RI Wiki - Benutzerbeiträge [de]

Liste der Beteiligten im ATLAWS-Projekt

2025-02-28T09:50:46Z

DavidMSchneeberger:

Folgende Organisationen waren am co-creation-Prozess von ATLAWS beteiligt:
{| class="wikitable"
|+
![[Datei:BMF Logo.png|links|mini]]
![https://www.bmf.gv.at/ Bundesministerium für Finanzen (BMF)]
|-
![[Datei:BMBWF Logo.png|links|mini|215x215px]]
![https://www.bmbwf.gv.at/ Bundesministerium für Bildung, Wissenschaft und Forschung (BMBWF)]
|-
![[Datei:Ossbig logo.png|links|mini]]
![https://www.ossbig.at/ Open Source Software Business Innovation Group (OSSBIG Austria)]
|-
![[Datei:Gaia-x-Hub-Austria.png|links|mini]]
! rowspan="2" |[https://www.gaia-x.at/ Gaia-X Hub Austria]
Koordinierungsstelle:

[https://www.ait.ac.at/ Austrian Institute of Technology GmbH (AIT)]
|-
![[Datei:AIT Logo.png|links|mini]]
|-
![[Datei:Austriatech.jpg|links|mini]]
![https://austriatech.at/ AustriaTech – Gesellschaft des Bundes für technologiepolitische Maßnahmen GmbH]
|-
![[Datei:Ispa logo.png|links|mini|279x279px]]
![https://www.ispa.at/ Internet Service Providers Austria (ISPA) – Verband der österreichischen Internet-Anbieter]
|-
!
!
|-
![[Datei:Uniko Logo.jpg|links|mini]]
! rowspan="4" |[https://uniko.ac.at/ Österreichische Universitätenkonferenz (uniko)]
via uniko:

[https://www.medunigraz.at/ Medizinische Universität Graz]

[https://www.uibk.ac.at/de/ Universität Innsbruck]

[https://www.plus.ac.at/ Paris Lodron Universität Salzburg]
|-
![[Datei:Logo-meduni-graz.png|links|mini|70x70px]]
|-
|[[Datei:Logo-uibk.png|links|mini|164x164px]]
|-
|[[Datei:PLUS Logo Farbe.png|links|mini|150x150px]]
|}
**

Liste der Beteiligten im ATLAWS-Projekt

2025-02-28T09:49:46Z

DavidMSchneeberger:

Folgende Organisationen waren am co-creation-Prozess von ATLAWS beteiligt:
{| class="wikitable"
|+
![[Datei:BMF Logo.png|links|mini]]
![https://www.bmf.gv.at/ Bundesministerium für Finanzen (BMF)]
|-
![[Datei:BMBWF Logo.png|links|mini]]
![https://www.bmbwf.gv.at/ Bundesministerium für Bildung, Wissenschaft und Forschung (BMBWF)]
|-
![[Datei:Ossbig logo.png|links|mini]]
![https://www.ossbig.at/ Open Source Software Business Innovation Group (OSSBIG Austria)]
|-
![[Datei:Gaia-x-Hub-Austria.png|links|mini]]
! rowspan="2" |[https://www.gaia-x.at/ Gaia-X Hub Austria]
Koordinierungsstelle:

[https://www.ait.ac.at/ Austrian Institute of Technology GmbH (AIT)]
|-
![[Datei:AIT Logo.png|links|mini]]
|-
![[Datei:Austriatech.jpg|links|mini]]
![https://austriatech.at/ AustriaTech – Gesellschaft des Bundes für technologiepolitische Maßnahmen GmbH]
|-
![[Datei:Ispa logo.png|links|mini|279x279px]]
![https://www.ispa.at/ Internet Service Providers Austria (ISPA) – Verband der österreichischen Internet-Anbieter]
|-
!
!
|-
![[Datei:Uniko Logo.jpg|links|mini]]
! rowspan="4" |[https://uniko.ac.at/ Österreichische Universitätenkonferenz (uniko)]
via uniko:

[https://www.medunigraz.at/ Medizinische Universität Graz]

[https://www.uibk.ac.at/de/ Universität Innsbruck]

[https://www.plus.ac.at/ Paris Lodron Universität Salzburg]
|-
![[Datei:Logo-meduni-graz.png|links|mini|70x70px]]
|-
|[[Datei:Logo-uibk.png|links|mini|164x164px]]
|-
|[[Datei:PLUS Logo Farbe.png|links|mini|150x150px]]
|}
**

Liste der Beteiligten im ATLAWS-Projekt

2025-02-27T20:16:21Z

DavidMSchneeberger:

Folgende Organisationen waren am co-creation-Prozess von ATLAWS beteiligt:
{| class="wikitable"
|+
![[Datei:Austriatech.jpg|links|mini]]
![https://austriatech.at/ AustriaTech – Gesellschaft des Bundes für technologiepolitische Maßnahmen GmbH]
|-
![[Datei:BMBWF Logo.png|links|mini]]
![https://www.bmbwf.gv.at/ Bundesministerium für Bildung, Wissenschaft und Forschung (BMBWF)]
|-
![[Datei:BMF Logo.png|links|mini]]
![https://www.bmf.gv.at/ Bundesministerium für Finanzen (BMF)]
|-
![[Datei:Ispa logo.png|links|mini|279x279px]]
![https://www.ispa.at/ Internet Service Providers Austria (ISPA) – Verband der österreichischen Internet-Anbieter]
|-
![[Datei:Gaia-x-Hub-Austria.png|links|mini]]
! rowspan="2" |[https://www.gaia-x.at/ Gaia-X Hub Austria]
Koordinierungsstelle:

[https://www.ait.ac.at/ Austrian Institute of Technology GmbH (AIT)]
|-
![[Datei:AIT Logo.png|links|mini]]
|-
![[Datei:Ossbig logo.png|links|mini]]
![https://www.ossbig.at/ Open Source Software Business Innovation Group (OSSBIG Austria)]
|-
![[Datei:Uniko Logo.jpg|links|mini]]
! rowspan="4" |[https://uniko.ac.at/ Österreichische Universitätenkonferenz (uniko)]
via uniko:

[https://www.medunigraz.at/ Medizinische Universität Graz]

[https://www.uibk.ac.at/de/ Universität Innsbruck]

[https://www.plus.ac.at/ Paris Lodron Universität Salzburg]
|-
![[Datei:Logo-meduni-graz.png|links|mini|70x70px]]
|-
|[[Datei:Logo-uibk.png|links|mini|164x164px]]
|-
|[[Datei:PLUS Logo Farbe.png|links|mini|150x150px]]
|}
**

Liste der Beteiligten im ATLAWS-Projekt

2025-02-27T20:16:09Z

DavidMSchneeberger:

Folgende Organisationen waren am co-creation-Prozess von ATLAWS beteiligt:
{| class="wikitable"
|+
![[Datei:Austriatech.jpg|links|mini]]
![https://austriatech.at/ AustriaTech – Gesellschaft des Bundes für technologiepolitische Maßnahmen GmbH]
|-
![[Datei:BMBWF Logo.png|links|mini]]
![https://www.bmbwf.gv.at/ Bundesministerium für Bildung, Wissenschaft und Forschung (BMBWF)]
|-
![[Datei:BMF Logo.png|links|mini]]
![https://www.bmf.gv.at/ Bundesministerium für Finanzen (BMF)]
|-
![[Datei:Ispa logo.png|links|mini|279x279px]]
![https://www.ispa.at/ Internet Service Providers Austria (ISPA) – Verband der österreichischen Internet-Anbieter]
|-
![[Datei:Gaia-x-Hub-Austria.png|links|mini]]
! rowspan="2" |[https://www.gaia-x.at/ Gaia-X Hub Austria]
Koordinierungsstelle:

[https://www.ait.ac.at/ Austrian Institute of Technology GmbH (AIT)]
|-
![[Datei:AIT Logo.png|links|mini]]
|-
![[Datei:Ossbig logo.png|links|mini]]
![https://www.ossbig.at/ Open Source Software Business Innovation Group (OSSBIG Austria)]
|-
![[Datei:Uniko Logo.jpg|links|mini]]
! rowspan="4" |[https://uniko.ac.at/ Österreichische Universitätenkonferenz (uniko)]
via uniko:
[https://www.medunigraz.at/ Medizinische Universität Graz]

[https://www.uibk.ac.at/de/ Universität Innsbruck]

[https://www.plus.ac.at/ Paris Lodron Universität Salzburg]
|-
![[Datei:Logo-meduni-graz.png|links|mini|70x70px]]
|-
|[[Datei:Logo-uibk.png|links|mini|164x164px]]
|-
|[[Datei:PLUS Logo Farbe.png|links|mini|150x150px]]
|}
**

Liste der Beteiligten im ATLAWS-Projekt

2025-02-27T20:15:24Z

DavidMSchneeberger:

Folgende Organisationen waren am co-creation-Prozess von ATLAWS beteiligt:
{| class="wikitable"
|+
![[Datei:Austriatech.jpg|links|mini]]
![https://austriatech.at/ AustriaTech – Gesellschaft des Bundes für technologiepolitische Maßnahmen GmbH]
|-
![[Datei:BMBWF Logo.png|links|mini]]
![https://www.bmbwf.gv.at/ Bundesministerium für Bildung, Wissenschaft und Forschung (BMBWF)]
|-
![[Datei:BMF Logo.png|links|mini]]
![https://www.bmf.gv.at/ Bundesministerium für Finanzen (BMF)]
|-
![[Datei:Ispa logo.png|links|mini|279x279px]]
![https://www.ispa.at/ Internet Service Providers Austria (ISPA) – Verband der österreichischen Internet-Anbieter]
|-
![[Datei:Gaia-x-Hub-Austria.png|links|mini]]
! rowspan="2" |[https://www.gaia-x.at/ Gaia-X Hub Austria]
Koordinierungsstelle:

[https://www.ait.ac.at/ Austrian Institute of Technology GmbH (AIT)]
|-
![[Datei:AIT Logo.png|links|mini]]
|-
![[Datei:Ossbig logo.png|links|mini]]
![https://www.ossbig.at/ Open Source Software Business Innovation Group (OSSBIG Austria)]
|-
![[Datei:Uniko Logo.jpg|links|mini]]
! rowspan="4" |[https://uniko.ac.at/ Österreichische Universitätenkonferenz (uniko)]
via uniko:
[https://www.medunigraz.at/ Medizinische Universität Graz]
[https://www.uibk.ac.at/de/ Universität Innsbruck]
[https://www.plus.ac.at/ Paris Lodron Universität Salzburg]
|-
![[Datei:Logo-meduni-graz.png|links|mini|70x70px]]
|-
|[[Datei:Logo-uibk.png|links|mini|164x164px]]
|-
|[[Datei:PLUS Logo Farbe.png|links|mini|150x150px]]
|}
**

Datei:PLUS Logo Farbe.png

2025-02-27T20:15:02Z

DavidMSchneeberger:

Paris Lodron Universität Salzburg Logo

Datei:Logo-uibk.png

2025-02-27T20:14:08Z

DavidMSchneeberger:

Logo Universität Innsbruck

Datei:Logo-meduni-graz.png

2025-02-27T20:13:32Z

DavidMSchneeberger:

Logo Med Uni Graz

Datei:Uniko Logo.jpg

2025-02-27T20:10:46Z

DavidMSchneeberger:

uniko Logo

Liste der Beteiligten im ATLAWS-Projekt

2025-02-27T20:09:28Z

DavidMSchneeberger:

Folgende Organisationen waren am co-creation-Prozess von ATLAWS beteiligt:
{| class="wikitable"
|+
![[Datei:Austriatech.jpg|links|mini]]
![https://austriatech.at/ AustriaTech – Gesellschaft des Bundes für technologiepolitische Maßnahmen GmbH]
|-
![[Datei:BMBWF Logo.png|links|mini]]
![https://www.bmbwf.gv.at/ Bundesministerium für Bildung, Wissenschaft und Forschung (BMBWF)]
|-
![[Datei:BMF Logo.png|links|mini]]
![https://www.bmf.gv.at/ Bundesministerium für Finanzen (BMF)]
|-
![[Datei:Ispa logo.png|links|mini|279x279px]]
![https://www.ispa.at/ Internet Service Providers Austria (ISPA) – Verband der österreichischen Internet-Anbieter]
|-
![[Datei:Gaia-x-Hub-Austria.png|links|mini]]
! rowspan="2" |[https://www.gaia-x.at/ Gaia-X Hub Austria]
Koordinierungsstelle:

[https://www.ait.ac.at/ Austrian Institute of Technology GmbH (AIT)]
|-
![[Datei:AIT Logo.png|links|mini]]
|-
![[Datei:Ossbig logo.png|links|mini]]
![https://www.ossbig.at/ OSSBIG Austria – Open Source Software Business Innovation Group]
|-
!
!
|}

*

*

* [https://uniko.ac.at/ uniko (Österreichische Universitätenkonferenz)]
** [https://www.medunigraz.at/ Medizinische Universität Graz]
** [https://www.uibk.ac.at/de/ Universität Innsbruck]
** [https://www.plus.ac.at/ Paris Lodron Universität Salzburg]

Liste der Beteiligten im ATLAWS-Projekt

2025-02-27T20:07:44Z

DavidMSchneeberger:

Folgende Organisationen waren am co-creation-Prozess von ATLAWS beteiligt:
{| class="wikitable"
|+
![[Datei:Austriatech.jpg|links|mini]]
![https://austriatech.at/ AustriaTech – Gesellschaft des Bundes für technologiepolitische Maßnahmen GmbH]
|-
![[Datei:BMBWF Logo.png|links|mini]]
![https://www.bmbwf.gv.at/ Bundesministerium für Bildung, Wissenschaft und Forschung (BMBWF)]
|-
![[Datei:Ispa logo.png|links|mini|279x279px]]
![https://www.ispa.at/ Internet Service Providers Austria (ISPA) – Verband der österreichischen Internet-Anbieter]
|-
![[Datei:Gaia-x-Hub-Austria.png|links|mini]]
! rowspan="2" |[https://www.gaia-x.at/ Gaia-X Hub Austria]
Koordinierungsstelle:

[https://www.ait.ac.at/ Austrian Institute of Technology GmbH (AIT)]
|-
![[Datei:AIT Logo.png|links|mini]]
|-
!
!
|-
!
!
|}

*

*

[[Datei:Ossbig logo.png|links|mini]]

* [https://uniko.ac.at/ uniko (Österreichische Universitätenkonferenz)]
** [https://www.medunigraz.at/ Medizinische Universität Graz]
** [https://www.uibk.ac.at/de/ Universität Innsbruck]
** [https://www.plus.ac.at/ Paris Lodron Universität Salzburg]

Liste der Beteiligten im ATLAWS-Projekt

2025-02-27T20:02:51Z

DavidMSchneeberger:

Datei:Gaia-x-Hub-Austria.png

2025-02-27T20:02:30Z

DavidMSchneeberger:

Gaia-X Hub Austria

Datei:AIT Logo.png

2025-02-27T20:01:57Z

DavidMSchneeberger:

AIT Logo

Datei:BMF Logo.png

2025-02-27T20:00:44Z

DavidMSchneeberger:

BMF Logo

Liste der Beteiligten im ATLAWS-Projekt

2025-02-27T19:59:38Z

DavidMSchneeberger:

Folgende Organisationen sind im co-creation-Prozess von ATLAWS beteiligt:

* [https://www.austriatech.at/ AustriaTech GmBH]
[https://wiki.atlaws.eu/images/c/cd/Austriatech.jpg][[Datei:Austriatech.jpg|links|mini]]

* [https://www.bmbwf.gv.at/ BMBWF (Bundesministerium für Bildung, Wissenschaft und Forschung)]
[[Datei:BMBWF Logo.png|links|mini]]

* [https://www.bmf.gv.at/ BMF (Bundesministerium für Finanzen)]
* [https://www.gaia-x.at/en/gaia-x-austria/ Gaia-X Hub Austria] (Koordinator: [https://www.ait.ac.at/ AIT [Austrian Institute of Technology GmbH]])
* [https://www.ispa.at/startseite/ ISPA (Internet Service Providers Austria)][[Datei:Ispa logo.png|links|mini]]

* [https://www.ossbig.at/ OSSBIG (Open Source Business Innovation Group)]

[[Datei:Ossbig logo.png|links|mini]]

* [https://uniko.ac.at/ uniko (Österreichische Universitätenkonferenz)]
** [https://www.medunigraz.at/ Medizinische Universität Graz]
** [https://www.uibk.ac.at/de/ Universität Innsbruck]
** [https://www.plus.ac.at/ Paris Lodron Universität Salzburg]

Liste der Beteiligten im ATLAWS-Projekt

2025-02-27T19:58:43Z

DavidMSchneeberger:

Folgende Organisationen sind im co-creation-Prozess von ATLAWS beteiligt:

* [https://www.austriatech.at/ AustriaTech GmBH]
[[Datei:Austriatech.jpg|links|mini]]

* [https://www.bmbwf.gv.at/ BMBWF (Bundesministerium für Bildung, Wissenschaft und Forschung)]
[[Datei:BMBWF Logo.png|links|mini]]

* [https://www.bmf.gv.at/ BMF (Bundesministerium für Finanzen)]
* [https://www.gaia-x.at/en/gaia-x-austria/ Gaia-X Hub Austria] (Koordinator: [https://www.ait.ac.at/ AIT [Austrian Institute of Technology GmbH]])
* [https://www.ispa.at/startseite/ ISPA (Internet Service Providers Austria)][[Datei:Ispa logo.png|links|mini]]

* [https://www.ossbig.at/ OSSBIG (Open Source Business Innovation Group)]

[[Datei:Ossbig logo.png|links|mini]]

* [https://uniko.ac.at/ uniko (Österreichische Universitätenkonferenz)]
** [https://www.medunigraz.at/ Medizinische Universität Graz]
** [https://www.uibk.ac.at/de/ Universität Innsbruck]
** [https://www.plus.ac.at/ Paris Lodron Universität Salzburg]

Liste der Beteiligten im ATLAWS-Projekt

2025-02-27T19:58:17Z

DavidMSchneeberger:

Folgende Organisationen sind im co-creation-Prozess von ATLAWS beteiligt:

[https://www.austriatech.at/ AustriaTech GmBH]
[[Datei:Austriatech.jpg|links|mini]]

* [https://www.bmbwf.gv.at/ BMBWF (Bundesministerium für Bildung, Wissenschaft und Forschung)]
[[Datei:BMBWF Logo.png|links|mini]]

* [https://www.bmf.gv.at/ BMF (Bundesministerium für Finanzen)]
* [https://www.gaia-x.at/en/gaia-x-austria/ Gaia-X Hub Austria] (Koordinator: [https://www.ait.ac.at/ AIT [Austrian Institute of Technology GmbH]])
* [https://www.ispa.at/startseite/ ISPA (Internet Service Providers Austria)]
* [[Datei:Ispa logo.png|links|mini]]

* [https://www.ossbig.at/ OSSBIG (Open Source Business Innovation Group)]

[[Datei:Ossbig logo.png|links|mini]]

* [https://uniko.ac.at/ uniko (Österreichische Universitätenkonferenz)]
** [https://www.medunigraz.at/ Medizinische Universität Graz]
** [https://www.uibk.ac.at/de/ Universität Innsbruck]
** [https://www.plus.ac.at/ Paris Lodron Universität Salzburg]

Datei:Ispa logo.png

2025-02-27T19:57:52Z

DavidMSchneeberger:

ISPA Logo

Datei:Ossbig logo.png

2025-02-27T19:56:55Z

DavidMSchneeberger:

OSSBIG Logo

Datei:BMBWF Logo.png

2025-02-27T19:56:02Z

DavidMSchneeberger:

BMBWF Logo

Datei:Austriatech.jpg

2025-02-27T19:53:46Z

DavidMSchneeberger:

AustriaTech Logo

Liste der Beteiligten im ATLAWS-Projekt

2025-02-27T19:52:38Z

DavidMSchneeberger:

Folgende Organisationen sind im co-creation-Prozess von ATLAWS beteiligt:

* [https://www.austriatech.at/ Austria Tech GmBH]
* [https://www.bmbwf.gv.at/ BMBWF (Bundesministerium für Bildung, Wissenschaft und Forschung)]
* [https://www.bmf.gv.at/ BMF (Bundesministerium für Finanzen)]
* [https://www.gaia-x.at/en/gaia-x-austria/ Gaia-X Hub Austria] (Koordinator: [https://www.ait.ac.at/ AIT [Austrian Institute of Technology GmbH]])
* [https://www.ispa.at/startseite/ ISPA (Internet Service Providers Austria)]
* [https://www.ossbig.at/ OSSBIG (Open Source Business Innovation Group)]
* [https://uniko.ac.at/ uniko (Österreichische Universitätenkonferenz)]
** [https://www.medunigraz.at/ Medizinische Universität Graz]
** [https://www.uibk.ac.at/de/ Universität Innsbruck]
** [https://www.plus.ac.at/ Paris Lodron Universität Salzburg]

Cyber Solidarity Act

2025-02-27T08:48:55Z

DavidMSchneeberger:

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2025|Nummer=38|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2025/38 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über Maßnahmen zur Stärkung der Solidarität und der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen und zur Änderung der Verordnung (EU) 2021/694|Kurztitel=Cyber Solidarity Act|Bezeichnung=|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|173|AEUV|dejure|}} Abs 3 und {{Art.|322|AEUV|dejure|}} Abs 1 lit a|Fundstelle=ABl L 2025/38, 1|Anzuwenden=4. Februar 2025|Gültig=anwendbar}}
== Einführung ==
Die Verordnung (EU) 2025/38 (Cyber Solidarity Act)<ref>https://eur-lex.europa.eu/eli/reg/2025/38/oj</ref> ist eine Vorstoß der EU um bedeutende und groß angelegte Bedrohungen und Angriffe im Bereich der Cybersicherheit zu erkennen, sich darauf vorzubereiten und darauf zu reagieren. Der Rechtsakt umfasst ein europäisches Warnsystem für Cybersicherheit, das aus EU-weit miteinander verbundenen Sicherheitsoperationszentren besteht, sowie einen umfassenden Mechanismus für Cybersicherheitsnotfälle, um die Widerstandsfähigkeit der EU im Cyberbereich zu verbessern.<ref>European Commission: The EU Cyber Solidarity Act https://digital-strategy.ec.europa.eu/en/policies/cyber-solidarity 08.08.2024</ref>

== Anwendungsbereich ==
Der Cyber Solidarity Act verweist auf Art. 6 Abs. 38 [[Network and Information Security Directive (NIS II-RL)|NIS II-Richtlinie]] (Art. 2 Abs 4. CSA) sowie Tätigkeiten der Einrichtung in den '''Anhang I''' oder '''II''' der NIS2-RL, welche als kritisch bzw. hochkritische Sektoren bezeichnet werden. (Art. 2 Abs 5. CSA)

Ein allgemeiner Verweis auf Art 3 NIS II-RL ist nicht vorhanden, weshalb gerade der größenunabhängige Anwendungsbereich der NIS2 II-RL im Grundbegriff nciht erfasst ist. Im Hinblick auf die Inanspruchnahme von Unterstützung aus der EU-Cybersicherheitsreserve sind Entitäten in Art. 14 Abs. 2 CSA aber doch wieder erwähnt. Systematisch wird damit der rechtspolitisch fragwürdige Eindruck erweckt, dass die Stellen des Art. 3 NIS-II-RL nur in diesem engen Rahmen vom CSA erfasst sind und z.B. nicht am Cybersecurity Shield teilnehmen sollen.

== Zentrale Inhalte ==

=== Europäischer Cybersicherheitsschild ===
Das European Cyber Shield besteht aus einer pan-europäischen Infrastruktur von Nationalen Sicherheitsoperationszentren (National SOCs) und Grenzüberschreitenden Sicherheitsoperationszentren (Cross-border SOCs). Die SOCs sind miteinander vernetzt und bilden eine EU-weite Infrastruktur zur Cybersicherheit.

==== Funktionsweise ====
Das European Cyber Shield operiert folgendermaßen (Art 3 CSA):

# Erkennung von Cyberbedrohungen und -vorfällen durch die vernetzten SOCs
# Analyse der gesammelten Daten mithilfe von KI und Datenanalyse
# Ausgabe von grenzüberschreitenden Warnungen bei identifizierten Bedrohungen
# Ermöglichung einer schnelleren und effizienteren Reaktion auf größere Cybervorfälle durch Behörden und relevante Einrichtungen

Verpflichtungen zur Bereitstellung von Daten durch Entitäten oder zur Regelungen des Verhältnisses zu den Bestimmungen der DSGVO sind nicht erkennbar. Der Enschluss mehrerer Institution Daten über Cyberbedrohungen zu teilen ist freiwillig und vertrauensbasiert. Wenn Mitgliedstaaten vom System profitieren möächten, haben sie die in diesem Zusammenhang in Frage kommenden Institutionen so attraktiv wie möglich zu gestalten.

=== Prüfung kritischer Einrichtungen auf potenzielle Schwachstellen ===
Die koordinierten Bereitschaftstests dienen dazu, potenzielle Schwachstellen in kritischen Infrastrukturen zu identifizieren, die diese anfällig für Cyberbedrohungen machen könnten. Die Tests werden koordiniert durchgeführt, um die Cybersicherheitsbereitschaft der ausgewählten Einrichtungen zu überprüfen. Dabei werden gemäß Art. 2 Abs 9. iVm Art 11 CSA Potenzielle Schwachstellen identifiziert, die Reaktionsfähigkeit auf Cyberbedrohungen getestet, Verbesserungspotenziale geprüft. Nachdem keine Mitwirkungspflichten der Entitäten normiert sind, dürfte die Mitwirkung an den Prüfungen seitens der geprüften Entitäten freiwillig sein.

== Synergien ==

===== Risikomanagement in der Cybersicherheit =====

=== CSA ===
* Stärkt die Fähigkeit der EU, auf große Cyberangriffe zu reagieren, indem es ein Netzwerk von nationalen und grenzüberschreitenden Sicherheitsoperationszentren (SOC) fördert und die Zusammenarbeit bei Cyberkrisen stärkt. Über das vorgesehene Netzwerks von SOCs, sollten Bedrohungsdaten in Echtzeit ausgetauscht werden.

=== NIS2-RL ===
* Verlangt von Organisationen aus kritischen Sektoren, robuste Cybersicherheitsmaßnahmen einzuführen, um die Resilienz gegenüber Cyberbedrohungen zu erhöhen.

'''Synergie''' Die verstärkte Sicherheitsinfrastruktur (z. B. durch SOCs) unterstützt Unternehmen und öffentliche Einrichtungen dabei, die unter NIS-II RL geforderten Standards besser einzuhalten, insbesondere durch frühzeitige Erkennung von Bedrohungen und Informationsaustausch.

== Konsequenzen/Strafen ==
Der CSA enthält keine Sanktionsmechanismen.

== Weiterführende Literatur ==

== Einzelnachweise ==

Cyber Security Act (CSA)

2025-02-27T08:48:09Z

DavidMSchneeberger:

'''Änderung durch'''{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2025|Nummer=37|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2025/37 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste|Kurztitel=Cyber Security Act/Rechtsakt zur Cybersicherheit|Bezeichnung=CSA|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2025/37, 1|Anzuwenden=4. Februar 2025|Gültig=anwendbar}}

'''Ursprungsrechtsakt'''

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2019|Nummer=881|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013|Kurztitel=Cyber Security Act/Rechtsakt zur Cybersicherheit|Bezeichnung=CSA|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2019/151, 15|Anzuwenden=27. Juni 2019|Gültig=anwendbar}}

== Einführung ==
Die Verordnung (EU) 2019/881 (Cybersecurity Act bzw. CSA), die im Juni 2019 in Kraft trat, verfolgte zwei Hauptziele: Zum einen stärkte es die Position der EU-Agentur für Cybersicherheit (ENISA), indem es ihr ein dauerhaftes Mandat erteilte und ihre Aufgaben sowie Ressourcen erweiterte. Zum anderen führte es einen EU-weiten Zertifizierungsrahmen für Cybersicherheit ein, der einheitliche Standards für IKT-Produkte, -Dienste und -Prozesse in der gesamten EU etablieren sollte.

Die Novelle 2025 zum Cyber Security Act<ref>https://eur-lex.europa.eu/eli/reg/2025/37/oj</ref>, die am 4. Februar 2025 in Kraft tritt, baut auf der ursprünglichen Verordnung auf und führt mehrere Neuerungen ein.

== Zentrale Inhalte ==

=== Rolle und Kompetenzen der Europäischen Agentur für Netz- und Informationssicherheit ([https://www.enisa.europa.eu/ ENISA):] (Artikel 4-45 CSA): ===
* Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU.
* Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit.
* Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten
* Entwicklung und Verwaltung des europäischen Rahmens für die Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen

=== Einführung eines EU-weiten Zertifizierungssystems (Artikel 46-65 CSA) ===
Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit:

* Es wird ein EU-weites Zertifizierungssystem für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologie eingeführt.
* Die ENISA ist für den Aufbau und die Pflege dieses Zertifizierungsrahmens zuständig.
* Das System legt einheitliche Anforderungen und Bewertungskriterien für Cybersicherheit in der gesamten EU fest.
* Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein.

==== Cybersecurity-Zertifizierungsschema für ICT-Produkte der Europäischen Union (EU CC-Schema) ====
Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen,<ref>https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj</ref> welcher auf dem [https://www.sogis.eu/ SO-GIS] Schema basiert. Das EUCC-System basiert auf Freiwilligkeit und ermöglicht es IKT-Anbietern, die einen Zuverlässigkeitsnachweis erbringen wollen, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Es schlägt zwei Sicherheitsstufen vor, die sich nach dem Risiko richten, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, und zwar in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Das EUCC ist damit das erste europäische Zertifizierungsschema und wird am 27. Februar 2025 in Geltung treten.<ref>https://www.bundeskanzleramt.gv.at/themen/cybersicherheit/nationale-behoerde-fuer-cybersicherheitszertifizierung/common-criteria-eucc.html</ref>

Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, [https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme EUCS für Cloud-Dienste] und [https://www.enisa.europa.eu/topics/critical-information-infrastructures-and-services/telecoms/5g EU5G] für 5G-Sicherheit.

=== Novelle 2025: Cybersicherheitszertifizierung für "Verwaltete Sicherheitsdienste"<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52023PC0208</ref> <ref>https://www.consilium.europa.eu/en/press/press-releases/2024/12/02/cybersecurity-package-council-adopts-new-laws-to-strengthen-cybersecurity-capacities-in-the-eu/pdf/</ref> ===
Mit dem Vorschlag wird eine Begriffsbestimmung für „verwaltete Sicherheitsdienste“ eingeführt, die an die Begriffsbestimmung für „Anbieter verwalteter Sicherheitsdienste“ in der NIS-2-Richtlinie angelehnt ist. Verwaltete Sicherheitsdienste sind Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kund*innen bestehen (Art. 1 Abs. 2 CSA-N). Außerdem wird ein neuer Artikel 51a über die Sicherheitsziele der europäischen Systeme für die Cybersicherheitszertifizierung eingefügt, die auf verwaltete Sicherheitsdienste abgestimmt sind. Auf dieser Basis kann die EU-Kommission einen delegierten Rechtsakt für ein Zertifizierungsschema für verwaltete Sicherheitsdienste annehmen.

== Strafen/sonstige Konsequenzen ==
Art 65 CSA hält Mitgliedsstaaten an wirksame, verhältnismäßige und abschreckende Sanktionen bei Verstößen gegen EU Cybersicherheitsschemata zu erlassen.

== Synergien ==

=== CSA ===
* Der CSA zielt darauf ab, einheitliche Rahmenbedingungen für die Cybersicherheitszertifizierung in der EU zu schaffen, indem er freiwillige Zertifizierungsschemata etabliert. Diese dienen dazu, das Vertrauen in digitale Produkte, Dienstleistungen und Prozesse zu stärken. Die EU-Agentur für Cybersicherheit (ENISA) spielt eine zentrale Rolle bei der Entwicklung dieser Schemata.

=== CRA ===
* Der CRA legt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, um ein Mindestmaß an Sicherheit in der gesamten EU zu gewährleisten. Bestimmte Produkte müssen einer verpflichtenden Zertifizierung unterzogen werden.

Vorliegende CSA-Zertifizierungsschemata können in bestimmten Bereichen verwendet werden, um die Einhaltung Anforderungen des CRA zu belegen.

== Einzelnachweise ==

Datenstrategie

2025-02-27T08:46:09Z

DavidMSchneeberger: /* Datenräume */

== Rechtsakte ==
* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]
* [[European Health Data Space (EHDS)]]

== Inhaltsverzeichnis ==
__INHALTSVERZEICHNIS__

== Hintergrund ==
[[Datei:Datenstrategie.jpg|mini|Die Säulen der Europäischen Datenstrategie]]"Daten sind die Lebensader der wirtschaftlichen Entwicklung"<ref name=":0">Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 3.</ref> - mit dieser Aussage unterstreicht die Europäische Kommission in ihrer Datenstrategie<ref name=":0" /> (einem Teil der Digitalstrategie<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Gestaltung der digitalen Zukunft Europas COM(2020) 67 final. Siehe auch die Ausführungen im [[Digitale Dienste und Märkte|Cluster Digitale Dienste und Märkte]].</ref>) die fundamentale Bedeutung von Daten in der modernen Wirtschaft. Die Verfügbarkeit und effiziente Nutzung von Daten bildet dabei das Fundament für die Entwicklung einer wettbewerbsfähigen und innovativen Datenwirtschaft. Das Potenzial von Daten zeigt sich in vielen Bereichen, wie beispielsweise im Gesundheitswesen durch personalisierte Medizin, in der öffentlichen Verwaltung durch eine verbesserte Krisenbewältigung oder in der Wirtschaft durch die Entwicklung neuer Geschäftsmodelle.

Um dieses Potenzial zu erschließen, wurde in der Datenstrategie das zentrale Ziel definiert, einen Binnenmarkt für Daten zu schaffen. Dieser soll eine EU-weite und branchenübergreifende Datenweitergabe ermöglichen, die dem Nutzen von Wirtschaft, Wissenschaft und Verwaltung dient. Kennzeichnend für diesen europäischen Weg ist das Bestreben, eine führende Rolle in der Datenwirtschaft einzunehmen und dabei die europäischen Grundwerte durch strenge Datenschutz-, Sicherheits- und Ethik-Standards kompromisslos zu wahren.<ref>Nur durch die Förderung von Vertrauen, insb durch die Wahrung der Betroffenenrechte, können die gesellschaftlichen und wirtschaftlichen Vorteile der Datenweitergabe voll ausgeschöpft werden, vgl ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 4 ff.</ref> In Umsetzung dieser Vision sollen Datenräume, wie der [[European Health Data Space (EHDS)|Europäische Gesundheitsdatenraum]], geschaffen werden.<ref>Siehe die Auflistung in der Anlage zu COM(2020) 66 final, 30 ff.</ref>

Die Europäische Datenstrategie basiert auf vier Säulen:<ref name=":0" />

# '''Ein sektorübergreifender Governance-Rahmen für Datenzugang und Datennutzung:'''
#* Der Data Governance Act ([[Data Governance Act (DGA)|DGA]]) etabliert ein neues Regelungsregime für die Weiterverwendung öffentlicher und geschützter Daten.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, <nowiki>https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained</nowiki> (Stand 11.10.2024).</ref> Eine Schlüsselrolle kommt '''Datenvermittlungsdiensten''' zu.<ref>ErwGr 27 [[Data Governance Act (DGA)|DGA]].</ref>
#* Der [[Data Act (DA)]] komplettiert diesen Rahmen durch Regelungen für die Nutzung von Daten vernetzter Produkte und damit verbundener Dienste, wie etwa im Internet der Dinge (IoT) und bei Industriemaschinen.
# '''Infrastrukturelle Voraussetzungen:'''
#* Investitionen in Daten,
#* Stärkung der europäischen Kapazitäten und Infrastrukturen für
#** das Hosting,
#** die Verarbeitung und die Nutzung von Daten, sowie
#** der Interoperabilität.
# '''Kompetenzaufbau:'''
#* Stärkung individueller Handlungskompetenzen im Umgang mit Daten,<ref>Zu diesem Zweck werden zusätzlich zum Recht auf Datenportabilität nach Art 20 DSGVO [[Data Act (DA)#Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten|Zugangsrechte im Data Act]] eingeräumt. </ref>
#* Investitionen in Kompetenzen und allgemeine Datenkompetenz,
#* Gezielter Kapazitätsaufbau für KMU.
# '''Gemeinsame europäische Datenräume in strategischen Sektoren und Bereichen von öffentlichem Interesse:''' Die Strategie sieht die Schaffung sektorspezifischer Datenräume vor, exemplarisch sei hier der Europäische Gesundheitsdatenraum genannt.
Die Prinzipien der Europäischen Datenstrategie finden auch auf nationaler Ebene Resonanz: Österreich hat im Oktober 2024 eine '''eigene Datenstrategie''' veröffentlicht.<ref>''Bundeskanzleramt Österreich'', Digital Austria, https://www.digitalaustria.gv.at/Strategien/Datenstrategie.html (Stand Juni 2024).</ref>

== Das Projekt Gaia-X ==
[https://gaia-x.eu/ Gaia-X], eine von Deutschland und Frankreich begründete europäische Initiative, verfolgt das Ziel, eine '''souveräne digitale Infrastruktur''' für den sicheren und vertrauenswürdigen Datenaustausch zu etablieren. Bei Gaia-X handelt es sich weder um eine Cloud noch um einen Datenraum. Vielmehr konstituiert Gaia-X ein föderiertes System, das auf einer klar definierten technologischen Architektur basiert und durch standardisierte Regeln den rechtssicheren Austausch zwischen Diensteanbietern und Nutzern gewährleistet.<ref>About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 24.1.2025); ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (181) mwN.</ref>

Durch die Entwicklung gemeinsamer Datenökosysteme fördert Gaia-X die Interoperabilität zwischen Datensystemen, während strenge Standards für Datenschutz und Sicherheit eine '''gemeinsame''' '''vertrauenswürdige Basis''' schaffen. Damit trägt Gaia-X wesentlich zur Stärkung der Datensouveränität und zur Umsetzung der EU-Datenstrategie bei.<ref>''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (180).</ref>

Das Projekt wird dezentral, in sog "Hubs" organisiert, als gemeinsamer Koordniator fungiert die Gaia-X European Association for Data and Cloud AISBL (Gaia-X AISBL)<ref>''gaia-x'', Association. https://gaia-x.eu/who-we-are/association/ (abgerufen am 24.1.2025).</ref>. Der [https://www.gaia-x.at/ Gaia-X Hub Österreich] koordiniert die Teilnahme österreichischer Unternehmen und Institutionen und unterstützt deren Zusammenarbeit mit europäischen Partnern.<ref>''AIT'', Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 24.1.2025).</ref>

Die folgenden Prinzipien prägen den Ansatz von Gaia-X:<ref>''Bonfiglio'', Vision and Strategy (Stand 17.12.2021), https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.</ref>

* '''Offen''': Gaia-X nutzt offene Spezifikationen und quelloffenen Code, um Standards und Dienste zugänglich und überprüfbar zu machen.
* '''Transparent''': Es bietet nachvollziehbare Informationen über die Eigenschaften und Konformität von Diensten.
* '''Souverän''': Es ermöglicht digitale Selbstbestimmung durch klare Rahmenbedingungen für Datenkontrolle und technische Unabhängigkeit.
* '''Fair''': Es schafft gleiche Wettbewerbsbedingungen durch Standards für Interoperabilität und Datennutzung.
* '''Unabhängig''': Gaia-X ist eine unabhängige Organisation, die die Interessen aller Mitglieder gleichermaßen vertritt.
* '''Inklusiv''': Es steht Akteur*innen weltweit offen, wobei europäische Prinzipien und Regeln eingehalten werden.
* '''Frei''': Die Open-Source-Werkzeuge werden unentgeltlich zur Verfügung gestellt.
* '''Föderiert''': Es fördert föderierte Strukturen für sicheren und kontrollierten Datenaustausch.
* '''Innovativ''': Zukunftsweisende Technologien, zB Dezentralisierte Architekturen, Distributed Consensus, Digital Ledgers, Verifiable Credentials und Compute to Data, werden eingesetzt und das Projekt wird laufend fortentwickelt.
* '''Evolutionär''': Es setzt auf kontinuierliche Verbesserung durch iterative Prozesse und offene Zusammenarbeit.

== Datenräume (Data Spaces) ==
Definition für Datenraum:<blockquote>"Ein verteiltes System, das durch einen Governance-Rahmen definiert ist und sichere sowie vertrauenswürdige Datentransaktionen zwischen Teilnehmenden ermöglicht, während Vertrauen und Datensouveränität unterstützt werden. Ein Datenraum wird durch eine oder mehrere Infrastrukturen umgesetzt und ermöglicht einen oder mehrere Anwendungsfälle."<ref>''Data Spaces Support Centre (DSSC)'', Glossary2.0, 8, https://dssc.eu/space/Glossary/176553985/DSSC+Glossary+%7C+Version+2.0+%7C+September+2023 (Stand 27.9.2023).</ref></blockquote>Datenräume können verschiedenen Akteur*innen Vorteile bieten, darunter:<ref>Vgl ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.</ref>

* '''Politische Entscheidungsträger*innen:''' Sie benötigen Zugang zu Daten, um fundierte Entscheidungen in gesellschaftlichen Angelegenheiten treffen zu können.
* '''Private Unternehmen:''' Sie nutzen Daten, um interne Prozesse zu verbessern, Innovation voranzutreiben und branchenspezifische Herausforderungen zu bewältigen.
* '''Forschungseinrichtungen:''' Sie greifen auf Daten zu, um wissenschaftliche Erkenntnisse zu gewinnen oder um KI-Modelle zu trainieren.

'''Beispiele''': [[European Health Data Space (EHDS)|EHDS]]; Öffentlicher Beschaffungsdatenraum (PPDS)<ref>''Europäische Kommission'', The Public Procurement Data Space (PPDS), https://single-market-economy.ec.europa.eu/single-market/public-procurement/digital-procurement/public-procurement-data-space-ppds_en (abgerufen am 24.1.2025).</ref>

Gemeinsame europäische Datenräume sollen dafür sorgen, dass Daten den sog '''"FAIR"-Grundsätzen''' entsprechen (EG 2 DGA):
* '''F'''indable (auffindbar),
* '''A'''ccessible (zugänglich),
* '''I'''nteroperable (interoperabel)
* '''R'''eusable (wiederverwendbar)
Der '''Data Act''' definiert klare Regeln für den Zugang, die Nutzung und die Weitergabe von Daten. Damit unterstützt er eine rechtssichere und vertrauenswürdige Dateninfrastruktur, die den FAIR-Grundsätzen entspricht und die Nutzung europäischer Datenräume effektiv ermöglicht.

=== Training von KI-Modellen ===
Die Verfügbarkeit von Daten ist wesentlich für die Entwicklung von [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|KI-Modellen]]. Der Datenaustausch über Datenräume bietet große Vorteile:<ref>''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 51, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Stand 5.11.2024).</ref>

* '''Zugang zu hochwertigen und vielfältigen Datensätzen:''' Datenräume bieten sichere und effiziente Rahmenbedingungen für den Datenaustausch und ermöglichen den Zugriff auf diverse, domänenspezifische Datensätze, einschließlich Industriedaten, die für die Entwicklung generativer KI entscheidend sind.
* '''Förderung von Innovation und Kollaboration:''' Datenräume bieten eine Ökosystemperspektive, die Innovation, Zusammenarbeit und Partnerschaften zwischen den beteiligten Akteur*innen fördert und dadurch neue Geschäftsmöglichkeiten schafft.
* '''Einhaltung gesetzlicher Vorgaben:''' Sie unterstützen die Einhaltung des rechtlichen Rahmens, wie der Datenschutz-Grundverordnung (DSGVO) und des [[Artificial Intelligence Act (AIA)#Kurzübersicht|KI-Gesetzes (AI Act)]], wodurch Transparenz, Rechenschaftspflicht und rechtliche Konformität sichergestellt werden.
* '''Förderung von Interoperabilität und Synergien:''' Durch die Nutzung standardisierter Ansätze ermöglichen Datenräume die Interoperabilität zwischen verschiedenen Domänen und fördern Synergien über Branchen hinweg.
* '''Unterstützung von Governance- und Sicherheitsanforderungen:''' Sie schaffen Rahmenbedingungen, die Daten-Governance, den Schutz geistigen Eigentums und die Cybersicherheit berücksichtigen und umsetzen.

== Weiterführende Literatur und Links ==

* Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 3, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066 (abgerufen am 24.1.2025).
* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, <nowiki>https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained</nowiki> (Stand 11.10.2024).
* ''Bundeskanzleramt'', Österreichische Datenstrategie https://www.data.gv.at/wp-content/uploads/2024/10/Datenstrategie_barrierefrei_final-02102024.pdf (Stand Juni 2024).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 24.1.2025).
* ''Hoeren/Pinelli'', Data Law (November 2024).
* About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 24.1.2025).
* AIT, Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 24.1.2025).
* ''Bonfiglio'', Vision and Strategy (Stand 17.12.2021), https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.
* ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.
* ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X, in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177.

== Einzelnachweise ==

Hauptseite

2025-02-27T08:45:28Z

DavidMSchneeberger: /* Co-Creation-Workshops */

Herzlich Willkommen im ATLAWS-Wiki

ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

[[Datei:ATLAWS Landkarte.png|mini|alternativtext=ATLAWS Landkarte]]

= Einführung in das ATLAWS-Projekt =

Das ATLAWS-Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Damit sollen essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert werden. So soll ein rascher Gesamtüberblick über den aktuellen rechtlichen Stand ermöglicht werden.

Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.

Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.

Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo können Synergien erzielt werden?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?

Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.

Nähere Informationen zum Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].

Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].

= Cluster =

Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern, wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen jeweils eigene Workshops abgehalten wurden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Cybersecurity]] ===

* [[Network and Information Security Directive (NIS II-RL)|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)]]

=== [[Künstliche Intelligenz]] ===

* [[Artificial Intelligence Act (AIA)]]
* [[KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Digitale Dienste und Märkte]] ===

* [[Digital Markets Act (DMA)]]
* [[Digital Services Act (DSA)]]
* [[Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Datenstrategie]] ===

* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]
* [[European Health Data Space (EHDS)]]

= Beteiligte Organisationen im ATLAWS-Projekt =
[[Liste der Beteiligten im ATLAWS-Projekt]]

= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den abgehaltenen Workshops finden Sie [[Co-creation-workshops|hier]].

= Mitarbeiter*innen im ATLAWS-Projekt =
[[Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise =

== Hinweis zum gendergerechten Sprachgebrauch ==
Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.

In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung ==
Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.

Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe =

Besuche unsere [[Hilfe|Hilfe-Seite]].

= Einzelnachweise =

Hauptseite

2025-02-27T08:45:06Z

DavidMSchneeberger: /* Cluster */

Herzlich Willkommen im ATLAWS-Wiki

ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

[[Datei:ATLAWS Landkarte.png|mini|alternativtext=ATLAWS Landkarte]]

= Einführung in das ATLAWS-Projekt =

Das ATLAWS-Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Damit sollen essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert werden. So soll ein rascher Gesamtüberblick über den aktuellen rechtlichen Stand ermöglicht werden.

Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.

Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.

Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo können Synergien erzielt werden?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?

Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.

Nähere Informationen zum Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].

Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].

= Cluster =

Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern, wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen jeweils eigene Workshops abgehalten wurden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Cybersecurity]] ===

* [[Network and Information Security Directive (NIS II-RL)|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)]]

=== [[Künstliche Intelligenz]] ===

* [[Artificial Intelligence Act (AIA)]]
* [[KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Digitale Dienste und Märkte]] ===

* [[Digital Markets Act (DMA)]]
* [[Digital Services Act (DSA)]]
* [[Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Datenstrategie]] ===

* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]
* [[European Health Data Space (EHDS)]]

= Beteiligte Organisationen im ATLAWS-Projekt =
[[Liste der Beteiligten im ATLAWS-Projekt]]

= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den vergangenen Workshops finden Sie [[Co-creation-workshops|hier]].

= Mitarbeiter*innen im ATLAWS-Projekt =
[[Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise =

== Hinweis zum gendergerechten Sprachgebrauch ==
Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.

In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung ==
Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.

Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe =

Besuche unsere [[Hilfe|Hilfe-Seite]].

= Einzelnachweise =

Digital Operational Resilienec Act (DORA)

2025-02-26T20:54:21Z

DavidMSchneeberger: /* Kurzübersicht */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=2554|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011|Kurztitel=Digital Operational Resilienec Act|Bezeichnung=DORA|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/333, 1|Anzuwenden=17. Januar 2025|Gültig=anwendbar}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen
|-
|Operationale Resilienz im Finanzsektor stärken
|Finanzunternehmen
|Management von IKT-Risiken und Vorfällen
|NIS2-RL
|National festgelegte Verwaltungsstrafen gegen Finanzunternehmen<ref>DORA-Vollzugsgesetz (DORA-VG) https://www.parlament.gv.at/gegenstand/XXVII/I/2596.</ref>
|-
|
|IKT-Dienstleister
|Prüfung digitaler Betriebsstbilität
|DSGVO
|Geldstrafe von bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes gegen Drittdienstleister
|-
|
|
|Lieferkettenmanagement
|
|Veröffentlichung von Strafen
|-
|
|
|Informationsaustausch
|
|
|}

== Einführung ==
Die DORA-Verordnung (Digital Operational Resilience Act) ist eine umfassende Regelung zur digitalen Resilienz, die speziell für den '''Finanzsektor''' der Europäischen Union entwickelt wurde. Sie ergänzt bestehende Regelungen und baut auf bekannten Konzepten wie Informationssicherheit, Datenschutz und Risikomanagement auf, um die Widerstandsfähigkeit gegenüber IKT-Risiken zu stärken.

Gleichzeitig mit DORA wurde die Richtlinie 2022/2556 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor („'''DORA-RL'''“)<ref>RL (E) 2022/2556 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl L 2022/333, 153.</ref> sowie Richtlinie (EU) 2022/2557 über die [[Critical Entities‘ Resilience Directive (CER)|Resilienz kritischer Einrichtungen]], welche einzelne Anpassungen von mehreren Richtlinien, vorsieht, erlassen. Die ab dem 17. 1. 2025 anwendbare DORA-RL muss von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden.

Die '''Delegierte Verordnung''' (EU) 2024/1774 vom 13. März 2024 ergänzt die DORA zusätzlich.

Im Verhältnis zur NIS2-RL nimmt DORA eine besondere Stellung ein, da sie gemäß ErwGr 16 DORA als lex specialis gilt und somit Vorrang vor NIS2-RL hat. Diese Vorrangstellung von DORA bedeutet, dass für Finanzunternehmen primär die DORA-Vorschriften maßgeblich sind. In Bereichen, in denen NIS2-RL spezifischere Regelungen als DORA vorsieht, gelten diese NIS2-Vorschriften ergänzend zu DORA. Die Implementierung von DORA und Umsetzungsgesetzgebung zu NIS2 hat auch Auswirkungen auf nationale Regularien und Anforderungsvorgaben. Bestehende nationale Vorschriften (Oktober 2024 ist die NIS2-RL in Österreich noch nicht umgesetzt), sie diese beachtlich.

== Anwendungsbereich ==

==== Persönlicher / Sachlicher Anwendungsbereich ====
DORA ist auf in Art 2 Abs 1 lit a bis t DORA angeführte Tätigkeitsbereiche (sog. „'''Finanzunternehmen'''“) anwendbar. Hierzu zählen (a) Kreditinstitute, (b) Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute, (c) Kontoinformationsdienstleister, (d) E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute, (e) Wertpapierfirmen, (f) Anbieter von Krypto-Dienstleistungen, die gemäß der sogenannten „Verordnung über Märkte von Krypto-Werten“ zugelassen sind, und Emittenten wertreferenzierter Token, (g) Zentralverwahrer, (h) zentrale Gegenparteien, (i) Handelsplätze, (j) Transaktionsregister, (k) Verwalter alternativer Investmentfonds, (l) Verwaltungsgesellschaften, (m) Datenbereitstellungsdienste, (n) Versicherungs- und Rückversicherungsunternehmen, (o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, (p) Einrichtungen der betrieblichen Altersversorgung, (q) Ratingagenturen, (r) Administratoren kritischer Referenzwerte, (s) Schwarmfinanzierungsdienstleister und (t) Verbriefungsregister.

Darüber hinaus sind Unternehmen erfasst, die IT-Leistungen an Finanzunternehmen erbringen (sog. „IKT-Drittdienstleister“), wie etwa Cloud-Anbieter.

'''Ausnahmen'''

Außerhalb des Anwendungsbereichs stehen zudem gemäß Art 2 Abs 3 (a) Verwalter alternativer Investmentfonds im Sinne von Art 3 Abs 2 der Richtlinie 2011/61/EU, (b) Versicherungs- und Rückversicherungsunternehmen im Sinne von Art 4 der Richtlinie 2009/138/EG, (c) Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben, (d) gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen, (e) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt, sowie (f) Postgiroämter im Sinne von Art 2 Abs 5 Z 3 der Richtlinie 2013/36/EU.

Weitreichende Ausnahmen von den Verpflichtungen bestehen für Kleinstunternehmen (dh Finanzunternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Mio EUR nicht überschreitet).

DORA betrifft '''alle Finanzinstitute''', wenn sie in den Anwendungsbereich fallen, unabhängig von ihrer Größe oder Struktur. Eine Einschränkung des Scopes auf lokaler Ebene ist nicht möglich. Die Begriffsdefinitionen, zB "kritische Dienste" und "wesentliche Dienste", können nicht modifiziert werden. Wenn ein Unternehmen betroffen ist, dann in seiner Gesamtheit, einschließlich etwaiger Tochtergesellschaften oder Nebentätigkeiten (theoretisch auch der Betriebskindergärten).

==== Territorialer Anwendungsbereich ====
Der territoriale Anwendungsbereich des DORA umfasst primär alle Finanzunternehmen und relevante IKT-Dienstleister, die in der Europäischen Union tätig sind. Zusätzlich zu den in der EU ansässigen Finanzunternehmen und IKT-Dienstleistern betrifft DORA auch Niederlassungen und Tochtergesellschaften von EU-Finanzunternehmen, die sich außerhalb der Union befinden, sofern diese Niederlassungen und Tochtergesellschaften Dienstleistungen in die EU erbringen. So soll die operationelle Resilienz des Finanzsektors in der gesamten Union sichergestellt werden, auch bei Abhängigkeiten von globalen Anbietern oder internationalen Tochtergesellschaften.

== Zentrale Inhalte ==

=== Management von IKT-Risiken und Vorfällen ===

==== IKT-Risiken ====
Nach dem DORA sind Finanzunternehmen verpflichtet, einen umfassenden internen '''Governance- und Kontrollrahmen''' für das Management von Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken) zu etablieren. Dieser Rahmen muss regelmäßig überprüft und dokumentiert werden, wobei für Kleinstunternehmen lediglich eine regelmäßige Überprüfung ausreicht. Ziel ist es, IKT-Risiken wirksam zu begegnen. Die spezifischen Anforderungen an das IKT-Risikomanagement sind in Art 5 Abs 2 DORA festgelegt. Die Verantwortung für die Definition, Genehmigung und Überwachung des IKT-Risikomanagements liegt beim '''Leitungsorgan''' des jeweiligen Finanzunternehmens, das auch für die Umsetzung der Maßnahmen verantwortlich ist. Finanzunternehmen, die nicht als Kleinstunternehmen eingestuft sind, haben zusätzlich eine unabhängige Kontrollfunktion einzurichten, um die Überwachung und das Management von IKT-Risiken sicherzustellen.

Ein zentraler Aspekt des DORA ist die Verantwortung des Leitungsorgans (zB Vorstand) für die digitale Resilienz. Das Business Continuity Management (BCM) ist dabei das wichtigste Einfallstor für die operative Umsetzung dieser Verantwortung. DORA fordert, dass das Leitungsorgan selbst die notwendigen Sachkenntnisse besitzen muss und die nicht mehr rigoros delegieren darf. Dies könnte zu strukturellen Veränderungen in der Unternehmensführung führen, zB durch die Einbindung eines CIO oder CTO auf Vorstandsebene.

