Nach Ampel-AusEU-Gesetze in der Warteschlange

Auf EU-Ebene hatte die Ampelregierung zahlreiche Gesetze mitverhandelt. Bei der Umsetzung in Deutschland sieht die Erfolgsbilanz jedoch bislang mager aus. Viele umfangreiche Pakete liegen vorerst auf Eis und werden zur Aufgabe für die nächste Bundesregierung.

- , , , , - in Demokratie - keine Ergänzungen
Die Bilanz der Ampelkoalition unter Kanzler Olaf Scholz (SPD) fällt durchwachsen aus: Viele von ihr mitverhandelte EU-Gesetze wird erst noch die Folgeregierung in deutsches Recht umsetzen müssen. – Alle Rechte vorbehalten IMAGO / Achille Abboud

Das vorzeitige Aus der Ampelkoalition trifft nicht nur heimische Gesetzesinitiativen. Auch für viele EU-Gesetze muss deutsches Recht angepasst werden – und das oft innerhalb bestimmter Fristen, sonst drohen Vertragsverletzungsverfahren.

Dieses Jahr hat sich besonders viel aufgestaut: Vor der EU-Wahl wurden in Brüssel noch außerordentlich viele Verordnungen und Richtlinien beschlossen. Dabei hatte die scheidende Bundesregierung noch lange nicht alles aus den Vorjahren umgesetzt.

Vieles davon hängt jetzt in der Schwebe. Einige Umsetzungsentwürfe liegen schon im Bundestag, bei anderen führen die Ministerien etwa Verbändeanhörungen von Gesetzen im Entwurfstadium durch. Bei manchen hat die Arbeit noch gar nicht begonnen.

Stattfinden soll die Bundestagswahl Ende Februar 2025. Wie schnell und in welcher Form sich danach eine Folgeregierung zusammenraufen wird, bleibt vorerst offen. Fest steht jedenfalls, dass auf sie ein Haufen Arbeit zukommt, gleich vom ersten Tag an.

AI Act

Ende 2023 hat die EU nach langer Arbeit erstmals ein Regelwerk für den Einsatz von Künstlicher Intelligenz verabschiedet. Seit August diesen Jahres ist das Gesetz in Kraft, das etwa Social Scoring in der EU komplett verbietet und die biometrische Identifikation aus der Ferne hingegen unter Auflagen erlaubt. In Gänze wirksam werden die meisten Regelungen aus dem Gesetz im August 2026 – einige Abschnitte jedoch schon früher.

Wer soll also künftig die Aufsicht über den Einsatz von Gesichtserkennung und andere hochriskante KI-Systeme führen? Wer wird den Markt und die Einhaltung der Regeln überwachen und dient als Anlaufstelle für Anbieter? Soll es eine zentrale Aufsicht geben oder sollen die Aufgaben föderal aufgeteilt sein, wie das heute schon bei den Datenschutzbehörden der Fall ist? Das und viele weitere Fragen müssen die Mitgliedstaaten in eigenen Gesetzen festschreiben.

Geplant war ursprünglich, dass der Referentenentwurf für die Umsetzung des AI Act im ersten Quartal 2025 fertig wird. Damit wäre die Ampel ohnehin schon spät dran gewesen, denn die ersten Verbote des Acts greifen schon ab Februar des nächsten Jahres. Anfang August 2025 müssen die Mitgliedstaaten ihre Aufsichtsbehörden benennen und an die Kommission melden. Selbst bei zügiger Regierungsbildung dürfte es kaum möglich sein, dass das deutsche Umsetzungsgesetz dann schon verabschiedet und in Kraft ist. Das heißt: Ab dem Herbst 2025 gelten einige Regeln des AI Acts, aber in Deutschland kann sie niemand umsetzen.

NIS-2

Deutschland hat die Frist bei der NIS2-Richtlinie der EU bereits verpasst: Diese Netz- und Informationssysteme-Richtlinie aus dem Jahr 2022 hätte spätestens am 18. Oktober 2024 in nationales Recht umgesetzt werden müssen. Eine Anhörung im Innenausschuss des Bundestags Anfang November 2024 hatte allerdings Kritikpunkte an dem Gesetzentwurf offengelegt, so dass eine Überarbeitung des Entwurfs des NIS-2-Umsetzungsgesetzes nötig wäre.

