Deutschland wird wahrscheinlich bald eine neue Regierung haben. Am 6. November 2024 zerbrach die Ampelkoalition, was zu Neuwahlen im März 2025 führen könnte. Bundeskanzler Scholz hat zwar angekündigt, dass die Regierung noch wichtige Gesetzesvorhaben voranbringen will. Er hat jedoch keine aus dem Digitalbereich ausdrücklich genannt. Werden die Gesetzesvorhaben nicht bald verabschiedet, verfallen sie mit Ende der Legislaturperiode. Davon sind auch mehrere Vorhaben im Digitalbereich betroffen. Wir fassen die voraussichtlich wesentlichsten Konsequenzen für anstehende Vorhaben zusammen.
Cyber- und Anlagensicherheit
Besonders betroffen sind die geplanten Vorhaben zur Cyber- und Anlagensicherheit. Die folgenden Gesetze hätten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Aufgrund des Koalitionsendes und anhaltender Diskussionen ist ihre Umsetzung in dieser Legislaturperiode ungewiss.
- NIS2-Umsetzungsgesetz (NIS2UmsuCG): Dieses Gesetz soll die EU-Richtlinie NIS2 in nationales Recht überführen und die Cybersicherheitsanforderungen für Unternehmen und öffentliche Institutionen verschärfen. Es erweitert den Kreis der von Cybersicherheitsvorgaben betroffenen Sektoren und Unternehmen, führt strengere IT-Sicherheits- und Meldepflichten ein und erhöht die Sanktionen bei Verstößen. Am 6. November fand eine Anhörung im Digitalausschuss statt; weiterer Diskussionsbedarf besteht. Ein Inkrafttreten im März 2025 wäre theoretisch möglich, erscheint aufgrund der politischen Lage jedoch unwahrscheinlich.
- KRITIS-Dachgesetz (KRITIS DachG): Dieses Gesetz befindet sich noch nicht in der parlamentarischen Beratung und wird daher sicher nicht mehr verabschiedet. Das Vorhaben zielt darauf ab, den physischen Schutz Kritischer Infrastrukturen verpflichtend zu machen. Es legt sektorenübergreifende Mindestvorgaben für Resilienzmaßnahmen und Meldepflichten für Störungen fest. Die jüngste Fassung betont die Entlastung der Wirtschaft durch Reduzierung des Erfüllungsaufwands und Vermeidung von Doppelregulierung. Eine Abstimmung mit NIS2 und der für Finanzinstitute relevanten EU-Verordnung DORA wurde vorgenommen. Zuständigkeiten wurden angepasst und gleichwertige Sicherheitsanforderungen nach Spezialgesetzen anerkannt. Trotz dieser Fortschritte ist eine Verabschiedung in dieser Legislaturperiode sehr unwahrscheinlich.
Unternehmen erhalten also vorerst eine Verschnaufpause. Diese sollten sie jedoch nutzen: Umfragen zeigen, dass viele Unternehmen auf die zukünftig steigenden Sicherheitsanforderungen noch nicht ausreichend vorbereitet sind.
Weitere Gesetze, die vermutlich nicht mehr verabschiedet werden:
Manche Digitalgesetzentwürfe befinden sich bereits in der parlamentarischen Beratung. Diese Vorhaben sind jedoch in einem so frühen Stadium, dass eine Verabschiedung vor den Neuwahlen unwahrscheinlich ist.
- Mobilitätsdatengesetz: Die Bereitstellung und Wiederverwendung von Reise- und Verkehrsinfrastrukturdaten zu fairen Bedingungen soll gefördert werden. Fahrzeugdaten werden dabei ausgeklammert.
- Gesetz zur Beschleunigung des Ausbaus von Telekommunikationsnetzen (TK-Netzausbau-Beschleunigungs-Gesetz): Neben der Schaffung eines Informationsportals für den Glasfaser- und Mobilfunkausbau soll Transparenz erhöht, Bürokratie abgebaut und effizienteres Verwaltungshandeln ermöglicht werden. Dafür sind Änderungen vorgesehen, die Genehmigungsverfahren beschleunigen. Daneben sind Vorschriften zur Datenerhebung und -nutzung durch die Bundesnetzagentur vorgesehen.
- Änderung des Bundesdatenschutzgesetzes (BDSG): Ziel ist die Institutionalisierung und Formalisierung der “Datenschutzkonferenz”, einem bislang lediglich faktisch und rechtlich kaum formalisierten Zusammenschluss der Datenschutzaufsichtsbehörden der Länder und des Bundes. Unternehmen und Forschungseinrichtungen, die als gemeinsame Verantwortliche agieren, soll es ermöglicht werden, sich insoweit einer einzigen Landesdatenschutzaufsichtsbehörde zu unterstellen.
- Beschäftigtendatengesetz (BeschDG): Dieses Vorhaben sollte den Rechtsrahmen für den Beschäftigtendatenschutz in einem eigenen Gesetz regeln. Es sollten typische Verarbeitungssituationen definiert und geregelt werden. Unter anderem die Leistungsüberwachung und die Nutzung von KI im Arbeitsumfeld sind Gegenstand des erst kürzlich veröffentlichten Entwurfs.
- Gesetz zur Durchführung des Data Governance Act (Daten-Governance-Gesetz - DGG): Das lange verzögerte Durchführungsgesetz für die EU-Daten-Governance-Verordnung sollte Ordnungswidrigkeiten- und Aufsichtsregelungen bringen.
Geplante Gesetze, die sicher nicht mehr verabschiedet werden:
- Nationales Durchführungsgesetz zum AI Act: Der im August 2024 in Kraft getretene AI Act der EU bedarf bestimmter Umsetzungsmaßnahmen auf nationaler Ebene. Er setzt z.B. eine Frist von einem Jahr für die Einrichtung der notwendigen Behördenstrukturen. Angesichts der aktuellen politischen Lage dürfte eine fristgerechte Bestimmung der zuständigen Behörden nicht möglich sein, obwohl politisch breite Unterstützung für eine Zuständigkeit der Bundesnetzagentur für den AI Act besteht.
- Forschungsdatengesetz (FDG): Der Zugang zu Forschungsdaten für öffentliche und private Forschung sollte umfassend verbessert und vereinfacht werden. Nunmehr ist nicht davon auszugehen, dass eine Verabschiedung in dieser Legislaturperiode erfolgt.
- Quick-Freeze: Ein Gesetzesentwurf zur Speicherung von IP-Adressen zwecks Bekämpfung schwerer Kriminalität liegt seit Mitte Oktober vor. Auch dieses Vorhaben wird wohl aufgrund des Koalitionsbruchs und der damit verbundenen Zeitverzögerung vorerst nicht finalisiert werden.
- eIDAS-Durchführungsgesetz II: Ziel dieses Gesetzes ist es, die Voraussetzungen für den effektiven Vollzug der aktualisierten eIDAS-Verordnung zu schaffen. Diese sieht u.a. eine europäische Wallet bzw. Brieftasche für eine Digitale Identität vor. Diese Identität soll als grenzüberschreitendes Identifizierungsmittel für Bürger und Unternehmen etabliert werden. Hinzu kommen neue Vertrauensdienste wie die Ausstellung elektronischer Attributsbescheinigungen und die elektronische Archivierung. Bisher liegt aber nur ein Referentenentwurf vor.