Mit dem Koalitionsvertrag 2025 haben die Koalitionsparteien CDU, CSU und SPD eine Reihe weitreichender Reformen angekündigt. Auch im Datenschutzrecht, im Vergaberecht sowie im IT-Recht sind grundlegende Veränderungen geplant. Diese zielen auf mehr Effizienz, Modernisierung und digitale Souveränität ab. Im Folgenden geben wir einen Überblick über die geplanten Neuerungen.
Datenschutzrecht: Auf dem Weg zu mehr Klarheit und Entlastung
Im Datenschutzrecht ist eine deutliche Vereinfachung vorgesehen. Die Bundesregierung plant, die Datenschutzaufsicht stärker zu zentralisieren und bei der Bundesdatenschutzbeauftragten zu bündeln. Ziel ist ein effizienteres System mit einheitlicheren Maßgaben für Unternehmen und öffentliche Stellen. Zudem soll die Datenschutzkonferenz (DSK) künftig gesetzlich im Bundesdatenschutzgesetz verankert werden, um verbindliche Standards besser koordinieren zu können.
Ein wesentliches Vorhaben betrifft die Vereinfachung von Einwilligungslösungen, etwa durch die Einführung eines Widerspruchsmodells für bestimmte staatliche Dienste. Darüber hinaus will die Regierung die Spielräume der DSGVO gezielt ausschöpfen, um beim Datenschutz für Kohärenz, einheitliche Auslegungen und Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt zu sorgen. Vorgesehen ist es, dass nicht-kommerzielle Tätigkeiten, kleine und mittelständische Unternehmen und risikoarme Datenverarbeitungen künftig ganz oder teilweise aus dem Anwendungsbereich der Datenschutzgrundverordnung herauszunehmen – eine erhebliche Erleichterung insbesondere für Vereine und ehrenamtliche Organisationen.
Zugleich soll die Bundesdatenschutzbeauftragte eine neue Rolle als Koordinatorin für Datennutzung und Informationsfreiheit übernehmen. Damit rückt eine aktivere Datenpolitik in den Vordergrund, die nicht mehr nur auf Schutz, sondern auch auf die Nutzung von Daten ausgerichtet ist.
IT-Recht und Datenpolitik
Im IT-Recht setzt der Koalitionsvertrag klare Signale für einen Umbau der rechtlichen Rahmenbedingungen. Die Nutzung von Daten soll als strategisches Potenzial verstanden werden. Es wird der Grundsatz „public money, public data“ verfolgt und dabei eine Gewährleistung von Vertrauen in Datenmanagement und hohe Datenqualität durch Datentreuhänder. Geplant ist die Einführung eines Rechtsanspruchs auf Open Data bei staatlichen Stellen. Verwaltungsdaten sollen grundsätzlich öffentlich verfügbar gemacht werden, sofern keine schutzwürdigen Interessen entgegenstehen.
Flankiert wird dieses Vorhaben von der geplanten Entwicklung eines Datengesetzbuchs. Diese Kodifikation soll verstreute datenbezogene Regelungen systematisch zusammenführen und insbesondere die Rechtssicherheit für datengetriebene Geschäftsmodelle erhöhen. Unterstützt werden sollen auch datenschutzfreundliche Technologien, sogenannte Privacy Enhancing Technologies, die den Schutz personenbezogener Daten durch technische Mittel verbessern.
Ein weiteres Ziel ist die vollständige Digitalisierung staatlicher Prozesse. Das sogenannte Once-Only-Prinzip – also die Verpflichtung, dass die Bürger ihre Daten nur einmal angeben müssen – soll flächendeckend umgesetzt werden. Eine verbindliche Registervernetzung ist ebenso vorgesehen wie die Stärkung souveräner Cloudlösungen. Damit nimmt der Staat eine aktive Rolle bei der digitalen Infrastruktur ein und fördert gleichzeitig technologische Unabhängigkeit.
Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), hat in der April-Ausgabe der juristischen Fachzeitschrift RDi (RDi 2025, 200; https://rsw.beck.de/zeitschriften/rdi) einen Beitrag zum Thema „Immaterieller Schadensersatz bei Datenschutzverstoß, Überblick und Analyse der aktuellen Rechtsprechung zu Art. 82 I DS-GVO“ veröffentlicht. Er stellt die aktuelle Rechtsprechung des EuGH zum Anspruch auf immateriellen Schadensersatz nach Art. 82 I DS-GVO und das viel beachtete BGH-Urteil zum Facebook-Scraping dar. Im Detail werden die drei kumulativen Anspruchsvoraussetzungen Vorliegen eines Verstoßes gegen die DS-GVO, eines Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erörtert und die Bemessungskriterien hinsichtlich der Höhe der Entschädigung hinterfragt.
Seit die DSGVO 2018 in Kraft getreten ist, wird darüber gestritten, ob Mitbewerber und Verbraucherverbände Verstöße gegen die DSGVO abmahnen können. Nun hat der Bundesgerichtshof (BGH) diese Frage abschließend geklärt.
Der BGH (Urt. v. 27.03.2025, I ZR 186/17, I ZR 222/19 und ZR 223/19) hat entschieden, dass sowohl Verbraucherschutzverbände (wie z.B. die Verbraucherzentralen) als auch Mitbewerber Verstöße gegen die DSGVO abmahnen können. Damit steigt das Risiko für Unternehmen, die sich (bewusst oder unbewusst) nicht an die Vorschriften zum Datenschutz halten.
Verbraucherzentrale gegen Facebook
In dem einen Verfahren klagte der vzbv gegen die Meta Platform Ireland Limited, die das soziale Netzwerk Facebook betreibt. Inhaltlich ging es darum, dass Facebook seine Nutzer nicht ausreichend über Umfang und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten unterrichtet hatte.
Nachdem der EuGH bereits entschieden hatte, dass Verbraucherschutzverbände DSGVO-Verstöße auch im Wege von Unterlassungsklagen verfolgen können, folgte der BGH nun dieser Einschätzung.
In der Pressemitteilung des BGH heißt es dazu:
„Art. 80 Abs. 2 DSGVO bildet eine geeignete Grundlage für die Verfolgung von Verstößen gegen die Datenschutz-Grundverordnung durch Verbände nach dem Gesetz gegen den unlauteren Wettbewerb und dem Unterlassungsklagengesetz.
Den genannten Verbraucherverbänden steht daher nach § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zu, gegen Verletzungen von Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO wegen Verstößen gegen das Gesetz gegen den unlauteren Wettbewerb und gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 1 und 2 Satz 1 Nr. 13 UKlaG sowie der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen.
Unschädlich ist insoweit, dass der Kläger seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben hat. Da von einer Einrichtung im Sinne von Art. 80 Abs. 2 DSGVO nicht verlangt werden kann, dass sie diejenige Person im Voraus individuell ermittelt, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der Datenschutz-Grundverordnung verstößt, konkret betroffen ist, ist die Benennung einer Kategorie oder Gruppe von identifizierbaren natürlichen Personen für die Erhebung einer solchen Verbandsklage ausreichend.
Es genügt außerdem, wenn sich die Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO obliegt, weil im Streitfall nicht davon ausgegangen werden kann, dass der Kläger mit seiner Klage rein hypothetische Verstöße geltend macht.“
Werden die Informationen gemäß Art. 13 DSGVO dem Nutzer nicht mitgeteilt, liegt darin ein Verstoß gegen § 5a Abs. 1 UWG, da eine wesentliche Information vorenthalten wird.
Arzneimittelversand über Amazon
In den zwei anderen Verfahren stritten sich konkurrierende Apotheke über die Zulässigkeit des Vertriebs von Arzneimitteln über die Plattform Amazon.