Die darin geplanten neuen IT-Sicherheitsanforderungen und Pflichten zur Risikosenkung, die durch das Gesetz knapp 30.000 Unternehmen hätten umsetzen müssen, dürften jetzt noch weiter verzögert werden. Die verpflichtenden technischen und organisatorischen Maßnahmen und die neuen Meldepflichten zur behördlichen Unterrichtung im IT-Krisenfall werden nun auf die lange Bank geschoben.

Cyber Resilience Act

Eng mit der NIS2-Richtlinie hängt die erst im Oktober endgültig beschlossene Cyberresilienz-Verordnung (Cyber Resilience Act, CRA) zusammen. Diese regelt erstmals europaweit die Sicherheit von direkt oder indirekt vernetzten Produkten. Vor allem beim sogenannten „Internet der Dinge“ gab es bislang kaum Software- und Sicherheitsupdates. Einmal verkaufte „intelligente“ Toaster oder ähnliche Produkte blieben bislang oft auf der Software-Version stecken, mit der sie ausgeliefert wurden. Das soll sich künftig ändern.

Von einigen Ausnahmen abgesehen, etwa für bestimmte Open-Source-Produkte, treffen die weitreichenden Maßnahmen praktisch alle Hersteller von IT-Produkten. Anzunehmenderweise wird das die gesamte Branche gehörig aufwirbeln, entsprechend sieht der CRA eine enge Begleitung durch Behörden vor, viele davon auf nationaler Ebene.

So wird – vermutlich – das Bundesamt für Sicherheit in der Informationstechnik eigene Leitlinien entwerfen, einen Helpdesk einrichten, Konformitätserklärungen überprüfen und regulatorische Sandboxen für die Überprüfung von Produkten mit digitalen Elementen in die Welt setzen müssen, um nur einige Punkte zu nennen. Zeit dafür sollte aber ausreichend vorhanden sein, die Verordnung sieht großzügige Übergangsfristen bis Ende 2027 vor.

Pro­dukt­haf­tungs­richt­linie

Schon im Vorjahr hat sich die EU auf eine Überarbeitung der seit fast 40 Jahren existierenden Produkthaftungsrichtlinie geeinigt. Sie erweitert dabei die Haftung auf Software und digitale Produkte, verlagert die Beweislast teilweise zum Hersteller und verlangt umfassende Dokumentation und Cybersicherheit.

Die neuen IT-Gesetze sind miteinander verschränkt: Erfüllt etwa eine Software das von der NIS2-Richtlinie vorgegebene Sicherheitsniveau nicht, haftet die Herstellerfirma für Schäden bei Kund:innen. Rechtlich zur Verantwortung werden auch Unternehmen gezogen, wenn sie die Vorgaben der CRA-Verordnung ignorieren und fehlerhafte oder gar keine Sicherheitsupdates liefern.

Dieser Paradigmenwechsel macht eine umfassende und komplexe Änderung deutschen Rechts notwendig, die allerdings noch gänzlich aussteht. Endgültig angenommen hat der EU-Rat das Gesetz im vergangenen Oktober, nun bleiben zwei Jahre für die Umsetzung.

E-Evidence

Äußerst knapp wird es bei der Umsetzung von E-Evidence. Dabei geht es um ein EU-Gesetzesbündel aus dem Vorjahr, das die grenzüberschreitende Abfrage digitaler Beweismittel erleichtern soll. Über ein Jahr lang hatte das Justizministerium Zeit, einen Referentenentwurf vorzulegen. Seit Ende Oktober befindet sich der inzwischen in der Länder- und Verbändeanhörung, sie läuft bis Anfang Dezember.

Viel Spielraum für Änderungen gibt es bei der Verordnung – und der begleitenden Richtlinie – zwar nicht, bis August 2026 muss allerdings ein sicheres Kommunikationssystem aufgebaut werden. Darüber sollen zum einen Polizei- und Justizbehörden elektronische Beweismittel austauschen beziehungsweise abrufen, zum anderen auch die privaten Online-Dienste angeschlossen sein.

