IT-Recht und Regulierung: Was 2025 zu erwarten ist
KI-Regulierung, eine neue US-Regierung, eine neue EU-Kommission und eine neue Bundesregierung prägen die Agenda für das kommende Jahr.
(Bild: iX)
- Tobias Haar
Auch das Kalenderjahr 2025 wird das IT-Recht prägen und neue Regulierungen, Gesetze, Urteile und vieles mehr mit sich bringen. Es wird ein besonderes Jahr werden, denn in Deutschland stehen vorgezogene Neuwahlen zum Bundestag an, die neue EU-Kommission beginnt mit ihrer Arbeit und der Umsetzung ihrer Agenda und in den USA startet Donald Trump in seine zweite Amtszeit.
Im Schwerpunkt geht es überall zunächst um künstliche Intelligenz und die Frage, wie sie zu regulieren ist. Das betrifft beispielsweise Rechtsfragen rund um KI-Trainingsdaten, die Exportkontrolle, damit Technologien nicht an bestimmte Staaten gelangen, den Datenschutz und einiges mehr. Spannend werden die Details der jeweiligen Regierungsprogramme. Während die Agenda der neuen EU-Kommission schon in groben Zügen steht, ist der Inhalt eines Koalitionsvertrages einer künftigen Bundesregierung noch völlig offen. Inzwischen sickern erste Details des Regierungsprogramms der Trump-Regierung durch, für eine Übersicht über die Auswirkungen auf das (US-amerikanische) IT-Recht ist es aber noch zu früh. Tendenzen lassen sich jedoch erkennen.
Wie schon in den vorangegangenen Jahren wird das IT-Recht hierzulande maßgeblich durch die Europäische Union geprägt. In der „Strategischen Agenda 2024 – 2029“ der neuen EU-Kommission heißt es vielversprechend: „Wir verpflichten uns zu einer besseren Rechtsetzung, unter anderem durch die bestmögliche Nutzung der digitalen Verwaltung und unter Berücksichtigung der Bedürfnisse von KMU und Start-up-Unternehmen.“
Die EU-Kommission legt sich dabei auch auf ihre Fokusbereiche fest: „Wir werden unsere eigenen Kapazitäten in sensiblen Sektoren und Schlüsseltechnologien der Zukunft wie Verteidigung, Raumfahrt, künstliche Intelligenz, Quantentechnologien, Halbleiter, 5G/6G, Gesundheit, Biotechnologie, Netto-Null-Technologien, Mobilität, Arzneimittel, Chemikalien und fortgeschrittene Werkstoffe aufbauen.“ Es ist den geopolitischen Rahmenbedingungen geschuldet, dass Verteidigung an erster Stelle genannt wird.
KI-Regulierung in Etappen
Im Einzelnen: Bereits zum 1. August 2024 ist der AI Act in Kraft getreten. Die umfassende horizontale, also für alle KI-Einsatzzwecke geltende, EU-weite KI-Regulierung war das Ergebnis eines langen Gesetzgebungsverfahrens mit zum Teil äußerst kontrovers geführten Diskussionen. Um den betroffenen Unternehmen und Behörden ausreichend Zeit zur Vorbereitung zu geben, sieht der AI Act ein stufenweises Inkrafttreten vor.
(Bild: EU-Rat)
Zudem wählten die Verantwortlichen einen dynamischen Regulierungsansatz. Das heißt, dass zahlreiche Vorgaben des AI Act erst im Laufe der Zeit durch sogenannte delegierte Rechtsakte im Detail ausgestaltet werden. Daneben erfolgt eine EU-einheitliche Standardsetzung auf Basis „eines Normungsantrags zur Unterstützung einer sicheren und vertrauenswürdigen KI“ der EU-Kommission, der bereits 2022 erteilt wurde. Die zuständigen Gremien von CEN/CENELEC haben diesen Auftrag bis 30. April 2025 abzuschließen.
Videos by heise
Zunächst jedoch greifen ab 2. Februar 2025 Verbote für bestimmte KI-Systeme. Dazu zählen KI-Systeme aus den Bereichen Manipulation von Verhalten und Ausnutzung von Schwächen, soziale Bewertungssysteme, Systeme zu Risikobewertung und Profiling im Hinblick auf Straffälligkeit, zum Erstellen oder Erweitern von Datenbanken zur Gesichtserkennung, zum Erkennen von Emotionen, biometrische Kategorisierungssysteme und Echtzeit-Fernidentifizierungssysteme in öffentlichen Räumen. Verstöße können zu erheblichen Bußgeldern führen.