==== IKT-bezogene Vorfälle ====
Darüber hinaus müssen Finanzunternehmen Prozesse etablieren, die sicherstellen, dass IKT-bezogene Vorfälle frühzeitig erkannt, behandelt, klassifiziert und gemeldet werden. Besonders '''schwerwiegende''' IKT-Vorfälle, die nach den Kriterien des Art 18 Abs 1 DORA als solche einzustufen sind, müssen den zuständigen Aufsichtsbehörden in einem dreistufigen Verfahren gemeldet werden. In Fällen, in denen schwerwiegende IKT-Vorfälle die finanziellen Interessen der Kund*innen betreffen, müssen die Finanzunternehmen ihre Kund*innen unverzüglich nach Kenntnis des Vorfalls informieren. Cyberbedrohungen, die gemäß Art 18 Abs 2 DORA als '''erheblich''' einzustufen sind, müssen ebenfalls erfasst werden und können auf freiwilliger Basis gemeldet werden.

Zur Unterstützung der Finanzunternehmen bei der Umsetzung dieser Anforderungen haben die Europäischen Aufsichtsbehörden mehrere technische Regulierungsstandards veröffentlicht. Diese umfassen ua Vorgaben zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie vereinfachte Risikomanagement-Rahmen für Kleinstunternehmen. Weitere RTS spezifizieren die Kriterien für die Klassifizierung von IKT-Vorfällen und Cyberbedrohungen, sowie die Wesentlichkeitsschwellen und Anforderungen an die Meldungen schwerwiegender Vorfälle. Meldung und Einstufung über IKT-bezogene Vorfälle ist mithilfe der harmonisierten '''Standardvorlagen''' durchzuführen.<ref>''European Banking Authority'', Joint Technical Standards on major incident reporting, https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/joint-technical-standards-major-incident-reporting (abgerufen 22. 1. 2025).</ref> Die zuständigen Behörden, an die gemeldet werden muss, unterscheiden sich von denen der NIS2-RL. Eine klare Festlegung und unternehmensinterne Kommunikation der Meldepflichten und der empfangenden Stellen ist wichtig.

=== Prüfung digitaler Betriebsstabilität ===
Bedeutende Finanzunternehmen haben verpflichtend so '''Threat Led Penetration Tests''' durchzuführen. Diese – auch in der Produktionsumgebung durchgeführten – Tests zielen auf die Kern-IT-Systeme des Unternehmens ab. So können Verpflichtete Schwächen, Mängel und Lücken in der digitalen operationellen Resilienz zu identifizieren und unverzüglich Korrekturmaßnahmen zu ergreifen. Die Tests müssen von unabhängigen Parteien durchgeführt werden, um eine objektive Bewertung sicherzustellen. Dabei sind die Tests mindestens einmal jährlich bei den IKT-Systemen oder Anwendungen durchzuführen, die kritische oder wichtige Funktionen unterstützen. Hierbei wird darauf geachtet, dass die Resilienz in diesen Schlüsselbereichen kontinuierlich sichergestellt wird.

DORA spezifiziert in Art 25 Abs 1 verschiedene Arten von Tests, die in Betracht gezogen werden können, darunter Simulationen, Red Teaming oder Penetrationstests. Zusätzlich sind bestimmte Finanzunternehmen nach Art 26 DORA verpflichtet, mindestens alle drei Jahre '''Threat-Led Penetration Tests''' (TLPT) durchzuführen, bei denen gezielt realistische Bedrohungsszenarien simuliert werden. Diese Tests sollen sicherstellen, dass Schwachstellen, die durch herkömmliche Sicherheitsmaßnahmen nicht entdeckt werden, aufgedeckt werden.

Die spezifischen Anforderungen und Elemente dieser TLPT sind in den von den Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA (zusammen die „ESA“)) veröffentlichten technischen Regulierungsstandards (RTS) festgelegt. Die konkrete Methodik, die für diese Tests gemäß DORA anzuwenden ist, beruht auf dem Rahmenwerk TIBER-EU (Threat Intelligence-Based Ethical Red Teaming“) welcher in Österreich durch [https://www.fma.gv.at/tiber-at/ TIBER-AT] umgesetzt wird.

=== Lieferkettenmanagement ===
DORA stellt klare Anforderungen an das Management des IKT-Drittparteienrisikos und die vertraglichen Vereinbarungen mit IKT-Drittdienstleistern, die von Finanzunternehmen beachtet werden müssen. Mit Ausnahme von Kleinstunternehmen haben Finanzunternehmen die Pflicht, eine Strategie zum Management des IKT-Drittparteienrisikos zu entwickeln und regelmäßig zu überprüfen. Diese Strategie umfasst Leitlinien für die Nutzung von IKT-Drittdienstleistungen, die dazu dienen, das Risiko, das durch externe Dienstleister entsteht, effektiv zu steuern. Die Europäische Aufsichtsbehörde (ESA) hat hierzu technische Regulierungsstandards (RTS) veröffentlicht, welche den detaillierten Inhalt dieser Leitlinien spezifizieren.<ref>https://www.eba.europa.eu/publications-and-media/press-releases/esas-published-second-batch-policy-products-under-dora</ref>

==== Informationsregister ====
Ein wesentlicher Bestandteil der Anforderungen ist, dass Finanzunternehmen ein stets aktuelles Informationsregister führen müssen, welches Informationen zu allen ausgelagerten IKT-Prozessen enthält. Dieses Register beinhaltet die entsprechenden vertraglichen Vereinbarungen sowie die Einordnung der Prozesse als kritisch oder nicht kritisch. Auf Anfrage müssen diese Informationen den zuständigen Behörden zur Verfügung gestellt werden. Außerdem müssen Finanzunternehmen jährlich Bericht erstatten über die Anzahl neuer Vereinbarungen mit IKT-Drittdienstleistern, die bereitgestellten Dienstleistungen und Funktionen sowie über die Art der vertraglichen Vereinbarungen. Finanzunternehmen sind außerdem verpflichtet, geplante neue Vereinbarungen bezüglich kritischer Funktionen oder Veränderungen des Status einer Funktion als „kritisch“ den Behörden zeitnah zu melden.

==== Verträge ====
Vor Abschluss eines Vertrags mit einem IKT-Drittdienstleister müssen Finanzunternehmen eine Risikoanalyse durchführen, die die Kriterien von Art 28 Abs 4 und 5 DORA berücksichtigt. Während der Vertragsverhandlungen müssen sie sicherstellen, dass Audit-Frequenzen und zu prüfende Bereiche festgelegt werden, um die Kontrolle über kritische Systeme zu wahren. Des Weiteren sind vertragliche Kündigungsrechte sowie angemessene Ausstiegsstrategien für den Fall einer Beendigung der Vertragsbeziehung festzulegen, insbesondere bei kritischen oder wichtigen Funktionen.

'''Praxistipp:''' Mittelständische Unternehmen sollten Musterverträge vorbereiten, um die Anforderungen an Drittdienstleister klar zu regeln. Viele KMUs verfügen nicht über zentrale Vertragswerke, was die Umsetzung erschwert.

Darüber hinaus sieht DORA in Art 30 spezielle Vertragsbedingungen für die Vergabe von Unteraufträgen durch IKT-Drittdienstleister vor, welche ebenfalls in den technischen Standards der ESA spezifiziert sind. Diese Vorschriften regeln unter anderem die Zulässigkeit der Unterauftragsvergabe sowie die dafür geltenden Kriterien. IKT-Dienstleister fallen vollständig unter den DORA.

==== Überwachung ====
Die Überwachung von IKT-Drittdienstleistern erfolgt durch die ESA, welche nach Art 31 Abs 2 DORA die Drittdienstleister als „kritisch“ einstufen können. Für jeden als kritisch eingestuften IKT-Drittdienstleister wird eine federführende Überwachungsbehörde ernannt, die über weitreichende Befugnisse verfügt. Dazu zählen das Recht auf Informationsanforderungen, Inspektionen und das Aussprechen von Empfehlungen hinsichtlich der Sicherheitsanforderungen und der Unterauftragsvergabe. IKT-Drittdienstleistern können auch zentral geprüft werden . Es stellt sich die Frage, welche Behörde in Österreich diese Prüfungen durchführen wird (evtl. Finanzmarktaufsicht, FMA).

'''Praxistipp:''' Sofern zentrale Prüfungen großer IKT-Dienstleister erfolgen, können sich Unternehmen auf diese Prüfungsergebnisse verlassen und eigene dezentrale Prüfungen minimalhalten.

=== Informationsaustausch ===
Die Vorgaben des DORA ermöglichen es Finanzunternehmen, Informationen und Erkenntnisse über Cyberbedrohungen untereinander – innerhalb vertrauenswürdiger Gemeinschaften und unter Wahrung der Vertraulichkeit potenziell sensibler Informationen – auszutauschen. Dies trägt zur Schärfung des Bewusstseins bei und verstärkt die Fähigkeit, reale informations- und kommunikationstechnologische Vorfälle zu verhindern bzw. deren Auswirkungen wirksamer einzudämmen. Dieser Informationsaustausch wird durch DORA ermöglicht und erfolgt freiwillig. Bei Teilnahme oder Beendigung einer solchen Vereinbarung, erfolgt eine diesbezügliche Meldung an die FMA.<ref>''FMA'', DORA – Informationsaustausch und Notfallübungen, https://www.fma.gv.at/querschnittsthemen/dora/dora-informationsaustausch-und-notfalluebungen/ (abgerufen 22. 1. 2025).</ref>

== Fallbeispiele ==

* Anwendungsbereich: Eine Bank kauft das Core-Banking-System von einem externen Dienstleister ein und verwaltet nur das Vertragsmanagement. Hier muss die Bank dennoch sicherstellen, dass die Anforderungen des DORA erfüllt werden, sowohl hinsichtlich des Risikomanagements als auch des Lieferkettenmanagements.

* In Unternehmen mit einer zentralisierten IT-Governance, wie zB Holding-Strukturen, stellt sich die Frage, wie die Governance optimal gestaltet und eingebunden werden kann. Hierzu müssen zentrale Weisungen klar formuliert und durchgesetzt werden. Dies betrifft sowohl operative Einheiten als auch die Gesamtorganisation.

== Synergien ==

===== Datenschutz =====

* Datenschutz und Informationssicherheit sind eng miteinander verknüpfte Konzepte, die gemeinsam gedacht werden müssen. Jede Maßnahme, wie zB Monitoring und Logging, muss auch in Bezug auf Datenschutzanforderungen betrachtet werden. Art 88 der DSGVO betont den Schutz der Würde des Menschen am Arbeitsplatz, was insbesondere bei eingriffsintensiven Technologien wie KI-gestütztem Anomalie-Monitoring relevant ist. Der Einsatz von KI-Systemen zur Erkennung und Meldung von Anomalien nimmt zu, was potenziell tiefere Eingriffe in den Datenschutz von Mitarbeiter*innendaten bedeutet. Dies muss im Sinne der DSGVO und DORA sorgfältig abgewogen werden.
* Normen wie ISO 27001 und ÖNORM A 2017:2023:06:01 vereinen Datenschutz und Datensicherheit und ist ein geeigneter Anknüpfungspunkt für die Umsetzung von DORA. Sie können konzeptionell in Verbindung mit den entsprechenden DORA-Normen als Umsetzungsstruktur integriert werden.

===== NIS2-RL =====
Die unter DORA entwickelten Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) bieten wertvolle Ansatzpunkte für die Umsetzung der NIS2-RL:

'''Risikomanagement''': Die RTS zu IKT-Risikomanagement unter DORA können als Vorlage für die Implementierung ähnlicher Frameworks unter NIS-II dienen.

'''Incident Reporting''': Die ITS zu Meldepflichten bei schwerwiegenden Vorfällen bieten standardisierte Vorlagen, die auch für NIS2-pflichtige Unternehmen adaptierbar sind.

'''Drittanbieter-Management''': DORA's RTS zur Nutzung von IKT-Diensten und Unterauftragsvergabe können als Best Practices für das Lieferkettenrisikomanagement unter NIS2 genutzt werden.

'''Penetrationstests''': Der RTS zu Threat-Led Penetration Tests (TLPT) unter DORA bietet detaillierte Vorgaben, die auch für kritische Infrastrukturen im Rahmen von NIS-II relevant sind.

* [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1774 RTS zum IKT-Risikomanagement (Art 15, Art. 16 Abs 3)]
* [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1772 RTS zur Klassifizierung von IKT-bezogenen Vorfällen (Art 18 Abs 3)]
* [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1773 RTS zu vertraglichen Vereinbarungen mit IKT-Drittdienstleistern (Art. 28.10)]
* [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R2956 ITS zum Informationsregister (Art. 29 Abs 9)]

* [https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024-33_-_Final_report_on_the_draft_RTS_and_ITS_on_incident_reporting.pdf RTS zur Meldung größerer IKT-bezogener Vorfälle und erheblicher Cyber-Bedrohungen (Art 20a)]
* [https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024-33_-_Final_report_on_the_draft_RTS_and_ITS_on_incident_reporting.pdf ITS zur Meldung größerer IKT-bezogener Vorfälle und erheblicher Cyber-Bedrohungen (Art 20b)]
* [https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024-29_-_Final_report_DORA_RTS_on_TLPT.pdf RTS zum Threat-Led Penetration Testing (Art 26 Abs 11)]
* [https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024-35_-_Final_report_on_RTS_on_harmonisation_of_conditions_for_OVS_conduct.pdf RTS für die Harmonisierung von Überwachungstätigkeiten (Art 41 Abs 1)]
* [https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024_54_-_Final_Report_RTS_on_JET.pdf RTS zur Festlegung der Kriterien für die Zusammensetzung des Joint Examination Teams (Art 41 Abs 1c)]

* [https://www.eiopa.europa.eu/publications/joint-final-report-draft-rts-subcontracting-ict-services-supporting-critical-or-important-functions_en?prefLang=de RTS zur Unterauftragsvergabe an IKT-Drittparteien (Art 30 Abs 5)]

== Konsequenzen/Strafen ==

=== Bußgelder ===
DORA sieht strenge '''Bußgelder''' und Strafen für Verstöße vor, um die digitale Betriebsstabilität im Finanzsektor zu gewährleisten:

* Finanzinstitute: National determiniert, in Österreich bis 500.000 oder bis zu 1% des weltweiten Jahresumsatzes (DORA-Vollzugsgesetz - DORA-VG)
* Kritische IKT-Drittanbieter: Bis zu 1% des weltweiten Jahresumsatzes

=== Administrative Maßnahmen ===

* Lizenzentzug oder -aussetzung (Art 50)
* Verpflichtende Korrekturmaßnahmen (Art 50)

=== Strafrechtliche Konsequenzen ===

* Mögliche strafrechtliche Verfolgung von Führungskräften bei grober Fahrlässigkeit (Art 11)
* Nationale Bestimmungen können Haftstrafen vorsehen (Art 52)

== Weiterführende Literatur ==

* ''Siglmüller'', Cyber Resilience Act und Digital Operational Resilience Act - Lässt sich IT-Sicherheit rechtlich erzwingen?, ZfPC 2023, 221.
* ''Škorjanc'', Digital Operational Resilience Act, ÖBA 2023, 658.

== Einzelnachweise ==
<references />

Digital Operational Resilienec Act (DORA)

2025-02-26T19:58:18Z

DavidMSchneeberger: /* Kurzübersicht */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=2554|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011|Kurztitel=Digital Operational Resilienec Act|Bezeichnung=DORA|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/333, 1|Anzuwenden=17. Januar 2025|Gültig=anwendbar}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen
|-
|Operationale Resilienz im Finanzsektor stärken
|Finanzunternehmen
|Management von IKT-Risiken und Vorfällen
|NIS2-RL
|National festgelegte Verwaltungsstrafen gegen Finanzunternehmen<ref>DORA-Vollzugsgesetz (DORA-VG) https://www.parlament.gv.at/gegenstand/XXVII/I/2596.</ref>
|-
|
|IKT-Dienstleister
|Prüfung digitaler Betriebsstbilität
|DSGVO
|Geldstrafe von bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes gegen Drittdienstleister
|-
|
|
|Lieferkettenmanagement
|
|Veröffentlichung von Strafen
|-
|
|
|Informationsaustausch
|
|
|}

== Einführung ==
Die DORA-Verordnung (Digital Operational Resilience Act) ist eine umfassende Regelung zur digitalen Resilienz, die speziell für den '''Finanzsektor''' der Europäischen Union entwickelt wurde. Sie ergänzt bestehende Regelungen und baut auf bekannten Konzepten wie Informationssicherheit, Datenschutz und Risikomanagement auf, um die Widerstandsfähigkeit gegenüber IKT-Risiken zu stärken.

Gleichzeitig mit DORA wurde die Richtlinie 2022/2554 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor („DORA-RL“) sowie Richtlinie (EU) 2022/2557 über die [[Critical Entities‘ Resilience Directive (CER)|Resilienz kritischer Einrichtungen]], welche einzelne Anpassungen von mehreren Richtlinien, vorsieht, erlassen. Die ab dem 17. 1. 2025 anwendbare DORA-RL muss von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden.

Die '''Delegierte Verordnung''' (EU) 2024/1774 vom 13. März 2024 ergänzt die DORA zusätzlich.

Im Verhältnis zur NIS2-RL nimmt DORA eine besondere Stellung ein, da sie gemäß ErwGr 16 DORA als lex specialis gilt und somit Vorrang vor NIS2-RL hat. Diese Vorrangstellung von DORA bedeutet, dass für Finanzunternehmen primär die DORA-Vorschriften maßgeblich sind. In Bereichen, in denen NIS2-RL spezifischere Regelungen als DORA vorsieht, gelten diese NIS2-Vorschriften ergänzend zu DORA. Die Implementierung von DORA und Umsetzungsgesetzgebung zu NIS2 hat auch Auswirkungen auf nationale Regularien und Anforderungsvorgaben. Bestehende nationale Vorschriften (Oktober 2024 ist die NIS2-RL in Österreich noch nicht umgesetzt), sie diese beachtlich.

== Anwendungsbereich ==

==== Persönlicher / Sachlicher Anwendungsbereich ====
DORA ist auf in Art 2 Abs 1 lit a bis t DORA angeführte Tätigkeitsbereiche (sog. „'''Finanzunternehmen'''“) anwendbar. Hierzu zählen (a) Kreditinstitute, (b) Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute, (c) Kontoinformationsdienstleister, (d) E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute, (e) Wertpapierfirmen, (f) Anbieter von Krypto-Dienstleistungen, die gemäß der sogenannten „Verordnung über Märkte von Krypto-Werten“ zugelassen sind, und Emittenten wertreferenzierter Token, (g) Zentralverwahrer, (h) zentrale Gegenparteien, (i) Handelsplätze, (j) Transaktionsregister, (k) Verwalter alternativer Investmentfonds, (l) Verwaltungsgesellschaften, (m) Datenbereitstellungsdienste, (n) Versicherungs- und Rückversicherungsunternehmen, (o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, (p) Einrichtungen der betrieblichen Altersversorgung, (q) Ratingagenturen, (r) Administratoren kritischer Referenzwerte, (s) Schwarmfinanzierungsdienstleister und (t) Verbriefungsregister.

Darüber hinaus sind Unternehmen erfasst, die IT-Leistungen an Finanzunternehmen erbringen (sog. „IKT-Drittdienstleister“), wie etwa Cloud-Anbieter.

'''Ausnahmen'''

Außerhalb des Anwendungsbereichs stehen zudem gemäß Art 2 Abs 3 (a) Verwalter alternativer Investmentfonds im Sinne von Art 3 Abs 2 der Richtlinie 2011/61/EU, (b) Versicherungs- und Rückversicherungsunternehmen im Sinne von Art 4 der Richtlinie 2009/138/EG, (c) Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben, (d) gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen, (e) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt, sowie (f) Postgiroämter im Sinne von Art 2 Abs 5 Z 3 der Richtlinie 2013/36/EU.

Weitreichende Ausnahmen von den Verpflichtungen bestehen für Kleinstunternehmen (dh Finanzunternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Mio EUR nicht überschreitet).

DORA betrifft '''alle Finanzinstitute''', wenn sie in den Anwendungsbereich fallen, unabhängig von ihrer Größe oder Struktur. Eine Einschränkung des Scopes auf lokaler Ebene ist nicht möglich. Die Begriffsdefinitionen, zB "kritische Dienste" und "wesentliche Dienste", können nicht modifiziert werden. Wenn ein Unternehmen betroffen ist, dann in seiner Gesamtheit, einschließlich etwaiger Tochtergesellschaften oder Nebentätigkeiten (theoretisch auch der Betriebskindergärten).

==== Territorialer Anwendungsbereich ====
Der territoriale Anwendungsbereich des DORA umfasst primär alle Finanzunternehmen und relevante IKT-Dienstleister, die in der Europäischen Union tätig sind. Zusätzlich zu den in der EU ansässigen Finanzunternehmen und IKT-Dienstleistern betrifft DORA auch Niederlassungen und Tochtergesellschaften von EU-Finanzunternehmen, die sich außerhalb der Union befinden, sofern diese Niederlassungen und Tochtergesellschaften Dienstleistungen in die EU erbringen. So soll die operationelle Resilienz des Finanzsektors in der gesamten Union sichergestellt werden, auch bei Abhängigkeiten von globalen Anbietern oder internationalen Tochtergesellschaften.

== Zentrale Inhalte ==

=== Management von IKT-Risiken und Vorfällen ===

==== IKT-Risiken ====
Nach dem DORA sind Finanzunternehmen verpflichtet, einen umfassenden internen '''Governance- und Kontrollrahmen''' für das Management von Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken) zu etablieren. Dieser Rahmen muss regelmäßig überprüft und dokumentiert werden, wobei für Kleinstunternehmen lediglich eine regelmäßige Überprüfung ausreicht. Ziel ist es, IKT-Risiken wirksam zu begegnen. Die spezifischen Anforderungen an das IKT-Risikomanagement sind in Art 5 Abs 2 DORA festgelegt. Die Verantwortung für die Definition, Genehmigung und Überwachung des IKT-Risikomanagements liegt beim '''Leitungsorgan''' des jeweiligen Finanzunternehmens, das auch für die Umsetzung der Maßnahmen verantwortlich ist. Finanzunternehmen, die nicht als Kleinstunternehmen eingestuft sind, haben zusätzlich eine unabhängige Kontrollfunktion einzurichten, um die Überwachung und das Management von IKT-Risiken sicherzustellen.

Ein zentraler Aspekt des DORA ist die Verantwortung des Leitungsorgans (zB Vorstand) für die digitale Resilienz. Das Business Continuity Management (BCM) ist dabei das wichtigste Einfallstor für die operative Umsetzung dieser Verantwortung. DORA fordert, dass das Leitungsorgan selbst die notwendigen Sachkenntnisse besitzen muss und die nicht mehr rigoros delegieren darf. Dies könnte zu strukturellen Veränderungen in der Unternehmensführung führen, zB durch die Einbindung eines CIO oder CTO auf Vorstandsebene.

==== IKT-bezogene Vorfälle ====
Darüber hinaus müssen Finanzunternehmen Prozesse etablieren, die sicherstellen, dass IKT-bezogene Vorfälle frühzeitig erkannt, behandelt, klassifiziert und gemeldet werden. Besonders '''schwerwiegende''' IKT-Vorfälle, die nach den Kriterien des Art 18 Abs 1 DORA als solche einzustufen sind, müssen den zuständigen Aufsichtsbehörden in einem dreistufigen Verfahren gemeldet werden. In Fällen, in denen schwerwiegende IKT-Vorfälle die finanziellen Interessen der Kund*innen betreffen, müssen die Finanzunternehmen ihre Kund*innen unverzüglich nach Kenntnis des Vorfalls informieren. Cyberbedrohungen, die gemäß Art 18 Abs 2 DORA als '''erheblich''' einzustufen sind, müssen ebenfalls erfasst werden und können auf freiwilliger Basis gemeldet werden.

Zur Unterstützung der Finanzunternehmen bei der Umsetzung dieser Anforderungen haben die Europäischen Aufsichtsbehörden mehrere technische Regulierungsstandards veröffentlicht. Diese umfassen ua Vorgaben zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie vereinfachte Risikomanagement-Rahmen für Kleinstunternehmen. Weitere RTS spezifizieren die Kriterien für die Klassifizierung von IKT-Vorfällen und Cyberbedrohungen, sowie die Wesentlichkeitsschwellen und Anforderungen an die Meldungen schwerwiegender Vorfälle. Meldung und Einstufung über IKT-bezogene Vorfälle ist mithilfe der harmonisierten '''Standardvorlagen''' durchzuführen.<ref>''European Banking Authority'', Joint Technical Standards on major incident reporting, https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/joint-technical-standards-major-incident-reporting (abgerufen 22. 1. 2025).</ref> Die zuständigen Behörden, an die gemeldet werden muss, unterscheiden sich von denen der NIS2-RL. Eine klare Festlegung und unternehmensinterne Kommunikation der Meldepflichten und der empfangenden Stellen ist wichtig.

=== Prüfung digitaler Betriebsstabilität ===
Bedeutende Finanzunternehmen haben verpflichtend so '''Threat Led Penetration Tests''' durchzuführen. Diese – auch in der Produktionsumgebung durchgeführten – Tests zielen auf die Kern-IT-Systeme des Unternehmens ab. So können Verpflichtete Schwächen, Mängel und Lücken in der digitalen operationellen Resilienz zu identifizieren und unverzüglich Korrekturmaßnahmen zu ergreifen. Die Tests müssen von unabhängigen Parteien durchgeführt werden, um eine objektive Bewertung sicherzustellen. Dabei sind die Tests mindestens einmal jährlich bei den IKT-Systemen oder Anwendungen durchzuführen, die kritische oder wichtige Funktionen unterstützen. Hierbei wird darauf geachtet, dass die Resilienz in diesen Schlüsselbereichen kontinuierlich sichergestellt wird.

DORA spezifiziert in Art 25 Abs 1 verschiedene Arten von Tests, die in Betracht gezogen werden können, darunter Simulationen, Red Teaming oder Penetrationstests. Zusätzlich sind bestimmte Finanzunternehmen nach Art 26 DORA verpflichtet, mindestens alle drei Jahre '''Threat-Led Penetration Tests''' (TLPT) durchzuführen, bei denen gezielt realistische Bedrohungsszenarien simuliert werden. Diese Tests sollen sicherstellen, dass Schwachstellen, die durch herkömmliche Sicherheitsmaßnahmen nicht entdeckt werden, aufgedeckt werden.

Die spezifischen Anforderungen und Elemente dieser TLPT sind in den von den Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA (zusammen die „ESA“)) veröffentlichten technischen Regulierungsstandards (RTS) festgelegt. Die konkrete Methodik, die für diese Tests gemäß DORA anzuwenden ist, beruht auf dem Rahmenwerk TIBER-EU (Threat Intelligence-Based Ethical Red Teaming“) welcher in Österreich durch [https://www.fma.gv.at/tiber-at/ TIBER-AT] umgesetzt wird.

=== Lieferkettenmanagement ===
DORA stellt klare Anforderungen an das Management des IKT-Drittparteienrisikos und die vertraglichen Vereinbarungen mit IKT-Drittdienstleistern, die von Finanzunternehmen beachtet werden müssen. Mit Ausnahme von Kleinstunternehmen haben Finanzunternehmen die Pflicht, eine Strategie zum Management des IKT-Drittparteienrisikos zu entwickeln und regelmäßig zu überprüfen. Diese Strategie umfasst Leitlinien für die Nutzung von IKT-Drittdienstleistungen, die dazu dienen, das Risiko, das durch externe Dienstleister entsteht, effektiv zu steuern. Die Europäische Aufsichtsbehörde (ESA) hat hierzu technische Regulierungsstandards (RTS) veröffentlicht, welche den detaillierten Inhalt dieser Leitlinien spezifizieren.<ref>https://www.eba.europa.eu/publications-and-media/press-releases/esas-published-second-batch-policy-products-under-dora</ref>

==== Informationsregister ====
Ein wesentlicher Bestandteil der Anforderungen ist, dass Finanzunternehmen ein stets aktuelles Informationsregister führen müssen, welches Informationen zu allen ausgelagerten IKT-Prozessen enthält. Dieses Register beinhaltet die entsprechenden vertraglichen Vereinbarungen sowie die Einordnung der Prozesse als kritisch oder nicht kritisch. Auf Anfrage müssen diese Informationen den zuständigen Behörden zur Verfügung gestellt werden. Außerdem müssen Finanzunternehmen jährlich Bericht erstatten über die Anzahl neuer Vereinbarungen mit IKT-Drittdienstleistern, die bereitgestellten Dienstleistungen und Funktionen sowie über die Art der vertraglichen Vereinbarungen. Finanzunternehmen sind außerdem verpflichtet, geplante neue Vereinbarungen bezüglich kritischer Funktionen oder Veränderungen des Status einer Funktion als „kritisch“ den Behörden zeitnah zu melden.

==== Verträge ====
Vor Abschluss eines Vertrags mit einem IKT-Drittdienstleister müssen Finanzunternehmen eine Risikoanalyse durchführen, die die Kriterien von Art 28 Abs 4 und 5 DORA berücksichtigt. Während der Vertragsverhandlungen müssen sie sicherstellen, dass Audit-Frequenzen und zu prüfende Bereiche festgelegt werden, um die Kontrolle über kritische Systeme zu wahren. Des Weiteren sind vertragliche Kündigungsrechte sowie angemessene Ausstiegsstrategien für den Fall einer Beendigung der Vertragsbeziehung festzulegen, insbesondere bei kritischen oder wichtigen Funktionen.

'''Praxistipp:''' Mittelständische Unternehmen sollten Musterverträge vorbereiten, um die Anforderungen an Drittdienstleister klar zu regeln. Viele KMUs verfügen nicht über zentrale Vertragswerke, was die Umsetzung erschwert.

Darüber hinaus sieht DORA in Art 30 spezielle Vertragsbedingungen für die Vergabe von Unteraufträgen durch IKT-Drittdienstleister vor, welche ebenfalls in den technischen Standards der ESA spezifiziert sind. Diese Vorschriften regeln unter anderem die Zulässigkeit der Unterauftragsvergabe sowie die dafür geltenden Kriterien. IKT-Dienstleister fallen vollständig unter den DORA.

==== Überwachung ====
Die Überwachung von IKT-Drittdienstleistern erfolgt durch die ESA, welche nach Art 31 Abs 2 DORA die Drittdienstleister als „kritisch“ einstufen können. Für jeden als kritisch eingestuften IKT-Drittdienstleister wird eine federführende Überwachungsbehörde ernannt, die über weitreichende Befugnisse verfügt. Dazu zählen das Recht auf Informationsanforderungen, Inspektionen und das Aussprechen von Empfehlungen hinsichtlich der Sicherheitsanforderungen und der Unterauftragsvergabe. IKT-Drittdienstleistern können auch zentral geprüft werden . Es stellt sich die Frage, welche Behörde in Österreich diese Prüfungen durchführen wird (evtl. Finanzmarktaufsicht, FMA).

'''Praxistipp:''' Sofern zentrale Prüfungen großer IKT-Dienstleister erfolgen, können sich Unternehmen auf diese Prüfungsergebnisse verlassen und eigene dezentrale Prüfungen minimalhalten.

=== Informationsaustausch ===
Die Vorgaben des DORA ermöglichen es Finanzunternehmen, Informationen und Erkenntnisse über Cyberbedrohungen untereinander – innerhalb vertrauenswürdiger Gemeinschaften und unter Wahrung der Vertraulichkeit potenziell sensibler Informationen – auszutauschen. Dies trägt zur Schärfung des Bewusstseins bei und verstärkt die Fähigkeit, reale informations- und kommunikationstechnologische Vorfälle zu verhindern bzw. deren Auswirkungen wirksamer einzudämmen. Dieser Informationsaustausch wird durch DORA ermöglicht und erfolgt freiwillig. Bei Teilnahme oder Beendigung einer solchen Vereinbarung, erfolgt eine diesbezügliche Meldung an die FMA.<ref>''FMA'', DORA – Informationsaustausch und Notfallübungen, https://www.fma.gv.at/querschnittsthemen/dora/dora-informationsaustausch-und-notfalluebungen/ (abgerufen 22. 1. 2025).</ref>

== Fallbeispiele ==

* Anwendungsbereich: Eine Bank kauft das Core-Banking-System von einem externen Dienstleister ein und verwaltet nur das Vertragsmanagement. Hier muss die Bank dennoch sicherstellen, dass die Anforderungen des DORA erfüllt werden, sowohl hinsichtlich des Risikomanagements als auch des Lieferkettenmanagements.

* In Unternehmen mit einer zentralisierten IT-Governance, wie zB Holding-Strukturen, stellt sich die Frage, wie die Governance optimal gestaltet und eingebunden werden kann. Hierzu müssen zentrale Weisungen klar formuliert und durchgesetzt werden. Dies betrifft sowohl operative Einheiten als auch die Gesamtorganisation.

== Synergien ==

===== Datenschutz =====

* Datenschutz und Informationssicherheit sind eng miteinander verknüpfte Konzepte, die gemeinsam gedacht werden müssen. Jede Maßnahme, wie zB Monitoring und Logging, muss auch in Bezug auf Datenschutzanforderungen betrachtet werden. Art 88 der DSGVO betont den Schutz der Würde des Menschen am Arbeitsplatz, was insbesondere bei eingriffsintensiven Technologien wie KI-gestütztem Anomalie-Monitoring relevant ist. Der Einsatz von KI-Systemen zur Erkennung und Meldung von Anomalien nimmt zu, was potenziell tiefere Eingriffe in den Datenschutz von Mitarbeiter*innendaten bedeutet. Dies muss im Sinne der DSGVO und DORA sorgfältig abgewogen werden.
* Normen wie ISO 27001 und ÖNORM A 2017:2023:06:01 vereinen Datenschutz und Datensicherheit und ist ein geeigneter Anknüpfungspunkt für die Umsetzung von DORA. Sie können konzeptionell in Verbindung mit den entsprechenden DORA-Normen als Umsetzungsstruktur integriert werden.

===== NIS2-RL =====
Die unter DORA entwickelten Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) bieten wertvolle Ansatzpunkte für die Umsetzung der NIS2-RL:

'''Risikomanagement''': Die RTS zu IKT-Risikomanagement unter DORA können als Vorlage für die Implementierung ähnlicher Frameworks unter NIS-II dienen.

'''Incident Reporting''': Die ITS zu Meldepflichten bei schwerwiegenden Vorfällen bieten standardisierte Vorlagen, die auch für NIS2-pflichtige Unternehmen adaptierbar sind.

'''Drittanbieter-Management''': DORA's RTS zur Nutzung von IKT-Diensten und Unterauftragsvergabe können als Best Practices für das Lieferkettenrisikomanagement unter NIS2 genutzt werden.

'''Penetrationstests''': Der RTS zu Threat-Led Penetration Tests (TLPT) unter DORA bietet detaillierte Vorgaben, die auch für kritische Infrastrukturen im Rahmen von NIS-II relevant sind.

* [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1774 RTS zum IKT-Risikomanagement (Art 15, Art. 16 Abs 3)]
* [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1772 RTS zur Klassifizierung von IKT-bezogenen Vorfällen (Art 18 Abs 3)]
* [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1773 RTS zu vertraglichen Vereinbarungen mit IKT-Drittdienstleistern (Art. 28.10)]
* [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R2956 ITS zum Informationsregister (Art. 29 Abs 9)]

* [https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024-33_-_Final_report_on_the_draft_RTS_and_ITS_on_incident_reporting.pdf RTS zur Meldung größerer IKT-bezogener Vorfälle und erheblicher Cyber-Bedrohungen (Art 20a)]
* [https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024-33_-_Final_report_on_the_draft_RTS_and_ITS_on_incident_reporting.pdf ITS zur Meldung größerer IKT-bezogener Vorfälle und erheblicher Cyber-Bedrohungen (Art 20b)]
* [https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024-29_-_Final_report_DORA_RTS_on_TLPT.pdf RTS zum Threat-Led Penetration Testing (Art 26 Abs 11)]
* [https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024-35_-_Final_report_on_RTS_on_harmonisation_of_conditions_for_OVS_conduct.pdf RTS für die Harmonisierung von Überwachungstätigkeiten (Art 41 Abs 1)]
* [https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024_54_-_Final_Report_RTS_on_JET.pdf RTS zur Festlegung der Kriterien für die Zusammensetzung des Joint Examination Teams (Art 41 Abs 1c)]

* [https://www.eiopa.europa.eu/publications/joint-final-report-draft-rts-subcontracting-ict-services-supporting-critical-or-important-functions_en?prefLang=de RTS zur Unterauftragsvergabe an IKT-Drittparteien (Art 30 Abs 5)]

== Konsequenzen/Strafen ==

=== Bußgelder ===
DORA sieht strenge '''Bußgelder''' und Strafen für Verstöße vor, um die digitale Betriebsstabilität im Finanzsektor zu gewährleisten:

* Finanzinstitute: National determiniert, in Österreich bis 500.000 oder bis zu 1% des weltweiten Jahresumsatzes (DORA-Vollzugsgesetz - DORA-VG)
* Kritische IKT-Drittanbieter: Bis zu 1% des weltweiten Jahresumsatzes

=== Administrative Maßnahmen ===

* Lizenzentzug oder -aussetzung (Art 50)
* Verpflichtende Korrekturmaßnahmen (Art 50)

=== Strafrechtliche Konsequenzen ===

* Mögliche strafrechtliche Verfolgung von Führungskräften bei grober Fahrlässigkeit (Art 11)
* Nationale Bestimmungen können Haftstrafen vorsehen (Art 52)

== Weiterführende Literatur ==

* ''Siglmüller'', Cyber Resilience Act und Digital Operational Resilience Act - Lässt sich IT-Sicherheit rechtlich erzwingen?, ZfPC 2023, 221.
* ''Škorjanc'', Digital Operational Resilience Act, ÖBA 2023, 658.

== Einzelnachweise ==
<references />

Data Act (DA)

2025-02-26T19:32:38Z

DavidMSchneeberger: /* Nachweise */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6. 9. 2024).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 16, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 15, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 17,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 12,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend. In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref>

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 10, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber sollten jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Z 12, Art 5 Z 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 20, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI und VII) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

Hosting-Dienste im engeren Sinn dürften von der Begrifflichkeit erst gar nicht erfasst sein.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 27.</ref>

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission wird künftig mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' Anhaltspunkte für die Vertragsgestaltung geben.<ref>Beispielhafte Formulierungen als erste Orientierungshilfe bietet etwa ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
Der DA ergänzt den [[Data Governance Act (DGA)|DGA]]. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren sollen. Während der DGA Regelungen zu Prozessen und Strukturen enthält, die den freiwilligen Datenaustausch fördern sollen, stellt der DA klar, wer zu welchen Bedingungen Wert aus Daten schöpfen kann.<ref>''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 14, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 24. 1. 2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Der DA verlangt lediglich, dass diese wirksam, verhältnismäßig und abschreckend sind. Prozentangaben wie nach der DSGVO sieht der DA nicht vor.Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Davon unberührt bleibt die Möglichkeit der Datenschutzbehörde, '''Geldstrafen nach der DSGVO''' zu verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Mustervertragsklauseln der Kommission ===
Bis zum 12. 9. 2025 wird die Kommission unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung bereitstellen, insb

* Bedingungen für [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|eine angemessene Gegenleistung]] ,
* Bedingungen für den [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Schutz von Geschäftsgeheimnissen]],
* Standardvertragsklauseln für [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Verträge über Cloud-Computing]].
Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025, iE).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025, iE).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025, iE).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025, iE).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1. 8. 2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 29. 1. 2025).

== Nachweise ==

Data Governance Act (DGA)

2025-02-26T19:19:42Z

DavidMSchneeberger: /* Öffentliche Stellen */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=868|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724|Kurztitel=Data Governance Act/Daten-Governance-Rechtsakt|Bezeichnung=DGA|Rechtsmaterie=Datenrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/152, 1|Anzuwenden=24. September 2023|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors
|G2B
|Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors
|
* Rechtsgrundlagen für die Datennverarbeitung nach der DSGVO
* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors
* Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten
|Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
|-
|Stärkung des Vertrauens in den Datenaustausch
|Datenvermittlungsdienste
|Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen
|
* Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG
* DSA
* DSGVO
|
* Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung
* Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes
* Verfall von Gegenständen
* Reputationsschäden
|-
|Förderung von Datenaltruismus
|Datenaltruistische Organisationen
|Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden
|
* DSA
* DSGVO
|
* Verlust des Status als anerkannte datenaltruistische Organisation
* Verfall von Gegenständen
* Reputationsschäden
|-
|Erfolgreiche Umsetzung des Rahmens für die Daten-Governance
|Europäischer Dateninnovationsrat
|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA
|
* DA
|
* ineffiziente Daten-Governance
* Verzögerungen bei der Entwicklung des Datenbinnenmarkts
|}

== Einleitung und Hintergrund ==

=== Hintergrund ===
Data Governance Act (DGA) und [[Data Act (DA)#Kurzübersicht|Data Act (DA)]] bilden gemeinsam die erste Säule der '''[[Datenstrategie#Hintergrund|Europäischen Datenstrategie]].'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).</ref>

Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.<ref>ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.</ref> Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden ('''''G2B-Datennutzung''''').

Zu beachten ist, dass der DGA jedoch '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).

=== Struktur ===
Der DGA regelt:<ref>Art 1 Abs 1 lit a bis d DGA.</ref>

* Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
* einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
* die Einsetzung eines Europäischen Dateninnovationsrats.

=== Nationale Begleitgesetzgebung ===
Die nationale Begleitgesetzgebung zum DGA soll im Datenzugangsgesetz (DZG) erfolgen. Dort soll insb die Behördenzuständigkeit geregelt werden. Ein Ministerialentwurf<ref>Entwurf für ein Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, ME DZG, 352/ME 27. GP.</ref> (in der Folge: DZG-Entwurf) war im Oktober 2024 in Begutachtung.

== Anwendungsbereich ==

=== Sachlich ===
Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, <ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 24.1.2025).</ref> Der Datenbegriff entspricht dem der Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]]. [[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:

* im '''Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind und
* '''aus den folgenden Gründen geschützt''' sind (Art 3 Abs 1 lit a bis d DGA):
** geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
** statistische Geheimhaltung,
** Schutz geistigen Eigentums Dritter,
** Datenschutz.

Daten sind vom Anwendungsbereich wiederum ausgenommen, '''wenn'''

*die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
* die Bereitstellung der Daten nicht unter den '''öffentlichen Auftrag''' der betreffenden öffentlichen Stelle fällt.

'''Ausgenommen''' sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:

* '''öffentlicher Unternehmen,'''
* öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
* Kultureinrichtungen<ref>Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.

=== Personell ===
==== Öffentliche Stellen ====
Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Z 17 DGA:

* Staat,
* Gebietskörperschaften,
* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),<ref>''Wischmeyer'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 3 DGA Rz 8 (Stand 1.5.2024).</ref>
* Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.
'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref>

==== Datenvermittlungsdienste ====
Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine '''unbestimmte Zahl''' von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine '''geschäftliche Beziehung''' zum Datenaustausch herzustellen.

'''Nicht davon erfasst''' sind somit Dienste, die für geschlossene Nutzergruppen (zB im Rahmen von Lieferanten- und Kundenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref> Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.<ref>Siehe zur Abgrenzung im Detail etwa ''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.</ref>

'''Definitionen:'''

* '''Dateninhaber''' (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst '''nicht die betroffene Person''' der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

* '''Datennutzer''' (Art 2 Z 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref> Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

===== Kategorien =====
Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
{| class="wikitable"
|+
!Bestimmung
!Kategorie
!Fallgruppen
|-
|Art 10 lit a DGA
|
====== Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern ======
|Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur
|-
|Art 10 lit b DGA
|
====== Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern ======
|Datentreuhänder, Personal Information Management Systems (PIMS),<ref>Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.</ref> Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
|-
|Art 10 lit c DGA
|
====== Dienste von Datengenossenschaften ======
|Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten
|}

==== Datenaltruistische Organisationen ====
Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

=== Räumlich ===

* Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

* Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
** ihren Sitz in der EU haben oder
** ihre Dienste in der EU anbieten.

=== Zeitlich ===
Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref>

Wegen der unzureichenden Umsetzung des DGA durch nationale Begleitgesetze in mehreren Mitgliedstaaten hat die Europäische Kommission bereits Vertragsverletzungsverfahren eingeleitet, darunter auch gegen Österreich und Deutschland.<ref>''Europäische Kommission'', Pressemitteilung vom 23.5.2024, Gemeinsame Daten-Nutzung und Steuertransparenz: EU-Kommission eröffnet Vertragsverletzungsverfahren gegen Deutschland, https://germany.representation.ec.europa.eu/news/gemeinsame-daten-nutzung-und-steuertransparenz-eu-kommission-eroffnet-vertragsverletzungsverfahren-2024-05-23-1_de.</ref>

== Zentrale Inhalte ==
=== Weiterverwendung geschützter Daten (Kapitel II) ===
Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist.

==== Bedingungen für die Weiterverwendung ====

Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende '''Maßnahmen''' können die [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] zum Schutz der Daten ergreifen:

* Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
** personenbezogene Daten anonymisiert wurden,
** vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained<nowiki/>(Stand 11.10.2024).</ref> gewährt werden.
* Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen [[Data Governance Act (DGA)#Zentrale Informationsstellen|Zentralen Informationsstellen]] zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).</ref>[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|189x189px]]

==== Antragsverfahren für die Weiterverwendung (Art 9 DGA) ====

'''Bestandsliste:''' Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen '''Bestandsliste''' einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.

'''Antrag''': Nach dem DZG-Entwurf ist vorgesehen, dass Anträge zur Weiterverwendung von Daten über [https://www.data.gv.at/ data.gv.at] eingebracht werden können.<ref>§ 4 Abs 4 DZG-Entwurf.</ref> Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Die zuständige öffentliche Stelle hat grds zwei Monate Zeit, um über den Antrag zu entscheiden. Gegen die Entscheidung der öffentlichen Stelle besteht ein wirksamer Rechtsbehelfsanspruch jeder Person, die davon direkt betroffen ist.

'''Gebühren''': Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.

=== Internationaler Datentransfer (Art 5 und Art 31 DGA) ===
Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.<ref>Der DA sieht [[Data Act (DA)#Internationaler Datentransfer (Kapitel VII)|ähnliche Bestimmungen]] vor.</ref> Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DGA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und

Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|durch eine Regierungsorganisation
|}

Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.

Weiterverwender müssen bereits mit ihrem [[Data Governance Act (DGA)#Antragsverfahren für die Weiterverwendung (Art 9 DGA)|Antrag auf Weiterverwendung]] die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Vertragsmuster''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.

=== Datenvermittlungsdienste (Kapitel III) ===
Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.

==== Anmeldung (Art 11 DGA) ====
[[Datei:DE EU-Recognised Data Intermediary POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für Datenvermittlungsdienste, die in der EU anerkannt sind - Europäische Kommission]]
Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register der Kommission] abrufbar.

===== Behördenzuständigkeit =====
* '''Dienst mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
* '''Dienst ohne Niederlassung in der EU''': Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein '''gesetzlicher Vertreter''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

===== Erforderliche Informationen =====
Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

* der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
* die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
* eine '''öffentliche Website''' mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
* die Kontaktpersonen und Kontaktangaben,
* eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche [[Data Governance Act (DGA)#Kategorien|Kategorie]] dieser Datenvermittlungsdienst fällt,
* den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

==== Führen des Logos ====
Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.<ref name=":1">Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.</ref> Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Kommission in diversen Formaten heruntergeladen werden.

==== Pflichten ====
Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):
{| class="wikitable"
|+
!Verpflichtung
!Erklärung
!Praxishinweise/Synergien
|-
|'''Zweckbindungsgrundsatz'''
|Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
|Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.</ref>
|-
|'''Unabhängigkeit'''
|Der Dienst muss von einer getrennten juristischen Person erbracht werden.
|
|-
|'''Monetarisierungsverbot'''
|Es darf keine Monetarisierung der Daten erfolgen.
|
|-
|'''Kopplungsverbot'''
|Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
|
|-
|'''Verwendung von Daten zur Dienstentwicklung'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
|
|-
|'''Zurverfügungstellung der Daten'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.
|Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
|-
|'''Datenformat und Umwandlung'''
|Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.
|Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
|-
|'''Zusätzliche Werkzeuge'''
|Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf '''ausdrücklichen Antrag oder mit Zustimmung''' der betroffenen Personen oder des Dateninhabers angeboten werden.
|Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
|-
|'''Transparenz und Fairness'''
|Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
|Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
|-
|'''Betrugs- und Missbrauchsprävention'''
|Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
|Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl ErwGr 36 DGA.</ref>
|-
|'''Weiterführung bei Insolvenz'''
|Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
|
* Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
* Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
</ref>
|-
|'''Interoperabilität'''
|Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
|
|-
|'''Schutzmaßnahmen'''
|Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
|Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>ErwGr 23 DGA.</ref>
|-
|'''Unterrichtung bei Datenmissbrauch'''
|Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.
|Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
|-
|'''Sicherheitsniveau'''
|Es bedarf Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).<ref>Siehe ErwGr 37 DGA.</ref>
|Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
|-
|'''Interessenwahrung für betroffene Personen'''
|[[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
|
|-
|'''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer'''
|Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
|
|-
|'''Protokollierungspflicht'''
|Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.
|Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
|}

=== Datenaltruistische Organisationen (Kapitel IV) ===
Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.

==== Eintragungsvoraussetzungen ====
[[Datei:EU-Recognised Data Altruism POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für datenaltruistische Organisationen, die in der EU anerkannt sind - Europäische Kommission]]
Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

* datenaltruistische Tätigkeiten durchführen;
* gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht '''Ziele von allgemeinem Interesse''' zu erreichen;
* selbst '''ohne Erwerbszweck''' tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
* die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten '''funktionell getrennt''' ist;
* dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

===== Antragstellung =====
Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

* Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
* Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
* öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
* Kontaktpersonen und -angaben;
* Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
* Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
* Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche [https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations Unionsregister der anerkannten datenaltruistischen Organisationen] aufnimmt.

===== Behördenzuständigkeit =====
* '''Einrichtung mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
* '''Einrichtung ohne Niederlassung in der EU''': Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine '''gesetzliche Vertretung''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.

===== Führen des Logos =====
Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.<ref name=":1" /> Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

==== Transparenzanforderungen ====
Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

* Datenzugriffsberechtigte,
* Verarbeitungszwecke,
* Zeiträume der Datenverarbeitung,
* Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

* ihre Aktivitäten,
* Einnahmen und Ausgaben,
* die Förderung von Zwecken von allgemeinem Interesse,
* Beschreibung der technischen Mittel,
* Ergebnisse der Datenverarbeitung.

==== Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung ====
Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

===== Einwilligungsformular =====
Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.<ref>Art 25 DGA.</ref> Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

=== Europäischer Dateninnovationsrat (EDIB, Kapitel VI) ===
[[Datei:Overview of the legislative initiative for the governance of data spaces.png|mini|453x453px|Übersicht Europäischer Dateninnovationsrat - Europäische Kommission.<ref>''Europäische Kommission'', Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.</ref>]]Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 24.1.2025). Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).
==== Zusammensetzung ====

* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref name=":2">Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>
* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref name=":2" />
* Vertreter*innen des [https://www.edpb.europa.eu/edpb_de Europäischen Datenschutzausschusses],
* Vertreter*innen des [https://www.edps.europa.eu/_de Europäischen Datenschutzbeauftragten],
* Vertreter*innen der [https://www.enisa.europa.eu/about-enisa/about/de Agentur der Europäischen Union für Cybersicherheit (ENISA)],
* Vertreter*innen der Europäischen Kommission,
* Der/die KMU-Beauftragte der EU oder ein*e [https://single-market-economy.ec.europa.eu/smes/sme-strategy-and-sme-friendly-business-conditions/sme-envoys-network_en vom Netz der KMU-Beauftragten] benannte*r Vertreter*in,
* Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.
Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

==== Aufgaben ====
In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', Data Governance Act (2024) Art 30 Rz 4 ff.</ref>

* Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
* Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
* Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
* Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
* Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
* Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
* Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).
Auch nach dem [[Data Act (DA)#EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)|Data Ac]]<nowiki/>t kommen dem EDIB gewisse Aufgaben zu.

== Fallbeispiele ==
=== Daten-Vermittlungsdienste ===

* Die Deutsche Telekom bietet mit dem [https://dih.telekom.com/de Data Intelligence Hub] eine Plattform, auf der Unternehmen Informationen, wie Produktionsdaten, verwalten, bereitstellen und verwerten können.
* [https://agdatahub.eu/en/entreprise/ Agdatahub] bietet basierend auf der [https://www.dawex.com/de/data-exchange-platform/ Dawex-Technologie] eine Plattform für landwirtschaftliche Daten. Sie ermöglicht den Datenaustausch in der Agrarbranche.

=== Organisationen für Datenaltruismus ===

* Die [https://smartcitizen.me/ Smart Citizen-Plattform] ermöglicht es Privatpersonen, Daten über Lärm und Luftverschmutzung in ihrer Umgebung zu teilen, die sie mit Sensoren erfassen. Behörden oder Wissenschafter*innen können diese Daten in der Folge nutzen, um darauf basierend passende Lösungen zu entwickeln.
* Die deutsche [https://corona-datenspende.github.io/ Corona-Datenspende-App] sammelte Daten wie Herzfrequenz, Körpertemperatur, Blutdruck und Schlafmuster, die freiwillig von Nutzenden von Fitness-Armbändern und Smartwatches übermittelt wurden. Diese Daten wurden Wissenschafter*innen zur Verfügung gestellt, um Corona-Hotspots rascher zu erkennen.

=== Auswirkungen des DGA auf Forschungsprojekte ===
Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.</ref>

== Synergien ==
=== DSGVO ===
Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. </ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''im Falle eines Konflikts ausdrücklich vorrangig''' zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/Ungern-Sternberg'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie [[Data Governance Act (DGA)#Strafverfahren|die JI-RL]] (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act2 (2024) § 10 Rz 10, 14.</ref>

==== Datenschutzrechtliche Rollenverteilung ====
Der DGA enthält keine ausdrückliche Regelung zur [[Data Act (DA)#Exkurs: Rollendefinitionen nach der DSGVO|datenschutzrechtlichen Rollenverteilung]].

Im DZG-Entwurf werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:<ref>§ 6 Abs 1 DZG-E.</ref> [[Data Governance Act (DGA)#Kontroll- und Aufsichtsbehörden|Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.]] Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine [[Data Act (DA)#Pflichten gemeinsam Verantwortlicher|entsprechende Vereinbarung]] zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024). </ref>

Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.

=== Strafverfahren ===
Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680<ref>RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.</ref>, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)<ref>Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.</ref> umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.<ref name=":0">Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.</ref> Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.<ref name=":0" />

=== Sektorspezifische Datenräume ===
Sektorspezifische EU-Rechtsvorschriften für '''konkrete Datenräume''', beispielsweise der [https://www.europarl.europa.eu/doceo/document/TA-9-2023-0462_DE.html EHDS]<ref>Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.</ref> für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

=== Open Data-Regulierung ===
[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|208x208px]]
Die Open Data und PSI 2-RL<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.</ref> regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.

Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen.

=== Informationsfreiheit ===
Das Informationsfreiheitsgesetz (IFG)<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref> soll ab dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen ermöglichen. Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).<ref>ErläutRV 2238 BlgNR 27.GP 1 f.</ref>

Das Verhältnis zwischen DGA und IFG bleibt jedoch noch unklar, insbesondere ob und in welchem Umfang Stellen, die nach dem IFG zur Veröffentlichung von Informationen verpflichtet sind, zusätzliche Vorgaben nach dem DGA erfüllen müssen. Dies betrifft etwa vertrauliche Daten im Bereich des öffentlichen Auftragswesen.<ref name=":0" />

== Konsequenzen/Sanktionen ==

=== Sanktionen ===
Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG-Entwurf:
{| class="wikitable sortable"
!Verstoß
!Adressat
!Strafdrohung
|-
|Fehlende oder unvollständige Aufzeichnungen
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Fehlender oder unvollständiger jährlicher Tätigkeitsbericht
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung von [[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Mitteilungspflichten nach Art 11 DGA]], insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung der [[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten]]
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 20.000 EUR
|-
|Verstoß gegen die [[Data Governance Act (DGA)#Eintragungsvoraussetzungen|Allgemeinen Eintragungsanforderungen]]
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 20.000 EUR
|-
|Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber<ref>Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.</ref>
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 100.000 EUR
|-
|Übertragung nicht personenbezogener Daten in ungeeignete Drittländer
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|-
|Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|}
Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:<ref>Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.</ref>

* Art, Schwere und Umfang des Verstoßes;
* Getroffene Maßnahmen zur Schadensminderung oder -behebung;
* frühere Verstöße;
* finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
* sonstige erschwerende oder mildernde Umstände.

