Zurück zur Übersicht
05.05.2025 Fachbeitrag

Neue Entwicklungen im EU-Digitalrecht

Update Datenschutz Nr. 207

Die Europäische Kommission hat zu Beginn der neuen Legislaturperiode eine Reihe digitalpolitischer Schwerpunkte gesetzt, die auf eine strukturelle Weiterentwicklung des europäischen Digitalbinnenmarkts zielen. Im Mittelpunkt stehen Fragen der Cybersicherheit, der technologischen Souveränität sowie eine präzisere Ausgestaltung der Markt- und Verbraucherordnung im digitalen Raum. Anders als in der vorangegangenen Legislaturperiode, in der mit DSA, DMA, Data Act und KI-Verordnung grundlegend neue Rechtsakte geschaffen wurden, liegt der Fokus zurzeit auf der operativen Konkretisierung der jetzt bestehenden Rahmenwerke und der strategischen Förderung zentraler Technologien. Dieser Artikel soll einen Überblick über die aktuellen Entwicklungen und Baustellen geben.

I. Sicherheit und Resilienz

1. Cybersicherheit im Gesundheitswesen

Zu den ersten Initiativen der Kommission gehört die Stärkung der Cybersicherheit im Gesundheitswesen. Im Januar 2025 hat die Kommission einen Europäischen Aktionsplan für die Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern veröffentlicht. Auch wenn der Aktionsplan rechtlich nicht bindend ist, setzt er ein deutliches politisches Signal und markiert den Startpunkt für koordinierte Maßnahmen, die in den kommenden Jahren voraussichtlich in verbindlichere Regelungen münden werden.

Der Aktionsplan verfolgt das Ziel, die digitale Sicherheitsarchitektur im europäischen Gesundheitswesen systematisch auszubauen. Vorgesehen sind unter anderem eine engere Verzahnung nationaler CERT-Strukturen mit dem Frühwarnsystem der EU, harmonisierte Anforderungen an IT- und Medizintechniksysteme sowie gezielte Förderinstrumente für Einrichtungen mit begrenzten personellen oder technischen Ressourcen. Auch die Rolle der ENISA soll gestärkt werden, insbesondere im Hinblick auf die Entwicklung und Durchsetzung von sektorenspezifischen Sicherheitsstandards. Die Kommission betont zudem die Notwendigkeit einer horizontalen Koordination mit bestehenden regulatorischen Rahmenwerken wie der NIS-2-Richtlinie und dem Cybersecurity Act.

Für Betreiber medizinischer Einrichtungen, aber auch für Unternehmen, die im Bereich digitaler Gesundheitsdienste, Medizintechnik oder Gesundheits-IT tätig sind, ergibt sich hieraus ein konkreter Handlungsbedarf. Während größere Krankenhausverbünde in der Regel bereits über professionelle Sicherheitsarchitekturen verfügen, stellt sich auch für kleinere Anbieter zunehmend die Frage nach der operativen und strategischen Anschlussfähigkeit an europäische Sicherheitsstandards. Die erwartbare Einführung neuer Interoperabilitätsvorgaben, Zertifizierungsanforderungen und Meldepflichten legt nahe, dass zeitnah entsprechende Planungs- und Investitionsentscheidungen vorbereitet werden sollten.

2. E-Commerce Plattformen

Parallel zur Cybersicherheit im Gesundheitswesen verfolgt die Kommission auch im Bereich des elektronischen Handels gesetzgeberische Vorhaben. Im Februar 2025 wurde hierzu eine umfassende Strategie zur Regulierung des elektronischen Handels vorgestellt. Hintergrund ist der dramatische Anstieg direkt an Verbraucher gelieferter Kleinsendungen aus Drittstaaten: Allein im Jahr 2024 wurden über 4,6 Milliarden solcher Pakete in die EU eingeführt – überwiegend aus China. Damit verbunden sind erhebliche Risiken im Hinblick auf Produktsicherheit, Wettbewerbsverzerrungen und die Überforderung nationaler Kontrollbehörden

Die nun veröffentlichte Toolbox setzt auf drei Ebenen an: Erstens sollen Zoll- und Marktüberwachungssysteme modernisiert und digitalisiert werden. Vorgesehen ist unter anderem die Abschaffung der Zollfreigrenze für Sendungen bis 150 Euro sowie die Einführung eines pauschalen Abwicklungsentgelts für E-Commerce-Waren. Zweitens sollen bereits bestehende gesetzliche Rahmenwerke – etwa der Digital Services Act oder die Produktsicherheitsverordnung – konsequenter angewandt und vollzogen werden. Drittens zielt die Kommission auf eine engere Verzahnung von Plattformverantwortung, Nachhaltigkeitszielen und Verbraucherrechten.