Hier ging es zum einen um die Frage, ob Mitbewerber sich gegenseitig wegen DSGVO-Verstößen abmahnen können. Und zum anderen ging es um die Frage, ob die Daten, die ein Kunde bei der Bestellung von Arzneimitteln bei Amazon eingibt, Gesundheitsdaten i.S.d. Art. 9 DSGVO darstellen.
Beide Fragen hat der BGH in seiner Entscheidung bejaht. In der Pressemitteilung dazu heißt es:
„Die Verarbeitung und Nutzung der von Kunden der Beklagten bei der Onlinebestellung eines Arzneimittels über den Account eines Apothekers beim Amazon-Marketplace eingegebenen Daten wie der Name des Kunden, die Lieferadresse und die für die Individualisierung des bestellten Medikaments notwendigen Informationen verstößt, wenn sie – wie im Streitfall – ohne ausdrückliche Einwilligung der Kunden erfolgt, gegen Art. 9 Abs. 1 DSGVO. Bei den Bestelldaten handelt es sich um Gesundheitsdaten im Sinne dieser Vorschrift und zwar auch dann, wenn das Arzneimittel keiner ärztlichen Verschreibung bedarf.
Art. 9 Abs. 1 DSGVO ist eine Marktverhaltensregelung im Sinne von § 3a UWG, so dass der Verstoß gegen diese Vorschrift von einem Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann. Die Bestimmungen zum Erfordernis der Einwilligung in die Verarbeitung personenbezogener Daten dienen dem Schutz der Persönlichkeitsrechtsinteressen der Verbraucher gerade auch im Zusammenhang mit ihrer Marktteilnahme. Die Verbraucher sollen frei darüber entscheiden können, ob und inwieweit sie ihre Daten preisgeben, um am Markt teilnehmen und Verträge abschließen zu können.„
Auch in diesen Verfahren hatte der BGH zuvor den EuGH eingeschaltet.
Fazit
Bisher liegt nur die Pressemitteilung des BGH vor, die Veröffentlichung der Entscheidungen im Volltext mit ausführlicher Begründung dürfte in den nächsten Tagen erfolgen.
Aber schon jetzt lässt sich sagen, dass das Thema Datenschutz noch mehr Gewicht bekommt. Das Risiko, wegen Verstößen gegen die DSGVO in Anspruch genommen zu werden, steigt durch diese Entscheidungen des BGH.
Und es besteht die Gefahr, dass das Risiko noch weiter steigt: Der Generalanwalt beim EuGH hat in seinen Schlussanträgen im Verfahren C-655/23 die Auffassung geäußert, dass auch betroffenen Personen gegen ein Unternehmen Unterlassungsansprüche zustehen, wenn dieses gegen die DSGVO verstoßen hat.
Bei allen Fragen rund um das Thema Datenschutz und Datensicherheit unterstützen wir Sie gerne.
Mit der NIS-2-Richtlinie der EU werden für große Teile der Wirtschaft gesetzliche Pflichten zur Erreichung eines hohen Cybersicherheitsniveaus normiert. In Deutschland sind davon schätzungsweise ca. 30.000 Unternehmen betroffen. Die Richtlinie hätte bis zum 17. Oktober 2024 in deutsches Recht umgesetzt werden müssen. Aufgrund der vorgezogenen Neuwahlen ist dies nicht rechtzeitig erfolgt, doch die Umsetzung bleibt weiterhin vordringlich.
Dr. Thomas Stögmüller, LL.M. (Berkeley), Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtanwälte referiert hierzu online auf dem Midrange-ExpertDay am 13. März 2025. In seinem Vortrag behandelt er u.a.:
– Wer ist von NIS-2 betroffen?
– Welche rechtlichen Anforderungen an die Cybersicherheit bringt NIS-2 mit sich?
– Was müssen Betreiber kritischer Einrichtungen besonders beachten?
– Welche Pflichten und Verantwortlichkeiten hat die Geschäftsleitung?