=== Beschwerderecht und Rechtsbehelfe ===
Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.

Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

=== Kontroll- und Aufsichtsbehörden ===
Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>

Der DZG-Entwurf sieht folgende Zuständigkeiten vor:
{| class="wikitable"
|+
!Stelle nach dem DGA
!DZG-Entwurf
!Aufgaben
!Auftragsverarbeiter
|-
|'''Zentrale Informationsstelle (ZIS)'''
|die*der für Angelegenheiten der Digitalisierung zuständige Bundesminister*in (§ 4 Abs 1 DZG-Entwurf)
|
* Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten.
* Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert.
* Bereitstellung einer elektronisch durchsuchbaren '''Bestandsliste''' aller verfügbaren Datenressourcen.<ref>Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit [https://www.data.gv.at/ data.gv.at] verknüpft und an das europäische Datenportal [https://data.europa.eu/en data.europa.eu] angebunden, 352/ME 27. GP Erläut 4.</ref>
* Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.
|Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.</ref>
|-
|'''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen'''
|die*der für Angelegenheiten der Digitalisierung zuständige Bundesminister*in (§ 3 Abs 1 DZG-Entwurf)
|
* Anmeldeverfahren
* Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen
* Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen
* Entscheidungen über Beschwerden
* Verhängung von Bußgeldern
|Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.</ref>
|-
|'''Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen'''
|Festlegung durch '''Verordnung''' des*der für Angelegenheiten der Digitalisierung zuständigen Bundesminister*in (§ 5 Abs 2 DZG-Entwurf)
|Unterstützung der öffentlichen Stellen durch:

* Bereitstellung sicherer Verarbeitungsumgebungen.
* Beratung zur Datenstrukturierung und -speicherung.
* Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen.
* Anonymisierung und Entfernung vertraulicher Informationen.
* Unterstützung bei Einwilligungseinholung.
* Bewertung von vertraglichen Zusagen der Weiterverwender.
|
|}
Die '''Datenschutzbehörde''', die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref> behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.

== Weiterführende Literatur ==

=== Einführungsbücher ===

* ''Knyrim'', DGA - Data Governance Act (2023).
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA)2 (2024).
* ''Schreiber/Pommerening/Schoel'', New Data Governance Act. A Practitioner's Guide (2023).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare ===

* ''Paschke/Rücker'', Data Governance Act: DGA (2024).
* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025, iE).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (2024).

== Weiterführende Links ==

* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
* ''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 24.1.2025).
* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 24.1.2025).
* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).
* ''Europäische Kommission'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 24.1.2025).
* ''Europäische Kommission,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 24.1.2025).
* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 8.1.2025).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 24.1.2025).

== Nachweise ==

Data Act (DA)

2025-02-26T18:59:16Z

DavidMSchneeberger: /* Internet der Dinge */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>EG 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>EG 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/ Conrad/ Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 16, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 15, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3.2.2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 17,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 12,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in BeckOK DatenschutzR49 DA Art 3 Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend. In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) Nr. 715/2007 und (EG) Nr. 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref>

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, EG 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, EG 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>EG 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3.2.2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 10, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3.2.2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3.2.2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber sollten jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Z 12, Art 5 Z 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7.7.2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rn 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rn 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 20, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3.2.2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI und VII) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>EG 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>EG 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So EG 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

Hosting-Dienste im engeren Sinn dürften von der Begrifflichkeit erst gar nicht erfasst sein.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 27.</ref>

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 3/2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission wird künftig mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' Anhaltspunkte für die Vertragsgestaltung geben.<ref>Beispielhafte Formulierungen als erste Orientierungshilfe bietet etwa ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2/2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, EG 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 41''; Schmidt'' in BeckOK DatenschutzR50 (1.8.2024) DA Art 35 Rz 19.</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>EG 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
Der DA ergänzt den [[Data Governance Act (DGA)|DGA]]. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren sollen. Während der DGA Regelungen zu Prozessen und Strukturen enthält, die den freiwilligen Datenaustausch fördern sollen, stellt der DA klar, wer zu welchen Bedingungen Wert aus Daten schöpfen kann.<ref>''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10.10.2024).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3.2.2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 14, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3.2.2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 24.1.2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Der DA verlangt lediglich, dass diese wirksam, verhältnismäßig und abschreckend sind. Prozentangaben wie nach der DSGVO sieht der DA nicht vor.Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Davon unberührt bleibt die Möglichkeit der Datenschutzbehörde, '''Geldstrafen nach der DSGVO''' zu verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Mustervertragsklauseln der Kommission ===
Bis zum 12. 9. 2025 wird die Kommission unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung bereitstellen, insb

* Bedingungen für [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|eine angemessene Gegenleistung]] ,
* Bedingungen für den [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Schutz von Geschäftsgeheimnissen]],
* Standardvertragsklauseln für [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Verträge über Cloud-Computing]].
Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025, iE).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025, iE).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025, iE).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025, iE).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1. 8. 2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 29. 1. 2025).

== Nachweise ==

European Health Data Space (EHDS)

2025-02-26T18:45:27Z

DavidMSchneeberger: /* Einleitung */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2025|Nummer=|Kolisionsnummer=|Vertrag=EU|EWR=ja|Titel=Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den europäischen Raum für Gesundheitsdaten|Kurztitel=Europäischer Raum für Gesundheitsdaten, European Health Data Space (EHDS)|Bezeichnung=EHDS|Rechtsmaterie=Binnenmarkt, Gesundheits- und Datenschutzrecht|Grundlage=AEUV, insbesondere {{Art.|16|AEUV|dejure|}} und {{Art.|114|AEUV|dejure}}|DossierTyp=COD|DossierJahr=2022|DossierNummer=0140|Fundstelle=|Anzuwenden=|Gültig=vorschlagimprozess|KonsolidiertManuell=https://data.consilium.europa.eu/doc/document/PE-76-2024-REV-1/DE/pdf|GrundfassungManuell=https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:52022PC0197}}

== Kurzüberblick zum Europäischen Gesundheitsdatenraum ==
[[Datei:Quelle Grafik (Ausschnitt)- Europ Kommission, https---ec.europa.eu-commission-presscorner-detail-de-FS 24 1347.png|zentriert|mini|521x521px]]
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Kerninhalte
!Synergie
!Konsequenzen
|-
|Mit dem Vorschlag werden '''drei Ziele''' verfolgt:
• die Gewährleistung der '''Primärnutzung''' ("Gesundheitsversorgung") von elektronischen Gesundheitsdaten,

• die Festlegung der '''Regeln''' für die auf dem Markt angebotenen Lösungen für '''Patientendatensysteme''' und Wellness-Apps und

• die '''Sekundärnutzung''' (Weiternutzung von in der Gesundheitsversorgung gewonnenen Daten für Forschungszwecke etc) von elektronischen Gesundheitsdaten (unter bestimmten Bedingungen)
|
* '''Sachlich''' wird die Nutzung von "elektronischen Gesundheitsdaten" (= personenbezogene oder nicht personenbezogene elektronische Gesundheitsdaten gem Art 2 Abs 2 lit c VO-Vorschlag) festgelegt.
* Der '''persönliche''' Anwendungsbereich adressiert insb Patient*innen (natürliche Personen) und Angehörige der Gesundheitsberufe sowie weitere "Stakeholder" im Gesundheitswesen, zB sogenannte "Gesundheitsdateninhaber" und "Gesundheitsdatennutzer" (Art 2 Abs 2 lit t bzw u leg cit).
|Mit der vorgeschlagenen EHDS-VO wird der '''europäische Gesundheitsdatenraum''' (European Health Data Space – "EHDS“) mit gemeinsamen Vorschriften, Standards und Infrastrukturen sowie einem Governance-Rahmen geschaffen, um den Zugang zu elektronischen Gesundheitsdaten für die Zwecke der '''Primärnutzung''' von elektronischen Gesundheitsdaten sowie der '''Sekundärnutzung''' dieser Daten zu erleichtern (Art 1 Abs 1 leg cit). Darüber hinaus werden bestimmte gemeinsame Vorschriften für Systeme für elektronische Gesundheitsaufzeichnungen ('''„EHR-Systeme'''“) festgelegt (Art 1 Abs 2 lit b leg cit).
|Der EHDS soll ua auch zur Vorbereitung und Reaktion auf Gesundheitsbedrohungen, zur '''Prävention und Bewältigung künftiger Pandemien''', der Patientensicherheit, und personalisierten Medizin dienen (s ErwGr 1). Synergieeffekte sollen zB durch den Grundsatz der einmaligen Antragstellung für Gesundheitsdatennutzer geschaffen werden (s ErwGr 83).
|Die durch die EHDS-VO vereinfachte '''duale Nutzung''' von elektronischen Gesundheitsdaten für die Gesundheitsversorgung und die Weiterverarbeitung insb. in der Forschung soll die Gesundheitsversorgung in der EU verbessert werden, ein Binnenmarkt für digitale Gesundheitsdienste geschaffen und die Forschung im Gesundheitsbereich vorangetrieben werden.
Die Kommission erwartet zudem insgesamt Einsparungen von rund 11 Mrd EUR mit dem EHDS über einen Zeitraum von zehn Jahren.<ref>https://ec.europa.eu/commission/presscorner/detail/de/qanda_22_2712</ref>
|}

== Einleitung ==
Die Europäische Kommission hat 2020 in ihrer '''europäischen Datenstrategie'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine Europäische Datenstrategie, COM(2020) 66 final.</ref> (neben ursprünglich acht weiteren Datenräumen)<ref>Derzeit wurden vierzehn Datenräume vorgeschlagen, siehe ''Council of the European Union'', Commission Staff Document on Common European Data Spaces, https://data.consilium.europa.eu/doc/document/ST-5855-2024-INIT/en/pdf (Stand 26. 1. 2024).</ref> die Einrichtung eines '''Europäischen Gesundheitsdatenraumes''' (European Health Data Space, „'''EHDS'''“) vorgeschlagen. Der europäische Raum für Gesundheitsdaten ist der erste Vorschlag für einen solchen bereichsspezifischen gemeinsamen europäischen Datenraum. Datenräume sind laut Europäischer Kommission (vertikale) sektorspezifische Regelungen''',''' die als einheitliches Ziel einen '''"genuine single market for data“''' vorsehen. Dieser Binnenmarkt für Daten soll vor allem zu einer Schaffung großer Datenpools in bestimmten Sektoren (wie der Gesundheit) und einem verbesserter Datenzugang für die Entwicklung neuer datengestützter Dienste und Anwendungen (auch für das Training von foundation models [inzwischen im AI Act general purpose AI models], "GenAI") führen. Der EHDS soll die horizontalen Rechtsakte, wie insbesondere die Datenschutz-Grundverordnung (DSGVO),<ref>Wie aus der Studie zur Bewertung der Vorschriften der EU-Mitgliedstaaten zu Gesundheitsdaten vor dem Hintergrund der DSGVO hervorgeht, führt die uneinheitliche Umsetzung und Auslegung der DSGVO durch die Mitgliedstaaten zu erheblichen Rechtsunsicherheiten und damit zu Hindernissen für die Sekundärnutzung elektronischer Gesundheitsdaten, siehe die Begründung des EHDS-VVO-Vorschlag durch die Europäische Kommission, COM/2022/197 final 1 (unter Verweis auf Europäische Kommission, Assessment of the EU Member States’ rules on health data in the light of the GDPR, 2021).</ref> den [[Data Governance Act (DGA)|Data Governance Act]] (DGA) und den [[Data Act (DA)|Data Act]] (DA), ergänzen bzw. präzisieren und sieht maßgeschneiderte Vorschriften für das '''Gesundheitswesen''' vor.

Laut Europäischer Kommission ist der europäische Raum für Gesundheitsdaten ein gesundheitsspezifisches '''Ökosystem''', das aus Vorschriften, gemeinsamen Standards und Verfahren, Infrastrukturen und einem Governance-Rahmen besteht, der auf Folgendes abzielt:<ref>Vgl Mitteilung der Kommission an das Europäische Parlament und den Rat, Ein europäischer Raum für Gesundheitsdaten: Das Potenzial von Gesundheitsdaten für die Allgemeinheit, für Patientinnen und Patienten und für Innovation erschließen, COM(2022) 196 final 10 f.</ref>

a) Stärkung der Handlungskompetenz der Einzelpersonen durch Verstärkung des '''digitalen Zugangs''' zu ihren personenbezogenen elektronischen Gesundheitsdaten und ihrer Kontrolle darüber sowie durch Unterstützung ihres freien Datenverkehrs

b) Förderung eines echten '''Binnenmarkts''' für Systeme für elektronische Patientenakten, relevante Medizinprodukte und Hochrisiko-KI-Systeme

c) Schaffung eines kohärenten, vertrauenswürdigen und effizienten Umfelds für die '''Nutzung von Gesundheitsdaten''' für Forschung, Innovation, Politikgestaltung und Regulierungstätigkeiten

Die Europäische Kommission hat den EHDS-Entwurf in Form einer Verordnungsvorschlags 2022 vorgelegt<ref>COM/2022/197 final, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0197</ref> - als bislang einzigen formalen Rechtsakt unter den dreizehn anderen Datenräumen. Dies ist laut Kommission darin begründet, dass die Covid-19-Epidemie die Dringlichkeit eines funktionierenden Datenzugangs und -austausches auf europäischer Ebene aufgezeigt hat und zahlreiche Öffnungsklauseln der DSGVO sowie die uneinheitliche Umsetzung durch die MS zu erheblichen Rechtsunsicherheiten und damit Hindernissen für die '''Sekundärnutzung''' personenbezogener elektronischer Gesundheitsdaten geführt haben. Daher siehe der EHDS-E ua einen '''gemeinsamen Rahmen für die Sekundärnutzung''' elektronischer Gesundheitsdaten vor, der Fragmentierung der und die Hindernisse für den grenzüberschreitenden Zugang verringern soll.

=== Status des Verordnungsvorschlags ===
Der Vorschlag der Europäischen Kommission zum Europäischen Gesundheitsdatenraum wurde am 3. 5. 2022 veröffentlicht.<ref>COM(2022) 197 final</ref> Nach Verhandlungen haben sich die MS der Europäischen Union im Rat am 6. Dezember 2023 auf eine gemeinsame Position zum EHDS-Verordnungsvorschlag geeinigt.<ref>''General Secretariat of the Council'', Proposal for a Regulation on the European Health Data Space. Mandate for negotiations with the European Parliament 16048/1/23 REV1, https://data.consilium.europa.eu/doc/document/ST-16048-2023-REV-1/en/pdf.</ref> Diese Einigung bildete die Grundlage für die Verhandlungen über den EHDS-Entwurf mit dem Europäischen Parlament und der Europäischen Kommission (<abbr>sog</abbr> „Trilog“) dar. Darauf folgte am am 14. März 2024 eine Einigung zwischen Rat der Europäischen Union, dem Europäischen Parlament und der Europäischen Kommission auf einen gemeinsamen Kompromisstext.<ref>''General Secretariat of the Council'', Proposal for a Regulation on the European Health Data Space. Analysis of the final compromise text with a view to agreement 7553/24, https://www.consilium.europa.eu/media/70909/st07553-en24.pdf.</ref> Das Europäische Parlament hat daraufhin den Text am 24. April 2024 (noch ohne Überarbeitung durch die Rechts- und Sprachsachverständigen) in erster Lesung beschlossen,<ref>Standpunkt des Europäischen Parlaments festgelegt in erster Lesung am 24. April 2024 im Hinblick auf den Erlass der Verordnung (EU) 2024/... des Europäischen Parlaments und des Rates über den europäischen Raum für Gesundheitsdaten, https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_DE.pdf</ref> <ref>Siehe zu diesem Vorgehen den Vermerk ''Generalsekretariat des Rates'', Vorschläge im Rahmen des ordentlichen Gesetzgebungsverfahrens, die voraussichtlich Gegenstand des Berichtigungsverfahrens des Europäischen Parlaments sein werden (Teil I), https://data.consilium.europa.eu/doc/document/ST-10078-2024-INIT/de/pdf (Stand 18. 6. 2024).</ref> bevor der (in der Zwischenzeit redaktionell bereinigte und sprachjuristisch geprüfte) VO-Vorschlag auch vom Rat am 21. Jänner 2025 angenommen wurde.<ref>Rat der Europäischen Union, Pressemitteilung vom 21.1.2025, https://www.consilium.europa.eu/de/press/press-releases/2025/01/21/european-health-data-space-council-adopts-new-regulation-improving-cross-border-access-to-eu-health-data/</ref> Nach der Unterzeichnung durch die Präsidentin des Europäischen Parlaments und des Präsidenten des Rates am 11. 2. bzw 12. 2. 2025<ref>https://law-tracker.europa.eu/procedure/2022_140</ref> erfolgt demnächst die Kundmachung der EHDS-VO im Amtsblatt der EU.

=== Zeitlicher Anwendungsbereich ===
In Art 105 EHDS-VO-Vorschlag ist ein Inkrafttreten am zwanzigsten Tag nach der Veröffentlichung der Verordnung im Amtsblatt der Europäischen Union vorgesehen. Anzuwenden ist die VO grundsätzlich 2 Jahre nach Inkrafttreten, wobei jedoch bestimmte Artikel erst nach vier, sechs bzw. zehn Jahren nach dem Inkrafttreten in Geltung treten.

== Zentrale Inhalte ==

=== Primärnutzung elektronischer Gesundheitsdaten ===
Kapitel II (Art 3 ff EHDS-VO-Vorschlag) enthält Regelungen zur '''Primärnutzung''' elektronischer Gesundheitsdaten. Als "Primärnutzung" wird in Art 2 Abs 2 lit d leg cit "die Verarbeitung elektronischer Gesundheitsdaten für die '''Erbringung von Gesundheitsdienstleistungen''' zur Beurteilung, Erhaltung oder Wiederherstellung des Gesundheitszustands der natürlichen Person, auf die sich die Daten beziehen [...]" definiert. Kapitel II räumt den betroffenen Personen (natürlichen Personen) '''Rechte''' hinsichtlich der Primärnutzung ihrer personenbezogenen elektronischen Gesundheitsdaten ein (Recht auf Zugang; Recht auf Eingabe von Informationen in die elektronische Gesundheitsaufzeichnung - electronic health record, EHR; Recht auf Berichtigung; Recht auf Datenübertragbarkeit; Recht auf Beschränkung des Zugangs; Recht auf Auskunft über den Zugriff auf Daten; Recht zum Widerspruch im Rahmen der Primärnutzung).

=== Sekundärnutzung elektronischer Gesundheitsdaten ===
Der EHDS-VO-Vorschlag regelt in Kapitel IV (Art 50 ff) die '''Sekundärnutzung''' von Gesundheitsdaten für Forschung, Innovation, Politikgestaltung und regulatorische Zwecke. Laut Legaldefinition in Art 2 Abs 2 lit e bezeichnet der '''Begriff der Sekundärnutzung''' dabei "die Verarbeitung elektronischer Gesundheitsdaten für die in Kapitel IV der vorliegenden Verordnung genannten Zwecke, sofern es sich nicht um die Zwecke handelt, für die sie ursprünglich erhoben oder erstellt wurden". Als '''Zwecke''', für die elektronische Gesundheitsdaten zur Sekundärnutzung verarbeitet werden können, normiert Art 53 die folgenden:

* öffentliches Interesse im Bereich der '''öffentlichen Gesundheit und der Gesundheit am Arbeitsplatz''';
* '''Politikgestaltung''' und '''Regulierungstätigkeiten''' zur Unterstützung von öffentlichen Stellen;
* '''Statistiken''', wie nationale, multinationale und unionsweite amtliche Statistiken im Sinne der Verordnung (EU) 223/2009 über den Gesundheits- oder Pflegesektor;
* '''Bildungs- oder Lehrtätigkeiten''' im Gesundheits- oder Pflegebereich auf der Ebene der Berufs- oder Hochschulbildung;
* '''wissenschaftliche Forschung im Bereich des Gesundheits- oder Pflegesektors''', die zur öffentlichen Gesundheit oder zur Bewertung von Gesundheitstechnologien beiträgt oder ein hohes Maß an Qualität und Sicherheit der Gesundheitsversorgung, von Arzneimitteln oder Medizinprodukten sicherstellt, mit dem Ziel, Endnutzern wie Patienten, Angehörigen der Gesundheitsberufe und Gesundheitsverwaltungen zugutezukommen, einschließlich Entwicklungs- und Innovationstätigkeiten für Produkte oder Dienstleistungen; Training, Erprobung und Bewertung von Algorithmen, auch in Medizinprodukten, In-vitro-Diagnostika, KI-Systemen und digitalen Gesundheitsanwendungen;
* Verbesserung der '''Pflege''', Optimierung der '''Behandlung''' und '''Gesundheitsversorgung''' auf der Grundlage der elektronischen Gesundheitsdaten.

Zum Schutz der Privatsphäre und insbesondere In Anwendung des Grundsatzes der Datenminimierung gem Art 5 Abs 1 lit c DSGVO geht der EHDS-VO-Vorschlag grundsätzlich von einer Nutzung '''anonymisierter oder pseudonymisierter Gesundheitsdaten''' aus. Daher sollen in allen Fällen, in denen dies ausreicht, nicht personenbezogene (anonymisierte) elektronische Gesundheitsdaten zur Verfügung gestellt werden. Wenn der Datennutzer personenbezogene elektronische Gesundheitsdaten verwenden muss, ist dies zu begründen und von der Stelle für den Zugang zu Gesundheitsdaten zu überprüfen - selbst in einem solchen Fall sollten personenbezogene elektronische Gesundheitsdaten nur in pseudonymisiertem Form zur Verfügung gestellt werden. Die Pseudonymisierung und Anonymisierung kann dabei laut ErwGr 72 von den Zugangsstellen für Gesundheitsdaten oder von den Inhabern von Gesundheitsdaten vorgenommen werden.

==== Ablauf der Sekundärnutzung von Gesundheitsdaten ====
[[Datei:M. Löffler, Ablauf Sekundärnutzung von Gesundheitsdaten nach dem EHDS.png|mini|'''Ablauf Sekundärnutzung von Gesundheitsdaten'''|384x384px]]
Der Prozess zur Sekundärdatennutzung umfasst überblicksartig folgende Schritte (siehe auch das Ablaufdiagramm):

1. '''Antragstellung''' durch Datenverwender: Forschende, politische Entscheidungsträger oder Innovatoren, die Gesundheitsdaten nutzen möchten, stellen einen Antrag bei der zuständigen nationalen Gesundheitsdatenzugangsstelle.

2. '''Prüfung''' des Antrags: Die Gesundheitsdatenzugangsstelle bewertet den Antrag hinsichtlich der Einhaltung der festgelegten Zwecke und der Datenschutzbestimmungen.

3. Erteilung einer '''Datenzugangsgenehmigung''': Bei positiver Bewertung wird eine Genehmigung erteilt, die den Zugang zu den erforderlichen Gesundheitsdaten unter strengen Bedingungen erlaubt.

4. '''Datenzugriff''' in sicheren Verarbeitungsumgebungen: Die genehmigten Datenverwender greifen auf die Gesundheitsdaten in speziell gesicherten Verarbeitungsumgebungen zu, die den Datenschutz gewährleisten.

5. '''Verarbeitung''' und Analyse der Daten: Innerhalb dieser sicheren Umgebung werden die Daten für die genehmigten Zwecke verarbeitet und analysiert.

6. '''Ergebnisse''': Die gewonnenen Erkenntnisse werden genutzt, um die Forschung voranzutreiben, politische Entscheidungen zu unterstützen oder neue Gesundheitslösungen zu entwickeln.

==== Widerspruch ("Opt-out") ====
Natürlichen Personen (idR Patient*innen) steht gem Art 71 Abs 1 EHDS-VO-Vorschlag das Recht auf jederzeitigen und begründungslosen '''Widerspruch''' gegen die Bereitstellung ihrer personenbezogenen elektronischen Gesundheitsdaten für die Sekundärnutzung zu. Dies bewirkt, dass ab Ausübung des Widerspruchs (identifizierbare) elektronische Gesundheitsdaten des Widersprechenden nicht durch nachfolgende Datengenehmigungen gem Art 68 oder Datenanfragen gem Artikel 69 zur Verfügung gestellt werden dürfen.

Allerdings existiert dazu eine (beschränkte) '''Gegenausnahme''', d.h. dass es - trotz aufrechtem Widerspruch - zur Sekundärdatennutzung für bestimmte Zwecke, die in engem Zusammenhang mit dem öffentlichen Interesse stehen, kommen kann (laut ErwGr 54 soll dies bspw bei Tätigkeiten zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder wissenschaftliche Forschung aus wichtigen Gründen des öffentlichen Interesses vorliegen). Die MS werden durch Art 71 Abs 4 ermächtigt, dafür einen eingeschränkten Mechanismus für den Datenzugang einzurichten.

== Fallbeispiele ==
{| class="wikitable"
|-
|'''Use cases'''
|'''Beispiel 1''': Eine in Portugal lebende Frau fährt nach Frankreich in Urlaub. Leider erkrankt sie in Frankreich und muss vor Ort eine Hausarztpraxis aufsuchen. Dank EHDS und MyHealth@EU kann auf dem Praxiscomputer in Frankreich die Krankengeschichte dieser Patientin in französischer Sprache abgerufen werden (unterstützt durch Übersetzungsfunktionen). Infolgedessen kann das notwendige Arzneimittel auf der Grundlage der Krankengeschichte der Patientin verschrieben werden und z. B. können Medikamente vermieden werden, auf die die Patientin allergisch ist. Die Verschreibungsinformationen können ebenfalls ausgetauscht werden, damit sie zu Hause in Portugal oder überall in der Union verwendet werden können.
'''Beispiel 2''': Ein Gesundheitstechnologieunternehmen entwickelt ein neues KI-basiertes Instrument zur medizinischen Entscheidungsfindung, das Ärzten dabei hilft, nach einer Überprüfung der Laborbilder des Patienten Diagnose- und Behandlungsentscheidungen zu treffen. Die KI vergleicht die Bilder des Patienten mit denen vieler früherer Patienten. Durch den EHDS kann das Unternehmen einen effizienten und sicheren Zugang zu einer großen Zahl medizinischer Bilder bekommen, um den KI-Algorithmus zu trainieren und seine Genauigkeit und Wirksamkeit zu optimieren, bevor es eine Marktzulassung beantragt.

'''Beispiel 3''': Ein Mann hat ein medizinisches Bild seiner Lunge, das im öffentlichen Krankenhaus gemacht wurde, in das er vom Notfallteam gebracht wurde. Kurz danach sucht er seinen behandelnden Arzt in einem anderen Krankenhaus auf. Dank des EHDS kann sein Arzt das medizinische Bild aus dem anderen Krankenhaus sehen, wodurch eine neue, unnötige Untersuchung vermieden wird.

Quelle: Europ. Kommission, https://ec.europa.eu/commission/presscorner/detail/de/QANDA_24_2251
|}

== Weiterführende Literatur & Links ==

=== Literatur ===

*''Aigner/Bachinger/Bathke/Bergthaler/Bock/Czypionka/Degelsegger-Marquez/Haslacher/Klimek/Langs/Oberhofer/Ostermann/Prainsack/Strassnig/Thomas/Thurner'', Grundlagenpapier zur Schaffung des österreichischen Gesundheitsdatenraumes (2023), https://ierm.univie.ac.at/fileadmin/user_upload/i_ierm/Varanstaltungen/WP_12_-_Aigner_et_al._-_Grundlagenpapier_zur_Schaffung_des_oesterreichischen_Gesundheitsdatenraumes.pdf.
*''Becker/Chokoshvili/Dove'', Legal bases for effective secondary use of health and genetic data in the EU. Time for new legislative solutions to better harmonize data for cross-border sharing? IDPL 2024, 223.
*''Gabauer'', Sekundärnutzung von elektronischen Gesundheitsdaten auf Grundlage des Entwurfs einer Verordnung über den Europäischen Raum für Gesundheitsdaten (EHDS), in FS Jahnel (2025), im Erscheinen.
*''Gassner'', Sekundärnutzung von Gesundheitsdaten für die kommerzielle Medizinprodukteforschung, MPR 2024, 95.
*''Kuss/Moers'', Die Europäische und nationale Datenstrategie im Gesundheitswesen am Beispiel des European Health Data Space und des Gesundheitsdatennutzungsgesetzes: Ein Durchbruch für die Forschung?, in ''Hoffberger-Pippan/Ladeck/Ivankovics'' (Hrsg), Jahrbuch Digitalisierung 2024 (2024) 342.
*''Löffler/Kastelitz'', Was ist der Europäische Raum für Gesundheitsdaten (EHDS)? Dako 2023, 79.
*''Quinn/Ellyne/Yao'', Will the GDPR Restrain Health Data Access Bodies Under the European Health Data Space (EHDS)? Computer Law & Security Review 2024, 105993.
*''Raji'', Datenräume in der Europäischen Datenstrategie am Beispiel des European Health Data Space, ZD 2023, 3.
*''Werry/Ntanas'', Sekundärnutzung von Gesundheitsdaten - Quid deinde? MMR 2024, 641.

=== Links ===

*''European Commission'', Assessment of the EU Member States’ rules on health data in the light of GDPR, https://health.ec.europa.eu/publications/assessment-eu-member-states-rules-health-data-light-gdpr_en?prefLang=de.
*''European Commission'', Impact Assessment on the European Health Data Space, https://health.ec.europa.eu/publications/impact-assessment-european-health-data-space_en?prefLang=de.
*''European Commission'', Study supporting the impact assessment of policy options for an EU initiative on a European health data space (2022), https://op.europa.eu/en/publication-detail/-/publication/fb9c0bdd-ca8d-11ec-b6f4-01aa75ed71a1/language-en.
*European Commission, Study on health data, digital health and artificial intelligence in healthcare (2022), https://health.ec.europa.eu/publications/study-health-data-digital-health-and-artificial-intelligence-healthcare_en?prefLang=de.
*''Europäische Kommission'', Europäischer Raum für Gesundheitsdaten (EHDS), https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space_de.

== Einzelnachweise ==

Datenstrategie

2025-02-26T18:38:08Z

DavidMSchneeberger: /* Rechtsakte */

== Rechtsakte ==
* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]
* [[European Health Data Space (EHDS)]]

== Inhaltsverzeichnis ==
__INHALTSVERZEICHNIS__

== Hintergrund ==
[[Datei:Datenstrategie.jpg|mini|Die Säulen der Europäischen Datenstrategie]]"Daten sind die Lebensader der wirtschaftlichen Entwicklung"<ref name=":0">Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 3.</ref> - mit dieser Aussage unterstreicht die Europäische Kommission in ihrer Datenstrategie<ref name=":0" /> (einem Teil der Digitalstrategie<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Gestaltung der digitalen Zukunft Europas COM(2020) 67 final. Siehe auch die Ausführungen im [[Digitale Dienste und Märkte|Cluster Digitale Dienste und Märkte]].</ref>) die fundamentale Bedeutung von Daten in der modernen Wirtschaft. Die Verfügbarkeit und effiziente Nutzung von Daten bildet dabei das Fundament für die Entwicklung einer wettbewerbsfähigen und innovativen Datenwirtschaft. Das Potenzial von Daten zeigt sich in vielen Bereichen, wie beispielsweise im Gesundheitswesen durch personalisierte Medizin, in der öffentlichen Verwaltung durch eine verbesserte Krisenbewältigung oder in der Wirtschaft durch die Entwicklung neuer Geschäftsmodelle.

Um dieses Potenzial zu erschließen, wurde in der Datenstrategie das zentrale Ziel definiert, einen Binnenmarkt für Daten zu schaffen. Dieser soll eine EU-weite und branchenübergreifende Datenweitergabe ermöglichen, die dem Nutzen von Wirtschaft, Wissenschaft und Verwaltung dient. Kennzeichnend für diesen europäischen Weg ist das Bestreben, eine führende Rolle in der Datenwirtschaft einzunehmen und dabei die europäischen Grundwerte durch strenge Datenschutz-, Sicherheits- und Ethik-Standards kompromisslos zu wahren.<ref>Nur durch die Förderung von Vertrauen, insb durch die Wahrung der Betroffenenrechte, können die gesellschaftlichen und wirtschaftlichen Vorteile der Datenweitergabe voll ausgeschöpft werden, vgl ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 4 ff.</ref> In Umsetzung dieser Vision sollen Datenräume, wie der [[European Health Data Space (EHDS)|Europäische Gesundheitsdatenraum]], geschaffen werden.<ref>Siehe die Auflistung in der Anlage zu COM(2020) 66 final, 30 ff.</ref>

Die Europäische Datenstrategie basiert auf vier Säulen:<ref name=":0" />

# '''Ein sektorübergreifender Governance-Rahmen für Datenzugang und Datennutzung:'''
#* Der Data Governance Act ([[Data Governance Act (DGA)|DGA]]) etabliert ein neues Regelungsregime für die Weiterverwendung öffentlicher und geschützter Daten.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, <nowiki>https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained</nowiki> (Stand 11.10.2024).</ref> Eine Schlüsselrolle kommt '''Datenvermittlungsdiensten''' zu.<ref>ErwGr 27 [[Data Governance Act (DGA)|DGA]].</ref>
#* Der [[Data Act (DA)]] komplettiert diesen Rahmen durch Regelungen für die Nutzung von Daten vernetzter Produkte und damit verbundener Dienste, wie etwa im Internet der Dinge (IoT) und bei Industriemaschinen.
# '''Infrastrukturelle Voraussetzungen:'''
#* Investitionen in Daten,
#* Stärkung der europäischen Kapazitäten und Infrastrukturen für
#** das Hosting,
#** die Verarbeitung und die Nutzung von Daten, sowie
#** der Interoperabilität.
# '''Kompetenzaufbau:'''
#* Stärkung individueller Handlungskompetenzen im Umgang mit Daten,<ref>Zu diesem Zweck werden zusätzlich zum Recht auf Datenportabilität nach Art 20 DSGVO [[Data Act (DA)#Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten|Zugangsrechte im Data Act]] eingeräumt. </ref>
#* Investitionen in Kompetenzen und allgemeine Datenkompetenz,
#* Gezielter Kapazitätsaufbau für KMU.
# '''Gemeinsame europäische Datenräume in strategischen Sektoren und Bereichen von öffentlichem Interesse:''' Die Strategie sieht die Schaffung sektorspezifischer Datenräume vor, exemplarisch sei hier der Europäische Gesundheitsdatenraum genannt.
Die Prinzipien der Europäischen Datenstrategie finden auch auf nationaler Ebene Resonanz: Österreich hat im Oktober 2024 eine '''eigene Datenstrategie''' veröffentlicht.<ref>''Bundeskanzleramt Österreich'', Digital Austria, https://www.digitalaustria.gv.at/Strategien/Datenstrategie.html (Stand Juni 2024).</ref>

== Das Projekt Gaia-X ==
[https://gaia-x.eu/ Gaia-X], eine von Deutschland und Frankreich begründete europäische Initiative, verfolgt das Ziel, eine '''souveräne digitale Infrastruktur''' für den sicheren und vertrauenswürdigen Datenaustausch zu etablieren. Bei Gaia-X handelt es sich weder um eine Cloud noch um einen Datenraum. Vielmehr konstituiert Gaia-X ein föderiertes System, das auf einer klar definierten technologischen Architektur basiert und durch standardisierte Regeln den rechtssicheren Austausch zwischen Diensteanbietern und Nutzern gewährleistet.<ref>About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 24.1.2025); ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (181) mwN.</ref>

Durch die Entwicklung gemeinsamer Datenökosysteme fördert Gaia-X die Interoperabilität zwischen Datensystemen, während strenge Standards für Datenschutz und Sicherheit eine '''gemeinsame''' '''vertrauenswürdige Basis''' schaffen. Damit trägt Gaia-X wesentlich zur Stärkung der Datensouveränität und zur Umsetzung der EU-Datenstrategie bei.<ref>''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (180).</ref>

Das Projekt wird dezentral, in sog "Hubs" organisiert, als gemeinsamer Koordniator fungiert die Gaia-X European Association for Data and Cloud AISBL (Gaia-X AISBL)<ref>''gaia-x'', Association. https://gaia-x.eu/who-we-are/association/ (abgerufen am 24.1.2025).</ref>. Der [https://www.gaia-x.at/ Gaia-X Hub Österreich] koordiniert die Teilnahme österreichischer Unternehmen und Institutionen und unterstützt deren Zusammenarbeit mit europäischen Partnern.<ref>''AIT'', Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 24.1.2025).</ref>

Die folgenden Prinzipien prägen den Ansatz von Gaia-X:<ref>''Bonfiglio'', Vision and Strategy (Stand 17.12.2021), https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.</ref>

* '''Offen''': Gaia-X nutzt offene Spezifikationen und quelloffenen Code, um Standards und Dienste zugänglich und überprüfbar zu machen.
* '''Transparent''': Es bietet nachvollziehbare Informationen über die Eigenschaften und Konformität von Diensten.
* '''Souverän''': Es ermöglicht digitale Selbstbestimmung durch klare Rahmenbedingungen für Datenkontrolle und technische Unabhängigkeit.
* '''Fair''': Es schafft gleiche Wettbewerbsbedingungen durch Standards für Interoperabilität und Datennutzung.
* '''Unabhängig''': Gaia-X ist eine unabhängige Organisation, die die Interessen aller Mitglieder gleichermaßen vertritt.
* '''Inklusiv''': Es steht Akteur*innen weltweit offen, wobei europäische Prinzipien und Regeln eingehalten werden.
* '''Frei''': Die Open-Source-Werkzeuge werden unentgeltlich zur Verfügung gestellt.
* '''Föderiert''': Es fördert föderierte Strukturen für sicheren und kontrollierten Datenaustausch.
* '''Innovativ''': Zukunftsweisende Technologien, zB Dezentralisierte Architekturen, Distributed Consensus, Digital Ledgers, Verifiable Credentials und Compute to Data, werden eingesetzt und das Projekt wird laufend fortentwickelt.
* '''Evolutionär''': Es setzt auf kontinuierliche Verbesserung durch iterative Prozesse und offene Zusammenarbeit.

== Datenräume ==
Definition für Datenraum:<blockquote>"Ein verteiltes System, das durch einen Governance-Rahmen definiert ist und sichere sowie vertrauenswürdige Datentransaktionen zwischen Teilnehmenden ermöglicht, während Vertrauen und Datensouveränität unterstützt werden. Ein Datenraum wird durch eine oder mehrere Infrastrukturen umgesetzt und ermöglicht einen oder mehrere Anwendungsfälle."<ref>''Data Spaces Support Centre (DSSC)'', Glossary2.0, 8, https://dssc.eu/space/Glossary/176553985/DSSC+Glossary+%7C+Version+2.0+%7C+September+2023 (Stand 27.9.2023).</ref></blockquote>Datenräume können verschiedenen Akteur*innen Vorteile bieten, darunter:<ref>Vgl ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.</ref>

* '''Politische Entscheidungsträger*innen:''' Sie benötigen Zugang zu Daten, um fundierte Entscheidungen in gesellschaftlichen Angelegenheiten treffen zu können.
* '''Private Unternehmen:''' Sie nutzen Daten, um interne Prozesse zu verbessern, Innovation voranzutreiben und branchenspezifische Herausforderungen zu bewältigen.
* '''Forschungseinrichtungen:''' Sie greifen auf Daten zu, um wissenschaftliche Erkenntnisse zu gewinnen oder um KI-Modelle zu trainieren.

'''Beispiele''': [[European Health Data Space (EHDS)|EHDS]]; Öffentlicher Beschaffungsdatenraum (PPDS)<ref>''Europäische Kommission'', The Public Procurement Data Space (PPDS), https://single-market-economy.ec.europa.eu/single-market/public-procurement/digital-procurement/public-procurement-data-space-ppds_en (abgerufen am 24.1.2025).</ref>

Gemeinsame europäische Datenräume sollen dafür sorgen, dass Daten den sog '''"FAIR"-Grundsätzen''' entsprechen (EG 2 DGA):
* '''F'''indable (auffindbar),
* '''A'''ccessible (zugänglich),
* '''I'''nteroperable (interoperabel)
* '''R'''eusable (wiederverwendbar)
Der '''Data Act''' definiert klare Regeln für den Zugang, die Nutzung und die Weitergabe von Daten. Damit unterstützt er eine rechtssichere und vertrauenswürdige Dateninfrastruktur, die den FAIR-Grundsätzen entspricht und die Nutzung europäischer Datenräume effektiv ermöglicht.

=== Training von KI-Modellen ===
Die Verfügbarkeit von Daten ist wesentlich für die Entwicklung von [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|KI-Modellen]]. Der Datenaustausch über Datenräume bietet große Vorteile:<ref>''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 51, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Stand 5.11.2024).</ref>

* '''Zugang zu hochwertigen und vielfältigen Datensätzen:''' Datenräume bieten sichere und effiziente Rahmenbedingungen für den Datenaustausch und ermöglichen den Zugriff auf diverse, domänenspezifische Datensätze, einschließlich Industriedaten, die für die Entwicklung generativer KI entscheidend sind.
* '''Förderung von Innovation und Kollaboration:''' Datenräume bieten eine Ökosystemperspektive, die Innovation, Zusammenarbeit und Partnerschaften zwischen den beteiligten Akteur*innen fördert und dadurch neue Geschäftsmöglichkeiten schafft.
* '''Einhaltung gesetzlicher Vorgaben:''' Sie unterstützen die Einhaltung des rechtlichen Rahmens, wie der Datenschutz-Grundverordnung (DSGVO) und des [[Artificial Intelligence Act (AIA)#Kurzübersicht|KI-Gesetzes (AI Act)]], wodurch Transparenz, Rechenschaftspflicht und rechtliche Konformität sichergestellt werden.
* '''Förderung von Interoperabilität und Synergien:''' Durch die Nutzung standardisierter Ansätze ermöglichen Datenräume die Interoperabilität zwischen verschiedenen Domänen und fördern Synergien über Branchen hinweg.
* '''Unterstützung von Governance- und Sicherheitsanforderungen:''' Sie schaffen Rahmenbedingungen, die Daten-Governance, den Schutz geistigen Eigentums und die Cybersicherheit berücksichtigen und umsetzen.

== Weiterführende Literatur und Links ==

* Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 3, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066 (abgerufen am 24.1.2025).
* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, <nowiki>https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained</nowiki> (Stand 11.10.2024).
* ''Bundeskanzleramt'', Österreichische Datenstrategie https://www.data.gv.at/wp-content/uploads/2024/10/Datenstrategie_barrierefrei_final-02102024.pdf (Stand Juni 2024).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 24.1.2025).
* ''Hoeren/Pinelli'', Data Law (November 2024).
* About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 24.1.2025).
* AIT, Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 24.1.2025).
* ''Bonfiglio'', Vision and Strategy (Stand 17.12.2021), https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.
* ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.
* ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X, in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177.

== Einzelnachweise ==

Hauptseite

2025-02-26T18:37:55Z

DavidMSchneeberger: /* Datenstrategie */

Herzlich Willkommen im ATLAWS-Wiki

ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

[[Datei:ATLAWS Landkarte.png|mini|alternativtext=ATLAWS Landkarte]]

= Einführung in das ATLAWS-Projekt =

Das ATLAWS-Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Damit sollen essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert werden. So soll ein rascher Gesamtüberblick über den aktuellen rechtlichen Stand ermöglicht werden.

Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.

Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.

Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo können Synergien erzielt werden?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?

Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.

Nähere Informationen zum Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].

Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].

= Cluster =

Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen jeweils eigene Workshops angeboten werden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Cybersecurity]] ===

* [[Network and Information Security Directive (NIS II-RL)|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)]]

=== [[Künstliche Intelligenz]] ===

* [[Artificial Intelligence Act (AIA)]]
* [[KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Digitale Dienste und Märkte]] ===

* [[Digital Markets Act (DMA)]]
* [[Digital Services Act (DSA)]]
* [[Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Datenstrategie]] ===

* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]
* [[European Health Data Space (EHDS)]]

= Beteiligte Organisationen im ATLAWS-Projekt =
[[Liste der Beteiligten im ATLAWS-Projekt]]

= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den vergangenen Workshops finden Sie [[Co-creation-workshops|hier]].

= Mitarbeiter*innen im ATLAWS-Projekt =
[[Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise =

== Hinweis zum gendergerechten Sprachgebrauch ==
Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.

In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung ==
Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.

Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe =

Besuche unsere [[Hilfe|Hilfe-Seite]].

= Einzelnachweise =

European Health Data Space (EHDS)

2025-02-26T18:37:34Z

DavidMSchneeberger: /* Kurzüberblick zum Europäischen Gesundheitsdatenraum */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2025|Nummer=|Kolisionsnummer=|Vertrag=EU|EWR=ja|Titel=Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den europäischen Raum für Gesundheitsdaten|Kurztitel=Europäischer Raum für Gesundheitsdaten, European Health Data Space (EHDS)|Bezeichnung=EHDS|Rechtsmaterie=Binnenmarkt, Gesundheits- und Datenschutzrecht|Grundlage=AEUV, insbesondere {{Art.|16|AEUV|dejure|}} und {{Art.|114|AEUV|dejure}}|DossierTyp=COD|DossierJahr=2022|DossierNummer=0140|Fundstelle=|Anzuwenden=|Gültig=vorschlagimprozess|KonsolidiertManuell=https://data.consilium.europa.eu/doc/document/PE-76-2024-REV-1/DE/pdf|GrundfassungManuell=https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:52022PC0197}}

== Kurzüberblick zum Europäischen Gesundheitsdatenraum ==
[[Datei:Quelle Grafik (Ausschnitt)- Europ Kommission, https---ec.europa.eu-commission-presscorner-detail-de-FS 24 1347.png|zentriert|mini|521x521px]]
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Kerninhalte
!Synergie
!Konsequenzen
|-
|Mit dem Vorschlag werden '''drei Ziele''' verfolgt:
• die Gewährleistung der '''Primärnutzung''' ("Gesundheitsversorgung") von elektronischen Gesundheitsdaten,

• die Festlegung der '''Regeln''' für die auf dem Markt angebotenen Lösungen für '''Patientendatensysteme''' und Wellness-Apps und

• die '''Sekundärnutzung''' (Weiternutzung von in der Gesundheitsversorgung gewonnenen Daten für Forschungszwecke etc) von elektronischen Gesundheitsdaten (unter bestimmten Bedingungen)
|
* '''Sachlich''' wird die Nutzung von "elektronischen Gesundheitsdaten" (= personenbezogene oder nicht personenbezogene elektronische Gesundheitsdaten gem Art 2 Abs 2 lit c VO-Vorschlag) festgelegt.
* Der '''persönliche''' Anwendungsbereich adressiert insb Patient*innen (natürliche Personen) und Angehörige der Gesundheitsberufe sowie weitere "Stakeholder" im Gesundheitswesen, zB sogenannte "Gesundheitsdateninhaber" und "Gesundheitsdatennutzer" (Art 2 Abs 2 lit t bzw u leg cit).
|Mit der vorgeschlagenen EHDS-VO wird der '''europäische Gesundheitsdatenraum''' (European Health Data Space – "EHDS“) mit gemeinsamen Vorschriften, Standards und Infrastrukturen sowie einem Governance-Rahmen geschaffen, um den Zugang zu elektronischen Gesundheitsdaten für die Zwecke der '''Primärnutzung''' von elektronischen Gesundheitsdaten sowie der '''Sekundärnutzung''' dieser Daten zu erleichtern (Art 1 Abs 1 leg cit). Darüber hinaus werden bestimmte gemeinsame Vorschriften für Systeme für elektronische Gesundheitsaufzeichnungen ('''„EHR-Systeme'''“) festgelegt (Art 1 Abs 2 lit b leg cit).
|Der EHDS soll ua auch zur Vorbereitung und Reaktion auf Gesundheitsbedrohungen, zur '''Prävention und Bewältigung künftiger Pandemien''', der Patientensicherheit, und personalisierten Medizin dienen (s ErwGr 1). Synergieeffekte sollen zB durch den Grundsatz der einmaligen Antragstellung für Gesundheitsdatennutzer geschaffen werden (s ErwGr 83).
|Die durch die EHDS-VO vereinfachte '''duale Nutzung''' von elektronischen Gesundheitsdaten für die Gesundheitsversorgung und die Weiterverarbeitung insb. in der Forschung soll die Gesundheitsversorgung in der EU verbessert werden, ein Binnenmarkt für digitale Gesundheitsdienste geschaffen und die Forschung im Gesundheitsbereich vorangetrieben werden.
Die Kommission erwartet zudem insgesamt Einsparungen von rund 11 Mrd EUR mit dem EHDS über einen Zeitraum von zehn Jahren.<ref>https://ec.europa.eu/commission/presscorner/detail/de/qanda_22_2712</ref>
|}

== Einleitung ==
Die Europäische Kommission hat 2020 in ihrer '''europäischen Datenstrategie'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine Europäische Datenstrategie, COM(2020) 66 final.</ref> (neben ursprünglich acht weiteren Datenräumen)<ref>Derzeit wurden vierzehn Datenräume vorgeschlagen, siehe ''Council of the European Union'', Commission Staff Document on Common European Data Spaces, https://data.consilium.europa.eu/doc/document/ST-5855-2024-INIT/en/pdf (Stand 26. 1. 2024).</ref> die Einrichtung eines '''Europäischen Gesundheitsdatenraumes''' (European Health Data Space, „'''EHDS'''“) vorgeschlagen. Der europäische Raum für Gesundheitsdaten ist der erste Vorschlag für einen solchen bereichsspezifischen gemeinsamen europäischen Datenraum. Datenräume sind laut Europäischer Kommission (vertikale) sektorspezifische Regelungen''',''' die als einheitliches Ziel einen '''"genuine single market for data“''' vorsehen. Dieser Binnenmarkt für Daten soll vor allem zu einer Schaffung großer Datenpools in bestimmten Sektoren (wie der Gesundheit) und einem verbesserter Datenzugang für die Entwicklung neuer datengestützter Dienste und Anwendungen (auch für das Training von foundation models, "GenAI") führen. Der EHDS soll die horizontalen Rechtsakte, wie insbesondere die Datenschutz-Grundverordnung (DSGVO),<ref>Wie aus der Studie zur Bewertung der Vorschriften der EU-Mitgliedstaaten zu Gesundheitsdaten vor dem Hintergrund der DSGVO hervorgeht, führt die uneinheitliche Umsetzung und Auslegung der DSGVO durch die Mitgliedstaaten zu erheblichen Rechtsunsicherheiten und damit zu Hindernissen für die Sekundärnutzung elektronischer Gesundheitsdaten, siehe die Begründung des EHDS-VVO-Vorschlag durch die Europäische Kommission, COM/2022/197 final 1 (unter Verweis auf Europäische Kommission, Assessment of the EU Member States’ rules on health data in the light of the GDPR, 2021).</ref> den Data Governance Act (DGA) und den Data Act (DA), ergänzen bzw. präzisieren und sieht maßgeschneiderte Vorschriften für das '''Gesundheitswesen''' vor.

Laut Europäischer Kommission ist der europäische Raum für Gesundheitsdaten ein gesundheitsspezifisches '''Ökosystem''', das aus Vorschriften, gemeinsamen Standards und Verfahren, Infrastrukturen und einem Governance-Rahmen besteht, der auf Folgendes abzielt:<ref>Vgl Mitteilung der Kommission an das Europäische Parlament und den Rat, Ein europäischer Raum für Gesundheitsdaten: Das Potenzial von Gesundheitsdaten für die Allgemeinheit, für Patientinnen und Patienten und für Innovation erschließen, COM(2022) 196 final 10 f.</ref>

a) Stärkung der Handlungskompetenz der Einzelpersonen durch Verstärkung des '''digitalen Zugangs''' zu ihren personenbezogenen elektronischen Gesundheitsdaten und ihrer Kontrolle darüber sowie durch Unterstützung ihres freien Datenverkehrs

b) Förderung eines echten '''Binnenmarkts''' für Systeme für elektronische Patientenakten, relevante Medizinprodukte und Hochrisiko-KI-Systeme

c) Schaffung eines kohärenten, vertrauenswürdigen und effizienten Umfelds für die '''Nutzung von Gesundheitsdaten''' für Forschung, Innovation, Politikgestaltung und Regulierungstätigkeiten

Die Europäische Kommission hat den EHDS-Entwurf in Form einer Verordnungsvorschlags 2022 vorgelegt<ref>COM/2022/197 final, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0197</ref> - als bislang einzigen formalen Rechtsakt unter den dreizehn anderen Datenräumen. Dies ist laut Kommission darin begründet, dass die Covid-19-Epidemie die Dringlichkeit eines funktionierenden Datenzugangs und -austausches auf europäischer Ebene aufgezeigt hat und zahlreiche Öffnungsklauseln der DSGVO sowie die uneinheitliche Umsetzung durch die Mitgliedsstaaten zu erheblichen Rechtsunsicherheiten und damit Hindernissen für die '''Sekundärnutzung''' personenbezogener elektronischer Gesundheitsdaten geführt haben. Daher siehe der EHDS-E u.a. einen '''gemeinsamen Rahmen für die Sekundärnutzung''' elektronischer Gesundheitsdaten vor, der Fragmentierung der und die Hindernisse für den grenzüberschreitenden Zugang verringern soll.

=== Status des Verordnungsvorschlags ===
Der Vorschlag der Europäischen Kommission zum Europäischen Gesundheitsdatenraum wurde am 3. 5. 2022 veröffentlicht.<ref>COM(2022) 197 final</ref> Nach Verhandlungen haben sich die Mitgliedstaaten der Europäischen Union im Rat am 6. Dezember 2023 auf eine gemeinsame Position zum EHDS-Verordnungsvorschlag geeinigt.<ref>''General Secretariat of the Council'', Proposal for a Regulation on the European Health Data Space. Mandate for negotiations with the European Parliament 16048/1/23 REV1, https://data.consilium.europa.eu/doc/document/ST-16048-2023-REV-1/en/pdf.</ref> Diese Einigung bildete die Grundlage für die Verhandlungen über den EHDS-Entwurf mit dem Europäischen Parlament und der Europäischen Kommission (<abbr>sog.</abbr> „Trilog“) dar. Darauf folgte am am 14. März 2024 eine Einigung zwischen Rat der Europäischen Union, dem Europäischen Parlament und der Europäischen Kommission auf einen gemeinsamen Kompromisstext.<ref>''General Secretariat of the Council'', Proposal for a Regulation on the European Health Data Space. Analysis of the final compromise text with a view to agreement 7553/24, https://www.consilium.europa.eu/media/70909/st07553-en24.pdf.</ref> Das Europäische Parlament hat daraufhin den Text am 24. April 2024 (noch ohne Überarbeitung durch die Rechts- und Sprachsachverständigen) in erster Lesung beschlossen,<ref>Standpunkt des Europäischen Parlaments festgelegt in erster Lesung am 24. April 2024 im Hinblick auf den Erlass der Verordnung (EU) 2024/... des Europäischen Parlaments und des Rates über den europäischen Raum für Gesundheitsdaten, https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_DE.pdf</ref> <ref>Siehe zu diesem Vorgehen den Vermerk ''Generalsekretariat des Rates'', Vorschläge im Rahmen des ordentlichen Gesetzgebungsverfahrens, die voraussichtlich Gegenstand des Berichtigungsverfahrens des Europäischen Parlaments sein werden (Teil I), https://data.consilium.europa.eu/doc/document/ST-10078-2024-INIT/de/pdf (Stand 18. 6. 2024).</ref> bevor der (in der Zwischenzeit redaktionell bereinigte und sprachjuristisch geprüfte) VO-Vorschlag auch vom Rat am 21. Jänner 2025 angenommen wurde.<ref>Rat der Europäischen Union, Pressemitteilung vom 21.1.2025, https://www.consilium.europa.eu/de/press/press-releases/2025/01/21/european-health-data-space-council-adopts-new-regulation-improving-cross-border-access-to-eu-health-data/</ref> Nach der Unterzeichnung durch die Präsidentin des Europäischen Parlaments und des Präsidenten des Rates am 11. 2. bzw 12. 2. 2025<ref>https://law-tracker.europa.eu/procedure/2022_140</ref> erfolgt demnächst die Kundmachung der EHDS-VO im Amtsblatt der EU.

