Der für lokale digitale Zwillinge relevante EU-Rechtsrahmen für digitale Produkte und Dienstleistungen

AUF FRANZÖSISCH LESENIN ENGLISCH LESEN

 

The EU legal framework on digital products and services relevant to LDTs

 

1.          Einführung

Die Richtlinie zum Rechtsrahmen für die öffentliche Auftragsvergabe in der EU und diese Richtlinie unterstützen städtische Beschaffungsbeauftragte dabei, relevante EU-Digitalvorschriften für Beschaffungsobjekte in ihren Ausschreibungen zu identifizieren. Er ist nach den Rechtsakten strukturiert, die in den technischen Spezifikationen der Beschaffungsvorlagen enthalten sind. Jeder Rechtsakt wird anhand einheitlicher Informationen dargestellt, um seinen Umfang und seine Anwendbarkeit auf bestimmte Beschaffungsobjekte zu verdeutlichen. Die Richtlinie erläutert außerdem die Gründe für die in den technischen Spezifikationen enthaltenen rechtlichen Anforderungen und verknüpft sie mit den relevanten gesetzlichen Bestimmungen.

Im Unterabschnitt „Geltungsbereich und Anwendbarkeit“ werden kurze Informationen zum konkreten Gesetz, seiner Anwendbarkeit auf den öffentlichen Sektor und den konkreten Beschaffungsgegenstand sowie zur Bedeutung des Gesetzes für die Sensibilisierung gegeben.

Im Anschluss an diese Einführung hilft der Unterabschnitt „Von gesetzlichen Anforderungen zu technischen Spezifikationen“ den städtischen Beamten, sich in der Gesetzgebung zurechtzufinden. Zu diesem Zweck bietet dieser Abschnitt dem Leser folgende Informationen:

      eine Übersicht, wo die rechtlichen Vorgaben in den verschiedenen Gesetzestexten zu finden sind,

      eine Erläuterung der Gründe für die Einbeziehung der Anforderungen in die technischen Spezifikationen der verschiedenen Beschaffungsobjekte,

      nützliche Ressourcen und Informationen, um die Anforderungen zur Einhaltung zu verstehen.

Durch die Lektüre dieser Richtlinien werden die städtischen Beamten mit den für ihre Beschaffungsobjekte geltenden Gesetzen vertraut gemacht und erfahren, wie sie diese auslegen müssen, um die Durchsetzung und Einhaltung der Anforderungen bei der Vergabe der Ausschreibung zu erleichtern.

Dabei ist zu beachten, dass § 8 KI-Gesetz im Zusammenhang mit der Richtlinie Künstliche Intelligenz und Maschinelles Lernen zu verstehen ist. Denn die gesetzlichen Vorgaben müssen je nach konkretem Anwendungsfall in unterschiedlichen Vorlagen umgesetzt werden.

2.          Datenschutzgrundverordnung

2.1.          Umfang und Anwendbarkeit

2.1.1.      Wann wird sie ausgelöst?

Die Datenschutz-Grundverordnung (DSGVO)1ist ein umfassendes Datenschutzgesetz, das in der gesamten Europäischen Union (EU) gilt. Sie zielt darauf ab, die Grundrechte und Freiheiten des Einzelnen zu schützen, insbesondere das Recht auf Schutz personenbezogener Daten. Die DSGVO definiert klare Regeln für die automatisierte oder teilweise automatisierte Verarbeitung personenbezogener Daten und legt die Voraussetzungen für den freien Verkehr dieser Daten fest.

Dabei ist zu beachten, dass sich personenbezogene Daten auf alle Informationen beziehen, die eine identifizierte oder identifizierbare natürliche Person (betroffene Person) betreffen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Diese Merkmale drücken die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person aus (Artikel 4 Absatz 1 DSGVO).

Aus den oben genannten Gründen fällt die Verarbeitung anonymisierter Daten nicht in den Anwendungsbereich der DSGVO. Es ist jedoch hervorzuheben, dass der Umgang mit anonymisierten personenbezogenen Daten geeignete Sicherheitsvorkehrungen erfordert, um potenzielle Risiken einer erneuten Identifizierung und Datenschutzverletzungen zu vermeiden. Wird ein anonymisierter Datensatz identifizierbar – beispielsweise durch neue Deanonymisierungstechniken nach dem Stand der Technik oder die Kombination mit anderen vorhandenen Datensätzen – fällt die Verarbeitung eines solchen Datensatzes in den Anwendungsbereich der DSGVO, da es sich um personenbezogene Daten handelt.

2.1.2.      Für wen gilt sie?

Gemäß der DSGVO unterliegen alle natürlichen oder juristischen Person, Behörden, Einrichtungen oder sonstigen Stellen, die personenbezogene Daten ganz oder teilweise automatisiert verarbeiten, den Regelungen der Verordnung.2

Die beiden wichtigsten durch die DSGVO geregelten Parteien sind Verantwortliche und Verarbeiter personenbezogener Daten.

Als Verantwortlicher wird die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle bezeichnet, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).

Als Auftragsverarbeiter wird eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle bezeichnet, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet (Art. 4 Nr. 8 DSGVO).

In diesem Zusammenhang fungiert der ÖA als Verantwortlicher für die personenbezogenen Daten und der erfolgreiche Bieter als Auftragsverarbeiter. Diese Unterscheidung ist bei der Festlegung der Pflichten und Verantwortlichkeiten der einzelnen Parteien bei den verschiedenen Verarbeitungstätigkeiten zu beachten.

2.1.3.      Zeitleiste

Die DSGVO ist ab dem 25. Mai 2018 anwendbar.

2.2.          Von gesetzlichen Anforderungen bis zu Ausschreibungsspezifikationen

2.2.1.      Anforderungen an Ausschreibungsbewerber

Die DSGVO ist aufgrund der Art der Daten, die im Zusammenhang mit den Aktivitäten dieser Komponenten anfallen, auf alle Beschaffungsobjekte anwendbar. Es wird empfohlen, dass der ÖA eng mit seinem Datenschutzbeauftragten und seinem Datenschutzteam zusammenarbeitet, um die Anwendbarkeit der Datenschutzanforderungen zu prüfen und diese je nach Anwendungsfall anzupassen.

Die technischen Spezifikationen beziehen sich auf die folgenden Konzepte und Bestimmungen der DSGVO:

      Grundsätze für die Verarbeitung personenbezogener Daten (Artikel 5 DSGVO). Die Grundsätze der Rechtmäßigkeit, Fairness und Transparenz, der Zweckbindung, der Datenminimierung, der Datenrichtigkeit, der Speicherbegrenzung sowie der Integrität und Vertraulichkeit bilden den Ausgangspunkt und die Grundlage für die detaillierteren Bestimmungen der Verordnung. Sie sind entscheidend für die Auslegung aller Artikel des Gesetzes bestimmen, insbesondere der Rechte der betroffenen Personen (Kapitel III der DSGVO).

Diese Grundsätze werden im Rahmen der technischen Spezifikationen objektbezogen und einzeln erläutert.

      Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO). Diese Bestimmung verlangt von den Verantwortlichen für personenbezogene Daten, wirksame Maßnahmen zur Umsetzung der Datenschutzgrundsätze zu ergreifen und die notwendigen Sicherheitsvorkehrungen zu integrieren, um die Rechte des Einzelnen und die Anforderungen der DSGVO zu erfüllen. Diese Maßnahmen sollten zum Zeitpunkt der Verarbeitung und bei der Festlegung der Verarbeitungsmittel umgesetzt werden. Dies bedeutet, dass der Bewerber in der Lage sein sollte, die vom ÖA im Rahmen seines Projekts festgelegten Maßnahmen zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen umzusetzen. Beispiele hierfür sind die Verschlüsselung personenbezogener Daten im Ruhezustand und während der Übertragung oder der Einsatz datenschutzfreundlicher Technologien.

Der ÖA muss beurteilen, ob die Maßnahme im Hinblick auf die Umsetzung der Datenschutzgrundsätze und der Rechte der betroffenen Personen angemessen und wirksam ist.

      Sicherheit der Verarbeitung personenbezogener Daten (Artikel 32 DSGVO). Verantwortliche und Auftragsverarbeiter personenbezogener Daten sind dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau zu gewährleisten, dass den unterschiedlichen Eintritts- und Schweregraden der Risiken für die Rechte und Freiheiten natürlicher Personen Rechnung trägt. Die technischen Spezifikationen beziehen sich auf verschiedene Arten von Sicherheitsmaßnahmen, die der Bieter ergreifen sollte, um personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, Verlust, Veränderung, Zugriff oder unbefugter Offenlegung zu schützen.

Diese Maßnahmen werden durch die in Kapitel 3 dieser Richtlinie erläuterten Anforderungen der Richtlinie über Netz- und Informationssysteme verstärkt.

      Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen (Kapitel V der DSGVO). Die DSGVO ermöglicht den freien Verkehr personenbezogener Daten innerhalb der EU. Sie enthält jedoch spezifische Anforderungen in Bezug auf die Übermittlung personenbezogener Daten in Drittländer (transfers of personal data to third countries) (Link in englischer Sprache) oder internationale Organisationen. In diesem Zusammenhang enthält Kapitel V der Verordnung die Bedingungen und Mechanismen, um für die Übermittlung von personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums (EWR) das gleiche Schutzniveau zu gewährleisten. Diese Mechanismen sind Angemessenheitsentscheidungen (adequacy decisions), Standardvertragsklauseln (standard contractual clauses) (Links in englischer Sprache), verbindliche Unternehmensregeln, Zertifizierungsmechanismen, Verhaltenskodizes und Ausnahmeregelungen (für sehr außergewöhnliche Umstände).

Es gibt verschiedene Möglichkeiten, die Einhaltung der in den technischen Spezifikationen definierten DSGVO-Verpflichtungen und -Anforderungen nachzuweisen und zu bewerten:

      Verhaltensregeln (Artikel 40 der DSGVO). Entweder ist eine Genehmigung durch eine Datenschutzbehörde erforderlich, wenn die Verarbeitungstätigkeiten nicht in mehreren Mitgliedsstaaten stattfinden, oder eine Genehmigung durch die Europäische Kommission mittels eines Durchführungsrechtsakts erforderlich, wenn unterschiedliche Verarbeitungstätigkeiten in mehreren Mitgliedsstaaten betroffen sind. Ein Beispiel ist der CISPE-Verhaltenskodex (CISPE Code of Conduct) (Link in englischer Sprache) für Anbieter von Cloud-Infrastrukturdiensten.

      Zertifizierung (Artikel 42 der DSGVO) durch eine Datenschutzbehörde, einen Europäischen Datenschutzausschuss oder eine Zertifizierungsstelle wie das Europäisches Datenschutzsiegel ( European Data Protection Seal) (Link in englischer Sprache).

Der öffentliche Auftraggeber ist verpflichtet, eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DSFA) durchzuführen, wenn eine Art der Verarbeitung, insbesondere unter Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Dies ist in jedem Fall in den in Artikel 35 Absatz 3 der DSGVO genannten Fällen erforderlich. Darüber hinaus legen die Datenschutzbehörden Folgendes fest: Listen der Art von Verarbeitungsvorgängen (Link in englischer Sprache), die die Durchführung einer Datenschutz-Folgenabschätzung erfordern.

Die Pflichten und Anforderungen für die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter müssen in einem Vertrag oder einem anderen Rechtsdokument festgelegt sein. Diese Vereinbarung wird als Auftragsverarbeitungsvereinbarung bezeichnet, deren Inhalt in Artikel 28 Absatz 3 der DSGVO festgelegt ist. Der ÖA hat sicherzustellen, dass diese Vereinbarung durch den erfolgreichen Bieter unterzeichnet wird, um Art, Umfang, Zwecke, Sicherheitsmaßnahmen und sonstige Pflichten für die Verarbeitung personenbezogener Daten in dessen Namen festzulegen.

2.2.2.      Unterstützendes Material (Links in englischer Sprache)

      Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) –Link

      Artikel 29 Datenschutzgruppe, „Opinion 05/2014 on Anonymisation Techniques“ (2014) –Link

      Europäischer Datenschutzbeauftragter, „10 misunderstandings related to anonymisation“ –Link

      Leitlinien 4/2019 zu Artikel 25. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. 20. Oktober 2020 –Link

      OECD (2023), „Emerging privacy-enhancing technologies: Current regulatory and policy approaches“, OECD Digital Economy Papers, Nr. 351, OECD Publishing, Paris, https://doi.org/10.1787/bf121be4-en.

      Leitlinien 05/2021 über das Zusammenspiel zwischen der Anwendung von Artikel 3 und den Bestimmungen über internationale Übermittlungen gemäß Kapitel V der DSGVO –Link

      Europäischer Datenschutzausschuss (Art. 64), Stellungnahme 22/2024 zu bestimmten Pflichten, die sich aus der Inanspruchnahme von Auftragsverarbeitern und Unterauftragsverarbeitern ergeben –Link

      Durchführungsbeschluss der Kommission über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 –Link

Zusätzlich zu den Richtlinien, Empfehlungen und Best Practices des Europäischen Datenschutzausschusses (Link in englischer Sprache) wird empfohlen, den Empfehlungen und Entscheidungen von Nationalen Datenschutzbehörden (Link in englischer Sprache) zu folgen.

2.2.3.      Relevante Beschaffungsobjekte und Beschaffungsvorlagen

Die DSGVO-Anforderungen sind in allen Beschaffungsvorlagen enthalten, da die verschiedenen Beschaffungsobjekte personenbezogene Daten von Einzelpersonen, behördlichen Benutzern und/oder Endbenutzern verarbeiten.

3.              ePrivacy-Richtlinie

3.1.          Umfang und Anwendbarkeit

3.1.1.      Wann wird sie ausgelöst?

Die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (ePrivacy-Richtlinie)3 regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation. Dazu gehören Vorschriften zur Vertraulichkeit, zu Verkehrsdaten, Standortdaten und unerwünschten Nachrichten (z. B. sogenanntem „Spam“).

Die ePrivacy-Richtlinie ergänzt die Datenschutz-Grundverordnung (DSGVO) durch spezifischere Regeln für die elektronische Kommunikation. Während die DSGVO allgemeine Datenschutzgrundsätze abdeckt, konzentriert sich die ePrivacy-Richtlinie auf die Vertraulichkeit von Kommunikation, Cookies und ähnlichen Technologien. Es handelt sich daher um eine sektorspezifische Gesetzgebung.

3.1.2.      Für wen gilt sie?

Die ePrivacy-Richtlinie gilt sowohl für öffentliche als auch für private Einrichtungen, die öffentlich zugängliche elektronische Kommunikationsdienste anbieten. Das bedeutet, dass auch öffentliche Stellen diese Vorschriften einhalten müssen, wenn sie elektronische Kommunikation nutzen.

3.1.3.      Zeitleiste

Die Richtlinie ist seit 2003 anwendbar und wurde zuletzt 2009 geändert.

3.2.          Von gesetzlichen Anforderungen bis zu technischen Spezifikationen

3.2.1.      Anforderungen an Ausschreibungsbewerber

Der Ausschreibungswerber sollte beim Umgang mit Kommunikationsdaten (Verkehrs- und Standortdaten) bestimmte Pflichten beachten.

Daher gilt gemäß Artikel 6 der ePrivacy-Richtlinie (Verkehrsdaten):

      Der erfolgreiche Bieter sollte die Verkehrsdaten löschen oder anonymisieren, sobald diese nicht mehr benötigt werden für:

-        den Zweck der Übermittlung einer Nachricht,

-        die Abrechnung von Abonnenten- und Zusammenschaltungszahlungen,

-        die Erbringung der Dienstleistungen,

-        Zwecke der Vermarktung elektronischer Kommunikationsdienste,

-        die Erbringung von Mehrwertdiensten oder

-        jederzeit, wenn die Einwilligung des Nutzers widerrufen wird

      Die Verarbeitung von Verkehrsdaten sollte auf Personen beschränkt sein, die unter der Aufsicht des erfolgreichen Bieters handeln, und ausschließlich zum Zwecke der Abwicklung oder Bereitstellung der folgenden Tätigkeiten erfolgen:

-        Abrechnungs- oder Verkehrsmanagement

-        Kundenanfragen

-        Betrugserkennung

-        Vermarktung elektronischer Kommunikationsdienste

-        Mehrwertdienst

Im Einklang mit Artikel 9 der ePrivacy-Richtlinie zu Standortdaten, die keine Verkehrsdaten sind:

      Dürfen Standortdaten nur anonym oder mit Einwilligung der Benutzer oder Teilnehmer verarbeitet werden, und zwar nur in dem Umfang und für die Dauer, die für die Bereitstellung des Dienstes erforderlich ist.

      Sollten Benutzer bzw. Abonnenten vor der Einholung ihrer Einwilligung über die Art der Standortdaten, die Zwecke und die Dauer der Verarbeitung sowie darüber informiert werden, ob die Daten zur Bereitstellung des Dienstes an Dritte übermittelt werden.

      Können Benutzer oder Abonnenten ihre Zustimmung zur Verarbeitung von Standortdaten widerrufen und diese für jede Verbindung zum Netzwerk oder für jede Übertragung einer Nachricht vorübergehend verweigern.

      Sollte die Verarbeitung von Standortdaten auf Personen beschränkt sein, die im Auftrag des Betreibers des öffentlichen Kommunikationsnetzes oder öffentlich zugänglichen Kommunikationsdienstes oder des Drittanbieters handeln, der den Dienst bereitstellt.

      Sollte die Verarbeitung auf das für die Erbringung der Dienstleistung unbedingt erforderliche Maß beschränkt bleiben.

