern und Anbietern detaillierte Angaben zu den in ihren Produkten verwendeten Batterien. Ziel ist es, mehr Transparenz zu schaffen und umweltgerechtere Produktgestaltungen zu fördern. Diese Regelungen tragen dazu bei, die Umweltbelastung durch elektronische Abfälle zu reduzieren und die Recyclingquoten für Batterien zu erhöhen, was letztlich zu einer nachhaltigeren Kreislaufwirtschaft beiträgt.
Fazit
Das Jahr 2025 bringt bedeutende und weitreichende Veränderungen im IT-Recht mit sich, sowohl auf EU- als auch auf nationaler Ebene. Mit den schnellen Fortschritten in der Technologie müssen Unternehmen und Behörden ihre Systeme anpassen und neue, strenge Standards implementieren. Dabei spielen vor allem die Regulierung von Künstlicher Intelligenz (KI), der Datenschutz, Exportkontrollen für Technologien und die Sicherheit digitaler Systeme eine zentrale Rolle.
Ein Hauptaugenmerk liegt auf der KI, da diese Technologie immer mehr in unser tägliches Leben integriert wird und entsprechende Regularien notwendig sind, damit sie sicher und ethisch genutzt wird. Neue Datenschutzgesetze zwingen Firmen dazu, noch sorgfältiger mit sensiblen Daten umzugehen und strengere Maßnahmen zu ergreifen, um Datenverstöße zu verhindern.
Auf der technologischen Seite sind striktere Exportkontrollen eingetreten, insbesondere für innovative Technologien, um den Missbrauch oder die Nutzung durch feindliche Staaten zu verhindern. Sicherheitsvorschriften wurden zudem verschärft, da die Bedrohung durch Cyberangriffe kontinuierlich wächst und erhebliche Risiken für Unternehmen und Privatpersonen darstellt.
Diese umfassenden Anpassungen im IT-Recht spiegeln den Versuch wider, mit der technologischen Entwicklung Schritt zu halten und gleichzeitig die Sicherheit, Privatsphäre und ethische Nutzung neuer Technologien zu gewährleisten. Dies ist notwendig, um in einer zunehmend digitalisierten Welt den Schutz von Nutzern und Daten sicherzustellen.