=== Zeitlicher Anwendungsbereich ===
In Artikel 105 EHDS-VO-Vorschlag ist ein Inkrafttreten am zwanzigsten Tag nach der Veröffentlichung der Verordnung im Amtsblatt der Europäischen Union vorgesehen. Anzuwenden ist die VO grundsätzlich 2 Jahre nach Inkrafttreten, wobei jedoch bestimmte Artikel erst nach vier, sechs bzw. zehn Jahren nach dem Inkrafttreten in Geltung treten.

== Zentrale Inhalte ==

=== Primärnutzung elektronischer Gesundheitsdaten ===
Kapitel II (Art 3 ff EHDS-VO-Vorschlag) enthält Regelungen zur '''Primärnutzung''' elektronischer Gesundheitsdaten. Als "Primärnutzung" wird in Art 2 Abs 2 lit d leg cit "die Verarbeitung elektronischer Gesundheitsdaten für die '''Erbringung von Gesundheitsdienstleistungen''' zur Beurteilung, Erhaltung oder Wiederherstellung des Gesundheitszustands der natürlichen Person, auf die sich die Daten beziehen [...]" definiert. Kapitel II räumt den betroffenen Personen (natürlichen Personen) '''Rechte''' hinsichtlich der Primärnutzung ihrer personenbezogenen elektronischen Gesundheitsdaten ein (Recht auf Zugang; Recht auf Eingabe von Informationen in die elektronische Gesundheitsaufzeichnung - electronic health record, EHR; Recht auf Berichtigung; Recht auf Datenübertragbarkeit; Recht auf Beschränkung des Zugangs; Recht auf Auskunft über den Zugriff auf Daten; Recht zum Widerspruch im Rahmen der Primärnutzung).

=== Sekundärnutzung elektronischer Gesundheitsdaten ===
Der EHDS-VO-Vorschlag regelt in Kapitel IV (Art 50 ff) die '''Sekundärnutzung''' von Gesundheitsdaten für Forschung, Innovation, Politikgestaltung und regulatorische Zwecke. Laut Legaldefinition in Art 2 Abs 2 lit e bezeichnet der '''Begriff der Sekundärnutzung''' dabei "die Verarbeitung elektronischer Gesundheitsdaten für die in Kapitel IV der vorliegenden Verordnung genannten Zwecke, sofern es sich nicht um die Zwecke handelt, für die sie ursprünglich erhoben oder erstellt wurden". Als '''Zwecke''', für die elektronische Gesundheitsdaten zur Sekundärnutzung verarbeitet werden können, normiert Art 53 die folgenden:

* öffentliches Interesse im Bereich der '''öffentlichen Gesundheit und der Gesundheit am Arbeitsplatz''';
* '''Politikgestaltung''' und '''Regulierungstätigkeiten''' zur Unterstützung von öffentlichen Stellen;
* '''Statistiken''', wie nationale, multinationale und unionsweite amtliche Statistiken im Sinne der Verordnung (EU) Nr. 223/2009 über den Gesundheits- oder Pflegesektor;
* '''Bildungs- oder Lehrtätigkeiten''' im Gesundheits- oder Pflegebereich auf der Ebene der Berufs- oder Hochschulbildung;
* '''wissenschaftliche Forschung im Bereich des Gesundheits- oder Pflegesektors''', die zur öffentlichen Gesundheit oder zur Bewertung von Gesundheitstechnologien beiträgt oder ein hohes Maß an Qualität und Sicherheit der Gesundheitsversorgung, von Arzneimitteln oder Medizinprodukten sicherstellt, mit dem Ziel, Endnutzern wie Patienten, Angehörigen der Gesundheitsberufe und Gesundheitsverwaltungen zugutezukommen, einschließlich Entwicklungs- und Innovationstätigkeiten für Produkte oder Dienstleistungen; Training, Erprobung und Bewertung von Algorithmen, auch in Medizinprodukten, In-vitro-Diagnostika, KI-Systemen und digitalen Gesundheitsanwendungen;
* Verbesserung der '''Pflege''', Optimierung der '''Behandlung''' und '''Gesundheitsversorgung''' auf der Grundlage der elektronischen Gesundheitsdaten.

Zum Schutz der Privatsphäre und insbesondere In Anwendung des Grundsatzes der Datenminimierung gem Art 5 Abs 1 lit c DSGVO geht der EHDS-VO-Vorschlag grundsätzlich von einer Nutzung '''anonymisierter oder pseudonymisierter Gesundheitsdaten''' aus. Daher sollen in allen Fällen, in denen dies ausreicht, nicht personenbezogene (anonymisierte) elektronische Gesundheitsdaten zur Verfügung gestellt werden. Wenn der Datennutzer personenbezogene elektronische Gesundheitsdaten verwenden muss, ist dies zu begründen und von der Stelle für den Zugang zu Gesundheitsdaten zu überprüfen - selbst in einem solchen Fall sollten personenbezogene elektronische Gesundheitsdaten nur in pseudonymisiertem Form zur Verfügung gestellt werden. Die Pseudonymisierung und Anonymisierung kann dabei laut ErwGr 72 von den Zugangsstellen für Gesundheitsdaten oder von den Inhabern von Gesundheitsdaten vorgenommen werden.

==== Ablauf der Sekundärnutzung von Gesundheitsdaten ====
[[Datei:M. Löffler, Ablauf Sekundärnutzung von Gesundheitsdaten nach dem EHDS.png|mini|'''Ablauf Sekundärnutzung von Gesundheitsdaten'''|384x384px]]
Der Prozess zur Sekundärdatennutzung umfasst überblicksartig folgende Schritte (siehe auch das Ablaufdiagramm):

1. '''Antragstellung''' durch Datenverwender: Forschende, politische Entscheidungsträger oder Innovatoren, die Gesundheitsdaten nutzen möchten, stellen einen Antrag bei der zuständigen nationalen Gesundheitsdatenzugangsstelle.

2. '''Prüfung''' des Antrags: Die Gesundheitsdatenzugangsstelle bewertet den Antrag hinsichtlich der Einhaltung der festgelegten Zwecke und der Datenschutzbestimmungen.

3. Erteilung einer '''Datenzugangsgenehmigung''': Bei positiver Bewertung wird eine Genehmigung erteilt, die den Zugang zu den erforderlichen Gesundheitsdaten unter strengen Bedingungen erlaubt.

4. '''Datenzugriff''' in sicheren Verarbeitungsumgebungen: Die genehmigten Datenverwender greifen auf die Gesundheitsdaten in speziell gesicherten Verarbeitungsumgebungen zu, die den Datenschutz gewährleisten.

5. '''Verarbeitung''' und Analyse der Daten: Innerhalb dieser sicheren Umgebung werden die Daten für die genehmigten Zwecke verarbeitet und analysiert.

6. '''Ergebnisse''': Die gewonnenen Erkenntnisse werden genutzt, um die Forschung voranzutreiben, politische Entscheidungen zu unterstützen oder neue Gesundheitslösungen zu entwickeln.

==== Widerspruch ("Opt-out") ====
Natürlichen Personen (idR Patient*innen) steht gem Art 71 Abs 1 EHDS-VO-Vorschlag das Recht auf jederzeitigen und begründungslosen '''Widerspruch''' gegen die Bereitstellung ihrer personenbezogenen elektronischen Gesundheitsdaten für die Sekundärnutzung zu. Dies bewirkt, dass ab Ausübung des Widerspruchs (identifizierbare) elektronische Gesundheitsdaten des Widersprechenden nicht durch nachfolgende Datengenehmigungen gem Art 68 oder Datenanfragen gem Artikel 69 zur Verfügung gestellt werden dürfen.

Allerdings existiert dazu eine (beschränkte) '''Gegenausnahme''', d.h. dass es - trotz aufrechtem Widerspruch - zur Sekundärdatennutzung für bestimmte Zwecke, die in engem Zusammenhang mit dem öffentlichen Interesse stehen, kommen kann (laut ErwGr 54 soll dies bsph bei Tätigkeiten zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder wissenschaftliche Forschung aus wichtigen Gründen des öffentlichen Interesses vorliegen). Die Mitgliedstaaten werden durch Art 71 Abs 4 ermächtigt, dafür einen eingeschränkten Mechanismus für den Datenzugang einzurichten.

== Fallbeispiele ==
{| class="wikitable"
|-
|'''Use cases'''
|'''Können Sie konkrete Beispiele dafür nennen, wie der EHDS funktionieren wird?'''
'''Beispiel 1''': Eine in Portugal lebende Frau fährt nach Frankreich in Urlaub. Leider erkrankt sie in Frankreich und muss vor Ort eine Hausarztpraxis aufsuchen. Dank EHDS und MyHealth@EU kann auf dem Praxiscomputer in Frankreich die Krankengeschichte dieser Patientin in französischer Sprache abgerufen werden (unterstützt durch Übersetzungsfunktionen). Infolgedessen kann das notwendige Arzneimittel auf der Grundlage der Krankengeschichte der Patientin verschrieben werden und z. B. können Medikamente vermieden werden, auf die die Patientin allergisch ist. Die Verschreibungsinformationen können ebenfalls ausgetauscht werden, damit sie zu Hause in Portugal oder überall in der Union verwendet werden können.

'''Beispiel 2''': Ein Gesundheitstechnologieunternehmen entwickelt ein neues KI-basiertes Instrument zur medizinischen Entscheidungsfindung, das Ärzten dabei hilft, nach einer Überprüfung der Laborbilder des Patienten Diagnose- und Behandlungsentscheidungen zu treffen. Die KI vergleicht die Bilder des Patienten mit denen vieler früherer Patienten. Durch den EHDS kann das Unternehmen einen effizienten und sicheren Zugang zu einer großen Zahl medizinischer Bilder bekommen, um den KI-Algorithmus zu trainieren und seine Genauigkeit und Wirksamkeit zu optimieren, bevor es eine Marktzulassung beantragt.

'''Beispiel 3''': Ein Mann hat ein medizinisches Bild seiner Lunge, das im öffentlichen Krankenhaus gemacht wurde, in das er vom Notfallteam gebracht wurde. Kurz danach sucht er seinen behandelnden Arzt in einem anderen Krankenhaus auf. Dank des EHDS kann sein Arzt das medizinische Bild aus dem anderen Krankenhaus sehen, wodurch eine neue, unnötige Untersuchung vermieden wird.

Quelle: Europ. Kommission, https://ec.europa.eu/commission/presscorner/detail/de/QANDA_24_2251
|}

== Weiterführende Literatur & Links ==

=== Literatur ===

*''Aigner/Bachinger/Bathke/Bergthaler/Bock/Czypionka/Degelsegger-Marquez/Haslacher/Klimek/Langs/Oberhofer/Ostermann/Prainsack/Strassnig/Thomas/Thurner'', Grundlagenpapier zur Schaffung des österreichischen Gesundheitsdatenraumes. Arbeitsgruppe Digitalisierung und Register des Obersten Sanitätsrates. Österreichische Kommentare zu Medizinrecht, Medizin- und Bioethik (IERM Working Paper Nr. 12) (2023), https://ierm.univie.ac.at/fileadmin/user_upload/i_ierm/Varanstaltungen/WP_12_-_Aigner_et_al._-_Grundlagenpapier_zur_Schaffung_des_oesterreichischen_Gesundheitsdatenraumes.pdf.
*''Becker/Chokoshvili/Dove'', Legal bases for effective secondary use of health and genetic data in the EU: time for new legislative solutions to better harmonize data for cross-border sharing? IDPL 2024, 223.
*''Gabauer'', Sekundärnutzung von elektronischen Gesundheitsdaten auf Grundlage des Entwurfs einer Verordnung über den Europäischen Raum für Gesundheitsdaten (EHDS), in FS Jahnel (2025), im Erscheinen.
*''Gassner'', Sekundärnutzung von Gesundheitsdaten für die kommerzielle Medizinprodukteforschung, MPR 2024, 95.
*''Kuss/Moers'', Die Europäische und nationale Datenstrategie im Gesundheitswesen am Beispiel des European Health Data Space und des Gesundheitsdatennutzungsgesetzes: Ein Durchbruch für die Forschung?, in Jahrbuch Digitalisierung (2024) 342.
*''Löffler/Kastelitz'', Was ist der Europäische Raum für Gesundheitsdaten (EHDS)? Dako 2023, 79.
*''Quinn/Ellyne/Yao'', Will the GDPR Restrain Health Data Access Bodies Under the European Health Data Space (EHDS)? Computer Law & Security Review 2024, 105993.
*''Raji'', Datenräume in der Europäischen Datenstrategie am Beispiel des European Health Data Space, ZD 2023, 3.
*''Werry/Ntanas'', Sekundärnutzung von Gesundheitsdaten - Quid deinde? MMR 2024, 641.

=== Links ===

*''European Commission'', Assessment of the EU Member States’ rules on health data in the light of GDPR, https://health.ec.europa.eu/publications/assessment-eu-member-states-rules-health-data-light-gdpr_en?prefLang=de
*''European Commission'', Impact Assessment on the European Health Data Space, https://health.ec.europa.eu/publications/impact-assessment-european-health-data-space_en?prefLang=de.
*''European Commission'', Study supporting the impact assessment of policy options for an EU initiative on a European health data space (2022), https://op.europa.eu/en/publication-detail/-/publication/fb9c0bdd-ca8d-11ec-b6f4-01aa75ed71a1/language-en.
*European Commission, Study on health data, digital health and artificial intelligence in healthcare (2022), https://health.ec.europa.eu/publications/study-health-data-digital-health-and-artificial-intelligence-healthcare_en?prefLang=de.
*''Europäische Kommission'', Europäischer Raum für Gesundheitsdaten (EHDS), https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space_de.
*

== Einzelnachweise ==

European Health Data Space (EHDS)

2025-02-26T18:35:34Z

DavidMSchneeberger:

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2025|Nummer=|Kolisionsnummer=|Vertrag=EU|EWR=ja|Titel=Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den europäischen Raum für Gesundheitsdaten|Kurztitel=Europäischer Raum für Gesundheitsdaten, European Health Data Space (EHDS)|Bezeichnung=EHDS|Rechtsmaterie=Binnenmarkt, Gesundheits- und Datenschutzrecht|Grundlage=AEUV, insbesondere {{Art.|16|AEUV|dejure|}} und {{Art.|114|AEUV|dejure}}|DossierTyp=COD|DossierJahr=2022|DossierNummer=0140|Fundstelle=|Anzuwenden=|Gültig=vorschlagimprozess|KonsolidiertManuell=https://data.consilium.europa.eu/doc/document/PE-76-2024-REV-1/DE/pdf|GrundfassungManuell=https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:52022PC0197}}

== Kurzüberblick zum Europäischen Gesundheitsdatenraum ==
[[Datei:Quelle Grafik (Ausschnitt)- Europ Kommission, https---ec.europa.eu-commission-presscorner-detail-de-FS 24 1347.png|zentriert|mini|521x521px]]
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Kerninhalte
!Synergie
!Konsequenzen
|-
|Mit dem Vorschlag werden '''drei Ziele''' verfolgt:
• die Gewährleistung der '''Primärnutzung''' ("Gesundheitsversorgung") von elektronischen Gesundheitsdaten,

• die Festlegung der '''Regeln''' für die auf dem Markt angebotenen Lösungen für '''Patientendatensysteme''' und Wellness-Apps und

• die '''Sekundärnutzung''' (Weiternutzung von in der Gesundheitsversorgung gewonnenen Daten für Forschungszwecke etc.) von elektronischen Gesundheitsdaten (unter bestimmten Bedingungen)
|
* '''Sachlich''' wird die Nutzung von "elektronischen Gesundheitsdaten" (= personenbezogene oder nicht personenbezogene elektronische Gesundheitsdaten gem. Art 2 Abs 2 lit c VO-Vorschlag) festgelegt.
* Der '''persönliche''' Anwendungsbereich adressiert insb. Patient*innen (natürliche Personen) und Angehörige der Gesundheitsberufe sowie weitere "Stakeholder" im Gesundheitswesen, z.B. sogenannte "Gesundheitsdateninhaber" und "Gesundheitsdatennutzer" (Art 2 Abs 2 lit t bzw. u leg cit).
|Mit der vorgeschlagenen EHDS-VO wird der '''europäische Gesundheitsdatenraum''' (European Health Data Space – "EHDS“) mit gemeinsamen Vorschriften, Standards und Infrastrukturen sowie einem Governance-Rahmen geschaffen, um den Zugang zu elektronischen Gesundheitsdaten für die Zwecke der '''Primärnutzung''' von elektronischen Gesundheitsdaten sowie der '''Sekundärnutzung''' dieser Daten zu erleichtern (Art 1 Abs 1 leg cit). Darüber hinaus werden bestimmte gemeinsame Vorschriften für Systeme für elektronische Gesundheitsaufzeichnungen ('''„EHR-Systeme'''“) festgelegt (Art 1 Abs 2 lit b leg cit).
|Der EHDS soll u.a. auch zur Vorbereitung und Reaktion auf Gesundheitsbedrohungen, zur '''Prävention und Bewältigung künftiger Pandemien''', der Patientensicherheit, und personalisierten Medizin dienen (s. ErwGr 1). Synergieeffekte sollen z.B. durch den Grundsatz der einmaligen Antragstellung für Gesundheitsdatennutzer geschaffen werden (s. ErwGr 83).
|Die durch die EHDS-VO vereinfachte '''duale Nutzung''' von elektronischen Gesundheitsdaten für die Gesundheitsversorgung und die Weiterverarbeitung insb. in der Forschung soll die Gesundheitsversorgung in der EU verbessert werden, ein Binnenmarkt für digitale Gesundheitsdienste geschaffen und die Forschung im Gesundheitsbereich vorangetrieben werden.
Die Kommission erwartet zudem Insgesamt Einsparungen von rund 11 Mrd. EUR mit dem EHDS über einen Zeitraum von zehn Jahren.<ref>https://ec.europa.eu/commission/presscorner/detail/de/qanda_22_2712</ref>
|}

== Einleitung ==
Die Europäische Kommission hat 2020 in ihrer '''europäischen Datenstrategie'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine Europäische Datenstrategie, COM(2020) 66 final.</ref> (neben ursprünglich acht weiteren Datenräumen)<ref>Derzeit wurden vierzehn Datenräume vorgeschlagen, siehe ''Council of the European Union'', Commission Staff Document on Common European Data Spaces, https://data.consilium.europa.eu/doc/document/ST-5855-2024-INIT/en/pdf (Stand 26. 1. 2024).</ref> die Einrichtung eines '''Europäischen Gesundheitsdatenraumes''' (European Health Data Space, „'''EHDS'''“) vorgeschlagen. Der europäische Raum für Gesundheitsdaten ist der erste Vorschlag für einen solchen bereichsspezifischen gemeinsamen europäischen Datenraum. Datenräume sind laut Europäischer Kommission (vertikale) sektorspezifische Regelungen''',''' die als einheitliches Ziel einen '''"genuine single market for data“''' vorsehen. Dieser Binnenmarkt für Daten soll vor allem zu einer Schaffung großer Datenpools in bestimmten Sektoren (wie der Gesundheit) und einem verbesserter Datenzugang für die Entwicklung neuer datengestützter Dienste und Anwendungen (auch für das Training von foundation models, "GenAI") führen. Der EHDS soll die horizontalen Rechtsakte, wie insbesondere die Datenschutz-Grundverordnung (DSGVO),<ref>Wie aus der Studie zur Bewertung der Vorschriften der EU-Mitgliedstaaten zu Gesundheitsdaten vor dem Hintergrund der DSGVO hervorgeht, führt die uneinheitliche Umsetzung und Auslegung der DSGVO durch die Mitgliedstaaten zu erheblichen Rechtsunsicherheiten und damit zu Hindernissen für die Sekundärnutzung elektronischer Gesundheitsdaten, siehe die Begründung des EHDS-VVO-Vorschlag durch die Europäische Kommission, COM/2022/197 final 1 (unter Verweis auf Europäische Kommission, Assessment of the EU Member States’ rules on health data in the light of the GDPR, 2021).</ref> den Data Governance Act (DGA) und den Data Act (DA), ergänzen bzw. präzisieren und sieht maßgeschneiderte Vorschriften für das '''Gesundheitswesen''' vor.

Laut Europäischer Kommission ist der europäische Raum für Gesundheitsdaten ein gesundheitsspezifisches '''Ökosystem''', das aus Vorschriften, gemeinsamen Standards und Verfahren, Infrastrukturen und einem Governance-Rahmen besteht, der auf Folgendes abzielt:<ref>Vgl Mitteilung der Kommission an das Europäische Parlament und den Rat, Ein europäischer Raum für Gesundheitsdaten: Das Potenzial von Gesundheitsdaten für die Allgemeinheit, für Patientinnen und Patienten und für Innovation erschließen, COM(2022) 196 final 10 f.</ref>

a) Stärkung der Handlungskompetenz der Einzelpersonen durch Verstärkung des '''digitalen Zugangs''' zu ihren personenbezogenen elektronischen Gesundheitsdaten und ihrer Kontrolle darüber sowie durch Unterstützung ihres freien Datenverkehrs

b) Förderung eines echten '''Binnenmarkts''' für Systeme für elektronische Patientenakten, relevante Medizinprodukte und Hochrisiko-KI-Systeme

c) Schaffung eines kohärenten, vertrauenswürdigen und effizienten Umfelds für die '''Nutzung von Gesundheitsdaten''' für Forschung, Innovation, Politikgestaltung und Regulierungstätigkeiten

Die Europäische Kommission hat den EHDS-Entwurf in Form einer Verordnungsvorschlags 2022 vorgelegt<ref>COM/2022/197 final, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0197</ref> - als bislang einzigen formalen Rechtsakt unter den dreizehn anderen Datenräumen. Dies ist laut Kommission darin begründet, dass die Covid-19-Epidemie die Dringlichkeit eines funktionierenden Datenzugangs und -austausches auf europäischer Ebene aufgezeigt hat und zahlreiche Öffnungsklauseln der DSGVO sowie die uneinheitliche Umsetzung durch die Mitgliedsstaaten zu erheblichen Rechtsunsicherheiten und damit Hindernissen für die '''Sekundärnutzung''' personenbezogener elektronischer Gesundheitsdaten geführt haben. Daher siehe der EHDS-E u.a. einen '''gemeinsamen Rahmen für die Sekundärnutzung''' elektronischer Gesundheitsdaten vor, der Fragmentierung der und die Hindernisse für den grenzüberschreitenden Zugang verringern soll.

=== Status des Verordnungsvorschlags ===
Der Vorschlag der Europäischen Kommission zum Europäischen Gesundheitsdatenraum wurde am 3. 5. 2022 veröffentlicht.<ref>COM(2022) 197 final</ref> Nach Verhandlungen haben sich die Mitgliedstaaten der Europäischen Union im Rat am 6. Dezember 2023 auf eine gemeinsame Position zum EHDS-Verordnungsvorschlag geeinigt.<ref>''General Secretariat of the Council'', Proposal for a Regulation on the European Health Data Space. Mandate for negotiations with the European Parliament 16048/1/23 REV1, https://data.consilium.europa.eu/doc/document/ST-16048-2023-REV-1/en/pdf.</ref> Diese Einigung bildete die Grundlage für die Verhandlungen über den EHDS-Entwurf mit dem Europäischen Parlament und der Europäischen Kommission (<abbr>sog.</abbr> „Trilog“) dar. Darauf folgte am am 14. März 2024 eine Einigung zwischen Rat der Europäischen Union, dem Europäischen Parlament und der Europäischen Kommission auf einen gemeinsamen Kompromisstext.<ref>''General Secretariat of the Council'', Proposal for a Regulation on the European Health Data Space. Analysis of the final compromise text with a view to agreement 7553/24, https://www.consilium.europa.eu/media/70909/st07553-en24.pdf.</ref> Das Europäische Parlament hat daraufhin den Text am 24. April 2024 (noch ohne Überarbeitung durch die Rechts- und Sprachsachverständigen) in erster Lesung beschlossen,<ref>Standpunkt des Europäischen Parlaments festgelegt in erster Lesung am 24. April 2024 im Hinblick auf den Erlass der Verordnung (EU) 2024/... des Europäischen Parlaments und des Rates über den europäischen Raum für Gesundheitsdaten, https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_DE.pdf</ref> <ref>Siehe zu diesem Vorgehen den Vermerk ''Generalsekretariat des Rates'', Vorschläge im Rahmen des ordentlichen Gesetzgebungsverfahrens, die voraussichtlich Gegenstand des Berichtigungsverfahrens des Europäischen Parlaments sein werden (Teil I), https://data.consilium.europa.eu/doc/document/ST-10078-2024-INIT/de/pdf (Stand 18. 6. 2024).</ref> bevor der (in der Zwischenzeit redaktionell bereinigte und sprachjuristisch geprüfte) VO-Vorschlag auch vom Rat am 21. Jänner 2025 angenommen wurde.<ref>Rat der Europäischen Union, Pressemitteilung vom 21.1.2025, https://www.consilium.europa.eu/de/press/press-releases/2025/01/21/european-health-data-space-council-adopts-new-regulation-improving-cross-border-access-to-eu-health-data/</ref> Nach der Unterzeichnung durch die Präsidentin des Europäischen Parlaments und des Präsidenten des Rates am 11. 2. bzw 12. 2. 2025<ref>https://law-tracker.europa.eu/procedure/2022_140</ref> erfolgt demnächst die Kundmachung der EHDS-VO im Amtsblatt der EU.

=== Zeitlicher Anwendungsbereich ===
In Artikel 105 EHDS-VO-Vorschlag ist ein Inkrafttreten am zwanzigsten Tag nach der Veröffentlichung der Verordnung im Amtsblatt der Europäischen Union vorgesehen. Anzuwenden ist die VO grundsätzlich 2 Jahre nach Inkrafttreten, wobei jedoch bestimmte Artikel erst nach vier, sechs bzw. zehn Jahren nach dem Inkrafttreten in Geltung treten.

== Zentrale Inhalte ==

=== Primärnutzung elektronischer Gesundheitsdaten ===
Kapitel II (Art 3 ff EHDS-VO-Vorschlag) enthält Regelungen zur '''Primärnutzung''' elektronischer Gesundheitsdaten. Als "Primärnutzung" wird in Art 2 Abs 2 lit d leg cit "die Verarbeitung elektronischer Gesundheitsdaten für die '''Erbringung von Gesundheitsdienstleistungen''' zur Beurteilung, Erhaltung oder Wiederherstellung des Gesundheitszustands der natürlichen Person, auf die sich die Daten beziehen [...]" definiert. Kapitel II räumt den betroffenen Personen (natürlichen Personen) '''Rechte''' hinsichtlich der Primärnutzung ihrer personenbezogenen elektronischen Gesundheitsdaten ein (Recht auf Zugang; Recht auf Eingabe von Informationen in die elektronische Gesundheitsaufzeichnung - electronic health record, EHR; Recht auf Berichtigung; Recht auf Datenübertragbarkeit; Recht auf Beschränkung des Zugangs; Recht auf Auskunft über den Zugriff auf Daten; Recht zum Widerspruch im Rahmen der Primärnutzung).

=== Sekundärnutzung elektronischer Gesundheitsdaten ===
Der EHDS-VO-Vorschlag regelt in Kapitel IV (Art 50 ff) die '''Sekundärnutzung''' von Gesundheitsdaten für Forschung, Innovation, Politikgestaltung und regulatorische Zwecke. Laut Legaldefinition in Art 2 Abs 2 lit e bezeichnet der '''Begriff der Sekundärnutzung''' dabei "die Verarbeitung elektronischer Gesundheitsdaten für die in Kapitel IV der vorliegenden Verordnung genannten Zwecke, sofern es sich nicht um die Zwecke handelt, für die sie ursprünglich erhoben oder erstellt wurden". Als '''Zwecke''', für die elektronische Gesundheitsdaten zur Sekundärnutzung verarbeitet werden können, normiert Art 53 die folgenden:

* öffentliches Interesse im Bereich der '''öffentlichen Gesundheit und der Gesundheit am Arbeitsplatz''';
* '''Politikgestaltung''' und '''Regulierungstätigkeiten''' zur Unterstützung von öffentlichen Stellen;
* '''Statistiken''', wie nationale, multinationale und unionsweite amtliche Statistiken im Sinne der Verordnung (EU) Nr. 223/2009 über den Gesundheits- oder Pflegesektor;
* '''Bildungs- oder Lehrtätigkeiten''' im Gesundheits- oder Pflegebereich auf der Ebene der Berufs- oder Hochschulbildung;
* '''wissenschaftliche Forschung im Bereich des Gesundheits- oder Pflegesektors''', die zur öffentlichen Gesundheit oder zur Bewertung von Gesundheitstechnologien beiträgt oder ein hohes Maß an Qualität und Sicherheit der Gesundheitsversorgung, von Arzneimitteln oder Medizinprodukten sicherstellt, mit dem Ziel, Endnutzern wie Patienten, Angehörigen der Gesundheitsberufe und Gesundheitsverwaltungen zugutezukommen, einschließlich Entwicklungs- und Innovationstätigkeiten für Produkte oder Dienstleistungen; Training, Erprobung und Bewertung von Algorithmen, auch in Medizinprodukten, In-vitro-Diagnostika, KI-Systemen und digitalen Gesundheitsanwendungen;
* Verbesserung der '''Pflege''', Optimierung der '''Behandlung''' und '''Gesundheitsversorgung''' auf der Grundlage der elektronischen Gesundheitsdaten.

Zum Schutz der Privatsphäre und insbesondere In Anwendung des Grundsatzes der Datenminimierung gem Art 5 Abs 1 lit c DSGVO geht der EHDS-VO-Vorschlag grundsätzlich von einer Nutzung '''anonymisierter oder pseudonymisierter Gesundheitsdaten''' aus. Daher sollen in allen Fällen, in denen dies ausreicht, nicht personenbezogene (anonymisierte) elektronische Gesundheitsdaten zur Verfügung gestellt werden. Wenn der Datennutzer personenbezogene elektronische Gesundheitsdaten verwenden muss, ist dies zu begründen und von der Stelle für den Zugang zu Gesundheitsdaten zu überprüfen - selbst in einem solchen Fall sollten personenbezogene elektronische Gesundheitsdaten nur in pseudonymisiertem Form zur Verfügung gestellt werden. Die Pseudonymisierung und Anonymisierung kann dabei laut ErwGr 72 von den Zugangsstellen für Gesundheitsdaten oder von den Inhabern von Gesundheitsdaten vorgenommen werden.

==== Ablauf der Sekundärnutzung von Gesundheitsdaten ====
[[Datei:M. Löffler, Ablauf Sekundärnutzung von Gesundheitsdaten nach dem EHDS.png|mini|'''Ablauf Sekundärnutzung von Gesundheitsdaten'''|384x384px]]
Der Prozess zur Sekundärdatennutzung umfasst überblicksartig folgende Schritte (siehe auch das Ablaufdiagramm):

1. '''Antragstellung''' durch Datenverwender: Forschende, politische Entscheidungsträger oder Innovatoren, die Gesundheitsdaten nutzen möchten, stellen einen Antrag bei der zuständigen nationalen Gesundheitsdatenzugangsstelle.

2. '''Prüfung''' des Antrags: Die Gesundheitsdatenzugangsstelle bewertet den Antrag hinsichtlich der Einhaltung der festgelegten Zwecke und der Datenschutzbestimmungen.

3. Erteilung einer '''Datenzugangsgenehmigung''': Bei positiver Bewertung wird eine Genehmigung erteilt, die den Zugang zu den erforderlichen Gesundheitsdaten unter strengen Bedingungen erlaubt.

4. '''Datenzugriff''' in sicheren Verarbeitungsumgebungen: Die genehmigten Datenverwender greifen auf die Gesundheitsdaten in speziell gesicherten Verarbeitungsumgebungen zu, die den Datenschutz gewährleisten.

5. '''Verarbeitung''' und Analyse der Daten: Innerhalb dieser sicheren Umgebung werden die Daten für die genehmigten Zwecke verarbeitet und analysiert.

6. '''Ergebnisse''': Die gewonnenen Erkenntnisse werden genutzt, um die Forschung voranzutreiben, politische Entscheidungen zu unterstützen oder neue Gesundheitslösungen zu entwickeln.

==== Widerspruch ("Opt-out") ====
Natürlichen Personen (idR Patient*innen) steht gem Art 71 Abs 1 EHDS-VO-Vorschlag das Recht auf jederzeitigen und begründungslosen '''Widerspruch''' gegen die Bereitstellung ihrer personenbezogenen elektronischen Gesundheitsdaten für die Sekundärnutzung zu. Dies bewirkt, dass ab Ausübung des Widerspruchs (identifizierbare) elektronische Gesundheitsdaten des Widersprechenden nicht durch nachfolgende Datengenehmigungen gem Art 68 oder Datenanfragen gem Artikel 69 zur Verfügung gestellt werden dürfen.

Allerdings existiert dazu eine (beschränkte) '''Gegenausnahme''', d.h. dass es - trotz aufrechtem Widerspruch - zur Sekundärdatennutzung für bestimmte Zwecke, die in engem Zusammenhang mit dem öffentlichen Interesse stehen, kommen kann (laut ErwGr 54 soll dies bsph bei Tätigkeiten zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder wissenschaftliche Forschung aus wichtigen Gründen des öffentlichen Interesses vorliegen). Die Mitgliedstaaten werden durch Art 71 Abs 4 ermächtigt, dafür einen eingeschränkten Mechanismus für den Datenzugang einzurichten.

== Fallbeispiele ==
{| class="wikitable"
|-
|'''Use cases'''
|'''Können Sie konkrete Beispiele dafür nennen, wie der EHDS funktionieren wird?'''
'''Beispiel 1''': Eine in Portugal lebende Frau fährt nach Frankreich in Urlaub. Leider erkrankt sie in Frankreich und muss vor Ort eine Hausarztpraxis aufsuchen. Dank EHDS und MyHealth@EU kann auf dem Praxiscomputer in Frankreich die Krankengeschichte dieser Patientin in französischer Sprache abgerufen werden (unterstützt durch Übersetzungsfunktionen). Infolgedessen kann das notwendige Arzneimittel auf der Grundlage der Krankengeschichte der Patientin verschrieben werden und z. B. können Medikamente vermieden werden, auf die die Patientin allergisch ist. Die Verschreibungsinformationen können ebenfalls ausgetauscht werden, damit sie zu Hause in Portugal oder überall in der Union verwendet werden können.

'''Beispiel 2''': Ein Gesundheitstechnologieunternehmen entwickelt ein neues KI-basiertes Instrument zur medizinischen Entscheidungsfindung, das Ärzten dabei hilft, nach einer Überprüfung der Laborbilder des Patienten Diagnose- und Behandlungsentscheidungen zu treffen. Die KI vergleicht die Bilder des Patienten mit denen vieler früherer Patienten. Durch den EHDS kann das Unternehmen einen effizienten und sicheren Zugang zu einer großen Zahl medizinischer Bilder bekommen, um den KI-Algorithmus zu trainieren und seine Genauigkeit und Wirksamkeit zu optimieren, bevor es eine Marktzulassung beantragt.

'''Beispiel 3''': Ein Mann hat ein medizinisches Bild seiner Lunge, das im öffentlichen Krankenhaus gemacht wurde, in das er vom Notfallteam gebracht wurde. Kurz danach sucht er seinen behandelnden Arzt in einem anderen Krankenhaus auf. Dank des EHDS kann sein Arzt das medizinische Bild aus dem anderen Krankenhaus sehen, wodurch eine neue, unnötige Untersuchung vermieden wird.

Quelle: Europ. Kommission, https://ec.europa.eu/commission/presscorner/detail/de/QANDA_24_2251
|}

== Weiterführende Literatur & Links ==

=== Literatur ===

*''Aigner/Bachinger/Bathke/Bergthaler/Bock/Czypionka/Degelsegger-Marquez/Haslacher/Klimek/Langs/Oberhofer/Ostermann/Prainsack/Strassnig/Thomas/Thurner'', Grundlagenpapier zur Schaffung des österreichischen Gesundheitsdatenraumes. Arbeitsgruppe Digitalisierung und Register des Obersten Sanitätsrates. Österreichische Kommentare zu Medizinrecht, Medizin- und Bioethik (IERM Working Paper Nr. 12) (2023), https://ierm.univie.ac.at/fileadmin/user_upload/i_ierm/Varanstaltungen/WP_12_-_Aigner_et_al._-_Grundlagenpapier_zur_Schaffung_des_oesterreichischen_Gesundheitsdatenraumes.pdf.
*''Becker/Chokoshvili/Dove'', Legal bases for effective secondary use of health and genetic data in the EU: time for new legislative solutions to better harmonize data for cross-border sharing? IDPL 2024, 223.
*''Gabauer'', Sekundärnutzung von elektronischen Gesundheitsdaten auf Grundlage des Entwurfs einer Verordnung über den Europäischen Raum für Gesundheitsdaten (EHDS), in FS Jahnel (2025), im Erscheinen.
*''Gassner'', Sekundärnutzung von Gesundheitsdaten für die kommerzielle Medizinprodukteforschung, MPR 2024, 95.
*''Kuss/Moers'', Die Europäische und nationale Datenstrategie im Gesundheitswesen am Beispiel des European Health Data Space und des Gesundheitsdatennutzungsgesetzes: Ein Durchbruch für die Forschung?, in Jahrbuch Digitalisierung (2024) 342.
*''Löffler/Kastelitz'', Was ist der Europäische Raum für Gesundheitsdaten (EHDS)? Dako 2023, 79.
*''Quinn/Ellyne/Yao'', Will the GDPR Restrain Health Data Access Bodies Under the European Health Data Space (EHDS)? Computer Law & Security Review 2024, 105993.
*''Raji'', Datenräume in der Europäischen Datenstrategie am Beispiel des European Health Data Space, ZD 2023, 3.
*''Werry/Ntanas'', Sekundärnutzung von Gesundheitsdaten - Quid deinde? MMR 2024, 641.

=== Links ===

*''European Commission'', Assessment of the EU Member States’ rules on health data in the light of GDPR, https://health.ec.europa.eu/publications/assessment-eu-member-states-rules-health-data-light-gdpr_en?prefLang=de
*''European Commission'', Impact Assessment on the European Health Data Space, https://health.ec.europa.eu/publications/impact-assessment-european-health-data-space_en?prefLang=de.
*''European Commission'', Study supporting the impact assessment of policy options for an EU initiative on a European health data space (2022), https://op.europa.eu/en/publication-detail/-/publication/fb9c0bdd-ca8d-11ec-b6f4-01aa75ed71a1/language-en.
*European Commission, Study on health data, digital health and artificial intelligence in healthcare (2022), https://health.ec.europa.eu/publications/study-health-data-digital-health-and-artificial-intelligence-healthcare_en?prefLang=de.
*''Europäische Kommission'', Europäischer Raum für Gesundheitsdaten (EHDS), https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space_de.
*

== Einzelnachweise ==

Digital Markets Act (DMA)

2025-02-26T18:30:37Z

DavidMSchneeberger: /* Weiterführende Literatur */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=1925|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828|Kurztitel=Gesetz über digitale Märkte/Digital Markets Act|Bezeichnung=DMA|Rechtsmaterie=Binnenmarkt, Wettbewerb|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/265, 1|Anzuwenden=2. Mai 2023 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergien
!Konsequenzen
|-
|Sicherstellung fairer und offener digitaler Märkte
|Von EU Kommission benannte Gatekeeper-Unternehmen mit einem signifikanten Einfluss auf den Binnenmarkt (richtet sich nach Umsatz, Nutzerzahl und Marktposition), die einen zentralen Plattformdienst anbieten
|Einführung einer Ex-ante-Regulierung: Gatekeeper müssen bestimmte Verhaltensweisen unterlassen und proaktive Maßnahmen umsetzen
|Direkte Verknüpfung mit dem [[Digital Services Act (DSA)]], da beide Regelwerke gemeinsam das Paket zum Gesetz über digitale Dienste der Europäischen Kommission bilden
|Sanktionen bei Nichteinhaltung werden direkt von der Europäischen Kommission verhängt, Nationale Behörden können bei der Durchsetzung dieser eine Rolle spielen
|-
|Förderung von Wettbewerb und Innovation
|Zentrale Plattformdienste, die Nutzern mit Niederlassung in der Europäischen Union angeboten werden ("Marktortprinzip"): Vermittlungsdienste, Betriebssysteme, soziale Netzwerke, Webbrowser, Suchmaschinen, Kommunikationsdienste, Werbedienste, Video-Sharing Plattformen
|Verpflichtungen für Gatekeeper, um fairen Wettbewerb zu gewährleisten, zB Verbot der Selbstbevorzugung ihrer eigenen Produkte und Dienste.
|Querbezüge zur DSGVO, sobald personenbezogene Daten verarbeitet werden
|'''Geldbußen''' von bis zu '''10% des weltweiten Jahresumsatzes''' des betreffenden Gatekeepers im vorangegangenen Geschäftsjahr für Verstöße gegen die Verpflichtungen des DMA
|-
|Schutz von Unternehmen und Verbrauchern vor unfairen Praktiken
|Kriterien für Gatekeeper:

* erheblicher Einfluss auf den Binnenmarkt
* zentraler Plattformdienst dient gewerblichen Nutzern als wichtiges Zugangstor zu Endnutzern
* gefestigte und dauerhafte Marktposition
|Regeln für Zugang zu Plattformen, Datenzugang, Interoperabilität und Transparenz
|Ergänzung (keine Verdrängung) von bestehenden nationalen oder europäischen Wettbewerbsvorschriften
|'''Geldbußen''' von bis zu '''20% des weltweiten Jahresumsatzes''' bei wiederholten Verstößen gegen dieselbe Verpflichtung bzw betreffend denselben Plattformdienst
|-
|Verwirklichung des Binnenmarktes
|Bei Erreichung gewisser quantitativer Kriterien muss das Unternehmen von der Kommisison als Gatekeeper eingestuft werden
|Verpflichtungen zum Schutz der Endnutzer und gewerblichen Nutzer
|Die von den Gatekeepern ergriffenen Maßnahmen müssen mit den relevanten Vorschriften, insbesondere in den Bereichen Cybersicherheit, Verbraucherschutz, Produktsicherheit und Barrierefreiheit, im Einklang stehen.
|'''Zwangsgelder''': bis zu '''5% des durchschnittlichen weltweiten Tagesumsatzes''', falls ein Unternehmen bestimmten Beschlüssen nicht nachkommt
|-
|Rechtssicherheit
|Vollumfängliche Anwendbarkeit seit dem 2. Mai 2023
|Zusätzlicher Schutz von personenbezogenen Daten im Zusammenhang mit zentralen Plattformdiensten
|Grundrechtsbezüge, insbesondere das Recht auf Datenschutz und Nichtdiskiminierung
|Bei systematischen Verstößen können sogar '''strukturelle Maßnahmen''' ergriffen werden, die eine Anpassung oder Veränderung der Unternehmensstruktur umfassen
|}
== Einleitung ==
[[Datei:Paket digitale dienste.png|mini|400x400px|Paket zum Gesetz über digitale Dienste der Europäischen Kommission -Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der '''Digital Markets Act (DMA)''' legt einheitliche Regeln für große Online-Plattformen fest, um ein reibungsloses Funktionieren des Binnenmarktes zu gewährleisten und faire Wettbewerbsbedingungen im digitalen Sektor sicherzustellen. Ziel des DMA ist es, die Marktmacht sogenannter „Gatekeeper" („Torwächter“) zu regulieren, die aufgrund ihrer Größe und ihres Einflusses eine zentrale Rolle im digitalen Raum spielen. Dadurch soll ein innovationsfreundliches Umfeld geschaffen werden, das den Wettbewerb stärkt und den Zugang für kleinere Unternehmen erleichtert. Der DMA zielt auch darauf ab, den Verbraucherschutz zu verbessern und das Potenzial des digitalen Binnenmarktes voll auszuschöpfen. Der DMA normiert spezifische Verpflichtungen für Gatekeeper, um wettbewerbsverzerrende Praktiken zu verhindern, wie die Bevorzugung eigener Produkte oder die Einschränkung des Zugangs zu wichtigen Plattformdiensten. Zusammen mit dem [[Digital Services Act (DSA)]] bildet der DMA das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll.

Der DMA besteht aus 54 Artikeln und ist wie folgt strukturiert:

* '''Kapitel 1 und 2''' enthalten Bestimmungen zum Anwendungsbereich, zu den Kriterien für Gatekeeper und zu wesentlichen Definitionen (Art 1-4).
* '''Kapitel 3''' legt die Pflichten der Gatekeeper fest, darunter das Verbot bestimmter Praktiken und Anforderungen an Interoperabilität und fairen Zugang (Art 5-15, wobei die wichtigsten Bestimmungen in den Art 5-7 zu finden sind).
* '''Kapitel 4 und 5''' behandeln die Durchsetzung, einschließlich Sanktionen, Marktuntersuchungen durch die EU-Kommission und die Zusammenarbeit mit nationalen Behörden (Art 16-43).
* '''Kapitel 6''' regelt die Veröffentlichung von Beschlüssen, die richterliche Überprüfung von Sanktionen sowie das Inkrafttreten der Verordnung (Art 44-54).

== Anwendungsbereich ==

=== Räumlich ===
Der DMA gilt für alle Anbieter von zentralen Plattformdiensten (ZPD), die in der EU tätig sind, also ihre Leistungen für Nutzer in der EU anbieten. Es spielt keine Rolle, ob der Anbieter seinen Sitz innerhalb oder außerhalb der Europäischen Union hat (Art 1 Abs 2 DMA), womit der DMA dem sogenannten Marktortprinzip folgt.

=== Sachlich ===
Sachlich ist der DMA auf '''zentrale Plattformdienste''' '''(ZPD)''' anwendbar, die von „Gatekeeper" („Torwächter“) Unternehmen bereitgestellt werden. Der Begriff „Gatekeeper“ bezieht sich auf große digitale Plattformen, die eine zentrale Rolle auf den digitalen Märkten spielen und durch ihre Marktstellung einen erheblichen Einfluss auf andere Marktteilnehmer haben.

Die EU-Kommission hat die Kompetenz Unternehmen als Gatekeeper zu benennen, wenn alle der drei folgenden Kriterien erfüllt sind (Art 3 Abs 1 DMA):

* Das Unternehmen hat einen erheblichen Einfluss auf den Binnenmarkt,

* es stellt einen zentralen Plattformdienst bereit, der gewerblichen Nutzern als wichtiges Zugangstor zu Endnutzern dient,
* und es hat hinsichtlich seiner Tätigkeiten eine gefestigte und dauerhafte Position inne (bzw es ist absehbar, dass es eine solche Position in naher Zukunft erlangen wird).
[[Datei:DMA designations Web thumb 900x600px.jpg|mini|500x500px|Torwächter oder "Gatekeeper" nach dem DMA © Europäische Kommission<ref>''European Commission'', Commission designates six gatekeepers under the Digital Markets Act, https://digital-markets-act.ec.europa.eu/commission-designates-six-gatekeepers-under-digital-markets-act-2023-09-06_en?prefLang=de (Stand 6. 9. 2023).</ref>]]
Es wird davon ausgegangen, dass ein Unternehmen diese jeweiligen Anforderungen erfüllt, wenn es – je nach Anforderung – bestimmte Umsatzgrenzen überschreitet und eine gewisse Nutzerzahl aufweist (Siehe dazu die Voraussetzungen in Art 3 Abs 2 lit a-c DMA). Um als Gatekeeper eingestuft zu werden, müssen somit sowohl qualitative (Art 3 Abs 1 lit a-c DMA) als auch quantitative (Art 3 Abs 2 lit a-c DMA) Kriterien erfüllt sein.

Die Unternehmen Alphabet, Amazon, Apple, Booking, ByteDance, Meta und Microsoft wurden von der EU-Kommission bereits als Gatekeeper eingestuft. Folgende ZPD dieser Unternehmen unterliegen der Regulierung (Eine Definition und Auflistung der als zentrale Plattformdienste geltenden Dienste findet sich in Art 2 Z 2 iVm Art 2 Z 3-13 DMA):<ref>''European Commission'', Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en. </ref>

* Vermittlungsdienste (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store, Meta Marketplace, Booking)
* Soziale Netzwerke (Facebook, Instagram, LinkedIn, TikTok)
* Werbeservices (Amazon Advertising, Google Ads und Meta Ads)
* Betriebssysteme (Google Android, iOS, Windows-PC-OS)
* Webbrowser (Chrome und Safari)
* Kommunikationsservices (Facebook Messenger und WhatsApp, beide im Besitz von Meta)
* Video-Sharing-Plattformen (YouTube)
* Suchmaschinen (Google)

=== Zeitlich ===
Der DMA ist am 1. November 2022 in Kraft getreten und seine Bestimmungen sind seit dem 2. Mai 2023 vollumfänglich anwendbar (Art 54 DMA). Da es sich beim DMA um eine EU-Verordnung handelt, müssen die einzelnen Bestimmungen nicht in nationales Recht umgesetzt werden (im Unterschied zu EU-Richtlinien), sondern gelten unmittelbar.

== Zentrale Inhalte ==
Der DMA konzentriert sich auf die Sicherstellung fairer und offener digitaler Märkte, indem er gezielte Verpflichtungen für sogenannte Gatekeeper, also große Online-Plattformen mit erheblichem Markteinfluss, festlegt. Er normiert klare Regeln zur Verhinderung unlauterer Praktiken, die den Wettbewerb behindern könnten, wie etwa die Selbstbevorzugung eigener Produkte oder die Einschränkung der Interoperabilität. Der DMA ist somit eine „ex ante Regulierung“, die bereits vorab bestimmte Verpflichtungen für Anbieter zentraler Plattformdienste festlegt und seine Anwendbarkeit an eine Benennung als Gatekeeper durch die EU-Kommission knüpft.<ref>''European Commission'', About the Digital Markets Act, https://digital-markets-act.ec.europa.eu/about-dma_en. </ref>

Zu den Kernpflichten des DMA gehören das Verbot diskriminierender Geschäftsmodelle, die Verpflichtung zur Sicherstellung eines fairen Zugangs zu Plattformen und der Schutz der Interessen von Geschäftsnutzern und Verbrauchern. Der DMA sieht darüber hinaus umfassende Überwachungs- und Durchsetzungsmechanismen vor, inklusive der Möglichkeit, empfindliche Sanktionen bei Verstößen zu verhängen. Abschließend regelt der DMA die länderübergreifende Zusammenarbeit der nationalen Behörden unter der Leitung der EU-Kommission zur Sicherstellung einer einheitlichen Umsetzung und Durchsetzung der Verordnung.

'''<big>Pflichtenkatalog</big>'''

In den folgenden Abschnitten werden die in Kapitel 3 des DMA festgelegten Pflichten der Gatekeeper, aus denen regelmäßig auch Rechte für Endnutzer hervorgehen, nach thematischen Schwerpunkten gegliedert. Das Kapitel umfasst die Art 5-15, wobei die relevantesten Bestimmungen in den Art 5-7 zu finden sind.

=== Schutz personenbezogener Daten ===
Der DMA knüpft in seiner Definition von personenbezogenen Daten an dem Begriffsverständnis der DSGVO an (Art 2 Z 25 DMA), wonach personenbezogene Daten alle Informationen umfassen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Vgl die genaue Definition in Art 4 Z 1 DSGVO). Ohne die ausdrückliche Einwilligung des Endnutzers ist dem Gatekeeper die Zusammenführung personenbezogener Daten zwischen seinen Diensten und Drittanbietern wie folgt untersagt (Art 5 Abs 2 DMA):

* Gatekeeper dürfen personenbezogene Daten von Endnutzern, die einen Drittdienst nutzen, welcher auf zentrale Plattformdienste des Gatekeepers zugreift oder damit interagiert, nicht für Online-Werbung verwenden.
* Es ist ihnen zudem untersagt, personenbezogene Daten aus einem zentralen Plattformdienst mit Daten aus anderen Plattformdiensten oder von Dritten zu verknüpfen.
* Eine Weiterverwendung personenbezogener Daten zwischen verschiedenen Diensten des Gatekeepers sowie die automatische Anmeldung von Endnutzern bei anderen Diensten zur Datenverknüpfung ist ebenfalls verboten.

=== Wettbewerbsschutz und Transparenz ===
Der DMA enthält zahlreiche Bestimmungen, die Gatekeepern wettbewerbsverzerrende Praktiken untersagen oder sie verpflichten, Informationen offenzulegen, um einen transparenten und fairen digitalen Markt zu fördern:

* Gewerbliche Nutzer sind frei, über welche und wie viele Kanäle sie ihren Endnutzern ihre Produkte und Dienstleistungen anbieten, auch zu anderen Preisen oder Bedingungen als jenen beim Gatekeeper (Art 5 Abs 3 DMA). Damit wird sogenannten '''Meistbegünstigungsklauseln''' Einhalt geboten, die Geschäftsnutzer dazu zwingen, auf dem ZPD immer die besten Konditionen anzubieten. Diese Klauseln hindern die gewerblichen Nutzer daran, ihre Produkte oder Dienstleistungen auf anderen Kanälen (zB eigenen Websites oder konkurrierenden Plattformen) zu günstigeren Bedingungen zu verkaufen. Ergänzend dazu dürfen Geschäftsnutzer Endnutzer, die sie über die Plattform des Gatekeepers akquiriert haben, auch auf andere Plattformen und Angebote hinweisen und auf der Gatekeeper-Plattform kostenlos für diese Alternativen werben (Art 5 Abs 4 DMA: '''Kommunikation zu Endnutzern''').
* Zusätzlich zu diesen Vorgaben verbietet der DMA Gatekeepern die '''Nutzung von Daten im Wettbewerb''' (Art 6 Abs 2), um die Nutzung von Plattform-Daten ihrer Geschäftsnutzer nicht zu ihren eigenen wettbewerblichen Vorteilen zu missbrauchen.
* Ein weiteres wichtiges Verbot betrifft das sogenannte '''„Self-preferencing'''“ (Art 6 Abs 5 DMA): Produkte und Dienstleistungen von Dritten dürfen im Ranking, bei der Indexierung und der Auffindbarkeit auf der Plattform nicht schlechter platziert werden als die Angebote des Gatekeepers. Das Ranking muss für die Nutzer transparent, fair und diskriminierungsfrei erfolgen.
* Der DMA verpflichtet Gatekeeper, '''Informationen zu Werbepreisen''' sowohl für Anzeigenkunden als auch für Herausgeber transparent offenzulegen (Art 5 Abs 9 und 10 DMA). Zusätzlich werden im DMA umfassende Offenlegungspflichten für Werbeanzeigen auf zentralen Plattformdiensten (ZPD) geregelt (Art 6 Abs 8 DMA). Werbetreibende und Publisher erhalten unentgeltlich detaillierte '''Informationen über die Wirksamkeit ihrer Werbeanzeigen''' und Zugang zu Tools zur Leistungsmessung, um eine transparente Analyse sicherzustellen. Darüber hinaus erhalten gewerbliche Nutzer laut Art 6 Abs 10 DMA kostenlosen '''Echtzeitzugang zu aggregierten und nicht aggregierten Nutzungsdaten''' des ZPD, um fundierte Geschäftsentscheidungen treffen zu können.
* Der Gatekeeper muss Drittunternehmen, die Suchmaschinen betreiben, fairen und diskriminierungsfreien '''Zugang zu Suchmaschinendaten''' gewähren, wobei personenbezogene Daten anonymisiert werden (Art 6 Abs 11 DMA).
* Zudem müssen gewerbliche Nutzer zu Plattformdiensten wie App-Stores oder sozialen Netzwerken '''faire und transparente Zugangsbedingungen''' erhalten, die öffentlich einsehbar sind (Art 6 Abs 12 DMA). Die '''Kündigung eines zentralen Plattformdienstes''' muss für gewerbliche Nutzer unter fairen und verhältnismäßigen Bedingungen möglich sein, ohne unnötige Hürden (Art 6 Abs 13 DMA).