Bis zum 2. Mai 2025 muss die EU-Kommission einen Verhaltenskodex veröffentlichen, an den sich Anbieter von KI-Modellen mit allgemeinem Verwendungszweck halten sollen. Tun sie es, greift für sie eine Konformitätsvermutung bezüglich der Vorgaben aus dem AI Act. Andernfalls müssen sie alternative, angemessene Mittel zur Einhaltung der Anforderungen nachweisen. Die Arbeiten an diesem Verhaltenskodex haben bereits im September 2024 unter Federführung des Büros für künstliche Intelligenz unter dem Dach der EU-Kommission begonnen, wobei auch betroffene Unternehmen, Interessenvertreter und andere Stakeholder beteiligt sind.
Nutzung soll transparent und ohne Risiken sein
Am 2. August 2025 treten dann die Vorgaben des AI Act zu KI-Modellen mit allgemeinem Verwendungszweck in Kraft. Dabei handelt es sich im Wesentlichen um Pflichten der technischen Dokumentation, um Vorgaben der Integration in KI-Systeme, die Einführung einer Urheberrechtsrichtlinie, eine Zusammenfassung der verwendeten Trainingsdaten sowie die verpflichtende Benennung eines bevollmächtigten Vertreters, wenn der Anbieter des KI-Modells seinen Sitz außerhalb der EU hat.
Für KI-Modelle, die unter Open-Source-Lizenzen stehen, gibt es einige Ausnahmen von diesen Pflichten. Bestimmte KI-Modelle wiederum fallen in die Kategorie „systemisches Risiko“. Für sie gelten verschärfte Vorgaben, beispielsweise die Durchführung von Angriffstests, Risikobewertungen, Informationspflichten bei schwerwiegenden Vorfällen, ein angemessenes Maß an Cybersicherheit und mehr.
Eine gerade für Deutschland brisante Frist läuft ebenfalls am 2. August 2025 ab: Bis dahin ist die nationale Umsetzungsbehörde für den AI Act an die EU-Kommission zu melden inklusive finanzieller und personeller Ressourcen. Das setzt voraus, dass eine zuständige Behörde existiert. Bis zum Bruch der Ampelkoalition deutete vieles darauf hin, dass in erster Linie die Bundesnetzagentur für Deutschland mit den Aufgaben der KI-Marktüberwachung betraut werden sollte. Wie sich eine neue Bundesregierung hierzu positionieren wird, bleibt abzuwarten. Deutschland könnte ein EU-Vertragsverletzungsverfahren drohen, wenn die Frist gerissen wird.
Die Anbieter und Betreiber von KI-Systemen sollten 2025 nutzen, um sich auf die ab 2. August 2026 geltenden Vorgaben für Hochrisiko-KI-Systeme, KI-Systeme mit einem spezifischen beziehungsweise geringen Risiko sowie KI-Systeme mit einem minimalen Risiko vorzubereiten. Gerade die Reichweite der Definition von Hochrisiko-KI-Systemen im AI Act dürfte dazu führen, dass unzählige KI-Anwendungen im Unternehmens- und Behördeneinsatz unter diese verschärft regulierte Kategorie fallen.
Im KI-Recht sind 2025 weitere interessante Entwicklungen zu erwarten. Vor dem Oberlandesgericht Hamburg wird das Berufungsverfahren im LAION-Verfahren fortgesetzt, bei dem es um die Zulässigkeit der Nutzung urheberrechtlich geschützter Werke für das KI-Training geht. Vor dem Landgericht München I wird die Klage der Verwertungsgesellschaft GEMA gegen OpenAI verhandelt. Auch dort stehen urheberrechtliche Fragen im Mittelpunkt, insbesondere zum Output generativer KI, hier konkret im Bereich Musik. Weitere Gerichtsverfahren sind hierzulande nicht ausgeschlossen. Relevant sind weitere Verfahren in anderen Ländern, insbesondere den USA, wo man über die Frage streitet, ob KI-Training mit urheberrechtlich geschützten Inhalten durch die „Fair Use“-Doktrin gedeckt ist.
Daten schützen, Exporte kontrollieren
Zusätzlich gehen die Diskussionen rund um datenschutzrechtliche Aspekte des KI-Trainings und der KI-Nutzung weiter. Angeblich aus Sorge vor datenschutzrechtlichen Konsequenzen in der EU hat Meta entschieden, das multimodale KI-Modell Llama 3.2 (zunächst jedenfalls) nicht zur Nutzung innerhalb der EU freizugeben. Ob sich das im Laufe des Jahres ändert und ob gegebenenfalls weitere KI-Modelle hierzulande nicht zur Verfügung stehen, ist eine spannende Frage.