Für Unternehmen bedeutet dies eine spürbare Verschärfung der Compliance-Anforderungen. Plattformbetreiber sind verpflichtet, gewerbliche Händler systematisch zu überprüfen, Produkte zu kennzeichnen und auf illegale Angebote zügig zu reagieren. Verstöße können zu haftungsrechtlichen Konsequenzen und behördlichen Ermittlungen führen.

Zudem soll durch die Anpassung der Produkthaftungsrichtlinie ab 2026 sichergestellt werden, dass für importierte Waren aus Drittstaaten ein haftungsfähiger Akteur innerhalb der EU existiert. Im Fokus stehen auch Umweltauflagen, etwa im Bereich Verpackungsentsorgung und Rücknahmeverpflichtungen.

Für Anbieter mit Bezug zu grenzüberschreitendem Onlinehandel ist es ratsam, bestehende Compliance- und Vertriebsstrukturen kritisch zu überprüfen. Wer frühzeitig auf Transparenz, Rückverfolgbarkeit und nachhaltige Produktgestaltung setzt, kann regulatorische Risiken minimieren.

II. Cyber Security Act

Im Zuge der Weiterentwicklung der europäischen Cybersicherheitsarchitektur rückt auch der 2019 in Kraft getretene Cybersecurity Act erneut in den Fokus. Das Gesetz, das insbesondere die Rolle der ENISA sowie ein europäisches Rahmenwerk für Cybersicherheitszertifizierungen geschaffen hat, steht angesichts der wachsenden Bedrohungslage erneut zur Disposition. Am. 18 April 2023 schlug die Kommission bereits eine gezielte Änderung der Zertifizierungsreglung vor, die am 15. Januar 2025 angenommen wurde.

Eine Evaluierung wurde im Frühjahr 2024 gestartet und umfasst sowohl die Rolle der ENISA als auch die Effektivität des freiwilligen Zertifizierungsrahmens. Erste Diskussionspapiere aus den Mitgliedstaaten sowie eine öffentliche Konsultation zeigen, dass insbesondere die Langsamkeit des Zertifizierungsprozesses, unklare Zuständigkeiten sowie die unzureichende Durchdringung der Anforderungen in der Breite der Wirtschaft als Schwächen gesehen werden. Die Kommission strebt daher für 2025 eine Reform an, die unter anderem den Übergang zu sektorspezifischen und verpflichtenden Zertifizierungsregimen sowie eine institutionelle Stärkung der ENISA vorsieht.

Parallel dazu hat die Kommission im Februar 2025 eine neue Rats-Empfehlung für ein „EU Blueprint on Cybersecurity Crisis Management“ vorgelegt. Ziel ist es, die in der bisherigen Blueprint-Empfehlung von 2017 niedergelegten Prinzipien auf die aktuelle Lage und den erweiterten Rechtsrahmen – insbesondere durch die NIS-2-Richtlinie – zu übertragen und operationell zu schärfen. Mit dem neuen Blueprint unterstreicht die Kommission, dass Cyberkrisen von europäischer Tragweite nicht mehr durch isolierte nationale Maßnahmen zu kontrollieren sind, sondern eine abgestimmte Krisenbewältigung über alle Handlungsebenen hinweg erfordern.

Hierzu sollen einheitliche Verfahren für die Krisenklassifikation, Meldewege und Informationsflüsse zwischen Akteuren wie der Kommission, dem Rat, ENISA, EU-CyCLONe, CERT-EU sowie den Mitgliedstaaten entwickelt werden. Außerdem soll die Empfehlung die Verbindung zwischen technischer, operativer und politischer Ebene verbessern, etwa durch die Rolle des Integrated Political Crisis Response (IPCR)-Mechanismus. Die Kommission legt dabei besonderen Wert auf die horizontale Kohärenz mit anderen Krisenprotokollen – etwa dem EU Hybrid Toolbox, dem Cyber Solidarity Act oder sektoralen Notfallplänen – sowie auf den Informationsaustausch mit strategischen Partnern wie der NATO.

Für Unternehmen sind die Änderungen insbesondere dort relevant, wo private Akteure als Betreiber kritischer Infrastrukturen oder als Hersteller sicherheitsrelevanter digitaler Produkte agieren. Die Stärkung koordinierter Meldepflichten, der Ausbau von sektoralen Frühwarnsystemen sowie die Standardisierung sicherer Kommunikationskanäle im Krisenfall zeigen, dass Unternehmen immer stärker in die gemeinsame Sicherheitsstruktur der EU einbezogen werden. Auch die Einbindung privatwirtschaftlicher Partner in Übungen und Simulationsszenarien ist künftig ausdrücklich vorgesehen.