=== Schutz der Endnutzer ===
* Artikel 5 Abs 5 DMA ermöglicht Endnutzern den '''Zugriff auf digitale Inhalte''' wie Videos, Musik oder Abonnements über die zentrale Plattform, selbst wenn diese Inhalte außerhalb der Plattform erworben wurden.
* Gatekeeper dürfen '''Rechtsbehelfe der Nutzer nicht einschränken''', sodass diese weiterhin ihre rechtlichen Ansprüche geltend machen können (Art 5 Abs 6 DMA, gilt auch für gewerbliche Nutzer).
* Zudem gilt ein '''Koppelungsverbot''', das es Gatekeepern untersagt, den Zugang zu einem Dienst an die Nutzung eines anderen Dienstes – wie Identifizierungsdienste, Webbrowser-Engines oder Zahlungsdienste – zu binden (Art 5 Abs 7 DMA, gilt auch für gewerbliche Nutzer). Darüber hinaus dürfen Gatekeeper keine '''Registrierungspflicht''' für andere Dienste auferlegen, um Zugang zu ihren Plattformen zu erhalten (Art 5 Abs 8 DMA, gilt auch für gewerbliche Nutzer).
* Gatekeeper müssen zudem sicherstellen, dass Endnutzer die Möglichkeit haben, '''vorinstallierte Software zu deinstallieren''' und ihre '''Standard-Einstellungen zu ändern''' (Art 6 Abs 3 DMA).
* Nutzern muss es auch gestattet sein, '''Apps aus externen Quellen zu installieren''' (Art 6 Abs 4 DMA), ohne durch den Gatekeeper eingeschränkt zu werden.

* Schließlich darf die '''Wechselmöglichkeit zu konkurrierenden Diensten''' nicht behindert oder eingeschränkt werden (Art 6 Abs 6 DMA).

=== Interoperabilität ===
Ein weiteres Ziel des DMA ist es, Interoperabilität zu gewährleisten, also die Fähigkeit zum Zusammenspiel verschiedener Systeme. Dies soll verhindern, dass Nutzer eines ZPD aufgrund der marktbeherrschenden Stellung des Anbieters gezwungen sind, dort zu bleiben, weil ein Wechsel zu einem konkurrierenden Produkt mit zu großen Hürden verbunden wäre:

* Der Gatekeeper öffnet seine Plattform für '''Diensteanbieter und Hardware-Anbieter''', indem kostenlos wirksame '''Interoperabilität''' gewährleistet wird (Art 6 Abs 7 DMA).
* Gatekeeper müssen '''Endnutzern''' und von ihnen beauftragten Dritten auf Anfrage kostenlos die '''Übertragung von Nutzerdaten''' ermöglichen, die im Zusammenhang mit der Nutzung der Plattform entstanden sind. Dies schließt auch kostenlose Werkzeuge zur einfachen Datenübertragung und einen Echtzeitzugang zu diesen Daten ein (Art 6 Abs 9 DMA).

Besonders für die Interoperabilität von sogenannten '''nummernunabhängigen interpersonellen Kommunikationsdiensten''' (im üblichen Sprachgebrauch: Messengerdienste) wie zB Facebook Messenger und WhatsApp legt Art 7 DMA zahlreiche Verpflichtungen fest, auf die hier aber nicht näher eingegangen wird.

=== Marktuntersuchung ===
Die Europäische Kommission ist gemäß Art 16 DMA befugt, umfassende Untersuchungen durchzuführen, um gegebenenfalls Durchführungsrechtsakte gegenüber Gatekeepern zu erlassen. Die im DMA festgelegten Zwecke dieser Untersuchungen umfassen:

==== Die Benennung von Gatekeepern (Art 17): ====
Die EU Kommission prüft, ob ein Unternehmen nach Art 3 Abs 8 DMA als Gatekeeper einzustufen ist, oder ermittelt die einschlägigen zentralen Plattformdienste, die nach Art 3 Abs 9 DMA im Beschluss enthalten sein müssen. In dem Artikel ist eine nicht bindende Frist von 12 Monaten vorgesehen, die lediglich als Richtlinie dient. Die Untersuchung wird mit einem Durchführungsrechtsakt abgeschlossen, in dem die Entscheidung der Kommission dargelegt wird.

==== Die Feststellung systematischer Verstöße eines Gatekeepers gegen den DMA (Art 18): ====
Ergibt die Untersuchung, dass ein Gatekeeper seine Verpflichtungen aus dem DMA systematisch verletzt hat und sich die Torwächter-Position nicht geschwächt hat, kann die Kommission verhaltensbezogene oder strukturelle (bezogen auf die Unternehmensstruktur) Abhilfemaßnahmen setzen. Als Hinweis auf eine systematische Nichteinhaltung dient Abs 3 dieses Artikels: Wenn innerhalb von acht Jahren drei Nichteinhaltungsbeschlüsse (Art 29 DMA) wegen Verstößen gegen die Verpflichtungen nach Art 5-7 DMA erlassen werden, ist von einer systematische Nichteinhaltung auszugehen. Für diese Marktuntersuchung inklusive Durchführungsrechtsakt besteht eine bindende Frist von 12 Monaten, die jedoch um bis zu sechs Monate aus objektiven Gründen (Abs 7) verlängert werden kann.

==== Die Aufnahme neuer Dienste und Praktiken in den Anwendungsbereich des DMA (Art 19): ====
Diese Art der Marktuntersuchung ermöglicht es der EU-Kommission, Anpassungen des DMA anzustoßen, um wirksam auf neue, bislang nicht erfasste Plattformdienste und Praktiken zu reagieren. Falls die Beurteilung, die innerhalb von 18 Monaten abzuschließen ist, zeigt, dass weitere Dienste oder Verpflichtungen vom DMA geregelt werden sollen, hat die Kommission verschiedene Optionen zur Reaktion:

* '''Gesetzgebungsvorschlag:''' Die Kommission kann dem Europäischen Parlament und dem Rat einen Änderungsvorschlag vorlegen, um neue zentrale Plattformdienste (nach Art 2 Z 2 DMA) oder Verpflichtungen (in Kapitel 3) in den DMA aufzunehmen oder bestehende Verpflichtungen oder Dienste zu streichen.
* '''Delegierte Rechtsakte:''' Alternativ kann die Kommission durch delegierte Rechtsakte die bestehenden Verpflichtungen anpassen. Dabei können spezifische Regelungen der Art 5-7 DMA ergänzt oder geändert werden (Rechtsgrundlage: Art 12 DMA). Delegierte Rechtsakte bieten der Kommission eine gewisse Flexibilität, ohne ein vollständiges Gesetzgebungsverfahren durchlaufen zu müssen. Diese müssen jedoch innerhalb festgelegter Fristen vom Europäischen Parlament und dem Rat überprüft und genehmigt werden (Vgl Art 49 DMA).

=== Untersuchungs-, Durchsetzungs- und Überwachungsbefugnisse ===
Um die Durchsetzung des DMA zu gewährleisten, ist die Kommission mit umfangreichen Befugnissen ausgestattet, die in Kapitel V zu finden sind:

* Unternehmen können zur Bereitstellung von Informationen und Zugang zu Daten, Algorithmen und Tests aufgefordert werden (Art 21 DMA: '''Auskunftverlangen''').
* Die Kommission kann natürliche oder juristische Personen zum Zweck der Informationsbeschaffung im Rahmen einer Untersuchung befragen und die Befragung aufzeichnen, wobei die Einwilligung der betroffenen Person erforderlich ist (Art 22 DMA: '''Befragung und Aufnahme von Aussagen''').
* Die Kommission kann umfassende '''Nachprüfungen''' bei Unternehmen durchführen (Art 23 DMA): Ihre Befugnisse umfassen den Zugang zu Geschäftsunterlagen, IT-Systemen, Algorithmen und Betriebsräumen der Unternehmen sowie die Möglichkeit, Aussagen von Mitarbeitenden zu protokollieren. Die Kommission kann nationale Behörden um Unterstützung bitten und, falls erforderlich, Polizeigewalt einsetzen. Dafür notwendige Gerichtliche Genehmigungen werden nur zur Überprüfung der Rechtmäßigkeit und Verhältnismäßigkeit des Einsatzes von Zwangsmaßnahmen eingeholt, jedoch ohne die Notwendigkeit der Nachprüfung infrage zu stellen.
* Die Kommission kann in dringenden Fällen befristete '''einstweilige Maßnahmen''' gemäß Art 24 DMA gegen Gatekeeper erlassen, um schwerwiegenden und irreparablen Schaden für Nutzer (gewerbliche oder Endnutzer) zu verhindern. Diese Maßnahmen sind nur während eines laufenden Verfahrens möglich, das auf einen möglichen Nichteinhaltungsbeschluss abzielt.

=== Sonstige Bestimmungen ===
In Art 40 DMA ist die Einrichtung einer sogenannten '''hochrangigen Gruppe''' festgelegt, die aus Vertretern von europäischen Gremien und Netzwerken (max. 30 Mitglieder), wie zB dem europäischen Wettbewerbsnetz, besteht. Diese Gruppe berät die Kommission bei Fragen zur Anwendung und Durchsetzung des DMA und fördert einen einheitlichen Regulierungsansatz. Sie prüft Wechselwirkungen zwischen dem DMA und anderen sektorspezifischen Vorschriften und legt dazu jährlich einen Bericht vor. Zusätzlich kann die Gruppe die Kommission bei Marktuntersuchungen unterstützen und gibt Empfehlungen zu möglichen Anpassungen des DMA.

Wie bereits in der Sektion zu Marktuntersuchungen (siehe Art 19 DMA) erläutert, hat die Kommission die Befugnis, '''delegierte Rechtsakte''' zu erlassen. Diese ermöglichen es ihr, bestimmte technische und detaillierte Aspekte des DMA anzupassen, um auf Entwicklungen im Markt oder in der Technologie flexibel reagieren zu können, ohne dass eine vollständige Überarbeitung des Gesetzes erforderlich ist. Die Bedingungen hierfür werden in Art 49 DMA festgelegt: Die Kommission erhält die Befugnis, delegierte Rechtsakte gemäß Art 3 Abs 6 und 7 DMA (Änderung quantitativer Schwellenwerte zur Einstufung als Gatekeeper und dessen Methodik) sowie Art 12 Abs 1, 3 und 4 DMA (siehe oben zu Art 19 DMA) für fünf Jahre ab dem 1. November 2022 zu erlassen. Diese Befugnis verlängert sich automatisch, es sei denn, das Europäische Parlament oder der Rat widersprechen. Die Befugnis kann jederzeit vom Parlament oder Rat widerrufen werden. Vor Erlass eines Rechtsakts konsultiert die Kommission Sachverständige der Mitgliedstaaten. Der Rechtsakt tritt nur in Kraft, wenn weder das Parlament noch der Rat innerhalb von zwei Monaten Einwände erheben.

Die Kommission kann gemäß Art 46 DMA '''Durchführungsrechtsakte''' erlassen, um detaillierte Regelungen zur Anwendung des DMA festzulegen. Diese betreffen verschiedene Bereiche wie die Form und den Inhalt von Mitteilungen, technische Maßnahmen zur Einhaltung der Vorgaben für Torwächter (Gatekeeper), sowie operative Vorkehrungen für die Interoperabilität von Kommunikationsdiensten. Zudem regelt sie die Modalitäten für Marktuntersuchungen, das rechtliche Gehör, die Offenlegung von Informationen und die Zusammenarbeit mit nationalen Behörden.

Art 50 DMA beschreibt das Ausschussverfahren, bei dem die Kommission durch einen '''Beratenden Ausschuss für digitale Märkte''' unterstützt wird. Dieser Ausschuss setzt sich aus Vertretern der EU-Mitgliedstaaten zusammen und nimmt eine zentrale Rolle bei der Erarbeitung von Durchführungsrechtsakten ein, beispielsweise wenn die Kommission konkrete Maßnahmen gegenüber einem Gatekeeper festlegen möchte. Dieser Ausschuss arbeitet gemäß der [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:32011R0182 Verordnung (EU) Nr. 182/2011], die die allgemeinen Regeln für die Durchführung von Ausschussverfahren innerhalb der EU festlegt.

Im Kontext des DMA wird der '''Beratende Ausschuss''' in zwei Verfahrensarten aktiv:

# Beratungsverfahren (Art 50 Abs 2 DMA): Im Beratungsverfahren wird der Ausschuss konsultiert, um eine Stellungnahme zu einem Entwurf zu geben, jedoch bleibt die endgültige Entscheidung in den Händen der Kommission. Im DMA kommt fast ausschließlich dieses Verfahren zur Anwendung (einzige Ausnahme: Art 46 Abs 2 UAbs 2 DMA).
# Prüfverfahren (Art 50 Abs 3 DMA): Im Prüfverfahren hat der Ausschuss eine stärkere Rolle, da die Kommission ihre Vorschläge nur dann umsetzen kann, wenn der Ausschuss entweder zustimmt oder keine eindeutigen Einwände erhebt.

== Fallbeispiele ==
Inzwischen gibt es bereits Untersuchungen und Verfahren gegen eine Reihe von Gatekeepern im Zusammenhang mit Verstößen gegen den DMA. Im Folgenden werden ein paar dieser Fälle herausgegriffen und kurz erläutert:

'''Verfahrenseinleitung gegen Apple wegen App Store-Vorschriften'''

Laut EU-Kommission soll Apple gegen die Bestimmungen des DMA verstoßen haben, da das Unternehmen die Möglichkeit von App-Entwicklern beschränkt, außerhalb des App-Stores Kontakt zu Endnutzern aufzubauen und dies nur über sogenannte „Link-Outs“ zulässt <ref>''Euractiv'', Apple changes EU app store policy after Commission probe

https://www.euractiv.com/section/digital-single-market/news/apple-changes-eu-app-store-policy-after-commission-probe/ (Stand 9. 8. 2024).</ref>. Darüber hinaus verlangt Apple eine Gebühr, damit App-Entwickler mit Endnutzern überhaupt in Kontakt treten können. All dies verstoße gegen Art 5 Abs 4 DMA, wonach es gewerblichen Nutzern, die Apps über den App Store vertreiben, ermöglicht werden muss, ihre Angebote über die Dienste des Gatekeepers kostenlos gegenüber Endnutzern zu kommunizieren sowie Verträge mit diesen auch außerhalb der Dienste des Gatekeepers zu schließen. Sollte sich diese Auffassung der EU-Kommission bestätigen, würde diese innerhalb von 12 Monaten nach Einleitung des Verfahrens am 25. März 2024 einen Beschluss wegen Verstoßes gegen den DMA erlassen und Apple würde eine Geldbuße bis zu 10% des weltweit erzielten Gesamtumsatzes drohen.<ref>''Europäische Kommission'', Kommission übermittelt Apple vorläufige Feststellungen und leitet weitere Verfahren gegen Apple wegen möglicher Verstöße gegen das Gesetz über digitale Märkte ein, https://ec.europa.eu/commission/presscorner/detail/de/ip_24_3433 (Stand 24. 6. 2024).</ref>

'''Vorläufige Feststellungen zum „Pay or consent“-Modell von Meta'''

Laut der EU-Kommission verstößt Meta mit seinem „Pay or consent“-Modell auf Facebook und Instagram gegen die Vorschriften des DMA. Diese Geschäftspraktik stellt Nutzer vor die Wahl, entweder einer Verknüpfung ihrer auf verschiedenen Plattformen erhobenen personenbezogenen Daten zuzustimmen oder - bei fehlender Zustimmung - eine Gebühr zu zahlen. Die Kommission ist der Auffassung, dass damit Art 5 Abs 2 DMA verletzt wird, denn diese Bestimmung verlangt, dass trotzdem Zugang zu einer weniger personalisierten, aber gleichwertigen Alternative möglich ist. Besonders durch den Zahlungsaspekt ist allerdings fragwürdig, ob es sich wirklich um freie Einwilligung des Nutzers handelt und ob diese als gleichwertige Alternative zu werten ist<ref>''Zimmer/Göhsl'', Enforcement of the Digital Markets Act, https://verfassungsblog.de/enforcement-of-the-digital-markets-act/ (Stand 10. 4. 2024).</ref>. Sollte sich die vorläufige Auffassung bestätigen, könnte die Kommission innerhalb von 12 Monaten nach Verfahrensbeginn am 25. März 2024 einen Beschluss erlassen, der Meta für den Verstoß gegen den DMA zur Verantwortung zieht, was mit einer Geldbuße von bis zu 10% des weltweit erzielten Gesamtumsatzes verbunden sein könnte.<ref>''Europäische Kommission'', Kommission sieht im „Pay or consent“-Modell von Meta einen möglichen Verstoß gegen das Gesetz über digitale Märkte, https://ec.europa.eu/commission/presscorner/detail/de/ip_24_3582 (Stand 1. 7. 2024).</ref>

'''Verfahrenseinleitung gegen Alphabet wegen vermeintlichem „self-preferencing“'''

Die Kommission hat ein Verfahren gegen Alphabet eingeleitet, um zu prüfen, ob die Anzeige der Google-Suchergebnisse durch das Unternehmen zu einer Bevorzugung eigener nachgelagerter Suchdienste (z.B. Google Shopping, Google Flights oder Google Hotels) im Vergleich zu ähnlichen Suchfunktionen konkurrierender Anbieter führt. Das wäre ein Verstoß gegen Art 6 Abs 5, der normiert, dass Dienste von Drittanbietern fair und nicht diskriminierend im Vergleich zu den eigenen Diensten behandelt werden. Die Kommission beabsichtigt, das am 25. März 2024 eingeleitete Verfahren innerhalb von 12 Monaten abzuschließen.<ref>''Europäische Kommission'', Kommission leitet Verfahren gegen Alphabet, Apple und Meta gemäß dem Gesetz über digitale Märkte ein, https://ec.europa.eu/commission/presscorner/detail/de/ip_24_1689 (Stand 25. 3. 2024).</ref>

'''Entscheidung: Das soziale Netzwerk von X (vormals Twitter) ist kein zentraler Plattformdienst nach dem DMA'''

Die Europäische Kommission hat am 16. Oktober 2024 entschieden, dass das soziale Netzwerk von X nicht als zentraler Plattformdienst im Sinne des DMA eingestuft wird. Diese Entscheidung folgte einer eingehenden Marktuntersuchung vom 13. Mai 2024, nachdem X seinen potenziellen Gatekeeper-Status gemeldet hat. Obwohl X die quantitativen Kriterien des Art 3 Abs 2 DMA erfüllte, legte das Unternehmen Gegenargumente vor, die zusammen mit dem Feedback der Interessengruppen die Kommission dazu veranlassten, festzustellen, dass X kein wichtiges Zugangstor (iSd Art 3 Abs 1 lit b DMA) für gewerbliche Nutzer zu Endnutzern darstellt.<ref>''European Commission'', Daily News 16 / 10 / 2024, https://ec.europa.eu/commission/presscorner/detail/en/mex_24_5324 (Stand 16. 20. 2024).</ref>

== Synergien ==

=== Zusammenspiel mit dem Digital Services Act (DSA) ===
Wie eingangs dieses Beitrags erwähnt, bildet der DMA zusammen mit dem [[Digital Services Act (DSA)]] das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll. Dementsprechend verfolgen die beiden Rechtsakte ähnliche Ziele und verwenden dafür in manchen Bereichen gleiche Begriffe oder verwandte Regelungsansätze. Grundlegende Unterschiede sind, dass sich der DMA auf große Platzhirschen am Markt fokussiert, die sogenannten Gatekeeper, und ihnen überwiegend Vorschriften für fairen Wettbewerb und Interoperabilität auferlegt (allerdings spielen Transparenzregeln natürlich auch eine Rolle), während der DSA für alle Online Vermittlungsdienste mit Ausnahme der Klein- und Kleinstunternehmen gilt. Die [[Digital Services Act (DSA)#Zentrale Inhalte|Kernpflichten des DSA]] sind hingegen Transparenzpflichten, Informationspflichten, bestimmte Anforderungen an AGBs, Verbote bestimmter Praktiken (zB auf Profiling von sensiblen Daten gestützte Werbeeinschaltungen an Minderjährige oder die Verwendung von manipulativen Taktiken wie „dark patterns“) und bestimmte Verpflichtungen im Umgang mit illegalen Inhalten.

==== Ähnliche Konzepte: ====
Der DSA verbietet Online-Plattformen und Transaktionsplattformen den Einsatz von sogenannten "dark patterns". Konkret dürfen Plattformen ihre Benutzeroberflächen nicht so gestalten, dass Nutzer getäuscht oder manipuliert werden. Dies umfasst irreführende Designs, die die freie Entscheidungsfähigkeit der Nutzer beeinträchtigen. Während der DMA den Begriff "dark patterns" nicht explizit kennt, zielt er inhaltlich auf vergleichbare manipulative und irreführende Praktiken ab und verbietet diese. Dazu sei auf die Seite des [[Digital Services Act (DSA)]] verwiesen, wo unter der Überschrift "Ausgewhälte Themen im Fokus/Dark Patterns", eine genauere Beschreibung zu finden ist.

Im DSA unterliegen die sogenannten ''VLOPs'' (''Very Large Online Platforms)'' und ''VLOSEs'' (''Very Large Search Engines)'', das sind Online Plattformen/Suchmaschinen mit erheblicher Reichweite, zusätzlichen Verpflichtungen. Dieses Konzept erinnert stark an die Gatekeeper aus dem DMA, die eine starke Marktposition besitzen und deshalb reguliert werden. In Beiden Fällen werden die Akteure von der Kommission benannt. Im DSA geht dies jedoch nur, wenn die Plattformen oder Suchmaschinen konkrete quantitative Schwellenwerte erreichen (monatlich mindestens 45 Millionen aktive Nutzer in der EU).<ref>Art 33 Abs 1 DSA, Art 3 DMA.</ref>

Das Sanktionssystem der beiden Rechtsakte ist ähnlich ausgestaltet. Für die Verhängung von Strafen ist beim DMA ausschließlich die EU Kommission zuständig, beim DSA hingegen nur, wenn es sich um ''VLOPs'' oder ''VLOSEs'' handelt. Für die anderen Arten von Vermittlungsdiensten sind die Mitgliedstaaten bzw den von diesen ernannten Koordinatoren für digitale Dienste zuständig. Die Geldbußen für Verstöße richten sich nach dem weltweiten Jahresumsatz des Unternehmens und betragen beim DMA bis zu 20%, beim DSA nur maximal 6%. Im Rahmen des DSA sind in dringenden, schwerwiegenden Fällen einstweilige Maßnahmen wie zB die Aussetzung des Dienstes möglich<ref>''Europäische Kommission'', Der Durchsetzungsrahmen nach dem Gesetz über digitale Dienste, https://digital-strategy.ec.europa.eu/de/policies/dsa-enforcement.</ref>. Der DMA erlaubt bei systematischen Verstößen sogar strukturelle Maßnahmen, wie die Aufspaltung von Unternehmen, wenn Geldbußen nicht ausreichen.

=== Datenschutz ===
Der DMA und die [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679 DSGVO (Datenschutz-Grundverordnung)] weisen Überschneidungen in manchen Bereichen auf.<ref>Für eine erweiterte Liste der Synergien zwischen DMA und DSGVO siehe: [https://rsw.beck.de/zeitschriften/zd/meldung/2023/05/16/die-digitalrechtsakte-der-eu-(dga--dsa--dma--ki-vo-e-und-da-e)---teil-ii Die Digitalrechtsakte der EU (DGA, DSA, DMA, KI-VO-E und DA-E) – Teil II].</ref>

* '''Übernahme von Begriffen/Definitionen''': Der DMA übernimmt in Art 2 Z 25, Z 31 und Z 32 wichtige Begriffsbestimmungen aus der DSGVO. Diese beinhalten Definitionen, die für die Anwendung des DMA relevant sind, insbesondere in Bezug auf personenbezogene Daten (pbD) und die Verarbeitung solcher Daten im Kontext der Gatekeeper-Verpflichtungen. Auch bei der sogenannten "Einwilligung" (Zustimmung zur Verarbeitung seiner pbD) verweist der DMA auf die Anforderungen der DSGVO.
* '''Verwendungs- und Zusammenführungsverbote von personenbezogenen Daten:''' In der DSGVO gibt es den Grundsatz der Zweckbindung (Art 5 Abs 1 lit b DSGVO), der besagt, dass pbD nur für bestimmte festgelegte Zwecke erhoben werden dürfen. Diesem Grundsatz folgt der DMA in gewisser Weise: Die Verwendung und Zusammenführung von pbD in den Fällen von Art 5 Abs 2 DMA durch Gatekeeper ist verboten (außer wenn eine ausdrückliche Einwilligung vorliegt). Darüber hinaus ergeben sich aus der DSGVO weitere Rechtsgrundlagen, die die Verarbeitung von pbD erlauben können und für Gatekeeper von Bedeutung sein könnten, beispielsweise wenn die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen, zum Schutz lebenswichtiger Interessen der betroffenen Person oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist (Art 6 Abs 1 lit c-e DSGVO).
* '''Erweiterung des Rechts auf Datenübertragbarkeit:''' In Art 20 DSGVO wird bereits das Recht auf Datenübertragbarkeit für personenbezogene Daten, die eine Person selbst bereitgestellt hat, gewährt. Der DMA erweitert dieses Recht jedoch, indem er es auch auf nicht selbst bereitgestellte Daten sowie auf nicht-personenbezogene Daten ausweitet (Art 6 Abs 9 DMA).<ref>''Pfeiffer/Helmke'', Die Digitalrechtsakte der EU (DGA, DSA, DMA, KI-VO-E und DA-E) – Teil II, https://rsw.beck.de/zeitschriften/zd/meldung/2023/05/16/die-digitalrechtsakte-der-eu-(dga--dsa--dma--ki-vo-e-und-da-e)---teil-ii (abgefragt 20. 11. 2024).</ref>

=== Zusammenspiel mit anderen Wettbewerbsvorschriften ===
Der DMA stellt klar, dass die Verordnung die bestehenden europäischen und nationalen Wettbewerbsregeln nicht ersetzt oder beeinträchtigt (Art 1 Abs 6 DMA). Stattdessen ergänzt der DMA diese Regelwerke, um gezielt Probleme in digitalen Märkten zu adressieren. Die Weiteranwendung der folgenden Vorschriften wird explizit hervorgehoben:

* Fortgeltung der Art 101 und 102 AEUV (Vertrag über die Arbeitsweise der Europäischen Union): Diese Artikel behandeln das Verbot von wettbewerbswidrigen Vereinbarungen, wie Kartellen und des Missbrauchs einer marktbeherrschenden Stellung.
* Nationale Regeln, die Vereinbarungen, abgestimmte Verhaltensweisen oder den Missbrauch einer marktbeherrschenden Stellung verbieten, bleiben anwendbar.
* Nationale Vorschriften, die einseitige Verhaltensweisen (etwa von Nicht-Gatekeeper Unternehmen) verbieten oder Gatekeepern zusätzliche Anforderungen auferlegen, sind zulässig.
* Fortgeltung der Fusionskontrollregeln (Unternehmenszusammenschlüsse): Die [https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32004R0139 EU-Fusionskontrollverordnung (VO Nr. 139/2004)] regelt die Kontrolle von Unternehmenszusammenschlüssen auf EU-Ebene. Mitgliedstaaten können weiterhin eigene Vorschriften zur Fusionskontrolle anwenden.

Selbstverständlich dürfen nationale Behörden keine Entscheidungen erlassen, die den Beschlüssen der Kommission im Rahmen des DMA widersprechen (Art 1 Abs 7 DMA).

=== Sonstige Querbezüge ===
Ein weiterer relevanter Aspekt ergibt sich aus Art 8 Abs 1 DMA: Gatekeeper sind verpflichtet, sicherzustellen, dass die von ihnen ergriffenen Maßnahmen zur Einhaltung der Vorschriften des DMA im Einklang mit dem anwendbaren Recht stehen. Dies umfasst insbesondere Rechtsvorschriften in Bereichen wie Cybersicherheit, Verbraucherschutz, Produktsicherheit und Barrierefreiheit.

Für sonstige Synergien zwischen dem DMA und dem DGA, DSA, AIA und DA bietet dieser Link eine gute Übersicht: https://rsw.beck.de/zeitschriften/zd/suchergebnisse?indexCatalogue=zd&searchQuery=Die+Digitalrechtsakte+der+EU

== Konsequenzen/Strafen ==
Die Sanktionen bei Nichteinhaltung der Vorschriften durch Gatekeeper werden direkt von der '''Europäischen Kommission''' verhängt. Nationale Behörden, wie in Österreich die '''Bundeswettbewerbsbehörde''', spielen bei der Überwachung und Durchsetzung von Sanktionen ebenfalls eine Rolle, jedoch bleibt die Verhängung von Strafen bei Verstößen der EU Kommission vorbehalten.

Bei Nichteinhaltung der Vorschriften des DMA drohen folgende Konsequenzen:

* '''Geldbußen''' von bis zu '''10% des weltweiten Jahresumsatzes''' des betreffenden Gatekeepers im vorangegangenen Geschäftsjahr für Verstöße gegen die Verpflichtungen des DMA (Art 30 Abs 1 DMA).
* '''Geldbußen''' von bis zu '''20% des weltweiten Jahresumsatzes''' bei wiederholten Verstößen gegen dieselbe Verpflichtung bzw betreffend denselben Plattformdienst (Art 30 Abs 2 DMA).
* '''Geldbußen''' von bis zu '''1% des weltweit erzielten Jahresumsatzes''' bei weniger gravierenden Verstößen, wie beispielsweise Zuwiderhandlungen gegen Auskunftspflichten, Mitteilungspflichten, Nichtduldung einer Nachprüfung, oder bei Nichtberichtigung von unrichtigen, unvollständigen oder irreführenden Angaben (Art 30 Abs 3 DMA).
* '''Zwangsgelder''': bis zu '''5% des durchschnittlichen weltweiten Tagesumsatzes''', falls ein Unternehmen bestimmten in Art 31 Abs 1 lit a-h DMA aufgezählten Beschlüssen der Kommission nicht nachkommt.
* Im Extremfall kann die Kommission Maßnahmen zur '''strukturellen Abtrennung''' von Geschäftsbereichen des Gatekeepers in Betracht ziehen, wenn dieser systematisch gegen die Vorschriften verstößt und andere Sanktionen nicht ausreichen, um die Einhaltung sicherzustellen (Art 18 Abs 1 DMA).
'''Verjährungsfrist'''

Art 32 DMA sieht eine Verjährungsfrist von '''fünf Jahren für die Verhängung von Sanktionen''' durch die Europäische Kommission vor. Die Frist beginnt mit dem Zeitpunkt des Verstoßes oder, bei andauernden Verstößen, mit deren Beendigung. Maßnahmen der Kommission, wie ein Auskunftsersuchen oder die Verfahrenseinleitung, unterbrechen die Frist, die dann neu beginnt. Insgesamt darf die Verjährung jedoch zehn Jahre nicht überschreiten, zuzüglich der Zeit in dem die Frist aufgrund eines Verfahrens vor dem Gerichtshof ruht.

Art 33 DMA regelt die '''Durchsetzung von Sanktionen''', ebenfalls mit einer Verjährungsfrist von '''fünf Jahren''' ab dem Zeitpunkt, an dem der Beschluss rechtskräftig wird. Diese Frist kann durch Maßnahmen zur zwangsweisen Beitreibung unterbrochen und bei Gerichtsverfahren ausgesetzt werden.

'''Gerichtliche Nachprüfung'''

Art 45 DMA besagt, dass der Gerichtshof der Europäischen Union (EuGH) nach Art 261 AEUV eine unbeschränkte '''Ermessensnachprüfung''' von Beschlüssen der Kommission durchführen kann, mit denen Geldbußen oder Zwangsgelder verhängt wurden. Der Gerichtshof hat dabei die Befugnis, diese Sanktionen aufzuheben, zu verringern oder zu erhöhen.

== Weiterführende Literatur ==

* ''Achleitner'', Das Durchsetzungsregime im Digital Markets Act. Private Enforcement unerwünscht? ZÖR 2023, 287.
* ''Blümel'', Dark Patterns im DSA und DMA. Unzulässige digitale Beeinflussung von Entscheidungsprozessen, ecolex 2023, 986.
* ''Decarolis/L''i, Regulating online search in the EU. From the android case to the digital markets act and digital services act, International Journal of Industrial Organization 2023, https://doi.org/10.1016/j.ijindorg.2023.102983.
* ''Podszun,'' Digital Markets Act. Gesetz über digitale Märkte (2023).
* ''Staudegger'', Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023, 85.

== Weiterführende Links ==

* [https://digital-markets-act-whistleblower.integrityline.app/?lang=de Whistleblower Seite für Meldungen von Verstößen gegen den DMA].
* [https://digital-markets-act.ec.europa.eu/document/download/433de0f3-05cd-4a8c-ab19-cb176318dfae_en?filename=DMA_flyer_consumers.pdf Flyer Verbraucherrechte nach dem DMA] (EN).
* [https://digital-markets-act.ec.europa.eu/document/download/46e7a2d0-ed4e-47d8-bec6-8cc89bf645e6_en?filename=DMA_flyer_business-users.pdf Flyer Rechte von gewerblichen Nutzern nach dem DMA] (EN).
* [https://digital-markets-act.ec.europa.eu/index_en?prefLang=de Offizielle EU-Webseite über den DMA] mit Informationen über den Rechtsakt sowie aktuellen Nachrichten über dessen Durchsetzung (EN).
* [https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-markets-act-ensuring-fair-and-open-digital-markets_de Offizielle Webseite der EU-Kommission über den DMA].

== Einzelnachweise ==
<references />

Network and Information Security Directive (NIS2-RL)

2025-02-26T18:26:17Z

DavidMSchneeberger: /* NIS2 Richtlinie */

{{Infobox Rechtsakt (EU)|Typ=Richtlinie|Jahr=2022|Nummer=2555|Vertrag=EU|EWR=ja|Titel=Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148|Kurztitel=NIS-2-Richtlinie|Bezeichnung=NIS2-RL|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/333, 80|Anzuwenden=17. Oktober 2024 (Umsetzung, Fristverletzung)|Gültig=umsetzung}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Anwendungsbereich
!Inhalt<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref>
!Synergie
!Konsequenzen
|-
|Aufbau von Cybersicherheitskapazitäten (ErwGr 1 NIS2-RL)
|Anhang I (Sektoren mit hoher Kritikalität)
|Pflicht für alle MS, nationale Cybersicherheitsstrategien zu verabschieden (<abbr>Art</abbr> 7 NIS2-RL)
|Datenschutzmanagementsystem
|Wesentliche Einrichtungen: Bußgelder mit Höchstbetrag von mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
|-
|Schaffung eines hohen gemeinsamen Cybersicherheitsniveaus
(Art 1 NIS2-RL)
|Anhang II (Sonstige kritische Sektoren) soweit sie Obergrenzen nach <abbr>Art</abbr> 2 <abbr>Abs</abbr> 1 des Anhangs der Empfehlung 2003/361/EG überschreiten
|Pflicht für alle MS, diverse Zuständigkeiten zu regeln
Aufsichts- und Durchsetzungspflichten für die MS (<abbr>Art</abbr> 31 ff NIS2-RL)
|Sicherheit der Verarbeitung (Art 32 DSGVO)
|Für wichtige Einrichtungen (also alle anderen Einrichtungen die in den Anwendungsbereich der
NIS2-RL fallen) beträgt das höchstmögliche Bußgeld mindestens 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.

Für beide gilt der jeweils höhere Betrag.
|-
|Eindämmung von Bedrohungen in Schlüsselsektoren (ErwGr 1 NIS2-RL)
|Ist von den MS bis zum 17. Oktober 2024 umzusetzen (nicht erfolgt)
|Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (<abbr>Art</abbr> 20 ff NIS2-RL) sowie Berichtspflichten (<abbr>Art</abbr> 23 NIS2-RL) für betroffene Einrichtungen
|Verschwiegenheitsklauseln
|Behördliche Anweisungen und Anordnungen. Auch Anordnung der Aussetzung der Tätigkeit ist möglich. (Art 32 NIS2-RL)
|-
|
|
|Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (<abbr>Art</abbr> 29 ff NIS2-RL)
|
|Leitungsorgane können persönlich haften (Art 20 NIS2-RL)
|}

== Einführung ==
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union<ref>Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022</ref> (kurz: „NIS2-RL“) ist die Nachfolgeregelung der ersten Cybersicherheitsrichtlinie der Europäischen Union<ref>''Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union,'' ABl. L 194/1 vom 19. Juli 2016</ref> („NIS-RL“).

Bereits durch die erste NIS-RL und deren nationale Umsetzung im NISG wurden bestimmte Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet. Mit der Nachfolgeregelung, der NIS2-RL, wird der '''Anwendungsbereich''' deutlich erweitert, um auch große Teile der bisher nicht erfassten Unternehmen zu bedarfsgerechten Sicherheitsmaßnahmen zu verpflichten. Darüber hinaus werden insbesondere konkrete Vorgaben für ein '''Meldesystem''' bei Sicherheitsvorfällen gemacht und neue '''Haftungstatbestände''' geschaffen. Die NIS-RL wurde in Österreich im Netz- und Informationssystemsicherheitsgesetz (kurz: „NISG“) umgesetzt, das derzeit (Stand: Oktober 2024) zur Umsetzung der NIS2<ref>Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME)

https://www.parlament.gv.at/gegenstand/XXVII/ME/326</ref> novelliert wird. Daneben ist die Durchführungsverordnung (EU) 2024/2690<ref>Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 mit Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555 im Hinblick auf die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Präzisierung der Fälle, in denen ein Sicherheitsvorfall in Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter als erheblich gilt.

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690</ref> beachtlich.

Die NIS2-RL zielt darauf ab, eine robuste, dem risikobasierten Ansatz folgende '''Sicherheitsinfrastruktur''' für die EU zu schaffen. Der Fokus liegt nicht darauf, jedes Einzelgerät abzusichern, sondern die Resilienz wesentlicher und wichtiger Einrichtungen zu gewährleisten.

Der Nationalrat konnte in einer im Juli 2024 abgehaltenen Sitzung zwar eine einfache Mehrheit für das Umsetzungsgesetz (NISG-E) erreichen, da das Gesetz jedoch Verfassungsbestimmungen enthält, bedarf es einer breiteren Zweidrittelmehrheit welche nicht erreicht werden konnte. Hauptgrund für die Absage der Opposition war die Ansiedelung der nationalen Cybersicherheitsbehörde beim Innenministerium.<ref>https://www.parlament.gv.at/aktuelles/pk/jahr_2024/pk0785</ref> Die Autoren erwarten keine wesentlichen Änderungen der unstrittigen Regelungspunkte in allfälligen Folgeentwürfen weshalb im Folgenden auf den Regelungsinhalten des vorliegenden Entwurfs (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME)<ref>Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden.https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621118.pdf</ref> - im Folgenden '''NISG''') aufgebaut wird.

== Anwendungsbereich ==
=== NIS2-Richtlinie ===

==== Persönlicher/Sachlicher Anwendungsbereich ====
In den Anwendungsbereich können öffentliche oder private Einrichtungen fallen. Die NIS2-RL unterscheidet grundsätzlich zwischen dem '''größenabhängigen''' (Art 2 Abs 1 NIS2-RL) und dem '''größenunabhängigen''' (Art 2 Abs 3 NIS2-RL) Anwendungsbereich.

====== Größenabhängiger Anwendungsbereich ======
Um den größenabhängigen Geltungsbereich zu definieren, setzt die NIS2-RL zunächst an der [[Size-Cap-Rule]] an.

Hiernach gilt die NIS2-RL für Einrichtungen

* welche mehr als 50 Mitarbeitende beschäftigen
* oder mehr als 10 Mio Euro Jahresumsatz<ref>Die Berechnung der Größenschwellen für Unternehmen nach der EU-Empfehlung 2003/361/EG ist nicht einfach. Sie berücksichtigt auch indirekte Verbindungen und Vertragsbeziehungen, wie bei verbundenen Unternehmen oder Tochtergesellschaften. Besonders bei großen Konzernen ist es ratsam, jeden Fall einzeln zu prüfen. Die Europäische Kommission hat zwar eine ausführliche Anleitung zur Berechnung veröffentlicht, aber es ist trotzdem empfehlenswert, professionelle rechtliche Beratung einzuholen. Dies gilt besonders für Unternehmen mit komplexen Strukturen, um zu klären, ob die NIS2-Richtlinie für sie gilt: https://op.europa.eu/de/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1</ref> erzielen.

Kumulativ muss die Tätigkeit der Einrichtung in den '''Anhang I''' oder '''II''' der NIS2-RL fallen.

* ''Anhang I'' nennt etwa folgende Einrichtungen:

Energie | Verkehr | Bankwesen | Finanzmarktinfrastrukturen | Gesundheitswesen | Trinkwasser | Abwasser | Digitale Infrastruktur | Verwaltung von IKT-Diensten (Business-to-Business) | öffentliche Verwaltung | Weltraum

* ''Anhang II nennt etwa folgende Einrichtungen:''

Post- und Kurierdienste | Abfallbewirtschaftung | Produktion, Herstellung und Handel mit chemischen Stoffen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln | Verarbeitendes Gewerbe | Herstellung von Waren | Anbieter digitaler Dienste | Forschung

====== Größenunabhängiger Anwendungsbereich ======
Gemäß <abbr>Art</abbr> 2 und <abbr>Art</abbr> 3 der NIS2-RL können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS2-RL fallen.

Folgende Tätigkeiten sind hiervon umfasst:

Gemäß Art 2 Abs 2 lit a NIS2-RL Dienste von;

* Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
* Vertrauensdiensteanbietern
* Namenregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern.

Gemäß Art 2 Abs 2 lit b bis f iVm Art 3 Abs 1 lit e NIS2-RL

* Dienste, welche die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich sind
* Dienste, deren Störung sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte
* Dienste, deren Störung zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte
* Einrichtungen, welche aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist
* Bestimmte Einrichtungen der öffentlichen Verwaltung
Gemäß Art 2 Abs 3 und 4 NIS2-RL

* Einrichtungen, welche nach der [[Critical Entities‘ Resilience Directive (CER)|Richtlinie für Resilienz kritischer Einrichtungen (CER-RL)]] als kritisch eingestuft wurden
* Domänennamenregistrierungsdienste

====== Wesentliche und Wichtige Einrichtungen ======
Im Anwendungsbereich der Richtlinie stehende Einrichtungen werden durch Art 3 NIS2-RL in wesentliche und wichtige Einrichtungen eingeteilt.

'''Wesentliche''' '''Einrichtungen''' unterstehen einer proaktiven und reaktiven Aufsicht (<abbr>Art</abbr> 32 NIS2-RL).

'''Wichtige Einrichtungen''' unterliegen nur einer reaktiven Aufsicht (<abbr>Art</abbr> 33 NIS2-RL).<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref>

Daneben gelten verschiedene Sanktionsregime.

==== Territorialer Anwendungsbereich ====
Einrichtungen, die in der EU ansässig sind oder ihre Dienste in der EU erbringen (Art 2 NIS2-RL).

=== Nationaler Umsetzungsentwurf (NISG) ===
[[Datei:Nis ii wichtige einrichtungen ri.png|mini|Wichtige Einrichtungen - CC BY 4.0]]
==== Persönlicher/Sachlicher Anwendungsbereich ====
Regelungsgegenstand des NISG sind gemäß § 2 NISG wesentliche und wichtige Einrichtungen in den definierten Sektoren. Die Sektoren entsprechen denen der NIS2-RL und werden durch die Definition von '''Teilsektoren''' in den Anlagen 1<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_1 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621120.pdf</ref> und 2<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</ref> zum NISG ergänzt.

Eine "'''Einrichtung'''" iSd NISG ist gemäß § 3 Abs 10 NISG "eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person oder eingetragene Personengesellschaft, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann".

Anstelle eines zweistufigen Vorgehens, wie es in Art 2 und 3 der NIS-2-Richtlinie vorgesehen ist, ist für die Einstufung als wesentliche oder wichtige Einrichtung nach diesem Bundesgesetz '''ausschließlich''' § 24 NISG maßgeblich. Auch hier wird unterschieden zwischen Anlagen, die erst ab einer bestimmten Größe in den Anwendungsbereich fallen, und solchen, bei denen dies nicht der Fall ist.

====== Größenabhängiger Anwendungsbereich ======
[[Datei:Nis ii wesentliche einrichtungen ri.png|mini|Wesentliche Einrichtungen - CC BY 4.0]][[Großes oder mittleres Unternehmen iSd NISG|Große oder mittlere Unternehmen]], die in den in den Anlagen 1 und 2 NISG genannten Sektoren tätig sind, gelten jedenfalls als wichtige Einrichtungen im Sinne des § 42 Abs 2 NISG.

Eine '''Teilmenge''' dieser Einrichtungen wird in § 24 Abs 1 NISG als wesentliche Einrichtung qualifiziert.

Von der Möglichkeit, bei der Umsetzung der NIS2-RL die bisherigen „Betreiber wesentlicher Dienste“ pauschal als wesentliche Einrichtungen einzustufen, oder Gemeinden und Bildungseinrichtungen in den Anwendungsbereich aufzunehmen, wurde abgesehen.<ref>ErlRV 326/ME XXVII. GP https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621119.pdf</ref>

====== Größenunabhängiger Anwendungsbereich ======
Unabhängig von der Größe der Einrichtung gelten gemäß § 24 Abs 1 Z 1 NISG qualifizierte Vertrauensdiensteanbieter, Namenregister der Domäne oberster Stufe (TLD Namenregister), Domänennamensystem-Diensteanbieter, Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene, Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§ 26 Abs 1) sowie Einrichtungen, die als kritische Einrichtungen iSd Richtlinie (EU) 2022/2557 ([[Critical Entities‘ Resilience Directive (CER)|CER-RL]]) ermittelt wurden gelten als wesentliche Einrichtungen.

Darüber hinaus fallen öffentliche Stellen unter die in § 25 Abs 3 NISG genannten Kriterien. Vereinfacht ausgedrückt sind dies Bundes- und Landeseinrichtungen ohne gewerblichen Auftrag, deren Entscheidungen individuelle Rechte im grenzüberschreitenden Verkehr berühren.

====== Ausnahmen ======
Einrichtungen welche aufgrund sektorspezifischer unionsrechtlicher Rechtsakte verpflichtet sind, entweder eigene Risikomanagementmaßnahmen zu ergreifen oder erhebliche Cybersicherheitsvorfälle zu melden, hiernach zumindest ein gleichwertiges Cybersicherheitsniveau gewährleisten müssen, und die Gleichwertigkeit per Verordnung festgestellt wurde (§ 27 NISG). Das könnte etwa auf Einrichtungen zutreffen welche der [[Digital Operational Resilienec Act (DORA)|DORA]] unterworfen sind.

Einrichtungen im Sektor der öffentlichen Verwaltung, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, militärische Landesverteidigung oder Strafverfolgung ausgeübt werden sowie Einrichtungen des Universitäts-, Hochschul- und Schulwesens, Einrichtungen der Gerichtsbarkeit, Einrichtungen der Gesetzgebung, einschließlich der Parlamentsdirektion sowie der Österreichische Nationalbank gelten nicht als wesentliche oder wichtige Einrichtungen (§ 24 Abs 6 NISG).

====== Abgrenzungen ======
Einrichtungen, welche nicht unmittelbar in den Anwendungsbereich fallen, können im Rahmen vertraglicher Konstruktionen mit erfassten Einrichtungen zur Einhaltung der NIS2-RL verpflichtet werden. In diesen Fall sollte geprüft werden für welche Teile die Bestimmungen der so verpflichteten Einrichtung gelten sollten.

==== Territorialer Anwendungsbereich ====
Wesentliche und wichtige Einrichtungen sowie Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, unterliegen den Bestimmungen dieses Hauptstücks nur hinsichtlich jener Niederlassungen, die sich in Österreich befinden (§ 28 NISG).

Abweichende Regelungen gelten für Anbieter öffentlicher Kommunikationsnetze, Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, DNS-Diensteanbieter, TLD-Namenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke.

Siehe im Detail § 28 NISG.

====== Zeitlicher Anwendungsbereich ======
Die NIS2-RL ist zum aktuellen Bearbeitungszeitpunkt noch nicht in nationales österreichisches Recht umgesetzt worden.

== Zentrale Inhalte ==

=== Risikomanagementmaßnahmen ===

==== NIS2 Richtlinie ====
Bei der Regulierung von Risikomanagement-Maßnahmen wird ein risikobasierter Ansatz verfolgt, der die Verhältnismäßigkeit berücksichtigt.<ref>https://www.handelsverband.at/fileadmin/content/Presse_Publikationen/Presseaussendungen/2024/03_Mar/2024-03_HV_NIS2-Leitfaden_extra.pdf</ref> Das bedeutet, dass Unternehmen bei der Implementierung von Sicherheitsmaßnahmen folgende Faktoren beachten müssen:

* Den aktuellen Stand der Technik
* Die Kosten für die Einrichtung der Maßnahmen
* Die Größe der Einrichtung
* Die Wahrscheinlichkeit von Sicherheitsrisiken
* Weitere individuelle Faktoren

Die NIS2-RL definiert in Art 21 Absatz 2 zehn konkrete '''Maßnahmen und Mindeststandards''', deren Implementierung nationale Gesetzgeber fordern müssen.

Diese umfassen:

* Richtlinien zur Risikoanalyse und Informationssystemsicherheit
* Vorfallbehandlung
* Geschäftskontinuität
* Lieferkettenmanagement
* Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
* Verwendung von Kryptografie und Verschlüsselung
* Personalsicherheit
* Zugriffskontrollen und Vermögensverwaltung
* Schulungen zur Cybersicherheit
* Sicherheit bei der Anschaffung
* Entwicklung und Wartung von Netzwerk- und Informationssystemen
* Gesicherte Authentifizierung und Kommunikation

==== Nationaler Umsetzungsentwurf (NISG) ====
Mit § 32 NISG wird Art 21 NIS2-RL umgesetzt.

§ 32 Abs 1 NISG verweist auf Anlage 3<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_3 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621122.pdf</ref> zum Gesetz, welches eine mit Blick auf Art 21 NIS2-RL verfeinerte Liste an umzusetzenden Maßnahmen enthält. Hierbei hat sicher der Gesetzgeber stark an Ausarbeitungen auf europäischer Ebene im Rahmen der [https://digital-strategy.ec.europa.eu/de/policies/nis-cooperation-group NIS-Kooperationsgruppe] angelehnt.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref> Gefordert werden organisatorische, technische und operative Maßnahmen.<ref>Als Beispiel für eine organisatorsiche Maßnahme nennen die Erwägungsgründe eine in Kraft gesetze Richtlinie. Unter einer technischen Maßnahme werden Firewalls verstanden, das Vorsehen einer fachkundigen Betriebsmannschaft ist eine operative Maßnahme.

326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref>

§ 32 Abs 2 NISG legt den betroffenen Einrichtungen auf, ein dem bestehenden Risiko angemessenes Sicherheitsniveau der Netz- und Informationssysteme zu gewährleisten, was den risikobasierten Ansatz bei der Umsetzung von Risikomanagementmaßnahmen unterstreicht.

Bei der Umsetzung von Risikomanagementmaßnahmen sind zu berücksichtigen:

* Der Stand der Technik (§ 32 Abs 2 Z 1 lit a NISG)
* Einschlägige nationale, europäische und internationale Normen (zB VO (EU) 1025/2012)
* Best-Practices (bewährte Verfahren und Methoden)

Die Kosten für die Umsetzung der Maßnahmen sollen in einem angemessenen Verhältnis zu den Risiken stehen, denen das betreffende Netz- und Informationssystem ausgesetzt ist (§ 32 Abs 2 Z 1 lit b NISG).<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34</ref> Es sollen keine unverhältnismäßigen finanziellen und administrativen Belastungen entstehen.

Die Maßnahmen sollen auf einem gefahrenübergreifenden Ansatz beruhen und sowohl die '''Cybersicherheit''' als auch die '''physische Sicherheit''' berücksichtigen (§ 32 Abs 2 Z 2 NISG).

Dies umfasst:

* Schutz vor Systemfehlern, menschlichen Fehlern, böswilligen Handlungen und natürlichen Phänomenen
* Sicherheit des Personals
* Angemessene Zugangskontrollkonzepte

Besonderer Fokus liegt auf dem Risikomanagement in der Lieferkette (§ 32 Abs 2 Z 3 NISG):

* Bewertung von Schwachstellen bei Lieferanten und Anbietern
* Berücksichtigung der Gesamtqualität und Widerstandsfähigkeit von Produkten und Diensten
* Überprüfung der Cybersicherheitsverfahren und Entwicklungsprozesse von Lieferanten

Einrichtungen müssen Risiken und Abhängigkeiten in Beziehungen zu Dienstleistern identifizieren, bewerten und behandeln.

Prüfgegenstand sind Produkte und Dienste unmittelbarer Lieferanten und Anbieter. Soweit ein Produkt oder Dienst stark auf Subdienstleistern aufbaut, müssen diese notwendigerweise auch in den Prüfumfang fallen. Die Regelungen sind sowohl bei der Auswahl neuer Lieferanten oder Dienstleister als auch bei bestehenden vertraglichen Vereinbarungen zu beachten.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34</ref>

Einrichtungen können verpflichtet werden, der Cybersicherheitsbehörde eine Liste der implementierten Risikomanagementmaßnahmen zu übermitteln. Einrichtungen können verpflichtet werden, eine Prüfung durch eine unabhängige Stelle nachzuweisen, deren Prüfbericht durch ein Leitungsorgan zu zeichnen ist. Für wichtige Einrichtungengilt dies nur unter bestimmten Voraussetzungen (§ 33 NISG).

=== Governance-Verpflichtung und Haftung der Leitungsorgane ===

==== NIS2-Richtlinie ====
Die NIS2-RL führt spezifische Governance-Verpflichtungen ein, die sich auf die Leitungs- und Führungsebene beziehen und deren aktive Rolle unterstreicht.

Zu den Hauptaspekten gehören:

* Verantwortlichkeit: Die Unternehmensleitung (zB Vorstand, Geschäftsführung) ist für die Billigung und Überwachung der Umsetzung von Risikomanagement-Verpflichtungen verantwortlich.
* Persönliche Haftung: Bei Verstößen gegen diese Verpflichtungen können Leitungsorgane persönlich zur Verantwortung gezogen werden.
* Schulungspflicht: Leitungsorgane sind verpflichtet, an Cybersicherheitsschulungen teilzunehmen und diese auch ihren Mitarbeitenden anzubieten.
* Kompetenzerweiterung: Ziel der Schulungen ist es, ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Cybersicherheitsrisiken sowie entsprechende Managementpraktiken zu vermitteln.
* Präventiver Ansatz: Durch die Stärkung der Kompetenzen auf Leitungsebene soll Gefahren im Bereich der Cybersicherheit vorgebeugt werden.