Darüber hinaus sieht Artikel 5 Absatz 3 der Richtlinie in Bezug auf sogenannte Cookies oder ähnliche Tracking-Technologien vor, dass die Speicherung von Informationen oder der Zugriff auf bereits im Endgerät eines Teilnehmers oder Nutzers gespeicherte Informationen nur unter der Bedingung zulässig ist, dass der betreffende Teilnehmer oder Benutzer seine Einwilligung erteilt hat, nachdem er klare und umfassende Informationen, unter anderem über die Zwecke der Verarbeitung, erhalten hat. Dies gilt unbeschadet der notwendigen technischen Speicherung oder des Zugangs zum alleinigen Zweck der Übermittlung der Nachricht (Ausnahme: Keine Einwilligung erforderlich).

3.2.2.      Unterstützendes Material (in englischer Sprache)

      Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (ePrivacy-Richtlinie) –Link

      Leitlinien 2/2023 zum technischen Anwendungsbereich von Art. 5(3) der ePrivacy-Richtlinie (siehe Seite 14 zu IoT-Geräten) –Link

3.2.3.      Relevante Beschaffungsobjekte und Beschaffungsvorlagen

Laut dem Europäischen Kodex für die elektronische Kommunikation( European electronic communications code) (Link in englischer Sprache) zählen zu den elektronischen Kommunikationsdiensten unter anderem:

      Internetzugangsdienst – ein öffentlich zugänglicher elektronischer Kommunikationsdienst, der Zugang zum Internet und damit Konnektivität zu praktisch allen Endpunkten des Internets bietet, unabhängig von der verwendeten Netzwerktechnologie und den verwendeten Endgeräten;

      zwischenmenschlicher Kommunikationsdienst;

      Dienste, die ganz oder hauptsächlich zum Senden von Signalen verwendet werden, wie etwa Übertragungsdienste, die für die Bereitstellung von Maschine-zu-Maschine-Diensten und für den Rundfunk verwendet werden.

Daher gilt die ePrivacy-Richtlinie für die folgenden Vorlagen und zugrunde liegenden Beschaffungsobjekte.

Hinweis für den Leser: In der webbasierten Version der Richtlinie werden für jedes Beschaffungsobjekt Links zu den zugehörigen Beschaffungsvorlagen bereitgestellt (eventuell nicht in deutscher Sprache verfügbar).

-        IoT-Plattform A.02

-        IoT-Sensor

-        Netzwerkinfrastruktur I.02.1

       Öffentliches WLAN (Internet-Netzwerk)

       Netzwerk – Netzwerkausrüstung

-        Netzwerkinfrastruktur Öffentliches WLAN I.02.3

4.              Richtlinie über Netz- und Informationssysteme (NIS2)

4.1.          Umfang und Anwendbarkeit

4.1.1.      Wann wird sie ausgelöst?

Das Ziel der Gesetze dieser Richtlinie4 ist die Erreichung eines hohen gemeinsamen Cybersicherheitsniveaus in der gesamten Union. Da die Bereitstellung und Kontinuität kritischer Dienste, Funktionen und Abläufe zunehmend von digitalen Ressourcen abhängt und dort auch sensible Informationen gespeichert sind, ist die Aufrechterhaltung eines einheitlichen Sicherheitsniveaus in den Netzwerkinformationssystemen und der physischen Umgebung dieser Systeme unerlässlich geworden.

NIS2 beinhaltet strenge Anforderungen an ein breites Spektrum von Akteuren im Bereich des Cybersicherheitsrisikomanagements. Dazu zählen technische, betriebliche und organisatorische Maßnahmen zur Bewältigung von Risiken für die Sicherheit von Netzwerk- und Informationssystemen sowie Anforderungen zur Meldung von Cybersicherheitsvorfällen.

4.1.2.      Für wen gilt sie?

Das verankerte Gesetz in dieser Richtlinie führt die Konzepte der wesentlichen und wichtigen Einrichtungen ein. Die Mitgliedsstaaten erstellen bis zum 17. April 2025 eine Liste dieser Einrichtungen. Dabei handelt es sich um Einrichtungen aus den folgenden Sektoren:

      Wesentliche Einrichtungen (Kategorie 1): Energie; Verkehr; Bankwesen; Finanzmarktinfrastrukturen; Gesundheit; Trinkwasser; Abwasser; digitale Infrastruktur; IKT-Dienstleistungsmanagement; öffentliche Verwaltung; Weltraum.

      Wichtige Einrichtungen (Kategorie 2): Post- und Kurierdienste; Abfallwirtschaft; Herstellung, Produktion und Vertrieb von Chemikalien; Lebensmittelproduktion, -verarbeitung und -vertrieb; Fertigung; digitale Anbieter; Forschung.

Es ist wichtig hervorzuheben, dass die Gesetzgebung den öffentlichen Verwaltungssektor als „wesentliche Einrichtung“ bezeichnet. Konkret heißt es:

-        Dieses Gesetz gilt für „eine öffentliche Verwaltungseinheit auf regionaler Ebene, wie sie von einem Mitgliedstaat gemäß nationalem Recht definiert wird und die nach einer risikobasierten Bewertung Dienste bereitstellt, deren Unterbrechung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Aktivitäten haben könnte“.

-        Die Mitgliedsstaaten können vorsehen, dass diese Richtlinie auch auf öffentliche Einrichtungen auf lokaler Ebene Anwendung findet. Dies hängt von den nationalen Entscheidungen der einzelnen Mitgliedsstaaten bei der Umsetzung der Richtlinie in nationales Recht ab.

4.1.3.      Zeitleiste

Die NIS2-Richtlinie trat im Januar 2023 in Kraft und musste von allen EU-Mitgliedsstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.

4.2.          Von gesetzlichen Anforderungen bis zu technischen Ausschreibungsspezifikationen

4.2.1.      Anforderungen an Ausschreibungsbewerber

Kernanforderungen dieser Richtlinie ergeben sich aus den Artikeln 21 und 23 für Anbieter digitaler Produkte und Dienste.

Die Kernanforderungen an Anbieter und Betreiber digitaler Produkte und Dienste sind in Artikel 21 definiert. Er enthält eine Liste geeigneter und verhältnismäßiger technischer, betrieblicher und organisatorischer Maßnahmen zur Bewältigung der Risiken für die Sicherheit von Netz- und Informationssystemen sowie der physischen Umgebung dieser Systeme:

      Richtlinien zur Risikoanalyse und Informationssystemsicherheit. Anbieter müssen über einen strukturierten Ansatz zur Identifizierung, Bewertung und Bewältigung von Risiken für ihre Informationssysteme verfügen.

      Richtlinien und Mechanismen zur Vorfallbehandlung, die den Anforderungen von Artikel 23 entsprechen; Artikel 23 beschreibt detailliert die Meldepflichten in Bezug auf Cybersicherheitsvorfälle. Dies bedeutet, dass Organisationen den Vorfall innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls ihrem CSIRT oder ihrer nationalen Behörde melden müssen, gefolgt von einem Abschlussbericht innerhalb eines Monats.

      Geschäftskontinuität. Das bedeutet:

       Regelmäßiges Sichern kritischer Daten und Systeme, um sicherzustellen, dass sie nach einem Vorfall wiederhergestellt werden können.

       Entwicklung von Plänen zur Wiederherstellung und Wiederaufnahme des Betriebs nach größeren Störungen (z. B. Cyberangriffen, Ausfällen).

       Ausarbeitung von Protokollen zur Reaktion auf Krisen, einschließlich Rollen und Verantwortlichkeiten, Kommunikationsstrategien und Entscheidungsprozessen.

      Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die Beziehungen zwischen den einzelnen Unternehmen und ihren direkten Lieferanten oder Dienstleistern;

      Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen, einschließlich Schwachstellen;

       Sicherheit sollte in den Entwurf, die Entwicklung und die Wartung von Systemen und Anwendungen integriert werden.

       Systeme sollten regelmäßig auf Schwachstellen überprüft und Patches oder Updates implementiert werden, um bekannte Schwachstellen zu beheben.

       Es sollten sichere Entwicklungspraktiken wie Codeüberprüfungen, Penetrationstests und die Einhaltung von Industriestandards übernommen werden.

      Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement der Cybersicherheit, wie z. B. die Durchführung regelmäßiger Audits, Überprüfungen und Bewertungen. Einsatz von Tools wie Penetrationstests, Schwachstellenanalysen und Simulationen zur Reaktion auf Zwischenfälle, um die Bereitschaft zu überprüfen.

      Grundlegende Cyberhygiene-Praktiken und Cybersicherheitsschulungen: Cyberhygiene umfasst einfache, grundlegende Sicherheitsmaßnahmen wie sichere Passwörter, regelmäßige Updates und Antivirensoftware. Zu den Schulungen gehört auch die Schulung der Mitarbeiter zur Erkennung von Phishing-Angriffen, zum sicheren Umgang mit Daten und zur Meldung von Vorfällen, um eine Kultur des Cybersicherheitsbewusstseins zu schaffen.

      Richtlinien und Verfahren zur Verwendung von Kryptografie und gegebenenfalls Verschlüsselung; Anwendungsfälle und Methoden.