Parallel dazu dürfte die Exportkontrolle für künstliche Intelligenz in den Fokus gelangen. Die zuständigen Behörden, unter anderem in den USA und der EU, diskutieren bereits darüber, ob der Export bestimmter KI-Technologien stärker kontrolliert werden müsse. Für Dual-Use-Technologien gilt dies bereits. Schon heute werden damit bestimmte KI-Technologien von der Ausfuhrkontrolle erfasst. Angeblich plant die Trump-Regierung hier weitere erhebliche Verschärfungen – in erster Linie mit Blick auf China.
Derzeit laufen auf EU-Ebene Diskussionen darüber, ob für künstliche Intelligenz neben der erst 2024 angepassten Produkthaftungsrichtlinie eine weitere Richtlinie zur KI-Haftung eingeführt werden soll. Grundlage der aktuellen Diskussion ist ein Gutachten des Wissenschaftlichen Dienstes des EU-Parlaments. Danach wäre Ziel der Richtlinie, einheitliche Regeln für die Haftung bei Schäden durch KI zu schaffen. Die Studie bewertet die Vorschläge und empfiehlt Erweiterungen der Haftung, die im Gesetzgebungsprozess diskutiert werden. Aufgrund des Widerstands einiger EU-Staaten ist nicht absehbar, wann das Vorhaben abgeschlossen sein wird oder ob es ganz scheitert. Die 2024 überarbeitete Produkthaftungsrichtlinie ist zwar erst bis Ende 2026 in das Recht der EU-Staaten umzusetzen, dürfte aber 2025 für weitere Diskussionen sorgen. Sie erfasst künftig auch Schäden, die durch Software verursacht werden, und weitet den Anwendungsbereich damit erheblich aus.
Sichere und faire Datennutzung für alle
Ein weiteres IT-Rechtsthema 2025 ist das Datenrecht. Hierzu zählt zentral der Data Act. Er ist ab 12. September 2025 wirksam und umfasst zahlreiche Regelungen, die eine intensivere und effektivere Datennutzung in verschiedenen Lebensbereichen fördern sollen. Er unterstützt das Ziel, Daten stärker zur Wertschöpfung zu nutzen, insbesondere für neue Geschäftsmodelle. Das Ziel ist kein geringeres, als einen EU-Binnenmarkt für Daten zu schaffen. Dafür soll der Zugang zu Daten beispielsweise bei Anwendungen im Internet der Dinge durch die Nutzer vernetzter Produkte einfach, sicher und fair erfolgen. Dies betrifft sowohl die Weitergabe von Daten durch Unternehmen an Verbraucher als auch die Weitergabe zwischen Unternehmen.
Für die Hersteller solcher Produkte ergeben sich Pflichten zum technischen Design, ihre Freiheit, bestimmte Vertragsklauseln zu verwenden, wird eingeschränkt und einiges mehr. Kunden sollen zudem die Möglichkeit bekommen, einfacher zwischen Cloud-Anbietern zu wechseln. Staatliche Behörden erhalten ein Recht auf den Zugriff auf Daten des privaten Sektors, um sie für bestimmte Zwecke des öffentlichen Interesses zu nutzen.
Zum Datenrecht im weiteren Sinne zählt auch das Datenschutzrecht. Seit Jahren schon werden die Forderungen nach einer Überarbeitung der Datenschutz-Grundverordnung (DSGVO) lauter. Im September 2024 wurde in Brüssel unter dem Titel „The future of European competitiveness – A competitiveness strategy for Europe“ ein Bericht des ehemaligen EZB-Präsidenten Mario Draghi vorgestellt. Im Hinblick auf den Datenschutz heißt es darin: „Insbesondere die DSGVO wurde mit einem hohen Maß an Fragmentierung umgesetzt, was die digitalen Ziele der EU untergräbt.“ In Folge haben sich einige neugewählte EU-Parlamentarier zum Ziel gesetzt, eine DSGVO 2.0 durch das Gesetzgebungsverfahren zu bekommen, um den EU-Datenschutz zu modernisieren. Ob die politische Kraft auf EU-Ebene dafür ausreicht, bleibt abzuwarten.