==== Nationaler Umsetzungsentwurf (NISG) ====

===== Begriff Leitungsorgan =====
Der Begriff "Leitungsorgans" beschreibe eine oder mehrere natürliche Personen welche nach Gesetz, Satzung oder Vertrag zur Führung der Geschäfte einer Einrichtung oder innerhalb der Einrichtung zur Überwachung der Geschäftsführung berufen sind (§ 3 Abs 1 Z 11 NISG). Einrichtung und Leitungsorgan können eine Personeneinheit bilden, so etwa ein*e Bundesminister*in.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 6</ref> Die Definition zielt darauf ab, die tatsächliche Leitungs- und Geschäftsführungsebene zu erfassen (grundsätzlich Vorstand, Geschäftsführer*in oder Aufsichtsrat). Vertretungsbefugnis etabliert sohin kein Leitungsorgan.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 7</ref>

===== Pflichten des Leitungsorgans =====
Das NISG legt den Leitungsorganen von wesentlichen und wichtigen Einrichtungen mehrere Pflichten auf:

* '''Implementierung von Maßnahmen''': Leitungsorgane müssen die Cybersicherheitsmaßnahmen ihrer Einrichtung genehmigen.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref>

* '''Aufsicht über die Umsetzung''': Leitungsorgane sind verpflichtet, die Umsetzung der Cybersicherheitsmaßnahmen zu beaufsichtigen. Sie müssen sicherstellen, dass die beschlossenen Maßnahmen effektiv implementiert und eingehalten werden.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref> Die Leitungsorgane müssen dafür Sorge tragen, dass Cybersicherheitsmaßnahmen ihrer Einrichtung sohin regelmäßig geprüft und aktuell gehalten werden. Es liegt in der Verantwortung der Leitungsorgane, ausreichende Ressourcen für die Umsetzung der erforderlichen Cybersicherheitsmaßnahmen bereitzustellen. Dies umfasst sowohl finanzielle als auch personelle Ressourcen. Die Verantwortung für die Ressourcenbereitstellung wird dahingehend konkretisiert, dass Leitungsorgane einen detaillierten Plan für die Zuweisung von finanziellen und personellen Ressourcen zur Cybersicherheit erstellen und regelmäßig aktualisieren müssen. Die Leitungsorgane sind für die Überwachung und Steuerung der Cybersicherheitsrisiken ihrer Einrichtung verantwortlich. Sie müssen sicherstellen, dass angemessene Risikobeurteilungen durchgeführt und entsprechende Maßnahmen ergriffen werden. Die Risikomanagementpflicht wird dahingehend konkretisiert, dass Leitungsorgane eine umfassende und detaillierte Bewertung der Cybersicherheitsrisiken ihrer Einrichtung durchführen müssen. Dies beinhaltet die Identifizierung kritischer Systeme und Prozesse sowie die Einschätzung potenzieller Auswirkungen von Cybervorfällen. Die Leitungsorgane müssen aktiv in die Entwicklung und regelmäßige Überprüfung von Notfallplänen für Cybervorfälle eingebunden sein. Sie tragen die Verantwortung für die Genehmigung dieser Pläne und müssen sicherstellen, dass diese regelmäßig getestet werden.
* '''Schulungen''': Leitungsorgane müssen an Schulungen zur Cybersicherheit teilnehmen, um sich Wissen und Fähigkeiten Bereich der Cybersicherheit anzueignen. Die Einrichtung hat dafür Sorge zu tragen, dass Mitarbeitende ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie gegebenenfalls Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste erwerben.
* '''Rechenschaftspflicht''': Die Leitungsorgane tragen die Verantwortung für die Einhaltung der Cybersicherheitsverpflichtungen ihrer Einrichtung. Eine Verletzung dieser Pflichten hat die schadenersatzrechtliche Haftung für schuldhaft verursachten Schaden, der der Einrichtung dadurch entstanden ist, zur Folge,<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 33</ref> sofern nicht ohnehin eine Haftung nach dem Organhaftpflichtgesetz (OrgHG), BGBl 181/1967 besteht.
* '''Ressourcenbereitstellung''': Durch diese Pflichten und Verantwortlichkeiten soll sichergestellt werden, dass Cybersicherheit als strategische Priorität auf höchster Managementebene verankert wird und die notwendige Aufmerksamkeit und Unterstützung erhält.

=== Meldeverpflichtungen ===

==== NIS2-Richtlinie ====
Die NIS2-RL sieht verschiedene Meldepflichten für Sicherheitsvorfälle vor, die entweder 24 Stunden, 72 Stunden oder einen Monat betragen. Die Fristen sind grundsätzlich als Höchstfristen angelegt, in den meisten Fällen wird eine unverzügliche Meldung gefordert.

* Innerhalb von '''24 Stunden''' nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine Frühwarnung an die zuständige nationale Behörde erfolgen. Diese soll Informationen darüber enthalten, ob kriminelle Hintergründe vermutet werden oder grenzüberschreitende Auswirkungen zu befürchten sind.
* Nach '''72 Stunden''' ist ein ausführlicherer Bericht fällig, der aktuelle Informationen, eine erste Bewertung, die Auswirkungen und gegebenenfalls Kompromittierungsindikatoren enthält.
* Innerhalb eines '''Monats''' nach der ersten Meldung muss ein Abschlussbericht übermittelt werden. Dieser soll eine detaillierte Beschreibung des Vorfalls, seine Klassifizierung, Schweregrad und Auswirkungen, sowie die getroffenen Abhilfemaßnahmen und mögliche grenzüberschreitende Auswirkungen umfassen.
Neben diesen Verpflichtungen zur Meldung besteht auch die Möglichkeit, in Bezug auf Sicherheitsvorfälle, Cyberbedrohungen und Beinahe-Vorfälle '''freiwillig Meldung''' an das CSIRT zu erstatten. Diese Option steht auch nicht wichtigen und nicht wesentlichen Einrichtungen zur Verfügung. Solche freiwilligen Meldungen können auch anonym erfolgen.

==== Nationaler Umsetzungsentwurf (NISG) ====

===== Meldung von Vorfällen an CSIRT =====
Meldepflichten werden durch §§ 34, 35, 37 NISG umgesetzt.

§ 34 Abs 1 NISG regelt die grundsätzliche Pflicht wesentlicher und wichtiger Einrichtungen dem für sie zuständigen sektorenspezifischen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall (§ 35) zu melden. Eine [https://www.nis.gv.at/fragen-und-antworten/computer-notfallteams.html Liste der CSIRTS iSd NISG] unterhält aktuell das Bundeskanzleramt.

Die Meldung unverzüglich, spätestens jedoch '''binnen 24 Stunden''' als Frühwarnung erfolgen, gefolgt von einer detaillierteren Meldung '''innerhalb von 72 Stunden''' und einem Abschlussbericht innerhalb '''eines Monats''' nach der Meldung. Sofern einen Monats nach der Meldung der Cybersicherheitsvorfall noch andauert, ist der Abschlussbericht als Fortschrittsbericht zu formulieren und der Abschlussbericht einen Monat nach Bewältigung des Cybersicherheitsvorfalls zu übermitteln.

====== Inhalte der Meldungen: ======

* '''Frühwarnung''': Angabe ob der Verdacht besteht, dass der erhebliche Cybersicherheitsvorfall auf rechtswidrige und schuldhafte Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte
* '''Meldung''': Aktualisierung der Frühwarnung und erste Bewertung des erheblichen Cybersicherheitsvorfalls (Schweregrads und seiner Auswirkungen, sowie gegebenenfalls der Kompromittierungsindikatoren)
* '''Abschlussbericht''': Ausführliche Beschreibung des Cybersicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, Angaben zur Art der Bedrohung und zugrundeliegender Ursachen, die wahrscheinlich den Cybersicherheitsvorfall ausgelöst hat; Angaben zu den getroffenen und laufenden Abhilfemaßnahmen; gegebenenfalls die grenzüberschreitenden Auswirkungen des Cybersicherheitsvorfalls.

Weiterleitungen einer Alarmierung an den Betreiber stellt keine Meldung (freiwillig oder verpflichtend) eines Cybersicherheitsvorfalls iSd § 34 NISG dar.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 21</ref>

===== Meldung von Vorfällen an Betroffene =====
Soweit ein erheblicher Cybersicherheitsvorfall die Erbringung des jeweiligen Dienstes der betroffenen Einrichtung beeinträchtigt, unterrichtet die Einrichtung die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Cybersicherheitsvorfall und teilt, soweit möglich, alle Maßnahmen oder Abhilfemaßnahmen mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können.

====== Erheblicher Cybersicherheitsvorfall ======
Ein Cybersicherheitsvorfall gilt nach § 35 NISG als erheblich, wenn der Sicherheitsvorfall:

* Schwerwiegende Betriebsstörungen der erbrachten Dienste oder schwerwiegende finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann

'''oder'''

* andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. Zudem sind die betroffenen Netz- und Informationssysteme und deren Bedeutung für die Erbringung der Dienste der jeweiligen Einrichtung, die Schwere und die technischen Merkmale der Cyberbedrohung und sämtliche zugrundeliegende Schwachstellen, die ausgenutzt werden, sowie die Erfahrungen der Einrichtung mit ähnlichen Vorfällen zu berücksichtigen.

Folgende weitere Kriterien sind in § 35 Abs 2 und 3 NISG beschrieben:

* Ausmaß der Abhängigkeit;
* die möglichen Auswirkungen von Cybersicherheitsvorfälle;
* Marktanteil der jeweiligen Einrichtung mit Bezug auf den betroffenen Dienst;
* das betroffene geografische Gebiet;
* unternehmens- und sektorspezifischen Faktoren.
* Soweit vorhanden: Verordnung der*des Bundesminister(s)*in für Inneres kann weitere Kriterien normieren.

Eine gewisse Auslegungshilfe bietet auch [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555 ErwGr 101 NIS2-RL].

Daneben definiert die [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690 Durchführungsverordnung (EU) 2024/2690] für bestimmte Einrichtungen was als erheblicher Sicherheitsvorfall zu qualifizieren ist.

== Fallbeispiel ==
Das Unternehmen NisExperts AG ist ein Anbieter von IT-Diensten mit Sitz in der Steiermark, beschäftigt 66 Mitarbeitende und erzielt eine Jahresbilanzsumme von neun Millionen Euro. NisExperts AG betreibt mehrere Rechenzentren, in welchen die IT-Infrastruktur für mehrere österreichische Krankenhäuser und das Netzleitsystem eines wichtigen steirischen Netzbetreibers untergebracht ist. Freitagnachmittag um 16:00 Uhr registriert das Security Operations Center (SOC) von NisExperts AG eine ungewöhnlich hohe Anzahl von Anfragen, die gegen die Firewalls eines Rechenzentrums gerichtet sind. Nach einer Analyse stellt sich heraus, dass es sich um eine DDoS-Attacke (Distributed Denial of Service) handelt, die eine zentrale Plattform des Unternehmens ins Visier nimmt.

Die Angreifer*innen setzen sogenannte Botnets ein, um die Ressourcen des Rechenzentrums zu überlasten. Trotz bestehender DDoS-Abwehrmaßnahmen gelingt es den Angreifer*innen, die Last zeitweise so hoch zu treiben, dass folgende Auswirkungen auftreten:

* Zwischen 17:00 Uhr und 20:00 Uhr kommt es zu wiederholten Ausfällen eines zentralen Zugriffsdienstes, der von Kunden genutzt wird, um Anwendungen in auszuführen.
* Kunden berichten von Verbindungsabbrüchen, langsamen Ladezeiten und der Unfähigkeit, kritische Daten zu verarbeiten und müssen Notfallpläne aktivieren.

'''Anwendungsbereich:'''

Gemäß § 24 Abs 2 NISG gelten Einrichtungen welche ein mittleres Unternehmen das in einem Sektor mit hoher Kritikalität gemäß den Anlagen 1 und 2 zum NISG tätig ist betriben als wichtige Einrichtungen. Eine Einrichtung gilt gemäß § 25 NISG unter anderem als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeitende beschäftigt. Die NisExperts AG beschäftigt mehr als 50 Mitarbeitende und ist in einem Sektor mit hoher Kritikalität (Digitale Infrastruktur - Rechenzentrumsdienste) gemäß Z 8 Anlage 1 NISG tätig. Ob der Kund*innenstruktur könnte sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung und die öffentliche Gesundheit auswirken, das bewirkt aber für sich keine Qualifizierung als "wesentliche Einrichtung". Die NisExperts AG ist sohin als wichtige Einrichtung iSd NISG zu qualifizieren.

'''Meldung:'''

Wichtige Einrichtungen haben gemäß § 34 NISG dem für sie zuständigen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall zu melden. Bei der Beurteilung, ob ein Cybersicherheitsvorfall als erheblich im Sinne des einzustufen ist, sind gemäß § 35 Abs 2 lit b NISG unter anderem die möglichen Auswirkungen auf die öffentliche Ordnung und Sicherheit und die öffentliche Gesundheit oder die Gesundheit der Bevölkerung oder eines großen Personenkreises zu berücksichtigen. Da die NisExperts AG ein kritischer Dienstleister für mehrere Krankenhäuser und der Ausfall die Aktivierung von Notfallplänen bedingt hat liegt wohl ein erheblicher Sicherheitsvorfall iSd § 35 NISG vor. Gemäß Art 8 [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690 Durchführungsverordnung (EU) 2024/2690] liegt ein erheblicher Sicherheitsvorfall dann vor, wenn Verfügbarkeit eines Rechenzentrumsdienstes eines vom Anbieter betriebenen Rechenzentrums ist für eine Dauer von mehr als einer Stunde eingeschränkt. Das liegt vor, weshalb jedenfalls ein erheblicher Sicherheitsvorfall vorliegt. In Ermangelung eines sektoralen CSIRT setzt NisExperts AG gemäß § 34 NISG folgende Meldungen an das nationale CSIRT (cert.at) ab.

'''Erstmeldung innerhalb von 24 Stunden:'''

* '''Inhalt:''' Beschreibung des Vorfalls, erste Bewertung der Auswirkungen auf Verfügbarkeit und Integrität, und die initial ergriffenen Maßnahmen.
* '''Technische Details:''' Einschätzung der Angriffsart (DDoS), betroffene Systeme und die mögliche Angriffsquelle.

'''Aktualisierung innerhalb von 72 Stunden:'''

* '''Vertiefte Analyse:''' Klärung der Ursachen, präzise Darstellung der Schäden und der geplanten weiteren Schritte zur Eindämmung und Wiederherstellung.
* '''Bewertung der Auswirkungen:''' Spezifikation der Kundengruppen und ihrer Ausfälle.

'''Abschlussbericht innerhalb eines Monats:'''

* '''Ergebnisse:''' Dokumentation des gesamten Incident-Management-Prozesses.
* '''Lessons Learned:''' Empfohlene Präventionsmaßnahmen und zukünftige Strategien.

== Synergien ==

=== Meldepflichten ===
Die Meldepflichten der Datenschutz-Grundverordnung (DSGVO) und der NIS2-RL überschneiden sich, da beide Regelwerke Anforderungen an die Meldung von Sicherheitsvorfällen oder Datenschutzverletzungen enthalten, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wesentlichen Punkte, in denen sich die Meldepflichten beider Regelwerke überschneiden und voneinander unterscheiden:

====== Art der betroffenen Daten ======

* DSGVO: Nur relevant, wenn personenbezogene Daten kompromittiert werden (zB unbefugter Zugriff, Verlust oder Diebstahl von Daten).
* NIS2: Relevanz auch für Vorfälle, die die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen betreffen, unabhängig davon, ob personenbezogene Daten betroffen sind. Es geht also um die Sicherstellung der allgemeinen IT-Sicherheit.

====== Bedingungen für die Meldung ======

* DSGVO: Eine Meldung ist erforderlich, wenn die Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
* NIS2-RL: Meldepflichten gelten bei signifikanten Vorfällen, die wesentliche Auswirkungen auf die Bereitstellung essenzieller Dienste haben könnten. Die Beurteilung eines Vorfalls als signifikant erfolgt auf Basis von Faktoren wie der Anzahl betroffener Nutzer*innen, der Dauer des Vorfalls und des verursachten wirtschaftlichen Schadens.

====== Überschneidungen ======

* Beide Regelwerke verlangen Meldungen bei Vorfällen, die die Vertraulichkeit, Integrität oder Verfügbarkeit betreffen.
* Bei Sicherheitsvorfällen, die sowohl IT-Systeme als auch personenbezogene Daten betreffen, kann eine doppelte Meldepflicht bestehen: einmal an die zuständige Datenschutzbehörde (DSGVO) und einmal an die Cybersicherheitsbehörde (NIS2).
* Bei Betreibern wesentlicher Dienste, die personenbezogene Daten verarbeiten, könnten somit Vorfälle unter beide Regelungen fallen, was bedeutet, dass sowohl die Datenschutzverletzung als auch der Sicherheitsvorfall gemeldet werden müssen.

Die Meldepflichten der DSGVO und der NIS2-RL überschneiden sich in Fällen, in denen personenbezogene Daten durch Sicherheitsvorfälle gefährdet sind.

=== Risikomanagement ===
Die Risikomanagementanforderungen der Datenschutz-Grundverordnung (DSGVO) und der NIS2-RL überschneiden sich in bestimmten Bereichen, insbesondere wenn es um den Schutz von Daten und IT-Systemen geht. Beide Regelwerke erfordern von Organisationen, dass sie Maßnahmen zum Schutz von Informationen und zur Risikominimierung implementieren, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wichtigsten Überschneidungen und Unterschiede der Risikomanagementanforderungen:

* DSGVO: Der Fokus liegt auf dem Schutz personenbezogener Daten und den Rechten natürlicher Personen. Risikomanagement unter der DSGVO zielt darauf ab, das Risiko für die Rechte und Freiheiten von Einzelpersonen, die durch die Verarbeitung ihrer personenbezogenen Daten betroffen sind, zu minimieren.
* NIS2-RL: Die NIS2-RL konzentriert sich auf die Cybersicherheit und den Schutz der Netz- und Informationssysteme in kritischen Sektoren (zB Energie, Gesundheit, Verkehr). Risikomanagement hier zielt darauf ab, die Resilienz von IT-Systemen und kritischen Infrastrukturen gegen Cyberbedrohungen zu stärken.

====== Risikobasierter Ansatz ======
Beide Regelwerke verlangen von den betroffenen Unternehmen, dass sie risikobasierte Ansätze verfolgen, um Sicherheitsmaßnahmen zu planen und umzusetzen.

* DSGVO: Die DSGVO verpflichtet Unternehmen dazu, angemessene technische und organisatorische Maßnahmen zu ergreifen, die dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen sind. Dies bedeutet, dass Unternehmen die potenziellen Risiken für personenbezogene Daten bewerten und basierend darauf Schutzmaßnahmen wie Verschlüsselung, Pseudonymisierung, Zugriffskontrollen und Datensicherungen implementieren. (Art 24, 32 DSGVO)
* NIS2-RL: NIS2-RL verlangt von Unternehmen, ein Risikomanagement für ihre Netz- und Informationssysteme zu betreiben, das sich an den potenziellen Cyberrisiken orientiert. Es geht um die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Systemen und Informationen. Organisationen müssen Maßnahmen wie Netzwerksicherheitskontrollen, Bedrohungserkennungssysteme und Notfallpläne implementieren. (Art 21 NIS2-RL)

====== Konkrete Sicherheitsmaßnahmen ======

* DSGVO: Die DSGVO fordert spezifische Sicherheitsmaßnahmen für den Schutz personenbezogener Daten, einschließlich der Pseudonymisierung und Verschlüsselung, und verlangt, dass Unternehmen Maßnahmen zur Wiederherstellung der Datenverfügbarkeit nach einem physischen oder technischen Vorfall haben (Art 32 DSGVO). Die Anforderungen zielen direkt auf den Schutz von personenbezogenen Daten ab.
* NIS2: Die NIS2-RL legt Wert auf Cybersicherheitsmaßnahmen und operative Resilienz. Hierzu gehören Maßnahmen zur Sicherung der Netzwerk- und Informationssysteme gegen Bedrohungen, die Implementierung von Überwachungssystemen zur Bedrohungserkennung und die Sicherstellung von Redundanzen und Kontinuität der Dienste. Diese Maßnahmen sind breiter gefasst und betreffen nicht nur personenbezogene Daten, sondern die gesamte IT-Infrastruktur eines Unternehmens.

====== Risikobewertung und Dokumentation ======

* DSGVO: Unternehmen sind verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Dies umfasst eine detaillierte Bewertung der Risiken und die Implementierung von Maßnahmen zur Risikominimierung. (Art 35 DSGVO)
* NIS2-RL: Organisationen müssen regelmäßig eine Risikobewertung ihrer Netz- und Informationssysteme durchführen, um potenzielle Cybersicherheitsrisiken zu identifizieren und entsprechend darauf zu reagieren. Diese Risikobewertungen müssen umfassender sein, da sie alle potenziellen Risiken für die kritischen IT-Infrastrukturen eines Unternehmens berücksichtigen.

====== Betroffene Unternehmen ======

* DSGVO: Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist verpflichtet, entsprechende Sicherheitsmaßnahmen und ein Risikomanagement zu implementieren. Hierbei handelt es sich um eine breite Anforderung, die nahezu alle Organisationen betrifft.
* NIS2-RL: Die NIS2-RL gilt nur für Betreiber wesentlicher und wichtiger Dienste in kritischen Sektoren, wie Energieversorgung, Verkehr, Banken und Gesundheitswesen. Das Risikomanagement richtet sich hier primär an Organisationen, die für die Sicherheit von Infrastrukturen von großer Bedeutung verantwortlich sind.

====== Technische und organisatorische Maßnahmen ======
Beide Regelwerke fordern angemessene technische und organisatorische Maßnahmen, um Risiken zu minimieren, jedoch mit unterschiedlichen Schwerpunkten:

* DSGVO: Der Fokus liegt auf dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten. Unternehmen müssen Maßnahmen ergreifen, um unbefugten Zugriff auf Daten zu verhindern, Datensicherheit sicherzustellen und Maßnahmen zur Datenwiederherstellung bei Zwischenfällen zu implementieren.
* NIS2-RL: Hier liegt der Fokus auf dem Schutz der IT-Systeme selbst, mit besonderem Augenmerk auf der Gewährleistung der Dienstverfügbarkeit und der Widerstandsfähigkeit gegen Cyberangriffe. Dies beinhaltet auch regelmäßige Sicherheitsüberprüfungen, Schwachstellenmanagement und Notfallmaßnahmen.

====== Überschneidungen ======

* Risikobewertung: Beide Regelungen verlangen eine risikobasierte Einschätzung und eine darauf basierende Umsetzung von Schutzmaßnahmen. Das Risikomanagement in beiden Fällen erfordert die Identifizierung potenzieller Bedrohungen und Schwachstellen sowie die Implementierung geeigneter Maßnahmen.
* Sicherheitsmaßnahmen: Technische und organisatorische Maßnahmen zur Minimierung von Risiken für IT-Systeme und Datenverarbeitung sind in beiden Regelwerken gefordert, insbesondere Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit.
* Dokumentationspflichten: Sowohl die DSGVO als auch die NIS2-RL fordern eine umfassende Dokumentation der Sicherheitsmaßnahmen und Risikobewertungen, um im Falle von Prüfungen oder Vorfällen nachweisen zu können, dass die Anforderungen erfüllt wurden.

Die Risikomanagementanforderungen der DSGVO und NIS2-RL überschneiden sich in Bezug auf die Notwendigkeit, Risiken zu bewerten und angemessene Schutzmaßnahmen zu implementieren, insbesondere wenn personenbezogene Daten durch Sicherheitsvorfälle oder Cyberangriffe bedroht sind. Unternehmen, die sowohl unter die DSGVO als auch unter NIS2 fallen, müssen ihre Risikomanagementstrategien so gestalten, dass sie beiden Regelwerken gerecht werden. Während die DSGVO den Schutz von personenbezogenen Daten betont, legt NIS2 den Fokus auf die Resilienz der IT-Systeme und die allgemeine Cybersicherheit. Dennoch ist eine Schnittmenge der Risiken in beiden Bereichen einschlägig. So ist es zu prüfen, ob in einem Bereich erhobene Risiken auch im anderen Bereich relevant sein können.

== Sanktionen ==

=== NIS2-Richtlinie ===
Die Höhe der Bußgelder unterscheidet sich je nach Einstufung des Unternehmens:

* Sanktionen für wesentliche Einrichtungen: Wesentliche Einrichtungen müssen bei Verstößen mit Bußgeldern von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist.
* Sanktionen für wichtige Einrichtungen: Für wichtige Einrichtungen beträgt das maximale Bußgeld bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes, wobei auch hier der höhere Betrag maßgeblich ist.
Neben den Geldstrafen kann die zuständige Behörde weitere Schritte einleiten:

* Erteilung verbindlicher Anweisungen zur Einhaltung der Richtlinie
* Vorübergehende Aussetzung der Geschäftstätigkeit bei Nichtbefolgung von Anweisungen
* Temporäres Tätigkeitsverbot für Personen in Leitungsfunktionen
* Leitungsorgane von Unternehmen, wie Vorstände oder Geschäftsführer*innen, können persönlich für die Einhaltung der Cybersicherheitsmaßnahmen haftbar gemacht werden.

=== Nationaler Umsetzungsentwurf (NISG) ===
Wird der Cybersicherheitsbehörde im Zuge ihrer Aufsicht erkennbar, dass eine wesentliche oder wichtige Einrichtung ihren Verpflichtungen nach diesem Bundesgesetz nicht nachkommt hat diese entsprechend § 39 Abs 1 bis 4 vorzugehen.

Die Einrichtung ist zunächst darauf hinzuweisen, bestimmte spezifische Umsetzungsmaßnahmen oder Adaptierungen im Bereich konkreter Risikomanagementmaßnahmen und bezüglich der Einhaltung von Berichtspflichten oder sonstigen Pflichten zu treffen.

Wird dem nicht nachgekommen, hat dies zur Folge, dass die angeordnete Maßnahme, wie etwa die (vollständige) Umsetzung jeweiliger Risikomanagementmaßnahmen durch die Cybersicherheitsbehörde mit Bescheid angeordnet werden.

Kommt eine wesentliche Einrichtung dem Bescheid nicht fristgerecht und nachweislich nach, ist die Cybersicherheitsbehörde befugt,

* zuständige Behörden zu ersuchen, die Zertifizierung oder Genehmigung für einen Teil oder alle von der Einrichtung erbrachten einschlägigen Dienste (einschließlich der Cybersicherheitszertifizierung gemäß Art 58 der Verordnung (EU) 2019/881) oder Tätigkeiten vorübergehend auszusetzen

oder

* einem Leitungsorgan der Einrichtung mit Bescheid untersagen, seine Leitungsaufgaben in dieser wesentlichen Einrichtung wahrzunehmen. Dieser Bescheid ist in einer allgemeinen Weise zu veröffentlichen, die geeignet erscheint, einen möglichst weiten Personenkreis zu erreichen.

==== Private Einrichtungen ====
§ 45 Abs 1 bis 3 NISG enthält einen Katalog an Verwaltungsübertretungen welche folgendermaßen zu sanktionieren sind:

* Verwaltungsübertretung wesentlicher Einrichtung: Geldstrafe in Höhe von bis zu 10 000 000 EUR oder bis zu 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, je nachdem, welcher Betrag höher ist.

* Verwaltungsübertretung wichtiger Einrichtung: Geldstrafe in Höhe von bis zu 7 000 000 EUR oder bis zu 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört, je nachdem, welcher Betrag höher ist.

§ 45 Abs 4 NISG enthält einen zusätzlichen Katalog an Verwaltungsübertretungen (insb. Missachtung von Duldungs und Dokumentationspflichten) welche folgendermaßen zu sanktionieren sind:

* Geldstrafe bis zu 50 000 EUR und im Wiederholungsfall bis zu 100 000 EUR .

==== Öffentliche Einrichtungen ====
§ 46 NISG sieht die Anzeige der Nichteinhaltung bei zuständiger Bezirksverwaltungsbehörde durch Bundesminister*in für Inneres und Feststellung der Rechtswidrigkeit durch Bezirksverwaltungsbehörde vor. Entsprechende Feststellungsbescheide sind zu veröffentlichen, als diese keine Gefahr für die öffentliche Ordnung oder Sicherheit darstellt. Der Sanktionscharakter dieser Bestimmung soll in dem durch die Veröffentlichung entstehenden öffentlichen und politischen Druck auf die jeweilige Behörde zum Ausdruck kommen.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 42</ref>

== Weiterführende Literatur ==

=== Überblicksartikel ===

* ''Burgstaller'', Aktuelle Ereignisse und Entwicklungen zum Informationsrecht, ZIIR 2023/140/2.
* ''Gutbrunner'', Pflichten aus der NIS-2-RL, LexisNexis, 05/2024.
* ''Hessel/Callewaert/Schneider'', Die NIS-2-Richtlinie aus Unternehmensperspektive, RDi 2024, 208.
* ''Löffler'', NIS-2. Ein Überblick, dako 2024, 76.
* ''Pollirer'', Checkliste NIS-2, dako 2024, 43.
* ''Schmidt'', Neue europäische Anforderungen im Cybersicherheitsrecht - die NIS2-Richtlinie im Überblick, KuR 2023, 705.
* ''Stadler/Drolz'', Cyberregeln treffen auch Lieferanten, Der Standard 2024/18/01.
* ''Staffler'', Morgendämmerung der EU-Cybersicherheit-Compliance, JSt 2023/328/4.
* ''Tretzmüller'', Die Umsetzung des NIS-Gesetzes, Report 2019, https://www.kt.at/wp-content/uploads/2019/09/31-Kommentar-Tretzm%C3%BCller_Energie-Report-Sept-2019.pdf.

=== Schwerpunktartikel ===
* ''Dittrich,'' IT-Sicherheit und Krisenresilienz bei Energieversorgern und Energieanlagen MMR 2022, 1039.
* ''Knyrim/Briegl'', NIS-2: die Anwendung im Konzern, Dako 2024/39.
* ''Neuwirth'', Vom "wesentlichen Dienst" zur "wesentlichen" beziehungsweise "wichtigen" Einrichtung - und weitere ausgewählte Aspekte zur NIS-2-Richtlinie, jusIT 2024/2/5.
* ''Reiter'', Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, Medien und Recht 2023/188/4.
* ''Reiter/Heidinger/Gstrein'', Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, MR 2023, 188.
* ''Schiefer/Wieser'', NIS-2-RL. Wer trägt die Verantwortung im Unternehmen? ecolex 2023/568.
* ''Wegmann'', Too much of a good thing? Erweiterung und Verschärfung von Cybersicherheitsplichten durch die NIS2-Richtlinie, BB 2023, 835.
* ''Werner'', Anwendbarkeit der NIS-2 im chemischen Sektor, DSB 2024, 175.

=== Einführungswerke ===

* ''Kipker'', Textsammlung Cybersecurity (2023).

=== Sammelwerke ===

* ''Anderl'' (Hrsg), #Cybercrime. Handbuch für die Praxis (2023)
* ''Ditttrich/Dochow/Ippach'' (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024).
* ''Hornung/Schallbruch'' (Hrsg), IT-Sicherheitsrecht. Praxishandbuch2 (2024, iE).
* ''Kipker'' (Hrsg), Cybersecurity. Rechtshandbuch2 (2023).

=== Kommentare ===

* ''Anderl/Heußler/Mayer/Müller'', Netz- und Informationssystemsicherheitsgesetz NISG (2019) [zum Stand der ersten NIS-RL]

== Einzelnachweise ==

Network and Information Security Directive (NIS2-RL)

2025-02-26T18:07:32Z

DavidMSchneeberger: /* Kurzübersicht */

{{Infobox Rechtsakt (EU)|Typ=Richtlinie|Jahr=2022|Nummer=2555|Vertrag=EU|EWR=ja|Titel=Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148|Kurztitel=NIS-2-Richtlinie|Bezeichnung=NIS2-RL|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/333, 80|Anzuwenden=17. Oktober 2024 (Umsetzung, Fristverletzung)|Gültig=umsetzung}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Anwendungsbereich
!Inhalt<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref>
!Synergie
!Konsequenzen
|-
|Aufbau von Cybersicherheitskapazitäten (ErwGr 1 NIS2-RL)
|Anhang I (Sektoren mit hoher Kritikalität)
|Pflicht für alle MS, nationale Cybersicherheitsstrategien zu verabschieden (<abbr>Art</abbr> 7 NIS2-RL)
|Datenschutzmanagementsystem
|Wesentliche Einrichtungen: Bußgelder mit Höchstbetrag von mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
|-
|Schaffung eines hohen gemeinsamen Cybersicherheitsniveaus
(Art 1 NIS2-RL)
|Anhang II (Sonstige kritische Sektoren) soweit sie Obergrenzen nach <abbr>Art</abbr> 2 <abbr>Abs</abbr> 1 des Anhangs der Empfehlung 2003/361/EG überschreiten
|Pflicht für alle MS, diverse Zuständigkeiten zu regeln
Aufsichts- und Durchsetzungspflichten für die MS (<abbr>Art</abbr> 31 ff NIS2-RL)
|Sicherheit der Verarbeitung (Art 32 DSGVO)
|Für wichtige Einrichtungen (also alle anderen Einrichtungen die in den Anwendungsbereich der
NIS2-RL fallen) beträgt das höchstmögliche Bußgeld mindestens 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.

Für beide gilt der jeweils höhere Betrag.
|-
|Eindämmung von Bedrohungen in Schlüsselsektoren (ErwGr 1 NIS2-RL)
|Ist von den MS bis zum 17. Oktober 2024 umzusetzen (nicht erfolgt)
|Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (<abbr>Art</abbr> 20 ff NIS2-RL) sowie Berichtspflichten (<abbr>Art</abbr> 23 NIS2-RL) für betroffene Einrichtungen
|Verschwiegenheitsklauseln
|Behördliche Anweisungen und Anordnungen. Auch Anordnung der Aussetzung der Tätigkeit ist möglich. (Art 32 NIS2-RL)
|-
|
|
|Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (<abbr>Art</abbr> 29 ff NIS2-RL)
|
|Leitungsorgane können persönlich haften (Art 20 NIS2-RL)
|}

== Einführung ==
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union<ref>Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022</ref> (kurz: „NIS2-RL“) ist die Nachfolgeregelung der ersten Cybersicherheitsrichtlinie der Europäischen Union<ref>''Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union,'' ABl. L 194/1 vom 19. Juli 2016</ref> („NIS-RL“).

Bereits durch die erste NIS-RL und deren nationale Umsetzung im NISG wurden bestimmte Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet. Mit der Nachfolgeregelung, der NIS2-RL, wird der '''Anwendungsbereich''' deutlich erweitert, um auch große Teile der bisher nicht erfassten Unternehmen zu bedarfsgerechten Sicherheitsmaßnahmen zu verpflichten. Darüber hinaus werden insbesondere konkrete Vorgaben für ein '''Meldesystem''' bei Sicherheitsvorfällen gemacht und neue '''Haftungstatbestände''' geschaffen. Die NIS-RL wurde in Österreich im Netz- und Informationssystemsicherheitsgesetz (kurz: „NISG“) umgesetzt, das derzeit (Stand: Oktober 2024) zur Umsetzung der NIS2<ref>Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME)

https://www.parlament.gv.at/gegenstand/XXVII/ME/326</ref> novelliert wird. Daneben ist die Durchführungsverordnung (EU) 2024/2690<ref>Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 mit Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555 im Hinblick auf die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Präzisierung der Fälle, in denen ein Sicherheitsvorfall in Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter als erheblich gilt.

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690</ref> beachtlich.

Die NIS2-RL zielt darauf ab, eine robuste, dem risikobasierten Ansatz folgende '''Sicherheitsinfrastruktur''' für die EU zu schaffen. Der Fokus liegt nicht darauf, jedes Einzelgerät abzusichern, sondern die Resilienz wesentlicher und wichtiger Einrichtungen zu gewährleisten.

Der Nationalrat konnte in einer im Juli 2024 abgehaltenen Sitzung zwar eine einfache Mehrheit für das Umsetzungsgesetz (NISG-E) erreichen, da das Gesetz jedoch Verfassungsbestimmungen enthält, bedarf es einer breiteren Zweidrittelmehrheit welche nicht erreicht werden konnte. Hauptgrund für die Absage der Opposition war die Ansiedelung der nationalen Cybersicherheitsbehörde beim Innenministerium.<ref>https://www.parlament.gv.at/aktuelles/pk/jahr_2024/pk0785</ref> Die Autoren erwarten keine wesentlichen Änderungen der unstrittigen Regelungspunkte in allfälligen Folgeentwürfen weshalb im Folgenden auf den Regelungsinhalten des vorliegenden Entwurfs (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME)<ref>Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden.https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621118.pdf</ref> - im Folgenden '''NISG''') aufgebaut wird.

== Anwendungsbereich ==
=== NIS2 Richtlinie ===

==== Persönlicher / Sachlicher Anwendungsbereich ====
In den Anwendungsbereich können öffentliche oder private Einrichtungen fallen. Die NIS2-RL unterscheidet grundsätzlich zwischen dem '''größenabhängigen''' (Art 2 Abs 1 NIS2-RL) und dem '''größenunabhängigen''' (Art 2 Abs 3 NIS2-RL) Anwendungsbereich.

====== Größenabhängiger Anwendungsbereich ======
Um den größenabhängigen Geltungsbereich zu definieren, setzt die NIS2-RL zunächst an der [[Size-Cap-Rule]] an.

Hiernach gilt die NIS2-RL für Einrichtungen

* welche mehr als 50 Mitarbeitende beschäftigen
* oder mehr als 10 Mio. Euro Jahresumsatz<ref>Die Berechnung der Größenschwellen für Unternehmen nach der EU-Empfehlung 2003/361/EG ist nicht einfach. Sie berücksichtigt auch indirekte Verbindungen und Vertragsbeziehungen, wie bei verbundenen Unternehmen oder Tochtergesellschaften. Besonders bei großen Konzernen ist es ratsam, jeden Fall einzeln zu prüfen. Die Europäische Kommission hat zwar eine ausführliche Anleitung zur Berechnung veröffentlicht, aber es ist trotzdem empfehlenswert, professionelle rechtliche Beratung einzuholen. Dies gilt besonders für Unternehmen mit komplexen Strukturen, um zu klären, ob die NIS2-Richtlinie für sie gilt: https://op.europa.eu/de/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1</ref> erzielen.

Kumulativ muss die Tätigkeit der Einrichtung in den '''Anhang I''' oder '''II''' der NIS2-RL Fallen.

* ''Anhang I'' nennt etwa folgende Einrichtungen:

Energie | Verkehr | Bankwesen | Finanzmarktinfrastrukturen | Gesundheitswesen | Trinkwasser | Abwasser | Digitale Infrastruktur | Verwaltung von IKT-Diensten (Business-to-Business) | öffentliche Verwaltung | Weltraum

* ''Anhang II nennt etwa folgende Einrichtungen:''

Post- und Kurierdienste | Abfallbewirtschaftung | Produktion, Herstellung und Handel mit chemischen Stoffen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln | Verarbeitendes Gewerbe | Herstellung von Waren | Anbieter digitaler Dienste | Forschung

====== Größenunabhängiger Anwendungsbereich ======
Gemäß <abbr>Art</abbr> 2 und <abbr>Art</abbr> 3 der NIS2-RL können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS-2-RL fallen.

Folgende Tätigkeiten sind hiervon umfasst:

Gemäß Art 2 Abs 2 lit a NIS2-RL Dienste von;

* Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
* Vertrauensdiensteanbietern
* Namenregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern.

Gemäß Art 2 Abs 2 lit b bis f iVm Art 3 Abs 1 lit e NIS2-RL

* Dienste, welche die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich sind
* Dienste, deren Störung sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte
* Dienste, deren Störung zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte
* Einrichtungen, welche aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist
* Bestimmte Einrichtungen der öffentlichen Verwaltung
Gemäß Art 2 Abs 3 und 4 NIS2-RL

* Einrichtungen, welche nach der [[Critical Entities‘ Resilience Directive (CER)|Richtlinie für Resilienz kritischer Einrichtungen (CER-RL)]] als kritisch eingestuft wurden
* Domänennamenregistrierungsdienste

====== Wesentliche und Wichtige Einrichtungen ======
Im Anwendungsbereich der Richtlinie stehende Einrichtungen werden durch Art 3 NIS2-RL in wesentliche und wichtige Einrichtungen eingeteilt.

'''Wesentliche''' '''Einrichtungen''' unterstehen einer proaktiven und reaktiven Aufsicht (<abbr>Art</abbr> 32 NIS2-RL).

'''Wichtige Einrichtungen''' unterliegen nur einer reaktiven Aufsicht (<abbr>Art</abbr> 33 NIS2-RL).<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref>

Daneben gelten verschiedene Sanktionsregime.

==== Territorialer Anwendungsbereich ====
Einrichtungen, die in der EU ansässig sind oder ihre Dienste in der EU erbringen (Art 2 NIS2-RL).

=== Nationaler Umsetzungsentwurf (NISG) ===
[[Datei:Nis ii wichtige einrichtungen ri.png|mini|Wichtige Einrichtungen - CC BY 4.0]]
==== Persönlicher / Sachlicher Anwendungsbereich ====
Regelungsgegenstand des NISG sind gemäß § 2 NISG wesentliche und wichtige Einrichtungen in den definierten Sektoren. Die Sektoren entsprechen denen der NIS2-RL und werden durch die Definition von '''Teilsektoren''' in den Anlagen 1<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_1 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621120.pdf</ref> und 2<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</ref> zum NISG ergänzt.

Eine "'''Einrichtung'''" iSd NISG ist gemäß § 3 Abs 10 NISG "eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person oder eingetragene Personengesellschaft, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann".

Anstelle eines zweistufigen Vorgehens, wie es in Art 2 und 3 der NIS-2-Richtlinie vorgesehen ist, ist für die Einstufung als wesentliche oder wichtige Einrichtung nach diesem Bundesgesetz ausschließlich § 24 NISG maßgeblich. Auch hier wird unterschieden zwischen Anlagen, die erst ab einer bestimmten Größe in den Anwendungsbereich fallen, und solchen, bei denen dies nicht der Fall ist.

====== Größenabhängiger Anwendungsbereich ======
[[Datei:Nis ii wesentliche einrichtungen ri.png|mini|Wesentliche Einrichtungen - CC BY 4.0]][[Großes oder mittleres Unternehmen iSd NISG|Große oder mittlere Unternehmen]], die in den in den Anlagen 1 und 2 NISG genannten Sektoren tätig sind, gelten jedenfalls als wichtige Einrichtungen im Sinne des § 42 Abs. 2 NISG.

Eine '''Teilmenge''' dieser Einrichtungen wird in § 24 Abs 1 NISG als wesentliche Einrichtung qualifiziert.

Von der Möglichkeit, bei der Umsetzung der NIS-2-Richtlinie die bisherigen „Betreiber wesentlicher Dienste“ pauschal als wesentliche Einrichtungen einzustufen, oder Gemeinden und Bildungseinrichtungen un den Anwendungsbereich aufzunehmen, wurde abgesehen.<ref>ErlRV 326/ME XXVII. GP https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621119.pdf</ref>

====== Größenunabhängiger Anwendungsbereich ======
Unabhängig von der Größe der Einrichtung gelten gemäß § 24 Abs 1 Z 1 NISG qualifizierte Vertrauensdiensteanbieter, Namenregister der Domäne oberster Stufe (TLD Namenregister), Domänennamensystem-Diensteanbieter, Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene, Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§ 26 Abs 1) sowie Einrichtungen, die als kritische Einrichtungen iSd Richtlinie (EU) 2022/2557 ermittelt wurden gelten als wesentliche Einrichtungen.

Darüber hinaus fallen öffentliche Stellen unter die in § 25 Abs 3 NISG genannten Kriterien. Vereinfacht ausgedrückt sind dies Bundes- und Landeseinrichtungen ohne gewerblichen Auftrag, deren Entscheidungen individuelle Rechte im grenzüberschreitenden Verkehr berühren.

====== Ausnahmen ======
Einrichtungen welche aufgrund sektorspezifischer unionsrechtlicher Rechtsakte verpflichtet sind, entweder eigene Risikomanagementmaßnahmen zu ergreifen oder erhebliche Cybersicherheitsvorfälle zu melden, hiernach zumindest ein gleichwertiges Cybersicherheitsniveau gewährleisten müssen, und die Gleichwertigkeit per Verordnung festgestellt wurde (§ 27 NISG). Das könnte etwa auf Einrichtungen zutreffen welche der [[Digital Operational Resilienec Act (DORA)|DORA]] unterworfen sind.

Einrichtungen im Sektor der öffentlichen Verwaltung, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, militärische Landesverteidigung oder Strafverfolgung ausgeübt werden sowie Einrichtungen des Universitäts-, Hochschul- und Schulwesens, Einrichtungen der Gerichtsbarkeit, Einrichtungen der Gesetzgebung, einschließlich der Parlamentsdirektion sowie der Österreichische Nationalbank gelten nicht als wesentliche oder wichtige Einrichtungen (§ 24 Abs 6 NISG).

====== Abgrenzungen ======
Einrichtungen, welche nicht unmittelbar in den Anwendungsbereich fallen, können im Rahmen vertraglicher Konstruktionen mit erfassten Einrichtungen zur Einhaltung der NIS2-RL verpflichtet werden. In diesen Fall sollte geprüft werden für welche Teile die Bestimmungen der so verpflichteten Einrichtung gelten sollten.

==== Territorialer Anwendungsbereich ====
Wesentliche und wichtige Einrichtungen sowie Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, unterliegen den Bestimmungen dieses Hauptstücks nur hinsichtlich jener Niederlassungen, die sich in Österreich befinden (§ 28 NISG).

Abweichende Regelungen gelten für Anbieter öffentlicher Kommunikationsnetze, Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, DNS-Diensteanbieter, TLD-Namenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke.

Siehe im Detail § 28 NISG.

====== Zeitlicher Anwendungsbereich ======
Die NIS2-RL ist zum aktuellen Bearbeitungszeitpunkt noch nicht in nationales österreichisches Recht umgesetzt worden.

== Zentrale Inhalte ==

=== Risikomanagementmaßnahmen ===

==== NIS2 Richtlinie ====
Bei der Regulierung von Risikomanagement-Maßnahmen wird ein risikobasierter Ansatz verfolgt, der die Verhältnismäßigkeit berücksichtigt.<ref>https://www.handelsverband.at/fileadmin/content/Presse_Publikationen/Presseaussendungen/2024/03_Mar/2024-03_HV_NIS2-Leitfaden_extra.pdf</ref> Das bedeutet, dass Unternehmen bei der Implementierung von Sicherheitsmaßnahmen folgende Faktoren beachten müssen:

* Den aktuellen Stand der Technik
* Die Kosten für die Einrichtung der Maßnahmen
* Die Größe der Einrichtung
* Die Wahrscheinlichkeit von Sicherheitsrisiken
* Weitere individuelle Faktoren

Die NIS2-Richtlinie definiert in Art 21 Absatz 2 zehn konkrete Maßnahmen und Mindeststandards, deren Implementierung nationale Gesetzgeber fordern müssen.

Diese umfassen:

* Richtlinien zur Risikoanalyse und Informationssystemsicherheit
* Vorfallbehandlung
* Geschäftskontinuität
* Lieferkettenmanagement
* Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
* Verwendung von Kryptografie und Verschlüsselung
* Personalsicherheit
* Zugriffskontrollen und Vermögensverwaltung
* Schulungen zur Cybersicherheit
* Sicherheit bei der Anschaffung
* Entwicklung und Wartung von Netzwerk- und Informationssystemen
* Gesicherte Authentifizierung und Kommunikation

==== Nationaler Umsetzungsentwurf (NISG) ====
Mit § 32 NISG wird Art 21 NIS2-RL umgesetzt.

§ 32 Abs 1 NISG verweist auf Anlage 3<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_3 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621122.pdf</ref> zum Gesetz, welches eine mit Blick auf Art 21 NIS2-RL verfeinerte Liste an umzusetzenden Maßnahmen enthält. Hierbei hat sicher der Gesetzgeber stark an Ausarbeitungen auf europäischer Ebene im Rahmen der [https://digital-strategy.ec.europa.eu/de/policies/nis-cooperation-group NIS-Kooperationsgruppe] angelehnt.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref> Gefordert werden organisatorische, technische und operative Maßnahmen.<ref>Als Beispiel für eine organisatorsiche Maßnahme nennen die Erwägungsgründe eine in Kraft gesetze Richtlinie. Unter einer technischen Maßnahme werden Firewalls verstanden, das Vorsehen einer fachkundigen Betriebsmannschaft ist eine operative Maßnahme.

326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref>

§ 32 Abs 2 NISG legt den betroffenen Einrichtungen auf, ein dem bestehenden Risiko angemessenes Sicherheitsniveau der Netz- und Informationssysteme zu gewährleisten, was den risikobasierten Ansatz bei der Umsetzung von Risikomanagementmaßnahmen unterstreicht.

Bei der Umsetzung von Risikomanagementmaßnahmen sind zu berücksichtigen:

* Der Stand der Technik (§ 32 Abs 2 Z 1 lit a NISG)
* Einschlägige nationale, europäische und internationale Normen (zB VO (EU) 1025/2012)
* Best-Practices (bewährte Verfahren und Methoden)

Die Kosten für die Umsetzung der Maßnahmen sollen in einem angemessenen Verhältnis zu den Risiken stehen, denen das betreffende Netz- und Informationssystem ausgesetzt ist (§ 32 Abs 2 Z 1 lit b NISG).<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34</ref> Es sollen keine unverhältnismäßigen finanziellen und administrativen Belastungen entstehen.

Die Maßnahmen sollen auf einem gefahrenübergreifenden Ansatz beruhen und sowohl die '''Cybersicherheit''' als auch die '''physische Sicherheit''' berücksichtigen (§ 32 Abs 2 Z 2 NISG).

Dies umfasst:

* Schutz vor Systemfehlern, menschlichen Fehlern, böswilligen Handlungen und natürlichen Phänomenen
* Sicherheit des Personals
* Angemessene Zugangskontrollkonzepte

Besonderer Fokus liegt auf dem Risikomanagement in der Lieferkette (§ 32 Abs 2 Z 3 NISG):

* Bewertung von Schwachstellen bei Lieferanten und Anbietern
* Berücksichtigung der Gesamtqualität und Widerstandsfähigkeit von Produkten und Diensten
* Überprüfung der Cybersicherheitsverfahren und Entwicklungsprozesse von Lieferanten

Einrichtungen müssen Risiken und Abhängigkeiten in Beziehungen zu Dienstleistern identifizieren, bewerten und behandeln.

Prüfgegenstand sind Produkte und Dienste unmittelbarer Lieferanten und Anbieter. Soweit ein Produkt oder Dienst stark auf Subdienstleistern aufbaut, müssen diese notwendigerweise auch in den Prüfumfang fallen. Die Regelungen sind sowohl bei der Auswahl neuer Lieferanten oder Dienstleister als auch bei bestehenden vertraglichen Vereinbarungen zu beachten.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34</ref>

Einrichtungen können verpflichtet werden, der Cybersicherheitsbehörde eine Liste der implementierten Risikomanagementmaßnahmen zu übermitteln. Einrichtungen können verpflichtet werden, eine Prüfung durch eine unabhängige Stelle nachzuweisen, deren Prüfbericht durch ein Leitungsorgan zu zeichnen ist. Für wichtige Einrichtungengilt dies nur unter bestimmten Voraussetzungen (§ 33 NISG).

=== Governance-Verpflichtung und Haftung der Leitungsorgane ===

==== NIS2 Richtlinie ====
Die NIS2-Richtlinie führt spezifische Governance-Verpflichtungen ein, die sich auf die Leitungs- und Führungsebene beziehen und deren aktive Rolle unterstreicht.

Zu den Hauptaspekten gehören:

* Verantwortlichkeit: Die Unternehmensleitung (zB Vorstand, Geschäftsführung) ist für die Billigung und Überwachung der Umsetzung von Risikomanagement-Verpflichtungen verantwortlich.
* Persönliche Haftung: Bei Verstößen gegen diese Verpflichtungen können Leitungsorgane persönlich zur Verantwortung gezogen werden.
* Schulungspflicht: Leitungsorgane sind verpflichtet, an Cybersicherheitsschulungen teilzunehmen und diese auch ihren Mitarbeitenden anzubieten.
* Kompetenzerweiterung: Ziel der Schulungen ist es, ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Cybersicherheitsrisiken sowie entsprechende Managementpraktiken zu vermitteln.
* Präventiver Ansatz: Durch die Stärkung der Kompetenzen auf Leitungsebene soll Gefahren im Bereich der Cybersicherheit vorgebeugt werden.

==== Nationaler Umsetzungsentwurf (NISG) ====

===== Begriff Leitungsorgan =====
Der Begriff "Leitungsorgans" beschreibe eine oder mehrere natürliche Personen welche nach Gesetz, Satzung oder Vertrag zur Führung der Geschäfte einer Einrichtung oder innerhalb der Einrichtung zur Überwachung der Geschäftsführung berufen sind (§ 3 Abs 1 Z 11 NISG). Einrichtung und Leitungsorgan können eine Personeneinheit bilden, so etwa ein*e Bundesminister*in.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 6</ref> Die Definition zielt darauf ab, die tatsächliche Leitungs- und Geschäftsführungsebene zu erfassen (grundsätzlich Vorstand, Geschäftsführer*in oder Aufsichtsrat). Vertretungsbefugnis etabliert sohin kein Leitungsorgan.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 7</ref>

===== Pflichten des Leitungsorgans =====
Das NISG legt den Leitungsorganen von wesentlichen und wichtigen Einrichtungen mehrere Pflichten auf:

* '''Implementierung von Maßnahmen''': Leitungsorgane müssen die Cybersicherheitsmaßnahmen ihrer Einrichtung genehmigen.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref>

* '''Aufsicht über die Umsetzung''': Leitungsorgane sind verpflichtet, die Umsetzung der Cybersicherheitsmaßnahmen zu beaufsichtigen. Sie müssen sicherstellen, dass die beschlossenen Maßnahmen effektiv implementiert und eingehalten werden.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref> Die Leitungsorgane müssen dafür Sorge tragen, dass Cybersicherheitsmaßnahmen ihrer Einrichtung sohin regelmäßig geprüft und aktuell gehalten werden. Es liegt in der Verantwortung der Leitungsorgane, ausreichende Ressourcen für die Umsetzung der erforderlichen Cybersicherheitsmaßnahmen bereitzustellen. Dies umfasst sowohl finanzielle als auch personelle Ressourcen. Die Verantwortung für die Ressourcenbereitstellung wird dahingehend konkretisiert, dass Leitungsorgane einen detaillierten Plan für die Zuweisung von finanziellen und personellen Ressourcen zur Cybersicherheit erstellen und regelmäßig aktualisieren müssen. Die Leitungsorgane sind für die Überwachung und Steuerung der Cybersicherheitsrisiken ihrer Einrichtung verantwortlich. Sie müssen sicherstellen, dass angemessene Risikobeurteilungen durchgeführt und entsprechende Maßnahmen ergriffen werden. Die Risikomanagementpflicht wird dahingehend konkretisiert, dass Leitungsorgane eine umfassende und detaillierte Bewertung der Cybersicherheitsrisiken ihrer Einrichtung durchführen müssen. Dies beinhaltet die Identifizierung kritischer Systeme und Prozesse sowie die Einschätzung potenzieller Auswirkungen von Cybervorfällen. Die Leitungsorgane müssen aktiv in die Entwicklung und regelmäßige Überprüfung von Notfallplänen für Cybervorfälle eingebunden sein. Sie tragen die Verantwortung für die Genehmigung dieser Pläne und müssen sicherstellen, dass diese regelmäßig getestet werden.
* '''Schulungen''': Leitungsorgane müssen an Schulungen zur Cybersicherheit teilnehmen, um sich Wissen und Fähigkeiten Bereich der Cybersicherheit anzueignen. Die Einrichtung hat dafür Sorge zu tragen, dass Mitarbeitende ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie gegebenenfalls Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste erwerben.
* '''Rechenschaftspflicht''': Die Leitungsorgane tragen die Verantwortung für die Einhaltung der Cybersicherheitsverpflichtungen ihrer Einrichtung. Eine Verletzung dieser Pflichten hat die schadenersatzrechtliche Haftung für schuldhaft verursachten Schaden, der der Einrichtung dadurch entstanden ist, zur Folge,<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 33</ref> sofern nicht ohnehin eine Haftung nach dem Organhaftpflichtgesetz (OrgHG), BGBl. Nr. 181/1967 besteht.
* '''Ressourcenbereitstellung''': Durch diese Pflichten und Verantwortlichkeiten soll sichergestellt werden, dass Cybersicherheit als strategische Priorität auf höchster Managementebene verankert wird und die notwendige Aufmerksamkeit und Unterstützung erhält.

=== Meldeverpflichtungen ===

==== NIS2 Richtlinie ====
Die NIS 2 Richtlinie sieht verschiedene Meldepflichten für Sicherheitsvorfälle vor, die entweder 24 Stunden, 72 Stunden oder einen Monat betragen. Die Fristen sind grundsätzlich als Höchstfristen angelegt, in den meisten Fällen wird eine unverzügliche Meldung gefordert.

* Innerhalb von '''24 Stunden''' nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine Frühwarnung an die zuständige nationale Behörde erfolgen. Diese soll Informationen darüber enthalten, ob kriminelle Hintergründe vermutet werden oder grenzüberschreitende Auswirkungen zu befürchten sind.
* Nach '''72 Stunden''' ist ein ausführlicherer Bericht fällig, der aktuelle Informationen, eine erste Bewertung, die Auswirkungen und gegebenenfalls Kompromittierungsindikatoren enthält.
* Innerhalb eines '''Monats''' nach der ersten Meldung muss ein Abschlussbericht übermittelt werden. Dieser soll eine detaillierte Beschreibung des Vorfalls, seine Klassifizierung, Schweregrad und Auswirkungen, sowie die getroffenen Abhilfemaßnahmen und mögliche grenzüberschreitende Auswirkungen umfassen.
Neben diesen Verpflichtungen zur Meldung besteht auch die Möglichkeit, in Bezug auf Sicherheitsvorfälle, Cyberbedrohungen und Beinahe-Vorfälle '''freiwillig Meldung''' an das CSIRT zu erstatten. Diese Option steht auch nicht wichtigen und nicht wesentlichen Einrichtungen zur Verfügung. Solche freiwilligen Meldungen können auch anonym erfolgen.