      Personalsicherheit, Zugriffskontrollrichtlinien und Asset-Management. Hintergrundüberprüfungen für Mitarbeiter in sensiblen Positionen und Schulungen zur Cybersicherheit. Zugriffskontrollrichtlinien, wie z. B. die rollenbasierte Zugriffskontrolle (Role-based Access Control, RBAC), stellen sicher, dass Mitarbeiter nur auf die für ihre Rolle erforderlichen Systeme oder Daten zugreifen können. Führen Sie ein Inventar aller Hardware-, Software- und Datenbestände, einschließlich Eigentumsverhältnissen und Sicherheitsklassifizierung.

      Die Verwendung einer Multi-Faktor-Authentifizierung (mehrere Verifizierungsfaktoren, z. B. Passwort und Biometrie) oder kontinuierlicher Authentifizierungslösungen, die das Benutzerverhalten (z. B. Tippmuster, Standort), sichere Sprach-, Video- und Textkommunikation sowie sichere Notfallkommunikationssysteme überwachen.

Weitere Erläuterungen und Informationen zu den oben genannten Maßnahmen für Bieter sowie praktische Schritte oder Beispiele zur Einhaltung finden Sie in der Durchführungsverordnung (EU) 2024/2690 der Kommission (Commission Implementing Regulation (EU) 2024/2690) (Link in englischer Sprache)5 zu den technischen und methodischen Anforderungen an Cybersicherheits-Risikomanagementmaßnahmen von NIS2.

Um die Einhaltung der Vorschriften nachzuweisen, kann jeder Mitgliedstaat verlangen, dass bestimmte Produkte oder Dienstleistungen nach spezifischen Zertifizierungssystemen gemäß dem Cybersicherheitsgesetz (Artikel 24 NIS2) zertifiziert werden müssen. Das Cybersicherheitsgesetz6 ist eine begleitende EU-Gesetzgebung, die einen Rahmen für die Einrichtung europäischer Cybersicherheitszertifizierungssysteme schafft. Ziel ist es, ein angemessenes Maß an Cybersicherheit für IKT-Produkte, -Dienste und -Prozesse zu gewährleisten und eine Fragmentierung der Cybersicherheitszertifizierungssysteme in der Union zu vermeiden. Es existieren zwar einige nationale Cybersicherheitssysteme, jedoch fehlt ein gemeinsamer Rahmen für die Mitgliedsstaaten. Die neuen europäischen Cybersicherheitszertifizierungssysteme sind darauf ausgerichtet, nationale Systeme zu ersetzen, sobald deren Anwendungsbereich sich überschneidet.

Jedes europäische System umfasst die Kategorien der abgedeckten Produkte und Dienste, die Anforderungen an die Cybersicherheit (wie Normen oder technische Spezifikationen), die Art der Bewertung (wie Selbstbewertung oder Bewertung durch Dritte) und das angestrebte Sicherheitsniveau.

Derzeit existiert auf EU-Ebene lediglich ein veröffentlichtes System, das „Scheme on Common Criteria“ (EUCC) (das den früheren SOG-IS Common Criteria-Bewertungsrahmen ersetzt), sowie zwei weitere, die sich in der Entwicklung befinden: das Europäische Zertifizierungssystem für Cloud-Dienste (European Certification Scheme for Cloud Services, EUCS) und das Europäische Cybersicherheits-Zertifizierungssystem für 5G. Informationen über die Entwicklung und Veröffentlichung der Zertifizierungssysteme finden Sie auf der Webseite der EU-Agentur für Cybersicherheit, ENISA (Link in englischer Sprache).

4.2.2.      Relevante Beschaffungsobjekte und Beschaffungsvorlagen

Diese gesetzliche Anforderung gilt für alle Beschaffungsobjekte und Vorlagen. Um einen cybersicheren lokalen digitalen Zwilling (Local Digital Twins, LDT) zu gewährleisten, müssen alle für die Implementierung erforderlichen Komponenten (und damit Beschaffungsobjekte) – sei es Software, Middleware oder Hardware – den Cybersicherheitsstandards entsprechen.

Öffentliche Auftraggeber sollten daher die Gesamtqualität und Belastbarkeit der digitalen Produkte und Dienstleistungen, die sie erwerben möchten, bewerten und berücksichtigen. Sie sollten prüfen, ob in den Produkten und Dienstleistungen angemessene Maßnahmen zum Risikomanagement der Cybersicherheit integriert sind und welche Cybersicherheitspraktiken ihre Lieferanten und Dienstleister anwenden. So können sie sicherstellen, dass die gesamte Lieferkette, die den lokalen digitalen Zwilling oder andere technologische Anwendungen stützt, cybersicher ist und das Risiko eines Kaskadeneffekts böswilliger oder nicht böswilliger Cybersicherheitsvorfälle begrenzt wird.

5.              Funkanlagenrichtlinie (Radio Equipment Directive, RED)

5.1.          Umfang und Anwendbarkeit

5.1.1.      Wann wird sie ausgelöst?

Die Funkanlagenrichtlinie7 legt den Rechtsrahmen für die Markteinführung von Funkanlagen fest. Sie definiert grundlegende Anforderungen an Sicherheit und Gesundheit, elektromagnetische Verträglichkeit und die effiziente Nutzung des Funkspektrums. Sie umfasst technische Merkmale und Anforderungen zum Schutz der Privatsphäre, personenbezogener Daten und vor Betrug. Weitere Aspekte betreffen die Interoperabilität, den Zugang zu Notdiensten und die Konformität hinsichtlich der Kombination von Funkanlagen und Software.

Gemäß Artikel 2 der Richtlinie bezeichnet „Funkgeräte“ ein elektrisches oder elektronisches Produkt, das absichtlich Funkwellen aussendet und/oder empfängt. Dazu gehören beispielsweise Smartphones, Laptops, kabellose Kopfhörer, Drohnen, kabellose Kameras und kabellose Sensoren.

5.1.2.      Für wen gilt sie?

Die Richtlinie gilt für Hersteller, Bevollmächtigte, Importeure, Händler und Wirtschaftsbeteiligte von Funkanlagen, die auf dem EU-Markt bereitgestellt oder in Verkehr gebracht werden. Diese Akteure sind verpflichtet alle im Gesetz festgelegten Verfahrenspflichten hinsichtlich CE-Kennzeichnung, technischer Dokumentation und Konformitätsbewertungen einzuhalten.

Beabsichtigt ein öffentlicher Auftraggeber, internetfähige Geräte zu erwerben, sollte er prüfen, ob die Anbieter derartiger Geräte die in dieser Richtlinie festgelegten Anforderungen erfüllen.

5.1.3.      Zeitleiste

Die Funkanlagenrichtlinie (RED) trat 2014 in Kraft. Im Jahr 2021 ergänzte die Kommission das Gesetz8 mit einer Erweiterung der Cybersicherheitsanforderungen für internetfähige Geräte und tragbare Geräte und Produkte, die auf dem EU-Markt erhältlich sind.

Im Jahr 2022 unterzeichneten das Europäische Parlament und der Rat eine Änderung der Richtlinie, die die Anforderung einführte, dass alle elektronischen Geräte mit einer USB-Typ-C-Buchse ausgestattet sein müssen.

5.2.          Von gesetzlichen Anforderungen bis zu technischen Ausschreibungsspezifikationen

5.2.1.      Anforderungen an Ausschreibungsbewerber

Die Funkanlagenrichtlinie konzentriert sich auf die Gewährleistung von Sicherheit, elektromagnetischer Verträglichkeit (EMV) und effizienter Nutzung des Funkspektrums und geht dabei auch auf spezifische zusätzliche Aspekte wie die Cybersicherheit ein. Darüber hinaus werden neu entstehende Bedenken hinsichtlich Sicherheit und Datenschutz bei vernetzten Geräten adressiert.
Zu den wichtigsten Anforderungen zählen unter anderem:

      Sicherheit: Vernetzte Geräte müssen die allgemeinen Sicherheitsanforderungen gemäß Artikel 3(1)(a) erfüllen, um sicherzustellen, dass sie für die Benutzer sicher sind und keine Gefahren darstellen.

      Elektromagnetische Verträglichkeit (EMV): Artikel 3(1)(b) schreibt vor, dass drahtlose Geräte andere Geräte nicht stören dürfen und bei elektromagnetischen Störungen ordnungsgemäß funktionieren müssen.

      Effiziente Nutzung des Funkspektrums: Artikel 3(2) schreibt vor, dass drahtlose Geräte das Spektrum effektiv nutzen müssen, um schädliche Störungen anderer Geräte zu vermeiden.

      Interoperabilität und Zugänglichkeit: Optionale Bestimmungen gemäß Artikel 3(3) ermöglichen Regelungen zu Merkmalen wie Interoperabilität, Datenschutz und Benutzerzugänglichkeit.