Selbst in ruhigen politischen Zeiten wäre dies ein beachtlicher Kraftakt. Immerhin muss das „e-CODEX“ genannte Projekt aber nicht bei Null beginnen, die dafür zuständige und in Nordrhein-Westfalen sitzende E-Justiz-Koordinierungsstelle Europa hat bereits ihre Arbeit aufgenommen.

Data Governance Act

Im Data Governance Act der EU (DGA) geht es darum, wie Daten gemeinsam genutzt und geteilt werden können, etwa durch Unternehmen und Forschungseinrichtungen. Es geht um die Daten von öffentlichen Stellen und freiwillige Datenspenden. In Kraft getreten ist der DGA im September 2023. Die jeweiligen Mitgliedstaaten müssten längst geklärt haben, welche nationale Behörde für die Durchsetzung der Regeln zuständig sein soll. Doch neben Deutschland haben das auch viele weitere verschleppt. Derzeit laufen daher mehrere Vertragsverletzungsverfahren.

Zumindest gibt es mittlerweile einen Entwurf für die deutsche Umsetzung im Daten-Governance-Gesetz (DGG), den just am Mittwoch der Digitalausschuss im Bundestag mit Fachleuten diskutierte. Hauptzuständig für die Durchsetzung soll laut dem Entwurf die Bundesnetzagentur sein, die schon beim DSA eingesetzt wurde, ebenso wie das Statistische Bundesamt. Änderungen fordert jedoch nicht nur der Bundestag, sondern auch der Bundesrat ein.

Data Act

Während der Data Governance Act sich vor allem um freiwilliges Teilen von Daten dreht, geht es im Data Act um die Voraussetzungen, auf Daten zuzugreifen und sie zu nutzen – auch bei nicht-personenbezogenen. Er soll eine faire Datenökonomie schaffen, sowohl für Verbraucher:innen, Firmen und die Allgemeinheit, trotz großer Zweifel, dass er sein Ziel erreichen wird. Beschlossen wurde die Verordnung im Januar 2024, die Umsetzungsfrist beträgt 20 Monate. Selbst bei zügigen Koalitionsverhandlungen dürfte es einer neuen Regierung schwer fallen, ein entsprechendes Umsetzungsgesetz bis September 2024 zu verabschieden.

Auch hier braucht es eine Aufsicht, auch hier ist die Bundesnetzagentur prädestiniert. Eine explizite Rechtsgrundlage aber lässt auf sich warten. Im September 2024 hat die Unionsfraktion versucht, Druck zu machen und im Bundestag einen Antrag gestellt. Praktisch hatte sie der Ampel vorgeworfen, sie käme bei den Digitalgesetzen der EU nicht hinterher. Abgeordnete der Regierungsfraktionen machten klar, dass auch sie sich auf einen Entwurf aus der Bundesregierung freuen würden – offensichtlich vergeblich.

Politische Online-Werbung

Seit März 2024 hat die EU erstmalig explizite Regeln für Wahlwerbung im Netz, um Wahlkämpfe vor Manipulation à la Cambrige Analytica zu schützen. Unter anderem werden Online-Plattformen und Parteien zu mehr Transparenz über die Finanzierung und das Targeting politischer Online-Anzeigen verpflichtet. Wie aus Bundestagskreisen zu hören ist, hat das Digitalministerium einen Entwurf für die Umsetzung der Vorgaben erstellt. Der ist allerdings noch nicht mit anderen Ressorts abgestimmt oder gar ins Parlament eingebracht worden. Dass der Gesetzesvorschlag noch vor der Auflösung des Bundestages verabschiedet wird, gilt deshalb als ausgeschlossen, selbst eine Verabschiedung 2025 ist unwahrscheinlich.

Da es sich um eine Verordnung handelt, werden die meisten Regeln ab Oktober 2025 unmittelbar Wirkung entfalten, auch ohne ein deutsches Umsetzungsgesetz. Dieses ist dennoch nötig, um zum Beispiel Klarheit über die Zuständigkeiten für Aufsicht und Durchsetzung der Regeln zu schaffen. Es könnte also mehrere Monate eine Situation drohen, in der die Regeln zwar schon gelten, aber nicht rechtssicher durchgesetzt werden können. Einfluss auf den Bundestagswahlkampf wird dies jedoch nicht haben. Die Übergangsfrist von eineinhalb Jahren plus 20 Tagen führt dazu, dass der Anwendungszeitpunkt selbst hinter der regulären Bundestagswahl im September 2025 gelegen hätte.