==== Nationaler Umsetzungsentwurf (NISG) ====

===== Meldung von Vorfällen an CSIRT =====
Meldepflichten werden durch §§ 34, 35, 37 NISG umgesetzt.

§ 34 Abs 1 NISG regelt die grundsätzliche Pflicht wesentlicher und wichtiger Einrichtungen dem für sie zuständigen sektorenspezifischen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall (§ 35) zu melden. Eine [https://www.nis.gv.at/fragen-und-antworten/computer-notfallteams.html Liste der CSIRTS iSd NISG] unterhält aktuell das Bundeskanzleramt.

Die Meldung unverzüglich, spätestens jedoch '''binnen 24 Stunden''' als Frühwarnung erfolgen, gefolgt von einer detaillierteren Meldung '''innerhalb von 72 Stunden''' und einem Abschlussbericht innerhalb '''eines Monats''' nach der Meldung. Sofern einen Monats nach der Meldung der Cybersicherheitsvorfall noch andauert, ist der Abschlussbericht als Fortschrittsbericht zu formulieren und der Abschlussbericht einen Monat nach Bewältigung des Cybersicherheitsvorfalls zu übermitteln.

====== Inhalte der Meldungen: ======

* '''Frühwarnung''': Angabe ob der Verdacht besteht, dass der erhebliche Cybersicherheitsvorfall auf rechtswidrige und schuldhafte Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte
* '''Meldung''': Aktualisierung der Frühwarnung und erste Bewertung des erheblichen Cybersicherheitsvorfalls (Schweregrads und seiner Auswirkungen, sowie gegebenenfalls der Kompromittierungsindikatoren)
* '''Abschlussbericht''': Ausführliche Beschreibung des Cybersicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, Angaben zur Art der Bedrohung und zugrundeliegender Ursachen, die wahrscheinlich den Cybersicherheitsvorfall ausgelöst hat; Angaben zu den getroffenen und laufenden Abhilfemaßnahmen; gegebenenfalls die grenzüberschreitenden Auswirkungen des Cybersicherheitsvorfalls.

Weiterleitungen einer Alarmierung an den Betreiber stellt keine Meldung (freiwillig oder verpflichtend) eines Cybersicherheitsvorfalls iSd § 34 NISG dar.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 21</ref>

===== Meldung von Vorfällen an Betroffene =====
Soweit ein erheblicher Cybersicherheitsvorfall die Erbringung des jeweiligen Dienstes der betroffenen Einrichtung beeinträchtigt, unterrichtet die Einrichtung die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Cybersicherheitsvorfall und teilt, soweit möglich, alle Maßnahmen oder Abhilfemaßnahmen mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können.

====== Erheblicher Cybersicherheitsvorfall ======
Ein Cybersicherheitsvorfall gilt nach § 35 NISG als erheblich, wenn der Sicherheitsvorfall:

* Schwerwiegende Betriebsstörungen der erbrachten Dienste oder schwerwiegende finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann

'''oder'''

* andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. Zudem sind die betroffenen Netz- und Informationssysteme und deren Bedeutung für die Erbringung der Dienste der jeweiligen Einrichtung, die Schwere und die technischen Merkmale der Cyberbedrohung und sämtliche zugrundeliegende Schwachstellen, die ausgenutzt werden, sowie die Erfahrungen der Einrichtung mit ähnlichen Vorfällen zu berücksichtigen.

Folgende weitere Kriterien sind in § 35 Abs 2 und 3 NISG beschrieben:

* Ausmaß der Abhängigkeit;
* die möglichen Auswirkungen von Cybersicherheitsvorfälle;
* Marktanteil der jeweiligen Einrichtung mit Bezug auf den betroffenen Dienst;
* das betroffene geografische Gebiet;
* unternehmens- und sektorspezifischen Faktoren.
* Soweit vorhanden: Verordnung der*des Bundesminister(s)*in für Inneres kann weitere Kriterien normieren.

Eine gewisse Auslegungshilfe bietet auch [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555 ErwGr 101 NIS2-RL].

Daneben definiert die [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690 Durchführungsverordnung (EU) 2024/2690] für bestimmte Einrichtungen was als erheblicher Sicherheitsvorfall zu qualifizieren ist.

== Fallbeispiel ==
Das Unternehmen NisExperts AG ist ein Anbieter von IT-Diensten mit Sitz in der Steiermark, beschäftigt 66 Mitarbeitende und erzielt eine Jahresbilanzsumme von neun Millionen Euro. NisExperts AG betreibt mehrere Rechenzentren, in welchen die IT-Infrastruktur für mehrere österreichische Krankenhäuser und das Netzleitsystem eines wichtigen steirischen Netzbetreibers untergebracht ist. Freitagnachmittag um 16:00 Uhr registriert das Security Operations Center (SOC) von NisExperts AG eine ungewöhnlich hohe Anzahl von Anfragen, die gegen die Firewalls eines Rechenzentrums gerichtet sind. Nach einer Analyse stellt sich heraus, dass es sich um eine DDoS-Attacke (Distributed Denial of Service) handelt, die eine zentrale Plattform des Unternehmens ins Visier nimmt.

Die Angreifer*innen setzen sogenannte Botnets ein, um die Ressourcen des Rechenzentrums zu überlasten. Trotz bestehender DDoS-Abwehrmaßnahmen gelingt es den Angreifer*innen, die Last zeitweise so hoch zu treiben, dass folgende Auswirkungen auftreten:

* Zwischen 17:00 Uhr und 20:00 Uhr kommt es zu wiederholten Ausfällen eines zentralen Zugriffsdienstes, der von Kunden genutzt wird, um Anwendungen in auszuführen.
* Kunden berichten von Verbindungsabbrüchen, langsamen Ladezeiten und der Unfähigkeit, kritische Daten zu verarbeiten und müssen Notfallpläne aktivieren.

'''Anwendungsbereich:'''

Gemäß § 24 Abs 2 NISG gelten Einrichtungen welche ein mittleres Unternehmen das in einem Sektor mit hoher Kritikalität gemäß den Anlagen 1 und 2 zum NISG tätig ist betriben als wichtige Einrichtungen. Eine Einrichtung gilt gemäß § 25 NISG unter anderem als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeitende beschäftigt. Die NisExperts AG beschäftigt mehr als 50 Mitarbeitende und ist in einem Sektor mit hoher Kritikalität (Digitale Infrastruktur - Rechenzentrumsdienste) gemäß Ziffer 8 Anlage 1 NISG tätig. Ob der Kund*innenstruktur könnte sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung und die öffentliche Gesundheit auswirken, das bewirkt aber für sich keine Qualifizierung als "wesentliche Einrichtung". Die NisExperts AG ist sohin als wichtige Einrichtung iSd NISG zu qualifizieren.

'''Meldung:'''

Wichtige Einrichtungen haben gemäß § 34 NISG dem für sie zuständigen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall zu melden. Bei der Beurteilung, ob ein Cybersicherheitsvorfall als erheblich im Sinne des einzustufen ist, sind gemäß § 35 Abs 2 lit b NISG unter anderem die möglichen Auswirkungen auf die öffentliche Ordnung und Sicherheit und die öffentliche Gesundheit oder die Gesundheit der Bevölkerung oder eines großen Personenkreises zu berüchsichtigen. Da die NisExperts AG ein kritischer Dienstleister für mehrere Krankenhäuser und der Ausfall die Aktivierung von Notfallplänen bedingt hat liegt wohl ein erheblicher Sicherheitsvorfall iSd § 35 NISG vor. Gemäß Art 8 [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690 Durchführungsverordnung (EU) 2024/2690] liegt ein erheblicher Sicherheitsvorfall dann vor, wenn Verfügbarkeit eines Rechenzentrumsdienstes eines vom Anbieter betriebenen Rechenzentrums ist für eine Dauer von mehr als einer Stunde eingeschränkt. Das liegt vor, weshalb jedenfalls ein erheblicher Sicherheitsvorfall vorliegt. In Ermangelung eines sektoralen CSIRT setzt NisExperts AG gemäß § 34 NISG folgende Meldungen an das nationale CSIRT (cert.at) ab.

'''Erstmeldung innerhalb von 24 Stunden:'''

* '''Inhalt:''' Beschreibung des Vorfalls, erste Bewertung der Auswirkungen auf Verfügbarkeit und Integrität, und die initial ergriffenen Maßnahmen.
* '''Technische Details:''' Einschätzung der Angriffsart (DDoS), betroffene Systeme und die mögliche Angriffsquelle.

'''Aktualisierung innerhalb von 72 Stunden:'''

* '''Vertiefte Analyse:''' Klärung der Ursachen, präzise Darstellung der Schäden und der geplanten weiteren Schritte zur Eindämmung und Wiederherstellung.
* '''Bewertung der Auswirkungen:''' Spezifikation der Kundengruppen und ihrer Ausfälle.

'''Abschlussbericht innerhalb eines Monats:'''

* '''Ergebnisse:''' Dokumentation des gesamten Incident-Management-Prozesses.
* '''Lessons Learned:''' Empfohlene Präventionsmaßnahmen und zukünftige Strategien.

== Synergien ==

=== Meldepflichten ===
Die Meldepflichten der Datenschutz-Grundverordnung (DSGVO) und der NIS2-Richtlinie überschneiden sich, da beide Regelwerke Anforderungen an die Meldung von Sicherheitsvorfällen oder Datenschutzverletzungen enthalten, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wesentlichen Punkte, in denen sich die Meldepflichten beider Regelwerke überschneiden und voneinander unterscheiden:

====== Art der betroffenen Daten ======

* DSGVO: Nur relevant, wenn personenbezogene Daten kompromittiert werden (zB unbefugter Zugriff, Verlust oder Diebstahl von Daten).
* NIS2: Relevanz auch für Vorfälle, die die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen betreffen, unabhängig davon, ob personenbezogene Daten betroffen sind. Es geht also um die Sicherstellung der allgemeinen IT-Sicherheit.

====== Bedingungen für die Meldung ======

* DSGVO: Eine Meldung ist erforderlich, wenn die Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
* NIS2: Meldepflichten gelten bei signifikanten Vorfällen, die wesentliche Auswirkungen auf die Bereitstellung essenzieller Dienste haben könnten. Die Beurteilung eines Vorfalls als signifikant erfolgt auf Basis von Faktoren wie der Anzahl betroffener Nutzer*innen, der Dauer des Vorfalls und des verursachten wirtschaftlichen Schadens.

====== Überschneidungen ======

* Beide Regelwerke verlangen Meldungen bei Vorfällen, die die Vertraulichkeit, Integrität oder Verfügbarkeit betreffen.
* Bei Sicherheitsvorfällen, die sowohl IT-Systeme als auch personenbezogene Daten betreffen, kann eine doppelte Meldepflicht bestehen: einmal an die zuständige Datenschutzbehörde (DSGVO) und einmal an die Cybersicherheitsbehörde (NIS2).
* Bei Betreibern wesentlicher Dienste, die personenbezogene Daten verarbeiten, könnten somit Vorfälle unter beide Regelungen fallen, was bedeutet, dass sowohl die Datenschutzverletzung als auch der Sicherheitsvorfall gemeldet werden müssen.

Die Meldepflichten der DSGVO und der NIS2 überschneiden sich in Fällen, in denen personenbezogene Daten durch Sicherheitsvorfälle gefährdet sind.

=== Risikomanagement ===
Die Risikomanagementanforderungen der Datenschutz-Grundverordnung (DSGVO) und der NIS2-Richtlinie überschneiden sich in bestimmten Bereichen, insbesondere wenn es um den Schutz von Daten und IT-Systemen geht. Beide Regelwerke erfordern von Organisationen, dass sie Maßnahmen zum Schutz von Informationen und zur Risikominimierung implementieren, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wichtigsten Überschneidungen und Unterschiede der Risikomanagementanforderungen:

* DSGVO: Der Fokus liegt auf dem Schutz personenbezogener Daten und den Rechten natürlicher Personen. Risikomanagement unter der DSGVO zielt darauf ab, das Risiko für die Rechte und Freiheiten von Einzelpersonen, die durch die Verarbeitung ihrer personenbezogenen Daten betroffen sind, zu minimieren.
* NIS2: Die NIS2-Richtlinie konzentriert sich auf die Cybersicherheit und den Schutz der Netz- und Informationssysteme in kritischen Sektoren (zB Energie, Gesundheit, Verkehr). Risikomanagement hier zielt darauf ab, die Resilienz von IT-Systemen und kritischen Infrastrukturen gegen Cyberbedrohungen zu stärken.

====== Risikobasierter Ansatz ======
Beide Regelwerke verlangen von den betroffenen Unternehmen, dass sie risikobasierte Ansätze verfolgen, um Sicherheitsmaßnahmen zu planen und umzusetzen.

* DSGVO: Die DSGVO verpflichtet Unternehmen dazu, angemessene technische und organisatorische Maßnahmen zu ergreifen, die dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen sind. Dies bedeutet, dass Unternehmen die potenziellen Risiken für personenbezogene Daten bewerten und basierend darauf Schutzmaßnahmen wie Verschlüsselung, Pseudonymisierung, Zugriffskontrollen und Datensicherungen implementieren. (Art 24, 32 DSGVO)
* NIS2: NIS2 verlangt von Unternehmen, ein Risikomanagement für ihre Netz- und Informationssysteme zu betreiben, das sich an den potenziellen Cyberrisiken orientiert. Es geht um die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Systemen und Informationen. Organisationen müssen Maßnahmen wie Netzwerksicherheitskontrollen, Bedrohungserkennungssysteme und Notfallpläne implementieren. (Art 21 NIS2-RL)

====== Konkrete Sicherheitsmaßnahmen ======

* DSGVO: Die DSGVO fordert spezifische Sicherheitsmaßnahmen für den Schutz personenbezogener Daten, einschließlich der Pseudonymisierung und Verschlüsselung, und verlangt, dass Unternehmen Maßnahmen zur Wiederherstellung der Datenverfügbarkeit nach einem physischen oder technischen Vorfall haben (Art 32 DSGVO). Die Anforderungen zielen direkt auf den Schutz von personenbezogenen Daten ab.
* NIS2: Die NIS2-Richtlinie legt Wert auf Cybersicherheitsmaßnahmen und operative Resilienz. Hierzu gehören Maßnahmen zur Sicherung der Netzwerk- und Informationssysteme gegen Bedrohungen, die Implementierung von Überwachungssystemen zur Bedrohungserkennung und die Sicherstellung von Redundanzen und Kontinuität der Dienste. Diese Maßnahmen sind breiter gefasst und betreffen nicht nur personenbezogene Daten, sondern die gesamte IT-Infrastruktur eines Unternehmens.

====== Risikobewertung und Dokumentation ======

* DSGVO: Unternehmen sind verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Dies umfasst eine detaillierte Bewertung der Risiken und die Implementierung von Maßnahmen zur Risikominimierung. (Art 35 DSGVO)
* NIS2: Organisationen müssen regelmäßig eine Risikobewertung ihrer Netz- und Informationssysteme durchführen, um potenzielle Cybersicherheitsrisiken zu identifizieren und entsprechend darauf zu reagieren. Diese Risikobewertungen müssen umfassender sein, da sie alle potenziellen Risiken für die kritischen IT-Infrastrukturen eines Unternehmens berücksichtigen.

====== Betroffene Unternehmen ======

* DSGVO: Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist verpflichtet, entsprechende Sicherheitsmaßnahmen und ein Risikomanagement zu implementieren. Hierbei handelt es sich um eine breite Anforderung, die nahezu alle Organisationen betrifft.
* NIS2: Die NIS2-Richtlinie gilt nur für Betreiber wesentlicher und wichtiger Dienste in kritischen Sektoren, wie Energieversorgung, Verkehr, Banken und Gesundheitswesen. Das Risikomanagement richtet sich hier primär an Organisationen, die für die Sicherheit von Infrastrukturen von großer Bedeutung verantwortlich sind.

====== Technische und organisatorische Maßnahmen ======
Beide Regelwerke fordern angemessene technische und organisatorische Maßnahmen, um Risiken zu minimieren, jedoch mit unterschiedlichen Schwerpunkten:

* DSGVO: Der Fokus liegt auf dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten. Unternehmen müssen Maßnahmen ergreifen, um unbefugten Zugriff auf Daten zu verhindern, Datensicherheit sicherzustellen und Maßnahmen zur Datenwiederherstellung bei Zwischenfällen zu implementieren.
* NIS2: Hier liegt der Fokus auf dem Schutz der IT-Systeme selbst, mit besonderem Augenmerk auf der Gewährleistung der Dienstverfügbarkeit und der Widerstandsfähigkeit gegen Cyberangriffe. Dies beinhaltet auch regelmäßige Sicherheitsüberprüfungen, Schwachstellenmanagement und Notfallmaßnahmen.

====== Überschneidungen ======

* Risikobewertung: Beide Regelungen verlangen eine risikobasierte Einschätzung und eine darauf basierende Umsetzung von Schutzmaßnahmen. Das Risikomanagement in beiden Fällen erfordert die Identifizierung potenzieller Bedrohungen und Schwachstellen sowie die Implementierung geeigneter Maßnahmen.
* Sicherheitsmaßnahmen: Technische und organisatorische Maßnahmen zur Minimierung von Risiken für IT-Systeme und Datenverarbeitung sind in beiden Regelwerken gefordert, insbesondere Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit.
* Dokumentationspflichten: Sowohl die DSGVO als auch die NIS2 fordern eine umfassende Dokumentation der Sicherheitsmaßnahmen und Risikobewertungen, um im Falle von Prüfungen oder Vorfällen nachweisen zu können, dass die Anforderungen erfüllt wurden.

Die Risikomanagementanforderungen der DSGVO und NIS2 überschneiden sich in Bezug auf die Notwendigkeit, Risiken zu bewerten und angemessene Schutzmaßnahmen zu implementieren, insbesondere wenn personenbezogene Daten durch Sicherheitsvorfälle oder Cyberangriffe bedroht sind. Unternehmen, die sowohl unter die DSGVO als auch unter NIS2 fallen, müssen ihre Risikomanagementstrategien so gestalten, dass sie beiden Regelwerken gerecht werden. Während die DSGVO den Schutz von personenbezogenen Daten betont, legt NIS2 den Fokus auf die Resilienz der IT-Systeme und die allgemeine Cybersicherheit. Dennoch ist eine Schnittmenge der Risiken in beiden Bereichen einschlägig. So ist es zu prüfen, ob in einem Bereich erhobene Risiken auch im anderen Bereich relevant sein können.

== Sanktionen ==

=== NIS2 Richtlinie ===
Die Höhe der Bußgelder unterscheidet sich je nach Einstufung des Unternehmens:

* Sanktionen für wesentliche Einrichtungen: Wesentliche Einrichtungen müssen bei Verstößen mit Bußgeldern von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist.
* Sanktionen für wichtige Einrichtungen: Für wichtige Einrichtungen beträgt das maximale Bußgeld bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes, wobei auch hier der höhere Betrag maßgeblich ist.
Neben den Geldstrafen kann die zuständige Behörde weitere Schritte einleiten:

* Erteilung verbindlicher Anweisungen zur Einhaltung der Richtlinie
* Vorübergehende Aussetzung der Geschäftstätigkeit bei Nichtbefolgung von Anweisungen
* Temporäres Tätigkeitsverbot für Personen in Leitungsfunktionen
* Leitungsorgane von Unternehmen, wie Vorstände oder Geschäftsführer*innen, können persönlich für die Einhaltung der Cybersicherheitsmaßnahmen haftbar gemacht werden.

=== Nationaler Umsetzungsentwurf (NISG) ===
Wird der Cybersicherheitsbehörde im Zuge ihrer Aufsicht erkennbar, dass eine wesentliche oder wichtige Einrichtung ihren Verpflichtungen nach diesem Bundesgesetz nicht nachkommt hat diese entsprechend § 39 Abs 1 bis 4 vorzugehen.

Die Einrichtung ist zunächst darauf hinzuweisen, bestimmte spezifische Umsetzungsmaßnahmen oder Adaptierungen im Bereich konkreter Risikomanagementmaßnahmen und bezüglich der Einhaltung von Berichtspflichten oder sonstigen Pflichten zu treffen.

Wird dem nicht nachgekommen, hat dies zur Folge, dass die angeordnete Maßnahme, wie etwa die (vollständige) Umsetzung jeweiliger Risikomanagementmaßnahmen durch die Cybersicherheitsbehörde mit Bescheid angeordnet werden.

Kommt eine wesentliche Einrichtung dem Bescheid nicht fristgerecht und nachweislich nach, ist die Cybersicherheitsbehörde befugt,

* zuständige Behörden zu ersuchen, die Zertifizierung oder Genehmigung für einen Teil oder alle von der Einrichtung erbrachten einschlägigen Dienste (einschließlich der Cybersicherheitszertifizierung gemäß Art 58 der Verordnung (EU) 2019/881) oder Tätigkeiten vorübergehend auszusetzen

oder

* einem Leitungsorgan der Einrichtung mit Bescheid untersagen, seine Leitungsaufgaben in dieser wesentlichen Einrichtung wahrzunehmen. Dieser Bescheid ist in einer allgemeinen Weise zu veröffentlichen, die geeignet erscheint, einen möglichst weiten Personenkreis zu erreichen.

==== Private Einrichtungen ====
§ 45 Abs 1 bis 3 NISG enthält einen Katalog an Verwaltungsübertretungen welche folgendermaßen zu sanktionieren sind:

* Verwaltungsübertretung wesentlicher Einrichtung: Geldstrafe in Höhe von bis zu 10 000 000 EUR oder bis zu 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, je nachdem, welcher Betrag höher ist.

* Verwaltungsübertretung wichtiger Einrichtung: Geldstrafe in Höhe von bis zu 7 000 000 EUR oder bis zu 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört, je nachdem, welcher Betrag höher ist.

§ 45 Abs 4 NISG enthält einen zusätzlichen Katalog an Verwaltungsübertretungen (insb. Missachtung von Duldungs und Dokumentationspflichten) welche folgendermaßen zu sanktionieren sind:

* Geldstrafe bis zu 50 000 EUR und im Wiederholungsfall bis zu 100 000 EUR .

==== Öffentliche Einrichtungen ====
§ 46 NISG sieht die Anzeige der Nichteinhaltung bei zuständiger Bezirksverwaltungsbehörde durch Bundesminister*in für Inneres und Feststellung der Rechtswidrigkeit durch Bezirksverwaltungsbehörde vor. Entsprechende Feststellungsbescheide sind zu veröffentlichen, als diese keine Gefahr für die öffentliche Ordnung oder Sicherheit darstellt. Der Sanktionscharakter dieser Bestimmung soll in dem durch die Veröffentlichung entstehenden öffentlichen und politischen Druck auf die jeweilige Behörde zum Ausdruck kommen.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 42</ref>

== Weiterführende Literatur ==

=== Überblicksartikel ===

* ''Burgstaller'', Aktuelle Ereignisse und Entwicklungen zum Informationsrecht, ZIIR 2023/140/2.
* ''Gutbrunner'', Pflichten aus der NIS-2-RL, LexisNexis, 05/2024.
* ''Hessel/Callewaert/Schneider'', Die NIS-2-Richtlinie aus Unternehmensperspektive, RDi 2024, 208.
* ''Löffler'', NIS-2. Ein Überblick, dako 2024, 76.
* ''Pollirer'', Checkliste NIS-2, dako 2024, 43.
* ''Schmidt'', Neue europäische Anforderungen im Cybersicherheitsrecht - die NIS2-Richtlinie im Überblick, KuR 2023, 705.
* ''Stadler/Drolz'', Cyberregeln treffen auch Lieferanten, Der Standard 2024/18/01.
* ''Staffler'', Morgendämmerung der EU-Cybersicherheit-Compliance, JSt 2023/328/4.
* ''Tretzmüller'', Die Umsetzung des NIS-Gesetzes.

=== Schwerpunktartikel ===
* ''Dittrich,'' IT-Sicherheit und Krisenresilienz bei Energieversorgern und Energieanlagen MMR 2022, 1039.
* ''Knyrim/Briegl'', NIS-2: die Anwendung im Konzern, Dako 2024/39.
* ''Neuwirth'', Vom "wesentlichen Dienst" zur "wesentlichen" beziehungsweise "wichtigen" Einrichtung - und weitere ausgewählte Aspekte zur NIS-2-Richtlinie, jusIT 2024/2/5.
* ''Reiter'', Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, Medien und Recht 2023/188/4.
* ''Reiter/Heidinger/Gstrein'', Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, MR 2023, 188.
* ''Schiefer/Wieser'', NIS-2-RL: Wer trägt die Verantwortung im Unternehmen?, ecolex 2023/568.
* ''Wegmann'', Too much of a good thing? Erweiterung und Verschärfung von Cybersicherheitsplichten durch die NIS2-Richtlinie, BB 2023, 835.
* ''Werner'', Anwendbarkeit der NIS-2 im chemischen Sektor, DSB 2024, 175.

=== Einführungswerke ===

* ''Kipker'', Textsammlung Cybersecurity (2023).

=== Sammelwerke ===

* ''Ditttrich/Dochow/Ippach'' (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024).
* ''Hornung/Schallbruch'' (Hrsg), IT-Sicherheitsrecht. Praxishandbuch2 (2024, iE).
* ''Kipker'' (Hrsg), Cybersecurity. Rechtshandbuch2 (2023).

=== Kommentare ===

== Einzelnachweise ==

Network and Information Security Directive (NIS II-RL)

2025-02-26T18:02:34Z

DavidMSchneeberger: DavidMSchneeberger verschob die Seite Network and Information Security Directive (NIS II-RL) nach Network and Information Security Directive (NIS2-RL)

#WEITERLEITUNG [[Network and Information Security Directive (NIS2-RL)]]

Network and Information Security Directive (NIS2-RL)

2025-02-26T18:02:32Z

DavidMSchneeberger: DavidMSchneeberger verschob die Seite Network and Information Security Directive (NIS II-RL) nach Network and Information Security Directive (NIS2-RL)

{{Infobox Rechtsakt (EU)|Typ=Richtlinie|Jahr=2022|Nummer=2555|Vertrag=EU|EWR=ja|Titel=Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148|Kurztitel=NIS-2-Richtlinie|Bezeichnung=NIS2-RL|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/333, 80|Anzuwenden=17. Oktober 2024 (Umsetzung, Fristverletzung)|Gültig=umsetzung}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Anwendungsbereich
!Inhalt<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref>
!Synergie
!Konsequenzen
|-
|Aufbau von Cybersicherheitskapazitäten (EG 1 NIS2-RL)
|Anhäng I (Sektoren mit hoher Kritikalität)
|Pflicht für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden (<abbr>Art</abbr> 7 NIS2-RL)
|Datenschutzmanagementsystem
|Wesentliche Einrichtungen: Bußgelder mit Höchstbetrag von mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
|-
|Schaffung eines hohen gemeinsamen Cybersicherheitsniveaus
(Art 1 NIS2-LR)
|Anhang II (Sonstige kritische Sektoren) soweit sie Obergrenzen nach <abbr>Art.</abbr> 2 <abbr>Abs.</abbr> 1 des Anhangs der Empfehlung 2003/361/EG überschreiten
|Pflicht für alle Mitgliedstaaten, diverse Zuständigkeiten zu regeln
Aufsichts- und Durchsetzungspflichten für die MS (<abbr>Art.</abbr> 31 ff NIS2-RL)
|Sicherheit der Verarbeitung (Art. 32 DSGVO)
|Für wichtige Einrichtungen (also alle
anderen Einrichtungen die in den Anwendungsbereich der

NIS2-RL fallen) beträgt das höchstmögliche Bußgeld mindestens

7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.

Für beide gilt der jeweils höhere Betrag.
|-
|Eindämmung von Bedrohungen in Schlüsselsektoren (EG 1 NIS2-RL)
|Ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen
|Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (<abbr>Art.</abbr> 20 ff NIS2-RL) sowie Berichtspflichten (<abbr>Art.</abbr> 23 NIS2-RL) für betroffene Einrichtungen
|Verschwiegenheitsklauseln
|Behördliche Anweisungen und Anordnungen. Auch Anordnung der Aussetzung der Tätigkeit ist möglich. (Art 32 NIS2-RL)
|-
|
|
|Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (<abbr>Art</abbr> 29 ff NIS2-RL)
|
|Leitungsorgane können persönlich haften. (Art 20 NIS2-RL)
|}

== Einführung ==
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union<ref>Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022</ref> (kurz: „NIS2-RL“) ist die Nachfolgeregelung der ersten Cybersicherheitsrichtlinie der Europäischen Union<ref>''Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union,'' ABl. L 194/1 vom 19. Juli 2016</ref> („NIS-RL“). Bereits durch die erste NIS-RL und deren nationale Umsetzung im NISG wurden bestimmte Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet. Mit der Nachfolgeregelung, der NIS2-RL, wird der Anwendungsbereich deutlich erweitert, um auch große Teile der bisher nicht erfassten Unternehmen zu bedarfsgerechten Sicherheitsmaßnahmen zu verpflichten. Darüber hinaus werden insbesondere konkrete Vorgaben für ein Meldesystem bei Sicherheitsvorfällen gemacht und neue Haftungstatbestände geschaffen. Die NIS-RL wurde in Österreich im Netz- und Informationssystemsicherheitsgesetz (kurz: „NISG“) umgesetzt, das derzeit (Stand: Oktober 2024) zur Umsetzung der NIS2<ref>Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME)

https://www.parlament.gv.at/gegenstand/XXVII/ME/326</ref> novelliert wird. Daneben ist die Durchführungsverordnung (EU) 2024/2690<ref>Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 mit Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555 im Hinblick auf die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Präzisierung der Fälle, in denen ein Sicherheitsvorfall in Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter als erheblich gilt.

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690</ref> beachtlich. Die NIS-II-Richtlinie zielt darauf ab, eine robuste, dem risikobasierten Ansatz folgende Sicherheitsinfrastruktur für die EU zu schaffen. Der Fokus liegt nicht darauf, jedes Einzelgerät abzusichern, sondern die Resilienz wesentlicher und wichtiger Einrichtungen zu gewährleisten.

Der Nationalrat konnte in einer im Juli 2024 abgehaltenen Sitzung zwar eine einfache Mehrheit für das Umsetzungsgesetz (NISG-E) erreichen, da das Gesetz jedoch Verfassungsbestimmungen berührt, bedarf es einer breiteren Zweidrittelmehrheit welche nicht erreicht werden konnte. Hauptgrund für die Absage der Opposition ist die Ansiedelung der nationalen Cybersicherheitsbehörde beim Innenministerium.<ref>https://www.parlament.gv.at/aktuelles/pk/jahr_2024/pk0785</ref> Die Autoren erwarten keine wesentlichen Änderungen der unstrittigen Regelungspunkte in allfälligen Folgeentwürfen weshalb im Folgenden auf den Regelungsinhalten des vorliegenden Entwurfs (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME)<ref>Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden.https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621118.pdf</ref> - im Folgenden NISG) aufgebaut wird.

== Anwendungsbereich ==
=== NIS2 Richtlinie ===

==== Persönlicher / Sachlicher Anwendungsbereich ====
In den Anwendungsbereich können öffentliche oder private Einrichtungen fallen. Die NIS2-RL unterscheidet grundsätzlich zwischen dem '''größenabhängigen''' (Art 2 Abs 1 NIS2-RL) und dem '''größenunabhängigen''' (Art 2 Abs 3 NIS2-RL) Anwendungsbereich.

====== Größenabhängiger Anwendungsbereich ======
Um den größenabhängigen Geltungsbereich zu definieren, setzt die NIS2-RL zunächst an der [[Size-Cap-Rule]] an.

Hiernach gilt die NIS2-RL für Einrichtungen

* welche mehr als 50 Mitarbeitende beschäftigen
* oder mehr als 10 Mio. Euro Jahresumsatz<ref>Die Berechnung der Größenschwellen für Unternehmen nach der EU-Empfehlung 2003/361/EG ist nicht einfach. Sie berücksichtigt auch indirekte Verbindungen und Vertragsbeziehungen, wie bei verbundenen Unternehmen oder Tochtergesellschaften. Besonders bei großen Konzernen ist es ratsam, jeden Fall einzeln zu prüfen. Die Europäische Kommission hat zwar eine ausführliche Anleitung zur Berechnung veröffentlicht, aber es ist trotzdem empfehlenswert, professionelle rechtliche Beratung einzuholen. Dies gilt besonders für Unternehmen mit komplexen Strukturen, um zu klären, ob die NIS2-Richtlinie für sie gilt: https://op.europa.eu/de/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1</ref> erzielen.

Kumulativ muss die Tätigkeit der Einrichtung in den '''Anhang I''' oder '''II''' der NIS2-RL Fallen.

* ''Anhang I'' nennt etwa folgende Einrichtungen:

Energie | Verkehr | Bankwesen | Finanzmarktinfrastrukturen | Gesundheitswesen | Trinkwasser | Abwasser | Digitale Infrastruktur | Verwaltung von IKT-Diensten (Business-to-Business) | öffentliche Verwaltung | Weltraum

* ''Anhang II nennt etwa folgende Einrichtungen:''

Post- und Kurierdienste | Abfallbewirtschaftung | Produktion, Herstellung und Handel mit chemischen Stoffen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln | Verarbeitendes Gewerbe | Herstellung von Waren | Anbieter digitaler Dienste | Forschung

====== Größenunabhängiger Anwendungsbereich ======
Gemäß <abbr>Art</abbr> 2 und <abbr>Art</abbr> 3 der NIS2-RL können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS-2-RL fallen.

Folgende Tätigkeiten sind hiervon umfasst:

Gemäß Art 2 Abs 2 lit a NIS2-RL Dienste von;

* Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
* Vertrauensdiensteanbietern
* Namenregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern.

Gemäß Art 2 Abs 2 lit b bis f iVm Art 3 Abs 1 lit e NIS2-RL

* Dienste, welche die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich sind
* Dienste, deren Störung sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte
* Dienste, deren Störung zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte
* Einrichtungen, welche aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist
* Bestimmte Einrichtungen der öffentlichen Verwaltung
Gemäß Art 2 Abs 3 und 4 NIS2-RL

* Einrichtungen, welche nach der [[Critical Entities‘ Resilience Directive (CER)|Richtlinie für Resilienz kritischer Einrichtungen (CER-RL)]] als kritisch eingestuft wurden
* Domänennamenregistrierungsdienste

====== Wesentliche und Wichtige Einrichtungen ======
Im Anwendungsbereich der Richtlinie stehende Einrichtungen werden durch Art 3 NIS2-RL in wesentliche und wichtige Einrichtungen eingeteilt.

'''Wesentliche''' '''Einrichtungen''' unterstehen einer proaktiven und reaktiven Aufsicht (<abbr>Art</abbr> 32 NIS2-RL).

'''Wichtige Einrichtungen''' unterliegen nur einer reaktiven Aufsicht (<abbr>Art</abbr> 33 NIS2-RL).<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref>

Daneben gelten verschiedene Sanktionsregime.

==== Territorialer Anwendungsbereich ====
Einrichtungen, die in der EU ansässig sind oder ihre Dienste in der EU erbringen (Art 2 NIS2-RL).

=== Nationaler Umsetzungsentwurf (NISG) ===
[[Datei:Nis ii wichtige einrichtungen ri.png|mini|Wichtige Einrichtungen - CC BY 4.0]]
==== Persönlicher / Sachlicher Anwendungsbereich ====
Regelungsgegenstand des NISG sind gemäß § 2 NISG wesentliche und wichtige Einrichtungen in den definierten Sektoren. Die Sektoren entsprechen denen der NIS2-RL und werden durch die Definition von '''Teilsektoren''' in den Anlagen 1<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_1 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621120.pdf</ref> und 2<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</ref> zum NISG ergänzt.

Eine "'''Einrichtung'''" iSd NISG ist gemäß § 3 Abs 10 NISG "eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person oder eingetragene Personengesellschaft, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann".

Anstelle eines zweistufigen Vorgehens, wie es in Art 2 und 3 der NIS-2-Richtlinie vorgesehen ist, ist für die Einstufung als wesentliche oder wichtige Einrichtung nach diesem Bundesgesetz ausschließlich § 24 NISG maßgeblich. Auch hier wird unterschieden zwischen Anlagen, die erst ab einer bestimmten Größe in den Anwendungsbereich fallen, und solchen, bei denen dies nicht der Fall ist.

====== Größenabhängiger Anwendungsbereich ======
[[Datei:Nis ii wesentliche einrichtungen ri.png|mini|Wesentliche Einrichtungen - CC BY 4.0]][[Großes oder mittleres Unternehmen iSd NISG|Große oder mittlere Unternehmen]], die in den in den Anlagen 1 und 2 NISG genannten Sektoren tätig sind, gelten jedenfalls als wichtige Einrichtungen im Sinne des § 42 Abs. 2 NISG.

Eine '''Teilmenge''' dieser Einrichtungen wird in § 24 Abs 1 NISG als wesentliche Einrichtung qualifiziert.

Von der Möglichkeit, bei der Umsetzung der NIS-2-Richtlinie die bisherigen „Betreiber wesentlicher Dienste“ pauschal als wesentliche Einrichtungen einzustufen, oder Gemeinden und Bildungseinrichtungen un den Anwendungsbereich aufzunehmen, wurde abgesehen.<ref>ErlRV 326/ME XXVII. GP https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621119.pdf</ref>

====== Größenunabhängiger Anwendungsbereich ======
Unabhängig von der Größe der Einrichtung gelten gemäß § 24 Abs 1 Z 1 NISG qualifizierte Vertrauensdiensteanbieter, Namenregister der Domäne oberster Stufe (TLD Namenregister), Domänennamensystem-Diensteanbieter, Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene, Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§ 26 Abs 1) sowie Einrichtungen, die als kritische Einrichtungen iSd Richtlinie (EU) 2022/2557 ermittelt wurden gelten als wesentliche Einrichtungen.

Darüber hinaus fallen öffentliche Stellen unter die in § 25 Abs 3 NISG genannten Kriterien. Vereinfacht ausgedrückt sind dies Bundes- und Landeseinrichtungen ohne gewerblichen Auftrag, deren Entscheidungen individuelle Rechte im grenzüberschreitenden Verkehr berühren.

====== Ausnahmen ======
Einrichtungen welche aufgrund sektorspezifischer unionsrechtlicher Rechtsakte verpflichtet sind, entweder eigene Risikomanagementmaßnahmen zu ergreifen oder erhebliche Cybersicherheitsvorfälle zu melden, hiernach zumindest ein gleichwertiges Cybersicherheitsniveau gewährleisten müssen, und die Gleichwertigkeit per Verordnung festgestellt wurde (§ 27 NISG). Das könnte etwa auf Einrichtungen zutreffen welche der [[Digital Operational Resilienec Act (DORA)|DORA]] unterworfen sind.

Einrichtungen im Sektor der öffentlichen Verwaltung, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, militärische Landesverteidigung oder Strafverfolgung ausgeübt werden sowie Einrichtungen des Universitäts-, Hochschul- und Schulwesens, Einrichtungen der Gerichtsbarkeit, Einrichtungen der Gesetzgebung, einschließlich der Parlamentsdirektion sowie der Österreichische Nationalbank gelten nicht als wesentliche oder wichtige Einrichtungen (§ 24 Abs 6 NISG).

====== Abgrenzungen ======
Einrichtungen, welche nicht unmittelbar in den Anwendungsbereich fallen, können im Rahmen vertraglicher Konstruktionen mit erfassten Einrichtungen zur Einhaltung der NIS2-RL verpflichtet werden. In diesen Fall sollte geprüft werden für welche Teile die Bestimmungen der so verpflichteten Einrichtung gelten sollten.

==== Territorialer Anwendungsbereich ====
Wesentliche und wichtige Einrichtungen sowie Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, unterliegen den Bestimmungen dieses Hauptstücks nur hinsichtlich jener Niederlassungen, die sich in Österreich befinden (§ 28 NISG).

Abweichende Regelungen gelten für Anbieter öffentlicher Kommunikationsnetze, Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, DNS-Diensteanbieter, TLD-Namenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke.

Siehe im Detail § 28 NISG.

====== Zeitlicher Anwendungsbereich ======
Die NIS2-RL ist zum aktuellen Bearbeitungszeitpunkt noch nicht in nationales österreichisches Recht umgesetzt worden.

== Zentrale Inhalte ==

=== Risikomanagementmaßnahmen ===

==== NIS2 Richtlinie ====
Bei der Regulierung von Risikomanagement-Maßnahmen wird ein risikobasierter Ansatz verfolgt, der die Verhältnismäßigkeit berücksichtigt.<ref>https://www.handelsverband.at/fileadmin/content/Presse_Publikationen/Presseaussendungen/2024/03_Mar/2024-03_HV_NIS2-Leitfaden_extra.pdf</ref> Das bedeutet, dass Unternehmen bei der Implementierung von Sicherheitsmaßnahmen folgende Faktoren beachten müssen:

* Den aktuellen Stand der Technik
* Die Kosten für die Einrichtung der Maßnahmen
* Die Größe der Einrichtung
* Die Wahrscheinlichkeit von Sicherheitsrisiken
* Weitere individuelle Faktoren

Die NIS2-Richtlinie definiert in Art 21 Absatz 2 zehn konkrete Maßnahmen und Mindeststandards, deren Implementierung nationale Gesetzgeber fordern müssen.

Diese umfassen:

* Richtlinien zur Risikoanalyse und Informationssystemsicherheit
* Vorfallbehandlung
* Geschäftskontinuität
* Lieferkettenmanagement
* Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
* Verwendung von Kryptografie und Verschlüsselung
* Personalsicherheit
* Zugriffskontrollen und Vermögensverwaltung
* Schulungen zur Cybersicherheit
* Sicherheit bei der Anschaffung
* Entwicklung und Wartung von Netzwerk- und Informationssystemen
* Gesicherte Authentifizierung und Kommunikation

==== Nationaler Umsetzungsentwurf (NISG) ====
Mit § 32 NISG wird Art 21 NIS2-RL umgesetzt.

§ 32 Abs 1 NISG verweist auf Anlage 3<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_3 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621122.pdf</ref> zum Gesetz, welches eine mit Blick auf Art 21 NIS2-RL verfeinerte Liste an umzusetzenden Maßnahmen enthält. Hierbei hat sicher der Gesetzgeber stark an Ausarbeitungen auf europäischer Ebene im Rahmen der [https://digital-strategy.ec.europa.eu/de/policies/nis-cooperation-group NIS-Kooperationsgruppe] angelehnt.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref> Gefordert werden organisatorische, technische und operative Maßnahmen.<ref>Als Beispiel für eine organisatorsiche Maßnahme nennen die Erwägungsgründe eine in Kraft gesetze Richtlinie. Unter einer technischen Maßnahme werden Firewalls verstanden, das Vorsehen einer fachkundigen Betriebsmannschaft ist eine operative Maßnahme.

326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref>

§ 32 Abs 2 NISG legt den betroffenen Einrichtungen auf, ein dem bestehenden Risiko angemessenes Sicherheitsniveau der Netz- und Informationssysteme zu gewährleisten, was den risikobasierten Ansatz bei der Umsetzung von Risikomanagementmaßnahmen unterstreicht.

Bei der Umsetzung von Risikomanagementmaßnahmen sind zu berücksichtigen:

* Der Stand der Technik (§ 32 Abs 2 Z 1 lit a NISG)
* Einschlägige nationale, europäische und internationale Normen (zB VO (EU) 1025/2012)
* Best-Practices (bewährte Verfahren und Methoden)

Die Kosten für die Umsetzung der Maßnahmen sollen in einem angemessenen Verhältnis zu den Risiken stehen, denen das betreffende Netz- und Informationssystem ausgesetzt ist (§ 32 Abs 2 Z 1 lit b NISG).<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34</ref> Es sollen keine unverhältnismäßigen finanziellen und administrativen Belastungen entstehen.

Die Maßnahmen sollen auf einem gefahrenübergreifenden Ansatz beruhen und sowohl die '''Cybersicherheit''' als auch die '''physische Sicherheit''' berücksichtigen (§ 32 Abs 2 Z 2 NISG).

Dies umfasst:

* Schutz vor Systemfehlern, menschlichen Fehlern, böswilligen Handlungen und natürlichen Phänomenen
* Sicherheit des Personals
* Angemessene Zugangskontrollkonzepte

Besonderer Fokus liegt auf dem Risikomanagement in der Lieferkette (§ 32 Abs 2 Z 3 NISG):

* Bewertung von Schwachstellen bei Lieferanten und Anbietern
* Berücksichtigung der Gesamtqualität und Widerstandsfähigkeit von Produkten und Diensten
* Überprüfung der Cybersicherheitsverfahren und Entwicklungsprozesse von Lieferanten

Einrichtungen müssen Risiken und Abhängigkeiten in Beziehungen zu Dienstleistern identifizieren, bewerten und behandeln.

Prüfgegenstand sind Produkte und Dienste unmittelbarer Lieferanten und Anbieter. Soweit ein Produkt oder Dienst stark auf Subdienstleistern aufbaut, müssen diese notwendigerweise auch in den Prüfumfang fallen. Die Regelungen sind sowohl bei der Auswahl neuer Lieferanten oder Dienstleister als auch bei bestehenden vertraglichen Vereinbarungen zu beachten.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34</ref>

Einrichtungen können verpflichtet werden, der Cybersicherheitsbehörde eine Liste der implementierten Risikomanagementmaßnahmen zu übermitteln. Einrichtungen können verpflichtet werden, eine Prüfung durch eine unabhängige Stelle nachzuweisen, deren Prüfbericht durch ein Leitungsorgan zu zeichnen ist. Für wichtige Einrichtungengilt dies nur unter bestimmten Voraussetzungen (§ 33 NISG).

=== Governance-Verpflichtung und Haftung der Leitungsorgane ===

==== NIS2 Richtlinie ====
Die NIS2-Richtlinie führt spezifische Governance-Verpflichtungen ein, die sich auf die Leitungs- und Führungsebene beziehen und deren aktive Rolle unterstreicht.

Zu den Hauptaspekten gehören:

* Verantwortlichkeit: Die Unternehmensleitung (zB Vorstand, Geschäftsführung) ist für die Billigung und Überwachung der Umsetzung von Risikomanagement-Verpflichtungen verantwortlich.
* Persönliche Haftung: Bei Verstößen gegen diese Verpflichtungen können Leitungsorgane persönlich zur Verantwortung gezogen werden.
* Schulungspflicht: Leitungsorgane sind verpflichtet, an Cybersicherheitsschulungen teilzunehmen und diese auch ihren Mitarbeitenden anzubieten.
* Kompetenzerweiterung: Ziel der Schulungen ist es, ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Cybersicherheitsrisiken sowie entsprechende Managementpraktiken zu vermitteln.
* Präventiver Ansatz: Durch die Stärkung der Kompetenzen auf Leitungsebene soll Gefahren im Bereich der Cybersicherheit vorgebeugt werden.

==== Nationaler Umsetzungsentwurf (NISG) ====

===== Begriff Leitungsorgan =====
Der Begriff "Leitungsorgans" beschreibe eine oder mehrere natürliche Personen welche nach Gesetz, Satzung oder Vertrag zur Führung der Geschäfte einer Einrichtung oder innerhalb der Einrichtung zur Überwachung der Geschäftsführung berufen sind (§ 3 Abs 1 Z 11 NISG). Einrichtung und Leitungsorgan können eine Personeneinheit bilden, so etwa ein*e Bundesminister*in.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 6</ref> Die Definition zielt darauf ab, die tatsächliche Leitungs- und Geschäftsführungsebene zu erfassen (grundsätzlich Vorstand, Geschäftsführer*in oder Aufsichtsrat). Vertretungsbefugnis etabliert sohin kein Leitungsorgan.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 7</ref>

===== Pflichten des Leitungsorgans =====
Das NISG legt den Leitungsorganen von wesentlichen und wichtigen Einrichtungen mehrere Pflichten auf:

* '''Implementierung von Maßnahmen''': Leitungsorgane müssen die Cybersicherheitsmaßnahmen ihrer Einrichtung genehmigen.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref>

* '''Aufsicht über die Umsetzung''': Leitungsorgane sind verpflichtet, die Umsetzung der Cybersicherheitsmaßnahmen zu beaufsichtigen. Sie müssen sicherstellen, dass die beschlossenen Maßnahmen effektiv implementiert und eingehalten werden.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref> Die Leitungsorgane müssen dafür Sorge tragen, dass Cybersicherheitsmaßnahmen ihrer Einrichtung sohin regelmäßig geprüft und aktuell gehalten werden. Es liegt in der Verantwortung der Leitungsorgane, ausreichende Ressourcen für die Umsetzung der erforderlichen Cybersicherheitsmaßnahmen bereitzustellen. Dies umfasst sowohl finanzielle als auch personelle Ressourcen. Die Verantwortung für die Ressourcenbereitstellung wird dahingehend konkretisiert, dass Leitungsorgane einen detaillierten Plan für die Zuweisung von finanziellen und personellen Ressourcen zur Cybersicherheit erstellen und regelmäßig aktualisieren müssen. Die Leitungsorgane sind für die Überwachung und Steuerung der Cybersicherheitsrisiken ihrer Einrichtung verantwortlich. Sie müssen sicherstellen, dass angemessene Risikobeurteilungen durchgeführt und entsprechende Maßnahmen ergriffen werden. Die Risikomanagementpflicht wird dahingehend konkretisiert, dass Leitungsorgane eine umfassende und detaillierte Bewertung der Cybersicherheitsrisiken ihrer Einrichtung durchführen müssen. Dies beinhaltet die Identifizierung kritischer Systeme und Prozesse sowie die Einschätzung potenzieller Auswirkungen von Cybervorfällen. Die Leitungsorgane müssen aktiv in die Entwicklung und regelmäßige Überprüfung von Notfallplänen für Cybervorfälle eingebunden sein. Sie tragen die Verantwortung für die Genehmigung dieser Pläne und müssen sicherstellen, dass diese regelmäßig getestet werden.
* '''Schulungen''': Leitungsorgane müssen an Schulungen zur Cybersicherheit teilnehmen, um sich Wissen und Fähigkeiten Bereich der Cybersicherheit anzueignen. Die Einrichtung hat dafür Sorge zu tragen, dass Mitarbeitende ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie gegebenenfalls Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste erwerben.
* '''Rechenschaftspflicht''': Die Leitungsorgane tragen die Verantwortung für die Einhaltung der Cybersicherheitsverpflichtungen ihrer Einrichtung. Eine Verletzung dieser Pflichten hat die schadenersatzrechtliche Haftung für schuldhaft verursachten Schaden, der der Einrichtung dadurch entstanden ist, zur Folge,<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 33</ref> sofern nicht ohnehin eine Haftung nach dem Organhaftpflichtgesetz (OrgHG), BGBl. Nr. 181/1967 besteht.
* '''Ressourcenbereitstellung''': Durch diese Pflichten und Verantwortlichkeiten soll sichergestellt werden, dass Cybersicherheit als strategische Priorität auf höchster Managementebene verankert wird und die notwendige Aufmerksamkeit und Unterstützung erhält.

=== Meldeverpflichtungen ===

==== NIS2 Richtlinie ====
Die NIS 2 Richtlinie sieht verschiedene Meldepflichten für Sicherheitsvorfälle vor, die entweder 24 Stunden, 72 Stunden oder einen Monat betragen. Die Fristen sind grundsätzlich als Höchstfristen angelegt, in den meisten Fällen wird eine unverzügliche Meldung gefordert.

* Innerhalb von '''24 Stunden''' nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine Frühwarnung an die zuständige nationale Behörde erfolgen. Diese soll Informationen darüber enthalten, ob kriminelle Hintergründe vermutet werden oder grenzüberschreitende Auswirkungen zu befürchten sind.
* Nach '''72 Stunden''' ist ein ausführlicherer Bericht fällig, der aktuelle Informationen, eine erste Bewertung, die Auswirkungen und gegebenenfalls Kompromittierungsindikatoren enthält.
* Innerhalb eines '''Monats''' nach der ersten Meldung muss ein Abschlussbericht übermittelt werden. Dieser soll eine detaillierte Beschreibung des Vorfalls, seine Klassifizierung, Schweregrad und Auswirkungen, sowie die getroffenen Abhilfemaßnahmen und mögliche grenzüberschreitende Auswirkungen umfassen.
Neben diesen Verpflichtungen zur Meldung besteht auch die Möglichkeit, in Bezug auf Sicherheitsvorfälle, Cyberbedrohungen und Beinahe-Vorfälle '''freiwillig Meldung''' an das CSIRT zu erstatten. Diese Option steht auch nicht wichtigen und nicht wesentlichen Einrichtungen zur Verfügung. Solche freiwilligen Meldungen können auch anonym erfolgen.

==== Nationaler Umsetzungsentwurf (NISG) ====

===== Meldung von Vorfällen an CSIRT =====
Meldepflichten werden durch §§ 34, 35, 37 NISG umgesetzt.

§ 34 Abs 1 NISG regelt die grundsätzliche Pflicht wesentlicher und wichtiger Einrichtungen dem für sie zuständigen sektorenspezifischen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall (§ 35) zu melden. Eine [https://www.nis.gv.at/fragen-und-antworten/computer-notfallteams.html Liste der CSIRTS iSd NISG] unterhält aktuell das Bundeskanzleramt.

Die Meldung unverzüglich, spätestens jedoch '''binnen 24 Stunden''' als Frühwarnung erfolgen, gefolgt von einer detaillierteren Meldung '''innerhalb von 72 Stunden''' und einem Abschlussbericht innerhalb '''eines Monats''' nach der Meldung. Sofern einen Monats nach der Meldung der Cybersicherheitsvorfall noch andauert, ist der Abschlussbericht als Fortschrittsbericht zu formulieren und der Abschlussbericht einen Monat nach Bewältigung des Cybersicherheitsvorfalls zu übermitteln.

====== Inhalte der Meldungen: ======

* '''Frühwarnung''': Angabe ob der Verdacht besteht, dass der erhebliche Cybersicherheitsvorfall auf rechtswidrige und schuldhafte Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte
* '''Meldung''': Aktualisierung der Frühwarnung und erste Bewertung des erheblichen Cybersicherheitsvorfalls (Schweregrads und seiner Auswirkungen, sowie gegebenenfalls der Kompromittierungsindikatoren)
* '''Abschlussbericht''': Ausführliche Beschreibung des Cybersicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, Angaben zur Art der Bedrohung und zugrundeliegender Ursachen, die wahrscheinlich den Cybersicherheitsvorfall ausgelöst hat; Angaben zu den getroffenen und laufenden Abhilfemaßnahmen; gegebenenfalls die grenzüberschreitenden Auswirkungen des Cybersicherheitsvorfalls.

Weiterleitungen einer Alarmierung an den Betreiber stellt keine Meldung (freiwillig oder verpflichtend) eines Cybersicherheitsvorfalls iSd § 34 NISG dar.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 21</ref>

===== Meldung von Vorfällen an Betroffene =====
Soweit ein erheblicher Cybersicherheitsvorfall die Erbringung des jeweiligen Dienstes der betroffenen Einrichtung beeinträchtigt, unterrichtet die Einrichtung die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Cybersicherheitsvorfall und teilt, soweit möglich, alle Maßnahmen oder Abhilfemaßnahmen mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können.

====== Erheblicher Cybersicherheitsvorfall ======
Ein Cybersicherheitsvorfall gilt nach § 35 NISG als erheblich, wenn der Sicherheitsvorfall:

* Schwerwiegende Betriebsstörungen der erbrachten Dienste oder schwerwiegende finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann

'''oder'''

* andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. Zudem sind die betroffenen Netz- und Informationssysteme und deren Bedeutung für die Erbringung der Dienste der jeweiligen Einrichtung, die Schwere und die technischen Merkmale der Cyberbedrohung und sämtliche zugrundeliegende Schwachstellen, die ausgenutzt werden, sowie die Erfahrungen der Einrichtung mit ähnlichen Vorfällen zu berücksichtigen.