      Konformitätsprüfung: Hersteller müssen Konformitätsbewertungen durchführen, um die Einhaltung der Anforderungen der Funkanlagenrichtlinie sicherzustellen, bevor sie Produkte auf den Markt bringen.

Die im Rahmen der Funkanlagenrichtlinie verabschiedete Delegierte Verordnung (EU) 2022/30 der Kommission sieht spezifische Cybersicherheitsanforderungen für bestimmte Kategorien von Funkgeräten, einschließlich IoT-Geräten, vor. Sie trägt den neu auftretenden Bedenken hinsichtlich Sicherheit und Datenschutz bei vernetzten Geräten Rechnung.

Wichtige Ergänzungen:

      Netzwerkschutz:

       Geräte müssen über Sicherheitsvorkehrungen zum Schutz vor unbefugtem Zugriff oder Manipulation verfügen (z. B. Verhinderung von Hackerangriffen oder Remote-Angriffen auf IoT-Sensoren).

       Datenintegrität und Störungsresistenz in vernetzten Umgebungen ist zu gewährleisten.

      Datenschutz:

       IoT-Geräte müssen Maßnahmen zum Schutz personenbezogener Daten gemäß DSGVO implementieren (z. B. Verschlüsselung, sichere Datenübertragung).

       Hierzu gehört die Gewährleistung sicherer Datenspeicherungs- und Übertragungsprotokolle zum Schutz der Privatsphäre der Nutzer.

      Betrugsprävention:

       Der Schwerpunkt der Verordnung liegt auf der Verhinderung von Gerätemissbrauch, etwa einer unbefugten Nutzung oder von Betrug, welche sich aus Sicherheitslücken ergeben könnten.

      Umfang:

       Diese Cybersicherheitsmaßnahmen gelten für IoT-Geräte mit direkter oder indirekter Kommunikation über das Internet (z. B. Smart-Home-Sensoren, Wearables und industrielle IoT-Geräte).

5.2.2.      Relevante Beschaffungsobjekte und Beschaffungsvorlagen

Hinweis für den Leser: In der webbasierten Version der Richtlinie werden für jedes Beschaffungsobjekt Links zu den zugehörigen Beschaffungsvorlagen bereitgestellt (eventuell nicht in deutscher Sprache verfügbar).

-        IoT-Sensoren

-        Öffentliche WLAN-Netzwerkinfrastruktur

-        Netzwerk

-        Netzwerküberwachungstool

-        Hardware für die Netzwerkkapazitätsinfrastruktur

6.              Richtlinie zur Resilienz kritischer Einrichtungen (Resilience of Critical Entities, CER)

6.1.          Umfang und Anwendbarkeit

6.1.1.      Wann wird sie ausgelöst?

Die Richtlinie9 legt folgende Anforderungen fest:

      Die Mitgliedsstaaten sollten kritische Einrichtungen ermitteln und diese bei der Erfüllung der ihnen auferlegten Verpflichtungen unterstützen.

      Verpflichtungen für kritische Einrichtungen, die darauf abzielen, ihre Widerstandsfähigkeit und ihre Fähigkeit zur Bereitstellung wesentlicher Dienste zu verbessern;

      Maßnahmen zur Erreichung eines hohen Maßes an Resilienz kritischer Einrichtungen, um die Bereitstellung wesentlicher Dienste innerhalb der Union sicherzustellen und das Funktionieren des Binnenmarkts zu verbessern.

6.1.2.      Für wen gilt sie?

„Kritische Einrichtungen“ sind öffentliche oder private Einrichtungen, die von einem Mitgliedstaat identifiziert wurden. Zu den Sektoren gehören Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt sowie Produktion, Verarbeitung und Vertrieb von Lebensmitteln.

Zu den in der Richtlinie enthaltenen Sektoren zählt der Anhang „öffentliche Verwaltungseinheiten der Zentralregierungen, wie sie von den Mitgliedsstaaten gemäß nationalem Recht definiert werden“. Ein lokaler öffentlicher Auftraggeber fällt möglicherweise nicht in diese Kategorie, sondern in eine andere Kategorie, wenn eine öffentliche Einrichtung auf lokaler Ebene beispielsweise Abwasser bewirtschaftet und von ihrem Mitgliedstaat als kritische Einrichtung eingestuft wird. Anbieter öffentlicher Auftraggeber, die digitale Dienstleistungen und Produkte bereitstellen, die für das Funktionieren, die Überwachung oder die Kontrolle kritischer Dienstleistungen (z. B. in den in der Richtlinie genannten Bereichen Energie, Gesundheit, Verkehr oder digitale Infrastruktur) von wesentlicher Bedeutung sind und als kritische Infrastrukturen gelten könnten, sollten die Anforderungen dieser Richtlinie erfüllen.

Dies betrifft die physische Infrastruktur, aber auch die Software, von der die ordnungsgemäße Funktion kritischer physischer Infrastrukturen abhängt.

In einem ergänzenden Akt10 legt die Kommission eine indikative Liste der Arten von Diensten vor, die für die Aufrechterhaltung und reibungslose Funktion wichtiger gesellschaftlicher oder wirtschaftlicher Aktivitäten von wesentlicher Bedeutung sind und deren Belastbarkeit gemäß den Vorgaben der Richtlinie verbessert werden sollte.

6.1.3.      Zeitleiste

Die Richtlinie trat am 16. Januar 2023 in Kraft. Bis zum 17. Oktober 2024 sollten die Mitgliedsstaaten die erforderlichen Maßnahmen erlassen und veröffentlichen, um dieser Richtlinie nachzukommen. Sie sollten die Kommission unverzüglich davon in Kenntnis setzen. Sie wenden diese Maßnahmen ab dem 18. Oktober 2024 an.

Jeder Mitgliedstaat verabschiedet bis zum 17. Januar 2026 eine Strategie zur Stärkung der Resilienz kritischer Einrichtungen (im Folgenden „Strategie“). Die Mitgliedsstaaten müssen bis zum 17. Juli 2026 die kritischen Einrichtungen für die in der CER-Richtlinie genannten Sektoren identifizieren. Anhand dieser Liste wesentlicher Dienste führen sie Risikobewertungen durch und ermitteln anschließend die kritischen Einrichtungen. Nach der Identifizierung müssen die kritischen Einrichtungen Maßnahmen zur Stärkung ihrer Resilienz ergreifen.

Bis zum 17. Juli 2027 legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht vor, in dem sie bewertet, inwieweit die einzelnen Mitgliedsstaaten die erforderlichen Maßnahmen ergriffen haben, um dieser Richtlinie nachzukommen.

6.2.          Von gesetzlichen Anforderungen bis zu technischen Ausschreibungsspezifikationen

6.2.1.      Anforderungen an Ausschreibungsbewerber

Einige Maßnahmen, die kritische Einrichtungen ergreifen müssen, um widerstandsfähiger zu werden, sind in Artikel 13 der Richtlinie aufgeführt:

      Vorfälle verhindern und dabei Maßnahmen zur Katastrophenvorsorge und Anpassung an den Klimawandel gebührend berücksichtigen;

      Für einen angemessenen physischen Schutz ihrer Räumlichkeiten und kritischen Infrastrukturen sorgen und dabei beispielsweise Zäune, Barrieren, Instrumente und Routinen zur Perimeterüberwachung, Erkennungsgeräte und Zugangskontrollen berücksichtigen;

      Auf Vorfälle reagieren, ihnen entgegenwirken und ihre Folgen abmildern, wobei die Umsetzung von Verfahren und Protokollen zum Risiko- und Krisenmanagement sowie von Alarmroutinen gebührend berücksichtigt werden muss;

      Sich von Vorfällen unter Berücksichtigung von Maßnahmen zur Geschäftskontinuität und der Identifizierung alternativer Lieferketten erholen, um die Bereitstellung des wesentlichen Dienstes wieder aufzunehmen.

      Für ein angemessenes Sicherheitsmanagement für Mitarbeiter sorgen und dabei Maßnahmen berücksichtigen, wie die Festlegung von Kategorien von Mitarbeitern, die kritische Funktionen ausüben, die Festlegung von Zugangsrechten zu Räumlichkeiten, kritischer Infrastruktur und sensiblen Informationen, die Einrichtung von Verfahren für Zuverlässigkeitsüberprüfungen gemäß Artikel 14 und die Benennung der Personengruppen, die sich solchen Zuverlässigkeitsüberprüfungen unterziehen müssen, sowie die Festlegung geeigneter Schulungsanforderungen und Qualifikationen. Kritische Unternehmen sollten bei der Festlegung von Kategorien von Mitarbeitern, die kritische Funktionen ausüben, auch das Personal externer Dienstleister berücksichtigen.

      Das zuständige Personal für die oben genannten Maßnahmen sensibilisieren und dabei Schulungen, Informationsmaterialien und Übungen berücksichtigen.

