Gesetze & Verordnungen
EU- und deutsches Recht im Überblick — mit Praxishinweisen, Quellenlinks und Auditchecklisten.
Gesetzestexte sind öffentlich zugänglich — die Interpretation für den Unternehmensalltag nicht. Jeder Artikel enthält einen eigenständig verfassten Praxishinweis mit konkreten Compliance-Anforderungen, den häufigsten Fehlern und zitierfähigen Quellen (EDPB-Leitlinien, EuGH-Urteile, BSI, ENISA).
Datenschutz
Kernrechtsrahmen für den Schutz personenbezogener Daten in der EU und Deutschland
Verordnung (EU) 2016/679
Datenschutz-Grundverordnung
Grundlegendes EU-Datenschutzrecht: Rechtsgrundlagen, Betroffenenrechte, Pflichten für Verantwortliche und Auftragsverarbeiter, Drittlandübermittlungen, Bußgelder bis 20 Mio. € / 4 % Umsatz.
BDSG vom 30. Juni 2017 (BGBl. I S. 2097)
Bundesdatenschutzgesetz
Ergänzt die DSGVO im deutschen Recht. Enthält Regelungen für Beschäftigtendaten (§ 26), erweiterte DSB-Pflicht ab 20 Personen (§ 38) und Straftatbestände (§ 42).
TTDSG vom 23. Juni 2021 (BGBl. I S. 1982)
Telekommunikation-Telemedien-Datenschutz-Gesetz
Regelt den Datenschutz in Telekommunikation und Telemedien. § 25 TTDSG ist die maßgebliche Cookie-Norm: Einwilligung vor Zugriff auf Endgeräte — auch für Tracking, Pixel und Analyse-Tools.
Richtlinie 2002/58/EG (zuletzt geändert 2009/136/EG)
ePrivacy-Richtlinie
EU-Richtlinie für den Datenschutz in der elektronischen Kommunikation. Regelt Vertraulichkeit, Cookies und unverlangte Kommunikation. Wird durch nationale Gesetze (TTDSG) umgesetzt. Ablösung durch ePrivacy-VO geplant.
Wird durch ePrivacy-Verordnung abgelöst (noch nicht verabschiedet)
Künstliche Intelligenz
Regulierung von KI-Systemen und automatisierten Entscheidungen
Verordnung (EU) 2024/1689
KI-Verordnung (EU AI Act)
Weltweit erstes umfassendes KI-Gesetz. Risikobasierter Ansatz: verbotene KI-Praktiken (ab Feb. 2025), Hochrisiko-KI mit Konformitätsbewertung, Transparenzpflichten. Bußgelder bis 35 Mio. € / 7 % Umsatz.
Gestaffelte Anwendung: verbotene KI ab 2.2.2025 · GPAI ab 2.8.2025 · Hochrisiko-KI ab 2.8.2026
COM/2017/010 final — noch nicht verabschiedet
ePrivacy-Verordnung (Entwurf)
Geplante EU-Verordnung als lex specialis zur DSGVO für elektronische Kommunikation. Soll ePrivacy-Richtlinie ablösen und einheitliche Cookie- und Tracking-Regeln für die gesamte EU schaffen.
Noch kein Inkrafttreten absehbar — wir beobachten den Fortschritt
Cybersicherheit & Resilienz
Anforderungen an IT-Sicherheit, Meldepflichten und operative Widerstandsfähigkeit
Richtlinie (EU) 2022/2555
NIS-2-Richtlinie
Verschärfte EU-Cybersicherheitsanforderungen für „wesentliche" und „wichtige" Einrichtungen. Pflichten: Risikomanagement, 24h-Erstmeldung bei Vorfällen, Lieferkettensicherheit, Haftung der Geschäftsführung.
Richtlinie — deutsche Umsetzung (NIS2UmsuCG) steht noch aus (Stand 2025)
Verordnung (EU) 2024/2847
Cyber Resilience Act
Cybersicherheitsanforderungen für Produkte mit digitalen Elementen: Software, Hardware mit Netzwerkanbindung, IoT-Geräte. CE-Kennzeichnung, Schwachstellen-Management, 24h-Meldepflicht an ENISA.
Anwendungspflichten gestaffelt bis Dezember 2027
Verordnung (EU) 2022/2554
Digital Operational Resilience Act
Digitale Betriebsstabilität für den Finanzsektor: Banken, Versicherungen, Fonds, Zahlungsdienstleister und ihre IT-Dienstleister. Einheitliche Anforderungen an IKT-Risikomanagement, Tests und Drittanbieter.
Gilt nur für Finanzunternehmen und deren IKT-Dienstleister
Digitale Dienste & Datenwirtschaft
Rechtsrahmen für Plattformen, Online-Dienste und den Datenaustausch
Verordnung (EU) 2022/2065
Digital Services Act
Haftungs- und Sorgfaltspflichten für Anbieter digitaler Dienste (Hosting, Plattformen, Suchmaschinen, VLOP). Pflichten zur Entfernung illegaler Inhalte, Transparenz bei Werbung, Schutz Minderjähriger.
Nationales Ausführungsgesetz: DDG (Digitale-Dienste-Gesetz)
DDG vom 6. Mai 2024 (BGBl. I Nr. 149)
Digitale-Dienste-Gesetz
Nationales Ausführungsgesetz zum DSA. Benennt Bundesnetzagentur als Digital Services Coordinator, regelt Meldestellen, Beschwerdemechanismen und Bußgeldrahmen für Deutschland.
Verordnung (EU) 2023/2854
EU Data Act
Regelt den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und Diensten. Portabilitätsrechte für Nutzer, Datenzugang für Dritte, Beschränkungen für Smart-Contracts, B2G-Datenzugang in Notlagen.
Gilt ab 12. September 2025 — Unternehmen mit vernetzten Produkten jetzt vorbereiten
Verordnung (EU) 2022/868
Data Governance Act
Rahmen für vertrauenswürdige Datenvermittler (Data-Sharing-Dienste) und die gemeinnützige Datennutzung. Regelt Wiederverwendung von Daten öffentlicher Stellen und schafft ein EU-Datenvermittler-Register.
Rechtlicher Hinweis: Gesetzestexte stammen aus gemeinfrei zugänglichen amtlichen Quellen (EUR-Lex, gesetze-im-internet.de). Praxishinweise sind eigenständig von AGIDAT verfasst und stellen keine Rechtsberatung dar. Für konkrete Fragen empfehlen wir anwaltliche Beratung.
Quellen: EUR-Lex · BMJ Bundesrecht · EDPB · BSI · ENISA