Folgende weitere Kriterien sind in § 35 Abs 2 und 3 NISG beschrieben:

* Ausmaß der Abhängigkeit;
* die möglichen Auswirkungen von Cybersicherheitsvorfälle;
* Marktanteil der jeweiligen Einrichtung mit Bezug auf den betroffenen Dienst;
* das betroffene geografische Gebiet;
* unternehmens- und sektorspezifischen Faktoren.
* Soweit vorhanden: Verordnung der*des Bundesminister(s)*in für Inneres kann weitere Kriterien normieren.

Eine gewisse Auslegungshilfe bietet auch [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555 ErwGr 101 NIS2-RL].

Daneben definiert die [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690 Durchführungsverordnung (EU) 2024/2690] für bestimmte Einrichtungen was als erheblicher Sicherheitsvorfall zu qualifizieren ist.

== Fallbeispiel ==
Das Unternehmen NisExperts AG ist ein Anbieter von IT-Diensten mit Sitz in der Steiermark, beschäftigt 66 Mitarbeitende und erzielt eine Jahresbilanzsumme von neun Millionen Euro. NisExperts AG betreibt mehrere Rechenzentren, in welchen die IT-Infrastruktur für mehrere österreichische Krankenhäuser und das Netzleitsystem eines wichtigen steirischen Netzbetreibers untergebracht ist. Freitagnachmittag um 16:00 Uhr registriert das Security Operations Center (SOC) von NisExperts AG eine ungewöhnlich hohe Anzahl von Anfragen, die gegen die Firewalls eines Rechenzentrums gerichtet sind. Nach einer Analyse stellt sich heraus, dass es sich um eine DDoS-Attacke (Distributed Denial of Service) handelt, die eine zentrale Plattform des Unternehmens ins Visier nimmt.

Die Angreifer*innen setzen sogenannte Botnets ein, um die Ressourcen des Rechenzentrums zu überlasten. Trotz bestehender DDoS-Abwehrmaßnahmen gelingt es den Angreifer*innen, die Last zeitweise so hoch zu treiben, dass folgende Auswirkungen auftreten:

* Zwischen 17:00 Uhr und 20:00 Uhr kommt es zu wiederholten Ausfällen eines zentralen Zugriffsdienstes, der von Kunden genutzt wird, um Anwendungen in auszuführen.
* Kunden berichten von Verbindungsabbrüchen, langsamen Ladezeiten und der Unfähigkeit, kritische Daten zu verarbeiten und müssen Notfallpläne aktivieren.

'''Anwendungsbereich:'''

Gemäß § 24 Abs 2 NISG gelten Einrichtungen welche ein mittleres Unternehmen das in einem Sektor mit hoher Kritikalität gemäß den Anlagen 1 und 2 zum NISG tätig ist betriben als wichtige Einrichtungen. Eine Einrichtung gilt gemäß § 25 NISG unter anderem als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeitende beschäftigt. Die NisExperts AG beschäftigt mehr als 50 Mitarbeitende und ist in einem Sektor mit hoher Kritikalität (Digitale Infrastruktur - Rechenzentrumsdienste) gemäß Ziffer 8 Anlage 1 NISG tätig. Ob der Kund*innenstruktur könnte sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung und die öffentliche Gesundheit auswirken, das bewirkt aber für sich keine Qualifizierung als "wesentliche Einrichtung". Die NisExperts AG ist sohin als wichtige Einrichtung iSd NISG zu qualifizieren.

'''Meldung:'''

Wichtige Einrichtungen haben gemäß § 34 NISG dem für sie zuständigen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall zu melden. Bei der Beurteilung, ob ein Cybersicherheitsvorfall als erheblich im Sinne des einzustufen ist, sind gemäß § 35 Abs 2 lit b NISG unter anderem die möglichen Auswirkungen auf die öffentliche Ordnung und Sicherheit und die öffentliche Gesundheit oder die Gesundheit der Bevölkerung oder eines großen Personenkreises zu berüchsichtigen. Da die NisExperts AG ein kritischer Dienstleister für mehrere Krankenhäuser und der Ausfall die Aktivierung von Notfallplänen bedingt hat liegt wohl ein erheblicher Sicherheitsvorfall iSd § 35 NISG vor. Gemäß Art 8 [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690 Durchführungsverordnung (EU) 2024/2690] liegt ein erheblicher Sicherheitsvorfall dann vor, wenn Verfügbarkeit eines Rechenzentrumsdienstes eines vom Anbieter betriebenen Rechenzentrums ist für eine Dauer von mehr als einer Stunde eingeschränkt. Das liegt vor, weshalb jedenfalls ein erheblicher Sicherheitsvorfall vorliegt. In Ermangelung eines sektoralen CSIRT setzt NisExperts AG gemäß § 34 NISG folgende Meldungen an das nationale CSIRT (cert.at) ab.

'''Erstmeldung innerhalb von 24 Stunden:'''

* '''Inhalt:''' Beschreibung des Vorfalls, erste Bewertung der Auswirkungen auf Verfügbarkeit und Integrität, und die initial ergriffenen Maßnahmen.
* '''Technische Details:''' Einschätzung der Angriffsart (DDoS), betroffene Systeme und die mögliche Angriffsquelle.

'''Aktualisierung innerhalb von 72 Stunden:'''

* '''Vertiefte Analyse:''' Klärung der Ursachen, präzise Darstellung der Schäden und der geplanten weiteren Schritte zur Eindämmung und Wiederherstellung.
* '''Bewertung der Auswirkungen:''' Spezifikation der Kundengruppen und ihrer Ausfälle.

'''Abschlussbericht innerhalb eines Monats:'''

* '''Ergebnisse:''' Dokumentation des gesamten Incident-Management-Prozesses.
* '''Lessons Learned:''' Empfohlene Präventionsmaßnahmen und zukünftige Strategien.

== Synergien ==

=== Meldepflichten ===
Die Meldepflichten der Datenschutz-Grundverordnung (DSGVO) und der NIS2-Richtlinie überschneiden sich, da beide Regelwerke Anforderungen an die Meldung von Sicherheitsvorfällen oder Datenschutzverletzungen enthalten, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wesentlichen Punkte, in denen sich die Meldepflichten beider Regelwerke überschneiden und voneinander unterscheiden:

====== Art der betroffenen Daten ======

* DSGVO: Nur relevant, wenn personenbezogene Daten kompromittiert werden (zB unbefugter Zugriff, Verlust oder Diebstahl von Daten).
* NIS2: Relevanz auch für Vorfälle, die die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen betreffen, unabhängig davon, ob personenbezogene Daten betroffen sind. Es geht also um die Sicherstellung der allgemeinen IT-Sicherheit.

====== Bedingungen für die Meldung ======

* DSGVO: Eine Meldung ist erforderlich, wenn die Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
* NIS2: Meldepflichten gelten bei signifikanten Vorfällen, die wesentliche Auswirkungen auf die Bereitstellung essenzieller Dienste haben könnten. Die Beurteilung eines Vorfalls als signifikant erfolgt auf Basis von Faktoren wie der Anzahl betroffener Nutzer*innen, der Dauer des Vorfalls und des verursachten wirtschaftlichen Schadens.

====== Überschneidungen ======

* Beide Regelwerke verlangen Meldungen bei Vorfällen, die die Vertraulichkeit, Integrität oder Verfügbarkeit betreffen.
* Bei Sicherheitsvorfällen, die sowohl IT-Systeme als auch personenbezogene Daten betreffen, kann eine doppelte Meldepflicht bestehen: einmal an die zuständige Datenschutzbehörde (DSGVO) und einmal an die Cybersicherheitsbehörde (NIS2).
* Bei Betreibern wesentlicher Dienste, die personenbezogene Daten verarbeiten, könnten somit Vorfälle unter beide Regelungen fallen, was bedeutet, dass sowohl die Datenschutzverletzung als auch der Sicherheitsvorfall gemeldet werden müssen.

Die Meldepflichten der DSGVO und der NIS2 überschneiden sich in Fällen, in denen personenbezogene Daten durch Sicherheitsvorfälle gefährdet sind.

=== Risikomanagement ===
Die Risikomanagementanforderungen der Datenschutz-Grundverordnung (DSGVO) und der NIS2-Richtlinie überschneiden sich in bestimmten Bereichen, insbesondere wenn es um den Schutz von Daten und IT-Systemen geht. Beide Regelwerke erfordern von Organisationen, dass sie Maßnahmen zum Schutz von Informationen und zur Risikominimierung implementieren, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wichtigsten Überschneidungen und Unterschiede der Risikomanagementanforderungen:

* DSGVO: Der Fokus liegt auf dem Schutz personenbezogener Daten und den Rechten natürlicher Personen. Risikomanagement unter der DSGVO zielt darauf ab, das Risiko für die Rechte und Freiheiten von Einzelpersonen, die durch die Verarbeitung ihrer personenbezogenen Daten betroffen sind, zu minimieren.
* NIS2: Die NIS2-Richtlinie konzentriert sich auf die Cybersicherheit und den Schutz der Netz- und Informationssysteme in kritischen Sektoren (zB Energie, Gesundheit, Verkehr). Risikomanagement hier zielt darauf ab, die Resilienz von IT-Systemen und kritischen Infrastrukturen gegen Cyberbedrohungen zu stärken.

====== Risikobasierter Ansatz ======
Beide Regelwerke verlangen von den betroffenen Unternehmen, dass sie risikobasierte Ansätze verfolgen, um Sicherheitsmaßnahmen zu planen und umzusetzen.

* DSGVO: Die DSGVO verpflichtet Unternehmen dazu, angemessene technische und organisatorische Maßnahmen zu ergreifen, die dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen sind. Dies bedeutet, dass Unternehmen die potenziellen Risiken für personenbezogene Daten bewerten und basierend darauf Schutzmaßnahmen wie Verschlüsselung, Pseudonymisierung, Zugriffskontrollen und Datensicherungen implementieren. (Art 24, 32 DSGVO)
* NIS2: NIS2 verlangt von Unternehmen, ein Risikomanagement für ihre Netz- und Informationssysteme zu betreiben, das sich an den potenziellen Cyberrisiken orientiert. Es geht um die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Systemen und Informationen. Organisationen müssen Maßnahmen wie Netzwerksicherheitskontrollen, Bedrohungserkennungssysteme und Notfallpläne implementieren. (Art 21 NIS2-RL)

====== Konkrete Sicherheitsmaßnahmen ======

* DSGVO: Die DSGVO fordert spezifische Sicherheitsmaßnahmen für den Schutz personenbezogener Daten, einschließlich der Pseudonymisierung und Verschlüsselung, und verlangt, dass Unternehmen Maßnahmen zur Wiederherstellung der Datenverfügbarkeit nach einem physischen oder technischen Vorfall haben (Art 32 DSGVO). Die Anforderungen zielen direkt auf den Schutz von personenbezogenen Daten ab.
* NIS2: Die NIS2-Richtlinie legt Wert auf Cybersicherheitsmaßnahmen und operative Resilienz. Hierzu gehören Maßnahmen zur Sicherung der Netzwerk- und Informationssysteme gegen Bedrohungen, die Implementierung von Überwachungssystemen zur Bedrohungserkennung und die Sicherstellung von Redundanzen und Kontinuität der Dienste. Diese Maßnahmen sind breiter gefasst und betreffen nicht nur personenbezogene Daten, sondern die gesamte IT-Infrastruktur eines Unternehmens.

====== Risikobewertung und Dokumentation ======

* DSGVO: Unternehmen sind verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Dies umfasst eine detaillierte Bewertung der Risiken und die Implementierung von Maßnahmen zur Risikominimierung. (Art 35 DSGVO)
* NIS2: Organisationen müssen regelmäßig eine Risikobewertung ihrer Netz- und Informationssysteme durchführen, um potenzielle Cybersicherheitsrisiken zu identifizieren und entsprechend darauf zu reagieren. Diese Risikobewertungen müssen umfassender sein, da sie alle potenziellen Risiken für die kritischen IT-Infrastrukturen eines Unternehmens berücksichtigen.

====== Betroffene Unternehmen ======

* DSGVO: Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist verpflichtet, entsprechende Sicherheitsmaßnahmen und ein Risikomanagement zu implementieren. Hierbei handelt es sich um eine breite Anforderung, die nahezu alle Organisationen betrifft.
* NIS2: Die NIS2-Richtlinie gilt nur für Betreiber wesentlicher und wichtiger Dienste in kritischen Sektoren, wie Energieversorgung, Verkehr, Banken und Gesundheitswesen. Das Risikomanagement richtet sich hier primär an Organisationen, die für die Sicherheit von Infrastrukturen von großer Bedeutung verantwortlich sind.

====== Technische und organisatorische Maßnahmen ======
Beide Regelwerke fordern angemessene technische und organisatorische Maßnahmen, um Risiken zu minimieren, jedoch mit unterschiedlichen Schwerpunkten:

* DSGVO: Der Fokus liegt auf dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten. Unternehmen müssen Maßnahmen ergreifen, um unbefugten Zugriff auf Daten zu verhindern, Datensicherheit sicherzustellen und Maßnahmen zur Datenwiederherstellung bei Zwischenfällen zu implementieren.
* NIS2: Hier liegt der Fokus auf dem Schutz der IT-Systeme selbst, mit besonderem Augenmerk auf der Gewährleistung der Dienstverfügbarkeit und der Widerstandsfähigkeit gegen Cyberangriffe. Dies beinhaltet auch regelmäßige Sicherheitsüberprüfungen, Schwachstellenmanagement und Notfallmaßnahmen.

====== Überschneidungen ======

* Risikobewertung: Beide Regelungen verlangen eine risikobasierte Einschätzung und eine darauf basierende Umsetzung von Schutzmaßnahmen. Das Risikomanagement in beiden Fällen erfordert die Identifizierung potenzieller Bedrohungen und Schwachstellen sowie die Implementierung geeigneter Maßnahmen.
* Sicherheitsmaßnahmen: Technische und organisatorische Maßnahmen zur Minimierung von Risiken für IT-Systeme und Datenverarbeitung sind in beiden Regelwerken gefordert, insbesondere Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit.
* Dokumentationspflichten: Sowohl die DSGVO als auch die NIS2 fordern eine umfassende Dokumentation der Sicherheitsmaßnahmen und Risikobewertungen, um im Falle von Prüfungen oder Vorfällen nachweisen zu können, dass die Anforderungen erfüllt wurden.

Die Risikomanagementanforderungen der DSGVO und NIS2 überschneiden sich in Bezug auf die Notwendigkeit, Risiken zu bewerten und angemessene Schutzmaßnahmen zu implementieren, insbesondere wenn personenbezogene Daten durch Sicherheitsvorfälle oder Cyberangriffe bedroht sind. Unternehmen, die sowohl unter die DSGVO als auch unter NIS2 fallen, müssen ihre Risikomanagementstrategien so gestalten, dass sie beiden Regelwerken gerecht werden. Während die DSGVO den Schutz von personenbezogenen Daten betont, legt NIS2 den Fokus auf die Resilienz der IT-Systeme und die allgemeine Cybersicherheit. Dennoch ist eine Schnittmenge der Risiken in beiden Bereichen einschlägig. So ist es zu prüfen, ob in einem Bereich erhobene Risiken auch im anderen Bereich relevant sein können.

== Sanktionen ==

=== NIS2 Richtlinie ===
Die Höhe der Bußgelder unterscheidet sich je nach Einstufung des Unternehmens:

* Sanktionen für wesentliche Einrichtungen: Wesentliche Einrichtungen müssen bei Verstößen mit Bußgeldern von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist.
* Sanktionen für wichtige Einrichtungen: Für wichtige Einrichtungen beträgt das maximale Bußgeld bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes, wobei auch hier der höhere Betrag maßgeblich ist.
Neben den Geldstrafen kann die zuständige Behörde weitere Schritte einleiten:

* Erteilung verbindlicher Anweisungen zur Einhaltung der Richtlinie
* Vorübergehende Aussetzung der Geschäftstätigkeit bei Nichtbefolgung von Anweisungen
* Temporäres Tätigkeitsverbot für Personen in Leitungsfunktionen
* Leitungsorgane von Unternehmen, wie Vorstände oder Geschäftsführer*innen, können persönlich für die Einhaltung der Cybersicherheitsmaßnahmen haftbar gemacht werden.

=== Nationaler Umsetzungsentwurf (NISG) ===
Wird der Cybersicherheitsbehörde im Zuge ihrer Aufsicht erkennbar, dass eine wesentliche oder wichtige Einrichtung ihren Verpflichtungen nach diesem Bundesgesetz nicht nachkommt hat diese entsprechend § 39 Abs 1 bis 4 vorzugehen.

Die Einrichtung ist zunächst darauf hinzuweisen, bestimmte spezifische Umsetzungsmaßnahmen oder Adaptierungen im Bereich konkreter Risikomanagementmaßnahmen und bezüglich der Einhaltung von Berichtspflichten oder sonstigen Pflichten zu treffen.

Wird dem nicht nachgekommen, hat dies zur Folge, dass die angeordnete Maßnahme, wie etwa die (vollständige) Umsetzung jeweiliger Risikomanagementmaßnahmen durch die Cybersicherheitsbehörde mit Bescheid angeordnet werden.

Kommt eine wesentliche Einrichtung dem Bescheid nicht fristgerecht und nachweislich nach, ist die Cybersicherheitsbehörde befugt,

* zuständige Behörden zu ersuchen, die Zertifizierung oder Genehmigung für einen Teil oder alle von der Einrichtung erbrachten einschlägigen Dienste (einschließlich der Cybersicherheitszertifizierung gemäß Art 58 der Verordnung (EU) 2019/881) oder Tätigkeiten vorübergehend auszusetzen

oder

* einem Leitungsorgan der Einrichtung mit Bescheid untersagen, seine Leitungsaufgaben in dieser wesentlichen Einrichtung wahrzunehmen. Dieser Bescheid ist in einer allgemeinen Weise zu veröffentlichen, die geeignet erscheint, einen möglichst weiten Personenkreis zu erreichen.

==== Private Einrichtungen ====
§ 45 Abs 1 bis 3 NISG enthält einen Katalog an Verwaltungsübertretungen welche folgendermaßen zu sanktionieren sind:

* Verwaltungsübertretung wesentlicher Einrichtung: Geldstrafe in Höhe von bis zu 10 000 000 EUR oder bis zu 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, je nachdem, welcher Betrag höher ist.

* Verwaltungsübertretung wichtiger Einrichtung: Geldstrafe in Höhe von bis zu 7 000 000 EUR oder bis zu 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört, je nachdem, welcher Betrag höher ist.

§ 45 Abs 4 NISG enthält einen zusätzlichen Katalog an Verwaltungsübertretungen (insb. Missachtung von Duldungs und Dokumentationspflichten) welche folgendermaßen zu sanktionieren sind:

* Geldstrafe bis zu 50 000 EUR und im Wiederholungsfall bis zu 100 000 EUR .

==== Öffentliche Einrichtungen ====
§ 46 NISG sieht die Anzeige der Nichteinhaltung bei zuständiger Bezirksverwaltungsbehörde durch Bundesminister*in für Inneres und Feststellung der Rechtswidrigkeit durch Bezirksverwaltungsbehörde vor. Entsprechende Feststellungsbescheide sind zu veröffentlichen, als diese keine Gefahr für die öffentliche Ordnung oder Sicherheit darstellt. Der Sanktionscharakter dieser Bestimmung soll in dem durch die Veröffentlichung entstehenden öffentlichen und politischen Druck auf die jeweilige Behörde zum Ausdruck kommen.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 42</ref>

== Weiterführende Literatur ==

=== Überblicksartikel ===

* ''Burgstaller'', Aktuelle Ereignisse und Entwicklungen zum Informationsrecht, ZIIR 2023/140/2.
* ''Gutbrunner'', Pflichten aus der NIS-2-RL, LexisNexis, 05/2024.
* ''Hessel/Callewaert/Schneider'', Die NIS-2-Richtlinie aus Unternehmensperspektive, RDi 2024, 208.
* ''Löffler'', NIS-2. Ein Überblick, dako 2024, 76.
* ''Pollirer'', Checkliste NIS-2, dako 2024, 43.
* ''Schmidt'', Neue europäische Anforderungen im Cybersicherheitsrecht - die NIS2-Richtlinie im Überblick, KuR 2023, 705.
* ''Stadler/Drolz'', Cyberregeln treffen auch Lieferanten, Der Standard 2024/18/01.
* ''Staffler'', Morgendämmerung der EU-Cybersicherheit-Compliance, JSt 2023/328/4.
* ''Tretzmüller'', Die Umsetzung des NIS-Gesetzes.

=== Schwerpunktartikel ===
* ''Dittrich,'' IT-Sicherheit und Krisenresilienz bei Energieversorgern und Energieanlagen MMR 2022, 1039.
* ''Knyrim/Briegl'', NIS-2: die Anwendung im Konzern, Dako 2024/39.
* ''Neuwirth'', Vom "wesentlichen Dienst" zur "wesentlichen" beziehungsweise "wichtigen" Einrichtung - und weitere ausgewählte Aspekte zur NIS-2-Richtlinie, jusIT 2024/2/5.
* ''Reiter'', Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, Medien und Recht 2023/188/4.
* ''Reiter/Heidinger/Gstrein'', Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, MR 2023, 188.
* ''Schiefer/Wieser'', NIS-2-RL: Wer trägt die Verantwortung im Unternehmen?, ecolex 2023/568.
* ''Wegmann'', Too much of a good thing? Erweiterung und Verschärfung von Cybersicherheitsplichten durch die NIS2-Richtlinie, BB 2023, 835.
* ''Werner'', Anwendbarkeit der NIS-2 im chemischen Sektor, DSB 2024, 175.

=== Einführungswerke ===

* ''Kipker'', Textsammlung Cybersecurity (2023).

=== Sammelwerke ===

* ''Ditttrich/Dochow/Ippach'' (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024).
* ''Hornung/Schallbruch'' (Hrsg), IT-Sicherheitsrecht. Praxishandbuch2 (2024, iE).
* ''Kipker'' (Hrsg), Cybersecurity. Rechtshandbuch2 (2023).

=== Kommentare ===

== Einzelnachweise ==

Cybersecurity

2025-02-26T18:01:35Z

DavidMSchneeberger: /* Hintergründe und Überblick */

== Rechtsakte ==
* [[Network and Information Security Directive (NIS II-RL)|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)]]

== Hintergründe und Überblick ==

=== Allgemeines ===
Cybersicherheit (engl. Cybersecurity) bezeichnet Praktiken zum '''Schutz von digitalen Systemen, Netzwerken und Daten''' vor Angriffen, unbefugtem Zugriff und Schäden.<ref>Es gibt verschiedene alternative Begriffe, die oft im Zusammenhang mit Cybersicherheit verwendet werden zB:

IT-Sicherheit: Fokussiert sich auf den Schutz von Informationstechnologiesystemen.

Informationssicherheit: Umfasst den Schutz aller Arten von Informationen, sowohl digital als auch physisch.

Netzwerksicherheit: Konzentriert sich speziell auf den Schutz von Computernetzwerken.

Datensicherheit: Zielt auf den Schutz von Daten vor Verlust, Manipulation und unbefugtem Zugriff ab.</ref>

Die Europäische Union (EU) hat sich im Rahmen ihrer Cybersicherheitsstrategie zum Ziel gesetzt, Normen zu setzen, um das Niveau der Cybersicherheit in der EU zu erhöhen. Die Cybersicherheitsstrategie der EU ist ein zentraler Bestandteil ihrer Bemühungen, die digitale Transformation sicher und widerstandsfähig zu gestalten. Sie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen, technologische Souveränität zu gewährleisten und die Zusammenarbeit sowohl innerhalb der EU als auch mit internationalen Partner*innen zu stärken. Diese Strategie ist eng mit einer Reihe von Rechtsakten verbunden, die spezifische Aspekte der Cybersicherheit regeln und umsetzen. Die Strategie betont die Bedeutung eines koordinierten Vorgehens aller Mitgliedstaaten sowie eines hohen Maßes an technologischer Unabhängigkeit. Gleichzeitig wird die internationale Zusammenarbeit gefördert, um globale Standards für einen sicheren Cyberspace zu entwickeln.

Die EU-Cybersicherheitsstrategie verfolgt drei '''Hauptziele''':

* Resilienz, technologische Souveränität und Führung;
* operative Fähigkeit zur Verhinderung, Abschreckung und Reaktion;
* Zusammenarbeit zur Förderung eines globalen und offenen Cyberspace.<ref>''Europäische Kommission'', Die Cybersicherheitsstrategie, https://digital-strategy.ec.europa.eu/de/policies/cybersecurity-strategy (abgerufen am 26. 2. 2025).</ref>

Sie adressiert die wachsende Bedrohung durch Cyberangriffe, die zunehmend komplexer werden und sowohl kritische Infrastrukturen als auch Unternehmen und Bürger*innen betreffen. Um diesen Herausforderungen gerecht zu werden, setzt die EU auf eine Kombination aus regulatorischen Maßnahmen, Investitionen in Technologien und politischer Zusammenarbeit. Wesentliche Rechtsakte im Kontext der Cybersicherheitsstrategie:

=== NIS2-Richtlinie (Network and Information Security Directive) ===
Die NIS2-Richtlinie bildet das Rückgrat der EU-Cybersicherheitsstrategie und zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert den Anwendungsbereich auf 18 kritische Sektoren, darunter Energie, Gesundheit, Verkehr und digitale Infrastruktur. Die Richtlinie fordert von den Mitgliedstaaten die Entwicklung nationaler Cybersicherheitsstrategien sowie eine verstärkte Zusammenarbeit bei der Reaktion auf grenzüberschreitende Vorfälle. Unternehmen in den betroffenen Sektoren müssen strenge Risikomanagementmaßnahmen einführen und Sicherheitsvorfälle melden.

=== CER-Richtlinie (Critical Entities’ Resilience Directive) ===
Diese Richtlinie ergänzt die NIS2-Richtlinie, indem sie sich speziell auf die physische und digitale Widerstandsfähigkeit kritischer Infrastrukturen konzentriert. Sie verpflichtet die Mitgliedstaaten dazu, kritische Einrichtungen zu identifizieren und deren Schutz vor Cyber- und physischen Bedrohungen sicherzustellen.

=== DORA (Digital Operational Resilience Act) ===
DORA richtet sich an den Finanzsektor und legt detaillierte Anforderungen an das IT-Risikomanagement fest. Ziel ist es, sicherzustellen, dass Finanzinstitute wie Banken oder Versicherungen auch bei schwerwiegenden Cybervorfällen funktionsfähig bleiben. Der Fokus liegt auf Belastungstests, Berichtspflichten und der Überwachung von Drittanbietern.

=== Cyber Resilience Act (CRA) ===
Der CRA zielt darauf ab, verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einzuführen. Hersteller sind verpflichtet, Sicherheitsaspekte während des gesamten Produktlebenszyklus zu berücksichtigen. Dies soll dazu beitragen, Schwachstellen in digitalen Produkten frühzeitig zu minimieren.

=== Cyber Solidarity Act ===
Dieser Rechtsakt stärkt die Zusammenarbeit zwischen den EU-Mitgliedstaaten bei der Bewältigung großer Cyberangriffe. Er sieht unter anderem einen Notfallmechanismus sowie ein Frühwarnsystem für Cybersicherheitsvorfälle vor.

=== Cyber Security Act (CSA) ===
Der CSA etablierte ein EU-weites Zertifizierungssystem für IKT-Produkte und stärkte das Mandat der Europäischen Agentur für Cybersicherheit (ENISA). Ziel ist es, einheitliche Standards für Cybersicherheit in der gesamten EU zu schaffen.

== Einzelnachweise ==

Cybersecurity

2025-02-26T18:01:18Z

DavidMSchneeberger: /* Hintergründe und Überblick */

== Rechtsakte ==
* [[Network and Information Security Directive (NIS II-RL)|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)]]

== Hintergründe und Überblick ==
Cybersicherheit (engl. Cybersecurity) bezeichnet Praktiken zum '''Schutz von digitalen Systemen, Netzwerken und Daten''' vor Angriffen, unbefugtem Zugriff und Schäden.<ref>Es gibt verschiedene alternative Begriffe, die oft im Zusammenhang mit Cybersicherheit verwendet werden zB:

IT-Sicherheit: Fokussiert sich auf den Schutz von Informationstechnologiesystemen.

Informationssicherheit: Umfasst den Schutz aller Arten von Informationen, sowohl digital als auch physisch.

Netzwerksicherheit: Konzentriert sich speziell auf den Schutz von Computernetzwerken.

Datensicherheit: Zielt auf den Schutz von Daten vor Verlust, Manipulation und unbefugtem Zugriff ab.</ref>

Die Europäische Union (EU) hat sich im Rahmen ihrer Cybersicherheitsstrategie zum Ziel gesetzt, Normen zu setzen, um das Niveau der Cybersicherheit in der EU zu erhöhen. Die Cybersicherheitsstrategie der EU ist ein zentraler Bestandteil ihrer Bemühungen, die digitale Transformation sicher und widerstandsfähig zu gestalten. Sie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen, technologische Souveränität zu gewährleisten und die Zusammenarbeit sowohl innerhalb der EU als auch mit internationalen Partner*innen zu stärken. Diese Strategie ist eng mit einer Reihe von Rechtsakten verbunden, die spezifische Aspekte der Cybersicherheit regeln und umsetzen. Die Strategie betont die Bedeutung eines koordinierten Vorgehens aller Mitgliedstaaten sowie eines hohen Maßes an technologischer Unabhängigkeit. Gleichzeitig wird die internationale Zusammenarbeit gefördert, um globale Standards für einen sicheren Cyberspace zu entwickeln.

Die EU-Cybersicherheitsstrategie verfolgt drei '''Hauptziele''':

* Resilienz, technologische Souveränität und Führung;
* operative Fähigkeit zur Verhinderung, Abschreckung und Reaktion;
* Zusammenarbeit zur Förderung eines globalen und offenen Cyberspace.<ref>''Europäische Kommission'', Die Cybersicherheitsstrategie, https://digital-strategy.ec.europa.eu/de/policies/cybersecurity-strategy (abgerufen am 26. 2. 2025).</ref>

Sie adressiert die wachsende Bedrohung durch Cyberangriffe, die zunehmend komplexer werden und sowohl kritische Infrastrukturen als auch Unternehmen und Bürger*innen betreffen. Um diesen Herausforderungen gerecht zu werden, setzt die EU auf eine Kombination aus regulatorischen Maßnahmen, Investitionen in Technologien und politischer Zusammenarbeit. Wesentliche Rechtsakte im Kontext der Cybersicherheitsstrategie:

=== NIS2-Richtlinie (Network and Information Security Directive) ===
Die NIS2-Richtlinie bildet das Rückgrat der EU-Cybersicherheitsstrategie und zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert den Anwendungsbereich auf 18 kritische Sektoren, darunter Energie, Gesundheit, Verkehr und digitale Infrastruktur. Die Richtlinie fordert von den Mitgliedstaaten die Entwicklung nationaler Cybersicherheitsstrategien sowie eine verstärkte Zusammenarbeit bei der Reaktion auf grenzüberschreitende Vorfälle. Unternehmen in den betroffenen Sektoren müssen strenge Risikomanagementmaßnahmen einführen und Sicherheitsvorfälle melden.

=== CER-Richtlinie (Critical Entities’ Resilience Directive) ===
Diese Richtlinie ergänzt die NIS2-Richtlinie, indem sie sich speziell auf die physische und digitale Widerstandsfähigkeit kritischer Infrastrukturen konzentriert. Sie verpflichtet die Mitgliedstaaten dazu, kritische Einrichtungen zu identifizieren und deren Schutz vor Cyber- und physischen Bedrohungen sicherzustellen.

=== DORA (Digital Operational Resilience Act) ===
DORA richtet sich an den Finanzsektor und legt detaillierte Anforderungen an das IT-Risikomanagement fest. Ziel ist es, sicherzustellen, dass Finanzinstitute wie Banken oder Versicherungen auch bei schwerwiegenden Cybervorfällen funktionsfähig bleiben. Der Fokus liegt auf Belastungstests, Berichtspflichten und der Überwachung von Drittanbietern.

=== Cyber Resilience Act (CRA) ===
Der CRA zielt darauf ab, verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einzuführen. Hersteller sind verpflichtet, Sicherheitsaspekte während des gesamten Produktlebenszyklus zu berücksichtigen. Dies soll dazu beitragen, Schwachstellen in digitalen Produkten frühzeitig zu minimieren.

=== Cyber Solidarity Act ===
Dieser Rechtsakt stärkt die Zusammenarbeit zwischen den EU-Mitgliedstaaten bei der Bewältigung großer Cyberangriffe. Er sieht unter anderem einen Notfallmechanismus sowie ein Frühwarnsystem für Cybersicherheitsvorfälle vor.

=== Cyber Security Act (CSA) ===
Der CSA etablierte ein EU-weites Zertifizierungssystem für IKT-Produkte und stärkte das Mandat der Europäischen Agentur für Cybersicherheit (ENISA). Ziel ist es, einheitliche Standards für Cybersicherheit in der gesamten EU zu schaffen.

== Einzelnachweise ==

Cybersecurity

2025-02-26T18:00:10Z

DavidMSchneeberger:

== Rechtsakte ==
* [[Network and Information Security Directive (NIS II-RL)|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)]]

== Hintergründe und Überblick ==
Cybersicherheit (engl. Cybersecurity) bezeichnet Praktiken zum '''Schutz von digitalen Systemen, Netzwerken und Daten''' vor Angriffen, unbefugtem Zugriff und Schäden.<ref>Es gibt verschiedene alternative Begriffe, die oft im Zusammenhang mit Cybersicherheit verwendet werden zB:

IT-Sicherheit: Fokussiert sich auf den Schutz von Informationstechnologiesystemen.

Informationssicherheit: Umfasst den Schutz aller Arten von Informationen, sowohl digital als auch physisch.

Netzwerksicherheit: Konzentriert sich speziell auf den Schutz von Computernetzwerken.

Datensicherheit: Zielt auf den Schutz von Daten vor Verlust, Manipulation und unbefugtem Zugriff ab.</ref>

Die Europäische Union (EU) hat sich im Rahmen ihrer Cybersicherheitsstrategie zum Ziel gesetzt, Normen zu setzen, um das Niveau der Cybersicherheit in der EU zu erhöhen. Die Cybersicherheitsstrategie der EU ist ein zentraler Bestandteil ihrer Bemühungen, die digitale Transformation sicher und widerstandsfähig zu gestalten. Sie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen, technologische Souveränität zu gewährleisten und die Zusammenarbeit sowohl innerhalb der EU als auch mit internationalen Partner*innen zu stärken. Diese Strategie ist eng mit einer Reihe von Rechtsakten verbunden, die spezifische Aspekte der Cybersicherheit regeln und umsetzen. Die Strategie betont die Bedeutung eines koordinierten Vorgehens aller Mitgliedstaaten sowie eines hohen Maßes an technologischer Unabhängigkeit. Gleichzeitig wird die internationale Zusammenarbeit gefördert, um globale Standards für einen sicheren Cyberspace zu entwickeln.

Die EU-Cybersicherheitsstrategie verfolgt drei '''Hauptziele''':

* Resilienz, technologische Souveränität und Führung;
* operative Fähigkeit zur Verhinderung, Abschreckung und Reaktion;
* Zusammenarbeit zur Förderung eines globalen und offenen Cyberspace.<ref>''Europäische Kommission'', Die Cybersicherheitsstrategie, https://digital-strategy.ec.europa.eu/de/policies/cybersecurity-strategy (abgerufen am 26. 2. 2025).</ref>

Sie adressiert die wachsende Bedrohung durch Cyberangriffe, die zunehmend komplexer werden und sowohl kritische Infrastrukturen als auch Unternehmen und Bürger*innen betreffen. Um diesen Herausforderungen gerecht zu werden, setzt die EU auf eine Kombination aus regulatorischen Maßnahmen, Investitionen in Technologien und politischer Zusammenarbeit. Wesentliche Rechtsakte im Kontext der Cybersicherheitsstrategie:

====== NIS2-Richtlinie (Network and Information Security Directive) ======
Die NIS2-Richtlinie bildet das Rückgrat der EU-Cybersicherheitsstrategie und zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert den Anwendungsbereich auf 18 kritische Sektoren, darunter Energie, Gesundheit, Verkehr und digitale Infrastruktur. Die Richtlinie fordert von den Mitgliedstaaten die Entwicklung nationaler Cybersicherheitsstrategien sowie eine verstärkte Zusammenarbeit bei der Reaktion auf grenzüberschreitende Vorfälle. Unternehmen in den betroffenen Sektoren müssen strenge Risikomanagementmaßnahmen einführen und Sicherheitsvorfälle melden.

====== CER-Richtlinie (Critical Entities’ Resilience Directive) ======
Diese Richtlinie ergänzt die NIS2-Richtlinie, indem sie sich speziell auf die physische und digitale Widerstandsfähigkeit kritischer Infrastrukturen konzentriert. Sie verpflichtet die Mitgliedstaaten dazu, kritische Einrichtungen zu identifizieren und deren Schutz vor Cyber- und physischen Bedrohungen sicherzustellen.

====== DORA (Digital Operational Resilience Act) ======
DORA richtet sich an den Finanzsektor und legt detaillierte Anforderungen an das IT-Risikomanagement fest. Ziel ist es, sicherzustellen, dass Finanzinstitute wie Banken oder Versicherungen auch bei schwerwiegenden Cybervorfällen funktionsfähig bleiben. Der Fokus liegt auf Belastungstests, Berichtspflichten und der Überwachung von Drittanbietern.

====== Cyber Resilience Act (CRA) ======
Der CRA zielt darauf ab, verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einzuführen. Hersteller sind verpflichtet, Sicherheitsaspekte während des gesamten Produktlebenszyklus zu berücksichtigen. Dies soll dazu beitragen, Schwachstellen in digitalen Produkten frühzeitig zu minimieren.

====== Cyber Solidarity Act ======
Dieser Rechtsakt stärkt die Zusammenarbeit zwischen den EU-Mitgliedstaaten bei der Bewältigung großer Cyberangriffe. Er sieht unter anderem einen Notfallmechanismus sowie ein Frühwarnsystem für Cybersicherheitsvorfälle vor.

====== Cyber Security Act (CSA) ======
Der CSA etablierte ein EU-weites Zertifizierungssystem für IKT-Produkte und stärkte das Mandat der Europäischen Agentur für Cybersicherheit (ENISA). Ziel ist es, einheitliche Standards für Cybersicherheit in der gesamten EU zu schaffen.

== Einzelnachweise ==

Hauptseite

2025-02-26T17:53:56Z

DavidMSchneeberger: /* Quellenhinweise */

Herzlich Willkommen im ATLAWS-Wiki

ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

[[Datei:ATLAWS Landkarte.png|mini|alternativtext=ATLAWS Landkarte]]

= Einführung in das ATLAWS-Projekt =

Das ATLAWS-Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Damit sollen essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert werden. So soll ein rascher Gesamtüberblick über den aktuellen rechtlichen Stand ermöglicht werden.

Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.

Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.

Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo können Synergien erzielt werden?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?

Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.

Nähere Informationen zum Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].

Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].

= Cluster =

Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen jeweils eigene Workshops angeboten werden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Cybersecurity]] ===

* [[Network and Information Security Directive (NIS II-RL)|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)]]

=== [[Künstliche Intelligenz]] ===

* [[Artificial Intelligence Act (AIA)]]
* [[KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Digitale Dienste und Märkte]] ===

* [[Digital Markets Act (DMA)]]
* [[Digital Services Act (DSA)]]
* [[Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Datenstrategie]] ===

* [[European Health Data Space (EHDS)]]
* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]

= Beteiligte Organisationen im ATLAWS-Projekt =
[[Liste der Beteiligten im ATLAWS-Projekt]]

= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den vergangenen Workshops finden Sie [[Co-creation-workshops|hier]].

= Mitarbeiter*innen im ATLAWS-Projekt =
[[Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise =

== Hinweis zum gendergerechten Sprachgebrauch ==
Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.

In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung ==
Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.

Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe =

Besuche unsere [[Hilfe|Hilfe-Seite]].

= Einzelnachweise =

Hauptseite

2025-02-26T17:53:37Z

DavidMSchneeberger: /* Disclaimer */

Herzlich Willkommen im ATLAWS-Wiki

ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

[[Datei:ATLAWS Landkarte.png|mini|alternativtext=ATLAWS Landkarte]]

= Einführung in das ATLAWS-Projekt =

Das ATLAWS-Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Damit sollen essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert werden. So soll ein rascher Gesamtüberblick über den aktuellen rechtlichen Stand ermöglicht werden.

Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.

Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.

Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo können Synergien erzielt werden?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?

Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.

Nähere Informationen zum Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].

Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].

= Cluster =

Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen jeweils eigene Workshops angeboten werden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Cybersecurity]] ===

* [[Network and Information Security Directive (NIS II-RL)|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)]]

=== [[Künstliche Intelligenz]] ===

* [[Artificial Intelligence Act (AIA)]]
* [[KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Digitale Dienste und Märkte]] ===

* [[Digital Markets Act (DMA)]]
* [[Digital Services Act (DSA)]]
* [[Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Datenstrategie]] ===

* [[European Health Data Space (EHDS)]]
* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]

= Beteiligte Organisationen im ATLAWS-Projekt =
[[Liste der Beteiligten im ATLAWS-Projekt]]

= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den vergangenen Workshops finden Sie [[Co-creation-workshops|hier]].

= Mitarbeiter*innen im ATLAWS-Projekt =
[[Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise =

== Hinweis zum gendergerechten Sprachgebrauch ==
Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.

In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung ==
Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.

Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe =

Besuche unsere [[Hilfe|Hilfe-Seite]].

= Quellenhinweise =

Hauptseite

2025-02-26T17:53:03Z

DavidMSchneeberger: /* Einführung in das ATLAWS-Projekt */

Herzlich Willkommen im ATLAWS-Wiki

ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

[[Datei:ATLAWS Landkarte.png|mini|alternativtext=ATLAWS Landkarte]]

= Einführung in das ATLAWS-Projekt =

Das ATLAWS-Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Damit sollen essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert werden. So soll ein rascher Gesamtüberblick über den aktuellen rechtlichen Stand ermöglicht werden.

Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.

Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.

Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo können Synergien erzielt werden?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?

Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.

Nähere Informationen zum Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].

Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].

= Cluster =

Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen jeweils eigene Workshops angeboten werden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Cybersecurity]] ===

* [[Network and Information Security Directive (NIS II-RL)|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)]]

=== [[Künstliche Intelligenz]] ===

* [[Artificial Intelligence Act (AIA)]]
* [[KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Digitale Dienste und Märkte]] ===

* [[Digital Markets Act (DMA)]]
* [[Digital Services Act (DSA)]]
* [[Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Datenstrategie]] ===

* [[European Health Data Space (EHDS)]]
* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]

= Beteiligte Organisationen im ATLAWS-Projekt =
[[Liste der Beteiligten im ATLAWS-Projekt]]

= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den vergangenen Workshops finden Sie [[Co-creation-workshops|hier]].

= Mitarbeiter*innen im ATLAWS-Projekt =
[[Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise =

== Hinweis zum gendergerechten Sprachgebrauch ==
Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.

In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer ==
Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.

Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe =

Besuche unsere [[Hilfe|Hilfe-Seite]].

= Quellenhinweise =

RI Wiki:Datenschutz

2025-02-26T17:45:02Z

DavidMSchneeberger:

'''Datenschutzerklärung (Information gemäß Art. 13 und 14 DSGVO)
'''

Wir, die Research Institute AG & Co KG (in dieser Datenschutzerklärung auch kurz „Research Institute”, „RI” oder „wir“ genannt), sind den Prinzipien des Schutzes personenbezogener Daten verpflichtet. Die Nutzung unseres Webauftritts sowie unsere wissenschaftlichen und unternehmerischen Tätigkeiten sind im Regelfall mit der Verarbeitung personenbezogener Daten verbunden. Um diese Datenverarbeitungen nachvollziehbar zu machen, möchten wir Sie in unserer Datenschutzerklärung darüber informieren, wie wir personenbezogene Daten verarbeiten und welche Rechte Sie in diesem Zusammenhang haben.

'''I. Wer wir sind und wie Sie uns bei Fragen erreichen können:
'''

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) ist die:
Research Institute AG & Co KG
Amundsenstraße 9, 1170 Wien
Firmenbuchnummer: FN 355966 f
E-Mail: kontakt@researchinstitute.at
Telefon: +43 1 524 3 524 – 0

Unseren Datenschutzbeauftragten erreichen Sie wie folgt:
Datenschutzbeauftragter
p.A. Research Institute AG & Co KG
Amundsenstraße 9, 1170 Wien
E-Mail: dsba@researchinstitute.at

'''II. Unsere Datenverarbeitungen – wozu und auf welchen Rechtsgrundlagen wir personenbezogene Daten verarbeiten:

'''II.1. Allgemeines:
'''

Wir verarbeiten personenbezogene Daten unter Einhaltung der einschlägigen Datenschutzvorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO, VO [EU] 2016/679) und des österreichischen Datenschutzgesetzes (DSG). Eine Verarbeitung durch uns findet somit nur auf Basis einer Rechtsgrundlage (insbesondere gemäß Art 6 Abs 1 lit a – f DSGVO) statt, die im Folgenden bei den einzelnen Datenverarbeitungen angegeben wird. Alle unsere mit der Verarbeitung betrauten MitarbeiterInnen sind verpflichtet, die Vertraulichkeit Ihrer Daten zu wahren (Datengeheimnis). RI führt keine automatisierte Entscheidungsfindung durch.

Grundsätzlich erheben wir personenbezogene Daten bei der betroffenen Person. Im Einzelfall erheben und speichern wir personenbezogene Daten (insbesondere Name, Kontaktinformationen) aufgrund von Korrespondenz mit unseren Kunden und Geschäftspartnern oder aus öffentlich zugänglichen Quellen (z.B. Telefonbuch, Webauftritte, Firmenbuch) auf Grundlage von Art 6 Abs 1 lit f DSGVO (und somit nicht direkt bei der betroffenen Person), wenn dies für unsere Leistungserbringung bzw. zur Kontaktaufnahme und Administration notwendig ist, worin auch unser berechtigtes Interesse liegt.

'''II.2. Betrieb unseres Webauftritts:
'''

Bei jedem Zugriff auf unseren Webauftritt (www.researchinstitute.at) übermittelt Ihr Computer (Endgerät) bzw. Browser automatisiert bestimmte Informationen, um den Besuch bzw. den Betrieb der Website zu ermöglichen, diese Daten werden in den Logfiles unseres Systems gespeichert:

IP-Adresse
Datum und Uhrzeit der Anfrage
Zeitzonendifferenz zur Greenwich Mean Time (GMT)
Inhalt der Anforderung (abzurufende Seite/Inhalt)
Zugriffsstatus/HTTP(S)-Statuscode
Browser und Browserversion
Betriebssystem und dessen Oberfläche
Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers, eine personenbezogene Auswertung oder Profilbildung finden nicht statt.

Rechtsgrundlage und Zweck der Datenverarbeitung
Rechtsgrundlage für die Verarbeitung der Daten und deren vorübergehende Speicherung in Logfiles ist Art 6 Abs 1 lit f DSGVO. Die vorübergehende Speicherung der angeführten Daten durch das System ist notwendig, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Website sicherzustellen. Zudem dienen uns die Daten zur Optimierung der Website und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme, insbesondere der Gewährleistung der Integrität, Vertraulichkeit und Verfügbarkeit der Daten, die über unseren Webauftritt verarbeitet werden. In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art 6 Abs 1 lit f DSGVO.

Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Bei der Erfassung der Daten zur Bereitstellung der Website ist dies dann der Fall, wenn die jeweilige Sitzung beendet ist. Bei der Speicherung der Daten in Logfiles ist dies nach spätestens sieben Tagen der Fall, ausgenommen eine weitere Verarbeitung ist zur Aufklärung eines (vermuteten) Angriffs erforderlich.

Personenbezogene Daten, die beim Betrieb der Website anfallen und protokolliert wurden, werden von uns nur für den Fall eines (vermuteten) Datensicherheitsvorfalls oder einer strafbaren Handlung (z.B. der Störung der Funktionsfähigkeit eines Computersystems; widerrechtlicher Zugriff auf ein Computersystem) zu Zwecken der Aufklärung, der Verfolgung sowie zur Geltendmachung von Rechtsansprüchen an Dritte (insbesondere fachkundige Personen und Sicherheitsbehörden) übermittelt. Eine Übermittlung protokollierter Daten an Dritte kann auch stattfinden, soweit wir gesetzlich oder durch Gerichtsentscheidung dazu verpflichtet sind.

Webseiten Dritter
Unser Webauftritt enthält zum Teil (z.B. in unseren Veranstaltungshinweisen) Hyperlinks zu und von Webseiten Dritter und damit eigenständig Verantwortlicher. Wenn Sie einem Hyperlink zu einer dieser Webseiten folgen, beachten Sie bitte, dass wir keine Verantwortung oder Gewähr für fremde Inhalte oder Datenschutzbedingungen Dritter übernehmen können.

'''II.3. An wen übermitteln wir personenbezogene Daten?
'''

Wir übermitteln Ihre personenbezogenen Daten nur soweit dies erforderlich ist und nur in den folgenden Fällen – bitte beachten Sie auch die Zusatzinformationen in den einzelnen Nutzungsszenarien:

mit Ihrer Einwilligung;
für die Abwicklung von Vertragsverhältnissen bzw. zur Durchführung vorvertraglicher Maßnahmen;
soweit wir dazu gesetzlich verpflichtet sind;
an Unternehmen, die uns bei der Bereitstellung unserer Dienste unterstützen; diese Diensteanbieter werden als Auftragsverarbeiter tätig, welche die Daten nur nach unseren Weisungen (im Rahmen eines Auftragsverarbeitungsvertrags) verarbeiten dürfen;
soweit dies zur Wahrung unserer berechtigten Interessen (z.B. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) oder eines Dritten erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben.
In Frage kommen in den oben genannten Fällen dabei folgende Dritte: Vertrags- und Ge-schäftspartner, die an der Lieferung oder Leistung mitwirken (z.B. Logistikunternehmen), Banken (zur Abwicklung des Zahlungsverkehrs), Rechtsvertreter, Gerichte, Wirtschaftstreu-händer/ Steuerberater, Verwaltungsbehörden, Selbstverwaltungskörper (Sozialversicherungsträger), Versicherungen.

Grundsätzlich liegt keine Absicht des RI vor, personenbezogene Daten an Empfänger in Drittländern oder internationale Organisationen zu übermitteln. Eine solche Übermittlung ist möglich, wenn eine betroffene Person bzw. ein im konkreten Fall Beteiligter seinen Sitz in einem Drittland hat (z.B. im Fall eines Kunden mit Hauptsitz außerhalb der EU). Wenn wir Daten in ein Land ohne angemessenen gesetzlichen Datenschutz übermitteln, sorgen wir durch den Einsatz geeigneter Garantien in der Form entsprechender Verträge (Standardvertragsklauseln) bzw. verbindlicher interner Datenschutzvorschriften (Binding Corporate Rules) für ein angemessenes Schutzniveau oder stützen uns auf die in der DSGVO sonst vorgesehenen Ausnahmetatbestände (Einwilligung, der Vertragsabwicklung, der Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen, überwiegender öffentlicher Interessen, der veröffentlichten Personendaten oder weil es zum Schutz der Unversehrtheit der betroffenen Personen nötig ist). Für eine Kopie der erwähnten vertraglichen Garantie kontaktieren Sie uns unter den angegeben Kontaktdaten.
In diesem Zusammenhang weisen wir auch darauf hin, dass etwaige von Nutzern unserer Dienste selbst freiwillig veröffentlichte Daten (z.B. Online-Kommentare auf der Website) öffentlich und potenziell weltweit zugänglich sind.

'''III. Wie lange speichern wir personenbezogene Daten?
'''Soweit bei der jeweiligen Verarbeitung nicht Näheres angeführt ist, speichern wir personenbezogene Daten grundsätzlich so lange, wie es erforderlich ist, um die Erfüllung der genannten Zwecke sicherzustellen bzw. solange wir dazu gesetzlich verpflichtet sind.
Das heißt bei Geschäftsbriefen, Verträgen, Buchungen etc. gem. § 212 Abs 1 UGB und § 132 Abs 1 BAO: Bis zur Beendigung der Geschäftsbeziehung oder bis zum Ablauf der für uns geltenden Verjährungs- und gesetzlichen Aufbewahrungsfristen (insbesondere mindestens 7 Jahre zum Nachweis der Erfüllung steuer-, abgaben- und unternehmensrechtlichen Aufbewahrungspflichten); darüber hinaus bis zur Beendigung von allfälligen Rechtsstreitigkeiten, bei denen die Daten als Beweis benötigt werden. Bei Leistungen, bei denen Forderungen aus Schadenersatz oder aus anderen Titeln geltend gemacht werden, für die erforderliche Dauer (zwischen 3 und 30 Jahren).
Bei Anfragen (Kontaktaufnahme): Personenbezogene Daten, die Sie uns freiwillig bekannt geben, werden von uns zweckgebunden für die Erbringung der damit verbundenen Bearbeitung und Evidenthaltung gespeichert (bis zu 3 Jahre nach Erledigung bzw. Beendigung), aus-genommen eine längere Speicherdauer ist darüber hinaus für Zwecke der Erfüllung einer gesetzlichen Verpflichtung oder für die Geltendmachung bzw. Abwehr von Rechtsansprüchen erforderlich.

'''IV. Rechte der betroffenen Person
'''Sofern die jeweiligen gesetzlich vorgegebenen Voraussetzungen vorliegen, können Sie die folgenden Betroffenenrechte geltend machen:

Recht auf Auskunft: Sie können eine Bestätigung darüber verlangen, ob personenbezogene Daten von Ihnen verarbeitet werden und Auskunft über diese Daten und die Informationen gemäß Art 15 DSGVO verlangen.
Recht auf Berichtigung, wenn wir unrichtige oder unvollständige Daten über Sie verarbeiten (Art 16 DSGVO).
Recht auf Löschung Sie betreffender personenbezogener Daten, wenn die Voraussetzungen des Art 17 DSGVO vorliegen.
Recht auf Einschränkung der Verarbeitung Ihrer Daten (Art 18 DSGVO).
Recht auf Datenübertragbarkeit Ihrer uns bereitgestellten Daten, sofern die Verarbeitung auf einer Einwilligung (Art 6 Abs 1 lit a) oder auf einem Vertrag (Art 6 Abs 1 lit b) beruht, dessen Vertragspartei Sie sind und die Verarbeitung mithilfe automatisierter Verfahren erfolgt (Art 20 DSGVO).
Bei Verarbeitungen, die auf Grundlage berechtigter Interessen (gemäß Art 6 Abs 1 lit f DSGVO) verarbeitet werden, haben Sie das Recht, gemäß Art 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit da-für Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Bei Verarbeitungen zum Zweck der Direktwerbung besteht dieses Recht ohne Einschränkungen.
Sie können erteilte Einwilligungen in die Verarbeitung personenbezogener Daten jederzeit widerrufen, bitte wenden Sie sich an uns (siehe unsere Kontaktdaten). Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Beschwerderecht: Sie haben ferner das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt oder Ihre Betroffenenrechte verletzt wurden. Dazu können Sie sich entweder an die zuständige Aufsichtsbehörde an Ihrem Wohnort oder an die für in Österreich zuständige Behörde wenden, die unter folgender Kontaktadresse erreichbar ist:
Österreichische Datenschutzbehörde (DSB)
Barichgasse 40-42, A-1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Web: https://www.dsb.gv.at

Wir ersuchen Sie, in Fällen, in denen Sie mit unserer Arbeit nicht vollständig zufrieden waren, zunächst mit uns Kontakt aufzunehmen, damit wir eine Möglichkeit erhalten, etwaige Fehler beheben zu können.

'''V. Änderungen unserer Datenschutzerklärung
'''Wir halten unsere Datenschutzerklärung stets aktuell und passen diese daher an, wenn dies erforderlich ist. Die jeweils aktuelle Fassung unserer Datenschutzerklärung ist unter https://researchinstitute.at/datenschutzerklaerung abrufbar.

Stand 07. Juni 2022