Eine kritische Einrichtung könnte in diesem Fall entweder der öffentliche Auftraggeber sein, der die Anforderungen der Richtlinie durch sorgfältige Prüfung seiner Lieferanten erfüllen muss, oder die Lieferanten selbst, die für den Betrieb, die Bereitstellung oder die Wartung der als kritisch eingestuften Dienstleistung verantwortlich sind und über die der öffentliche Auftraggeber (bei der Auswahl der Lieferanten und dem Ablauf des Betriebs) maßgeblichen Einfluss hat. Diese Anforderungen sollten in jedem Fall in den Vergabeprozess potenzieller Bieter einbezogen werden.

Weitere Informationen zur Resilienz kritischer Infrastrukturen und ihrer Regulierung finden Sie unter diesem Link (Link in englischer Sprache) auf der offiziellen Website der Europäischen Kommission.

6.2.2.      Relevante Beschaffungsobjekte und Beschaffungsvorlagen

Hinweis für den Leser: In der webbasierten Version der Richtlinie werden für jedes Beschaffungsobjekt Links zu den zugehörigen Beschaffungsvorlagen bereitgestellt (eventuell nicht in deutscher Sprache verfügbar).

-        Öffentliches WLAN

-        Netzwerk

-        Netzwerküberwachungstool

-        Hardware für die Netzkapazitäts-Infrastruktur

-        Entwicklungs- und/oder Wartungsdienste für IoT-Plattformanwendungen

-        Tool für das automatisierte IT-Management vor Ort

-        Tool für Computing-Maßnahmen vor Ort

-        Provisioning und Cleanup Tool für das IT-Management vor Ort

-        Tool für die automatisierte Speicherverwaltung vor Ort

-        Provisioning und Cleanup Tool für lokalen Speicher

-        Erweiterte Cloud-Computing-Tools

-        Tool zur automatischen Cloud-IT-Verwaltung

-        Tool für Cloud-Computing-Maßnahmen

-        Provisioning und Cleanup Tool für Cloud Computing

-        Tool zur automatischen Cloud-Speicherverwaltung

-        Provisioning und Cleanup Tools von Cloud-Speicher

-        Cloud-Verbindungsdienst (SaaS)

-        Cloud-Verbindungsdienst (PaaS)

-        Fortschrittliche Cloud-Technologien (IaaS)

-        Benutzerorientierte Plattform

-        Entwicklungs- und/oder Wartungsdienste für Middleware-Softwareanwendungen

7.              Open Data-Richtlinie

7.1.          Umfang und Anwendbarkeit

7.1.1.      Wann wird sie ausgelöst?

Diese Richtlinie definiert den Rechtsrahmen für die Weiterverwendung öffentlicher Informationen wie geografischer, katasterbezogener, statistischer oder rechtlicher Informationen, die sich im Besitz öffentlicher Stellen oder Unternehmen befinden, sowie öffentlich finanzierter Forschungsdaten. Der Schwerpunkt dieser Richtlinie liegt auf offenen Daten, also Daten, die von jedermann für beliebige Zwecke frei zugänglich, nutzbar, bearbeitbar und teilbar sind. Sie ist relevant, wenn die im Beschaffungsgegenstand verarbeiteten Informationen, wie in den oben genannten Beispielen, offen sind (ausgenommen sind also nicht vertrauliche, nicht personenbezogene Daten, die keiner anderen Vertraulichkeitspflicht oder kommerziellen Beschränkungen unterliegen).

Die von staatlichen Stellen generierten oder gespeicherten offenen Daten tragen maßgeblich zur Verbesserung der Datenverfügbarkeit in gemeinsamen europäischen Datenräumen bei. Sie verbessern die Datenqualität und Interoperabilität und erleichtern die grenzüberschreitende Wiederverwendung von Daten. Die Verfügbarkeit dieser vielfältigen Daten ermöglicht zudem bereichsübergreifende Erkenntnisse und die effektivere Bewältigung komplexer, vernetzter Herausforderungen.

Die Richtlinie fördert die Nutzung offener Daten (Daten in offenen Formaten, die jeder frei nutzen und für beliebige Zwecke weitergeben kann). Öffentliche Stellen und öffentliche Unternehmen müssen ihre Dokumente in jedem vorhandenen Format und jeder Sprache und gegebenenfalls elektronisch in offenen, maschinenlesbaren, zugänglichen, auffindbaren und wiederverwendbaren Formaten mit Metadaten bereitstellen. Die Dokumente müssen für kommerzielle und nichtkommerzielle Zwecke weiterverwendbar sein.

7.1.2.      Für wen gilt sie?

Öffentliche Stellen, Einrichtungen des öffentlichen Rechts und öffentliche Unternehmen.11 Gemäß Artikel 2 sind dies staatliche, regionale oder lokale Behörden des öffentlichen Rechts (oder Verbände dieser).

7.1.3.      Zeitleiste

Die Open Data-Richtlinie trat am 16. Juli 2019 in Kraft und musste von den Mitgliedsstaaten bis zum 17. Juli 2021 in nationales Recht umgesetzt werden.

Frühestens am 17. Juli 2025 wird die Europäische Kommission die Richtlinie bewerten und dem Europäischen Parlament, dem Rat und dem Europäischen Wirtschafts- und Sozialausschuss einen Bericht mit ihren Ergebnissen vorlegen.

7.2.          Von gesetzlichen Anforderungen bis zu technischen Ausschreibungsspezifikationen

7.2.1.      Anforderungen an Ausschreibungsbewerber

Die Open Data-Richtlinie verlangt von ÖA die Einhaltung der folgenden Anforderungen, die bei der Beschaffung der erforderlichen Tools und Komponenten berücksichtigt werden sollten:

      Tools müssen sicherstellen, dass Daten in maschinenlesbaren Formaten (z. B. CSV, JSON, XML) gespeichert und geteilt werden können.

      Bei den Tools sollte die Kompatibilität mit offenen Standards im Vordergrund stehen, um die Abhängigkeit von einem bestimmten Anbieter zu vermeiden und die Wiederverwendung von Daten zu fördern.

      Tools sollten die Erstellung und Pflege von Metadaten unterstützen, um Datensätze für den öffentlichen Zugriff zu Katalogisieren und zu beschreiben.

      Jedes Tool, das zur Verarbeitung von Daten des öffentlichen Sektors verwendet wird, muss die Dokumentation und Transparenz erleichtern und die Einhaltung der Grundsätze der Rechenschaftspflicht und Offenheit gewährleisten.

Weitere Informationen zur europäischen Open Data-Gesetzgebung finden Sie unter diesem Link auf der offiziellen Website der Europäischen Kommission (Link in englischer Sprache).

7.2.2.      Relevante Beschaffungsobjekte und Beschaffungsvorlagen

Hinweis für den Leser: In der webbasierten Version der Richtlinie werden für jedes Beschaffungsobjekt Links zu den zugehörigen Beschaffungsvorlagen bereitgestellt (eventuell nicht in deutscher Sprache verfügbar).

-        Datenanalysetool,

-        Datenanalysetool für 3D-Modellierung,

-        Datensicherungstool,

-        Tool zur Datenverwaltung,

-        Datenvorhersage- und Simulationsmodelle,

-        Tools zur Echtzeit-Datenerfassung,

-        Middleware

8.              Datengesetz (Data Act)

1.1.          Umfang und Anwendbarkeit

1.1.1.      Wann wird es ausgelöst?

Das Ziel des Datengesetz12 besteht darin, die von („intelligenten“) Geräten gewonnenen oder generierten Daten, die mit dem Internet der Dinge verbunden sind, zu regulieren und zu klären, wer aus dieser wachsenden Datenmenge Nutzen ziehen kann und unter welchen Bedingungen diese Daten genutzt werden dürfen. Ziel ist es, den reibungslosen Transfer wertvoller Daten zwischen Dateninhabern zu erleichtern13 und Datennutzer unter Wahrung der Vertraulichkeit zu schützen. Es legt die Regeln und Vertragsbedingungen für den Zugriff auf und die Verwendung von Daten fest, die mithilfe vernetzter Produkte und zugehöriger Dienste generiert werden.

Das Datengesetz legt harmonisierte Vorschriften unter anderem zu folgenden Punkten fest:

      Bereitstellung von Produktdaten und zugehörigen Servicedaten für den Benutzer des vernetzten Produkts oder des zugehörigen Dienstes (Internet der Dinge);

      Bereitstellung von Daten durch Dateninhaber für Datenempfänger;

      Bereitstellung von Daten durch Dateninhaber für öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union, wenn ein außergewöhnlicher Bedarf an diesen Daten zur Erfüllung einer bestimmten, im öffentlichen Interesse liegenden Aufgabe besteht;

      Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten;

      Einführung von Schutzmaßnahmen gegen den unrechtmäßigen Zugriff Dritter auf nicht personenbezogene Daten und

      Entwicklung von Interoperabilitätsstandards für den Zugriff, die Übertragung und die Nutzung von Daten.

Die Kommission wird außerdem Mustervertragsklauseln entwickeln, um Marktteilnehmer bei der Ausarbeitung und Verhandlung fairer Verträge über den Datenaustausch zu unterstützen.