Erklärtes Ziel der neuen EU-Kommission ist jedenfalls, eine verbesserte Kohärenz zwischen einzelnen EU-Regelwerken herzustellen. Namentlich gilt dies für das Spannungsverhältnis zwischen DSGVO und AI Act. Die bestehenden Inkonsistenzen und Überschneidungen der Regulierungen wirken sich laut Ex-EZB-Präsident Mario Draghi hinderlich auf Innovation und Entwicklungen in der EU aus.
Finanzmärkte brauchen Sicherheit und Stabilität
Auf EU-Ebene stehen 2025 weitere wichtige Vorhaben auf der Agenda: Bereits am 16. Januar 2025 treten die Regelungen des Digital Operational Resilience Act (DORA) in Kraft. Dabei geht es darum, die Betriebsstabilität digitaler Systeme im Finanzsektor sicherzustellen. Die Verordnung soll wesentlich dazu beitragen, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie zu stärken. Zur Durchsetzung von DORA hat Deutschland die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auserkoren.
Für das Quantencomputing stehen für 2025 bislang keine konkreten Regulierungsvorhaben auf der politischen Agenda. Die juristischen Diskussionen rund um spezifische gesetzgeberische Aktivitäten auf dem Gebiet haben aber bereits begonnen. Konkreter diskutiert werden Fragen der Exportkontrolle, also der Zulässigkeit des Technologieexports. Die Quantentechnologie ist bereits 2024 in den Fokus des Bureau of Industry and Security der USA gelangt, der Behörde, die mit Hochtechnologie und nationaler Sicherheit befasst ist. Die derzeitige US-Regierung hat erste Exportkontrollbeschränkungen erlassen. Die künftige Regierung könnte diese Beschränkungen vor dem Hintergrund der globalpolitischen Lage weiter verschärfen und die EU sowie ihre Mitgliedsstaaten dazu zwingen, mit eigenen Vorgaben nachzuziehen.
Außerdem ist zu erwarten, dass juristische Aspekte der Cybersicherheit angesichts der geopolitischen Bedrohungen weiter im Fokus bleiben und zu regulatorischen Initiativen auf nationaler und EU-Ebene führen werden. Das kommende Jahr sollten betroffene Unternehmen zudem nutzen, um die ab 2026 geltenden Vorgaben des EU Cyber Resilience Act zu erfüllen.
Auf deutscher Ebene hat das neue Jahr ebenfalls IT-rechtliche Änderungen im Gepäck: Ab dem 1. Januar 2025 wird die elektronische Rechnungsstellung im inländischen B2B-Bereich teilweise verpflichtend. Dabei zählt eine per E-Mail versandte PDF-Rechnung nicht mehr als elektronische Rechnung. Es gibt jedoch Übergangsregelungen bis 2028. Unternehmen sollten ihre allgemeinen Geschäftsbedingungen anpassen. Dies gilt insbesondere in Bezug auf die Zahlungsbedingungen und die Rechnungsstellung. Unternehmen sollten sich über elektronische Rechnungsformate wie XRechnung oder ZUGFeRD (eine Kombination aus PDF- und XML-Formaten) informieren und das für sie passende Format auswählen.
Barrierefreiheit von Produkten und Dienstleistungen
Am 28. Juni 2025 tritt das Barrierefreiheitsstärkungsgesetz (BFSG) in Kraft. Es betrifft alle Marktteilnehmer, die Produkte wie Computer, Selbstbedienungsterminals oder Telekommunikationsgeräte sowie Dienstleistungen wie Telekommunikationsdienste, Bankdienstleistungen und den elektronischen Geschäftsverkehr (zum Beispiel Webshops und Apps) anbieten. Unternehmen müssen Prüf-, Nachweis- und Mitteilungspflichten erfüllen. Hersteller sind verpflichtet, technische Dokumentationen zu erstellen, Konformitätsbewertungsverfahren durchzuführen, CE-Kennzeichnungen anzubringen, EU-Konformitätserklärungen vorzulegen sowie Informations- und Kennzeichnungspflichten einzuhalten.
Auch hier sind Händler und Dienstleister aufgerufen, ihre allgemeinen Geschäftsbedingungen zu aktualisieren und die Barrierefreiheit ihrer Produkte und Dienstleistungen sicherzustellen. Beispielsweise muss es dann möglich sein, dass sämtliche B2C-Onlineshops von Menschen mit Behinderung ohne Erschwernis oder fremde Hilfe genutzt werden.
