Dringend gebraucht: Mehr Durchblick im IoT- Regulierungsdschungel

Cyber Resilience Act, Data Act, AI Act & Co: Welche neuen Vorgaben für IoT-Unternehmen relevant sind, was hinter den einzelnen Gesetzen steckt - und warum es sich lohnt, regulatorische Ziele zu verstehen. Die eco Kompetenzgruppe IoT gibt Orientierung.

Von Datenschutz über Datenrecht und Cybersicherheit bis zur Regulierung von Diensten und Märkten: Unternehmen müssen eine Vielzahl an europäischen Vorschriften beachten, wenn sie digitale Geschäftsmodelle und vernetzte Produkte in den Markt bringen wollen. Gerade für Unternehmen im IoT-Umfeld bringt die Komplexität der zahlreichen EU-Rechtsakte Herausforderungen mit sich: Überschneidende Regelungen, Unsicherheit in der Auslegung und erhebliche Compliance-Aufwände stehen oft im Raum.

Besonders betroffen sind kleine und mittlere Unternehmen (KMU), die häufig nicht über das spezialisierte Fachwissen oder die Ressourcen verfügen, um komplexe Regulierungen umzusetzen.

Praxistauglichkeit statt Überregulierung

eco - Verband der Internetwirtschaft e. V. setzt sich für eine kohärente, technologieneutrale und praxisnahe Regulierung ein, die Innovation ermöglicht. Nur so lässt sich ein funktionierender, vertrauenswürdiger und wettbewerbsfähiger europäischer Datenbinnenmarkt schaffen.

Im Zeichen dieser Zielsetzung stand auch das Webinar der eco Kompetenzgruppe IoT am 3. April 2025. Ziel war es, praxisnahe Orientierungshilfe zu den wichtigsten Regulierungen und deren Auswirkungen auf die IoT-Branche zu geben. Eine fundierte Einordnung lieferte dabei Dr. Jens Eckhardt, Rechtsanwalt, Experte für IT-Recht, Datenschutz und IT-Compliance sowie Vorstand von EuroCloud Deutschland_eco e. V.

Warum der Regulierungsdrang?

Die Vielzahl neuer Regulierungen folgt unter anderem aus der europäischen Datenstrategie, die darauf abzielt, den Zugang zu Daten zu erleichtern - auch um datengetriebene Geschäftsmodelle aus der EU auf dem Weltmarkt zu stärken. Daneben will sie sogenannte Datenaltruismus-Initiativen fördern - also das freiwillige Teilen von Daten im öffentlichen Interesse wie zu Forschungszwecken.

Obwohl sich einige neue Rechtsakte in ihrer Anwendung überschneiden, wurden sie nicht koordiniert entwickelt. Sie treten zu unterschiedlichen Zeitpunkten in Kraft, verfolgen verschiedene Ziele und verwenden teils uneinheitliche Begriffe. Das führt in der Praxis zu Umsetzungsunsicherheit, insbesondere für Unternehmen mit begrenzten Compliance-Ressourcen. Deshalb ist es entscheidend, die einzelnen Gesetze im Kontext ihrer Zielsetzung zu verstehen - nur so lassen sich die tatsächlichen Auswirkungen auf Geschäftsmodelle und technologische Entwicklung realistisch einschätzen.

Relevante Gesetze im Überblick

Data Act (DA)

• regelt das Ob (Zugangsrecht) und Wie (Nutzung, Pflichten) von Data Sharing (auch Cloud Switching)
• zusammen mit den vorrangigen Pflichten der Datenschutz-Grundverordnung, wenn personenbezogene Daten im Spiel sind
• umfasst zudem die Pflicht zu diskriminierungsfreien Gegenleistungen und ein Verbot missbräuchlicher Vertragsklauseln

Data Governance Act (DGA)

• will einen Rahmen für das freiwillige Daten-Teilen für öffentliche bzw. wirtschaftliche Zwecke schaffen
• regelt etwa den Zugang von Unternehmen auf Daten der öffentlichen Hand und vertrauenswürdige Austauschwege
• legt Anforderungen für neutrale Datenvermittlungsdienste fest

Cyber Resilience Act (CRA)

• legt Cybersicherheitsanforderungen für vernetzte Produkte fest
• verpflichtet Hersteller dazu, Sicherheitslücken frühzeitig zu schließen, regelmäßige Updates bereitzustellen und eine robuste Sicherheitsarchitektur zu gewährleisten

AI Act

• reguliert die Entwicklung und den Einsatz von KI-basierten Systemen, die in IoT-Produkten zum Einsatz kommen, insbesondere in sicherheitskritischen Bereichen
• definiert risikobasierte Anforderungen an KI-Systeme, einschließlich Verbot von KI-Systemen mit besonders hohem Risikopotential
• setzt Anforderungen an Transparenz, Risikomanagement und Compliance, um fehlerhafte oder riskante KI-Entscheidungen zu minimieren

Digital Services Act (DSA)

• sanktioniert die missbräuchliche Verwendung von digitalen Diensten Digitalservices wie Suchmaschinen oder Social-Media-Plattformen und die Verbreitung illegaler Inhalte

Digital Markets Act (DMA)

• regelt die wettbewerblichen Pflichten und Grenzen von Anbietern wie Hosting-Provider und große sogenannte Gatekeeper - um Machtmissbrauch durch große Online-Plattformen zu verhindern

NIS-2-Richtlinie

• setzt einen verstärkten Cyberschutz von der IT-Systemen und -Prozessen bestimmter Einrichtungen und Diensten voraus, besonders im Bereich der kritischen Infrastruktur

Digital Operational Resilience Act (DORA)

• beabsichtigt eine Steigerung der digitalen operationalen Widerstandsfähigkeit von EU-Finanzunternehmen und deren IKT-Dienstleistern sowie einen EU-weit einheitlichen Aufsichtsrahmens
• verpflichtet Finanzunternehmen zu einem umfassenden Überwachungs- und Risikomanagement

Ziele schärfen, Orientierung schaffen

Wer den Überblick über regulatorische Anforderungen behalten will, muss deren Hintergründe und Zielrichtungen verstehen - nur so lassen sich Auswirkungen auf Geschäftsmodelle und Entwicklung realistisch einschätzen. Genau hier setzt die eco Kompetenzgruppe IoT an: mit Know-how, Austausch und politischer Stimme.

Gestalten Sie die IoT-Brache mit!

Diese und weitere Themen können Sie im Rahmen der eco Kompetenzgruppe IoT vorantreiben. Durch den Zusammenschluss im Verband erhalten Unternehmen die Möglichkeit, sich zu aktuellen Regulierungen zu positionieren, um Einfluss auf ihre Ausgestaltung zu nehmen. Wenn Sie sich genauer über unsere Aktivitäten informieren und Mitglied werden möchten, können Sie uns jederzeit hier kontaktieren.

Zudem organisiert der eco Verband regelmäßig Informationsveranstaltungen und Networking-Formate, die allen Interessierten offenstehen.

Einen Überblick über alle eco Positionen im Bereich Politik & Recht finden Sie hier.