– Welche Sanktionen drohen bei Verstößen?
– Wie ist der Stand des Gesetzgebungsverfahrens in Deutschland?
Weitere Informationen und Anmeldung unter https://event.gotowebinar.com/event/844f6bc8-e323-43b5-a549-019ac0c02513
Unsere Münchener Partnerin Dr. Truiken Heydn leitet dieses Jahr wieder gemeinsam mit Prof. Dr. Fabian Schuster die Kölner Tage IT-Recht am kommenden Donnerstag und Freitag, 13.-14. März 2025. Ein spannendes Programm u.a. zu den Themen KI, Cybersecurity und Cloud-Verträge erwartet Sie. Teilnahme in Präsenz und Online möglich.
TCI Rechtsanwälte sponsern auch 2025 das Göttinger Forum IT-Recht, eine der führenden juristischen Fachtagungen zum IT- und Datenschutzrecht. Die hybride Konferenz findet unter dem Thema „Mit Recht in die digitale Zukunft –
Innovation gestalten, Daten nutzen und schützen, KI beherrschen“ am 13. und 14. Februar 2025 statt.
TCI-Partner Dr. Thomas Stögmüller, LL.M. (Berkeley), Rechtsanwalt und Fachanwalt für Informationstechnologierecht, wird dort am 14. Februar 2025 über die aktuelle Rechtsprechung des EuGH und des BGH zum immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO berichten.
Nähere Informationen unter: https://www.goettingen-itrecht.de/
Am 1. August 2024 ist die EU-Verordnung 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO) in Kraft getreten. Die Verordnung soll einen sicheren und verantwortungsvollen Einsatz von KI in der EU gewährleisten und setzt umfassende Anforderungen für Unternehmen, die KI-Systeme entwickeln, bereitstellen oder nutzen. Die Anwendung der einzelnen Bestimmungen erfolgt jedoch gestaffelt:
- Ab dem 2. Februar 2025: Kapitel I (Allgemeine Bestimmungen) und Kapitel II (Verbotene Praktiken im KI-Bereich) treten in Kraft. Dies umfasst unter anderem das Verbot bestimmter KI-Praktiken und die Verpflichtung zur Sicherstellung der KI-Kompetenz.
- Ab dem 2. August 2025: Weitere Regelungen, insbesondere für Anbieter von allgemeinen KI-Modellen, sowie Sanktionsbestimmungen werden wirksam.
- Ab dem 2. August 2026: Es gelten grundsätzlich alle Regelungen der KI-VO, die nicht ausdrücklich zu einem anderen Zeitpunkt anwendbar werden. So etwa die Pflichten der Betreiber von Hochrisiko-KI-Systemen. wie Transparenz- und Berichtspflichten.
- Ab dem 2. August 2027: Regelungen zur Einstufung bestimmter Hochrisikosysteme werden anwendbar.
Artikel 4 KI-VO: Sicherstellung der KI-Kompetenz
Artikel 4 der KI-Verordnung verpflichtet Anbieter und Betreiber von KI-Systemen Maßnahmen zu ergreifen, um nach besten Kräften sicherzustellen, dass alle Personen, die mit dem Betrieb, der Entwicklung oder der Nutzung von KI-Systemen betraut sind, über die erforderliche KI-Kompetenz verfügen.
Dies umfasst:
- Technische Kenntnisse: Verstehen der Funktionsweise von KI-Systemen und deren Algorithmen.
- Erfahrung im spezifischen Einsatzkontext: Schulung und praktische Anwendung von KI in branchenspezifischen Szenarien.
- Bewusstsein für Risiken und Chancen: Vermittlung von Wissen über mögliche ethische und rechtliche Konsequenzen.
Ziel ist es, dass Unternehmen nicht nur die Sicherheit und Wirksamkeit ihrer Systeme gewährleisten, sondern auch das Vertrauen von Nutzern und Kunden stärken. Anbieter und Betreiber von KI-Systemen müssen entsprechende Maßnahmen dokumentieren und nachweisen.