Die Artikel 33 bis 36 legen die wesentlichen Anforderungen fest, die erfüllt werden müssen, um die Interoperabilität der Daten zu gewährleisten.

1.1.2.      Für wen gilt es?

Hersteller von Produkten oder Anbieter von Dienstleistungen im Zusammenhang mit IoT, Dateninhabern und Datenverarbeitungsdiensten (z. B. Cloud-/Edge-Computing).

1.1.3.      Zeitleiste

Das Datengesetz trat am 11. Januar 2024 in Kraft und gilt ab September 2025.

1.2.          Von gesetzlichen Anforderungen bis zu technischen Ausschreibungsspezifikationen

1.2.1.      Anforderungen an Ausschreibungsbewerber

Bieter wie Dateninhaber (Hersteller oder Anbieter von IoT-Produkten oder damit verbundenen Dienstleistungen, die Daten aus der Nutzung von IoT-Geräten verarbeiten) sollten die folgenden Maßnahmen einhalten (indikative Liste aus dem Gesetz):

      Die betreffenden Daten müssen den Benutzern (Einzelpersonen und Unternehmen) zusammen mit den zugehörigen Informationen zugänglich sein (sofern dies nicht möglich ist, müssen sie auf Anfrage verfügbar sein), z. B. hinsichtlich der Art und Menge der Daten, wie der Benutzer auf sie zugreifen kann usw.

      Dateninhaber dürfen die Daten nur gemäß der Vereinbarung mit dem Benutzer verwenden, während Benutzer die Daten nicht zur Herstellung eines Konkurrenzprodukts oder zur Offenlegung von Geschäftsgeheimnissen verwenden dürfen.

      Auf Anweisung des Benutzers ist der Dateninhaber verpflichtet, die betreffenden Daten an Dritte nach Wahl des Benutzers weiterzugeben.

Unternehmen, die Daten von vernetzten Geräten speichern, sind verpflichtet, diese öffentlichen Stellen sowie Organen, Einrichtungen und sonstigen Stellen der Union zur Verfügung zu stellen, wenn ein außergewöhnlicher Bedarf besteht (z. B. bei einer Gesundheitskrise, Überschwemmung oder Waldbrand) oder um eine bestimmte, gesetzlich ausdrücklich vorgesehene Aufgabe im öffentlichen Interesse zu erfüllen, sofern die Daten nicht anderweitig verfügbar sind. Die Verordnung legt die Umstände fest, unter denen ein außergewöhnlicher Bedarf besteht, sowie die Bedingungen und den Inhalt der entsprechenden Anfrage.

Zusätzlich zu den Verpflichtungen für Bieter, die Datenverarbeitungsdienste anbieten, ergeben sich folgende Verpflichtungen:

      Sie müssen kommerzielle, technische, vertragliche und organisatorische Hindernisse beseitigen, die einen Kunden daran hindern, zwischen denselben Diensttypen und verschiedenen Dienstanbietern zu wechseln (z. B. einfache Vertragskündigung, direkte Datenportabilität zu neuen Dienstanbietern, schrittweise Beseitigung der Kosten für den Wechsel zwischen Anbietern, funktionale Gleichwertigkeit in der IT-Umgebung des neuen Anbieters, Kompatibilität mit offenen Standards).

      Es beschränkt internationale Übermittlungen oder den Zugriff von Nicht-EU-Regierungen auf nicht personenbezogene Daten, die in der Union von Datenverarbeitungsdiensten gespeichert werden, wenn eine solche Übermittlung im Widerspruch zum Unionsrecht oder dem nationalen Recht stehen könnte.

Das Gesetz legt in den Artikeln 33 bis 36 auch Anforderungen an die Interoperabilität fest:

      Vereinfachung von Daten, Mechanismen zur gemeinsamen Nutzung von Daten und Diensten, die Betreiber gemeinsamer europäischer Datenräume einhalten müssen.

      In Bezug auf Datenverarbeitungsdienste durch die Festlegung offener Interoperabilitätsspezifikationen und offener Normen für Interoperabilität, die Übertragbarkeit digitaler Güter und die funktionale Gleichwertigkeit zwischen verschiedenen Anbietern von Datenverarbeitungsdienstleistern derselben Art von Diensten, einschließlich grundlegender Anforderungen für Smart Contracts im Rahmen von Vereinbarungen über die gemeinsame Nutzung von. Daten.

1.2.2.      Relevante Beschaffungsobjekte und Beschaffungsvorlagen

Hinweis für den Leser: In der webbasierten Version der Richtlinie werden für jedes Beschaffungsobjekt Links zu den zugehörigen Beschaffungsvorlagen bereitgestellt (eventuell nicht in deutscher Sprache verfügbar).

-        IoT-Sensoren

-        Datenanalysetool (3D-Modellierungsdienste)

-        Tool zur Echtzeit-Datenerfassung

-        Datensicherungstool

-        Datenvorhersage- und Simulationsmodelle

-        Tool zur Echtzeit-Datenanalyse

-        Cloud-Verbindungsdienst (SaaS)

-        Cloud-Verbindungsdienst (IaaS)

-        Benutzerorientierte Plattform

-        Entwicklungs- und/oder Wartungsdienste für Middleware-Softwareanwendungen

9.              Gesetz über künstliche Intelligenz (EU Artificial Intelligence Act)

9.1.          Umfang und Anwendbarkeit

9.1.1.      Wann wird es ausgelöst?

Das kürzlich veröffentlichte Gesetz über künstliche Intelligenz (KI-Gesetz)14 der Europäischen Union zielt darauf ab, künstliche Intelligenz (KI) zu regulieren, um Sicherheit, Transparenz und den Schutz der Grundrechte zu gewährleisten. Diese Verordnung betrifft sowohl private als auch öffentliche Organisationen, die innerhalb der EU tätig sind. Das KI-Gesetz gilt für Anbieter und Benutzer von KI-Systemen15 innerhalb der EU sowie außerhalb der EU, wenn die KI-Systeme Menschen innerhalb der EU betreffen. Dies gilt auch für öffentliche Stellen, die KI-Systeme in ihren Betrieben einsetzen.

Es deckt ein breites Spektrum an KI-Systemen ab, von einfachen Algorithmen bis hin zu komplexen Modellen des maschinellen Lernens. Es klassifiziert KI-Systeme anhand der Risikostufen: inakzeptables Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Jede Kategorie hat spezifische Anforderungen und Verpflichtungen.

9.1.2.      Für wen gilt es?

Diese Verordnung gilt für:

      Anbieter, die KI-Systeme in der Union in Verkehr bringen oder in Betrieb nehmen oder allgemeine KI-Modelle in der Union in Verkehr bringen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen oder ansässig sind;

      Betreiber von KI-Systemen, die ihren Niederlassungsort oder Standort in der Union haben;

      Anbieter und Betreiber von KI-Systemen, die ihren Sitz oder Standort in einem Drittland haben und deren Ergebnisse in der Union genutzt werden;

      Importeure und Händler von KI-Systemen;

      Produkthersteller, die ein KI-System zusammen mit ihrem Produkt und unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringen oder in Betrieb nehmen;

      Bevollmächtigte Vertreter von Anbietern, die nicht in der Union niedergelassen sind;

      Betroffene Personen, die sich in der Union befinden.

Ausnahmen und nähere Bestimmungen zur Anwendbarkeit des Gesetzes sind in Artikel 2 des Gesetzes geregelt.

9.1.3.      Zeitleiste

Die Verordnung trat am 2. August 2024 in Kraft, ihre allgemeine Anwendbarkeit beginnt jedoch am 2. August 2026. Einige besondere Bestimmungen der Verordnung haben jedoch ein anderes Startdatum:

      Die Verbote sowie die allgemeinen Bestimmungen dieser Verordnung (Kapitel I und II) gelten bereits ab dem 2. Februar 2025.

      Die Bestimmungen zu benannten Stellen, zur Governance-Struktur, zu Sanktionen und zu den Pflichten der Anbieter allgemeiner KI-Modelle gelten ab dem 2. August 2025 (Kapitel III Abschnitt 4, Kapitel V, Kapitel VII und Kapitel XII sowie Artikel 78 mit Ausnahme von Artikel 101).

      Die Bestimmungen dieser Verordnung zur Klassifizierung von KI-Systemen und den entsprechenden Verpflichtungen gelten ab dem 2. August 2027 (Artikel 6 Absatz 1).

Um den Übergang während der Umsetzungsphase des Gesetzes zu erleichtern, hat die Kommission den KI-Pakt (Link in englischer Sprache) ins Leben gerufen, eine freiwillige Initiative für KI-Entwickler in der EU, die die wichtigsten Verpflichtungen des KI-Gesetzes vorzeitig erfüllen möchten.