III. KI-Infrastruktur & Leitlinien

Die Europäische Kommission treibt derzeit auch mehrere Initiativen voran, um die Entwicklung und Anwendung von Künstlicher Intelligenz (KI) in Europa zu fördern und zu regulieren. Zwei aktuelle Projekte sind die Einrichtung von KI-Fabriken sowie die Finalisierung eines Praxisleitfadens für KI-Modelle mit allgemeinem Verwendungszweck.

Im März 2025 gab das Gemeinsame Unternehmen für europäisches Hochleistungsrechnen (EuroHPC JU) die Auswahl von sechs neuen KI-Fabriken in der EU bekannt. Diese Einrichtungen sollen als Innovationszentren dienen, um die Entwicklung und Anwendung von KI-Technologien in verschiedenen Sektoren zu beschleunigen.

Zusätzlich plant die EU im Rahmen der InvestAI-Initiative erhebliche Investitionen in die KI-Infrastruktur. Mehr als 20 internationale Großkapitalgeber haben in den nächsten fünf Jahren 150 Milliarden Euro für KI-bezogene Projekte in Europa vorgesehen. Ein bedeutender Teil dieser Mittel ist für den Aufbau von KI-Gigafabriken vorgesehen, die Start-ups, Forschern und der Industrie Zugang zu hochmoderner Rechenleistung bieten sollen.

Außerdem arbeitet die Kommission derzeit an der Finalisierung des KI-Praxisleitfadens für KI-Modelle mit allgemeinem Verwendungszweck. Nach mehreren Entwurfsphasen und Konsultationen mit Interessengruppen wird mit der endgültigen Fassung dieses Leitfadens jederzeit gerechnet. Der Kodex zielt darauf ab, klare Leitlinien für Transparenz, Risikobewertung und Minderungsmaßnahmen bei der Entwicklung und Anwendung von KI-Modellen bereitzustellen. Er wird eine entscheidende Rolle bei der Umsetzung der Vorschriften der KI-Verordnung spielen, deren Bestimmungen für allgemeine KI-Modelle im August 2025 in Kraft treten werden.

IV. Neue Digitalgesetze

Im Bereich der digitalen Wirtschaft bereitet die Kommission bereitet derzeit zwei zentrale Gesetzesinitiativen vor: den Digital Networks Act (DNA) zur Neuordnung der Telekommunikationsinfrastruktur sowie den Digital Fairness Act (DFA) zur Reform des digitalen Verbraucherschutzrechts.

Mit dem DNA will die Kommission auf fehlende Investitionen und uneinheitliche Regeln im Bereich der Netzinfrastrukturen reagieren. Ziel ist ein einheitlicherer, investitionsfreundlicher Rahmen für grenzüberschreitende Telekommunikationsnetze. Diskutiert werden unter anderem neue Vorgaben für Netzzugang, Marktintegration und mögliche Beiträge großer Content-Anbieter zur Netzinfrastruktur – die sogenannte „fair share“-Debatte.

Für Unternehmen aus der Telekommunikations- und Plattformbranche könnte sich durch die geplanten Regeln einiges verändern – sowohl was rechtliche Vorgaben betrifft als auch den Wettbewerb im Markt. Insbesondere Infrastrukturbetreiber, Netzbetreiber und große digitale Intermediäre sollten die weitere Ausgestaltung aufmerksam verfolgen und rechtzeitig strategische Positionierungen vornehmen.

Der DFA soll außerdem Lücken im Verbraucherschutz bei digitalen Angeboten schließen. Auf Basis eines umfangreichen „Fitness Checks“ sollen bisherige Richtlinien überprüft, vereinheitlicht und an neue technologische Geschäftsmodelle angepasst werden. Schwerpunkte liegen auf Preistransparenz, algorithmischer Steuerung von Nutzerverhalten, manipulativen Designelementen und effektiver Rechtsdurchsetzung.

Aus Unternehmenssicht ist dies doppelt relevant: Einerseits steigt der Druck, interne Compliance-Strukturen im Bereich Marketing, Design und Vertrieb zu überprüfen und mit künftigen Transparenzstandards kompatibel zu gestalten. Andererseits bietet eine europäische Vereinheitlichung des digitalen Verbraucherschutzes auch die Chance, länderspezifische Rechtsunsicherheiten und bürokratische Belastungen zu reduzieren.