Artikel 3 Nr. 56 KI-VO: Definition der KI-Kompetenz
Gemäß Artikel 3 Nr. 56 wird KI-Kompetenz als die Fähigkeiten, Kenntnisse und das Verständnis definiert, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen der KI-Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen. Dies schließt ein:
- das Verständnis technischer, ethischer und rechtlicher Aspekte von KI,
- die Fähigkeit, Chancen und Risiken zu bewerten und
- den Umgang mit potenziellen Fehlfunktionen oder Missbrauchsszenarien.
Dies unterstreicht, wie wichtig ein ganzheitlicher Ansatz für den Umgang mit KI ist, der über rein technische Aspekte hinausgeht.
Welche Maßnahmen jetzt sinnvoll sind
Die Einhaltung der KI-Verordnung erfordert gezielte Maßnahmen in verschiedenen Bereichen. Unternehmen sollten frühzeitig aktiv werden, um rechtliche Risiken zu minimieren und die neuen Anforderungen zu erfüllen. Auch wenn z.B. ein Verstoß gegen Art. 4 KI-VO weder bußgeld- noch strafbewehrt ist, so kann das Nichtergreifen entsprechender Maßnahmen im Schadensfall als Sorgfaltspflichtverletzung gewertet werden und zu einer Haftung des Unternehmens führen.
- Mitarbeiter regelmäßig schulen und weiterbilden
- Entwickeln Sie Schulungsprogramme, die auf die spezifischen Anforderungen Ihrer Branche zugeschnitten sind.
- Fördern Sie das Verständnis für technische, rechtliche und ethische Aspekte von KI-Systemen.
- Sensibilisieren Sie Mitarbeiter für die Risiken und Chancen von KI.
- Interne Richtlinien erstellen
- Legen Sie klare Regeln für die Entwicklung und Nutzung von KI-Systemen fest.
- Integrieren Sie ethische Prinzipien, wie Transparenz und Fairness, in Ihre Unternehmensrichtlinien.
- Berücksichtigen Sie auch Datenschutz- und IT-Sicherheitsanforderungen sowie arbeits- und mitbestimmungsrechtliche Aspekte.
- KI-Systeme bewerten und anpassen
- Überprüfen Sie bestehende Systeme auf ihre Konformität mit der KI-VO.
- Identifizieren Sie Schwachstellen und setzen Sie notwendige Verbesserungsmaßnahmen um.
- Dokumentieren Sie alle Änderungen, um bei Kontrollen Transparenz zu gewährleisten.
- Interdisziplinäre Teams einrichten
- Bringen Sie Experten aus verschiedenen Bereichen zusammen, darunter IT, Recht, Compliance und Ethik.
- Stellen Sie sicher, dass Entscheidungen zum KI-Einsatz aus verschiedenen Perspektiven betrachtet werden.
- Nutzen Sie diese Teams, um innovative und gleichzeitig rechtskonforme Lösungen zu entwickeln.
Fazit: Chancen und Verantwortung im Umgang mit KI
Die KI-Verordnung stellt nicht nur Herausforderungen dar, sondern bietet auch Chancen, den Einsatz von KI zu professionalisieren und nachhaltig zu gestalten.
Falls Sie Fragen zur Umsetzung der Anforderungen der KI-Verordnung oder zur rechtlichen Bewertung Ihrer KI-Systeme haben, steht Ihnen unser erfahrenes Team gerne zur Verfügung. Kontaktieren Sie uns, um eine individuelle Beratung zu erhalten. Unternehmen, die frühzeitig handeln, können nicht nur ihre Compliance sicherstellen, sondern auch einen Wettbewerbsvorteil erzielen. Mit der richtigen Strategie können sie das volle Potenzial der KI ausschöpfen und gleichzeitig das Vertrauen ihrer Kunden und Partner stärken.