Gigabit Infrastructure Act

Beschlossen hat die EU den Gigabit Infrastructure Act im Frühjahr, vollständig in Kraft tritt das Gesetz im November 2025. Obwohl die Verordnung unmittelbar gilt, müssen dennoch stellenweise das deutsche Telekommunikationsgesetz und womöglich auch Landesgesetze angepasst werden. Vorrangig zielt das Gesetz auf den Abbau von Bürokratie und sieht etwa beschleunigte Genehmigungsverfahren oder die Mitnutzung physischer Infrastukturen vor.

Einiges davon hätte bereits das lange verhandelte Telekommunikation-Netzausbau-Beschleunigungs-Gesetz (TK-Nabeg) erledigen sollen, das ist aber offenbar auf den letzten Metern im Bundestag gescheitert: Die FDP-Bundestagsfraktion hat dem weitgehend fertigen Gesetz gestern die Zustimmung entzogen. Die Debatte über den beschleunigten Ausbau digitaler Infrastruktur wird also erneut beginnen müssen, wenn auch nicht von Null.

Digital Services Act

Gesetzlich praktisch vollständig unter Dach und Fach ist der Digital Services Act (DSA), selbst wenn sich die deutsche Umsetzung der Verordnung lange verzögert hat. Und dennoch gibt es eine Menge offener Baustellen: Solange es keinen vom Bundestag beschlossenen Haushalt für das Jahr 2025 gibt, kann die als Digital Services Coordinator (DSC) fungierende Bundesnetzagentur nicht allen notwendigen Personalbedarf finanzieren.

99 Planstellen sind beim DSC für die Durchsetzung des DSA vorgesehen. Im Haushalt für das Jahr 2024 waren jedoch nur 15 Stellen angebracht, inzwischen sollen sich 20 Mitarbeitende beim DSC um das umfassende Gesetz – oder notgedrungen nur um Teile davon – kümmern. Nicht gesichert ist zudem die Finanzierung von 33 Stellen, die eigentlich vom bisher für das Netzwerkdurchsetzungsgesetz (NetzDG) zuständigen Bundesamt für Justiz zum DSC wandern sollten.

Ungeklärt ist weiterhin die Leitung der neu geschaffenen Behörde: Im DSA ist ausdrücklich eine unabhängige Rolle des DSC festgeschrieben, interimsmäßig füllt sie seit dem Frühjahr der Bundesnetzagentur-Chef Klaus Müller aus – und ist damit dem Bundesministerium für Wirtschaft und Klimaschutz (BMWK) untergeordnet. Ebenfalls in der Luft hängt der mit nur 300.000 Euro ohnehin nur äußerst knapp bemessene Forschungsetat.

Richtlinie für Plattformarbeit

Bereits auf EU-Ebene war die Richtlinie für Plattformarbeit hart umkämpft, blockiert hatte unter anderem die FDP. Im Frühjahr haben die EU-Länder dann doch zugestimmt und das Gesetz im Oktober final abgesegnet. Das Gesetz soll die Rechte von Plattformarbeitenden stärken und Plattformbetreiber zu mehr Transparenz zwingen. Als Richtlinie gibt sie den EU-Mitgliedstaaten jedoch viel Spielraum bei der Umsetzung. Dafür haben sie bis zum Oktober 2026 Zeit.

Entsprechend wird es entscheidend von der Zusammensetzung der künftigen Bundesregierung abhängen, wie gut der Schutz von Arbeitnehmer:innen in der sogenannten Gig-Economy ausfallen wird. Im zuständigen, SPD-geführten Arbeitsministerium fand im Oktober als erster Schritt ein Stakeholder-Treffen statt, um Perspektiven aufzunehmen. In ebenjenem Ministerium liegt sogar schon seit 2020 ein Eckpunktepapier zur Besserung von Plattformarbeit herum, spruchfest ist aber offensichtlich noch lange nichts.

Verordnung zu Vermietungen über Online-Plattformen

Seit Mai ist die Verordnung zur Datensammlung bei Kurzzeitmieten in Kraft, für nationale Anpassungen haben die EU-Länder bis Mai 2026 Zeit. Das Gesetz soll Unternehmen wie Airbnb zu mehr Transparenz gegenüber lokalen Behörden verpflichten. Dies würde es den Behörden erleichtern, einen Überblick zu behalten, um passende Maßnahmen für bezahlbaren Wohnraum zu ergreifen.