V. Weitere Gesetzesvorhaben

Neben den aktuellen Gesetzesvorhaben plant die EU-Kommission noch weitere Projekte im digitalen Bereich. Noch nicht konkretisiert, aber politisch angekündigt, sind unter anderem ein Cloud and AI Development Act sowie ein Quantum Chips Act. Erstgenannter soll Investitionen in energieeffiziente Cloud-Infrastrukturen und skalierbare KI-Anwendungen bündeln, interoperable Standards schaffen und Europas Rückstand gegenüber den USA und China verringern. Mit dem Quantum Chips Act möchte die EU-Kommission nationale Förderprogramme für Quantentechnologien besser aufeinander abstimmen und die industrielle Nutzung dieser Technologien in ganz Europa voranbringen.

Mit dem digitalen Euro arbeitet die Europäische Zentralbank parallel an einem elektronischen Zentralbankgeld, das als Ergänzung zum Bargeld fungieren und als infrastrukturelles Fundament für digitale Zahlungssysteme dienen soll.

Ergänzend plant die Kommission mit dem European Innovation Act und dem European Research Area Act zwei Rahmenwerke zur gezielten Förderung von Innovationsökosystemen und zur Stärkung des Europäischen Forschungsraums. Beide Vorhaben zielen auf bessere Kapitalverfügbarkeit, regulatorische Erprobungsräume und grenzüberschreitende Forschungskooperationen.

Auch wenn diese Gesetzesvorhaben noch in Planung sind, zeigen sie, dass die EU ihre Technologiepolitik künftig stärker auf attraktive Standorte, mehr Investitionen und bessere Wettbewerbschancen ausrichten will. Für Unternehmen eröffnen sich hier – über den reinen Rechtsrahmen hinaus – strategische Chancen zur Mitgestaltung und Positionierung.

VI. Fazit

Die aktuellen Entwicklungen im EU-Digitalrecht zeigen, dass sich der Fokus der Kommission von großen Grundsatzreformen hin zu konkreten Umsetzungsfragen und technischen Detailregelungen verlagert. Dabei entstehen nicht nur neue Pflichten – etwa im Bereich Cybersicherheit, Plattformregulierung oder KI –, sondern auch gezielte Förder- und Investitionsprogramme für Schlüsseltechnologien. Für Unternehmen bedeutet das: Wer heute frühzeitig prüft, wo neue Vorgaben ansetzen, kann nicht nur rechtzeitig reagieren, sondern in vielen Fällen aktiv gestalten. Das gilt etwa bei der Teilnahme an Pilotprojekten, der Integration neuer Standards in bestehende Prozesse oder dem Aufbau digitaler Infrastruktur mit Blick auf künftige Anforderungen. Auch ohne große neue Verordnungen bleibt der Anpassungsbedarf in vielen Bereichen hoch – und die Chance, sich über regulatorische Konformität hinaus strategisch zu positionieren, entsprechend groß.

 

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

12.06.2025
EUR 45 Mio. DSGVO-Bußgeld gegen Vodafone – Was sind die Schlussfolgerungen für EU-Unternehmen?
11.06.2025
Mindestvertragslaufzeiten von Endkundenverträgen – Entscheidungen EuGH und des OLG Hamburg mit Konsequenzen für die Praxis
03.06.2025
Neues rund um die Ermittlung des Verfassers negativer Bewertungen auf Bewertungsplattformen
27.05.2025
Gewährleistung von Sicherheit und Compliance in der Raumfahrtindustrie – Wichtige Erkenntnisse und To-Do‘s
27.05.2025
Meta sperrt Facebook Account eines Vereins – OLG Düsseldorf sieht darin einen kartellrechtlichen Verstoß
23.05.2025
Neue Pläne der EU-Kommission: Der Digital Fairness Act
22.05.2025
Neue Technische Richtlinie BSI TR-03184-2 – Cybersicherheit für das Bodensegment von Weltraumsystemen
21.05.2025
Untersagung von Werbung mit den Begriffen „umweltfreundlich“ und „klimafreundlich“: Rechtmäßigkeit einer lauterkeitsrechtlichen Unterlassungsanordnung auf Ersuchen einer Behörde aus einem EU-Mitgliedstaat
20.05.2025
Ausschluss eines Betriebsratsmitglieds wegen Weiterleitung personenbezogener Beschäftigtendaten an privates E-Mail-Postfach
14.05.2025
Compliance-Dilemma: Data Act zwingt Unternehmen zum Drahtseilakt zwischen Datenherausgabe und Datenschutz. Hilft die politisch motivierte Handreichung des HmbBfDI?
08.05.2025
Geistiges Eigentum im Weltraum – Eine Bestandsaufnahme aus deutscher Sicht
07.05.2025
Künstliche Intelligenz: Diese Transparenzpflichten sind zu beachten

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.