Am 10. Dezember 2024 ist der „Cyber Resilience Act“ (CRA, der deutsche Name lautet „Cyberresilienz-Verordnung“) der EU in Kraft getreten. Mit dieser Verordnung werden europaweit erstmalig horizontal geltende Cybersicherheitsvoraussetzungen für Produkte mit digitalen Elementen gesetzlich normiert. Vernetzte Produkte wie Heimkameras, Kühlschränke, Fernsehgeräte und Spielzeug müssen hiernach „cybersicher“ sein, bevor sie in Verkehr gebracht werden, und auch über ihren gesamten Lebenszyklus hinweg bleiben. Um diese Cybersicherheit zu belegen, müssen sie künftig mit einer CE-Kennzeichnung versehen sein.
Zwar gelten die wesentlichen Regelungen der Verordnung erst ab dem 11. Dezember 2027, sodass Unternehmen eine großzügige Übergangsfrist haben, ihre in das Internet eingebundenen Produkte an die neuen Regelungen anzupassen. Doch da Produktentwicklungszyklen mehrere Monate bis Jahren dauern können, soll bereits jetzt auf einige wesentliche Anforderungen unter dem CRA hingewiesen werden:
– Der Anwendungsbereich des CRA ist äußerst weit und umfasst Software, in das Internet eingebundene Hardware wie intelligente Haushaltsgeräte (Stichwort „Internet of Things“) und Cloud-Dienste, die es den Nutzern ermöglichen, Geräte aus der Ferne zu steuern
– Hersteller, die ein Produkt mit digitalen Elementen in den Verkehr bringen, müssen dieses gemäß den grundlegenden, im CRA näher spezifizierten Cybersicherheitsanforderungen konzipieren, entwickeln und herstellen
– Grundlegende Cybersicherheitsanforderungen umfassen beispielsweise, sicherzustellen, dass Schwachstellen durch Sicherheits-Updates behoben werden können, dass geeignete Kontrollmechanismen bestehen, die Schutz vor unbefugtem Zugriff bieten, dass die Vertraulichkeit und Integrität gespeicherter und übermittelter Daten geschützt wird und dass den Nutzern die Möglichkeit geboten wird, alle Daten und Einstellungen dauerhaft sicher und einfach zu löschen
– Während der Supportdauer des Produkts ist dessen Cybersicherheitsrisiko zu bewerten, zu dokumentieren und ggf. zu aktualisieren
– Hersteller müssen Schwachstellen während der erwarteten Lebensdauer des Produkts oder über mindestens fünf Jahre ermitteln, beheben und entsprechende Sicherheits-Updates bereitstellen
– Hersteller müssen ein Konformitätsbewertungsverfahren durchführen (lassen) und, sofern das Produkt mit digitalen Elementen den grundlegenden Cybersicherheitsanforderungen genügt, eine CE-Kennzeichnung anbringen
– Produkte mit digitalen Elementen, die mit einem höheren Cybersicherheitsrisiko behaftet sind – als „wichtige Produkte mit digitalen Elementen“ bezeichnet – unterliegen einem strengeren Konformitätsbewertungsverfahren; dies gilt etwa für Betriebssysteme, Passwort-Manager, VPN, Modems für die Internetanbindung, intelligente Türschlösser, Babyphones, Alarmanlagen und Wearables
– Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle dem zuständigen nationalen Computer-Notfallteam (Computer Security Incident Response Team – CSIRT) und der Agentur der Europäischen Union für Cybersicherheit (ENISA) über eine einheitliche Meldeplattform melden
– Der CRA enthält Ausnahmen und spezielle Regelungen für freie Software und Open Source Software
Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), hält am 6. November 2024 ein Grundlagenseminar zur Datenschutzgrundverordnung (DSGVO). Das 2,5-stündige Online-Seminar erfolgt im Rahmen der Fortbildung der Rechtsanwaltskammer München und richtet sich an Rechtsanwältinnen und Rechtsanwälte (nähere Informationen unter https://seminare.rak-muenchen.de/65004-13-grundlagenseminar-dsgvo-9509010/). Neben einem generellen Überblick über die Grundsätze der DSGVO und die Rechtmäßigkeit der Datenverarbeitung werden auch aktuelle Themen wie Künstliche Intelligenz und Datenschutz, Anforderungen an Cookies, die Datenübermittlung in die USA und die jüngste EuGH-Rechtsprechung zur Klagebefugnis von Wettbewerbern und zum Schadensersatzanspruch unter der DSGVO behandelt.