2025 soll die elektronische Patientenakte (ePA) eingeführt werden. Ab dem 15. Januar 2025 soll jeder gesetzlich Krankenversicherte automatisch eine ePA erhalten, sofern er keinen Widerspruch einlegt. Diese Opt-out-Regelung soll die Nutzung der ePA deutlich ausweiten, da bisher nur etwa ein Prozent der Versicherten eine solche Akte beantragt hat, obwohl dies seit Januar 2021 möglich ist. Ein Antrag wird künftig nicht mehr erforderlich sein, da die ePA automatisch angelegt wird.
Zunächst wird die ePA in Hamburg, Franken und Teilen von Nordrhein-Westfalen eingeführt, wo sie ab dem 15. Januar 2025 getestet wird. Bei erfolgreichem Verlauf plant das Bundesgesundheitsministerium den bundesweiten Rollout ab dem 15. Februar 2025. Die ePA soll den Austausch und die Nutzung von Gesundheitsdaten zwischen allen behandelnden Leistungserbringern optimieren und so die Patientenversorgung verbessern. Versicherte sollen ihre ePA jederzeit eigenständig über die ePA-App verwalten und nutzen können.
Kurz vor dem Bruch der Ampelkoalition hat das Bundesarbeitsministerium einen Entwurf für ein Beschäftigtendatengesetz vorgelegt. Es soll der zunehmenden Digitalisierung der Arbeitswelt und der Konkretisierung abstrakter datenschutzrechtlicher Vorgaben in der Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz Rechnung tragen. Regeln soll es Fragen wie: Ab wann ist die Einwilligung eines Arbeitnehmers zur Datenverarbeitung erforderlich, wann sind Bewerberdaten zu löschen, welche Grenzen sind der Arbeitnehmerüberwachung zu setzen und welche Mitbestimmungsrechte hat der Betriebsrat? Das Schicksal dieses Gesetzesentwurfs dürfte davon abhängen, ob die SPD einer neuen Bundesregierung angehören wird.
Gefährdet ist auch der bisherige Zeitplan der Umsetzung der NIS2-Richtlinie in deutsches Recht. In Deutschland wird die Umsetzung dieser Cybersicherheitsrichtlinie mit weiteren Aspekten verknüpft. Hierzu zählen die Unabhängigkeit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie Regelungen zum Schwachstellenmanagement. Von den anstehenden Neuwahlen sind weitere Gesetzesvorhaben betroffen. Eines ist die Umsetzung der E-Evidence-Richtlinie, über die Ermittler länderübergreifend besser auf Inhalts- und Verkehrsdaten sowie andere elektronische Beweismittel zugreifen können sollen.
Viele Gesetzesvorhaben liegen auf Eis
Hinzu kommen Gesetze zur Stärkung der Sicherheitsbehörden im digitalen Raum, das Quick-Freeze-Verfahren, das einen Ausweg aus der juristischen Unsicherheit für die Vorratsdatenspeicherung bieten soll, das TK-Netzausbau-Beschleunigungs-Gesetz, Änderungen am Energieeffizienzgesetz im Hinblick auf Rechenzentren, das Mobilitätsdatengesetz und einige weitere Vorhaben, die nun erst einmal auf Eis liegen. Gewisse Chancen hingegen werden dem Daten-Governance-Gesetz eingeräumt, das sich unter anderem mit der Nutzung von öffentlichen/geschützten Daten und ihrer Weitergabe durch vertrauenswürdige Datenmittler befasst. Gescheitert sein dürften Neuregelungen zum Recht auf Verschlüsselung sowie zur Chatkontrolle und zur Registermodernisierung. Vielleicht gelingt es einer neuen Bundesregierung rechtzeitig vor Ablauf der Frist im September 2025, die nationalen Umsetzungen des EU-Datengesetzes in Kraft zu setzen.
Anfang November 2024 hat das Bundesinnenministerium einen „Entwurf eines Gesetzes zur Änderung des Strafgesetzbuches – Modernisierung des Computerstrafrechts“ vorgelegt. Es soll den als Hackerparagraf bekannt gewordenen § 202 des Strafgesetzbuches (StGB) reformieren. Ein strafbares Ausspähen von Daten soll nicht vorliegen, wenn dieses „in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems (Sicherheitslücke) festzustellen und die [...] Verantwortlichen [...] über die festgestellte Sicherheitslücke zu unterrichten“, oder wenn es „zur Feststellung der Sicherheitslücke erforderlich ist“. Die Reform würde Penetrationstests und ethisches Hacken innerhalb oder außerhalb von Bug-Bounty-Programmen eindeutig von Strafe befreien und bestehende Unsicherheiten beseitigen.