9.2.          Von gesetzlichen Anforderungen bis zu technischen Ausschreibungsspezifikationen

9.2.1.      Anforderungen an Ausschreibungsbewerber

Je nach Kategorie des KI-Systems, das in Betrieb genommen oder auf den Markt gebracht werden soll, gelten unterschiedliche Regeln, Anforderungen und Bedingungen:

      KI-Systeme mit inakzeptablem Risiko. Schädliche Anwendungen von KI, die gegen die Werte der EU verstoßen (wie etwa Social Scoring durch Regierungen oder Systeme, die unterschwellige, manipulative oder irreführende Techniken zur Verhaltensverzerrung einsetzen), sind gemäß Artikel 5 des KI-Gesetzes verboten, da sie ein inakzeptables Risiko darstellen.

              Hochrisiko-KI-Systeme. Eine Reihe von KI-Systemen (aufgeführt in Anhang III), die sich negativ auf die Sicherheit der Menschen oder ihre Grundrechte auswirken, gelten als Hochrisikosysteme. Um das Vertrauen zu gewährleisten und ein durchgängig hohes Schutzniveau für Sicherheit und Grundrechte sicherzustellen, gelten für alle Hochrisikosysteme eine Reihe verbindlicher Anforderungen (einschließlich einer Konformitätsbewertung). Anbieter von Hochrisiko-KI-Systemen müssen umfassende Risikobewertungen durchführen, Systemdetails dokumentieren und sich bei den Behörden registrieren lassen, um die Einhaltung der Vorschriften, Transparenz und die Eindämmung negativer Auswirkungen zu gewährleisten.

Für diese Kategorie von KI-Systemen gelten die Anforderungen an Risikomanagementsysteme (Artikel 9), hochwertige Datensätze und Datenverwaltung (Artikel 10), detaillierte technische Dokumentation (Artikel 11), Aufbewahrung der Aufzeichnungen (Artikel 12), Transparenz (Artikel 13), menschliche Aufsichtsbehörden (Artikel 14), Genauigkeit, Robustheit und Cybersicherheit (Artikel 15) sowie Konformitätsbewertungen (Artikel 43-48). Darüber hinaus ist vor dem Inverkehrbringen oder der Inbetriebnahme ein Eintrag in einem öffentlichen Register erforderlich (Artikel 49). Diese Anforderungen sind in Kapitel III des KI-Gesetzes festgelegt.

Es ist wichtig, die Verpflichtung der Betreiber hervorzuheben, bei denen es sich um Einrichtungen des öffentlichen Rechts oder um private Unternehmen handelt, die öffentliche Dienste erbringen. Die Betreiber müssen eine Folgenabschätzung hinsichtlich der Grundrechte gemäß den in Artikel 27 aufgeführten Anforderungen durchführen.

Das AI-Büro (Europäische Kommission) wird eine Vorlage für einen Fragebogen entwickeln, der ein automatisiertes Tool zur Erleichterung der Einhaltung dieser Anforderung enthält.

      KI-Systeme mit begrenztem Risiko. Bestimmte KI-Systeme, wie KI-Chatbots, unterliegen einer Reihe von Verpflichtungen (z. B. Transparenz, menschliche Aufsicht, Genauigkeit), die in Kapitel IV (Artikel 50) festgelegt sind. In diesem Zusammenhang sind Anbieter dazu verpflichtet, die Funktionalitäten, Entscheidungsprozesse und Risiken von KI-Systemen offenzulegen, um das Vertrauen der Benutzer und die regulatorische Aufsicht zu gewährleisten. Im Hinblick auf die Transparenz sollte sichergestellt werden, dass „KI-Systeme zur direkten Interaktion mit natürlichen Personen bestimmt sind, so konzipiert und entwickelt sind, dass die betroffenen natürlichen Personen darüber informiert sind, dass sie mit einem KI-System interagieren, es sei denn, dies ist aus der Sicht einer normal informierten, aufmerksamen und verständigen natürlichen Person unter Berücksichtigung der Umstände und des Nutzungskontextes offensichtlich“.

      Universell einsetzbare KI-Modelle.16 Die in Kapitel V des Gesetzes geregelte Verordnung unterscheidet zwischen universell einsetzbaren KI-Modellen (GPAI) und GPAI-Modellen mit systemischen Risiken, sofern die Bedingungen von Artikel 51 erfüllt sind. Die Pflichten der Anbieter ersterer sind in Artikel 53, die der Anbieter letzterer in Artikel 55 geregelt.

Um die ordnungsgemäße Anwendung der für GPAI-Modelle definierten Anforderungen zu gewährleisten, wird das KI-Büro die Ausarbeitung von Verhaltenskodizes auf EU-Ebene unterstützen. In diesem Zusammenhang wird der erste allgemeine KI-Verhaltenskodex die Regeln des KI-Gesetzes für Anbieter universelle einsetzbarer KI-Modelle und universell einsetzbarer KI-Modelle mit systemischen Risiken detailliert darlegen. Ein erster Entwurf (Link in englischer Sprache) wurde bereits am 14. November 2024 veröffentlicht.

Parallel zum Code of Practice-Prozess entwickelt das KI-Büro auch eine Vorlage für die ausreichend detaillierte Zusammenfassung der Trainingsdaten, die Anbieter universell einsetzbarer KI-Modelle gemäß Artikel 53(1)d) des KI-Gesetzes veröffentlichen müssen.

      KI-Systeme mit minimalem Risiko. Alle anderen KI-Systeme können in der EU ohne zusätzliche rechtliche Verpflichtungen als die bestehenden Gesetze entwickelt und eingesetzt werden. Ein Beispiel hierfür wären Spamfilter.

9.2.2.      Relevante Beschaffungsobjekte und Beschaffungsvorlagen

Wie in der Richtlinie Künstliche Intelligenz und Maschinelles Lernen erwähnt, finden KI-/ML-Technologien in zahlreichen Smart City-Initiativen Anwendung, darunter in der vorausschauenden Wartung, der Transportoptimierung, dem Ressourcenmanagement und der Bürgerbeteiligung.

In diesem Zusammenhang könnten Beschaffungsobjekte wie Datenvorhersage- und Simulationsmodelle oder Tools zur Echtzeit-Datenerfassung KI/ML-Technologien benötigen, um zu funktionieren. Zusätzlich zu allen anderen für diese Beschaffungsobjekte geltenden EU-Digitalgesetzen (z. B. DSGVO oder NIS-2-Richtlinie) sind daher auch die Anforderungen des KI-Gesetzes zu berücksichtigen. Die Anforderungen sind abhängig vom konkreten Anwendungsfall und den Merkmalen des zu beschaffenden KI-Systems, wie oben aufgeführt.

Unabhängig von der Kategorie ist es wichtig, stets die Grundprinzipien der Transparenz, Erklärbarkeit, Genauigkeit, Robustheit, menschlichen Aufsicht, Fairness und Rechenschaftspflicht zu berücksichtigen und einen menschenzentrierten, verantwortungsvollen Einsatz von KI sicherzustellen.

9.2.3.      Unterstützendes Material (in englischer Sprache)

      Europäische Kommission, Living-in.EU und Big Buyers Working Together, EU-Modellvertragsklauseln für KI-Systeme mit und ohne hohem Risiko –Hier.

      Europäische Kommission, KI-Büro, General-Purpose AI models in the AI Act – Questions and Answers –Hier.

      Hochrangige Expertengruppe für Künstliche Intelligenz der Europäischen Kommission, „Ethics Guidelines for Trustworthy AI“ (2019) –Hier

      Agentur der Europäischen Union für Grundrechte, „Getting the future right. Artificial Intelligence and Fundamental Rights“ (2020) –Hier

      Agentur der Europäischen Union für Grundrechte, „#BigData: Discrimination in data-supported decision making“ (2018) –Hier

      Agentur der Europäischen Union für Grundrechte, „Data quality and artificial intelligence – mitigating bias and error to protect fundamental rights“ (2019) –Hier

      Expertenausschuss für Internet-Intermediäre des Europarats, „Algorithms and human rights. Study on the human rights dimensions of automated data processing techniques and possible regulatory implications“ (2018) –Hier

EC logo

These services are provided as part of the Local Digital Twins toolbox procurement - Advancing initial stages for the transformation of Smart Communities - Lot 1 and Lot 2, as described in the Digital Europe programme, and funded by the European Union.

© 2024. European Union. All rights reserved. Certain parts are licensed under conditions to the EU

The Commission’s reuse policy is implemented by Commission Decision 2011/833/EU of 12 December 2011 on the reuse of Commission documents (OJ L 330, 14.12.2011, p. 39 – https://eur-lex.europa.eu/eli/dec/2011/833/oj,). Unless otherwise noted (e.g. in individual copyright notices), content owned by the EU on this website is licensed under the Creative Commons Attribution 4.0 International (CC BY 4.0) licence. This means that reuse is allowed, provided appropriate credit is given and any changes are indicated. You may be required to clear additional rights if a specific content depicts identifiable private individuals or includes third-party works. To use or reproduce content that is not owned by the EU, you may need to seek permission directly from the rightholders. Software or documents covered by industrial property rights, such as patents, trade marks, registered designs, logos and names, are excluded from the Commission's reuse policy and are not licensed to you.