Damit das klappt, müssen die jeweiligen EU-Länder eine datenschutzkonforme digitale Infrastruktur aufbauen. Darüber sollen Daten zu Kurzzeitvermietungen erhoben und ausgetauscht sowie die Rechtmäßigkeit der Vermietungsangebote geprüft werden. Mitsprache werden die davon betroffenen Regionen und Kommunen einfordern, was erfahrungsgemäß auf einen längeren Entstehungsprozess schließen lässt. Als mögliche Aufsicht ist einmal mehr die Bundesnetzagentur in der Debatte. Alles in allem dürfte es knapp werden: „Angesichts des Aufbaus der nötigen digitalen Infrastruktur erscheint dies sportlich“, schrieb das zuständige Wirtschaftsministerium bereits im Mai

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Tomas ist in Wien aufgewachsen, hat dort für diverse Provider gearbeitet und daneben Politikwissenschaft studiert. Seine journalistische Ausbildung erhielt er im Heise-Verlag, wo er für die Mac & i, c't und Heise Online schrieb.

Kontakt: E-Mail (OpenPGP), Twitter, Telefon: +49-30-577148268

Ich bin Redakteurin von netzpolitik.org und recherchiere zu Digitaler Gewalt, KI und Migration. Vor allem interessiert mich, wie der Staat Technologie gegen Geflüchete und andere marginalisierte Gruppen einsetzt. Ich habe bei Zeit Online volontiert und anschließend eine eigene Zeitschrift mitgegründet und geleitet: das Missy Magazine. Später habe ich bei WIRED Germany gearbeitet. Seit 2018 bin ich Teil der Redaktion von netzpolitik.org. Ich bin in Rumänien geboren, meine Familie war Teil der ungarischen Minderheit im Land. Aufgewachsen bin ich im Rheinland.

Kontakt: E-Mail (OpenPGP)

Ingo ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Ingo schreibt häufig über Big Tech, Datenmissbrauch und Datenschutz, Targeted Advertising, Plattformregulierung, Transparenz, Lobbyismus, Wahlkämpfe und die Polizei. Ingo ist Ko-Autor der Studie "Medienmäzen Google" und Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. 2024 wurde er mit dem Alternativen Medienpreis und dem Grimme-Online-Award ausgezeichnet.

Kontakt: E-Mail (OpenPGP), Mastodon, Twitter, FragDenStaat

Ben macht aktuell ein redaktionelles Praktikum bei netzpolitik.org. Er studiert Politikwissenschaft und interessiert sich für alle Absurditäten des digitalen Kapitalismus.

Kontakt: E-Mail (OpenPGP)

Constanze Kurz ist promovierte Informatikerin, Autorin und Herausgeberin von Büchern, zuletzt Cyberwar. Ihre Kolumne „Aus dem Maschinenraum“ erschien von 2010 bis 2019 im Feuilleton der FAZ. Sie lebt in Berlin und ist ehrenamtlich Sprecherin des Chaos Computer Clubs. Sie war Sachverständige der Enquête-Kommission „Internet und digitale Gesellschaft“ des Bundestags. Sie erhielt den Toleranz-Preis für Zivilcourage und die Theodor-Heuss-Medaille.

Kontakt: E-Mail (OpenPGP)

Veröffentlicht 14.11.2024 um 16:00
Kategorie
Schlagworte
Weitere Artikel
Eingang Dienstgebäude des BSI
Technologie

Umsetzung der NIS2-RichtlinieGesetz für IT-Krisenfälle in der Kritik

Der Gesetzentwurf der Bundesregierung zur Umsetzung der NIS-2-Richtlinie fand bei Experten in der heutigen Anhörung im Innenausschuss keine Gnade und erntete breite Kritik. Er hat auch eine klaffende Lücke: Es fehlt ein IT-Schwachstellenmanagement. Die Ampel verabschiedet sich von gleich zwei Versprechen aus dem Koalitionsvertrag.

Lesen Sie diesen Artikel: Gesetz für IT-Krisenfälle in der Kritik

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.