Gemäß Art. 20 Absätze 2 und 3 der Verordnung (EU) 2023/1804 über den Aufbau der Infrastruktur für alternative Kraftstoffe (AFIR) müssen Betreiber von öffentlich zugänglichen Ladepunkten (Charge Point Operator – CPO) ab dem 14. April 2025 neue Vorgaben in Bezug auf die Bereitstellung von Daten umsetzen.
Diese Anforderung hat den Hintergrund, dass die Datenbereitstellung von grundlegender Bedeutung dafür ist, dass die Ladeinfrastruktur ordnungsgemäß funktioniert. Gemäß Art. 20 Abs. 1 benennen die Mitgliedstaaten eine ID-Registrierungs-Organisation („IDRO“). Die IDRO vergibt und verwaltet bis zum 14. April 2025 individuelle Identifizierungscodes („ID“): Mithilfe dieses individuellen Identifizierungscodes können die Betreiber von Ladepunkten und E-Mobilitätsdienstleister identifiziert werden.
Die Betreiber von öffentlich zugänglichen Ladepunkten oder – gemäß den vertraglichen Vereinbarungen – deren Eigentümer haben dafür zu sorgen, dass statistische und dynamische Daten über die betriebene Ladeinfrastruktur oder die damit verbundenen Dienstleistungen kostenfrei zur Verfügung gestellt werden. Unter die statistischen Daten fallen insbesondere die geografische Lage der Ladepunkte, Anzahl der Anschlüsse, Kontaktdaten des Eigentümers und des Betreibers der Ladestation, Betriebszeiten, Stromart (AC/DC), maximale Ladeleistung (kW) der Ladestation bzw. des Ladepunkts sowie ID-Codes mindestens des Betreibers des Ladepunkts. Zu den dynamischen Daten zählen der Betriebszustand (betriebsbereit/außer Betrieb), die Verfügbarkeit (im Betrieb/nicht in Betrieb), der Ad-hoc-Preis und die Angabe, ob der Fahrstrom zu 100 % aus erneuerbaren Quellen geliefert wird (Ja/Nein).
Ferner hat jeder Betreiber bzw. – gemäß den getroffenen vertraglichen Vereinbarungen – der Eigentümer der Ladepunkte eine Anwendungsprogrammierschnittstelle (API) einzurichten, die einen freien und uneingeschränkten Zugang zu den vorgenannten Daten bietet, und den nationalen Zugangspunkten Informationen über diese API zu übermitteln.
Bis zum 31.12.2024 haben die Mitgliedstaaten sicherzustellen, dass diese Daten allen Nutzern, insbesondere E-Mobility Service-Providern (eMSP) und E-Mobility Usern, in offener und nichtdiskriminierender Weise zugänglich gemacht werden. Ziel dieser Vorgaben ist die Schaffung eines einheitlichen Rechtsrahmens und einheitlicher Standards in Bezug auf die Datenbereitstellung zur Nutzung der Elektromobilität, als eine von vielen Maßnahmen, um die Errichtung von Ladeinfrastruktur für Elektrofahrzeuge in Europa voranzubringen.
Diese neuen europarechtlichen Vorgaben sind bei der Gestaltung von Verträgen im Bereich der Erbringung von Betriebsleistungen des CPO bzw. eMSP umzusetzen.
