Neuerungen zum Thema Datenschutz

Welche Neuerungen im Bereich des Datenschutzes und der Informationstechnologie erwarten uns im Jahr 2025?

Ab dem 01.01.2025 wird die elektronische Rechnung (E-Rechnung) eingeführt. Damit sind nicht PDF oder eingescannte Bilddateien gemeint, sondern spezielle XML-basierte und damit maschinenlesbare Dateiformate wie „XRechnung“ oder „ZUGFeRD“. Unternehmen müssen diese ab 2025 verarbeiten können, dürfen aber auch 2025 und 2026 noch Papierrechnungen ausstellen. Bei einem Vorjahresumsatz von bis zu 800.000 Euro sind Papierrechnungen auch 2027 noch möglich, ab Januar 2028 endet die Übergangsfrist. Für die Rechnungsverarbeitung können Sie teilweise kostenlose Software herunterladen, achten Sie aber unbedingt auf vertrauenswürdige Quellen. Achten Sie auf eine sichere Speicherung und Zugriffsverwaltung sowie auf Sicherheitskopien (Backup) und beim Versand auf eine Verschlüsselung zum Schutz der enthaltenen Daten.

Die elektronische Patientenakte (ePA) wird nach einer vierwöchigen Testphase in verschiedenen Modellregionen auch in Berlin eingeführt. Ärztliche und psychotherapeutische Praxen müssen eine geeignete technische Ausstattung und Software vorhalten, um Befunde, Arztbriefe, Laborwerte oder verordnete Medikamente zu erfassen. Kommt eine Praxis dieser Verpflichtung nicht nach, sind keine Sanktionen vorgesehen. Stattdessen wird die Vergütung um ein Prozent gekürzt. Auch die Informationspflichten zur Verarbeitung von sensiblen Daten und entsprechende Widerspruchrechte der Patient:innen müssen beachtet werden.
Für weitere Details empfehlen wir den Artikel der Kassenärztlichen Bundesvereinigung.  

Die zweite EU-Richtlinie zur Netz- und Informationssicherheit (NIS-2) soll auch in Deutschland in Kraft treten. Nach den Vorgaben der EU sollte dies bereits zum 18.10.2024 geschehen, jedoch hat sich das Gesetzgebungsverfahren in Deutschland länger hingezogen. Als neues Zieldatum war das Ende von Q1 2025 geplant, was in Anbetracht der anstehenden Neuwahlen vermutlich nicht haltbar sein wird.

Ziel der Richtlinie ist es, die Widerstandsfähigkeit gegen Cyber-Angriffe auf sogenannte kritische Infrastrukturen zu erhöhen, also der Versorgung mit Energie, Informationstechnik, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung usw. zu erhöhen. Diese Unternehmen sollen ihre getroffenen Schutzmaßnahmen dokumentieren bzw. zusätzliche Sicherheitsmaßnahmen einführen, die sich bis in die Lieferkette auswirken können. Für Cybervorfälle besteht eine Meldepflicht.

Weitere Informationen, ob Ihr Unternehmen unter diese Regelung fällt, erhalten Sie auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder sollte Ihr Unternehmen betroffen sein, unterstützt Sie die Digitalagentur Berlin in Zusammenarbeit mit it’s.BB. 
 

Das Barrierefreiheitsstärkungsgesetz (BFSG) tritt am 28. Juni 2025 in Kraft und verpflichtet dann auch die private Wirtschaft rund um definierte Produkte und Dienstleistungen zur Barrierefreiheit für Menschen mit Behinderung, älteren oder unerfahrenen Personen. Die betroffenen Angebote, darunter Webseiten, Online-Shops, Terminbuchungstools, Apps oder Hardware, müssen „in der allgemein üblichen Weise, ohne besondere Erschwernis und grundsätzlich ohne fremde Hilfe auffindbar, zugänglich und nutzbar sein“. In der Praxis bedeutet das zum Beispiel, dass die Schrift auf einer Webseite in Größe, Helligkeit und Kontrast verändert werden kann, oder dass es eine Vorlesefunktion gibt. Die Informationen müssen über mindestens zwei Sinneskanäle zugänglich sein, z.B. optisch und akustisch. Kleinstunternehmen in Dienstleistungsbranchen mit weniger als 10 Beschäftigten und einem Jahresumsatz von weniger als 2 Mio. Euro, die keine Produkte herstellen, sind von dem Gesetz ausgenommen.

Die KI-Verordnung oder AI-Act ist bereits am 01.08.2024 in Kraft getreten und soll in mehreren Stufen umgesetzt werden. Die Verordnung betrifft alle Unternehmen, die KI-Systeme entwickeln, bereitstellen oder auch nutzen, wenn diese Systeme in der EU eingesetzt werden oder Auswirkungen auf Personen in der EU haben. Die Regelungen unterscheiden KI-Anwendungen nach dem Risiko für die Betroffenen. 

Ab dem 2. Februar 2025 sind die Kapitel 1 und 2 der Verordnung anzuwenden, die sich unter anderem mit verbotenen KI-Anwendungen (wie biometrische Echtzeit-Überwachung) und die Benennung von KI-Beauftragten betreffen. Ab dem 2. August 2025 gelten u.a. die Regelungen für KI-Modelle für allgemeine Zwecke (z.B. Chatbots) und es werden die behördlichen Strukturen und Bußgeldvorschriften eingeführt. Stufe 3 gilt ab dem 2. August 2026 bis zur vollständigen Wirkung ab dem 2. August 2027.

Schließlich gibt es noch die Einwilligungsverwaltungsverordnung (EinwV) nach § 26 Abs. 2 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Verbraucher:innen sollen sich beim Besuch von Webseiten nicht mehr mit unterschiedlichen Cookie-Einwilligungen herumschlagen müssen. Stattdessen soll es eine zentrale Stelle geben, wo Nutzer:innen ihre Präferenzen hinterlegen können. Dies hat zur Folge, dass Cookie-Banner auf den jeweiligen Webseiten in der Lage sein müssen, diese Informationen abzurufen und korrekt auszuführen.
Wann dieser zentrale, nutzerfreundliche, wettbewerbskonforme und von kommerziellen Eigeninteressen freie Einwilligungs-Service zur Verfügung steht, wird derzeit evaluiert.

Bei Fragen können Sie sich gerne vertrauensvoll an die Digitalagentur Berlin wenden. Im Rahmen eines DAB Orientierungsgesprächs können wir diese gerne individuell beantworten oder Sie besuchen unsere Veranstaltungsformate, in denen wir sicherlich das eine oder andere Thema wieder aufgreifen werden.