Andererseits soll bei Hacking mit einem Vermögensverlust großen Ausmaßes, aus Gewinnsucht, gewerbsmäßigem Handeln, der Beeinträchtigung von „Verfügbarkeit, Funktionsfähigkeit, Authentizität oder Vertraulichkeit einer Kritischen Infrastruktur“ oder der Bedrohung der Sicherheit Deutschlands der Strafrahmen von drei auf fünf Jahre erhöht werden. Diese Verschärfungen sind auch für das Abfangen von Daten (§ 202 b StGB) und Datenveränderung (§ 303 a StGB) vorgesehen.
Viele kleine, aber wichtige Regelungen
Bis Juli 2025 muss das Bundeskriminalamtsgesetz überarbeitet werden. Das sieht ein Urteil des Bundesverfassungsgerichts vom Oktober 2024 vor. Gegenstand war die Frage, in welchem Umfang das BKA personenbezogene Daten in eigenen Informationssystemen weiterverarbeiten kann, „soweit dies zur Erfüllung seiner Aufgaben erforderlich ist“. Die Karlsruher Richter sehen den Verhältnismäßigkeitsgrundsatz verletzt, wenn diese Daten für heimliche Überwachungsmaßnahmen eingesetzt werden.
Schließlich gibt es eine ganze Reihe an kleineren, dennoch wichtigen neuen gesetzlichen Vorgaben im IT-Bereich. Nach der EU-Produktsicherheitsverordnung müssen Onlinehändler eindeutige und sichtbare Angaben zu ihren Onlineproduktangeboten machen. Dazu zählen der Name, die eingetragene Handelsmarke des Herstellers nebst Kontaktdaten, eine innereuropäische Adresse bei ausländischen Anbietern sowie etwaige Warn- und Sicherheitshinweise. Auch für Funkanlagen greifen Onlinekennzeichnungspflichten. Betroffen sind Hersteller, Importeure und Händler unter anderem von tragbaren Mobiltelefonen, Headsets, Laptops oder Navigationssystemen. Sie müssen Produktdetailseiten in ihren Onlineshops mit einem Onlinepiktogramm und einem Onlineetikett versehen. Für Laptops gilt eine Übergangsfrist bis 2026.
Ab 20. Juni 2025 greifen Energieverbrauchskennzeichnungspflichten für ab dann verkaufte Smartphones und Tablets. An Verkaufsstellen oder im Onlineshop sind entsprechende Kennzeichen anzubringen. Werbematerialien müssen Angaben über die Energieeffizienzklasse eines Produktes enthalten. Nach dem Batterierecht-Durchführungsgesetz müssen Onlinehändler ab Mitte August 2025 bestimmte Informationspflichten gegenüber Endnutzern über die Rücknahme beziehungsweise Rückgabepflicht erfüllen.
Fazit
Nach dem Bruch der Ampelkoalition in Deutschland liegen zahlreiche IT-rechtliche Projekte auf Eis. Hierzu zählt etwa das Beschäftigtendatengesetz. Bis sich eine neue Regierung gebildet hat und ein Koalitionsvertrag vorliegt, dürfte es noch einige Monate dauern. Bereits beschlossene Gesetzespakete, wie zur elektronischen Patientenakte, werden wie geplant 2025 in Kraft treten oder in die Umsetzung gehen.
Auf EU-Ebene formiert sich die neue EU-Kommission. Sie hat „Europas digitale Dekade: digitale Ziele für 2030“ ausgerufen. Welche konkreten Projekte sie daraus ableiten wird, bleibt im Detail abzuwarten. Dass die weitere Regulierung von künstlicher Intelligenz sowie des Zugangs zu Daten für neue Geschäftsmodelle dazugehören wird, zeichnet sich ab. Parallel dazu treten 2025 Regelungen im AI Act und anderen IT-Regelwerken in Kraft.
Mit großer Spannung und auch Besorgnis warten viele in Europa darauf, wie sich die neue US-Regierung zu IT-rechtlichen Aspekten positionieren wird. Auch hier spielt künstliche Intelligenz eine große Rolle. Hinzu kommen Fragen der Zulässigkeit des Exports von Technologien an China und andere Staaten, Diskussionen um Zölle und wie sich dies auf die IT-Lieferketten weltweit auswirken wird.
(ulw)
